Recht auf Löschung nach Art. 17 DSGVO – Empfehlungen des EDSA

Im Februar 2026 hat der Europäische Datenschutzausschuss (EDSA) seinen Bericht zur koordinierten Durchsetzungsmaßnahme 2025 (KDR) veröffentlicht. Der Bericht untersucht, wie Verantwortliche das Recht auf Löschung nach Art. 17 DSGVO in der Praxis umsetzen – und das Ergebnis ist ernüchternd: Das Compliance-Niveau liegt bei der überwiegenden Mehrheit der geprüften Verantwortlichen lediglich im „durchschnittlichen“ Bereich.

Was hat der EDSA beim Recht auf Löschung untersucht?

32 europäische Aufsichtsbehörden befragten im Rahmen der KDR insgesamt 764 Verantwortliche aus Privatwirtschaft und öffentlichem Sektor. Dabei untersuchten die Behörden, ob und wie das Recht auf Löschung nach Art. 17 DSGVO organisatorisch verankert ist und in der täglichen Praxis gelebt wird. Da mehrere Aufsichtsbehörden bereits formelle Nachfolgeverfahren angekündigt haben, sollten Verantwortliche die Ergebnisse sehr ernst nehmen.

Die 7 zentralen Mängel beim Recht auf Löschung

Der EDSA identifiziert sieben wiederkehrende Problembereiche, die gleichzeitig als Checkliste für die eigene Compliance-Prüfung dienen:

Fehlende interne Verfahrensanweisung: Viele Verantwortliche verfügen über keine dokumentierte interne Verfahrensanweisung für Löschanfragen – weder mit klaren Fristen noch mit definierten Zuständigkeiten.
Unzureichende Schulung: Beschäftigte erhalten häufig keine oder nur mangelhafte Schulungen zu Art. 17 DSGVO. Dabei ist gerade die Sensibilisierung der relevanten Stellen entscheidend für eine rechtskonforme Bearbeitung.
Mangelnde Information der Betroffenen: Datenschutzhinweise enthalten oft keine ausreichenden Angaben zum Recht auf Löschung, seinem Umfang und dem konkreten Ausübungsverfahren.
Missbrauch der gesetzlichen Ausnahmen: Die Ausnahmetatbestände nach Art. 17 Abs. 3 DSGVO – etwa zur Erfüllung gesetzlicher Pflichten oder zur Geltendmachung von Rechtsansprüchen – werden teils ohne hinreichende Grundlage und schriftliche Begründung geltend gemacht.
Fehlende Speicherfristen: Im Verzeichnis der Verarbeitungstätigkeiten (VVT) fehlen bei vielen Einträgen konkrete Speicherfristen sowie der Verweis auf die einschlägige gesetzliche Aufbewahrungspflicht.
Fehlendes Konzept für Sicherungskopien: Selbst wenn eine Löschung erfolgt, fehlt es häufig an einem tragfähigen Konzept, das auch Backups und Sicherungskopien datenschutzkonform einbezieht und die Löschung nachweisbar dokumentiert.
Fehlerhafte Anonymisierung: Statt einer vollständigen Löschung greifen manche Verantwortliche auf eine fehlerhafte Anonymisierung zurück, die den Anforderungen der DSGVO nicht genügt.

Empfehlungen des EDSA: Konkrete Maßnahmen für Verantwortliche

Der EDSA richtet gezielte Empfehlungen an alle Verantwortlichen im EWR. Diese lassen sich in vier Handlungsfelder gliedern:

Verfahrensanweisung und Datenkartierung

Zunächst sollten Verantwortliche eine interne Verfahrensanweisung einrichten, die klare Fristen, Bearbeitungsschritte und Zuständigkeiten festlegt und regelmäßig aktualisiert wird. Darüber hinaus empfiehlt der EDSA, alle Datenkategorien und Speicherorte vollständig im VVT zu erfassen, damit Löschanfragen lückenlos bearbeitet werden können.

Schulung und Sensibilisierung

Verbindliche, rollenspezifische Schulungen zu Art. 17 DSGVO sollten ab dem ersten Arbeitstag beginnen und regelmäßig wiederholt werden. Ergänzend empfiehlt der EDSA E-Learning-Formate, um auch dezentrale Teams zu erreichen.

Information der Betroffenen

Datenschutzhinweise müssen das Recht auf Löschung nach Art. 17 DSGVO klar benennen und erläutern, wie Betroffene es ausüben können. Außerdem sollten Verantwortliche klare und leicht auffindbare Kontaktwege für Löschanfragen bereitstellen – etwa eine dedizierte E-Mail-Adresse oder ein Online-Formular.

Ausnahmen, Speicherfristen und Sicherungskopien

Ablehnungen von Löschanfragen müssen schriftlich begründet und dokumentiert werden; das Rechts- oder Compliance-Team sollte dabei eingebunden sein. Zudem empfiehlt der EDSA, im VVT zu jeder Verarbeitungstätigkeit die einschlägige gesetzliche Aufbewahrungspflicht anzugeben. Schließlich braucht es ein Konzept, das die Löschung in Sicherungskopien datenschutzkonform sicherstellt und nachweisbar belegt.

Handlungsbedarf für Unternehmen

Der EDSA-Bericht hat unmittelbare Relevanz für alle Verantwortlichen im Europäischen Wirtschaftsraum – also auch für Unternehmen. Da mehrere Aufsichtsbehörden formelle Nachfolgeverfahren angekündigt haben, besteht konkreter Handlungsbedarf. Wer die sieben Mängelbereiche als Checkliste nutzt und die eigene Praxis ehrlich überprüft, erhält die Grundlage für eine rechtskonforme Umsetzung des Rechts auf Löschung nach Art. 17 DSGVO – und minimiert gleichzeitig das Risiko aufsichtsbehördlicher Maßnahmen.

Fundstelle: EDSA, KDR-Bericht 2025 „Implementation of the right to erasure by controllers report“, angenommen am 10. Februar 2026.

Fazit

Das Recht auf Löschung ist elementar aber unbeliebt. Nutzen Sie die Empfehlungen des EDSA, um eine Grundlage zu schaffen. Gern berate ich Unternehmen bei Fragen zur Umsetzung.

RA Christof Kolyvas

Datenschutz für Unternehmen, Selbständige und Vereine

Tel: +49 234 29831858

Mail: anwalt@kolyvas.legal

Recht auf Löschung nach Art. 17 DSGVO – Empfehlungen des EDSA

Was hat der EDSA beim Recht auf Löschung untersucht?

Die 7 zentralen Mängel beim Recht auf Löschung

Empfehlungen des EDSA: Konkrete Maßnahmen für Verantwortliche

Handlungsbedarf für Unternehmen

Fazit

KONTAKT AUFNEHMEN

NEUESTE BEITRÄGE

Recht auf Löschung nach Art. 17 DSGVO – Empfehlungen des EDSA

Das Impressum – rechtliche Anforderungen, Fehler und zwei aktuelle Entscheidungen

Datenerhebung „hinter dem Rücken“ – Informationspflicht nach Art. 14 DSGVO