Recht auf Löschung nach Art. 17 DSGVO im Überblick
Mit Urteil vom 22.10.2025 (Az. S 15 SF 304/24 DS) hat das Sozialgericht Dresden die praktische Bedeutung des Rechts auf Löschung nach Art. 17 DSGVO deutlich geschärft. Die Entscheidung betrifft eine zentrale Streitfrage der Datenschutzpraxis: Genügt es, personenbezogene Daten in IT-Systemen lediglich technisch unsichtbar zu machen, oder verlangt die DSGVO deren vollständige und irreversible Entfernung?
Das Gericht beantwortet diese Frage unmissverständlich. Ein bloßes Ausblenden personenbezogener Daten erfüllt die Anforderungen des Art. 17 DSGVO nicht, solange die Informationen technisch weiterhin vorhanden und grundsätzlich wiederherstellbar bleiben. In solchen Fällen liegt keine Löschung, sondern lediglich eine Einschränkung der Verarbeitung im Sinne des Art. 18 DSGVO vor. Damit zieht das SG Dresden eine klare dogmatische Trennlinie zwischen beiden Betroffenenrechten.
Besonders deutlich positioniert sich das Gericht zudem zur Verantwortung der Datenverarbeiter. Technische Grenzen bestehender Fachverfahren entbinden nicht von der Pflicht, das Recht auf Löschung nach Art. 17 DSGVO effektiv umzusetzen. Vielmehr verpflichtet Art. 25 DSGVO (Datenschutz durch Technikgestaltung) Verantwortliche dazu, IT-Systeme so auszuwählen und zu gestalten, dass eine echte Löschung personenbezogener Daten tatsächlich möglich ist. Datenschutzrechtliche Vorgaben dürfen nicht durch Softwarearchitekturen faktisch ausgehebelt werden.
Sachverhalt: Fehlerhafte Umsetzung des Rechts auf Löschung nach Art. 17 DSGVO
Dem Urteil des Sozialgerichts Dresden lag ein praxisnaher Sachverhalt zugrunde, der exemplarisch zeigt, welche Risiken fehlerhafte Datenverarbeitung für das Recht auf Löschung nach Art. 17 DSGVO birgt. Die Klägerin war als Mitarbeiterin einer Migrationsberatungsstelle der Caritas tätig und unterstützte ausländische Leistungsberechtigte bei Anträgen nach dem SGB II. In dieser Funktion nahm sie regelmäßig Kontakt zum zuständigen Jobcenter auf und legte hierfür entsprechende Schweigepflichtentbindungen vor.
Probleme entstanden durch die Nutzung des von der Bundesagentur für Arbeit betriebenen Stammdatenerfassungs- und -pflegesystems (STEP). In diesem Fachverfahren war die Klägerin aufgrund früherer eigener Leistungsanträge mit ihrer privaten Wohnanschrift gespeichert. Bei der Bearbeitung eines fremden Leistungsfalls wurde sie vom Jobcenter jedoch nicht mit ihrer dienstlichen Adresse, sondern mit dieser privaten Anschrift als Bevollmächtigte einer Klientin erfasst.
In der Folge versandte das Jobcenter behördliche Schreiben und Leistungsbescheide, die Dritte betrafen, an die Privatadresse der Klägerin. Die personenbezogenen Daten der Klägerin gelangten dadurch in die Leistungsakten anderer Personen und wurden systemisch mit fremden Verwaltungsverfahren verknüpft.
Aus datenschutzrechtlicher Sicht ergaben sich daraus mehrere relevante Verstöße:
- Verarbeitung der privaten Anschrift ohne tragfähige Rechtsgrundlage nach Art. 6 DSGVO,
- Speicherung personenbezogener Daten der Klägerin in Akten Dritter,
- potenzielle Offenlegung der Adresse im Rahmen von Akteneinsichten.
Die Klägerin machte daraufhin ihr Recht auf Löschung nach Art. 17 DSGVO geltend und verlangte die vollständige Entfernung ihrer privaten Wohnanschrift aus sämtlichen betroffenen Akten- und Systemkontexten. Ergänzend begehrte sie Schadensersatz nach Art. 82 DSGVO, da sie einen Kontrollverlust über ihre personenbezogenen Daten befürchtete.
Technisches Ausblenden vs. echte Löschung nach Art. 17 DSGVO
Auf das Löschungsverlangen der Klägerin reagierte das beklagte Jobcenter mit einer Argumentation, die in der Datenschutzpraxis häufig anzutreffen ist. Zwar erkannte die Behörde an, dass die private Wohnanschrift der Klägerin ohne ausreichende Rechtsgrundlage verarbeitet worden war und somit ein Datenschutzverstoß vorlag. Gleichwohl lehnte sie die Umsetzung des Rechts auf Löschung nach Art. 17 DSGVO ab.
Zur Begründung führte das Jobcenter an, dass eine vollständige Löschung der betreffenden Daten technisch nicht realisierbar sei. Maßgeblich sei die Struktur des eingesetzten Fachverfahrens STEP der Bundesagentur für Arbeit. Dieses unterscheide zwischen Dokumenten, die sich noch in Bearbeitung befinden, und solchen, die bereits „zu den Akten“ genommen wurden. Für letztgenannte Dokumente sehe das System – unter anderem aus haushalts- und kassenrechtlichen Gründen – keine echte Löschfunktion vor.
Statt einer irreversiblen Entfernung ermögliche STEP lediglich ein technisches Ausblenden der betroffenen Dokumente. Nach Auffassung des Jobcenters stelle diese Ausblendung eine datenschutzrechtlich ausreichende Umsetzung des Art. 17 DSGVO dar. Zur Absicherung dieser Position verwies die Behörde auf verschiedene technische und organisatorische Maßnahmen:
- ausgeblendete Dokumente seien für reguläre Sachbearbeitende nicht mehr sichtbar,
- ein Ausdruck der betreffenden Daten sei ausgeschlossen,
- bei Akteneinsicht erscheine lediglich ein Hinweis auf ein nicht einsehbares Dokument,
- ein erneutes Sichtbarmachen sei nur im Vier-Augen-Prinzip durch besonders berechtigte Führungskräfte möglich.
Aus Sicht des Jobcenters gewährleisteten diese Mechanismen sowohl den Schutz der personenbezogenen Daten als auch die Wahrung der Betroffenenrechte. Darüber hinaus verneinte die Behörde einen Anspruch auf Schadensersatz nach Art. 82 DSGVO. Es fehle an einer Offenlegung gegenüber Dritten sowie an einem konkret nachweisbaren materiellen oder immateriellen Schaden.
Gerade diese Berufung auf angebliche technische Zwänge stellte das Sozialgericht Dresden im weiteren Verlauf der Entscheidung jedoch grundlegend in Frage und machte deutlich, dass technische Grenzen nicht den Maßstab für die Reichweite des Rechts auf Löschung nach Art. 17 DSGVO setzen dürfen.
Rechtliche Bewertung des SG Dresden zum Recht auf Löschung nach Art. 17 DSGVO
Recht auf Löschung nach Art. 17 DSGVO als durchsetzbarer Anspruch
Das Sozialgericht Dresden stellt zunächst klar, dass der Klägerin ein einklagbarer Anspruch auf Löschung nach Art. 17 DSGVO zusteht. Hervorzuheben ist dabei die Feststellung des Gerichts, dass auch öffentliche Stellen berechtigt sind, über entsprechende Löschungsanträge mittels Verwaltungsakt zu entscheiden. Zwar begründet die DSGVO kein klassisches Über- und Unterordnungsverhältnis zwischen Behörde und Betroffenem, dennoch geht es bei einem Löschungsbegehren um eine verbindliche Rechtsentscheidung und nicht lediglich um faktisches Verwaltungshandeln.
Damit bestätigt das Gericht, dass Betroffene einen klaren Rechtsanspruch auf eine inhaltliche Entscheidung über ihr Löschungsverlangen haben. Das Recht auf Löschung nach Art. 17 DSGVO ist folglich kein bloßes Programmpostulat, sondern ein vollwertiges subjektives Recht, das auch gegenüber Behörden durchgesetzt werden kann.
Zugleich nimmt das SG Dresden eine wichtige Differenzierung vor: Während über Löschungsanträge nach Art. 17 DSGVO behördlich entschieden werden darf, fehlt es für eine entsprechende Entscheidung über Schadensersatzansprüche nach Art. 82 DSGVO regelmäßig an einer gesetzlichen Ermächtigungsgrundlage. Diese Trennung ist für die Verwaltungspraxis von erheblicher Bedeutung.
Abgrenzung: Recht auf Löschung nach Art. 17 DSGVO und Einschränkung der Verarbeitung nach Art. 18 DSGVO
Kern der Entscheidung ist die präzise Abgrenzung zwischen Löschung und bloßer Einschränkung der Verarbeitung. Das Sozialgericht Dresden macht unmissverständlich deutlich: Ein technisches Ausblenden personenbezogener Daten erfüllt nicht die Voraussetzungen des Rechts auf Löschung nach Art. 17 DSGVO, sondern stellt allenfalls eine Maßnahme nach Art. 18 DSGVO dar.
Nach Auffassung des Gerichts setzt eine Löschung voraus, dass der Personenbezug dauerhaft und faktisch nicht mehr herstellbar ist. Maßgeblich ist dabei nicht, ob der Zugriff organisatorisch erschwert wird, sondern ob die Information technisch weiterhin existiert. Besteht – wie im eingesetzten STEP-System – eine realistische Möglichkeit, die Daten erneut sichtbar zu machen, fehlt es an der für Art. 17 DSGVO erforderlichen Irreversibilität.
Das Gericht hebt in diesem Zusammenhang insbesondere hervor:
- organisatorische Sicherungen wie ein Vier-Augen-Prinzip ersetzen keine Löschung,
- technische Reaktivierungsoptionen widersprechen dem Löschungsbegriff,
- der Verweis auf „technische Unmöglichkeit“ vermag Betroffenenrechte nicht einzuschränken.
Mit dieser klaren dogmatischen Trennung stärkt das SG Dresden die praktische Durchsetzbarkeit des Rechts auf Löschung nach Art. 17 DSGVO erheblich und schiebt Versuchen, Löschpflichten durch technische Konstruktionen zu umgehen, einen deutlichen Riegel vor.
Art. 25 DSGVO: Technikgestaltung als Voraussetzung für das Recht auf Löschung nach Art. 17 DSGVO
In seiner Entscheidung misst das Sozialgericht Dresden Art. 25 DSGVO eine zentrale Bedeutung für die effektive Durchsetzung des Rechts auf Löschung nach Art. 17 DSGVO bei. Der Grundsatz des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen wird dabei nicht als abstrakte Leitlinie verstanden, sondern als unmittelbar verbindliche Pflicht für Verantwortliche.
Das Gericht stellt klar, dass Betroffenenrechte nicht an der technischen Ausgestaltung eingesetzter IT-Systeme scheitern dürfen. Die DSGVO passt sich nicht an bestehende Software an – vielmehr müssen Software und Fachverfahren den gesetzlichen Anforderungen entsprechen. Wer personenbezogene Daten verarbeitet, ist verpflichtet, Systeme so auszuwählen, zu konfigurieren oder weiterzuentwickeln, dass eine tatsächliche und irreversible Löschung möglich ist.
Das vom Jobcenter angeführte Argument, das eingesetzte STEP-System lasse eine echte Löschung nicht zu, ließ das Gericht ausdrücklich nicht gelten. Technische Defizite entbinden Verantwortliche nicht von ihren Pflichten aus Art. 17 DSGVO. Andernfalls würden Betroffenenrechte faktisch ausgehöhlt und auf bloße Sichtbarkeitskontrollen reduziert.
Aus Art. 25 DSGVO leitet das Sozialgericht Dresden konkrete Anforderungen ab:
- IT-Systeme müssen Funktionen zur irreversiblen Löschung oder belastbaren Anonymisierung vorsehen,
- bloße Ausblend-, Sperr- oder Zugriffsbeschränkungen reichen nicht aus,
- auch zentrale Fachverfahren öffentlicher Stellen unterliegen uneingeschränkt den Vorgaben der DSGVO,
- technische und organisatorische Maßnahmen müssen die tatsächliche Durchsetzung von Betroffenenrechten gewährleisten.
Die Entscheidung verdeutlicht damit, dass Art. 25 DSGVO die technische Grundlage für das Recht auf Löschung nach Art. 17 DSGVO bildet. Für Behörden und Unternehmen bedeutet dies eine klare Verantwortung: Wer Software beschafft oder betreibt, trägt das Risiko, wenn Löschanforderungen technisch nicht erfüllt werden können.
Kein Schadensersatz trotz Verstoßes gegen das Recht auf Löschung nach Art. 17 DSGVO
Voraussetzungen für einen Anspruch nach Art. 82 DSGVO
Obwohl das Sozialgericht Dresden einen Datenschutzverstoß und Defizite bei der Umsetzung des Rechts auf Löschung nach Art. 17 DSGVO festgestellt hat, hat es den geltend gemachten Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zurückgewiesen. Damit bestätigt das Gericht die inzwischen gefestigte Linie: Ein DSGVO-Verstoß allein genügt nicht, um Schadensersatz auszulösen.
Für einen Anspruch nach Art. 82 DSGVO müssen drei Voraussetzungen kumulativ erfüllt sein:
- ein Verstoß gegen Vorschriften der DSGVO,
- ein materieller oder immaterieller Schaden,
- Kausalität zwischen Verstoß und Schaden.
Entscheidend ist: Es gibt keine automatische Schadensvermutung. Betroffene müssen den Eintritt eines Schadens darlegen und – soweit möglich – belegen. Auch ein Verstoß gegen das Recht auf Löschung nach Art. 17 DSGVO führt daher nicht per se zu einem ersatzfähigen immateriellen Schaden.
Warum das Gericht keinen immateriellen „Kontrollverlust“ anerkannt hat
Die Klägerin argumentierte im Kern mit einem immateriellen Schaden in Form eines Kontrollverlusts. Sie befürchtete, dass ihre private Wohnanschrift künftig im Rahmen von Akteneinsichten oder durch den Umgang mit den Leistungsakten Dritter bekannt werden könnte. Diese – in der Praxis häufige – Argumentationslinie genügte dem Gericht jedoch nicht.
Das SG Dresden stellte darauf ab, dass nach der Reaktion der Behörde keine realistische Gefahr einer Kenntnisnahme durch Dritte erkennbar war. Ausschlaggebend waren die konkret umgesetzten Schutzmaßnahmen:
- die betroffenen Dokumente wurden im System ausgeblendet,
- bei Akteneinsicht waren sie nicht zugänglich,
- normale Mitarbeitende konnten die Daten nicht wieder sichtbar machen,
- eine Reaktivierung war nur in einem streng kontrollierten Vier-Augen-Prozess möglich.
Vor diesem Hintergrund sah das Gericht zwar weiterhin einen Verstoß gegen die Anforderungen an die Löschung im Sinne des Art. 17 DSGVO, jedoch keinen ausreichend konkretisierten immateriellen Schaden. Ein bloßes Unbehagen, ein abstraktes Risiko oder eine theoretische Möglichkeit der Offenlegung reichten im konkreten Fall nicht aus, um einen Anspruch nach Art. 82 DSGVO zu begründen.
Praxisfolgen: Wie Verantwortliche das Recht auf Löschung nach Art. 17 DSGVO umsetzen müssen
Warum das Recht auf Löschung nach Art. 17 DSGVO technisch umsetzbar sein muss
Das Urteil des Sozialgerichts Dresden hat weitreichende Konsequenzen für die Datenschutzpraxis von Behörden und Unternehmen. Es macht deutlich, dass das Recht auf Löschung nach Art. 17 DSGVO nicht durch organisatorische Ersatzlösungen oder technische Kompromisse relativiert werden darf. Verantwortliche können sich weder auf bestehende Fachverfahren noch auf angebliche Systemzwänge berufen, wenn dadurch Betroffenenrechte faktisch unterlaufen werden.
Entscheidend ist nicht, wie aufwendig oder unbequem eine Löschung ist, sondern ob sie rechtlich geschuldet ist. Besteht ein Löschungsanspruch, muss er technisch vollständig umgesetzt werden können.
Löschkonzepte trennscharf ausgestalten und dokumentieren
Verantwortliche müssen ihre Löschkonzepte konsequent an der DSGVO ausrichten und klar zwischen Löschung und Einschränkung der Verarbeitung unterscheiden. Ein belastbares Löschkonzept sollte insbesondere festhalten:
- welche personenbezogenen Daten zu welchem Zeitpunkt zu löschen sind,
- wie die technische Irreversibilität der Löschung sichergestellt wird,
- wie Löschvorgänge dokumentiert, protokolliert und nachgewiesen werden.
Funktionen wie Sperren, Archivieren oder Ausblenden dürfen nicht als Löschung im Sinne des Art. 17 DSGVO bezeichnet werden. Eine unklare oder falsche Begrifflichkeit birgt erhebliche Haftungsrisiken.
IT-Systeme und Fachverfahren auf tatsächliche Löschfähigkeit prüfen
Das Recht auf Löschung nach Art. 17 DSGVO setzt voraus, dass personenbezogene Daten technisch dauerhaft entfernt oder zumindest irreversibel anonymisiert werden können. Verantwortliche sollten systematisch prüfen:
- ob Daten technisch rekonstruierbar sind,
- ob Reaktivierungs- oder Wiederherstellungsfunktionen bestehen,
- ob Löschprozesse revisionssicher nachvollziehbar sind.
Gerade bei zentralen Fachverfahren, E-Akten und Altsystemen besteht hier häufig erheblicher Nachbesserungsbedarf.
Softwarebeschaffung und Vertragsgestaltung DSGVO-konform ausrichten
Bereits bei der Auswahl und Beschaffung von Software muss Art. 25 DSGVO berücksichtigt werden. Verträge mit Softwareanbietern sollten klare Regelungen enthalten, insbesondere:
- zur technischen Umsetzung des Rechts auf Löschung nach Art. 17 DSGVO,
- zur Irreversibilität von Löschungen,
- zu Update- und Nachbesserungspflichten,
- zur Unterstützung bei der Bearbeitung von Betroffenenanfragen.
Fehlende Löschfunktionen stellen kein bloßes Komfortproblem, sondern ein rechtliches Risiko dar.
Rolle des Datenschutzbeauftragten konsequent einbinden
Datenschutzbeauftragte sollten frühzeitig in IT-Projekte, Systemmigrationen und die Einführung neuer Fachverfahren eingebunden werden. Risiken für das Recht auf Löschung nach Art. 17 DSGVO sind im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren und regelmäßig zu überprüfen. Das Urteil des SG Dresden liefert hierfür eine starke Argumentationsgrundlage gegenüber IT, Einkauf und Fachabteilungen.
Fazit: Das Recht auf Löschung nach Art. 17 DSGVO erlaubt kein bloßes Ausblenden
Mit Urteil vom 22.10.2025 (Az. S 15 SF 304/24 DS) hat das Sozialgericht Dresden einen praxisrelevanten Maßstab für das Recht auf Löschung nach Art. 17 DSGVO gesetzt. Die Entscheidung macht unmissverständlich deutlich, dass das technische Ausblenden personenbezogener Daten keine datenschutzkonforme Löschung darstellt, solange die Informationen weiterhin vorhanden und grundsätzlich wiederherstellbar sind. Wer lediglich die Sichtbarkeit einschränkt, erfüllt nicht die Anforderungen des Art. 17 DSGVO, sondern bewegt sich allenfalls im Anwendungsbereich des Art. 18 DSGVO.
Besonders deutlich weist das Gericht den Einwand angeblicher technischer Unmöglichkeit zurück. Verantwortliche dürfen Betroffenenrechte nicht an der Architektur eingesetzter IT-Systeme scheitern lassen. Bestehende Software, die keine irreversible Löschung ermöglicht, genügt den gesetzlichen Anforderungen nicht und muss angepasst oder ersetzt werden. Maßgeblich ist allein, ob das Recht auf Löschung nach Art. 17 DSGVO tatsächlich und vollständig umgesetzt werden kann.
Zentrale Bedeutung kommt dabei Art. 25 DSGVO zu. Datenschutz durch Technikgestaltung wird vom SG Dresden als konkrete Handlungspflicht verstanden, die unmittelbar die Wirksamkeit des Löschungsanspruchs absichert. Behörden und Unternehmen tragen die Verantwortung dafür, dass technische und organisatorische Maßnahmen Betroffenenrechte nicht nur formal, sondern auch praktisch durchsetzbar machen.
Gleichzeitig verdeutlicht die Entscheidung, dass nicht jeder Datenschutzverstoß automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO auslöst. Ein immaterieller Schaden erfordert mehr als ein abstraktes Risiko oder ein subjektives Unsicherheitsgefühl. Ohne eine realistische Möglichkeit der Kenntnisnahme durch Dritte fehlt es an einem ersatzfähigen Kontrollverlust. Insgesamt liefert das Urteil damit eine klare Leitlinie für die Praxis: Das Recht auf Löschung nach Art. 17 DSGVO ist strikt umzusetzen – während Schadensersatz an konkrete, nachweisbare Voraussetzungen gebunden bleibt.
Fragen zum Recht auf Löschung nach Art. 17 DSGVO?
Entscheidend ist nicht nur die einzelne Datenzeile, sondern die technisch saubere, irreversible Umsetzung des Rechts auf Löschung nach Art. 17 DSGVO entlang der gesamten Verarbeitungskette – von Systemarchitektur und Berechtigungskonzept über Löschroutinen/Backups bis zur belastbaren Protokollierung als Nachweis im Streitfall. Buchen Sie gern ein Teams-Meeting mit einem unserer Rechtsanwälte oder stellen Sie hier Ihre Rechtsfrage.
FAQ zum Recht auf Löschung nach Art. 17 DSGVO
Was bedeutet das Recht auf Löschung nach Art. 17 DSGVO?
Das Recht auf Löschung nach Art. 17 DSGVO gibt Betroffenen einen Anspruch auf die vollständige und irreversible Entfernung personenbezogener Daten, wenn keine Rechtsgrundlage mehr besteht. Daten dürfen technisch nicht rekonstruierbar bleiben. Ein bloßes Sperren oder Ausblenden genügt nicht.
Reicht ein technisches Ausblenden von Daten für Art. 17 DSGVO aus?
Nein. Das Recht auf Löschung nach Art. 17 DSGVO verlangt eine irreversible Entfernung der Daten. Bleiben personenbezogene Informationen technisch vorhanden oder reaktivierbar, liegt lediglich eine Einschränkung der Verarbeitung nach Art. 18 DSGVO vor.
Wann ist das Recht auf Löschung nach Art. 17 DSGVO wirksam umgesetzt?
Das Recht auf Löschung nach Art. 17 DSGVO ist nur wirksam umgesetzt, wenn personenbezogene Daten vollständig und irreversibel entfernt werden. Der Personenbezug darf technisch nicht mehr herstellbar sein. Bleiben Daten nur ausgeblendet oder sind sie wiederherstellbar, liegt keine Löschung vor, sondern höchstens eine Einschränkung der Verarbeitung nach Art. 18 DSGVO.
Können sich Verantwortliche beim Recht auf Löschung nach Art. 17 DSGVO auf technische Unmöglichkeit berufen?
Nein. Technische Grenzen entbinden nicht von der Pflicht, das Recht auf Löschung nach Art. 17 DSGVO effektiv umzusetzen. Nach Art. 25 DSGVO müssen Verantwortliche IT-Systeme so auswählen und gestalten, dass eine echte Löschung technisch möglich ist. Ist dies im Fachverfahren nicht vorgesehen, besteht Anpassungs- oder Austauschbedarf – Ausblenden reicht nicht.
Führt ein Verstoß gegen das Recht auf Löschung nach Art. 17 DSGVO automatisch zu Schadensersatz?
Nein. Ein Verstoß gegen das Recht auf Löschung nach Art. 17 DSGVO führt nicht automatisch zu Schadensersatz nach Art. 82 DSGVO. Zusätzlich müssen Betroffene einen materiellen oder immateriellen Schaden und die Kausalität zwischen DSGVO-Verstoß und Schaden darlegen. Ein bloß abstraktes Risiko oder Unbehagen genügt regelmäßig nicht – entscheidend sind konkrete, nachvollziehbare Auswirkungen.
Wann liegt keine wirksame Umsetzung des Rechts auf Löschung nach Art. 17 DSGVO vor?
Keine wirksame Umsetzung des Rechts auf Löschung nach Art. 17 DSGVO liegt vor, wenn Daten nur ausgeblendet, gesperrt oder archiviert werden, aber technisch weiter existieren. Sind Informationen wiederherstellbar oder reaktivierbar (z. B. durch Admin-Rechte oder Vier-Augen-Freigaben), fehlt die erforderliche Irreversibilität der Löschung.
Welche Rolle spielt Art. 25 DSGVO für das Recht auf Löschung nach Art. 17 DSGVO?
Art. 25 DSGVO verpflichtet Verantwortliche zu Datenschutz durch Technikgestaltung. Das sichert praktisch das Recht auf Löschung nach Art. 17 DSGVO, weil IT-Systeme Löschungen technisch ermöglichen müssen. Software darf Betroffenenrechte nicht faktisch aushebeln. Bei Beschaffung und Betrieb sind deshalb Löschfunktionen, Nachweisbarkeit und Irreversibilität zu prüfen und vertraglich abzusichern.
Gilt das Recht auf Löschung nach Art. 17 DSGVO auch für Behörden und Jobcenter?
Ja. Auch Behörden müssen das Recht auf Löschung nach Art. 17 DSGVO beachten und personenbezogene Daten löschen, wenn ein Löschgrund vorliegt und keine vorrangigen Aufbewahrungspflichten entgegenstehen. Die öffentliche Stelle kann sich nicht darauf berufen, dass ein Fachverfahren keine Löschung vorsieht. Betroffenenrechte müssen praktisch durchsetzbar sein – notfalls durch Anpassung der Systeme.
Ist technische Unmöglichkeit beim Recht auf Löschung nach Art. 17 DSGVO ein zulässiger Einwand?
Nein. „Technische Unmöglichkeit“ ist kein zulässiger Einwand gegen das Recht auf Löschung nach Art. 17 DSGVO. Verantwortliche müssen Prozesse und Systeme so organisieren, dass Löschung tatsächlich möglich ist. Technische Defizite begründen Anpassungsbedarf – nicht die Einschränkung von Betroffenenrechten.
