Was die koordinierte EU-Prüfung für Unternehmen bedeutet
Das Recht auf Löschung ist eines der prominentesten Betroffenenrechte der Datenschutz-Grundverordnung (DSGVO) – und eines der herausforderndsten in der Praxis. Im Jahr 2025 steht es nun im Zentrum einer europaweiten, koordinierten Prüfaktion. In den Vorjahren wurden im Rahmen des CEF bereits andere zentrale Themen überprüft – 2023 lag der Fokus auf der Rolle und Unabhängigkeit von Datenschutzbeauftragten, 2024 auf dem Einsatz von Cloud-Diensten. Diese thematische Entwicklung zeigt: Der EDSA verfolgt einen strategischen Fahrplan, um schrittweise zentrale Bausteine der DSGVO auf ihre praktische Umsetzung zu überprüfen. In diesem Rahmen nimmt der Europäische Datenschutzausschuss (EDSA) gemeinsam mit nationalen Datenschutzaufsichtsbehörden die Umsetzung von Artikel 17 DSGVO genau unter die Lupe. Für Unternehmen ist dies ein Anlass, die eigenen Prozesse nicht nur zu überdenken, sondern aktiv auf Prüfungsreife zu bringen.
Der EDSA und das Coordinated Enforcement Framework
Der Europäische Datenschutzausschuss (EDSA) ist das zentrale Gremium für die einheitliche Anwendung der DSGVO in der EU. Er setzt sich aus den Datenschutzaufsichtsbehörden aller Mitgliedstaaten sowie dem Europäischen Datenschutzbeauftragten zusammen. Der EDSA koordiniert die Zusammenarbeit der nationalen Behörden, gibt Leitlinien heraus und initiiert sogenannte koordinierte Durchsetzungsmaßnahmen.
Das Coordinated Enforcement Framework (CEF) wurde 2020 eingeführt, um systematisch Schwerpunkte in der Durchsetzung des Datenschutzrechts zu setzen. Ziel ist es, europaweit vergleichbare Prüfungen zu ermöglichen und gemeinsame Erkenntnisse über den Umsetzungsstand spezifischer DSGVO-Vorgaben zu gewinnen. Nach Themen wie Datenschutzbeauftragte (2023) und Cloud-Nutzung (2024) steht 2025 nun das Recht auf Löschung im Fokus.
Anlassunabhängige Prüfungen – was bedeutet das?
Im Rahmen des CEF werden Unternehmen und öffentliche Stellen anlassunabhängig kontaktiert. Das heißt: Es muss kein konkreter Verstoß oder eine Beschwerde vorliegen, damit eine Aufsichtsbehörde tätig wird. Die Prüfungen sind systematisch, stichprobenbasiert und orientieren sich an einem standardisierten Fragenkatalog, der auch als Grundlage für vertiefende Maßnahmen bis hin zu förmlichen Verfahren dient. Typische Prüfgegenstände sind unter anderem: Gibt es ein dokumentiertes Löschkonzept? Welche Fristen und Trigger für Löschvorgänge sind definiert? Wie erfolgt die Umsetzung in der Praxis – auch technisch? Wie wird die Löschung dokumentiert und wie wird mit Ablehnungen umgegangen? Der Ablauf sieht in der Regel eine erste schriftliche Abfrage, ggf. ergänzende Rückfragen und schließlich – bei Auffälligkeiten – auch vertiefende Maßnahmen wie Vor-Ort-Kontrollen oder Anhörungen vor.
In Deutschland nehmen zahlreiche Aufsichtsbehörden an der Aktion teil, darunter etwa die Datenschutzaufsichten in Nordrhein-Westfalen, Baden-Württemberg, Niedersachsen, Rheinland-Pfalz, Brandenburg, Mecklenburg-Vorpommern sowie der Bundesdatenschutzbeauftragte. Damit ist klar: Auch Unternehmen mit Sitz in Deutschland sollten sich intensiv mit ihren Prozessen zur Datenlöschung auseinandersetzen – und zwar bevor ein Prüfanschreiben ins Haus flattert.
Die Anforderungen von Artikel 17 DSGVO in der Praxis
Artikel 17 DSGVO regelt das sogenannte „Recht auf Vergessenwerden“. Betroffene haben das Recht, die unverzügliche Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen vorliegen – etwa wenn der ursprüngliche Zweck der Verarbeitung entfallen ist, eine Einwilligung widerrufen wurde oder die Verarbeitung unrechtmäßig war. Gleichzeitig enthält die Vorschrift auch wichtige Ausnahmen: So muss nicht gelöscht werden, wenn gesetzliche Aufbewahrungspflichten bestehen oder die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
In der Praxis ist die Umsetzung dieser Anforderungen komplex. Denn sie betrifft nicht nur juristische Entscheidungen, sondern auch tiefgreifende organisatorische und technische Maßnahmen. Viele Unternehmen verfügen zwar über ein formales Löschkonzept – doch in der Realität zeigt sich häufig eine erhebliche Diskrepanz zwischen dokumentierter Theorie und tatsächlicher Umsetzung. Während die Richtlinien auf dem Papier meist vollständig wirken, fehlen in der Praxis häufig klare Zuständigkeiten, technische Lösungswege oder verbindliche Workflows. Diese Lücke ist nicht nur ein organisatorisches Risiko, sondern ein konkreter Prüfpunkt im Rahmen der CEF 2025. Eine kritische Bestandsaufnahme hilft, genau diese Diskrepanz rechtzeitig zu erkennen – bevor sie durch eine Prüfung offenbar wird.
Was ein belastbares Löschkonzept enthalten sollte
Die DIN 66398 stellt konkrete Anforderungen an die Entwicklung, Dokumentation und Umsetzung eines Löschkonzepts. Sie fordert, dass Unternehmen für jede Datenart den Verarbeitungszweck, die Rechtsgrundlage, die Aufbewahrungsfrist sowie den Löschzeitpunkt systematisch erfassen und bewerten. Die Norm unterscheidet zwischen verschiedenen Löschklassen (z. B. sofort zu löschen, nach Ablauf der Aufbewahrungsfrist, auf Antrag etc.) und legt Wert auf die Festlegung sogenannter Löschereignisse, die den Beginn von Fristen auslösen (z. B. Vertragsende, letzter Login, Widerruf der Einwilligung).
Besonderes Augenmerk liegt auf der Konsistenz zwischen Vorgabe und Praxis. Unternehmen sollen auch Maßnahmen zur technischen Umsetzung beschreiben – etwa wie Löschvorgänge in IT-Systemen abgebildet, automatisiert oder protokolliert werden. Ergänzend sieht die Norm regelmäßige Überprüfungen und die Verantwortlichkeitszuordnung für das Löschmanagement vor.
Ein funktionierendes Löschkonzept beginnt mit einer fundierten Rechtsgrundlagenanalyse (vgl. DIN 66398, Abschnitt 5.2): Welche personenbezogenen Daten dürfen wie lange gespeichert werden – und wann müssen sie gelöscht werden? Dabei sind nicht nur die DSGVO, sondern auch zahlreiche Spezialgesetze wie das Handelsgesetzbuch (HGB), die Abgabenordnung (AO) oder berufsrechtliche Regelungen zu berücksichtigen.
Darauf aufbauend muss definiert werden, welche Datenarten in welchen Systemen vorhanden sind, wie lange sie jeweils aufbewahrt werden dürfen, und welche Ereignisse eine Löschung auslösen. Diese sogenannten „Löschtrigger“ – etwa die Ablehnung einer Bewerbung oder die Kündigung eines Vertrages – müssen in den operativen Workflows berücksichtigt sein.
Zentral ist auch die Frage der technischen Umsetzbarkeit: In der Praxis zeigt sich dies besonders bei der Integration von Löschprozessen in weit verbreitete SaaS-Anwendungen. So bietet etwa Microsoft 365 Funktionen wie Data Lifecycle Management und Retention Policies, mit denen Daten automatisiert nach definierten Fristen gelöscht oder archiviert werden können. In Salesforce lassen sich benutzerdefinierte Workflows oder automatisierte Datenmaskierungen einrichten, um personenbezogene Daten gezielt zu entfernen. Solche Funktionen müssen jedoch korrekt konfiguriert und regelmäßig überprüft werden – andernfalls bleibt das Löschkonzept ein reiner Papiertiger.
Gibt es Standards und Leitlinien?
Ja – Unternehmen können sich bei der Ausgestaltung von Löschkonzepten auf etablierte Standards stützen. Die DIN 66398 legt besonderen Wert auf die systematische Herleitung und Dokumentation von Löschfristen und Löschereignissen. So verlangt sie beispielsweise, dass Unternehmen für jede Datenart den konkreten Zweck, die rechtliche Grundlage sowie den Beginn und das Ende der zulässigen Speicherdauer nachvollziehbar festhalten. Ein praktisches Beispiel: Für Bewerbungsunterlagen empfiehlt sich in der Regel eine Löschfrist von sechs Monaten nach Absage, es sei denn, es liegt eine ausdrückliche Einwilligung zur längeren Speicherung vor.
Weitere Orientierung bieten internationale Standards wie ISO/IEC 27001 (für Informationssicherheit) und ISO/IEC 27701 (für Datenschutzmanagementsysteme). Auch der BITKOM-Leitfaden zu Löschkonzepten sowie die Orientierungshilfen der Datenschutzkonferenz (DSK) enthalten praxisrelevante Empfehlungen.
Konsequenzen bei Verstößen
Wer im Rahmen der CEF 2025 geprüft wird und erhebliche Mängel offenbart, muss mit Konsequenzen rechnen. Je nach Schwere des Verstoßes können Datenschutzbehörden Verwarnungen, verbindliche Anweisungen oder Bußgelder verhängen. Die DSGVO erlaubt hier Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
Ein prominentes Beispiel ist das Bußgeld gegen die Deutsche Wohnen SE in Höhe von 14,5 Millionen Euro im Jahr 2019. Die Berliner Aufsichtsbehörde sah es als erwiesen an, dass personenbezogene Daten über Jahre hinweg unzulässig gespeichert und nicht gelöscht worden waren – unter anderem wegen fehlender Löschkonzepte und organisatorischer Defizite. Das Unternehmen hatte ein Archivsystem eingesetzt, das keine Löschfunktion vorsah, und trotz früherer Hinweise keine Abhilfe geschaffen. Weitere Details finden sich in der Pressemitteilung der Berliner Datenschutzbehörde vom 5. November 2019.
Vorbereitung auf die CEF 2025
Unternehmen, die sich auf die CEF 2025 vorbereiten möchten, sollten zunächst eine Selbstbewertung ihrer Löschpraxis durchführen. Dazu gehören:
- die Analyse vorhandener Löschkonzepte,
- die Überprüfung technischer Löschmöglichkeiten in allen Systemen,
- die klare Dokumentation von Aufbewahrungs- und Löschregeln,
- sowie die Schulung von Mitarbeitenden, die mit Betroffenenanfragen umgehen.
Besonders wichtig ist es, die Lücke zwischen Theorie und Praxis zu schließen: Ein schönes Löschkonzept auf dem Papier allein reicht nicht – jetzt ist der Moment, es in der Praxis zu verankern, Verantwortlichkeiten zu klären und technische Umsetzungen regelmäßig zu testen.
Fazit
Die koordinierte Prüfaktion CEF 2025 zum Recht auf Löschung ist ein Meilenstein in der europäischen Datenschutzdurchsetzung. Sie zeigt, dass die Aufsichtsbehörden verstärkt auf eine konkrete, überprüfbare Umsetzung der DSGVO drängen – und das mit zunehmender Systematik und Kooperation. Für Unternehmen bietet sie die Chance, zentrale Datenschutzprozesse zu überprüfen und zu optimieren. Wer gut vorbereitet ist, kann der Prüfung gelassen entgegensehen. Wer noch Nachholbedarf hat, sollte diese Initiative als Weckruf verstehen – und die notwendigen Maßnahmen jetzt in die Wege leiten.
