Auskunfts- und Löschbegehren nach der DSGVO gehören mittlerweile zum Alltag vieler Unternehmen – und sorgen dennoch regelmäßig für Unsicherheit. Betroffene Personen haben das Recht zu erfahren, welche Daten über sie gespeichert werden, zu welchen Zwecken diese verarbeitet werden und an wen sie weitergegeben wurden. Gleichzeitig können sie verlangen, dass unzulässige oder nicht mehr benötigte Daten gelöscht werden. Diese Rechte sind ein Kernelement der DSGVO, denn sie geben Betroffenen Kontrolle über ihre personenbezogenen Informationen und machen Datenverarbeitung transparent und überprüfbar.
Der Inhalt im Überblick
Grundlage für alle Betroffenenrechte
Für Verantwortliche in Unternehmen und Organisationen stellen Auskunfts- und Löschbegehren dagegen häufig eine organisatorische und rechtliche Herausforderung dar: Fristen müssen eingehalten, Identitäten geprüft, Systeme durchsucht, Abwägungen getroffen und Antworten verständlich formuliert werden. Hinzu kommen besondere Konstellationen – etwa dann, wenn Daten aus rechtlichen Gründen nicht gelöscht werden dürfen oder wenn Informationen auch andere Personen betreffen und daher nicht offengelegt werden können. Fehler in diesem Prozess sind nicht nur ein Risiko für das Vertrauen der Betroffenen, sondern können auch zu Beschwerden bei Aufsichtsbehörden und empfindlichen Bußgeldern führen.
Löschbegehren nach Art. 17 DSGVO stellen Unternehmen immer wieder vor praktische und rechtliche Schwierigkeiten. Mit dem sogenannten „Recht auf Vergessenwerden“ können Betroffene Löschung verlangen, wenn sie der Ansicht sind, dass ihre Daten nicht mehr benötigt werden, unrechtmäßig verarbeitet wurden oder eine einmal erteilte Einwilligung widerrufen wurde. Auf den ersten Blick klingt das einfach: Daten sollen gelöscht werden. In der Praxis steckt der Teufel jedoch im Detail. Verantwortliche müssen prüfen, ob tatsächlich ein Löschanspruch besteht oder ob gesetzliche Aufbewahrungsfristen, Beweisinteressen oder andere Rechtsgrundlagen einer Löschung entgegenstehen. Hinzu kommen technische Fragen: Wo liegen die Daten überall? Was ist mit Backups, Logs und Archivsystemen?
Löschbegehren oder Auskunftsverlangen?
Einen Fall hierzu hatte kürzlich das Verwaltungsgericht Düsseldorf zu entscheiden (Urteil vom 21.01.2026, Az. 29 K 7470/24). Die Entscheidung des VG befasste sich mit einer datenschutzrechtlichen Verwarnung, die eine Aufsichtsbehörde gegen eine Agentur für E-Mail- und Online-Marketing ausgesprochen hat. Ausgangspunkt war eine Beschwerde eines Betroffenen, der im August 2022 eine Werbe-E-Mail von der Klägerin erhielt. Daraufhin forderte er gemäß Art. 15 DSGVO Auskunft darüber, wie seine Daten verarbeitet wurden und wie die Agentur an seine E-Mail-Adresse gelangt war. Nachdem die Klägerin zunächst nicht reagierte, erinnerte der Betroffene sie an sein Auskunftsersuchen. Schließlich erhielt er Ende September 2022 ein 15-seitiges Dokument, das als Datenschutzauskunft bezeichnet wurde. Gleichzeitig bestätigte die Klägerin, die Daten des Betroffenen gelöscht zu haben und versicherte, sie nicht an Dritte weitergegeben zu haben.
Der Betroffene bemängelte, dass seine Fragen nicht beantwortet wurden und er nie eine Löschung verlangt habe. Die Aufsichtsbehörde forderte die Klägerin zur Stellungnahme auf. Diese argumentierte, sie habe sowohl Auskunft erteilt als auch die Daten gelöscht und könne daher keine weiteren Auskünfte mehr geben.
Nach Anhörung der Klägerin erließ die Aufsichtsbehörde im August 2024 eine Verwarnung wegen rechtswidriger Verarbeitung personenbezogener Daten. Die Begründung: Die Klägerin habe die Daten ohne Rechtsgrundlage gelöscht und damit das Auskunftsrecht des Betroffenen beschnitten.
Wie ist der Auskunftsanspruch zu erfüllen?
Das Gericht hebt die zentrale Bedeutung des Auskunftsrechts nach Art. 15 DSGVO hervor. Dieses Recht ist ein wesentliches Instrument für Betroffene, um Transparenz über die Verarbeitung ihrer personenbezogenen Daten zu erhalten und die Rechtmäßigkeit der Verarbeitung zu überprüfen. Die Klägerin hätte die Daten des Betroffenen nicht löschen dürfen, bevor sie den Auskunftsanspruch vollständig und korrekt erfüllt hatte. Die Übersendung eines umfangreichen Dokuments genügte nicht, da die konkreten Fragen des Betroffenen unbeantwortet blieben.
Das Gericht stellt klar, dass der Zweck der Datenverarbeitung nicht bereits mit der (behaupteten) Auskunftserteilung entfällt. Erst wenn die Auskunft vollständig und fristgerecht erteilt wurde, kann eine Löschung zulässig sein. Andernfalls würde das Auskunftsrecht leerlaufen, da der Verantwortliche durch Löschung die Nachvollziehbarkeit der Datenverarbeitung verhindert. Das Gericht betont, dass die Auskunftspflicht Vorrang vor einer Löschung hat, solange die Daten zur Erfüllung des Auskunftsanspruchs benötigt werden.
Zulässigkeit der Datenlöschung
Die Löschung personenbezogener Daten ist nach Art. 17 DSGVO nur unter bestimmten Voraussetzungen zulässig, etwa wenn die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind oder eine Einwilligung widerrufen wurde. Im vorliegenden Fall lag jedoch kein Löschverlangen des Betroffenen vor. Auch aus dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) ergibt sich keine Pflicht zur sofortigen Löschung, solange die Daten zur Erfüllung des Auskunftsanspruchs benötigt werden.
Das Gericht weist darauf hin, dass die Klägerin auch nicht aufgrund angeblich unrichtiger Daten zur Löschung verpflichtet war. Der Grundsatz der Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO) verlangt, Daten aktuell und korrekt zu halten, nicht aber, sie ohne Rechtsgrundlage zu löschen – insbesondere nicht, wenn sie für die Auskunftserteilung noch benötigt werden. Die Klägerin hätte die Daten also so lange vorhalten müssen, bis der Auskunftsanspruch des Betroffenen vollständig erfüllt war und die Rechtmäßigkeit der Verarbeitung nachgewiesen werden konnte.
Das Urteil macht deutlich, dass Verantwortliche bei einem Auskunftsersuchen nicht vorschnell Daten löschen dürfen. Vielmehr müssen sie sicherstellen, dass alle Betroffenenrechte gewahrt werden und die Auskunftspflicht vollständig erfüllt ist. Erst danach kann eine Löschung in Betracht gezogen werden, sofern die gesetzlichen Voraussetzungen vorliegen.
Befugnisse der Aufsichtsbehörde
Die Aufsichtsbehörde ist nach Art. 58 Abs. 2 lit. b DSGVO berechtigt, bei Verstößen gegen die Verordnung Verwarnungen auszusprechen. Das Gericht bestätigt, dass die Behörde ihr Ermessen fehlerfrei ausgeübt hat. Sie habe den Sachverhalt umfassend aufgeklärt und die maßgeblichen Gesichtspunkte – insbesondere die Vereitelung des Auskunftsrechts durch die Löschung – angemessen gewürdigt.
Das Gericht betont, dass in vergleichbaren Fällen sogar die Verhängung eines Bußgeldes nach Art. 58 Abs. 2 lit. i DSGVO in Betracht kommen kann, da durch die Löschung nicht nur die Kontrolle der Auskunft, sondern auch die Überprüfung der Rechtmäßigkeit der Datenverarbeitung verhindert wird. Die Entscheidung, die Klägerin zu verwarnen, sei daher nicht zu beanstanden. Die Aufsichtsbehörde habe insbesondere berücksichtigt, dass das Verhalten der Klägerin einem Muster zu entsprechen scheint, da weitere Beschwerden gegen sie vorliegen.
Ein Urteil mit Signalwirkung
Das Urteil hat Signalwirkung für Unternehmen, die personenbezogene Daten im Rahmen von Marketingmaßnahmen verarbeiten. Das Gericht hat deutlich gemacht, dass Verantwortliche personenbezogene Daten nicht vorschnell löschen dürfen, wenn ein Auskunftsersuchen nach Art. 15 DSGVO vorliegt. Die Auskunftspflicht hat Vorrang vor einer Löschung, solange die Daten zur Erfüllung des Auskunftsanspruchs benötigt werden. Die Aufsichtsbehörde ist berechtigt, bei Verstößen Verwarnungen auszusprechen und im Einzelfall auch Bußgelder zu verhängen. Verantwortliche sollten daher bei Auskunfts- und Löschanfragen sorgfältig prüfen, welche Pflichten jeweils vorrangig sind, um Betroffenenrechte nicht zu beschneiden und Sanktionen zu vermeiden.
Folgendes Beispiel:
1.) Eine Firma bekommt eine (allgemein gehaltene) Betroffenenanfrage zum 01.03.
2.) Die Anfrage geht an alle relevanten Abteilungen zur Untersuchung, ob pbD vorliegen.
3.) Eine Abteilung hätte noch am 04.03. Daten gehabt; die Untersuchung erfolgte aber erst ein paar Tage später, sodass schon automatisiert gelöscht wurde.
Wie ist das zu bewerten?
Gemäß dem Urteil und Ihrem Bericht gibt es ja einerseits eine Pflicht, nicht zu löschen – aber doch wohl erst, wenn konkrete Anhaltspunkte in irgendeine Richtung überhaupt vorliegen. (Ein vorläufiger sicherheitshalber Stopp jeglicher Löschungen bei einer Betroffenanfrage wäre vermutlich unverhältnismäßig und rechtwidrig.)
Ist das jetzt dahingehend auszulegen, dass man natürlich unverzüglich recherchieren muss – und wenn der Zeitrahmen trotz entsprechender Dringlichkeit nicht ausreicht, etwas RECHTZEITIG zu finden, bevor es gelöscht wurde -, dass diese Löschung der Firma dann auch nicht mehr angelastet werden kann?
In Ihrem Beispiel wäre die Löschung der Daten am 04.03. vermutlich nicht rechtswidrig, da die Löschung turnusmäßig erfolgt wäre und nicht in der Absicht, etwas zu verschleiern. Dies wäre dann ein entscheidender Unterschied im Vergleich zum Fall, den das VG Düsseldorf hier entschieden hat. Aus dem Urteil wird deutlich, dass das VG der potentiellen Missbrauchsgefahr einen Riegel vorschieben wollte.