Recht auf Löschung

Das Recht auf Löschung, oft als „Recht auf Vergessenwerden“ bezeichnet, ist in Artikel 17 der Datenschutz-Grundverordnung (DSGVO) verankert. Es gibt betroffenen Personen das Recht, von Verantwortlichen die unverzügliche Löschung ihrer personenbezogenen Daten zu verlangen. Dies greift insbesondere dann, wenn der ursprüngliche Zweck der Datenverarbeitung entfallen ist, eine Einwilligung widerrufen wurde oder die Daten unrechtmäßig verarbeitet wurden. Wichtig für die technische Umsetzung ist, dass die Löschung nicht nur in der primären Datenbank erfolgen muss, sondern systemübergreifend alle Kopien, Backups und Verlinkungen umfasst, sofern keine gesetzlichen Ausnahmen bestehen.

Für deutsche Unternehmen bedeutet diese Vorgabe eine erhebliche organisatorische und technische Herausforderung. Da die DSGVO empfindliche Bußgelder vorsieht, ist ein funktionierendes Löschkonzept heute eine Compliance-Pflicht und kein optionales Feature mehr. In der Praxis scheitern viele Betriebe an der Identifikation aller Speicherorte, besonders in gewachsenen IT-Landschaften oder bei der Nutzung zahlreicher externer SaaS-Lösungen. Ein strukturiertes Vorgehen schützt jedoch nicht nur vor rechtlichen Konsequenzen, sondern reduziert auch den digitalen Ballast, was wiederum die Effizienz von Analytics-Tools steigert und die Kosten für Speicherplatz sowie Backup-Infrastrukturen langfristig senkt.

Ein typischer Anwendungsfall ist die Beendigung einer Kundenbeziehung. Fordert der Ex-Kunde die Löschung seiner Daten, muss das IT-Team sicherstellen, dass Marketing-Profile, E-Mail-Verläufe und Tracking-Daten in Web-Tools vollständig entfernt werden. Gleichzeitig kollidiert dieser Anspruch oft mit den deutschen Aufbewahrungspflichten nach dem Handelsgesetzbuch oder der Abgabenordnung. Hier müssen Systeme so konfiguriert sein, dass sie Daten für den operativen Zugriff sperren, aber für die gesetzliche Frist von zehn Jahren revisionssicher archivieren. Eine bloße Deaktivierung des Nutzerkontos reicht rechtlich nicht aus, wenn die Daten weiterhin für Analysezwecke im Hintergrund verfügbar bleiben.

Mit dem Aufkommen generativer KI verschärft sich die Problematik weiter. Wenn personenbezogene Daten in Trainingsdatensätze von Large Language Models eingeflossen sind, ist eine punktuelle Löschung technisch kaum möglich, ohne das Modell komplett neu zu trainieren. IT-Entscheider müssen daher bereits beim Design von KI-Infrastrukturen darauf achten, dass sensible Daten entweder vorab gefiltert werden oder Verfahren wie Machine Unlearning berücksichtigt werden. Die Entwicklung zeigt, dass das Recht auf Löschung zunehmend zum Gatekeeper für den Einsatz moderner KI-Tools im Mittelstand wird, da die Nachweisbarkeit der Datenbereinigung zum zentralen Prüfkriterium für Auditoren wird.