DSFA

Das Warten hat ein Ende
Ailance™ DSFA ist da!
Mehr erfahren

CEF 2025: So läuft die Prüfaktion der Datenschutzaufsicht zum Recht auf Löschung

CEF 2025: Prüfaktion zum Recht auf Löschung.
Kategorien:

Im Jahr 2025 steht das Recht auf Löschung nach Art. 17 DSGVO im Zentrum einer europaweiten Prüfung der Datenschutzaufsichtsbehörden. Im Rahmen des Coordinated Enforcement Framework (CEF) des Europäischen Datenschutzausschusses (EDPB) werden Unternehmen und öffentliche Stellen auf den Prüfstand gestellt. Für Verantwortliche besteht daher dringender Handlungsbedarf, sich strategisch auf mögliche Kontrollmaßnahmen im Rahmen der CEF-Aktion 2025 vorzubereiten.

Was ist das Ziel der CEF-Aktion 2025?

Die CEF-Aktion 2025 verfolgt das Ziel, eine EU-weit einheitliche und effektive Umsetzung des Rechts auf Löschung nach Art. 17 DSGVO zu fördern. Im Mittelpunkt steht die Frage, ob und wie Verantwortliche dieses zentrale Betroffenenrecht in der Praxis umsetzen. Die koordinierte Prüfinitiative dient nicht nur der Kontrolle, sondern auch dem Erfahrungsaustausch zwischen den Aufsichtsbehörden und der Sensibilisierung von Unternehmen und öffentlichen Stellen für datenschutzrechtliche Anforderungen.

Die Auswahl des Themas „Recht auf Löschung“ für das Jahr 2025 ist von besonderer Relevanz, da es zu den am häufigsten geltend gemachten Betroffenenrechten gehört und gleichzeitig eine erhebliche operative Herausforderung für die Verantwortlichen darstellt. Dabei geht es nicht nur um die Beantwortung von Löschanfragen, sondern auch um die strukturelle Verankerung von Löschprozessen in IT-Systemen, Arbeitsabläufen und Compliance-Strukturen. Dabei wird untersucht, inwieweit Verantwortliche

  • Löschanträge korrekt und effizient bearbeiten,
  • Ausnahmen vom Löschanspruch korrekt anwenden,
  • interne Löschkonzepte systematisch umsetzen,
  • und die betroffenen Personen transparent informieren.


Die teilnehmenden Datenschutzaufsichtsbehörden verwenden europaweit standardisierte Fragebögen, um vergleichbare Erkenntnisse zu gewinnen. Diese können durch vertiefende Interviews, Dokumentenanalysen oder Vor-Ort-Prüfungen ergänzt werden. Ziel ist es, im Anschluss an die Prüfungen die Ergebnisse zusammenzuführen, systematische Schwachstellen zu identifizieren und gegebenenfalls Empfehlungen oder Leitlinien für die Verantwortlichen zu entwickeln.

Die gewonnenen Erkenntnisse werden zentral ausgewertet und veröffentlicht.

Recht auf Löschung nach Art. 17 und Art. 19 DSGVO

Das Recht auf Löschung ist in Art. 17 DSGVO verankert und gehört zu den zentralen Rechten betroffener Personen. Es verpflichtet den Verantwortlichen, personenbezogene Daten unter bestimmten Voraussetzungen unverzüglich zu löschen.

  • 17 Abs. 1 DSGVO nennt die materiellen Voraussetzungen für einen Löschanspruch. Dazu gehören insbesondere der Zweckfortfall (die Daten sind für die ursprünglichen Zwecke nicht mehr erforderlich), der Widerruf einer Einwilligung, der Widerspruch gegen die Verarbeitung gemäß Art. 21 DSGVO, eine unrechtmäßige Verarbeitung oder gesetzliche Löschpflichten.
  • 17 Abs. 3 DSGVO regelt Ausnahmen vom Löschanspruch. Dazu zählen u. a. gesetzliche Aufbewahrungspflichten, überwiegende öffentliche Interessen, Archivierungszwecke im öffentlichen Interesse sowie die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. In der Praxis müssen diese Ausnahmen sorgfältig geprüft und dokumentiert werden, um einer Aufsichtsprüfung standzuhalten.
  • 19 DSGVO verpflichtet Verantwortliche darüber hinaus, alle Empfänger, denen personenbezogene Daten offengelegt wurden, über die erfolgte Löschung zu informieren, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Diese Informationspflicht trägt dazu bei, die Reichweite des Löschanspruchs auch bei Datenweitergaben sicherzustellen.


Ein oft unterschätzter Aspekt ist der enge Zusammenhang mit dem Widerspruchsrecht nach Art. 21 DSGVO, insbesondere im Zusammenhang mit Direktwerbung. Ein zulässiger Widerspruch führt häufig unmittelbar zu einem Löschanspruch, sodass beide Rechte in der praktischen Umsetzung gemeinsam gedacht und umgesetzt werden müssen.

Relevanz der CEF-Aktion 2025 für Unternehmen und Behörden

Die CEF-Aktion 2025 stellt Unternehmen und öffentliche Stellen vor Herausforderungen, insbesondere wenn sie regelmäßig personenbezogene Daten verarbeiten. Betroffen sind nahezu alle Branchen – vom Gesundheitswesen über Finanz- und Versicherungsdienstleister bis hin zu E-Commerce-Anbietern und Behörden. Auch Anwaltskanzleien haben bereits Fragebögen erhalten.

Ein Risikofaktor ist die fehlende oder unzureichende Implementierung systematischer Löschprozesse. Viele Organisationen verfügen zwar über Richtlinien, die das Recht auf Löschung erwähnen, scheitern aber an der praktischen Umsetzung. Häufig sind die Systeme nicht in der Lage, Daten vollständig zu löschen, oder es gibt keine klaren Zuständigkeiten für die Bearbeitung von Löschanfragen. Hinzu kommt, dass Ausnahmetatbestände nach Art. 17 Abs. 3 DSGVO wie gesetzliche Aufbewahrungsfristen oder berechtigte Interessen nicht sauber dokumentiert oder zu pauschal angewendet werden.

Darüber hinaus stehen Organisationen zunehmend in der Pflicht, gegenüber Betroffenen und Aufsichtsbehörden nachzuweisen, dass Löschanfragen fristgerecht, nachvollziehbar und datenschutzkonform bearbeitet wurden. Die Behörden fragen im Rahmen der CEF-Aktion 2025 gezielt nach diesen Nachweisen. Dies betrifft sowohl interne Prozesse als auch die Zusammenarbeit mit externen Dienstleistern und Auftragsverarbeitern.

Lese-Tipp: Integrated Risk Management in der Praxis – Datenschutz, Compliance und Sicherheit verbinden

Sieben strategische Empfehlungen zur Vorbereitung

  1. Löschfähigkeit prüfen: Verantwortliche sollten eine systematische Bestandsaufnahme aller Datenverarbeitungssysteme durchführen. Es muss klar dokumentiert werden, wo Daten gespeichert sind und ob sie vollständig gelöscht werden können – auch im Kontext von Backups oder Cloud-Diensten.
  2. Löschkonzept und Fristen definieren: Ein internes Löschkonzept sollte klar regeln, welche personenbezogenen Daten wann zu löschen sind. Dabei sind gesetzliche Aufbewahrungspflichten (z.B. HGB, AO, SGB) ebenso zu berücksichtigen wie branchenspezifische Anforderungen.
  3. Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren: Das VVT muss Angaben zu Aufbewahrungs- und Löschfristen, Verarbeitungszwecken und Zuständigkeiten enthalten. Es dient im Rahmen der CEF-Prüfung als zentrales Nachweisdokument.
  4. Transparenz gegenüber Betroffenen sicherstellen: Datenschutzerklärungen sollten das Recht auf Löschung verständlich darstellen. Gleichzeitig ist ein strukturierter Prozess für die Bearbeitung von Anfragen zu etablieren – inklusive standardisierter Antwortvorlagen, auch für Ablehnungen in Ausnahmefällen.
  5. Schulungen und Zuständigkeiten klären: Mitarbeitende in datenschutzrelevanten Funktionen – insbesondere in IT, HR und Kundenservice – sollten regelmäßig geschult werden. Zuständigkeiten und Eskalationspfade bei Löschanfragen sollten intern klar geregelt sein.
  6. Verträge mit Auftragsverarbeitern prüfen: Auftragsverarbeitungsverträge müssen klare Regelungen zur Datenlöschung, insbesondere nach Vertragsende, enthalten. Darüber hinaus ist sicherzustellen, dass Auftragsverarbeiter selbst zur vollständigen Löschung verpflichtet sind und dies auch dokumentieren können.
  7. Vorbereitung auf Behördenanfragen: Frühzeitige interne Abstimmungen mit Datenschutzbeauftragten und Compliance-Verantwortlichen sind empfehlenswert. Es sollte eine zentrale Anlaufstelle für Datenschutzanfragen definiert werden, die im Falle einer CEF-Prüfung schnell reagieren kann.

Typische Fragen zur CEF-Aktion 2025 und Self-Check

Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat den Fragebogen zur europaweiten Aktion zum Recht auf Löschung online gestellt. Typische Fragen sind zum Beispiel:

  • „Wie beurteilt Ihre Organisation, dass personenbezogene Daten (die Gegenstand eines Löschantrags sind), für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind (Art. 17 Abs. 1 Buchstabe a DSGVO)?“
  • „Wie geht Ihre Organisation vor, wenn die betroffene Person ihre Einwilligung widerruft (Art. 17 Abs. 1 Buchstabe b DSGVO)?“
  • „Wie geht Ihre Organisation vor, wenn die betroffene Person der Verarbeitung widerspricht (Art. 17 Abs. 1 Buchstabe c DSGVO)?“
  • „Hat sich Ihre Organisation im Falle eines Löschungsantrags auf der Grundlage von Art. 17 Abs. 1 Buchstabe c DSGVO jemals geweigert, Daten auf der Grundlage ihrer „vorrangigen berechtigten Gründe für die Verarbeitung“ zu löschen? Wie verstehen Sie den Begriff der „vorrangigen berechtigten Gründe“ und wie werden diese Gründe mit den Interessen, Rechten und Freiheiten der betroffenen Personen in Einklang gebracht? Bitte beschreiben Sie detailliert die bei Ihnen aufgetretenen Fälle einschließlich der jeweils vorgenommenen Abwägungen.“

Link-Tipp: Online-Self-Check zu Artikel 17 DSGVO des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg

Unternehmen können sich also gezielt auf die Prüfaktion vorbereiten.

Wenn Sie Unterstützung bei der Implementierung eines Löschkonzepts benötigen oder mögliche Schwachstellen identifizieren und gezielt  beheben möchte, dann kontaktieren Sie uns. Unsere Datenschutz-Experten helfen weiter.
☎️ +49 (228) 926165-100
📧  info@2b-advice.com

Kontakt aufnehmen
Tags:
, , ,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge

de_DEGerman
en_USEnglish it_ITItalian fr_FRFrench de_DEGerman