Art. 17 DSGVO — Das Recht auf Löschung (Recht auf Vergessenwerden)
Veröffentlicht: 16. März 2026
Inhaltsverzeichnis
Was regelt Art. 17 DSGVO?
Art. 17 DSGVO gewährt betroffenen Personen das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen. Dieses Recht wird auch als “Recht auf Vergessenwerden” bezeichnet und ist eines der zentralen Betroffenenrechte der DSGVO.
Für Website-Betreiber bedeutet das: Wenn ein Nutzer, Kunde oder Newsletter-Abonnent die Löschung seiner Daten verlangt, muss geprüft werden, ob und in welchem Umfang eine Löschpflicht besteht.
Wann besteht ein Recht auf Löschung?
Art. 17 Abs. 1 DSGVO listet sechs Gründe auf, bei denen eine Löschpflicht besteht:
1. Zweckfortfall (lit. a)
Die Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich. Beispiel: Ein Bewerber wird nicht eingestellt — die Bewerbungsunterlagen müssen nach Abschluss des Verfahrens gelöscht werden (sofern keine Aufbewahrungsfrist greift).
2. Widerruf der Einwilligung (lit. b)
Die betroffene Person widerruft ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und es fehlt eine anderweitige Rechtsgrundlage. Typisches Beispiel: Newsletter-Abmeldung — nach dem Widerruf muss die E-Mail-Adresse gelöscht werden.
3. Widerspruch (lit. c)
Die betroffene Person legt Widerspruch nach Art. 21 DSGVO ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor. Bei Direktwerbung gilt der Widerspruch immer — ohne Abwägung.
4. Unrechtmäßige Verarbeitung (lit. d)
Die Daten wurden ohne gültige Rechtsgrundlage verarbeitet. Beispiel: Daten wurden ohne Einwilligung für Marketing-Zwecke genutzt.
5. Rechtliche Verpflichtung (lit. e)
Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich — etwa aufgrund eines Gerichtsurteils.
6. Daten von Kindern (lit. f)
Bei Diensten der Informationsgesellschaft, die Kindern angeboten werden, besteht ein besonderes Löschrecht. Die Einwilligung konnte zum Zeitpunkt der Erhebung möglicherweise nicht wirksam erteilt werden.
Das “Recht auf Vergessenwerden” — Art. 17 Abs. 2
Informationspflicht gegenüber Dritten
Art. 17 Abs. 2 erweitert das Löschrecht um eine Informationspflicht: Hat der Verantwortliche die Daten öffentlich gemacht, muss er andere Verantwortliche, die diese Daten verarbeiten, über den Löschantrag informieren. Das betrifft auch Links, Kopien und Replikationen.
EuGH-Urteil Google Spain (C-131/12)
Das Konzept des “Rechts auf Vergessenwerden” wurde durch das EuGH-Urteil vom 13. Mai 2014 (Google Spain, Az. C-131/12) geprägt. Der Gerichtshof entschied, dass Suchmaschinenbetreiber verpflichtet sein können, Links zu Webseiten mit personenbezogenen Daten aus den Suchergebnissen zu entfernen — selbst wenn die Informationen auf der verlinkten Seite rechtmäßig veröffentlicht wurden.
Dieses Urteil bildet die Grundlage für Löschanträge bei Google und anderen Suchmaschinen. Auch beim Thema Google-Rezensionen löschen spielt Art. 17 DSGVO eine Rolle.
Ausnahmen vom Recht auf Löschung
Art. 17 Abs. 3 DSGVO nennt wichtige Ausnahmen, bei denen die Löschung verweigert werden darf:
| Ausnahme | Beispiel |
|---|---|
| Meinungs- und Informationsfreiheit (lit. a) | Journalistische Berichterstattung, öffentliche Debatte |
| Gesetzliche Aufbewahrungspflichten (lit. b) | Steuerrechtliche Aufbewahrung: Rechnungen 10 Jahre (§ 147 AO), Handelsbriefe 6 Jahre (§ 257 HGB) |
| Öffentliches Interesse — Gesundheit (lit. c) | Epidemiologische Daten, Pandemie-Dokumentation |
| Archiv, Forschung, Statistik (lit. d) | Wissenschaftliche Forschung, wenn Löschung die Forschung unmöglich machen würde |
| Geltendmachung von Rechtsansprüchen (lit. e) | Laufendes Gerichtsverfahren, offene Forderungen |
Praktische Bedeutung der Aufbewahrungspflichten
Für Website-Betreiber mit Online-Shop besonders relevant: Rechnungsdaten müssen gemäß Steuerrecht aufbewahrt werden, auch wenn der Kunde die Löschung verlangt. In diesem Fall empfiehlt es sich, die Daten zu sperren (keine aktive Nutzung), aber nicht zu löschen — bis die Aufbewahrungsfrist abgelaufen ist.
Umsetzung für Website-Betreiber
Löschprozess einrichten
Empfehlenswert ist ein dokumentierter Prozess für Löschanfragen:
- Eingang: Löschantrag per E-Mail oder Kontaktformular
- Identitätsprüfung: Sicherstellen, dass der Antragsteller die betroffene Person ist
- Prüfung: Welche Daten liegen vor? Greift ein Löschgrund? Gibt es Ausnahmen?
- Umsetzung: Daten löschen oder sperren (bei Aufbewahrungspflichten)
- Dritte informieren: Wenn Daten an Dienstleister übermittelt wurden (z. B. Newsletter-Tool)
- Bestätigung: Antragsteller innerhalb eines Monats über das Ergebnis informieren
- Dokumentation: Löschung oder Verweigerung (mit Begründung) protokollieren
Wo werden personenbezogene Daten auf Websites gespeichert?
| System | Typische Daten | Löschung |
|---|---|---|
| Newsletter-Tool (Brevo, Mailchimp) | E-Mail, Name, Interessen | Kontakt löschen oder Abmeldung |
| CRM (HubSpot, Pipedrive) | Kontaktdaten, Interaktionen | Kontakt löschen |
| Server-Logs | IP-Adresse, Zeitstempel | Automatische Rotation (z. B. 7 Tage) |
| Datenbank (CMS, Shop) | Benutzerkonten, Bestellungen | Konto löschen, Bestelldaten ggf. sperren |
| Kontaktformular-Archiv | Name, E-Mail, Nachricht | Manuell löschen |
| Analyse-Tool | Nutzungsdaten | Bei cookielosen Tools: oft anonymisiert |
| Backup | Alle Daten | Altes Backup löschen oder Hinweis, dass Daten im nächsten Backup-Zyklus entfernt werden |
Speicherdauer definieren
Empfehlenswert ist, für jede Datenart eine Speicherdauer festzulegen und in der Datenschutzerklärung zu dokumentieren:
- Newsletter-Daten: Bis zum Widerruf der Einwilligung
- Kontaktformular-Daten: 6 Monate nach Abschluss der Anfrage
- Bestelldaten: 10 Jahre (steuerrechtliche Aufbewahrung)
- Server-Logs: 7-30 Tage
- Bewerberdaten: 6 Monate nach Ende des Verfahrens
Bußgelder bei Verstößen
Verstöße gegen die Betroffenenrechte — einschließlich Art. 17 — können gemäß Art. 83 Abs. 5 lit. b DSGVO mit Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. In der Praxis berücksichtigen die Aufsichtsbehörden Faktoren wie Unternehmensgröße, Art des Verstoßes und Kooperationsbereitschaft.
Checkliste: Art. 17 DSGVO umsetzen
- Löschprozess dokumentiert und Verantwortlichkeiten geklärt
- Kontaktkanal für Löschanfragen eingerichtet (E-Mail, Formular)
- Speicherdauern für alle Datenarten definiert
- Aufbewahrungspflichten (Steuerrecht, Handelsrecht) berücksichtigt
- Automatische Löschung / Rotation für Server-Logs eingerichtet
- Dienstleister informieren bei Löschung (Newsletter-Tool, CRM, Hosting)
- Datenschutzerklärung: Speicherdauern und Löschrechte beschrieben
- Frist einhalten: Antwort innerhalb eines Monats
- Löschanfragen und deren Ergebnis dokumentieren
Häufige Fragen
Wann muss ich Daten löschen?
Gemäß Art. 17 Abs. 1 DSGVO besteht eine Löschpflicht unter anderem, wenn: die Daten nicht mehr erforderlich sind, die Einwilligung widerrufen wurde, die Verarbeitung unrechtmäßig war oder Widerspruch eingelegt wurde. Zusätzlich sollten Verantwortliche proaktiv Daten löschen, deren Speicherdauer abgelaufen ist — auch ohne Antrag. Ein Löschkonzept hilft, den Überblick zu behalten.
Wie schnell muss ich auf einen Löschantrag reagieren?
Gemäß Art. 12 Abs. 3 DSGVO ist eine Antwort innerhalb eines Monats erforderlich. Bei komplexen Fällen kann die Frist um zwei Monate verlängert werden — der Antragsteller muss darüber innerhalb des ersten Monats informiert werden. Empfehlenswert ist, den Prozess so zu gestalten, dass Standardfälle (Newsletter-Abmeldung, Konto-Löschung) deutlich schneller bearbeitet werden.
Gibt es Ausnahmen vom Recht auf Löschung?
Ja. Art. 17 Abs. 3 DSGVO nennt: Meinungs- und Informationsfreiheit, gesetzliche Aufbewahrungspflichten (Steuerrecht: 6-10 Jahre), öffentliches Interesse, Forschung und Statistik sowie die Geltendmachung von Rechtsansprüchen. Bei steuerrechtlichen Aufbewahrungspflichten empfehlen wir, die Daten zu sperren statt zu löschen — aktive Nutzung einstellen, aber Daten aufbewahren bis die Frist abgelaufen ist.
Was ist das Recht auf Vergessenwerden?
Art. 17 Abs. 2 DSGVO verpflichtet den Verantwortlichen, andere Stellen über den Löschantrag zu informieren, wenn die Daten öffentlich gemacht wurden. Das Konzept geht auf das EuGH-Urteil zu Google Spain (C-131/12) zurück, das Suchmaschinen zur Entfernung bestimmter Suchergebnisse verpflichtete. Für Website-Betreiber bedeutet das: Bei Löschung auch Dienstleister und Auftragsverarbeiter informieren. Zum Thema Google-Bewertungen löschen kann Art. 17 ebenfalls relevant sein.
Häufige Fragen
Wann muss ich Daten löschen?
Wie schnell muss ich auf einen Löschantrag reagieren?
Gibt es Ausnahmen vom Recht auf Löschung?
Was ist das Recht auf Vergessenwerden?
IT-Berater für Website-Compliance
Über 14 Jahre Erfahrung in IT und Webentwicklung. Entwickler von Web-Prüfer — dem Compliance-Scanner für deutsche Websites.