Umsetzung der Löschpflichten bei beendeten Auftragsverhältnissen gemäß Art. 28 DSGVO

Estimated reading time: 3 Minuten

Ein Praxisleitfaden für Verantwortliche und Auftragsverarbeiter

Die Datenschutz-Grundverordnung (DSGVO) legt Verantwortlichen und Auftragsverarbeitern klare Pflichten auf – insbesondere bei der Beendigung von Auftragsverarbeitungsverhältnissen. Ein oft vernachlässigter, aber zentraler Aspekt ist dabei die ordnungsgemäße Löschung oder Rückgabe personenbezogener Daten gemäß Art. 28 Abs. 3 lit. g DSGVO. In diesem Artikel beleuchten wir die rechtlichen Anforderungen, geben praktische Hinweise zur Umsetzung und zeigen typische Fallstricke auf.

Rechtlicher Rahmen: Art. 28 Abs. 3 lit. g DSGVO

Laut DSGVO muss jeder Vertrag über Auftragsverarbeitung eine Regelung enthalten, die folgendes sicherstellt:

„Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten oder gibt sie dem Verantwortlichen zurück, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.“

Diese Regelung bedeutet: Nach Vertragsende müssen personenbezogene Daten beim Auftragsverarbeiter nicht einfach nur „nicht mehr genutzt“, sondern tatsächlich gelöscht oder zurückgegeben werden. Die Wahl trifft grundsätzlich der Verantwortliche – also das Unternehmen, das den Dienstleister beauftragt hat.

Typische Praxisbeispiele

  • Cloud-Speicher-Dienstleister: Nach Kündigung des Vertrags müssen alle gespeicherten personenbezogenen Daten gelöscht oder dem Auftraggeber übertragen werden. Das umfasst auch Backups.
  • IT-Dienstleister mit Wartungszugriff: Auch temporär gespeicherte Daten aus Supportfällen müssen vollständig entfernt werden.
  • Externe Buchhaltungs- oder Lohnabrechnungsbüros: Nach Vertragsende müssen sämtliche Mitarbeiterdaten und Buchungsunterlagen dem Verantwortlichen zurückgegeben oder sicher gelöscht werden.

Praktische Umsetzungsschritte

1. Vertragliche Klarheit schaffen

Bereits im AV-Vertrag (Vertrag zur Auftragsverarbeitung) sollten klare Vorgaben zur Datenrückgabe oder -löschung enthalten sein:

  • Welche Datenarten sind betroffen?
  • Welche Löschfristen gelten?
  • Gibt es gesetzliche Aufbewahrungspflichten (z. B. nach HGB oder AO)?
  • Welche Nachweispflichten bestehen?

Tipp: Die Option zur Wahl zwischen Löschung und Rückgabe sollte konkretisiert und dokumentiert werden.

2. Dateninventar nutzen

Ein aktuelles Verzeichnis der verarbeiteten Datenarten ist essenziell, um den Umfang der Löschung abschätzen zu können. Verantwortliche sollten dies regelmäßig pflegen – idealerweise in Verbindung mit dem Verzeichnis nach Art. 30 DSGVO.

3. Löschprozess strukturieren

Ein effektiver Löschprozess umfasst:

  • Identifikation aller betroffenen Systeme und Datenträger
  • Berücksichtigung von Daten in Testsystemen und Backups
  • Automatisierte Löschmechanismen, wo möglich
  • Dokumentation jedes Löschvorgangs (z. B. durch Protokolle)

Wichtig: Die Löschung muss „nach dem Stand der Technik“ sicher und nachvollziehbar erfolgen.

4. Löschbestätigung einholen

Der Verantwortliche sollte sich eine schriftliche Bestätigung über die Datenlöschung vom Auftragsverarbeiter ausstellen lassen. Diese sollte Folgendes enthalten:

  • Auflistung der gelöschten Datenarten
  • Datum und Methode der Löschung
  • ggf. Gründe für eine (teilweise) Nichtlöschung (z. B. gesetzliche Aufbewahrungspflicht)

Typische Fallstricke

  • Vergessene Backups: Daten in Sicherungen werden oft übersehen – sie müssen entweder gelöscht oder mit einem Ablaufdatum versehen werden.
  • Fehlende Nachweise: Ohne schriftliche Löschbestätigung besteht ein Reputations- und Haftungsrisiko im Prüfungsfall.
  • Standardverträge ohne echte Wahloption: Viele AV-Verträge enthalten generische Textbausteine ohne operative Relevanz – hier ist Nachbesserung erforderlich.

Fazit

Die Umsetzung der Löschpflichten nach Art. 28 DSGVO ist mehr als eine Formalie – sie ist ein zentraler Bestandteil datenschutzkonformer Zusammenarbeit. Wer als Verantwortlicher oder Auftragsverarbeiter hier saubere Prozesse etabliert, reduziert rechtliche Risiken und zeigt gelebten Datenschutz.

Empfehlung: Prüfen Sie bestehende AV-Verträge regelmäßig und definieren Sie klare Prozesse für die Datenlöschung bei Vertragsbeendigung. Nur so lassen sich die gesetzlichen Anforderungen dauerhaft erfüllen.

Torben Bues

Meine Mission besteht darin, Menschen dabei zu unterstützen, robuste und effektive Sicherheitsmaßnahmen zu implementieren, um sensible Informationen zu schützen. Dabei versuche ich als IT-Deutsch-/ Deutsch-IT-Übersetzer eine Sprache nah bei der Anwender:in zu finden. Das gelingt mir häufig, aber nicht immer. Mit meiner Spezialisierung im Bereich „technischer Datenschutz“ führe ich nicht nur umfassende Audits und Sicherheitsüberprüfungen durch, sondern entwickle auch maßgeschneiderte Lösungen, die den individuellen Bedürfnissen und Anforderungen meiner Kunden gerecht werden. In meiner beruflichen Laufbahn habe ich fundierte Erfahrungen in der Identifizierung und Behebung von Sicherheitslücken gesammelt. Dabei liegt mein Fokus nicht nur auf der Technologie, sondern auch auf den organisatorischen Prozessen, die einen ganzheitlichen Ansatz für Informationssicherheit gewährleisten. Ich bin davon überzeugt, dass die Sicherheit von Unternehmensdaten nicht nur eine technische Angelegenheit ist, sondern eine strategische Priorität, die das gesamte Unternehmen durchdringen sollte. Daher arbeite ich eng mit Führungskräften und Teams zusammen, um ein tiefgreifendes Verständnis für ihre spezifischen Anforderungen zu entwickeln und Lösungen zu implementieren, die nicht nur den rechtlichen Anforderungen entsprechen, sondern auch einen nachhaltigen Schutz vor potenziellen Bedrohungen bieten. In meiner Rolle als Berater ist es meine Verpflichtung, Unternehmen dabei zu unterstützen, ein Sicherheitsniveau zu erreichen, das nicht nur die heutigen, sondern auch zukünftige Herausforderungen berücksichtigt. Durch kontinuierliche Weiterbildung und Anpassung an die sich ständig entwickelnde Bedrohungslandschaft strebe ich danach, meinen Kunden stets die bestmögliche Unterstützung im Bereich der Informationssicherheit zu bieten.