Personenbezogene Daten müssen irgendwann gelöscht werden. Art. 17 Abs. 1 DSGVO sieht sowohl ein Recht auf Löschung als auch eine Pflicht vor, Daten zu löschen, wenn keine Ausnahmesituation nach Art. 17 Abs. 3 DSGVO vorliegt – etwa, weil die Daten noch zur Erfüllung einer rechtlichen Verpflichtung gespeichert werden müssen. Der EuGH hat zu dem korrespondieren Datenschutzgrundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO festgestellt, dass „dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Lauf der Zeit gegen die DSGVO verstoßen kann, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr erforderlich sind, und dass diese Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind“ (Rs. C‑446/21, Rz. 56).
In der Praxis stellt das Thema „Löschen von Daten“ Verantwortliche und Auftragsverarbeiter oft vor faktische Probleme. „Wir können gar nicht löschen“, ist zu hören. „Unsere Software sieht eine Löschung nicht vor“.
Genau solch einen Fall hatte kürzlich das Sozialgericht Dresden zu entscheiden (Urt. v. 22.10.2025 – S 15 SF 304/24 DS). Das Pikante an dem Verfahren: in Rede stand dort das Stammdatenerfassungs- und -pflegesystem (STEP) der Bundesagentur für Arbeit (BA).
Sachverhalt
Die Klägerin des Verfahrens betreute verschiedene Personen ausländischer Herkunft bei der Beantragung von Leistungen bei dem beklagten Jobcenter. So erbat sie z.B. unter Vorlage einer Schweigepflichtentbindungserklärung von dem Beklagten Informationen zu einer Klientin. Der Beklagte führt seine Verwaltungsakten elektronisch und nutzt dazu verpflichtend das Stammdatenerfassungs- und -pflegesystem (STEP) der Bundesagentur für Arbeit (BA). Darin war die Klägerin aufgrund früherer eigener Antragsvorgänge mit ihrer Privatadresse gespeichert.
Nach einem Datenschutzvorfall beantragte die Klägerin die Löschung ihrer Privatadresse und persönlichen Daten aus der Verwaltungsakte der Klienten.
Der Beklagte argumentierte, dass Dokumente/Schriftstücke/Vorblätter, die die private Anschrift der Klägerin enthielten, in der elektronischen Akte der Klienten „ausgeblendet“ seien. Damit werde dem Löschanspruch nach Art. 17 DSGVO nachgekommen. Der Beklagte weigere sich nicht, das Löschen vorzunehmen, es sei einfach technisch nicht möglich. Um den datenschutzrechtlichen Bestimmungen trotz der rechtlichen Vorgaben nachkommen zu können, gebe es in der elektronischen Akte die Funktion des Ausblendens von Dokumenten. Dieses Verfahren werde im Vier-Augen-Prinzip durchgeführt. Ein Einblenden der Dokumente ist zwar grundsätzlich wieder möglich, benötige aber ebenso wieder zwei Personen. Eine Löschung von einmal zu den Akten verfügten Dokumenten sei aufgrund kassenrechtlicher Vorgaben des Bundesministeriums für Finanzen untersagt und das Löschen technisch nicht mehr möglich.
Entscheidung
Das Gericht geht in seiner Entscheidung davon aus, dass die personenbezogenen Daten der Klägerin (jedoch nur die private Adresse) gelöscht werden müssen und bisher nicht entsprechend der DSGVO gelöscht wurden. Bezüglich der privaten Adresse sei eine unrechtmäßige Verarbeitung von Daten erfolgt.
Zum Begriff des „Löschens“ stellt das Gericht zunächst fest, dass
„ein Ausblenden der Daten mit der technischen Möglichkeit des Wiedereinblendens jedoch kein Löschen i.S. von Art. 17 DSGVO“ darstelle.
Die DSGVO selbst enthalte keine Definition des Begriffs „Löschen“. Der Vorgang des „Löschens“ werde in Art. 4 Nr. 2 DSGVO neben der „Vernichtung“ als eine Form der Verarbeitung genannt.
Unter „Vernichtung“ versteht das Gericht die körperliche Zerstörung des Datenträgers und eine endgültige Löschung der personenbezogenen Daten.
„Löschen ist – ohne zwingende körperliche Zerstörung – der Entzug des Personenbezuges in den Daten mit dem Ziel der (faktischen) Unmöglichkeit, die zuvor in den zu löschenden Daten verkörperte Information wahrzunehmen, so dass die personenbezogenen Daten nicht mehr Gegenstand der (produktiven) Datenverarbeitung sind und dies irreversibel sicherzustellen ist„.
Das Gericht geht davon aus, dass „Löschen“ verschiedene Formen haben kann, wie z.B. die vollständige Zerstörung des Datenträgers oder die Löschung von Verknüpfungen oder Codierungen, die zur Wahrnehmung der Information erforderlich sind, wie etwa das Löschen eines Eintrags in einer Pseudonymliste oder andere Formen des dauerhaften Nichtzugriffs wie z.B. das Schwärzen.
Was jedoch nicht genügt
„… sind dagegen Beschränkungen der Verarbeitung i.S. von Art. 18 DSGVO, weil ein dauerhafter Zugriffsausschluss darin nicht enthalten ist„.
Das Ausblenden mit dem vom Beklagten genutzten Programm führe hier gerade nicht zu einem endgültigen Zugriffsausschluss. Vielmehr ist es nach den derzeitigen technischen Begebenheiten nur nicht mehr möglich, die Daten zu sehen. Allerdings bestehe technisch auch nach Ausblendung der Daten die Möglichkeit, dass zwei Führungskräfte oder deren Stellvertreter die ausgeblendeten Daten wieder sichtbar machen können.
„Die Möglichkeit des Wiedereinblendens widerspricht dem Löschungsprinzip der DSGVO.“
Das Jobcenter hatte vorgebracht, dass es die Daten ja eigentlich löschen wollen würde und sich nicht weigere, das Löschen vorzunehmen.
„… es sei einfach technisch nicht möglich„.
Dieses faktische Argument lässt das Gericht jedoch mit klaren Worten nicht gelten und verweist in seiner Begründung unter anderem auf die Vorgaben des Art. 25 DSGVO („Datenschutz durch Technikgestaltung“).
„Die technischen Programme haben die geltenden Gesetze und Betroffenenrechte umzusetzen (vgl. auch Art. 25 DSGVO) und nicht anders herum. Insofern ist es Aufgabe des Beklagten bzw. der Bundesagentur für Arbeit, sein Programm zur Nutzung seiner elektronischen Akte so umschreiben zu lassen, dass ein irreversibles Löschen technisch tatsächlich auch erfolgen kann„.
Einen ebenfalls geltend gemachten Schadenersatzanspruch nach Art. 82 DSGVO lehnt das Gericht meines Erachtens jedoch zurecht ab. Insbesondere ein Kontrollverlust liege nicht vor. Mit dem derzeitigen Ausblenden bestehe eine begründete Befürchtung der Betroffenen bzgl. dieses Kontrollverlustes nicht. Die Privatadresse sei bereits ausgeblendet und kann weder von dem Klienten noch von einem Mitarbeiter des Beklagten alleine wieder eingeblendet werden.
Fazit
Überträgt man diesen Fall und die Ansichten des Gerichts auf den privatwirtschaftlichen Bereich von Unternehmen, dürfte schnell klar werden, dass Verantwortliche bei dem Einsatz von Software, in der personenbezogene Daten verarbeitet werden, als Anforderungsmerkmal darauf achten sollten, dass Daten gelöscht werden können. Wie das Gericht aufzeigt, bedeute dies nicht zwingend eine elektronische / physische Zerstörung. Auch eine Anonymisierung kann den Personenbezug endgültig entfernen.
Meiner Erfahrung nach ist jedoch extrem wichtig, dass Verantwortliche bereits bei der Entwicklung und noch mehr im (IT)Einkaufsprozess darauf achten, dass anzuschaffende Software die Grundprinzipien der DSGVO umsetzen kann. Es lohnen sich hierbei durchaus auch einmal konkrete Nachfragen an den Hersteller (und ja, mir ist bewusst, dass dies nicht in jeder Situation möglich ist).
Wichtig zu beachten ist zudem, dass die Softwarehersteller selbst oft gar nicht in den Anwendungsbereich der DSGVO fallen, da sie nicht zwingend als Verantwortliche agieren, wenn ihr Produkt durch Kunden genutzt und mit Daten gefüllt wird. Der „Verantwortliche“ nach der DSGVO ist in diesem Fall zumeist der Kunde, der die Software für die Datenverarbeitung verwendet.