DSGVO-Urteil: Versteckte Daten gelten nicht als gelöscht – was jetzt gilt

DSGVO-Urteil: Versteckte Daten gelten nicht als gelöscht – was jetzt gilt

{"headline":"Verstecken ist nicht genug" - Urteil fordert Unumkehrbarkeit von Datenlöschung für GDPR-konforme Löschung","teaser":"Ein Meilenstein-Urteil des Sozialgerichts Düsseldorf (S 16 AS 2347/21) legt klar die Grenzen der Datenschutzlöschungsanforderungen fest: Das bloße Verbergen personenbezogener Daten innerhalb einer Software-Anwendung gilt nicht als echter Löschvorgang nach der GDPR.","publication_date":"2025-12-06T09:20:42+00:00","keyword_names":"Datenschutz, Datenschutzrecht, personenbezogene Daten, Finanzen, Geschäft, Daten- und Cloud-Computing, Technologie","article_body":""Verstecken reicht nicht" – Urteil verlangt unwiderrufliche Löschung von Daten für DSGVO-konforme Löschung\n\nEin richtungsweisendes Urteil des Sozialgerichts Düsseldorf (S 16 AS 2347/21) definiert klar die Grenzen der datenschutzrechtlichen Löschpflichten: Das bloße Verbergen personenbezogener Daten in einer Software gilt nicht als echte Löschung im Sinne der DSGVO.\n\nDüsseldorf, 6. Dezember 2025\n\nEin aktuelles Urteil des Sozialgerichts Düsseldorf setzt klare Maßstäbe dafür, wie Unternehmen mit personenbezogenen Daten nach der Datenschutz-Grundverordnung (DSGVO) umgehen müssen. Die Richter entschieden, dass das bloße Ausblenden von Daten – selbst bei strengen Zugriffsbeschränkungen – nicht den gesetzlichen Anforderungen an eine Löschung genügt. Stattdessen müssen Unternehmen sicherstellen, dass ihre Systeme Daten auf Anfrage dauerhaft und unwiderruflich entfernen können.\n\nDas Urteil wirft zudem ein Schlaglicht auf kommende Verschärfungen: Die Bundesregierung treibt strengere Vorgaben für Softwarehersteller voran, um DSGVO-Konformität bereits in der Entwicklung zu verankern.\n\n### Verstecken ist keine Löschung\n\nIm Fall S 16 AS 2347/21 urteilte das Düsseldorfer Sozialgericht, dass das Verbergen personenbezogener Daten – selbst unter einem gesicherten Vier-Augen-Prinzip – nicht dem Recht auf Löschung nach Artikel 17 DSGVO entspricht. Das Gericht betonte, dass Verantwortliche sich nicht auf technische Grenzen oder organisatorische Hürden berufen dürfen. Vielmehr müssten sie garantieren, dass ihre Systeme Daten so löschen, dass eine Wiederherstellung ausgeschlossen ist.\n\nGleichzeitig wies das Gericht einen Schadensersatzanspruch nach Artikel 82 DSGVO ab, da keine Beweise vorlagen, dass die betroffene Person die Kontrolle über ihre Daten verloren hatte. Die Entscheidung unterstreicht, dass es bei der Löschung darum geht, jede weitere Verarbeitung der Daten zu unterbinden.\n\n### Strengere Regeln für Softwarehersteller in Sicht\n\nÜber den Einzelfall hinaus plant die Bundesregierung schärfere Auflagen für Softwareanbieter. Im Rahmen des für Ende 2025 erwarteten EU-Digital-Omnibus-Pakets sollen Unternehmen verpflichtet werden, Produkte von vornherein DSGVO-konform zu gestalten. Dazu gehören: - Unwiderrufliche Löschfunktionen als Standard - Verzahnung von Datenschutz und IT-Sicherheit - Haftungsrisiken für Hersteller, deren Systeme den Anforderungen nicht genügen\n\n### Handlungsbedarf für Unternehmen\n\nBis die Reformen in Kraft treten, müssen Organisationen prüfen, ob ihre bestehende Software nachgerüstet werden kann, um DSGVO-Standards zu erfüllen. Bei der Anschaffung neuer IT-Systeme sollten sie bereits vor dem Kauf sicherstellen, dass die Löschmechanismen vollumfänglich konform sind. Einige Anbieter wie Namirial und Fortra bieten bereits Lösungen an, die den DSGVO-Anforderungen entsprechen – doch das Urteil macht deutlich: Alle Systeme müssen denselben hohen Maßstäben gerecht werden.\n\n### Kein Spielraum mehr für halbe Lösungen\n\nDie Entscheidung des Gerichts lässt keine Interpretationsspielräume: Unternehmen müssen sicherstellen, dass ihre Software Daten endgültig löscht – und nicht nur verbirgt. Angesichts der bevorstehenden Verschärfungen müssen sich sowohl Datenverantwortliche als auch Softwarehersteller schnell anpassen.\n\nMit den für 2025 geplanten Reformen wird die DSGVO-Konformität voraussichtlich zu einer Kernanforderung im Systemdesign* – und die Verantwortung wird noch stärker auf die Technologieanbieter verlagert.