Gericht verschärft GDPR-Standards: Löschen statt nur verstecken
Branko Tlustek
Gericht verschärft GDPR-Standards: Löschen statt nur verstecken
Ein aktuelles Urteil des Düsseldorfer Sozialgerichts hat strenge Anforderungen an das GDPR-Recht auf Vergessenwerden präzisiert. Demnach genügt es nicht, personenbezogene Daten lediglich zu verbergen – selbst bei sicheren Verfahren –, um den gesetzlichen Löschstandards zu entsprechen. Stattdessen müssen Softwarelösungen sicherstellen, dass Daten unwiderruflich gelöscht oder vollständig anonymisiert werden.
Die Entscheidung fiel nach der Prüfung, ob eine bloße "Versteckfunktion" den GDPR-Pflichten gerecht wird. Das Gericht urteilte, dass sich Organisationen nicht auf technische Grenzen berufen dürfen. Wenn eine Software Daten dauerhaft löschen kann, muss sie dies tun – anstatt auf Maskierungstechniken zurückzugreifen.
Als "Löschung" definierte das Gericht die Entfernung aller personenbezogenen Bezüge aus den Daten, sodass diese nicht mehr aktiv verarbeitet werden können. Ein Vier-Augen-Prinzip für das Verbergen von Daten wurde als unzureichend eingestuft. Stattdessen forderte das Gericht echte Löschung oder irreversible Anonymisierung. Bis Dezember 2025 entwickeln große Anbieter wie OneTrust, BigID und Drata Systeme, die diesen Anforderungen gerecht werden. Ihre Tools konzentrieren sich auf automatisierte Datenerfassung, sichere Löschung und vollständige Konformität mit den EU-Datenschutzgesetzen. Das Gericht betonte, dass Softwarehersteller Systeme von vornherein mit integriertem GDPR-Schutz konzipieren müssen.
Das Urteil verteilt klare Verantwortlichkeiten zwischen Datenverantwortlichen und Softwareentwicklern. Organisationen müssen sicherstellen, dass ihre Systeme Daten unwiderruflich löschen können – und nicht nur verbergen. Für Softwareanbieter bedeutet die Entscheidung, dass Compliance-Funktionen bereits vor der Markteinführung in die Produkte eingebettet sein müssen.
