GDPR-Urteil: Versteckte Daten gelten nicht als gelöscht – was jetzt gilt
Egbert Peukert
GDPR-Urteil: Versteckte Daten gelten nicht als gelöscht – was jetzt gilt
"Verstecken reicht nicht" – Urteil verlangt unwiderrufliche Löschung von Daten für GDPR-konforme Löschung
Ein richtungsweisendes Urteil des Sozialgerichts Düsseldorf (S 16 AS 2347/21) zieht klare Grenzen für die Löschpflichten im Datenschutz: Das bloße Verbergen personenbezogener Daten in einer Software gilt nicht als echte Löschung im Sinne der DSGVO.
6. Dezember 2025, 09:20 Uhr
Ein aktuelles Urteil des Sozialgerichts Düsseldorf setzt neue Maßstäbe für die Löschung von Daten nach der Datenschutz-Grundverordnung (DSGVO). Die Richter entschieden, dass das bloße Ausblenden personenbezogener Daten in Softwareanwendungen nicht als ordnungsgemäße Löschung anzusehen ist. Der Präzedenzfall (Aktenzeichen S 16 AS 2347/21) legt Unternehmen und Softwareanbietern strengere Pflichten auf, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.
Das Urteil knüpft an eine ähnliche Entscheidung des Sozialgerichts Dresden an, das bereits die Nutzung des STEP-Systems durch die Bundesagentur für Arbeit untersucht hatte. Beide Fälle unterstreichen, dass eine unwiderrufliche Löschung erforderlich ist – und nicht nur das Verbergen von Informationen.
Das Düsseldorfer Gericht stellte klar, dass das Ausblenden von Daten – selbst mit strengen Zugriffsbeschränkungen wie einem Vier-Augen-Prinzip – den Anforderungen des Rechts auf Löschung (Artikel 17 DSGVO) nicht genügt. Im Mittelpunkt des Verfahrens stand die Frage, ob die Daten nach der angeblichen Löschung weiterhin abrufbar oder verarbeitbar blieben. Die Richter betonten: Eine echte Löschung bedeutet, dass die Informationen dauerhaft unzugänglich oder anonymisiert sein müssen.
Bereits das Dresdner Urteil hatte das STEP-System (Stammdatenerfassungs- und -pflegesystem) kritisiert, da es Daten nur ausblendet, statt sie zu löschen. Das Gericht wies die Argumentation zurück, technische Grenzen würden eine unwiderrufliche Löschung unmöglich machen. Stattdessen forderte es, dass Verantwortliche sicherstellen müssen, dass ihre Systeme eine tatsächliche, irreversible Löschung ermöglichen.
Unternehmen sehen sich nun strengeren Anforderungen gegenüber, wenn sie IT-Systeme auswählen oder modernisieren. Bei neuen Softwarelösungen müssen sie bereits vor der Beschaffung prüfen, ob die Löschmechanismen vollständig DSGVO-konform sind. Bestehende Systeme könnten technische Nachrüstungen erfordern, um den neuen Standards zu entsprechen. Die Entscheidung verlagert die Verantwortung auf sowohl Datenverantwortliche als auch Softwareanbieter, die Compliance von Anfang an in ihre Systeme integrieren müssen.
Das Urteil unterstreicht, dass DSGVO-Konformität mehr erfordert als oberflächliche Maßnahmen. Organisationen müssen nun garantieren, dass ihre Software Daten endgültig löschen kann – und nicht nur verbirgt. Wer dies versäumt, riskiert rechtliche Auseinandersetzungen und mögliche Sanktionen nach Datenschutzrecht. Gleichzeitig sendet das Urteil eine klare Botschaft an Softwareentwickler: DSGVO-konforme Löschfunktionen müssen von Anfang an Kernbestandteil des Systemdesigns sein – und kein nachträglicher Gedanke.
