Recht auf Vergessenwerden nach der DSGVO: Löschung nach Artikel 17 (2026)

Das Recht auf Vergessenwerden nach der DSGVO erlaubt es, von einer Organisation die Löschung personenbezogener Daten zu verlangen, sobald einer der sechs in Artikel 17 Absatz 1 genannten Gründe vorliegt, sofern nicht einer von fünf Ausnahmetatbeständen nach Artikel 17 Absatz 3 dem Verantwortlichen eine Ablehnung erlaubt. Als Rechtsanspruch wurde es 2014 vom Gerichtshof der Europäischen Union entwickelt und in der Verordnung (EU) 2016/679 kodifiziert; es erfasst sowohl die unmittelbare Löschung aus Unternehmensdatenbanken als auch die Auslistung aus Suchmaschinenergebnissen. Verantwortliche müssen innerhalb eines Monats antworten.
Einen umfassenderen Überblick über alle acht Betroffenenrechte der DSGVO finden Sie unter Betroffenenrechte nach der DSGVO. Hintergrundinformationen zur Verordnung insgesamt finden Sie unter Was ist die DSGVO. Das ergänzende Recht, das Ihnen zeigt, welche Daten ein Verantwortlicher besitzt, bevor Sie über einen Löschungsantrag entscheiden, finden Sie unter Auskunftsersuchen nach der DSGVO. Diese Seite ist der vollständige Leitfaden zur Löschung nach Artikel 17.
Recht auf Vergessenwerden nach der DSGVO: Löschung nach Artikel 17 (2026)
Was Artikel 17 der DSGVO tatsächlich vorsieht
Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 legt fest: Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn einer von sechs Gründen zutrifft. Der Ausdruck "unverzüglich" erhält durch die einmonatige Antwortfrist nach Artikel 12 Absatz 3 eine konkrete Bedeutung.
Erwägungsgrund 65 der Verordnung erläutert den gesetzgeberischen Zweck. Er besagt, dass eine betroffene Person das Recht haben sollte, dass personenbezogene Daten gelöscht und nicht mehr verarbeitet werden, wenn die Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind, wenn die betroffene Person ihre Einwilligung widerrufen hat und keine andere Rechtsgrundlage für die Verarbeitung besteht. Erwägungsgrund 65 nennt das Online-Umfeld als den Kontext, in dem dieses Recht am wichtigsten ist, und hebt ausdrücklich Daten hervor, die während der Kindheit geteilt wurden, als besonderes Anliegen.
Erwägungsgrund 66 ergänzt die Dimension der Online-Kaskade: Das Recht auf Löschung sollte dahingehend erweitert werden, dass ein Verantwortlicher, der personenbezogene Daten öffentlich gemacht hat, verpflichtet ist, andere Verantwortliche, die diese Daten verarbeiten, darüber zu informieren, dass sie Links zu diesen Daten oder Kopien oder Replikationen dieser Daten löschen sollen. Dieser Erwägungsgrund ist die unmittelbare strukturelle Grundlage für die Pflicht nach Artikel 17 Absatz 2 zur Benachrichtigung anderer Verantwortlicher und liefert die gesetzgeberische Grundlage für die Anwendung des Rechts auf die Auslistung durch Suchmaschinen, selbst wenn die Quellseite weiterhin online bleibt.
Diese Erwägungsgründe sind für sich genommen keine bindenden Rechtsvorschriften, dienen jedoch als maßgebliche Auslegungshilfe für die Absicht des Gesetzgebers. EU-Gerichte und Aufsichtsbehörden nutzen Erwägungsgründe, um Unklarheiten in den operativen Artikeln zu klären.
Die sechs Löschungsgründe nach Artikel 17 Absatz 1
Ein Löschungsantrag löst Artikel 17 nur aus, wenn mindestens einer der folgenden sechs, in Artikel 17 Absatz 1 Buchstabe a bis f genannten Gründe auf Ihre Situation zutrifft. Die folgende Tabelle bietet eine schnelle Übersicht; die anschließenden Abschnitte erläutern jeden einzeln.
| Grund | Artikel | Auslöser |
|---|---|---|
| Daten nicht mehr erforderlich | 17 Abs. 1 Buchst. a | Ursprünglicher Zweck ist entfallen |
| Einwilligung widerrufen | 17 Abs. 1 Buchst. b | Einwilligung war die einzige Rechtsgrundlage und Sie haben sie widerrufen |
| Erfolgreicher Widerspruch | 17 Abs. 1 Buchst. c | Widerspruch nach Art. 21 erfolgreich, oder Widerspruch gegen Direktmarketing |
| Rechtswidrige Verarbeitung | 17 Abs. 1 Buchst. d | Daten wurden ohne gültige Rechtsgrundlage erhoben oder aufbewahrt |
| Gesetzliche Löschungspflicht | 17 Abs. 1 Buchst. e | EU-Recht oder nationales Recht verlangt ausdrücklich die Löschung |
| Kinderdaten bei digitalen Diensten | 17 Abs. 1 Buchst. f | Daten wurden als Kind für einen Dienst der Informationsgesellschaft von Ihnen erhoben |
(a) Daten sind für den ursprünglichen Zweck nicht mehr erforderlich
Hat eine Organisation Daten über Sie erhoben, um einen bestimmten, konkreten Zweck zu erfüllen, und ist dieser Zweck entfallen, hat die Organisation nach Artikel 5 Absatz 1 Buchstabe e (Grundsatz der Speicherbegrenzung) keine rechtmäßige Grundlage mehr, die Daten weiter zu besitzen. Ein Beispiel ist ein Einzelhändler, der noch immer detaillierte Verhaltensprofile aus einem Kauf aufbewahrt, den Sie vor mehreren Jahren getätigt haben, ohne fortbestehende vertragliche oder rechtliche Beziehung, die diese Aufbewahrung rechtfertigt. Entscheidend ist, ob die Daten für den konkreten Zweck, für den sie erhoben wurden, noch erforderlich sind, nicht, ob sich der Verantwortliche eine hypothetische künftige Verwendung vorstellen kann.
Dieser Grund wird in der Praxis am häufigsten geltend gemacht, weil er auf die breiteste Bandbreite von Verarbeitungstätigkeiten anwendbar ist. Er verlangt keinen Nachweis eines Verschuldens oder einer Rechtswidrigkeit auf Seiten des Verantwortlichen; es genügt, dass die ursprüngliche Rechtfertigung entfallen ist.
(b) Einwilligung widerrufen und keine andere Rechtsgrundlage vorhanden
War die Einwilligung nach Artikel 6 Absatz 1 Buchstabe a die einzige Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten und widerrufen Sie diese Einwilligung, muss der Verantwortliche die Daten löschen. Der entscheidende Zusatz lautet "keine andere Rechtsgrundlage": Kann der Verantwortliche eine gesonderte Rechtfertigung anführen, etwa einen Vertrag nach Artikel 6 Absatz 1 Buchstabe b, eine rechtliche Verpflichtung nach Artikel 6 Absatz 1 Buchstabe c oder ein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f, kann er die Löschung allein wegen des Widerrufs der Einwilligung ablehnen.
In der Praxis sind zwei Punkte wichtig. Erstens wirkt der Widerruf der Einwilligung nur für die Zukunft: Er macht die vor dem Widerruf erfolgte Verarbeitung nicht rechtswidrig. Zweitens liegt es beim Verantwortlichen, die alternative Rechtsgrundlage zu benennen. Er kann nicht einfach behaupten, es gebe eine, sondern muss angeben, welche gilt und warum.
(c) Erfolgreicher Widerspruch nach Artikel 21
Artikel 21 Absatz 1 gewährt das Recht, der Verarbeitung auf Grundlage berechtigter Interessen oder öffentlicher Aufgaben zu widersprechen. Der Verantwortliche kann Ihrem Widerspruch nur entgegentreten, indem er zwingende schutzwürdige Gründe nachweist, die Ihre Interessen, Rechte und Freiheiten überwiegen. Fehlen dem Verantwortlichen solche Gründe, ist der Widerspruch erfolgreich, und Artikel 17 Absatz 1 Buchstabe c wird ausgelöst: Aus dem erfolgreichen Widerspruch folgt die Löschung.
Artikel 21 Absatz 2 schafft einen bedingungslosen Weg: Der Widerspruch gegen die Verarbeitung zu Zwecken der Direktwerbung unterliegt keiner Abwägungsprüfung. Ein Verantwortlicher, der einen Direktmarketing-Widerspruch erhält, kann sich weder auf Gründe des öffentlichen Interesses noch auf einen Ausnahmetatbestand nach Artikel 17 Absatz 3 berufen (außer solchen, die eigenständig für die Daten selbst gelten). Der Widerspruch nach Artikel 21 Absatz 2 stellt ein vollständiges Hindernis für die Direktmarketing-Verarbeitung dar, und die Löschung der speziell zu diesem Zweck vorgehaltenen Daten muss folgen.
(d) Rechtswidrige Verarbeitung
Wurden Daten unter Verstoß gegen die DSGVO verarbeitet (ohne gültige Rechtsgrundlage erhoben, über die rechtmäßige Frist hinaus aufbewahrt, in einer mit dem ursprünglichen Zweck unvereinbaren Weise verarbeitet oder durch Täuschung erlangt), steht die Löschung unabhängig davon zur Verfügung, ob der Verantwortliche noch einen technischen "Zweck" für die Daten hat. Dieser Grund erfasst sowohl anfängliche Rechtswidrigkeit (die Daten hätten nie erhoben werden dürfen) als auch nachträglich rechtswidrige Aufbewahrung (Daten wurden rechtmäßig erhoben, aber über die zulässige Frist hinaus aufbewahrt).
Eine häufige Anwendung: Ein Verantwortlicher stützt sich auf die Einwilligung als Rechtsgrundlage, das Einwilligungsformular war jedoch ungültig (vorangekreuzte Kästchen, gebündelte Einwilligung, fehlender spezifischer Zweck), sodass die Verarbeitung von Anfang an rechtswidrig war. Grund (d) gilt auch dann, wenn der Verantwortliche nun nachträglich ein berechtigtes Interesse geltend machen möchte.
(e) Löschung, die nach EU-Recht oder nationalem Recht erforderlich ist
Manche EU-Verordnungen und nationale Gesetze schreiben verpflichtende Aufbewahrungsfristen mit anschließender verpflichtender Löschung vor. Verlangt eine solche gesetzliche Pflicht ausdrücklich die Löschung nach Ablauf einer bestimmten Frist, löst diese Pflicht selbst den Grund nach Artikel 17 Absatz 1 Buchstabe e aus. Gesundheitsdatenaufbewahrungsgesetze in mehreren Mitgliedstaaten sind ein Beispiel: Sie verlangen, dass Aufzeichnungen für eine gesetzliche Frist aufbewahrt und anschließend vernichtet werden.
Dieser Grund ist relativ eng gefasst: Die gesetzliche Pflicht muss die Löschung ausdrücklich verlangen, nicht nur erlauben oder dazu schweigen.
(f) Daten, die als Kind für einen Dienst der Informationsgesellschaft erhoben wurden
Artikel 17 Absatz 1 Buchstabe f ist der Grund für Kinderdaten und ist für einen Verantwortlichen am schwersten abzuwehren. Nach Artikel 8 Absatz 1 der DSGVO liegt das standardmäßige Mindestalter für die Einwilligung bei Diensten der Informationsgesellschaft (soziale Medien, Apps, Online-Spiele und ähnliche digitale Produkte) bei 16 Jahren. Mitgliedstaaten können diese Schwelle auf nicht weniger als 13 Jahre absenken, was viele getan haben.
Jede Erhebung von Daten über Sie, während Sie unter der jeweils geltenden nationalen Schwelle waren, ohne gültige elterliche oder vormundschaftliche Einwilligung, wurde nach Artikel 8 rechtswidrig verarbeitet. Diese rechtswidrige Erhebung löst gleichzeitig Artikel 17 Absatz 1 Buchstabe d und Buchstabe f aus. Erwägungsgrund 65 hebt dies ausdrücklich hervor und stellt fest, dass das Recht auf Vergessenwerden besonders wichtig ist, wenn eine betroffene Person zum Zeitpunkt der Erhebung ein Kind war.
Entscheidend ist, dass dieser Grund auch dann gilt, wenn Sie inzwischen erwachsen sind. Maßgeblich ist das Alter zum Zeitpunkt der Datenerhebung, nicht Ihr aktuelles Alter. Haben Sie mit 14 Jahren in einem Mitgliedstaat, in dem das Einwilligungsalter bei 16 lag, ein Social-Media-Konto erstellt, können Sie als Erwachsener Artikel 17 Absatz 1 Buchstabe f und Buchstabe d gemeinsam geltend machen, um die Löschung aller während dieser Zeit erhobenen Daten zu verlangen. Die Plattform kann sich nicht auf ihre aktuelle, rechtmäßige Beziehung zu Ihnen als Erwachsenem berufen, um einen auf die während der Kindheit erhobenen Daten gerichteten Löschungsantrag abzuwehren.
Die einzige praktische Einschränkung sind die Ausnahmetatbestände nach Artikel 17 Absatz 3. Müssen manche Daten aufgrund einer gesetzlichen Pflicht aufbewahrt werden (etwa Finanztransaktionsdaten nach Steuerrecht), kann diese spezifische Teilmenge aufbewahrt werden. Verhaltensprofile, Werbedaten, von Ihnen als Minderjährigem veröffentlichte Inhalte und Aufzeichnungen, die rein operativen Zwecken dienen, fallen jedoch kaum unter einen Ausnahmetatbestand nach Artikel 17 Absatz 3.
Die fünf Ausnahmen: Wann die Löschung nach Artikel 17 Absatz 3 abgelehnt werden kann
Selbst wenn einer der sechs Gründe nach Artikel 17 Absatz 1 vorliegt, darf ein Verantwortlicher die Löschung rechtmäßig ablehnen, wenn die fortgesetzte Verarbeitung für einen der fünf in Artikel 17 Absatz 3 Buchstabe a bis e genannten Zwecke erforderlich ist. Die folgende Tabelle fasst diese Ausnahmen zusammen, bevor jede einzeln erläutert wird.
| Ausnahme | Artikel | Typische Anwendung |
|---|---|---|
| Meinungs- und Informationsfreiheit | 17 Abs. 3 Buchst. a | Journalismus, Nachrichtenarchive, Kommentare im öffentlichen Interesse |
| Rechtliche Pflicht oder öffentliche Aufgabe | 17 Abs. 3 Buchst. b | Steuerunterlagen, Gesundheitsdaten, regulatorische Compliance |
| Öffentliche Gesundheit | 17 Abs. 3 Buchst. c | Krankheitsüberwachung, medizinische Forschung |
| Archivierung, Forschung, Statistik | 17 Abs. 3 Buchst. d | Archive im öffentlichen Interesse, wissenschaftliche Forschungsdatensätze |
| Rechtsansprüche | 17 Abs. 3 Buchst. e | Rechtsstreitigkeiten, behördliche Untersuchungen, Schiedsverfahren |
Es obliegt dem Verantwortlichen, zu bestimmen, welche Ausnahme greift, und Ihnen dies bei einer Ablehnung schriftlich mitzuteilen. Eine pauschale Ablehnung ohne Angabe eines konkreten Grundes nach Artikel 17 Absatz 3 stellt selbst einen DSGVO-Verstoß dar.
(a) Meinungs- und Informationsfreiheit
Journalismus, Kommentare, Meinungsäußerungen, Berichterstattung im öffentlichen Interesse und die Archivierung von Informationen von echtem öffentlichem Belang können allesamt unter diese Ausnahme fallen. Dies ist die im Suchmaschinenkontext am häufigsten umstrittene Ausnahme, auf die sich Betreiber routinemäßig berufen, um die Beibehaltung von Links zu Nachrichtenartikeln über Personen zu rechtfertigen.
Die Ausnahme ist nicht unbegrenzt. Nicht jeder veröffentlichte Artikel über eine Privatperson gilt als geschützte Meinungsäußerung im öffentlichen Interesse. Die Abwägung neigt zugunsten des Datenschutzes, wenn: die Ereignisse lange zurückliegen; die betreffende Person keine öffentliche Rolle innehatte; die Information keinem aktuellen öffentlichen Zweck dient; oder die Person zum betreffenden Zeitpunkt minderjährig war. Sie neigt zugunsten der Meinungsäußerung, wenn: die betroffene Person eine Person des öffentlichen Lebens ist; die Information die Ausübung ihrer öffentlichen Funktionen betrifft; die Ereignisse aktuell sind; oder die Öffentlichkeit ein echtes fortbestehendes Interesse hat. Die EDSA-Leitlinien 5/2019 zu den Kriterien für das Recht auf Vergessenwerden bei Suchmaschinen legen eine nicht abschließende Liste von Kriterien für diese Bewertung fest, einschließlich der Rolle der betroffenen Person im öffentlichen Leben, der Art der Information, der verstrichenen Zeit sowie etwaiger Erwägungen zur Rehabilitierung.
(b) Rechtliche Pflicht, öffentliche Aufgabe oder Ausübung öffentlicher Gewalt
Verlangt EU-Recht oder nationales Recht vom Verantwortlichen die Aufbewahrung von Daten, kann er sie nicht einfach auf Antrag löschen. Arbeitsrecht, Steuerrecht, Sozialversicherungsrecht, Vorschriften zur Geldwäschebekämpfung und Regeln zur Aufbewahrung von Gesundheitsdaten zählen zu den häufigsten Quellen verpflichtender Aufbewahrungsfristen. Auch Behörden und Stellen, die öffentliche Aufgaben wahrnehmen, fallen unter diese Ausnahme, wenn die Verarbeitung für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder die Ausübung öffentlicher Gewalt nach Artikel 6 Absatz 1 Buchstabe e erforderlich ist.
Die Ausnahme setzt voraus, dass die Aufbewahrung für die gesetzliche Pflicht oder öffentliche Aufgabe tatsächlich erforderlich ist. Ein Verantwortlicher kann nicht auf eine nur entfernt einschlägige Rechtsvorschrift verweisen, um Daten aus kommerziellen Gründen zu behalten.
(c) Öffentliche Gesundheit
Eine Verarbeitung, die aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist (Krankheitsüberwachung, Epidemiologie, Arzneimittelsicherheit, Reaktion auf grenzüberschreitende Gesundheitsgefahren), kann einen Löschungsantrag überwiegen, insbesondere bei besonderen Gesundheitsdatenkategorien nach Artikel 9. Diese Ausnahme wird seltener von privaten Unternehmen und häufiger von öffentlichen Gesundheitsbehörden und Gesundheitsdienstleistern angeführt.
(d) Archivierung im öffentlichen Interesse, wissenschaftliche Forschung, historische Forschung oder Statistik
Löschungsanträge können abgelehnt werden, wenn Daten zu Archivierungszwecken im öffentlichen Interesse oder zu wissenschaftlichen oder historischen Forschungs- oder statistischen Zwecken verarbeitet werden, sofern die Erfüllung des Löschungsantrags die Erreichung dieser Ziele ernsthaft beeinträchtigen würde. Nationalarchive, längsschnittliche akademische Forschungsstudien und amtliche statistische Datensätze sind die häufigsten Begünstigten dieser Ausnahme.
Der entscheidende Zusatz lautet "ernsthaft beeinträchtigen": Ein Verantwortlicher kann diese Ausnahme nicht als pauschalen Schutzschild für jeden Datensatz geltend machen, der für künftige Forschung nützlich sein könnte. Die Beeinträchtigung muss nachweislich erheblich sein, und der Forschungszweck muss tatsächlich im öffentlichen Interesse liegen.
(e) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Muss eine Organisation Daten aufbewahren, um Rechtsstreitigkeiten, Schiedsverfahren, behördliche Verfahren oder ähnliche rechtliche Prozesse einzuleiten, zu führen oder sich dagegen zu verteidigen, kann sie sich auf diese Ausnahme berufen. Sie wird häufig in arbeitsrechtlichen Auseinandersetzungen (bei denen Personalunterlagen zur Verteidigung gegen eine Kündigungsschutzklage erforderlich sein können), im Finanzdienstleistungskontext (bei dem Transaktionsdaten für behördliche Untersuchungen erforderlich sind), bei Versicherungsansprüchen und bei Fällen beruflicher Fahrlässigkeit herangezogen.
Die Ausnahme erfasst nur die für den konkreten Rechtsanspruch oder das konkrete Verfahren erforderlichen Daten, nicht den gesamten Datenbestand des Verantwortlichen. Sobald das Verfahren abgeschlossen ist, entfällt die Rechtfertigung für die weitere Aufbewahrung nach dieser Ausnahme.
Die Kaskade zu anderen Verantwortlichen: Artikel 17 Absatz 2
Artikel 17 Absatz 2 behandelt die Situation, in der ein Verantwortlicher Ihre personenbezogenen Daten bereits öffentlich gemacht hat, etwa durch Veröffentlichung auf einer Website, Weitergabe an Werbepartner oder Verbreitung über einen Datenmarktplatz. Ist dieser Verantwortliche nach Artikel 17 Absatz 1 verpflichtet, von ihm öffentlich gemachte Daten zu löschen, verlangt Artikel 17 Absatz 2, dass er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, einschließlich technischer Maßnahmen, ergreift, um andere Verantwortliche, die diese Daten verarbeiten, darüber zu informieren, dass Sie die Löschung von Links zu diesen Daten oder Kopien oder Replikationen dieser Daten beantragt haben.
Diese Bestimmung macht das Recht auf Vergessenwerden strukturell zu mehr als einem einfachen Löschungsantrag gegenüber einem einzelnen Unternehmen. Der Verantwortliche, der die Daten veröffentlicht hat, trägt die Pflicht, nachgelagerte Verantwortliche über den Löschungsantrag zu informieren. Diese nachgelagerten Verantwortlichen sind dann eigenständig dafür verantwortlich, die Löschungspflicht in ihren eigenen Systemen zu erfüllen.
Im Suchmaschinenkontext schafft Artikel 17 Absatz 2 eine eigenständige Grundlage, um Auslistungsanträge direkt an Suchmaschinenbetreiber zu richten, getrennt von einem etwaigen Antrag an den ursprünglichen Herausgeber. Enthält eine Website rechtmäßig veröffentlichte Inhalte über Sie, können Sie die Auslistung bei der Suchmaschine beantragen, weil die Suchmaschine selbst ein Verantwortlicher ist, der die öffentlichen Daten im Sinne von Artikel 17 Absatz 2 verarbeitet hat. Sie müssen nicht zunächst die Entfernung der Quellseite erwirken, um die Auslistung zu beantragen.
Wie sich die Löschung von einem Auskunftsersuchen unterscheidet
Das Recht auf Löschung nach Artikel 17 und das Auskunftsrecht nach Artikel 15 (Subject Access Request, SAR) sind eigenständige Rechte mit unterschiedlichen Zwecken, werden jedoch häufig nacheinander genutzt.
Ein Auskunftsersuchen nach Artikel 15 gewährt das Recht, eine Bestätigung darüber zu erhalten, ob ein Verantwortlicher personenbezogene Daten über Sie besitzt, eine Kopie dieser Daten sowie Informationen darüber, wie sie verarbeitet werden. Diese Informationen umfassen die Zwecke, die Rechtsgrundlage, etwaige Empfänger und die Aufbewahrungsfrist. Ein Auskunftsersuchen ist ein Recht zur Informationsbeschaffung. Es ermöglicht Ihnen, herauszufinden, was ein Verantwortlicher besitzt, bevor Sie entscheiden, was Sie mit dieser Information tun.
Das Recht auf Löschung nach Artikel 17 ist ein Handlungsrecht: Es verpflichtet den Verantwortlichen zur Löschung der Daten. Die beiden Rechte sind logisch verbunden, aber verfahrensrechtlich getrennt: Ein Auskunftsersuchen löst keine Löschungspflicht aus, und ein Löschungsantrag berechtigt nicht zu einer Kopie der Daten vor deren Löschung.
In der Praxis empfehlen viele Datenschutzberater, zunächst ein Auskunftsersuchen zu stellen, um genau zu verstehen, welche Daten ein Verantwortlicher besitzt, welche Rechtsgrundlage er heranzieht und welche Aufbewahrungsrichtlinie gilt. Mit diesem Wissen sind Sie besser in der Lage, zu bestimmen, welcher Grund nach Artikel 17 Absatz 1 zutrifft, und vorherzusagen, welche Ausnahmen nach Artikel 17 Absatz 3 der Verantwortliche wahrscheinlich geltend machen wird.
Beide Rechte unterliegen derselben einmonatigen Antwortfrist nach Artikel 12 Absatz 3 und sind beide nach Artikel 12 Absatz 5 kostenlos.
Wo das Recht entstand: Google Spain (C-131/12, 2014)
Das Recht auf Vergessenwerden in seiner Anwendung auf Suchmaschinen geht der DSGVO voraus. Es wurde vom Gerichtshof der Europäischen Union in der Rechtssache C-131/12, Google Spain SL und Google Inc. gegen Agencia Española de Protección de Datos (AEPD) und Mario Costeja González, Große Kammer, entschieden am 13. Mai 2014, begründet. Der Fall entstand unter der damals geltenden Datenschutzrichtlinie 95/46/EG; die DSGVO kodifizierte und stärkte den Grundsatz anschließend in Artikel 17.
Der Sachverhalt: Der spanische Staatsangehörige Mario Costeja González bat Google, Suchergebnisse zu entfernen, die bei Eingabe seines Namens eine Zeitungsmeldung von 1998 über eine Zwangsversteigerung wegen Schulden zutage förderten, die längst geklärt war. Der ursprüngliche Zeitungsartikel war rechtmäßig veröffentlicht worden. Die Frage war, ob Google durch die Indexierung und Rückgabe dieser Ergebnisse selbst den Pflichten des Datenschutzrechts unterlag.
Der Gerichtshof stellte in Randnummer 33 fest, dass die Tätigkeit einer Suchmaschine (das Auffinden von durch Dritte veröffentlichten oder ins Internet gestellten Informationen, deren automatisierte Indexierung, vorübergehende Speicherung und Bereitstellung für Internetnutzer in einer bestimmten Rangfolge) als Verarbeitung personenbezogener Daten einzustufen ist, wenn diese Informationen personenbezogene Daten enthalten. Damit wurde eine grundlegende Frage geklärt: Suchmaschinen sind keine passiven Vermittler.
In Randnummer 34 stellte der Gerichtshof fest, dass der Betreiber einer Suchmaschine als Verantwortlicher dieser Verarbeitung im Sinne von Artikel 2 Buchstabe d der Richtlinie 95/46/EG (heute Artikel 4 Nummer 7 der DSGVO) anzusehen ist, weil er die Zwecke und Mittel dieser Verarbeitung bestimmt. Dies war die entscheidende Feststellung, die das Recht auf Auslistung rechtlich möglich machte: Suchmaschinen sind Verantwortliche mit datenschutzrechtlichen Pflichten.
Zur inhaltlichen Frage des Löschungsrechts stellte der Gerichtshof in Randnummer 88 fest, dass der Betreiber einer Suchmaschine verpflichtet ist, aus der bei einer anhand des Namens einer Person durchgeführten Suche angezeigten Ergebnisliste Links zu von Dritten veröffentlichten Webseiten mit Informationen zu dieser Person zu entfernen, selbst wenn deren Veröffentlichung auf diesen Seiten für sich genommen rechtmäßig ist. Das Recht auf Entfernung aus den Suchergebnissen ist somit unabhängig von der Rechtmäßigkeit der Quellseite.
Der Abwägungsmaßstab in Randnummer 81 liefert den maßgeblichen Standard: Die Rechte der betroffenen Person auf Achtung des Privatlebens und auf Schutz personenbezogener Daten nach den Artikeln 7 und 8 der EU-Grundrechtecharta "überwiegen in der Regel nicht nur das wirtschaftliche Interesse des Betreibers der Suchmaschine, sondern auch das Interesse der breiten Öffentlichkeit am Zugang zu dieser Information". Die Ausnahme besteht dort, wo, etwa aufgrund der Rolle, die die betroffene Person im öffentlichen Leben spielt, der Eingriff in die Grundrechte durch das überwiegende Interesse der breiten Öffentlichkeit am Zugang zu dieser Information gerechtfertigt ist. Dies ist die Grundlage für die bis heute zentrale Unterscheidung nach Personen des öffentlichen Lebens bei allen Auslistungsentscheidungen.
Wie weit reicht die Auslistung: Google gegen CNIL (C-507/17, 2019)
Nach dem Inkrafttreten der DSGVO im Mai 2018 ordnete die französische Datenschutzbehörde, die Commission nationale de l'informatique et des libertés (CNIL), gegenüber Google die Auslistung auf allen weltweiten Versionen ihrer Suchmaschine an, nicht nur auf den auf EU-Mitgliedstaaten ausgerichteten Domains. Die CNIL begründete dies damit, dass eine Beschränkung der Auslistung auf EU-gerichtete Domains wirkungslos sei, weil jeder EU-Nutzer die ausgelisteten Ergebnisse ohne Weiteres über google.com oder eine andere Nicht-EU-Domain abrufen könne.
Google focht den weltweiten Umfang an. In der Rechtssache C-507/17, Google LLC gegen CNIL, Große Kammer, entschieden am 24. September 2019, entschied der EuGH, dass das EU-Recht keine weltweite Auslistung verlangt.
Die zentrale Feststellung lautete, dass der Betreiber einer Suchmaschine nicht verpflichtet ist, die Auslistung auf allen weltweiten Versionen seiner Suchmaschine vorzunehmen, sondern auf den Versionen dieser Suchmaschine, die den Mitgliedstaaten entsprechen. Zwei Gründe stützten diese Schlussfolgerung. Erstens verlangen der räumliche Anwendungsbereich der DSGVO nach Artikel 3 und das Recht auf Vergessenwerden nach Artikel 17 nach dem legislativen Willen der EU keine über das EU-Gebiet hinausgehenden Anforderungen. Zweitens erkennen zahlreiche Drittstaaten das Recht auf Auslistung nicht an oder verfolgen einen wesentlich anderen Ansatz, und die weltweite Auferlegung von EU-Standards würde faktisch bedeuten, dass EU-Recht die rechtlichen Entscheidungen dieser Rechtsordnungen überstimmt.
Das Urteil lässt EU-Nutzer jedoch beim praktischen Zugang nicht schutzlos. Der Gerichtshof entschied, dass Auslistungsbetreiber innerhalb der EU ausreichend wirksame Maßnahmen ergreifen müssen, um zu verhindern, dass EU-Nutzer über Nicht-EU-Versionen der Suchmaschine auf ausgelistete Links zugreifen können. In der Praxis bedeutet dies Geoblocking: Navigiert ein Nutzer in Frankreich zu google.com statt zu google.fr, muss das ausgelistete Ergebnis für diesen Nutzer auf Grundlage seiner geolokalisierten EU-Präsenz weiterhin zurückgehalten werden.
Das praktische Ergebnis: Ein erfolgreicher Auslistungsantrag entfernt den Link von google.fr, google.de, google.it und allen anderen EU-Domain-Versionen. Geoblocking soll verhindern, dass in der EU ansässige Nutzer das entfernte Ergebnis auf google.com sehen. Derselbe Link bleibt für einen Nutzer in den Vereinigten Staaten oder Japan, der von außerhalb der EU auf google.com zugreift, weiterhin sichtbar.
EDSA-Durchsetzung und die koordinierte Maßnahme 2025
Der Europäische Datenschutzausschuss (EDSA) hat die Leitlinien 5/2019 zu den Kriterien für das Recht auf Vergessenwerden bei Suchmaschinenfällen nach der DSGVO veröffentlicht, die nach einer öffentlichen Konsultation im Juli 2020 endgültig verabschiedet wurden. Diese Leitlinien nennen dreizehn Fallkategorien (von Betroffenen, die eine Rolle in Strafverfahren spielten, über Opfer von Straftaten bis hin zu Personen des öffentlichen Lebens) und benennen die Faktoren, die Aufsichtsbehörden bei der Beurteilung berücksichtigen sollten, ob ein Auslistungsantrag zu bewilligen oder abzulehnen ist.
Im Februar 2026 veröffentlichte der EDSA die Ergebnisse seiner koordinierten Durchsetzungsmaßnahme zum Recht auf Löschung (CEF 2025), die untersuchte, wie Verantwortliche in der gesamten EU Löschungsanträge in der Praxis umsetzten. Die koordinierte Maßnahme deckte weitverbreitete Probleme auf: unvollständige Antworten, die Anträge zwar bestätigten, aber nicht klarstellten, ob die Löschung tatsächlich vorgenommen worden war; die Berufung auf Ausnahmen, ohne angemessen zu benennen, welche konkrete Ausnahme galt; sowie Verzögerungen über die einmonatige Frist hinaus, ohne die zulässige Verlängerung um zwei Monate geltend zu machen. Der Bericht wies Aufsichtsbehörden der teilnehmenden Mitgliedstaaten an, bei Verantwortlichen mit systematischen Compliance-Mängeln nachzufassen.
Der Mechanismus der koordinierten Durchsetzung spiegelt eine Weiterentwicklung im Umgang des EDSA mit systemischen Problemen wider. Statt jede nationale Datenschutzbehörde eigenständig Verstöße feststellen zu lassen, koordiniert der EDSA nun gleichzeitige Durchsetzungswellen über mehrere Rechtsordnungen hinweg bei besonders wichtigen Rechten. Die Löschung wurde für die Maßnahme 2025 gerade wegen der hohen Zahl an Beschwerden über unvollständige Antworten und unbegründete Ablehnungen ausgewählt.
Wie Sie einen Löschungsantrag bei einem Verantwortlichen stellen
Artikel 12 Absatz 3 verlangt eine Antwort innerhalb eines Kalendermonats nach Eingang des Antrags. Eine bestimmte Form ist nicht vorgeschrieben. Sie können den Antrag per E-Mail, über ein Online-Portal für Datenschutzrechte oder per Brief stellen. Die meisten großen, der DSGVO unterliegenden Organisationen führen inzwischen ein eigenes Portal für Datenschutzrechte, das typischerweise in der Fußzeile der Website unter Bezeichnungen wie "Datenschutzrechte", "Anfrage zu Betroffenenrechten" oder "Meine Datenschutzeinstellungen" verlinkt ist.
Was Ihr Antrag enthalten sollte
Ihr Antrag sollte konkret genug sein, damit der Verantwortliche Sie identifizieren und verstehen kann, worum Sie bitten. Geben Sie an:
- Ihren vollständigen Namen und jede von der Organisation für Sie verwendete Kennung: E-Mail-Adresse, Kontobenutzername, Kundennummer oder Referenznummer.
- Die konkreten Daten oder Datenkategorien, deren Löschung Sie wünschen. Je genauer Sie sein können, desto besser. Haben Sie zuvor ein Auskunftsersuchen gestellt, verfügen Sie über ein klareres Bild dessen, was der Verantwortliche besitzt.
- Den Grund nach Artikel 17 Absatz 1, auf den Sie sich berufen. Die Benennung des Grundes ist rechtlich nicht erforderlich, lenkt jedoch die Aufmerksamkeit des Verantwortlichen und erschwert eine vage Antwort. Beispiel: "Ich beantrage die Löschung nach Artikel 17 Absatz 1 Buchstabe a DSGVO, weil die Daten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind" oder "nach Artikel 17 Absatz 1 Buchstabe b, weil ich hiermit meine Einwilligung widerrufe und keine andere Rechtsgrundlage besteht."
- Eine Bitte um schriftliche Bestätigung, dass die Löschung vorgenommen wurde, unter Angabe der gelöschten Datenkategorien.
- Ihre Kontaktdaten für die Antwort.
Nach Artikel 12 Absatz 5 ist die Antwort kostenlos. Sind Anträge offenkundig unbegründet oder exzessiv (insbesondere wegen ihres wiederholten Charakters), darf der Verantwortliche eine angemessene Gebühr verlangen oder die Bearbeitung ablehnen, die Beweislast dafür liegt jedoch vollständig beim Verantwortlichen. Ein einzelner, klar formulierter Löschungsantrag kann nicht als exzessiv abgetan werden.
Identitätsprüfung
Ein Verantwortlicher kann Sie um zusätzliche Angaben zur Identitätsprüfung bitten, wenn er dies nicht mit vertretbarem Aufwand anders sicherstellen kann. Er darf dies jedoch nicht als Vorwand nutzen, um den Antrag insgesamt abzulehnen oder die Antwortfrist ohne Ankündigung zu verlängern. Artikel 12 Absatz 6 erlaubt es dem Verantwortlichen, zusätzliche Informationen zur Bestätigung der Identität der betroffenen Person anzufordern, muss dies jedoch zügig tun und darf den Identitätsnachweis nicht nutzen, um die einmonatige Antwortfrist verstreichen zu lassen.
Was nach der Antragstellung passiert: Fristen und Eskalation
Artikel 12 Absatz 3 gibt dem Verantwortlichen einen Kalendermonat ab Eingang zur Antwort. Bei komplexen Fällen oder hohen Mengen gleichzeitiger Anträge erlaubt Artikel 12 Absatz 3 eine Verlängerung um bis zu zwei weitere Monate, der Verantwortliche muss Sie jedoch innerhalb des ersten Monats über die Verlängerung und deren Grund informieren. Sie sollten in jedem Fall mindestens innerhalb eines Monats eine inhaltliche Rückmeldung erhalten; Schweigen ist keine gültige Antwort.
Handelt der Verantwortliche auf Ihren Antrag, muss er bestätigen, dass die Löschung vorgenommen wurde, und angeben, welche Daten oder Datenkategorien gelöscht wurden. Eine Antwort, die nur besagt "wir haben Ihren Antrag zur Kenntnis genommen", ohne eine tatsächliche Maßnahme zu bestätigen, entspricht nicht Artikel 12.
Entscheidet sich der Verantwortliche gegen ein Tätigwerden, verlangt Artikel 12 Absatz 4, dass er Sie unverzüglich und spätestens innerhalb eines Monats nach Eingang über die Gründe für das Nichttätigwerden sowie über zwei Eskalationswege informiert: das Recht, bei einer Aufsichtsbehörde (Ihrer nationalen Datenschutzbehörde) Beschwerde einzulegen, und das Recht, unmittelbar gerichtlichen Rechtsschutz gegen den Verantwortlichen vor den Gerichten des Mitgliedstaats zu suchen, in dem der Verantwortliche niedergelassen ist.
Ein Verstoß gegen Artikel 17 (einschließlich verspäteter Antwort oder unbegründeter Ablehnung) fällt nach Artikel 83 Absatz 5 Buchstabe b der DSGVO als Verstoß gegen Betroffenenrechte unter die höchste Bußgeldstufe. Das Höchstmaß beträgt 20 Millionen Euro oder, bei einem Unternehmen, 4 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
Wie Sie einen Auslistungsantrag bei einer Suchmaschine stellen
Für die Auslistung aus Suchergebnissen nach Artikel 17 Absatz 1 und 2 richten Sie den Antrag direkt an den Suchmaschinenbetreiber, nicht an die Website, die den Inhalt hostet. Die Suchmaschine ist ein eigenständiger Verantwortlicher.
Ihr Antrag sollte enthalten:
- Die konkreten URLs, deren Entfernung aus den Suchergebnissen Sie wünschen (kopieren Sie die genauen Links von Ihrer Suchergebnisseite).
- Die Suchbegriffe, die dazu führen, dass diese URLs im Zusammenhang mit Ihrem Namen erscheinen.
- Den Grund nach Artikel 17 Absatz 1, auf den Sie sich berufen.
- Warum die Ergebnisse angesichts Ihres Interesses am Datenschutz irrelevant, veraltet, übermäßig oder anderweitig ungerechtfertigt sind, etwa weil die Ereignisse lange zurückliegen, Sie keine Person des öffentlichen Lebens waren, die Angelegenheit erledigt ist oder Sie zum betreffenden Zeitpunkt minderjährig waren.
Suchmaschinenbetreiber prüfen Auslistungsanträge einzeln. Sie können ablehnen, wenn sie feststellen, dass ein Ausnahmetatbestand des öffentlichen Interesses nach Artikel 17 Absatz 3 Buchstabe a greift, insbesondere bei Personen des öffentlichen Lebens, aktuellen oder laufenden Nachrichtenereignissen oder Informationen zum beruflichen Verhalten, die tatsächlich im öffentlichen Interesse liegen. Lehnt eine Suchmaschine Ihren Antrag ab, können Sie an Ihre nationale Datenschutzbehörde eskalieren, die den Fall untersuchen und, sofern sie die Ablehnung für unbegründet hält, den Betreiber zur Einhaltung verpflichten kann. Sie können eine Ablehnung auch unmittelbar vor den Gerichten des Mitgliedstaats anfechten, in dem sich die EU-Niederlassung des Betreibers befindet.
UK-DSGVO: Das Äquivalent nach dem Brexit
Nach dem Brexit hat das Vereinigte Königreich die DSGVO als UK-DSGVO nach dem European Union (Withdrawal) Act 2018 beibehalten, neben dem Data Protection Act 2018. Das Löschungsrecht nach der UK-DSGVO bildet Artikel 17 der EU-DSGVO in seiner Kernstruktur nach: dieselben sechs Gründe nach Artikel 17 Absatz 1, dieselben fünf Ausnahmen nach Artikel 17 Absatz 3 sowie dieselbe einmonatige Antwortfrist nach Artikel 12 Absatz 3.
Wesentliche Unterschiede zur EU-DSGVO:
Die UK-DSGVO wird vom Information Commissioner's Office (ICO) durchgesetzt, nicht von EU-Aufsichtsbehörden der Mitgliedstaaten oder dem EDSA. Befinden Sie sich im Vereinigten Königreich und wird Ihr Löschungsantrag abgelehnt, beschweren Sie sich beim ICO, nicht bei einer kontinentaleuropäischen Datenschutzbehörde.
Das ICO hat ausführliche Leitlinien zum Löschungsrecht sowohl für Einzelpersonen als auch für Organisationen veröffentlicht, die erläutern, wie zu beurteilen ist, ob eine Löschung erforderlich ist, wie mit Anträgen von Kindern umzugehen ist und wann Ausnahmen greifen. Diese Leitlinien beruhen auf demselben Rahmenwerk des Artikels 17, können jedoch mit der Zeit von den Leitlinien des EDSA abweichen, da sich die beiden Rechtssysteme nach dem Brexit unabhängig voneinander weiterentwickeln.
Für Einzelpersonen gilt: Ein britischer Einwohner, der Löschungsrechte gegenüber einem im Vereinigten Königreich niedergelassenen Verantwortlichen ausübt, beschwert sich beim ICO. Ein britischer Einwohner, der Rechte gegenüber einem in der EU niedergelassenen Verantwortlichen ausübt, der Daten britischer Einwohner nach der EU-DSGVO verarbeitet, muss sich für die Durchsetzung des EU-Rechts weiterhin an die zuständige Datenschutzbehörde des EU-Mitgliedstaats wenden, wobei die praktische Lösung häufig beide Behörden einbezieht.
Kein US-amerikanisches Bundesäquivalent
Es gibt kein umfassendes US-Bundesäquivalent zum Recht auf Vergessenwerden nach der DSGVO. Die Vereinigten Staaten kennen kein allgemeines föderales Datenschutzgesetz, das Verbrauchern ein universelles Recht auf Löschung personenbezogener Daten gegenüber privaten Organisationen gewährt.
Das nächstgelegene US-Pendant auf bundesstaatlicher Ebene ist das Löschungsrecht nach dem California Consumer Privacy Act in der durch den California Privacy Rights Act geänderten Fassung (CCPA/CPRA), kodifiziert in Section 1798.105 des California Civil Code. Dieses Recht gilt nur für kalifornische Einwohner im Umgang mit erfassten Unternehmen, die bestimmte Umsatz- oder Datenvolumenschwellen erfüllen, und enthält eine eigene umfangreiche Liste von Ausnahmen.
Auf Bundesebene gewährt der Children's Online Privacy Protection Act (COPPA), 15 U.S.C. Section 6501, Eltern das Recht, die Löschung personenbezogener Daten zu verlangen, die von COPPA-erfassten Betreibern online von Kindern unter 13 Jahren erhoben wurden. Die Schwelle nach COPPA liegt fest bei 13 Jahren, ohne bundesstaatlichen Ermessensspielraum, sie erfasst nur Betreiber, die sich an Kinder richten oder tatsächliche Kenntnis von der Erhebung bei Kindern haben, und das Recht steht den Eltern zu, nicht den betroffenen Personen selbst.
US-Gerichte haben es bislang durchweg abgelehnt, ein Recht anzuerkennen, das Suchmaschinen zur Entfernung rechtmäßiger Inhalte aus den Ergebnissen verpflichtet, gestützt auf den First Amendment und Section 230 des Communications Decency Act. Ein US-Einwohner kann nach geltendem Bundesrecht keinen Antrag entsprechend Artikel 17 nachbilden.
Praktische Schritte: Zusammenfassende Checkliste
Ob Sie als Einzelperson einen Antrag stellen oder als Organisation entscheiden, wie mit einem solchen umzugehen ist, spiegeln die folgenden Schritte das Rahmenwerk des Artikels 17 wider.
Für Einzelpersonen, die eine Löschung beantragen:
- Bestimmen Sie, welcher der sechs Gründe nach Artikel 17 Absatz 1 auf Ihre Situation zutrifft.
- Erwägen Sie, zunächst ein Auskunftsersuchen nach Artikel 15 zu stellen, um genau festzustellen, welche Daten der Verantwortliche besitzt und auf welcher Rechtsgrundlage, insbesondere wenn Sie unsicher sind, ob Grund (a) (Daten nicht mehr erforderlich) zutrifft.
- Stellen Sie den Löschungsantrag schriftlich, unter Angabe des Grundes, der konkreten Daten und Ihrer Kontaktdaten. Kostenlos.
- Notieren Sie das Datum der Einreichung: Die einmonatige Frist beginnt mit dem Eingang.
- Hat der Verantwortliche nicht innerhalb eines Monats geantwortet oder ohne Angabe eines konkreten Ausnahmegrundes nach Artikel 17 Absatz 3 abgelehnt, legen Sie Beschwerde bei Ihrer nationalen Datenschutzbehörde ein (im Vereinigten Königreich: beim ICO).
- Für die Auslistung durch Suchmaschinen reichen Sie den Antrag direkt über das Formular für Datenschutzrechte des Betreibers mit den konkreten URLs und Ihren Gründen ein.
Für Organisationen, die Löschungsanträge bearbeiten:
- Überprüfen Sie die Identität der antragstellenden Person mit verhältnismäßigen Mitteln und antworten Sie zügig.
- Prüfen Sie, ob einer der sechs Gründe zutrifft.
- Trifft ein Grund zu, prüfen Sie, ob ein Ausnahmetatbestand nach Artikel 17 Absatz 3 die fortgesetzte Aufbewahrung rechtfertigt. Dokumentieren Sie die Prüfung.
- Löschen Sie die Daten, bestätigen Sie schriftlich, welche Daten gelöscht wurden.
- Lehnen Sie ab, benennen Sie im Ablehnungsschreiben den konkreten Ausnahmetatbestand nach Artikel 17 Absatz 3 und informieren Sie die antragstellende Person über ihr Recht, sich bei der Aufsichtsbehörde zu beschweren und gerichtlichen Rechtsschutz zu suchen.
- Wurden die Daten öffentlich gemacht, erfüllen Sie die Kaskadenpflicht nach Artikel 17 Absatz 2 und informieren Sie nachgelagerte Verantwortliche über den Löschungsantrag.
- Antworten Sie innerhalb eines Monats; ist eine Verlängerung erforderlich, informieren Sie die antragstellende Person hierüber und über den Grund, bevor der erste Monat abläuft.
Haftungsausschluss: Diese Seite enthält allgemeine rechtliche Informationen zum Löschungsrecht nach der DSGVO und stellt keine Rechtsberatung dar. Das Datenschutzrecht erfordert komplexe, einzelfallabhängige Bewertungen und variiert in wichtigen Punkten zwischen den EU-Mitgliedstaaten. Wenden Sie sich bei einer konkreten Löschungssituation als betroffene Person oder als Verantwortlicher an eine qualifizierte Fachperson für Datenschutzrecht oder an Ihre nationale Datenschutzbehörde.
Verwandte Leitfäden
- Internationale Datenübermittlungen nach der DSGVO: Vorschriften des Kapitels V (2026)
- Gilt die DSGVO für US-Unternehmen? Ein Compliance-Leitfaden
- EU-KI-Gesetz und Datenschutz: Das Zusammenspiel mit der DSGVO erklärt
- EU-Datenschutzrecht: DSGVO, KI-Gesetz und die Digitalreformen 2025-2026
- Was ist die DSGVO? Vollständiger Leitfaden zum EU-Datenschutz (2026)
Frequently Asked Questions
Was ist das Recht auf Vergessenwerden nach der DSGVO?
Das Recht auf Vergessenwerden ist die umgangssprachliche Bezeichnung für das Recht auf Löschung nach Artikel 17 der Verordnung (EU) 2016/679 (DSGVO). Es gewährt Einzelpersonen das Recht, von einem Verantwortlichen (jeder Organisation, die ihre personenbezogenen Daten verarbeitet) unverzüglich die Löschung dieser Daten zu verlangen, sofern einer von sechs konkreten Gründen vorliegt. Zu diesen Gründen zählen: Die Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich; die Einwilligung wurde widerrufen; die betroffene Person hat der Verarbeitung erfolgreich widersprochen; die Verarbeitung war rechtswidrig; eine gesetzliche Pflicht verlangt die Löschung; oder die Daten wurden bei der betroffenen Person als Kind für einen digitalen Dienst erhoben. Das Recht gilt nicht absolut: Fünf Ausnahmen nach Artikel 17 Absatz 3 erlauben Verantwortlichen die Ablehnung, wenn die fortgesetzte Verarbeitung für die Meinungsfreiheit, rechtliche Pflichten, die öffentliche Gesundheit, Forschungszwecke oder die Verteidigung von Rechtsansprüchen erforderlich ist.
Wie beantrage ich eine Löschung nach der DSGVO?
Reichen Sie einen schriftlichen Löschungsantrag beim Datenschutzkontakt des Verantwortlichen oder über dessen Portal für Datenschutzrechte ein, das üblicherweise in der Fußzeile der Website der Organisation verlinkt ist. Geben Sie Ihren Namen und Ihre Kontokennungen an, benennen Sie die zu löschenden Daten oder Datenkategorien, geben Sie den Grund nach Artikel 17 Absatz 1 an, auf den Sie sich berufen, und bitten Sie um schriftliche Bestätigung der Erledigung. Der Antrag ist kostenlos. Der Verantwortliche muss innerhalb eines Kalendermonats antworten. Lehnt er ab, muss er Gründe nennen und Ihnen mitteilen, wie Sie sich bei Ihrer nationalen Datenschutzbehörde beschweren können. Antwortet er innerhalb eines Monats überhaupt nicht, stellt dies selbst einen DSGVO-Verstoß dar, und Sie können sich bei Ihrer nationalen Datenschutzbehörde beschweren.
Welche Ausnahmen gelten für das Recht auf Vergessenwerden nach der DSGVO?
Artikel 17 Absatz 3 legt fünf Ausnahmen fest, die es einem Verantwortlichen erlauben, einen Löschungsantrag abzulehnen, selbst wenn einer der sechs Gründe nach Artikel 17 Absatz 1 vorliegt. Diese Ausnahmen sind: (a) Meinungs- und Informationsfreiheit, einschließlich Journalismus, Kommentaren und Archiven im öffentlichen Interesse; (b) Erfüllung einer rechtlichen Pflicht oder Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich verpflichtender Aufbewahrungsfristen nach Arbeits-, Steuer-, Gesundheits- und Finanzrecht; (c) öffentliche Gesundheit, einschließlich Krankheitsüberwachung und medizinischer Forschung; (d) Archivierung im öffentlichen Interesse, wissenschaftliche oder historische Forschung oder Statistik, sofern die Löschung die Forschung ernsthaft beeinträchtigen würde; und (e) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, einschließlich Rechtsstreitigkeiten und behördlicher Verfahren. Der Verantwortliche muss den konkret anwendbaren Ausnahmetatbestand benennen und Ihnen schriftlich mitteilen. Eine pauschale Ablehnung ohne Angabe eines Grundes ist selbst ein DSGVO-Verstoß.
Gilt das Recht auf Vergessenwerden für Google-Suchergebnisse?
Ja. Der Gerichtshof der Europäischen Union entschied im Fall Google Spain (Rechtssache C-131/12, 2014), dass Suchmaschinen Verantwortliche sind und auf Antrag Links aus Ergebnissen entfernen müssen, sofern einer der Gründe nach Artikel 17 Absatz 1 zutrifft, selbst wenn die zugrunde liegende Webseite weiterhin rechtmäßig veröffentlicht ist. Sie reichen den Auslistungsantrag direkt beim Suchmaschinenbetreiber ein. Google gegen CNIL (Rechtssache C-507/17, 2019) bestätigte jedoch, dass das EU-Recht keine weltweite Auslistung verlangt: Die Pflicht beschränkt sich auf die auf EU-Mitgliedstaaten ausgerichteten Versionen der Suchmaschine (google.fr, google.de usw.), wobei Geoblocking verhindern muss, dass EU-Nutzer über Nicht-EU-Domains wie google.com auf ausgelistete Ergebnisse zugreifen.
Wie lange hat ein Unternehmen Zeit, meine Daten nach einem Löschungsantrag zu löschen?
Nach Artikel 12 Absatz 3 der DSGVO muss der Verantwortliche innerhalb eines Kalendermonats nach Eingang Ihres Antrags tätig werden und die Maßnahme bestätigen. Der Monat läuft ab dem Datum des Eingangs des Antrags, nicht ab einer Bestätigung des Eingangs. Der Verantwortliche kann diese Frist bei komplexen Fällen oder hohen Antragsmengen um bis zu zwei weitere Monate verlängern, muss Sie jedoch innerhalb des ersten Monats über die Verlängerung und deren Grund informieren. Ein Schweigen von mehr als einem Monat stellt einen DSGVO-Verstoß dar. Erhalten Sie innerhalb eines Monats keine Antwort, legen Sie Beschwerde bei Ihrer nationalen Datenschutzbehörde ein.
Kann ich die Löschung von Daten beantragen, die erhoben wurden, als ich noch Kind war?
Ja, und dies ist einer der stärksten verfügbaren Löschungsgründe. Artikel 17 Absatz 1 Buchstabe f der DSGVO gewährt Ihnen das Recht, die Löschung personenbezogener Daten zu verlangen, die als Kind für einen Dienst der Informationsgesellschaft (eine Social-Media-Plattform, App, ein Spiel oder ähnlicher digitaler Dienst) von Ihnen erhoben wurden. Die DSGVO legt das Mindestalter für die Einwilligung bei solchen Diensten auf 16 Jahre fest, wobei Mitgliedstaaten dies auf nicht weniger als 13 Jahre absenken können. Wurden Daten von Ihnen erhoben, während Sie unter der jeweils geltenden Altersschwelle waren, war diese Erhebung rechtswidrig, und Sie haben Gründe sowohl nach Artikel 17 Absatz 1 Buchstabe d (rechtswidrige Verarbeitung) als auch Buchstabe f. Sie können diesen Antrag als Erwachsener stellen; maßgeblich ist Ihr Alter zum Zeitpunkt der Erhebung, nicht Ihr aktuelles Alter.
Was unterscheidet einen Löschungsantrag nach der DSGVO von einem Auskunftsersuchen?
Ein Auskunftsersuchen (Subject Access Request, SAR) nach Artikel 15 der DSGVO ist ein Informationsrecht: Es ermöglicht Ihnen, herauszufinden, welche personenbezogenen Daten ein Verantwortlicher über Sie besitzt, warum er sie besitzt und wie er sie verarbeitet. Ein Löschungsantrag nach Artikel 17 ist ein Handlungsrecht: Er verpflichtet den Verantwortlichen zur Löschung der Daten. Die beiden Rechte werden häufig nacheinander genutzt, zunächst ein Auskunftsersuchen, um festzustellen, welche Daten bestehen und auf welcher Rechtsgrundlage, dann ein Löschungsantrag, sobald diese Information vorliegt. Beide sind kostenlos und unterliegen nach Artikel 12 einer einmonatigen Antwortfrist. Ein Auskunftsersuchen löst nicht automatisch eine Löschung aus, und ein Löschungsantrag berechtigt nicht zu einer Kopie der Daten vor deren Löschung.
Gilt das Recht auf Vergessenwerden weltweit oder nur in der EU?
Das DSGVO-Löschungsrecht gilt für Betroffene in der EU und für Verantwortliche, die in der EU niedergelassen sind oder EU-Bewohner gezielt ansprechen. Es erstreckt sich nicht automatisch auf die Verarbeitung von Daten Nicht-EU-Bürger durch Nicht-EU-Unternehmen. Speziell für die Auslistung durch Suchmaschinen entschied der EuGH in Google gegen CNIL (C-507/17, 2019), dass das EU-Recht nur die Auslistung aus den auf EU-Mitgliedstaaten ausgerichteten Versionen der Suchmaschine verlangt, nicht weltweit. Ein US-Einwohner hat kein DSGVO-Recht, von einem US-Unternehmen die Löschung von Daten zu verlangen, kann jedoch Rechte nach US-Bundesstaatsrecht haben, etwa das Löschungsrecht nach dem kalifornischen CCPA.
Was kann ich tun, wenn ein Unternehmen meinen Löschungsantrag ablehnt?
Lehnt ein Verantwortlicher Ihren Löschungsantrag ab, muss er Ihnen schriftliche Gründe unter Angabe eines konkreten Ausnahmetatbestands nach Artikel 17 Absatz 3 mitteilen und Ihnen erläutern, wie Sie eskalieren können. Es gibt zwei zentrale Wege: erstens, Beschwerde bei Ihrer nationalen Aufsichtsbehörde einlegen (im Vereinigten Königreich das ICO, in Frankreich die CNIL, in Deutschland die zuständige Landesdatenschutzbehörde oder der BfDI, in Irland die DPC), die untersuchen und den Verantwortlichen zur Einhaltung verpflichten kann; zweitens, gerichtlichen Rechtsschutz unmittelbar gegen den Verantwortlichen vor den Gerichten des Mitgliedstaats suchen, in dem der Verantwortliche niedergelassen ist, nach Artikel 79 DSGVO. Unbegründete Ablehnungen sowie ausbleibende Antworten können zu Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist.
Gibt es ein Recht auf Vergessenwerden in den Vereinigten Staaten?
Es gibt kein US-Bundesäquivalent zum DSGVO-Recht auf Vergessenwerden. Das nächstgelegene Pendant ist das Löschungsrecht nach dem kalifornischen CCPA/CPRA, kodifiziert in Section 1798.105 des California Civil Code, das nur für kalifornische Einwohner im Umgang mit erfassten Unternehmen gilt und weitreichende Ausnahmen enthält. Auf Bundesebene gewährt COPPA Eltern das Recht, die Löschung von Daten zu verlangen, die von Kindern unter 13 Jahren erhoben wurden, ist jedoch im Anwendungsbereich enger gefasst und gilt nur für Betreiber kindgerichteter Dienste. US-Gerichte haben es bislang durchweg abgelehnt, Suchmaschinen zur Auslistung rechtmäßiger Inhalte zu verpflichten, gestützt auf den First Amendment und Section 230 des Communications Decency Act.
Sources and References
- Verordnung (EU) 2016/679 (DSGVO), Amtsblatt der Europäischen Union, vollständiger Text einschließlich Artikel 12, 17, 21 und Erwägungsgründe 65-66(eur-lex.europa.eu)
- EuGH, Rechtssache C-131/12, Google Spain SL und Google Inc. gegen AEPD und Mario Costeja González, Große Kammer, 13. Mai 2014(eur-lex.europa.eu)
- EuGH, Rechtssache C-507/17, Google LLC gegen Commission nationale de l'informatique et des libertés (CNIL), Große Kammer, 24. September 2019(eur-lex.europa.eu)
- EDSA-Leitlinien 5/2019 zu den Kriterien für das Recht auf Vergessenwerden bei Suchmaschinenfällen nach der DSGVO, angenommen am 7. Juli 2020 nach öffentlicher Konsultation(edpb.europa.eu)
- EDSA — Koordinierte Durchsetzungsmaßnahme: Umsetzung des Rechts auf Löschung durch Verantwortliche (CEF-2025-Bericht, 18. Februar 2026)(edpb.europa.eu)
- California Civil Code Section 1798.105 (CCPA/CPRA-Löschungsrecht), California Legislative Information(leginfo.legislature.ca.gov)