DSGVO-Urteil: Versteckte Daten gelten nicht als gelöscht – was jetzt gilt
Rolf-Peter Scheel
DSGVO-Urteil: Versteckte Daten gelten nicht als gelöscht – was jetzt gilt
"Verstecken reicht nicht" – Urteil verlangt unwiderrufliche Löschung von Daten für GDPR-konforme Löschung
Ein richtungsweisendes Urteil des Sozialgerichts Düsseldorf (S 16 AS 2347/21) definiert klar die Grenzen der datenschutzrechtlichen Löschpflichten: Das bloße Verbergen personenbezogener Daten in einer Software gilt nicht als echte Löschung im Sinne der DSGVO.
Düsseldorf, 6. Dezember 2025
Ein aktuelles Urteil des Sozialgerichts Düsseldorf setzt klarere Maßstäbe für die Löschung von Daten nach der Datenschutz-Grundverordnung (DSGVO). Die Richter entschieden, dass das bloße Ausblenden personenbezogener Daten in Softwarelösungen den gesetzlichen Anforderungen an eine Löschung nicht genügt. Stattdessen müssen Unternehmen sicherstellen, dass ihre Systeme Daten dauerhaft und unwiderruflich entfernen können.
Der Fall (Aktenzeichen: S 16 AS 2347/21) unterstreicht die Notwendigkeit technischer Nachbesserungen, um den DSGVO-Standards gerecht zu werden. Gleichzeitig betont er die Verantwortung sowohl der Datenverantwortlichen als auch der Softwareanbieter bei der Erfüllung dieser Pflichten.
Das Gericht stellt in seiner Begründung klar: Löschung im Sinne der DSGVO bedeutet mehr als das bloße Verstecken von Daten. Entscheidend ist, dass personenbezogene Referenzen so entfernt werden, dass die Informationen nicht mehr aktiv verarbeitet werden können. Bleiben die Daten – selbst in verborgenen Formaten – technisch abrufbar, entspricht dies nicht den Vorgaben der Verordnung.
Für Verantwortliche ergibt sich daraus eine verschärfte Prüfungspflicht ihrer IT-Systeme. Sie müssen sicherstellen, dass ihre Software echte Löschfunktionen bietet und nicht nur oberflächliche Verbergungsmechanismen. Das Urteil legt nahe, dass Unternehmen bestehende Systeme auf notwendige Updates oder Anpassungen hin überprüfen sollten, um die Konformität zu erreichen.
Auch Softwarehersteller sind gefordert: Die Entscheidung deutet an, dass neue Systeme bereits in der Entwicklungsphase DSGVO-konforme Löschmechanismen integrieren sollten. Bisher haben sich jedoch keine Hersteller öffentlich verpflichtet, solche Funktionen als Reaktion auf das Urteil umzusetzen. Suchanfragen verweisen stattdessen auf ein separates Verfahren des Sozialgerichts Dresden (S 15 SF 304/24 DS), ohne dass branchenweite Initiativen erkennbar wären.
Cashback bei deinen
Lieblingsrestaurants und Services
Kaufe Gutscheine und spare in deinen Lieblingsorten in deiner Nähe
Im konkreten Fall lehnte das Gericht einen Schadensersatzanspruch nach Artikel 82 DSGVO ab. Begründet wurde dies damit, dass die betroffene Person keine Kontrolle über ihre Daten verloren habe und somit kein ersatzfähiger Schaden entstanden sei.
Das Düsseldorfer Urteil untermauert die Dringlichkeit robuster technischer Lösungen für DSGVO-konforme Löschungen. Datenverantwortliche müssen nun sicherstellen, dass ihre Software unwiderrufliche Löschungen durchführt – und nicht nur Daten verbirgt. Ohne solche Maßnahmen riskieren Unternehmen, die gesetzlichen Datenschutzanforderungen zu verfehlen. Bisher liegen keine Meldungen über konkrete Zusagen von Softwareanbietern vor, sodass die Verantwortung vorerst bei den Datenverantwortlichen selbst liegt.
