Ob E-Mail, Telefonnummer oder Anschrift: Kunden können die Löschung ihrer Daten jederzeit ohne Angabe von Gründen verlangen. (Foto: © Sergei Babenko /123RF.com)
Vorlesen:
Februar 2026
Direktmailings, Social-Media-Kanäle oder gezielte Werbeangebote per E-Mail: Wer Marketing nutzt, muss personenbezogene Daten von Kunden auch wieder löschen. Welche Vorgaben dabei gelten, erklärt eine Expertin.
Den passenden Zeitpunkt und richtigen Kanal für die Kommunikation mit den Kunden zu wählen, ist für Betriebe oft eine Herausforderung. Wer Kundendaten verarbeitet und Kunden direkt anspricht, benötigt deren Einwilligung und muss personenbezogene Daten auch wieder löschen können.
Denn die Datenschutz-Grundverordnung (DSGVO) verpflichtet alle Betriebe, grundlegende Datenschutzregeln einzuhalten. Ist das System einmal korrekt eingerichtet, sind die wichtigsten Voraussetzungen erfüllt. "Aber Vorsicht", warnt Anja da Cunha, Unternehmensberaterin bei Ecovis: "Unternehmerinnen und Unternehmer dürfen dann nicht nachlassen – insbesondere, wenn es um die Konzeption und Umsetzung von tragfähigen Löschkonzepten geht."
Die Anforderungen betreffen alle Unternehmen, unabhängig von Branche und Größe. "Die meisten Betriebe sind bei diesem Thema auch bereits sehr gut aufgestellt", sagt da Cunha. "Schließlich ist die DSGVO nicht mehr neu." Einwilligungen einschließlich des Double-Opt-in sowie Möglichkeiten zum Widerspruch sind mittlerweile in vielen Betrieben Standard.
Trotzdem entstehen immer wieder Unsicherheiten beim Thema Datenlöschung. "Hier ist häufig nicht klar, wie ein sauberes Löschkonzept auszusehen hat", berichtet da Cunha aus ihrer Beratungspraxis. Einheitliche Vorgaben existieren bislang nicht, da jede Firma Daten auf unterschiedliche Weise speichert.
Betriebsführung
Panorama
Betriebsführung
Während größere Unternehmen automatisierte CRM-Systeme (Customer Relationship Management) einsetzen, führen kleinere Betriebe oft manuelle Excel-Listen. Ein wirksames Löschkonzept muss daher immer zur jeweiligen Betriebsstruktur und Art der Datenspeicherung passen. "Wichtig ist, dass alle Mitarbeiterinnen und Mitarbeiter, die mit personenbezogenen Daten arbeiten, die definierten Prozesse kennen und sich an diese halten", erläutert da Cunha.
Bestimmte Regeln geben vor, wann Unternehmen Daten löschen müssen. Dies ist etwa der Fall, wenn der ursprüngliche Zweck der Speicherung entfällt. "Gibt es also etwa die Einwilligung zu einem Newsletter, der über Sommerangebote informiert, können Betriebe diese Daten nicht einfach nutzen, um später Produktneuheiten anzupreisen", erklärt Ecovis-Unternehmensberater Andreas Bachmeier. Er ergänzt: "Beachten Sie also bereits bei der Konzeption der Einwilligung darauf, dass Sie deren Umfang nicht versehentlich zu sehr einschränken."
Bei einer Unternehmensnachfolge oder einem Verkauf des Betriebs ist ebenfalls Vorsicht geboten, da übernommene Datenbestände nicht ohne Weiteres genutzt werden dürfen.
Kundinnen und Kunden haben außerdem das Recht, die Löschung ihrer Daten jederzeit ohne Angabe von Gründen zu verlangen. "Und löschen heißt löschen. Unternehmen dürfen die Daten dann in der Regel auch nicht pseudonymisiert für die eigene Statistik oder auf Blacklists weiter vorhalten. Auch Backups müssen sie regelmäßig überschreiben", betont da Cunha.
Behörden können stichprobenartig prüfen, ob sich Unternehmen an die Vorgaben halten. Bei Beschwerden erfolgt in der Regel eine gezielte Kontrolle. In einem solchen Fall muss ein nachvollziehbares Löschkonzept vorliegen. "Dabei ist es von Vorteil, wenn der Prozess schriftlich festgehalten ist", sagt Bachmeier, der selbst als Datenschutzbeauftragter tätig ist.
Die Dokumentation sollte klar beantworten:
Je nach Unternehmensgröße und IT-Struktur liegt die Verantwortung für das Löschkonzept in unterschiedlichen Bereichen. In kleineren Betrieben kann sie in der Geschäftsführung oder im Marketing liegen, in größeren Unternehmen häufig in der IT-Abteilung. "Wer auf Nummer sicher gehen will, gibt das Thema in die Verantwortung von Profis, ernennt also einen Datenschutzbeauftragten", sagt Bachmeier. Ein Datenschutzbeauftragter ist Pflicht, wenn regelmäßig mehr als 20 Mitarbeitende mit personenbezogenen Daten arbeiten. Auch bei sensiblen Daten oder umfangreicher, systematischer Verarbeitung ist eine solche Position vorgeschrieben. Externe Datenschutzbeauftragte sind ebenfalls eine sinnvolle Option. "Insbesondere mit Blick auf die sich immer wieder ändernde Rechtslage aufgrund von nationalen oder auch EU-weiten Vorgaben sowie den dazu vorgegebenen Fortbildungsmaßnahmen", erklärt Bachmeier.
Quelle: Ecovis
Die Berater in den Handwerkskammern helfen Ihnen bei Rechtsfragen gerne weiter!
DHB jetzt auch digital!Einfach hier klicken und für das digitale Deutsche Handwerksblatt (DHB) registrieren!
Newsletter
Kommentar schreiben