Die schnelle Löschung personenbezogener Daten gilt in vielen Unternehmen noch immer als datenschutzrechtlich sicherer Standard. Gerade im Marketing, Vertrieb und in digitalisierten Kundenprozessen entsteht häufig die Annahme, dass mit der Löschung auch das rechtliche Risiko verschwindet. Genau diese Sichtweise hat das Verwaltungsgericht Düsseldorf nun deutlich korrigiert.
In seinem Gerichtsbescheid vom 21. Januar 2026 hat das Gericht klargestellt: Werden personenbezogene Daten gelöscht, bevor ein fristgerecht geltend gemachter Auskunftsanspruch vollständig erfüllt ist, kann darin selbst ein Datenschutzverstoß liegen. Die gegen das Unternehmen ausgesprochene Verwarnung der Aufsichtsbehörde wurde bestätigt.
Der Fall des VG Düsseldorf: Auskunft verlangt, Daten gelöscht
Ausgangspunkt war eine Werbe-E-Mail, die am 26. August 2022 an einen Betroffenen versandt wurde. Noch am selben Tag verlangte dieser Auskunft nach Art. 15 DSGVO, insbesondere zur Herkunft seiner personenbezogenen Daten. Nachdem zunächst keine vollständige Reaktion erfolgte, erinnerte er einen Monat später erneut an sein Auskunftsersuchen. Das betroffene Unternehmen übersandte daraufhin ein Dokument zur Gewinnspieldokumentation und teilte zugleich mit, die Daten des Betroffenen inzwischen gelöscht zu haben. Die Datenschutzaufsicht verwarnte das Unternehmen daraufhin, und das VG Düsseldorf bestätigte diese Maßnahme.
Warum die Entscheidung so relevant ist
Das Gericht stellt einen zentralen Grundsatz des Datenschutzrechts in den Mittelpunkt: Auch die Löschung ist eine Verarbeitung personenbezogener Daten. Sie ist also nicht rechtsfrei, sondern bedarf selbst einer datenschutzrechtlichen Rechtfertigung.
Das VG Düsseldorf betont ausdrücklich, dass die Löschung der Daten in diesem Fall rechtswidrig war, weil das Unternehmen die Daten nach Stellung des Auskunftsantrags nicht weiter gespeichert hatte, obwohl es zur vollständigen Beantwortung verpflichtet war.
Der rechtlich relevante Zweck
Besonders wichtig ist die Kernaussage des Gerichts: Der Zweck der weiteren Speicherung entfällt nicht schon deshalb, weil das Unternehmen meint, die Daten für das ursprüngliche Marketing nicht mehr zu benötigen. Vielmehr entsteht mit Eingang des Auskunftsersuchens ein neuer rechtlich relevanter Zweck, nämlich die Erfüllung der Informationspflicht gegenüber der betroffenen Person. Nach den Leitsätzen des Gerichts endet dieser Zweck frühestens dann, wenn die begehrten Informationen vollständig und innerhalb der gesetzlichen Frist bereitgestellt wurden.
Art. 15 DSGVO hat in dieser Situation Vorrang vor vorschneller Löschung
Für die Praxis ist das ein entscheidender Punkt. Das Auskunftsrecht aus Art. 15 DSGVO soll betroffenen Personen gerade ermöglichen, die Rechtmäßigkeit einer Datenverarbeitung zu überprüfen. Dazu gehört insbesondere die Frage, welche Daten verarbeitet wurden, woher sie stammen, zu welchen Zwecken sie genutzt wurden und an wen sie gegebenenfalls übermittelt wurden. Werden die betreffenden Datensätze vorher gelöscht, wird dieses Recht faktisch entwertet. Genau das wollte das Gericht verhindern.
Die Entscheidung zeigt damit deutlich: Löschpflichten und Auskunftspflichten dürfen nicht isoliert betrachtet werden. Sobald ein Auskunftsersuchen eingeht, ist die vorschnelle Löschung kein Ausdruck guter Datenschutzpraxis, sondern kann die Rechenschaftspflicht des Unternehmens unterlaufen. Das gilt besonders in datenintensiven Bereichen wie Direktmarketing, Leadgenerierung, CRM-Systemen oder Newsletter-Prozessen, in denen Herkunfts- und Einwilligungsinformationen oft entscheidend sind.
Was Unternehmen jetzt konkret ändern sollten
Die Entscheidung ist ein deutlicher Hinweis darauf, dass Löschkonzepte, Betroffenenprozesse und technische Routinen enger verzahnt werden müssen.
Legal Hold etablieren
Unternehmen brauchen einen belastbaren Mechanismus, mit dem personenbezogene Daten bei Eingang eines Auskunftsersuchens vorübergehend vor automatisierter Löschung geschützt werden. Löschläufe müssen für den betroffenen Datensatz ausgesetzt werden, bis die Auskunft vollständig erteilt und dokumentiert wurde.
Systeme prüfen
Gerade mittelständische Unternehmen sollten prüfen, ob ihre Systeme diese Anforderungen erfüllen. Kritisch sind insbesondere automatisierte Löschregeln in CRM-, Ticket-, Marketing- und ERP-Systemen.
Prozessdesign anpassen
Wenn Auskunftsersuchen manuell bearbeitet werden, Löschläufe aber im Hintergrund automatisiert weiterlaufen, entsteht ein erhebliches Risiko. Datenschutz-Compliance entscheidet sich im technischen Prozessdesign.
Besondere Vorsicht bei kombinierten Anfragen
In der Praxis gehen häufig Schreiben ein, in denen Betroffene zugleich Auskunft verlangen und die Löschung ihrer Daten fordern. Auch in solchen Fällen darf nicht reflexartig gelöscht werden. Zunächst muss geprüft werden, welche Daten zur Erfüllung des Auskunftsanspruchs weiterhin benötigt werden. Erst nach vollständiger und fristgerechter Auskunft kann sauber beurteilt werden, ob und in welchem Umfang eine Löschung umzusetzen ist. Die Düsseldorfer Entscheidung macht klar, dass die richtige Reihenfolge rechtlich entscheidend ist.
Welche Risiken drohen
Im entschiedenen Fall blieb es bei einer Verwarnung. Zugleich zeigt die Entscheidung, dass Aufsichtsbehörden bereits bei fehlerhaften Auskunfts- und Löschprozessen einschreiten können. Daraus folgt für Unternehmen ein reales Eskalationsrisiko: Wer Betroffenenrechte organisatorisch nicht sauber absichert, riskiert nicht nur Beschwerden und Prüfungen, sondern auch weitergehende aufsichtsbehördliche Maßnahmen.
Fazit: Löschung bleibt Pflicht, aber nicht zur falschen Zeit
Das Urteil des VG Düsseldorf markiert einen wichtigen Punkt für die betriebliche Datenschutzpraxis. Datenminimierung und Löschung bleiben zentrale Grundprinzipien der DSGVO. Sie dürfen jedoch nicht so umgesetzt werden, dass Betroffenenrechte ins Leere laufen. Sobald ein Auskunftsersuchen eingeht, verschiebt sich der rechtliche Fokus: Nicht die sofortige Löschung, sondern die vollständige, transparente und fristgerechte Auskunft hat Priorität. Erst danach darf der Datenbestand datenschutzkonform bereinigt werden.
Unternehmen, die ihre Prozesse jetzt anpassen, senken nicht nur ihr Haftungs- und Sanktionsrisiko. Sie stärken auch ihre Nachweisfähigkeit gegenüber Aufsichtsbehörden, schaffen verlässliche interne Abläufe und erhöhen das Vertrauen in ihre Datenschutzorganisation. Gerade für KMU ist das ein entscheidender Wettbewerbsvorteil.
Häufig gestellte Fragen (FAQ)
Darf ich Daten sofort löschen, wenn ein Betroffener Auskunft verlangt?
Nein. Gemäß dem Urteil des VG Düsseldorf hat das Auskunftsrecht (Art. 15 DSGVO) Vorrang. Die Daten müssen solange gespeichert bleiben, bis die Auskunft vollständig und fristgerecht erteilt wurde. Eine vorschnelle Löschung kann einen Datenschutzverstoß darstellen.
Was passiert bei kombinierten Anfragen (Auskunft und Löschung gleichzeitig)?
Auch hier gilt: Die richtige Reihenfolge ist rechtlich entscheidend. Zuerst muss geprüft werden, welche Daten für die Auskunft benötigt werden. Die Auskunft muss erteilt werden, bevor eine Löschung der Datensätze durchgeführt wird.
Wie schütze ich Daten in meinen Systemen vor einer automatischen Löschung?
Unternehmen sollten einen sogenannten „Legal Hold“ etablieren. Das bedeutet, dass beim Eingang eines Auskunftsersuchens die automatisierten Löschläufe (z.B. im CRM- oder ERP-System) für diesen spezifischen Datensatz vorübergehend ausgesetzt werden, bis die Anfrage rechtssicher dokumentiert und beantwortet ist.
Welche Konsequenzen drohen bei fehlerhaften Löschprozessen?
Aufsichtsbehörden können bereits bei prozessualen Fehlern einschreiten. Die Folgen reichen von offiziellen Verwarnungen bis hin zu weitreichenden aufsichtsbehördlichen Maßnahmen und potenziellen Bußgeldern, wenn die Betroffenenrechte systematisch missachtet werden.
Bereit für rechtssichere Datenschutz-Prozesse?
Wer Betroffenenanfragen, Löschkonzepte und technische Prozesse rechtssicher aufeinander abstimmen möchte, sollte bestehende Abläufe jetzt prüfen. Eine belastbare Datenschutzorganisation beginnt dort, wo Auskunft, Löschung und Rechenschaftspflicht sauber zusammenspielen. Ein strukturierter Review der internen Prozesse schafft hier schnell Klarheit und reduziert vermeidbare Risiken.
JETZT kostenloses Erstgespräch vereinbaren
