Zum Inhalt
ISMS.online

So weisen Sie die Einhaltung von Artikel 17 der DSGVO nach

Artikel 17 der DSGVO (Recht auf Löschung) erläutert das Recht von Einzelpersonen, die Löschung ihrer personenbezogenen Daten zu verlangen, und legt fest, wann Organisationen diesem Recht nachkommen müssen, sowie Ausnahmen, in denen die Datenaufbewahrung gesetzlich vorgeschrieben ist.

Autorin
John Whiting
Aktualisiert September 30, 2025
4 / 5 Sterne

DSGVO Artikel 17 verstehen: Das Recht auf Löschung erklärt

Artikel 17 befasst sich mit einem der wichtigsten Aspekte der EU und des Vereinigten Königreichs Datenschutz Gesetz – ein „Recht der betroffenen Person auf Vergessenwerden“, auch „Recht auf Löschung“ genannt.

Artikel 17 listet mehrere Gründe auf, warum eine betroffene Person möglicherweise vergessen werden möchte, sowie die Verpflichtung einer Organisation, andere Verantwortliche zu informieren, die möglicherweise ebenfalls Daten einer betroffenen Person im Rahmen ihrer eigenen Geschäftstätigkeit verarbeiten.

DSGVO Artikel 17 Gesetzestext

EU-DSGVO-Version

Artikel 17 – Recht auf Löschung („Recht auf Vergessenwerden“)

  1. Die betroffene Person hat das Recht, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der folgenden Gründe zutrifft:

    • die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich;
    • Die betroffene Person widerruft ihre Einwilligung, auf der die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, und wenn keine andere Rechtsgrundlage für die Verarbeitung besteht.
    • die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein;
    • die personenbezogenen Daten wurden rechtswidrig verarbeitet;
    • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt;
    • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
  2. Wenn der Verantwortliche die personenbezogenen Daten öffentlich gemacht hat und gemäß Absatz 1 zur Löschung der personenbezogenen Daten verpflichtet ist, ergreift der Verantwortliche unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Schritte, einschließlich technischer Maßnahmen, um die Verantwortlichen darüber zu informieren Verarbeitung der personenbezogenen Daten, bei denen die betroffene Person von diesen Verantwortlichen die Löschung aller Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen dieser personenbezogenen Daten beantragt hat.
  3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist:

    • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
    • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
    • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
    • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung dieser Ziele unmöglich macht oder ernsthaft beeinträchtigt wird bearbeitet; oder
    • zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen.

Britische DSGVO-Version

Artikel 17 – Recht auf Löschung („Recht auf Vergessenwerden“)

  1. Die betroffene Person hat das Recht, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der folgenden Gründe zutrifft:

    • die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich;
    • Die betroffene Person widerruft ihre Einwilligung, auf der die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, und wenn keine andere Rechtsgrundlage für die Verarbeitung besteht.
    • die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein;
    • die personenbezogenen Daten wurden rechtswidrig verarbeitet;
    • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach innerstaatlichem Recht erforderlich, der der Verantwortliche unterliegt.
    • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
  2. Wenn der Verantwortliche die personenbezogenen Daten öffentlich gemacht hat und gemäß Absatz 1 zur Löschung der personenbezogenen Daten verpflichtet ist, ergreift der Verantwortliche unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Schritte, einschließlich technischer Maßnahmen, um die Verantwortlichen darüber zu informieren Verarbeitung der personenbezogenen Daten, bei denen die betroffene Person von diesen Verantwortlichen die Löschung aller Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen dieser personenbezogenen Daten beantragt hat.
  3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist:

    • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
    • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach innerstaatlichem Recht erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
    • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
    • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung dieser Ziele unmöglich macht oder ernsthaft beeinträchtigt wird bearbeitet; oder
    • zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen.


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Technischer Kommentar

Ein pauschales Recht auf Löschung der Daten besteht für die betroffene Person nicht. Anfragen müssen einem der folgenden rechtlichen Kriterien entsprechen:

  • die Daten sind für die ursprünglichen Zwecke nicht mehr erforderlich;
  • Widerruf der Einwilligung (wenn die gesamte Verarbeitungsgrundlage auf der Einwilligung beruht);
  • Ein Widerspruch gegen die Verarbeitung oder das Fehlen berechtigter Gründe für die Erhebung und/oder Verarbeitung;
  • unrechtmäßige/illegale Verarbeitung;
  • Einhaltung einer anderen rechtlichen Verpflichtung;
  • kinderschutzbezogene Zwecke.

Wenn eine Organisation aus irgendeinem Grund personenbezogene Daten veröffentlicht hat, sollte sie „angemessene Schritte“ unternehmen, um alle anderen Verantwortlichen – einschließlich Mitarbeiter – und Dritte über die Notwendigkeit der Datenlöschung auf Wunsch der betroffenen Person zu informieren.

ISO 27701 Abschnitt 7.2.2 und EU-DSGVO Artikel 17

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 17 (3)(a), 17 (3)(b), 17 (3)(c), 17 (3)(d) und 17 (3)(e)

Ermittlung einer rechtmäßigen Grundlage

Zur Bildung eines dokumentiert Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten sollten Organisationen zunächst Folgendes tun:

  1. Zustimmung einholen;
  2. einen Vertrag abschließen;
  3. alle anderen gesetzlichen Verpflichtungen einhalten;
  4. die „lebenswichtigen Interessen“ der betreffenden PII-Auftraggeber schützen;
  5. nur Aufgaben wahrnehmen, die im öffentlichen Interesse liegen;
  6. Stellen Sie sicher, dass die Verarbeitungstätigkeiten ein berechtigtes Interesse darstellen.

Organisationen sollten auch alle „besonderen Kategorien“ personenbezogener Daten berücksichtigen, die sich auf ein Datenklassifizierungsschema beziehen (siehe ISO 27701 Abschnitt 7.2.8).

Unterstützende ISO 27701-Klauseln

  • ISO 27701 7.2.8


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 7.3.5 und EU-DSGVO Artikel 17

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 17 (1)(a), 17 (1)(b), 17 (1)(c), 17 (1)(d), 17 (1)(e), 17 ( 1)(f), 17 (2)

Bereitstellung von Mechanismen zum Widerspruch gegen die Verarbeitung personenbezogener Daten

Die Gesetze variieren von Region zu Region, aber die Gerichtsbarkeiten geben Einzelpersonen häufig das Recht, Einspruch gegen die Art und Weise einzulegen, wie ihre Daten erfasst, verarbeitet und weitergegeben werden.

Dementsprechend sollten Organisationen:

  1. alle rechtlichen oder behördlichen Anforderungen aufzeichnen, die sich mit bestimmten Einwänden befassen;
  2. Geben Sie Einzelpersonen klare, präzise und leicht verständliche Anweisungen, wie sie der Erhebung, Verarbeitung oder Weitergabe ihrer Daten widersprechen können.

ISO 27701 Abschnitt 8.3.1 und EU-DSGVO Artikel 17 (2)

Verpflichtungen gegenüber PII-Auftraggebern

Organisationen müssen sicherstellen, dass Kunden die geeigneten Mittel erhalten, um ihren (d. h. der Organisation) Pflichten als PII-Controller in drei wichtigen Betriebsbereichen nachzukommen:

  1. gesetzgeberisch;
  2. regulatorisch;
  3. vertraglich.

Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln

DSGVO-Artikel ISO 27701-Klausel Unterstützende Klauseln der ISO 27701
EU-DSGVO Artikel 17 (3) (a) bis 17 (3) (e) ISO 27701 7.2.2 ISO 27701 7.2.8
EU-DSGVO Artikel 17 (1)(a) bis 17 (2) ISO 27701 7.3.5 Non
EU-DSGVO Artikel 17 (2) ISO 27701 8.3.1 Non

Wie ISMS.online hilft

Die DSGVO gilt allgemein als die strengste Datenschutz- und Sicherheitsverordnung der Welt, deren Verstöße zu erheblichen Geldstrafen führen. Es kann mehrdeutig und interpretierbar sein, was darauf hindeutet, dass Organisationen ein „angemessenes“ Schutzniveau für personenbezogene Daten bieten müssen.

Aber hier sind die guten Nachrichten. ISMS.online erleichtert Ihnen den direkten Einstieg in die Einhaltung der DSGVO und den Nachweis eines Schutzniveaus, das über „angemessen“ hinausgeht – und das alles an einem sicheren, stets verfügbaren Ort.

Die ISMS.online-Plattform verfügt über integrierte Anleitungen für jeden Schritt in Kombination mit unserem Implementierungsansatz „Adopt, Adapt, Add“, sodass der Aufwand für die Demonstration Ihres Ansatzes zur DSGVO erheblich reduziert wird. Sie profitieren außerdem von einer Reihe leistungsstarker zeitsparender Funktionen.

Erfahren Sie mehr von Buchen Sie noch heute eine kurze Demo.

John Whiting

John ist Leiter Produktmarketing bei ISMS.online. Mit über einem Jahrzehnt Erfahrung in der Arbeit in Startups und im Technologiebereich widmet sich John der Gestaltung überzeugender Narrative rund um unsere Angebote bei ISMS.online und stellt sicher, dass wir mit der sich ständig weiterentwickelnden Informationssicherheitslandschaft auf dem Laufenden bleiben.

DSGVO-Artikel

DSGVO im Detail

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter - Herbst 2025
Leistungsstarke Kleinunternehmen – Herbst 2025, Großbritannien
Regionalleiter – Herbst 2025 Europa
Regionalleiter – Herbst 2025 EMEA
Regionalleiter – Herbst 2025, Großbritannien
High Performer – Herbst 2025, Europa, Mittelstand

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Kristall

Bereit, um loszulegen?

Beratungstermin vereinbaren