Unser Self-Check kann Verantwortlichen als Mittel zur Selbstkontrolle zur Implementierung des Art. 17 DS-GVO und damit als „Realitätscheck“ dienen.
Seit Inkrafttreten der DS-GVO am 25. Mai 2018 wurden bei Verantwortlichen zahlreiche Prozesse erarbeitet und Leitlinien erstellt. Die tatsächliche Umsetzung geht leider oft unter: Häufig werden die geschaffenen Standards in der Praxis nicht konsequent umgesetzt und bedürfen einer Optimierung oder Anpassung.
Defizite in der Art.-17- DS-GVO-Umsetzung können anlässlich der Geltendmachung des Rechts durch Betroffene oder im Rahmen datenschutzaufsichtsbehördlicher Verfahren zutage treten. Mit einem Self-Check lässt sich überprüfen, ob sich die geschaffenen Maßnahmen etabliert und damit tatsächlich zu einem höheren Datenschutzniveau geführt haben.
Der Fragebogen wurde im Rahmen einer europaweiten koordinierten Durchsetzungsmaßnahme „Coordinated Enforcement Framework“ (CEF) des EDSA für das Jahr 2025 gestartet und zeigt exemplarisch, welche Fragen Datenschutzbehörden zu Art. 17 DSGVO in aufsichtsrechtlichen Verfahren stellen könnten.
Verantwortliche sind dazu eingeladen, auf freiwilliger Basis an der CEF-Befragung teilzunehmen. – Bitte unter Angabe des Betreffs „CEF2025” über unsere allgemeinen Kontaktmöglichkeiten.
Inhalt
1. Informationen zum Verantwortlichen
1.1Name:
Anschrift:
Kontaktdaten:
1.2 Bitte nennen Sie den Bereich, in welchem Ihre Organisation tätig ist (bitte wählen Sie nur einen aus):
☐ öffentlich
☐ privat/nicht-öffentlich
☐ Sonstiges (bitte angeben):
1.3 Bitte geben Sie den konkreten Sektor („Kerngeschäft“) an, in dem Ihre Organisation hauptsächlich tätig ist (bitte wählen Sie nur einen aus):
☐ Bildungssektor
☐ Gesundheitssektor
☐ Sozialsektor
☐ Versicherungssektor
☐ Finanzsektor / Kreditwesen
☐ IT-Sektor
☐ Einzelhandel
☐ Logistiksektor
☐ öffentliche Verkehrsmittel (ÖPNV)
☐ Telekommunikation
☐ Postdienste
☐ Werbebranche
☐ Marketingdienstleistungen
☐ Unterhaltungssektor
☐ Informations-/Journalismussektor
☐ wissenschaftliche / historische Forschung
☐ Wirtschaftsauskunftei
☐ öffentliche Versorgungsunternehmen/Infrastrukturanbieter (z. B. Energieversorgung)
☐ Wohnungswirtschaft
☐ Produktion
☐ Beratung
☐ öffentliche Verwaltung
☐ Sonstiges (bitte angeben):
1.4 Zu welcher Kategorie gehört Ihre Organisation? (bitte nur eine auswählen):
☐ Kleinstunternehmen (< 10 Mitarbeiter und mit einem Umsatz von ≤ 2 Mio. EUR oder einer Bilanz von ≤ 2 Mio. EUR)
☐ Kleinunternehmen (< 50 Mitarbeiter und mit einem Umsatz von ≤ 10 Mio. EUR oder einer Bilanz von ≤ 10 Mio. EUR)
☐ mittleres Unternehmen (< 250 Mitarbeiter) mit einem Umsatz von ≤ 50 Mio. EUR oder einer Bilanzsumme von ≤ 43 Mio. EUR
☐ Großunternehmen (mehr als 250 Mitarbeiter)
☐ gemeinnützige Organisation
☐ Ministerium
☐ Gebietskörperschaft / Kommunale Behörde
☐ Landes- oder Bundesbehörde/Agentur (z. B. Jobcenter)
☐ Schule/Universität/Bildungseinrichtung
☐ Sonstiges (bitte angeben):
(Fußnote: Informationen zu den Unternehmenskategorien finden Sie unter https://single-market-economy.ec.europa.eu/smes/sme-definition_de?prefLang=de)
1.5 Welche Personengruppe ist hauptsächlich von Ihren Verarbeitungstätigkeiten betroffen? (bitte nur eine auswählen):
☐ potenzielle Kund_innen
☐ Kund_innen
☐ Auftragnehmer_innen
☐ Stellenbewerbende
☐ Mitarbeitende
☐ Antragstellende (für öffentliche Dienstleistungen)
☐ Bürger_innen (für den öffentlichen Sektor)
☐ Patient_innen
☐ Sonstiges (bitte angeben):
1.5.1. Sind auch folgende Personen von Ihrer Verarbeitungstätigkeit betroffen (alle zutreffenden auswählen):
☐ Kinder
☐ schutzbedürftige Personen (z. B. ältere Menschen, Asylbewerbende, ethnische Minderheiten, Menschen mit Behinderungen)
☐ nicht zutreffend
1.6 Bitte geben Sie für Ihre Organisation eine ungefähre Anzahl aller Personen an, die von Ihren Verarbeitungstätigkeiten betroffen sind:
☐ < 100
☐ 101 – 1 000
☐ 1 001 – 10 000
☐ 10 001 – 100 000
☐ 100 001 – 500 000
☐ 500 001 – 1 000 000
☐ > 1 000 000
1.7 Welche Arten von personenbezogenen Daten sind hauptsächlich von Ihren Verarbeitungstätigkeiten betroffen? (Mehrfachantworten möglich)
☐ Kontaktdaten
☐ Zahlungsdaten
☐ Identifizierungsdaten
☐ Marketingdaten
☐ sensible Daten im Sinne des Art. 9 DSGVO, z. B. Gesundheitsdaten; Daten zum Sexualleben oder der sexuellen Orientierung; zur rassischen oder ethnischen Herkunft; zu politischen Meinungen und religiösen Überzeugungen; biometrische und genetische Daten(bitte angeben: [auszufüllen])
☐ Daten sehr persönlicher Art im Sinne von Art. 10 DSGVO, z. B. Daten über strafrechtliche Verurteilungen und Straftaten
☐ Sonstiges, bitte angeben:
1.8 Wie viele Löschanträge gemäß Art. 17 DSGVO hat Ihre Organisation in dem unten genannten Zeitraum (ungefähr) erhalten?
| 2024 | 2023 | 2022 | |
| 0 | ☐ | ☐ | ☐ |
| 1 – 10 | ☐ | ☐ | ☐ |
| 11–50 | ☐ | ☐ | ☐ |
| 51–100 | ☐ | ☐ | ☐ |
| 101 – 500 | ☐ | ☐ | ☐ |
| mehr als 500 | ☐ | ☐ | ☐ |
1.9 Wie hoch war der Prozentsatz der Anträge, die Ihre Organisation (ungefähr) abgelehnt hat?
| 2024 | 2023 | 2022 | |
| 0 % | ☐ | ☐ | ☐ |
| 10 % | ☐ | ☐ | ☐ |
| 20 % | ☐ | ☐ | ☐ |
| 30 % | ☐ | ☐ | ☐ |
| 40 % | ☐ | ☐ | ☐ |
| mehr als 50 % | ☐ | ☐ | ☐ |
1.10 Wie hoch war der Prozentsatz der bei Ihnen eingegangenen Löschanträge, die mit der Ausübung des Widerspruchsrechts nach Art. 21 DSGVO durch dieselbe betroffene Person (einschließlich Widerspruch gegen Marketing) in Verbindung standen?
| 2024 | 2023 | 2022 | |
| 0 % | ☐ | ☐ | ☐ |
| 10 % | ☐ | ☐ | ☐ |
| 20 % | ☐ | ☐ | ☐ |
| 30 % | ☐ | ☐ | ☐ |
| 40 % | ☐ | ☐ | ☐ |
| mehr als 50 % | ☐ | ☐ | ☐ |
1.11 Wer hat während des Zeitraums, für den Sie in den Fragen 1.8 bis 1.10 Angaben gemacht haben, Löschanträge gestellt (Mehrfachantworten möglich, bitte für jede Zeile eine Schätzung angeben)? Bitte sammeln / analysieren / verarbeiten Sie keine zusätzlichen Informationen, um diese Frage zu beantworten.
☐ Potenzielle Kund_innen, falls ja, geben Sie bitte den Prozentsatz an:
☐ Kund_innen, falls ja, geben Sie bitte den Prozentsatz an:
☐ Auftragnehmer_innen, falls ja, geben Sie bitte den Prozentsatz an:
☐ Stellenbewerbende, falls ja, geben Sie bitte den Prozentsatz an:
☐ Mitarbeitende, falls ja, geben Sie bitte den Prozentsatz an:
☐ Antragstellende (für öffentliche Dienstleistungen), falls ja, geben Sie bitte den Prozentsatz an:
☐ Bürger_innen (für den öffentlichen Sektor), falls ja, geben Sie bitte den Prozentsatz an:
☐ Patient_innen, falls ja, geben Sie bitte den Prozentsatz der eingegangenen Anträge an:
☐ Sonstiges, falls ja, geben Sie bitte den Prozentsatz an:
1.11.1. Sind diese betroffenen Personen auch:
☐ Eltern oder Erziehungsberechtigte im Namen von (einem) Kind(ern), falls ja, geben Sie bitte den Prozentsatz der eingegangenen Anträge an:
☐ schutzbedürftige Personen (z. B. ältere Menschen, Asylbewerber, ethnische Minderheiten, Menschen mit Behinderung) oder Bevollmächtigte im Namen schutzbedürftiger Personen, falls ja, geben Sie bitte den Prozentsatz der eingegangenen Anträge an:
2. Verfahrensablauf
2.1 Hat Ihre Organisation spezifische interne Anweisungen/Richtlinien/Empfehlungen oder ähnliche Dokumente zum Recht auf Löschung gemäß Art. 17 DSGVO entwickelt? Folgt Ihre Organisation einem zuvor etablierten Verfahren für die Bearbeitung von Anträgen nach Art. 17 DSGVO?
☐ Ja, bitte beschreiben Sie kurz den Prozess (Sie können Dokumente oder ein Prozessdiagramm beifügen):
☐ nein (bitte erläutern Sie, warum nicht):
2.2 Welche Organisationseinheit ist federführend für die Bearbeitung von Art. 17 DSGVO-Anfragen innerhalb Ihrer Organisation zuständig? (bitte nur eine auswählen)
☐ Datenschutzbeauftragte_r
☐ Rechts-/Complianceabteilung
☐ Kommunikationsteam
☐ Datenschutzkoordination
☐ Kundendienst
☐ Sonstiges, bitte angeben:
2.3 Schult Ihre Organisation das Personal in Bezug auf Anträge nach Art. 17 DSGVO?
☐ ja
☐ nein
2.3.1. Wenn ja, wie oft/häufig sind die Schulungen geplant (pro Jahr)?
2.3.2. In welcher Form schulen Sie Ihre Mitarbeitenden?
2.4 Wie ermittelt Ihre Organisation, welche Daten im Rahmen eines Löschantrags gemäß Art. 17 DSGVO ausgewählt werden müssen?
2.5 Wie geht Ihre Organisation mit einem Löschantrag um, der sich auf personenbezogene Daten bezieht, die:
- a) gemeinsam (mit gemeinsam Verantwortlichen) verarbeitet werden? [Bitte angeben]
- b) von einem Auftragsverarbeiter verarbeitet werden? [Bitte angeben]
2.6 Überwacht oder kontrolliert Ihre Organisation systematisch die Bearbeitung von Anträgen nach Art. 17 DSGVO?
☐ ja (bitte Prozess beschreiben):
☐ nein (bitte erläutern Sie, warum):
2.7 Wie lange dauert es durchschnittlich (in Wochen), bis Anträge gemäß Art. 17 DSGVO vollständig bearbeitet sind (vom Eingang des Löschverlangens bis zur endgültigen Antwort an die betroffene Person)? Bitte sammeln / analysieren / verarbeiten Sie keine zusätzlichen Informationen, um diese Frage zu beantworten.
2.8 Wie häufig hat Ihre Organisation die einmonatige gesetzliche Frist nach Art. 12 Abs. 3 Satz 2 DSGVO für die eingegangenen Anträge verlängert?
☐ immer (z. B. 100 % der eingegangenen Anträge)
☐ sehr häufig (z. B. rund 75 %)
☐ häufig (z. B. 50 %)
☐ selten (z. B. 15 %)
☐ niemals (0 %)
2.8.1. Wenn ja, aus welchen Hauptgründen?
2.9 Werden die Verfahren zur Umsetzung von Art. 17 DSGVO regelmäßig überprüft und angepasst?
☐ ja; Wenn ja, wie oft wird eine Prüfung/Anpassung durchgeführt (in einem Jahr)?
☐ nein
3. Fallkonstellationen
3.1 Wie beurteilt Ihre Organisation, dass personenbezogene Daten (die Gegenstand eines Löschantrags sind), für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind (Art. 17 Abs. 1 Buchstabe a DSGVO)? [noch auszufüllen]
3.2 Wie geht Ihre Organisation vor, wenn die betroffene Person ihre Einwilligung widerruft (Art. 17 Abs. 1 Buchstabe b DSGVO)?
3.3 Wie geht Ihre Organisation vor, wenn die betroffene Person der Verarbeitung widerspricht (Art. 17 Abs. 1 Buchstabe c DSGVO)?
3.4 Hat sich Ihre Organisation im Falle eines Löschungsantrags auf der Grundlage von Art. 17 Abs. 1 Buchstabe c DSGVO jemals geweigert, Daten auf der Grundlage ihrer „vorrangigen berechtigten Gründe für die Verarbeitung“ zu löschen? Wie verstehen Sie den Begriff der „vorrangigen berechtigten Gründe“ und wie werden diese Gründe mit den Interessen, Rechten und Freiheiten der betroffenen Personen in Einklang gebracht? Bitte beschreiben Sie detailliert die bei Ihnen aufgetretenen Fälle einschließlich der jeweils vorgenommenen Abwägungen
3.5 Wie stellt Ihre Organisation die Umsetzung von Art. 17 Abs. 2 DSGVO sicher, wenn die personenbezogenen Daten veröffentlicht wurden? Welche Maßnahmen werden insbesondere ergriffen, um das Recht auf Vergessenwerden zu gewährleisten?
3.6 Welche Ausnahmen nach Art. 17 Abs. 3 DSGVO oder aufgrund anderer nationaler Ausnahmen nach Art. 23 Abs. 1 DSGVO werden von Ihrer Organisation am häufigsten angewendet (Mehrfachauswahl)?
☐ Ausübung des Rechts auf freie Meinungsäußerung und Information
☐ Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert. Falls ja, geben Sie bitte die Rechtsgrundlagen an, die am häufigsten angewandt werden:
☐ zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Falls ja, geben Sie bitte die Rechtsgrundlagen an, die am häufigsten angewandt werden:
☐ aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
☐ für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, soweit das Recht auf Löschung voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt
☐ zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
☐ Sonstiges, bitte angeben:
3.7 Wie überprüft Ihre Organisation, ob die Bedingungen für Ausnahmen gemäß Art. 17 Abs. 3 DSGVO in bestimmten Fällen erfüllt sind?
3.8 Hat Ihre Organisation jemals die Löschung von Daten auf der Grundlage des „Rechts auf freie Meinungsäußerung und Information“ (Art. 17 Abs. 3 Buchstabe a DSGVO) abgelehnt? Bitte beschreiben Sie detailliert die bei Ihnen aufgetretenen Fälle einschließlich der jeweils vorgenommenen Abwägungen [noch auszufüllen]
3.9 Wenn das Recht auf Löschung z. B. aufgrund gesetzlicher oder vertraglicher Aufbewahrungspflichten nicht sofort gewährt werden kann, welche anderen Maßnahmen ergreift Ihre Organisation zur Wahrung der Betroffenenrechte (z. B. Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO)?
3.10 Wie kommt Ihre Organisation Ihrer Mitteilungspflicht im Zusammenhang mit der Löschung personenbezogener Daten (Art. 19 Satz 1 und Satz 2 DSGVO) nach?
3.11 Wie verfährt Ihre Organisation, wenn die betroffene Person einen Antrag stellt, der sowohl einen Antrag auf Auskunft (Art. 15 DSGVO) als auch einen Antrag auf Löschung (Art. 17 DSGVO) enthält?
4. Kommunikation mit den betroffenen Personen
4.1 Stellt Ihre Organisation betroffenen Personen zur Einreichung eines Löschantrags Anleitungen, Hinweise oder eine Beschreibung des Verfahrens zur Verfügung? Wenn ja, geben Sie bitte an, wo die diese Hilfestellungen zu finden sind.
4.2 Enthält die Datenschutzerklärung (Art. 13/ 14 DSGVO) Ihrer Organisation (mehrere Antworten möglich):
☐ die spezifische Aufbewahrungsfrist,
☐ die Kriterien für die Festlegung dieses Zeitraums oder
☐ keine der oben genannten Punkte.
4.3 Über welche Kommunikationskanäle erhält Ihre Organisation Anfragen nach Art. 17 DSGVO von betroffenen Personen (Mehrfachantworten möglich)?
☐ allgemeines Online-Formular
☐ spezifisches Online-Formular für Art. 17 DSGVO
☐ Papierpost
☐ Sonstiges, bitte angeben:
4.4 Wie antwortet Ihre Organisation auf Anträge nach Art. 17 DSGVO (Mehrfachantworten möglich)?
☐ Online-Benutzerkonto
☐ Papierpost
☐ Sonstiges, bitte angeben:
4.5. Wird der betroffenen Person eine Empfangsbestätigung für Löschungsanträge übermittelt?
☐ ja
☐ nein
4.5.1. Wenn ja, sind Informationen über die (erwartete) Bearbeitungszeit/ enthalten?
☐ ja
☐ nein
5. Technische Aspekte
5.1. Gibt es technische Standards, die Ihre Organisation einhält oder befolgt (z. B. ISO/IEC), wenn es um die Löschung personenbezogener Daten geht?
☐ Ja, bitte benennen Sie den technischen Standard:
☐ nein
5.2 Wie löscht Ihre Organisation technisch personenbezogene Daten, dass diese nicht wiederhergestellt werden können?
5.3 Verwendet Ihre Organisation technische Hilfsmittel (z. B. Software) zur Bearbeitung von Anträgen nach Art. 17 DSGVO?
☐ Ja, bitte angeben:
☐ nein
5.4 Hat Ihre Organisation einen Dienstleister mit der Löschung personenbezogener Daten beauftragt?
☐ Ja, bitte führen Sie dies näher aus:
☐ nein
5.5 Erfüllt Ihre Organisation das Recht auf Löschung durch Anonymisierung (Entfernung von Informationen über eine identifizierte oder identifizierbare natürliche Person)?
☐ ja,
wenn ja, warum wird Anonymisierung statt Löschung durchgeführt und wie wird dies technisch umgesetzt?
☐ nein
5.6. Werden personenbezogene Daten auch aus Backups (Sicherungskopien) oder unterschiedlichen Datenbanken gelöscht?
☐ ja
☐ nein
5.6.1. Wenn ja, wenden Sie dieselben Löschprozesse auf Backups (Sicherungskopien) an?
☐ ja
☐ nein, bitte erläutern Sie die Unterschiede bei den Verfahren:
6. Ihre Erfahrungen
6.1 Vor welchen rechtlichen, technischen und/oder organisatorischen Herausforderungen steht Ihre Organisation bei der Umsetzung des Rechts auf Löschung/Recht auf Vergessenwerden nach Art. 17 DSGVO?
6.2 Was könnte bei der Bearbeitung von Art. 17 DSGVO-Anfragen (Muster, Tools etc.) helfen?
6.3 Haben Sie weitere Informationen oder Anmerkungen zu diesem Thema?