Das Urteil des Sozialgerichts Dresden vom 22.10.2025 (Az. S 15 SF 304/24 DS) stärkt das Art. 17 DSGVO Recht auf Löschung deutlich. Im Kern ging es um eine Praxisfrage, die in Behörden und Unternehmen regelmäßig auftaucht: Reicht es, personenbezogene Daten technisch „auszublenden“, oder verlangt Art. 17 DSGVO eine echte, irreversible Datenbeseitigung? Das Gericht antwortet klar: Ausblenden ist keine Löschung, solange Daten technisch wiederherstellbar bleiben. Damit zieht das SG Dresden eine scharfe Grenze zur Einschränkung der Verarbeitung nach Art. 18 DSGVO. Es macht deutlich: „Technisch nicht möglich“ ist kein Argument, um Betroffenenrechte ins Leere laufen zu lassen. Für Verantwortliche – und für Softwareanbieter – wird Datenschutz durch Technikgestaltung nach Art. 25 DSGVO damit zur praktischen Pflicht.
Sachverhalt zum Art. 17 DSGVO Recht auf Löschung im Urteil des SG Dresden
Dem Urteil des Sozialgerichts Dresden lag ein für die Praxis typischer Sachverhalt zugrunde, der unmittelbar das Art. 17 DSGVO Recht auf Löschung betraf. Die Klägerin arbeitete als Mitarbeiterin einer Migrationsberatungsstelle der Caritas und unterstützte ausländische Leistungsempfänger bei der Beantragung von Leistungen nach dem SGB II. In dieser Funktion wandte sie sich regelmäßig – unter Vorlage entsprechender Schweigepflichtentbindungen – an das beklagte Jobcenter.
Problematisch wurde die Datenverarbeitung durch die Nutzung des Stammdatenerfassungs- und -pflegesystems (STEP) der Bundesagentur für Arbeit. In diesem System war die Klägerin aus früheren eigenen Antragsvorgängen mit ihrer privaten Wohnanschrift gespeichert. Bei der Bearbeitung eines Mandats wurde sie vom Jobcenter jedoch nicht mit ihrer dienstlichen, sondern mit ihrer privaten Adresse als Bevollmächtigte einer Klientin erfasst. In der Folge versandte das Jobcenter Bescheide und Schreiben zu Leistungsangelegenheiten Dritter an die Privatadresse der Klägerin.
Aus datenschutzrechtlicher Sicht führte dies zu mehreren schwerwiegenden Verstößen:
- Verarbeitung der Privatadresse ohne Rechtsgrundlage nach Art. 6 DSGVO,
- Speicherung personenbezogener Daten der Klägerin in den Leistungsakten fremder Personen,
- potenzielle Offenlegung der Adresse im Rahmen von Akteneinsichten.
Die Klägerin berief sich auf einen Anspruch auf Löschung nach Art. 17 DSGVO und verlangte die vollständige Entfernung ihrer privaten Anschrift aus den relevanten Akten- und Systemkontexten. Zusätzlich machte sie einen Anspruch auf Schadensersatz nach Art. 82 DSGVO geltend, da sie einen Kontrollverlust über ihre personenbezogenen Daten befürchtete.
„Technisch nicht möglich“ als Einwand gegen das Art. 17 DSGVO Recht auf Löschung
Auf das Löschungsverlangen der Klägerin reagierte das beklagte Jobcenter mit einer in der Datenschutzpraxis häufig anzutreffenden Argumentation: Eine vollständige Löschung der personenbezogenen Daten sei technisch nicht möglich. Zwar räumte der Beklagte ein, dass eine Datenschutzverletzung vorliege und die private Adresse der Klägerin unrechtmäßig verarbeitet worden sei. Dennoch lehnte er den Anspruch auf Löschung nach Art. 17 DSGVO ab.
Zur Begründung verwies das Jobcenter auf die technische Ausgestaltung des eingesetzten STEP-Systems der Bundesagentur für Arbeit. Dieses System unterscheide zwischen Dokumenten „in Bearbeitung“ und solchen, die bereits „zu den Akten“ genommen worden seien. Für letztere sehe das System – angeblich aufgrund kassenrechtlicher Vorgaben – keine echte Löschfunktion vor. Stattdessen bestehe lediglich die Möglichkeit, Dokumente auszublenden.
Nach Darstellung des Jobcenters stelle diese Ausblendung eine datenschutzkonforme Umsetzung des Art. 17 DSGVO Rechts auf Löschung dar. Ergänzend führte der Beklagte aus:
- ausgeblendete Dokumente seien für einfache Mitarbeitende nicht mehr einsehbar,
- ein Ausdruck der Daten sei technisch ausgeschlossen,
- bei Akteneinsicht erscheine lediglich ein Hinweis auf ein ausgeblendetes Dokument,
- ein Wiedereinblenden sei nur im Vier-Augen-Prinzip durch zwei berechtigte Führungskräfte möglich.
Aus Sicht des Jobcenters genügten diese technischen und organisatorischen Maßnahmen, um sowohl den Löschungsanspruch als auch den Schutz vor zukünftigen Datenschutzverstößen sicherzustellen. Zudem verneinte der Beklagte einen Anspruch auf Schadensersatz nach Art. 82 DSGVO, da weder eine Offenlegung gegenüber Dritten erfolgt sei noch ein konkreter Schaden nachgewiesen werden könne.
Gerade diese Argumentation – die Berufung auf technische Grenzen statt auf rechtliche Anforderungen – stellte das Sozialgericht Dresden jedoch im weiteren Verlauf der Entscheidung in zentralen Punkten in Frage.
Rechtliche Bewertung des SG Dresden zum Art. 17 DSGVO Recht auf Löschung
Art. 17 DSGVO Recht auf Löschung als einklagbarer Anspruch
Das Sozialgericht Dresden stellte zunächst klar, dass der Klägerin ein durchsetzbarer Anspruch aus dem Art. 17 DSGVO Recht auf Löschung zusteht. Bemerkenswert ist dabei, dass das Gericht ausdrücklich bestätigt, dass auch Behörden befugt sind, über Löschungsanträge durch Verwaltungsakt zu entscheiden. Zwar begründet die DSGVO kein klassisches Über- und Unterordnungsverhältnis, doch liegt der Schwerpunkt eines Löschungsbegehrens in einer verbindlichen Rechtsentscheidung – nicht in einem bloßen tatsächlichen Verwaltungshandeln.
Gleichzeitig grenzt das Gericht den Löschungsanspruch klar von Schadensersatzansprüchen nach Art. 82 DSGVO ab. Während über das Art. 17 DSGVO Recht auf Löschung behördlich entschieden werden darf, fehlt es für eine entsprechende Entscheidung über Schadensersatz regelmäßig an einer gesetzlichen Grundlage. Diese Differenzierung ist für die Verwaltungspraxis von erheblicher Bedeutung.
Abgrenzung: Art. 17 DSGVO Recht auf Löschung vs. Art. 18 DSGVO
Im Mittelpunkt der Entscheidung steht die klare Abgrenzung zwischen Löschung und bloßer Einschränkung der Verarbeitung. Das SG Dresden stellt unmissverständlich fest: Ein technisches Ausblenden personenbezogener Daten stellt keine Löschung im Sinne des Art. 17 DSGVO dar, sondern allenfalls eine Maßnahme nach Art. 18 DSGVO.
Nach Auffassung des Gerichts setzt das Art. 17 DSGVO Recht auf Löschung voraus, dass der Personenbezug irreversibel beseitigt wird. Entscheidend ist, dass nach der Löschung niemand mehr ohne unverhältnismäßigen Aufwand auf die Information zugreifen kann. Besteht – wie im STEP-System – weiterhin die technische Möglichkeit, Daten wieder sichtbar zu machen, fehlt es an dieser Irreversibilität.
Die Richter betonen dabei ausdrücklich:
- organisatorische Hürden wie ein Vier-Augen-Prinzip ersetzen keine Löschung,
- technische Wiedereinblendbarkeit widerspricht dem Löschungsprinzip,
- der Hinweis auf „technische Unmöglichkeit“ rechtfertigt keinen Eingriff in Betroffenenrechte.
Art. 25 DSGVO: Technikgestaltung als Voraussetzung für das Art. 17 DSGVO Recht auf Löschung
Mit besonderer Deutlichkeit verweist das Sozialgericht Dresden in seiner Entscheidung auf Art. 25 DSGVO und den Grundsatz des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Das Gericht macht unmissverständlich klar: Das Art. 17 DSGVO Recht auf Löschung darf nicht an der technischen Ausgestaltung eingesetzter IT-Systeme scheitern. Nicht die DSGVO muss sich an bestehende Software anpassen, sondern die Software an die gesetzlichen Anforderungen.
Das Jobcenter hatte argumentiert, das eingesetzte STEP-System lasse eine echte Löschung personenbezogener Daten technisch nicht zu. Gerade dieses Argument weist das Gericht zurück. Verantwortliche dürfen sich nicht auf technische Defizite berufen, wenn diese dazu führen, dass das Art. 17 DSGVO Recht auf Löschung faktisch leerläuft. Wer personenbezogene Daten verarbeitet, ist verpflichtet, Systeme so auszuwählen, zu entwickeln oder weiterzuentwickeln, dass eine irreversible Datenbeseitigung tatsächlich möglich ist.
Konkret leitet das Gericht aus Art. 25 DSGVO folgende Pflichten ab:
- IT-Systeme müssen technische Mechanismen für irreversible Löschung oder belastbare Anonymisierung vorsehen,
- bloße Sichtbarkeitskontrollen, Zugriffsbeschränkungen oder Ausblendfunktionen reichen nicht aus,
- auch zentrale Fachverfahren staatlicher Stellen unterliegen uneingeschränkt der DSGVO,
- technische und organisatorische Maßnahmen müssen Betroffenenrechte effektiv umsetzbar machen.
Das Urteil verdeutlicht damit, dass Art. 25 DSGVO kein abstrakter Programmsatz ist, sondern eine konkrete Handlungspflicht, die unmittelbar das Art. 17 DSGVO Recht auf Löschung absichert. Für Behörden und Unternehmen bedeutet dies: Wer Software beschafft oder betreibt, trägt die Verantwortung dafür, dass „Löschen“ auch tatsächlich Löschen bedeutet.
Kein Schadensersatz nach Art. 82 DSGVO trotz Verstoß gegen Art. 17 DSGVO
Voraussetzungen für Schadensersatz nach Art. 82 DSGVO
Das Sozialgericht Dresden hat den geltend gemachten Schadensersatz nach Art. 82 Abs. 1 DSGVO abgelehnt, obwohl ein Verstoß gegen das Datenschutzrecht vorlag. Maßgeblich ist dabei die – vom EuGH geprägte – Linie, dass ein DSGVO-Verstoß allein keinen Anspruch auf Schadensersatz begründet. Auch ein Verstoß gegen das Art. 17 DSGVO Recht auf Löschung führt nicht automatisch zu einem Ersatzanspruch.
Voraussetzung für Schadensersatz sind stets drei kumulative Elemente:
- ein Verstoß gegen die DSGVO,
- ein materieller oder immaterieller Schaden,
- ein Kausalzusammenhang zwischen Verstoß und Schaden.
Eine gesetzliche Vermutung für das Vorliegen eines Schadens existiert nicht. Die objektive Darlegungs- und Beweislast liegt beim Betroffenen.
Warum das Gericht keinen Kontrollverlust angenommen hat
Die Klägerin berief sich auf einen immateriellen Schaden in Form eines Kontrollverlusts über ihre personenbezogenen Daten. Sie argumentierte, dass Klienten im Rahmen von Akteneinsichten künftig Kenntnis von ihrer privaten Adresse erlangen könnten. Das Gericht folgte dieser Argumentation jedoch nicht.
Entscheidend war, dass nach den getroffenen technischen und organisatorischen Maßnahmen keine realistische Möglichkeit einer Kenntnisnahme durch Dritte bestand:
- die relevanten Dokumente waren ausgeblendet,
- Klienten konnten diese Daten bei Akteneinsicht nicht einsehen,
- einfache Mitarbeitende konnten keine Wiedereinblendung vornehmen,
- eine Reaktivierung war nur im Vier-Augen-Prinzip möglich.
Damit fehlte es – trotz der Verletzung des Art. 17 DSGVO Rechts auf Löschung – an einem nachweisbaren immateriellen Schaden im Sinne des Art. 82 DSGVO.
Praxisfolgen: Wie Verantwortliche das Art. 17 DSGVO Recht auf Löschung umsetzen müssen
Warum das Art. 17 DSGVO Recht auf Löschung technisch durchsetzbar sein muss
Das Urteil des SG Dresden hat erhebliche praktische Auswirkungen auf Behörden, Unternehmen, Datenschutzbeauftragte und IT-Verantwortliche. Es verdeutlicht, dass das Art. 17 DSGVO Recht auf Löschung nicht durch organisatorische oder technische Ersatzlösungen relativiert werden darf. Verantwortliche sind gehalten, ihre Datenschutzpraxis kritisch zu überprüfen und anzupassen.
Löschkonzepte überprüfen und trennscharf dokumentieren
Verantwortliche müssen klar zwischen Löschung nach Art. 17 DSGVO und bloßer Einschränkung der Verarbeitung nach Art. 18 DSGVO unterscheiden. Löschkonzepte sollten dokumentieren:
- welche Daten wann zu löschen sind,
- welche technischen Prozesse die Irreversibilität sicherstellen,
- wie Löschungen protokolliert und nachgewiesen werden.
Ausblend-, Sperr- oder Archivfunktionen dürfen nicht als Löschung deklariert werden.
IT-Systeme und Fachverfahren auf Löschfähigkeit prüfen
Das Art. 17 DSGVO Recht auf Löschung verlangt, dass personenbezogene Daten technisch dauerhaft entfernt oder anonymisiert werden können. Verantwortliche sollten prüfen:
- ob Daten wiederherstellbar sind,
- ob Reaktivierungsfunktionen bestehen,
- ob Löschroutinen revisionssicher dokumentiert werden.
Softwarebeschaffung und Verträge DSGVO-konform gestalten
Bei der Auswahl und Beschaffung von Software ist Art. 25 DSGVO verbindlich zu berücksichtigen. Verträge mit Herstellern sollten klare Zusicherungen zur Umsetzung des Art. 17 DSGVO Rechts auf Löschung enthalten, insbesondere zur Irreversibilität, zu Updatepflichten und zur Unterstützung bei Betroffenenanfragen.
Rolle des Datenschutzbeauftragten stärken
Datenschutzbeauftragte sollten frühzeitig in Softwareprojekte, E-Akten-Einführungen und Migrationen eingebunden werden. Risiken für das Art. 17 DSGVO Recht auf Löschung sind im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren und regelmäßig zu überprüfen.
Fazit: Das Art. 17 DSGVO Recht auf Löschung lässt kein „Ausblenden“ zu
Das Urteil des Sozialgerichts Dresden vom 22.10.2025 (Az. S 15 SF 304/24 DS) setzt einen klaren und praxisrelevanten Maßstab für das Art. 17 DSGVO Recht auf Löschung. Es macht unmissverständlich deutlich, dass das bloße Ausblenden personenbezogener Daten keine datenschutzkonforme Löschung darstellt, wenn die Daten technisch weiterhin wiederherstellbar sind. Verantwortliche können sich nicht darauf berufen, dass eingesetzte Software eine echte Löschung nicht vorsieht. Vielmehr sind sie verpflichtet, ihre Systeme so zu gestalten oder anzupassen, dass eine irreversible Beseitigung personenbezogener Daten tatsächlich möglich ist.
Besondere Bedeutung kommt dabei Art. 25 DSGVO zu. Datenschutz durch Technikgestaltung wird vom Gericht nicht als abstraktes Leitbild verstanden, sondern als konkrete Verpflichtung, die unmittelbar das Art. 17 DSGVO Recht auf Löschung absichert. Wer personenbezogene Daten verarbeitet, trägt die Verantwortung dafür, dass technische und organisatorische Maßnahmen die effektive Umsetzung von Betroffenenrechten ermöglichen.
Zugleich zeigt die Entscheidung, dass nicht jeder DSGVO-Verstoß automatisch zu einem Schadensersatzanspruch nach Art. 82 DSGVO führt. Ein immaterieller Schaden setzt mehr voraus als ein bloßes Unbehagen oder eine theoretische Gefahr. Ohne eine realistische Möglichkeit der Kenntnisnahme durch Dritte fehlt es an einem ersatzfähigen Kontrollverlust. Insgesamt liefert das Urteil damit eine klare Leitlinie: Das Art. 17 DSGVO Recht auf Löschung ist strikt umzusetzen, während Schadensersatz an konkrete Voraussetzungen gebunden bleibt.
Fragen zu Art. 17 DSGVO Recht auf Löschung?
Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht unterstützen Sie dabei, Löschkonzepte und Prozesse zum Recht auf Löschung nach Art. 17 DSGVO rechtssicher umzusetzen – inklusive Prüfung, Dokumentation und Systemanforderungen. Jetzt unverbindlich Kontakt mit uns aufnehmen oder Beratung anfordern.
FAQ zu Art. 17 DSGVO Recht auf Löschung
Das Art. 17 DSGVO Recht auf Löschung verpflichtet Verantwortliche, personenbezogene Daten irreversibel zu entfernen, wenn sie z. B. unrechtmäßig verarbeitet wurden oder der Zweck entfällt. Aus technischer Sicht darf der Personenbezug nicht ohne unverhältnismäßigen Aufwand wiederherstellbar sein. In der Praxis braucht es dafür ein Löschkonzept inklusive Nachweis/Protokoll.
Nein. Das Art. 17 DSGVO Recht auf Löschung ist nicht erfüllt, wenn Daten nur ausgeblendet/gesperrt sind, aber technisch weiter existieren und reaktivierbar bleiben. Das SG Dresden wertet Ausblenden höchstens als Einschränkung der Verarbeitung nach Art. 18 DSGVO, nicht als Löschung. Entscheidend ist die Irreversibilität.
Art. 17 DSGVO Recht auf Löschung bedeutet: Daten müssen irreversibel entfernt oder belastbar anonymisiert werden. Art. 18 DSGVO bedeutet: Verarbeitung wird nur eingeschränkt, z. B. durch Sperrung oder Zugriffsbegrenzung. Besteht ein Löschanspruch, darf Art. 18 DSGVO das Art. 17 DSGVO Recht auf Löschung nicht dauerhaft ersetzen.
Ein Anspruch auf das Art. 17 DSGVO Recht auf Löschung besteht typischerweise, wenn Daten unrechtmäßig verarbeitet wurden, der Zweck entfällt oder keine Rechtsgrundlage nach Art. 6 DSGVO vorliegt. Auch der Widerruf einer Einwilligung kann Löschung auslösen. Ausnahmen sind möglich, etwa bei gesetzlichen Aufbewahrungspflichten oder überwiegenden Interessen.
Ja. Nach Art. 25 DSGVO (Datenschutz durch Technikgestaltung) müssen Systeme so ausgelegt sein, dass das Art. 17 DSGVO Recht auf Löschung tatsächlich umsetzbar ist. Verantwortliche dürfen sich nicht auf „technisch nicht möglich“ berufen, wenn Betroffenenrechte sonst leer laufen. In der Praxis sind Updates, Anpassungen oder Systemwechsel erforderlich – idealerweise vertraglich abgesichert.
Nein. Ein Verstoß gegen das Art. 17 DSGVO Recht auf Löschung führt nicht automatisch zu Schadensersatz nach Art. 82 DSGVO. Erforderlich sind zusätzlich ein konkreter materieller oder immaterieller Schaden und ein Kausalzusammenhang. Ein bloßes ungutes Gefühl oder eine abstrakte Gefahr genügt nicht. Entscheidend sind nachweisbare Auswirkungen, etwa reale Kontroll- oder Offenlegungsrisiken.
Das Art. 17 DSGVO Recht auf Löschung verlangt in der Praxis einen Nachweis, z. B. durch Protokolle, Löschberichte oder revisionssichere Logs. Verantwortliche müssen zeigen können, wann und wie Daten entfernt oder anonymisiert wurden. Reine Prozessbeschreibungen ohne technische Umsetzung reichen oft nicht.
Ja, wenn die Anonymisierung den Personenbezug dauerhaft und irreversibel beseitigt. Dann kann das Ziel des Art. 17 DSGVO Recht auf Löschung erfüllt sein. Entscheidend ist, dass eine Re-Identifizierung nicht ohne unverhältnismäßigen Aufwand möglich ist und keine Schlüssel/Zuordnungstabellen verbleiben.
Gesetzliche Aufbewahrungspflichten (z. B. Steuer- oder Handelsrecht) können die sofortige Löschung einschränken. Dann ist das Art. 17 DSGVO Recht auf Löschung häufig erst nach Ablauf der Frist umzusetzen. Bis dahin kommt oft eine Einschränkung der Verarbeitung nach Art. 18 DSGVO in Betracht.
Ja. Das Art. 17 DSGVO Recht auf Löschung gilt auch für Behörden. Das SG Dresden betont, dass Betroffenenrechte nicht an der technischen Ausgestaltung staatlicher Systeme scheitern dürfen. Behörden müssen Systeme so betreiben, dass irreversible Löschung oder belastbare Anonymisierung möglich ist.
Unternehmen sollten prüfen, ob ihre Systeme echte Löschung nach dem Art. 17 DSGVO Recht auf Löschung ermöglichen oder nur Ausblenden/Sperren. Wichtig sind Löschkonzept, technische Irreversibilität, Wiederherstellbarkeit, Rollenrechte und Protokollierung. Besonders relevant ist das bei E-Akten, CRM, ERP und Archivsystemen.
Weiterführende Themen
Insolvenzdaten löschen nach DSGVO – Urteil des LG Münster
Insolvenzdaten löschen nach DSGVO: Das LG Münster verpflichtet SCHUFA & Co. zur Löschung spätestens sechs Monate nach Aufhebung des Insolvenzverfahrens. Der Beitrag erklärt Art. 17 DSGVO, das Recht auf Vergessenwerden und wie Betroffene ihre Löschansprüche rechtssicher durchsetzen.
Recht auf Löschung nach Art. 17 DSGVO – LG Mannheim zum HIS
Das LG Mannheim stärkt das Recht auf Löschung nach Art. 17 DSGVO im HIS. Versicherungen müssen personenbezogene Daten löschen, sobald der Reparaturnachweis vorliegt. Der Beitrag zeigt, wann HIS-Einträge unzulässig sind und wie Betroffene ihre DSGVO-Rechte effektiv durchsetzen.
EuGH stärkt das Recht auf Vergessenwerden nach der DSGVO
Der EuGH hat entschieden: Google muss offensichtlich falsche Inhalte aus den Suchergebnissen löschen. Dieses Urteil stärkt das „Recht auf Vergessenwerden“ und setzt ein klares Zeichen für mehr Datenschutz im digitalen Raum. Erfahren Sie, was das für Betroffene, Unternehmen und die Praxis der Suchmaschinenbetreiber bedeutet.