Der Vertrag mit Ihrem IT-Dienstleister ist gekündigt, das Projekt mit der externen Marketing-Agentur abgeschlossen. Die Zusammenarbeit endet – aber was passiert mit den personenbezogenen Daten Ihrer Kunden und Mitarbeiter, die der Dienstleister verarbeitet hat?
Diese Frage ist entscheidend, denn hier lauern Risiken wie Kontrollverlust, Datenschutzverstöße und empfindliche Bußgelder. Die Datenschutz-Grundverordnung (DSGVO) gibt eine klare Antwort: Nach Beendigung der Auftragsverarbeitung müssen Daten entweder zurückgegeben oder gelöscht werden.
In diesem Beitrag erfahren Sie, was das für Ihre Pflichten als Auftraggeber bedeutet, welche Optionen Sie haben und wie Sie diese rechtssicher umsetzen.
Vom passiven Vertrag zur aktiven Kontrollpflicht: Was neue Urteile für Sie bedeuten
In der Welt der Auftragsverarbeitung gibt es zwei zentrale Rollen:
- Sie als Auftraggeber sind der Verantwortliche, denn Sie entscheiden über Zweck und Mittel der Verarbeitung.
- Ihr Dienstleister (z. B. Cloud-Anbieter, Web-Hoster) ist der Auftragsverarbeiter, der streng nach Ihrer Weisung handelt.
Entscheidend ist: Ihre Verantwortung endet nicht mit dem Vertrag. Sie müssen sicherstellen, dass die Daten bei Vertragsende ordnungsgemäß behandelt werden.
Die zentrale Vorschrift hierfür ist Art. 28 Abs. 3 lit. g DSGVO. Diese gibt Ihnen als Verantwortlichem ein Wahlrecht:
- die vollständige Löschung aller personenbezogenen Daten durch den Dienstleister, oder
- die vollständige Rückgabe aller personenbezogenen Daten.
Ein einfaches Behalten der Daten, „falls man sie nochmal braucht", ist verboten. Zur weiteren Kontrolle der Subunternehmer in der gesamten Vertragskette finden Sie hier weitere Informationen.
Aktive Löschkontrolle nach BGH-Urteil
Wie ernst diese Pflicht zu nehmen ist, haben jüngste Gerichtsentscheidungen gezeigt. Der Bundesgerichtshof (BGH) stellte in einem wegweisenden Urteil klar (Az. VI ZR 396/24 vom 11.11.2025), dass eine Klausel im Auftragsverarbeitungsvertrag (AVV), die den Dienstleister zur Löschung verpflichtet, nicht ausreicht.
Der BGH fordert von Ihnen als Verantwortlichem eine aktive Löschkontrolle. Sie müssen aktiv Maßnahmen ergreifen, um die tatsächliche, unwiderrufliche Löschung sicherzustellen. Eine schriftliche Löschbestätigung ist dabei die Mindestanforderung.
Klare Regelung zur Datenlöschung im AV-Vertrag notwendig
Damit am Ende der Zusammenarbeit mit dem Dienstleister klar ist, wie und wann die Daten zu löschen bzw. zurückzugeben sind, ist die Festlegung eines genau geregelten Vorgehens im AV-Vertrag ratsam.
Mögliche Regelungen im AV-Vertrag:
- Der Auftragnehmer wird verpflichtet, dem Auftraggeber das Protokoll der Löschung der Daten unaufgefordert vorzulegen.
- Der Auftraggeber wird verpflichtet, dem Auftragnehmer mit einer Frist von z. B. einem Monat vor Vertragsende mitzuteilen, ob er die Löschung der Daten verlangt oder deren Rückgabe fordert.
- Falls der Auftragnehmer bis zum Ablauf der Frist keine Weisung erhält, kann er im AV-Vertrag berechtigt und verpflichtet werden, die Daten mit Vertragsende – spätestens nach Ablauf von z. B. 14 Tagen – zu löschen.
Vollständiger Prozess rund um die Auftragsverarbeitung
Aber nicht erst für die Beendigung der Auftragsverarbeitung ist ein Prozess zu erstellen, um den Pflichten als Verantwortlicher nachzukommen, sondern bereits vor der Beauftragung. Wie ein solcher Prozess aussehen kann und woran zu denken ist, werden wir in einem unserer nächsten Blogbeiträge näher erläutern.
Fazit
Die Löschung oder Rückgabe von Daten ist kein optionaler, sondern ein verpflichtender letzter Schritt der Auftragsverarbeitung. Die jüngste Rechtsprechung fordert von Ihnen als Verantwortlichem eine proaktive Rolle. Ein sauberer AV-Vertrag und eine klare Kommunikation über die Löschprozesse schaffen Rechtssicherheit und beweisen einen professionellen Umgang mit sensiblen Daten.
Haben Sie Fragen zur Auftragsverarbeitung oder benötigen datenschutzrechtliche Beratung? Bitte wenden Sie sich an unsere bundesweit tätigen Datenschutzexperten unter info@sidit.de.
