Das Löschen von personenbezogenen Daten
Sie wissen nicht, ob und wie lange Sie Personenbezogene Daten aufbewahren dürfen? Studierende möchten, dass ihre Daten gelöscht werden? Oft wird das Thema Löschen nicht ernst genug genommen. Personenbezogene Daten dürfen aber nur so lange gespeichert werden, wie es notwendig ist. Hier ist eine Übersicht, was Sie beim Löschen beachten müssen.
Löschen personenbezogener Daten an Hochschulen – Zuständigkeiten, Hintergründe, Strukturen
Hochschulen verarbeiten täglich eine Vielzahl personenbezogener Daten – von Studierenden, Mitarbeitenden, Forschenden oder externen Personen.
Doch: Die Datenschutzgrundverordnung schreibt klar vor, dass Personenbezogene Daten nicht unbegrenzt gespeichert werden dürfen.Nach Artikel 5 Absatz 1 lit. e DSGVO gilt der Grundsatz der Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck der Verarbeitung erforderlich ist. Das bedeutet: Sobald der Zweck wegfällt, müssen Personenbezogene Daten gelöscht oder anonymisiert werden – sofern keine gesetzlichen Aufbewahrungsfristen dagegensprechen.
Die Datenschutzgrundverordnung verpflichtet Verantwortliche dazu, die Grundsätze für die Verarbeitung personenbezogener Daten – wie Zweckbindung, Datenminimierung, Speicherbegrenzung und Transparenz – einzuhalten.
Für Hochschulen bedeutet das: Die Hochschule ist als Verantwortliche Stelle rechtlich verpflichtet, diese Grundsätze umzusetzen.
Allerdings kann eine Hochschule nicht alle datenschutzrechtlichen Vorgaben zentral steuern oder im Detail überwachen – gerade weil Personenbezogene Daten in sehr vielen unterschiedlichen Bereichen verarbeitet werden: in der Forschung, der Verwaltung, in der Lehre, bei Veranstaltungen oder im Studierendenservice.
Deshalb kommt es auf die Mitarbeit aller Beschäftigten an. Jede*r, der im Rahmen der beruflichen Tätigkeit mit personenbezogenen Daten arbeitet, trägt Mitverantwortung für einen sorgsamen und gesetzeskonformen Umgang – im Rahmen der sogenannten arbeitsvertraglichen Sorgfaltspflicht.
Das bedeutet nicht, dass Mitarbeitende juristische Fachkenntnisse haben müssen – wohl aber, dass sie sensibel mit personenbezogenen Daten umgehen, Hinweise auf mögliche Risiken erkennen und die zentralen Regeln des Datenschutzes beachten.
Damit die Datenschutzgrundsätze im Alltag verlässlich eingehalten werden, sollten Organisationseinheiten so organisiert sein, dass sie den Umgang mit personenbezogenen Daten eigenverantwortlich und datenschutzkonform gestalten können.
Ein zentraler Aspekt dabei ist die Löschung personenbezogener Daten: Wenn der Zweck der Verarbeitung entfällt, müssen die Daten – nach sorgfältiger Prüfung – rechtzeitig und ordnungsgemäß gelöscht werden.
Nur in der jeweiligen Organisationseinheit ist bekannt, welche Daten vorhanden sind, wo sie gespeichert werden und ob bzw. wann sie gelöscht werden müssen.
Es ist daher sinnvoll, innerhalb jeder Einheit klare Abläufe und Zuständigkeiten festzulegen, um dieser Verantwortung gerecht zu werden.
Die konkrete Umsetzung liegt dann bei den jeweiligen Verantwortlichen – zum Beispiel bei der Projektleitung im Forschungsbereich oder der Leitung der Personalabteilung im Verwaltungsbereich.
Damit Löschung nicht dem Zufall überlassen bleibt, sollten Organisationseinheiten innerhalb der Hochschule klare Abläufe und eindeutige Zuständigkeiten festlegen. Nur wenn beide Komponenten zusammenspielen, lässt sich gewährleisten, dass Personenbezogene Daten rechtzeitig, nachvollziehbar und datenschutzkonform entfernt werden.
Der erste Schritt besteht in der klaren Festlegung von Löschregeln: Wann genau sind Daten zu löschen? Häufige Kriterien sind der Ablauf gesetzlicher oder interner Fristen oder die Erfüllung des ursprünglichen Zwecks der Verarbeitung, also die sog. Löschgründe (s.u.). So kann etwa definiert werden, dass Bewerbungen, die älter als sechs Monate sind und nicht zu einer Zulassung geführt haben, automatisiert gelöscht werden. Ebenso ist es gängige Praxis, dass E-Mail-Postfächer von exmatrikulierten Studierenden spätestens zwei Jahre nach der Exmatrikulation aus dem System entfernt werden. Auch bei freiwilligen Datenangaben gilt: Nach Widerruf einer Einwilligung – beispielsweise zur Nutzung einer hochschulspezifischen Plattform – ist die zugehörige E-Mail-Adresse unverzüglich zu löschen.
Eine solche regelbasierte Löschung lässt sich in vielen Fällen technisch unterstützen und automatisieren, etwa durch Routinen in Campus-Management-Systemen, Bewerbungsportalen oder dem Identitätsmanagement.
Darüber hinaus gibt es auch gesetzlich geregelte Löschfristen, die zwingend zu beachten sind. So müssen laut § 12 Abs. 1 der (fiktiven) Musterstudienprüfungsordnung Prüfungsleistungen fünf Jahre lang aufbewahrt werden – anschließend sind sie zu löschen. Haushaltsrelevante Unterlagen unterliegen in der Regel einer zehnjährigen Aufbewahrungsfrist gemäß § 147 AO. Arbeitsverträge wiederum dürfen meist drei Jahre nach dem Ausscheiden der Person noch gespeichert werden, sofern keine längeren Fristen gelten.
Wichtig ist, dass bei allen Löschprozessen konkrete Zuständigkeiten benannt werden: Wer ist für die Durchführung verantwortlich? Wer dokumentiert die Löschung? Wer überprüft, ob alle Speicherorte berücksichtigt wurden?
Denn: Systematisches Löschen endet nicht mit dem Klick auf „Löschen“ in einer Fachanwendung. Vielmehr bedarf es eines ganzheitlichen Blicks auf alle Datenhaltungen – auch Backups, externe Systeme oder Papierakten müssen einbezogen werden. Eine regelmäßige Überprüfung der Bestände hilft dabei, veraltete Daten zu identifizieren und rechtzeitig zu entfernen.
Nur durch klare Regeln, technische Unterstützung und eine gelebte Löschkultur kann der Grundsatz der Speicherbegrenzung aus der DSGVO auch im Hochschulalltag wirksam umgesetzt werden.
Löschgründe – Wann ist es Zeit, Daten zu löschen?
Die DSGVO nennt in Artikel 17 („Recht auf Löschung“) mehrere Gründe, warum Daten gelöscht werden müssen. Hier einige praxisnahe Beispiele aus dem Hochschulkontext:
| Löschgrund nach DSGVO | Beispiel aus der Hochschule |
|---|---|
| a) Der Zweck der Verarbeitung ist entfallen | Abschluss eines Studiums: Die Daten eines ehemaligen Studierenden (z.B. Bewerbungsunterlagen, Adressdaten) werden gelöscht, sobald sie für die Verwaltung und Archivierung nicht mehr benötigt werden. |
| b) Die Einwilligung wurde widerrufen | Eine studierende Person widerruft seine/ihre Einwilligung zur Verarbeitung seiner Fotos für die Hochschul-Website. Die Fotos müssen gelöscht werden, sofern keine andere Rechtsgrundlage besteht. |
| c) Die betroffene Person legt Widerspruch gegen die Verarbeitung ein | Ein*e Absolvent*in widerspricht der weiteren Nutzung seiner Kontaktdaten für Alumni-Mailings. Die Hochschule muss die Daten für diesen Zweck löschen, wenn keine zwingenden Gründe entgegenstehen. |
| d) Die Verarbeitung war unrechtmäßig | Die Hochschule hat versehentlich Gesundheitsdaten von Studierenden ohne ausreichende Rechtsgrundlage gespeichert. Diese Daten müssen gelöscht werden. |
| e) Eine gesetzliche Pflicht schreibt die Löschung vor | Gesetzliche Aufbewahrungsfristen sind abgelaufen: Prüfungsunterlagen müssen nach Ablauf der gesetzlichen Frist gelöscht werden. |
| f) Die Daten wurden im Zusammenhang mit angebotenen Diensten der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO bei einem Kind erhoben | Ein minderjähriges Schulkind nimmt an einem Online-Kurs teil und die Hochschule hat dafür personenbezogene Daten erhoben. Auf Antrag der Eltern müssen diese Daten gelöscht werden. |
Löschhindernisse - Wann ist es Zeit, Daten zu behalten?
Die DSGVO sieht in Art. 17 grundsätzlich ein Recht auf Löschung („Recht auf Vergessenwerden“) vor. Verantwortliche – also z. B. Hochschulen – sind verpflichtet, Personenbezogene Daten zu löschen, sobald diese für die ursprünglichen Zwecke nicht mehr erforderlich sind.
Doch dieser Grundsatz kennt wichtige Ausnahmen: In Art. 17 Abs. 3 DSGVO werden konkrete Löschhindernisse benannt – also Fälle, in denen eine Löschung nicht zulässig oder sogar ausgeschlossen ist.
Gerade im Hochschulkontext spielen solche Ausnahmen regelmäßig eine Rolle – etwa bei der Archivierung, Forschung oder rechtlichen Verpflichtungen. Die folgende Übersicht zeigt praxisnahe Beispiele für typische Löschhindernisse in der Hochschulwelt.
| Löschhindernis nach DSGVO | Beispiele aus dem Hochschulbereich |
|---|---|
| a) Ausübung des Rechts auf freie Meinungsäußerung und Information |
|
| b) Erfüllung einer rechtlichen Verpflichtung,…oder zur Wahrnehmung einer Aufgabe,… |
|
| c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit |
|
| d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke | Prüfungsunterlagen, Personal- oder Forschungsakten, die dem Staatsarchiv Hamburg gemäß Hamburgischem Archivgesetz (§ 4 HmbArchG) zur Übernahme anzubieten sind. Anonymisierte oder pseudonymisierte Forschungsdaten, Langzeitstudien, Drittmittelprojekte mit Archivierungspflicht (z. B. EU-Förderprojekte) |
| e) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen |
|
Ein häufig übersehenes, aber zentrales Löschhindernis ist die Archivwürdigkeit von Unterlagen. Bevor Personenbezogene Daten gelöscht werden dürfen, muss geprüft werden, ob sie dem zuständigen Archiv zur Übernahme angeboten werden müssen. Diese sogenannte Anbietungspflicht ist im Hamburgischen Archivgesetz (HmbArchG) geregelt (§ 4 HmbArchG) und gilt für alle öffentlichen Stellen – also auch für staatliche Hochschulen.
Was heißt das konkret?
Hochschulen dürfen Unterlagen, die sie für ihre laufenden Aufgaben nicht mehr benötigen, nicht sofort löschen. Stattdessen muss geprüft werden, ob sie archivwürdig sein könnten. Ist das der Fall, sind sie dem Staatsarchiv Hamburg zur Übernahme anzubieten. Erst wenn das Archiv die Übernahme ablehnt, dürfen die Daten gelöscht werden.
Fazit:
Die Anbietungspflicht stellt ein Löschhindernis nach Art. 17 Abs. 3 lit. d DSGVO dar. Solange die Archivwürdigkeit noch geprüft wird oder die Unterlagen als archivwürdig eingestuft wurden, ist eine Löschung nicht zulässig.
Interne Regelungen schaffen Klarheit
Um den gesetzlichen Anforderungen gerecht zu werden, haben viele Hochschulen entsprechende Satzungen oder Dienstanweisungen erlassen.
Ein Beispiel ist die "Satzung über das Archivwesen der Universität Hamburg", die klare Regelungen zur Anbietung und Archivierung vorsieht.
Falls eine solche Regelung an der eigenen Hochschule noch nicht vorliegt, sollte eine interne Verfahrensregelung eingeführt werden, die insbesondere folgende Punkte klärt:
- Wer prüft, ob Unterlagen angebotsfähig sind?
- Wie erfolgt die Anbietung an das Archiv?
- Wann dürfen Unterlagen tatsächlich gelöscht werden?
Prozessüberblick in der Infothek
Eine Grundstruktur des Ablaufs finden Sie in der Infothek unter der Grafik „Der Weg der Dokumente“. Diese zeigt beispielhaft, wie Unterlagen von ihrer Entstehung über die Nutzung bis hin zur Archivierung oder Löschung rechtssicher verwaltet werden können.
Richtig löschen – analog und digital
Das Löschen personenbezogener Daten ist ein zentraler Bestandteil des Datenschutzes.
Dabei geht es nicht immer um das vollständige Vernichten eines Datensatzes – sondern darum, personenbezogene Informationen so zu entfernen oder unkenntlich zu machen, dass kein Personenbezug mehr besteht.
Das kann auf verschiedenen Wegen geschehen – etwa durch klassische Löschung, Anonymisierung oder physische Vernichtung. Entscheidend ist: Die Daten dürfen nach dem Löschvorgang nicht mehr rekonstruierbar sein.
Viele meinen, es reiche aus, eine Datei in den Papierkorb zu legen – aber das ist nicht sicher.
Digitale Daten müssen aktiv gelöscht werden, und zwar so, dass sie nicht wiederhergestellt werden können.
Worauf ist zu achten?
- Dateien dauerhaft löschen: Nicht nur „Papierkorb leeren“, sondern sichere Löschfunktionen verwenden.
- Backups mit einbeziehen: Auch in Sicherungskopien können personenbezogene Daten enthalten sein – regelmäßige Prüfung und ggf. Löschung sind wichtig.
- Cloud-Speicher beachten: Daten in Cloud-Diensten müssen ebenfalls vollständig entfernt werden – je nach Anbieter über eigene Löschmechanismen.
- Fachanwendungen richtig nutzen: In Verwaltungs- oder Lehrsystemen gibt es oft spezielle „Löschen“-Funktionen. Achtung: Ein bloßes „Deaktivieren“ reicht nicht!
- Sichere Löschsoftware verwenden: Für Datenträger (z. B. Festplatten, USB-Sticks) gibt es Programme, die Daten mehrfach überschreiben – so wird eine Wiederherstellung verhindert.
- Alte Hardware vernichten: Wenn Datenträger ausgemustert werden, sollten sie physisch zerstört werden – z. B. durch Schreddern oder Entmagnetisieren. Die Informationssicherheitsbeauftragten der Hochschule können hier unterstützen.
Auch Papierdokumente mit personenbezogenen Daten müssen fachgerecht entsorgt werden. Dazu gehört:
- Schreddern mit ausreichender Sicherheitsstufe: Mindestens Sicherheitsstufe P-4 (DIN 66399) ist für personenbezogene Daten empfohlen.
- Nicht in den normalen Papiermüll werfen! Auch scheinbar harmlose Ausdrucke können sensible Informationen enthalten.
- Externe Dienstleister nutzen: Viele Hochschulen arbeiten mit zertifizierten Entsorgungsfirmen. An festen Standorten stehen häufig sogenannte Sicherheitsbehälter, in die alte Unterlagen gegeben werden können.
In bestimmten Fällen ist es möglich, Personenbezogene Daten nicht zu löschen, sondern zu anonymisieren – z. B. für statistische Zwecke.
Wichtig dabei: Die Anonymisierung muss so erfolgen, dass der ursprüngliche Personenbezug nicht mehr herstellbar ist – auch nicht mit vertretbarem Aufwand.
Nur wenn das gewährleistet ist, kann eine Anonymisierung als datenschutzkonforme Form der Löschung gelten.
Warum ein Löschkonzept für Hochschulen unverzichtbar ist
Die datenschutzkonforme Verarbeitung personenbezogener Daten stellt Hochschulen regelmäßig vor komplexe Herausforderungen – insbesondere, wenn es um das Löschen solcher Daten geht. Um den gesetzlichen Anforderungen gerecht zu werden, insbesondere den Vorgaben der DSGVO, ist ein strukturiertes Löschkonzept unerlässlich.
Denn: Sobald der Zweck der Speicherung entfällt oder gesetzliche Aufbewahrungsfristen abgelaufen sind, sind Personenbezogene Daten grundsätzlich zu löschen (Löschgründe nach Art. 17 Abs. 1 DSGVO).
Allerdings sieht die DSGVO auch Ausnahmen vor: In bestimmten Fällen dürfen Daten nicht gelöscht werden – etwa, wenn sie noch archivwürdig sind oder zu wissenschaftlichen, rechtlichen oder öffentlichen Zwecken benötigt werden (Löschhindernisse nach Art. 17 Abs. 3 DSGVO).
Ein gutes Löschkonzept berücksichtigt daher beide Seiten: Es regelt nicht nur, wann Daten zu löschen sind, sondern auch, wann sie vorerst aufzubewahren oder dem Archiv anzubieten sind. Nur durch ein solches abgestimmtes Vorgehen können Hochschulen Löschprozesse rechtskonform, nachvollziehbar und effizient gestalten.
Ob das Löschkonzept dabei immer „detailliert“ sein muss, hängt vom Umfang und der Komplexität der Datenverarbeitungen an der jeweiligen Hochschule bzw. in der jeweiligen Organisationseinheit ab. Die grundlegende Pflicht zur Löschung und zur Dokumentation der Löschprozesse gilt jedoch für alle Hochschulen, unabhängig von Größe, Fachrichtung oder Bereich. Ein detailliertes Löschkonzept ist vor allem dann notwendig, wenn viele verschiedene Datenkategorien, Systeme und Verantwortlichkeiten im Spiel sind – was an Hochschulen in der Regel der Fall ist, da sie mit sensiblen Daten von Studierenden, Mitarbeitenden und Forschenden arbeiten.
Auch wenn die konkrete Ausgestaltung und der Detaillierungsgrad variieren können, ist ein systematisches und nachvollziehbares Löschkonzept für Hochschulen unerlässlich, um gesetzliche Anforderungen zu erfüllen und die Rechte der Betroffenen zu schützen.
Zur Veranschaulichung haben wir ein beispielhaftes Löschkonzept in Form einer einfachen Excel-Tabelle in unsere Infothek aufgenommen. Es enthält einige ausgewählte – keineswegs abschließende – Beispiele aus dem Bereich der Studierendenverwaltung und soll zeigen, wie ein solches Konzept grundsätzlich aufgebaut sein kann.
Was passieren kann, wenn personenbezogene Daten nicht gelöscht werden
Werden Personenbezogene Daten nicht fristgerecht gelöscht oder vernachlässigt eine Hochschule ihre Löschpflicht in bestimmten Prozessen, kann das ernste Konsequenzen haben. Die Datenschutzaufsichtsbehörden sind in solchen Fällen befugt, Maßnahmen gemäß Artikel 58 der DSGVO zu ergreifen – etwa in Form einer Verwarnung, einer verbindlichen Löschanordnung oder anderer aufsichtsrechtlicher Schritte.
Ein fehlendes oder unzureichend umgesetztes Löschkonzept ist daher nicht nur ein Risiko für die Rechte der betroffenen Personen, sondern auch für die Hochschule selbst.