Lösch- und Rückgabepflicht

Ausführliche Erklärung

Die Lösch- und Rückgabepflicht ist ein zentraler Bestandteil jedes Auftragsverarbeitungsvertrags. Sie stellt sicher, dass personenbezogene Daten nach Ende der Geschäftsbeziehung nicht unkontrolliert beim Dienstleister verbleiben. Der Verantwortliche – also jenes Unternehmen, das den Auftragsverarbeiter beauftragt hat – entscheidet dabei, ob die Daten gelöscht oder an ihn zurückgegeben werden sollen. Diese Wahlmöglichkeit muss bereits im Auftragsverarbeitungsvertrag konkret geregelt sein. Die Pflicht umfasst nicht nur die aktiven Datenbestände, sondern auch Backups, Sicherungskopien und temporäre Speicher.

Für österreichische und deutsche KMU ist diese Regelung besonders relevant, wenn sie Cloud-Dienste, IT-Dienstleister, externe Buchhaltungsbüros oder andere Auftragsverarbeiter einsetzen. Die Verantwortung endet nicht mit der bloßen vertraglichen Vereinbarung: Der Verantwortliche muss aktiv kontrollieren, ob die Löschung tatsächlich erfolgt ist. Ein aktuelles BGH-Urteil vom November 2025 hat klargestellt, dass eine bloße Löschankündigung nicht ausreicht – der Verantwortliche muss sich eine schriftliche Bestätigung ausstellen lassen und gegebenenfalls eigene Prüfungen durchführen. Vernachlässigt ein Unternehmen diese Kontrollpflicht, haftet es für eventuelle Datenlecks, selbst wenn die Daten bereits zuvor kompromittiert wurden.

Eine Ausnahme von der Löschpflicht besteht nur dann, wenn gesetzliche Aufbewahrungspflichten greifen, etwa steuerrechtliche Vorgaben nach der Bundesabgabenordnung oder dem Handelsgesetzbuch. In solchen Fällen dürfen oder müssen bestimmte Daten länger gespeichert bleiben. Diese Ausnahmen sind im Vertrag zu dokumentieren. Die Löschung muss nach dem Stand der Technik sicher und nachvollziehbar erfolgen – einfaches Überschreiben oder der Gang in den Papierkorb reichen nicht aus.