Löschpflichten sind ein zentrales Element des Datenschutzrechts und ergeben sich unmittelbar aus Art. 5 und Art. 17 der Datenschutz-Grundverordnung. Sie verpflichten datenverarbeitende Stellen dazu, personenbezogene Daten zu löschen, sobald deren Verarbeitung für den ursprünglichen Zweck nicht mehr erforderlich ist oder wenn gesetzliche Löschgründe vorliegen. In sozialwirtschaftlichen Einrichtungen betrifft dies eine Vielzahl von Datenarten – von Klientinnenakten über Hilfepläne, Protokolle und Fallverläufe bis hin zu Personalunterlagen, E-Mails und Verzeichnissen von Maßnahmenteilnehmerinnen. Die Löschung ist dabei keine Option, sondern eine zwingende gesetzliche Pflicht, deren Nichterfüllung zu empfindlichen Sanktionen führen kann.
Löschpflichten entstehen insbesondere dann, wenn der ursprüngliche Zweck der Datenverarbeitung entfallen ist, eine Einwilligung widerrufen wurde, die Verarbeitung unrechtmäßig war oder eine gesetzliche Löschfrist abgelaufen ist. Dabei muss zwischen aktiver Datenverarbeitung und datenschutzkonformer Archivierung unterschieden werden. Sobald ein Dokument nicht mehr für fachliche oder rechtliche Zwecke benötigt wird, ist es entweder in ein gesichertes Archiv zu überführen oder vollständig zu löschen. Die pauschale Aufbewahrung „für alle Fälle“ oder zur internen Absicherung widerspricht dem Grundsatz der Speicherbegrenzung und stellt einen Verstoß gegen Art. 5 Abs. 1 lit. e DSGVO dar.
In der Praxis zeigt sich, dass viele Einrichtungen der Sozialwirtschaft über keine klar geregelten Löschprozesse verfügen. Daten werden auf unbestimmte Zeit in E-Mail-Postfächern, Netzlaufwerken, Datenbanken oder Papierarchiven aufbewahrt – oft ohne systematische Kontrolle oder dokumentierte Fristen. Auch bei technischen Systemen wie Dokumentationssoftware, Fallverwaltung oder mobilen Apps fehlt es häufig an automatisierten Löschfunktionen, klaren Zuständigkeiten oder organisatorischen Vorgaben. Diese Versäumnisse sind nicht nur datenschutzwidrig, sondern gefährden auch die Sicherheit der betroffenen Personen. Je länger personenbezogene Daten gespeichert werden, desto höher ist das Risiko, dass sie unbefugt offengelegt, versehentlich weitergegeben oder durch technische Fehler kompromittiert werden.
Besonders sensibel ist die Situation, wenn öffentliche Träger oder Kooperationspartner auf die fortdauernde Speicherung bestimmter Daten drängen – etwa für spätere Rückfragen, Prüfungen oder statistische Zwecke. Einrichtungen dürfen sich solchen Forderungen nicht blind unterwerfen, sondern müssen eigenverantwortlich prüfen, ob eine fortgesetzte Speicherung zulässig oder sogar verpflichtend ist. Gibt es keine gesetzliche Pflicht zur Aufbewahrung, muss die Löschung unverzüglich erfolgen. Bei Konflikten mit Dritten empfiehlt sich die Rücksprache mit dem oder der Datenschutzbeauftragten, eine dokumentierte Interessenabwägung oder gegebenenfalls eine ergänzende Stellungnahme.
Die IJOS Datenschutzmanagement-Software (DSM) unterstützt Einrichtungen dabei, Löschpflichten strukturiert umzusetzen. Sie bietet die Möglichkeit, Löschfristen für unterschiedliche Datenarten zu hinterlegen, automatische Erinnerungen an Löschzeitpunkte zu aktivieren und durchgeführte Löschungen zu dokumentieren. Das System ermöglicht außerdem die Integration von Löschpflichten in Verzeichnisse von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen und Berechtigungskonzepte. Verstöße gegen festgelegte Löschroutinen oder bewusste Umgehungen können über die Whistleblower-Plattform der IJOS GmbH intern gemeldet werden, was eine rechtssichere Aufarbeitung und gegebenenfalls auch Schulungsbedarf erkennen lässt.
Löschpflichten sind mehr als eine juristische Formalie – sie sind Ausdruck der Verpflichtung, personenbezogene Daten mit größter Sorgfalt und nur so lange wie nötig zu verarbeiten. Einrichtungen der Sozialwirtschaft, die mit hochsensiblen Daten arbeiten, müssen daher klare, technisch gestützte Löschprozesse etablieren, regelmäßig überprüfen und konsequent anwenden. Wer dieser Pflicht nicht nachkommt, gefährdet nicht nur die Rechte der Betroffenen, sondern auch die datenschutzrechtliche Integrität der gesamten Organisation.