1. Das Löschrecht nach DSG

Betroffene Personen haben das Recht, der weiteren Bearbeitung ihrer Personendaten zu widersprechen. Dieses Widerspruchsrecht bildet die Grundlage für Löschbegehren und ist gleichzeitig die schweizerische Version des in der EU-DSGVO vorgesehenen Rechts auf Vergessenwerden. Das Löschrecht gilt unabhängig davon, ob die Daten elektronisch oder physisch gespeichert sind.

2. Schwierigkeiten bei der Umsetzung von Löschbegehren

Schwierigkeiten bei Löschbegehren können sich sowohl auf administrativer als auch juristischer und technischer Ebene ergeben.

Namentlich bei vollständiger Umsetzung eines Löschbegehrens kann ggf. Nachweis- oder Dokumentationspflichten nicht mehr nachgekommen werden bzw. wird zu Marketing- oder Akquisitionszwecken unter Umständen versehentlich wieder mit dem Gesuchsteller Kontakt aufgenommen, obwohl sein Löschbegehren genau den Zweck hatte, nicht mehr mit dem Verantwortlichen in Kontakt zu stehen.

Die Umsetzung des Löschrechts erfordert eine sorgfältige Balance zwischen den Rechten der betroffenen Personen und den legitimen Interessen des Unternehmens. Unternehmen sind grundsätzlich verpflichtet, einem Löschbegehren (ggf. auch nur teilweise) nachzukommen, gleichzeitig verfügen betroffene Personen aber nicht über einen absoluten Löschanspruch. So können etwa gesetzliche Aufbewahrungspflichten, vertragliche Verjährungsfristen oder (andere) überwiegende Interessen im Einzelfall einer Löschung entgegenstehen. Die Abwägung zwischen den gegensätzlichen Interessen kann im hektischen Unternehmensalltag anspruchsvoll sein. Erschwerend kommt hinzu, dass viele IT-Systeme technisch nicht in der Lage sind, vollständig, effektiv oder dauerhaft zu löschen.

3. Compliance-Massnahmen und Tipps

3.1 Klare Zuständigkeiten sowie Schulungen

Es sollte klar definiert sein, wer im Unternehmen für die Bearbeitung von Löschbegehren zuständig ist. Regelmässige Schulungen helfen Mitarbeitenden im richtigen Umgang mit Personendatenbearbeitungen, Löschanfragen und ihrer korrekten Weiterleitung.

3.2 Löschkonzept, Retention Policy und standardisierte Prozesse

Für eine effektive Umsetzung eingehender Löschbegehren ist es empfehlenswert, ein Löschkonzept zu erarbeiten und zu implementieren. Dieses sollte sowohl administrative als auch juristische und technische Aspekte berücksichtigen. Dazu gehört die formale Erfassung des Antrags, die Überprüfung der Rechtslage – bestenfalls anhand einer implementierten Retention Policy – sowie die technische Umsetzung der Löschung. Für Unternehmen mit grossen Datenbeständen, z.B. von vielen Kunden, und häufigen Anfragen zu Löschungen, kann es sinnvoll sein, Tools zur Verwaltung von Datenlöschungen einzusetzen. Unternehmen müssen sicherstellen, dass ihre IT-Systeme so konfiguriert sind, dass Daten effektiv und dauerhaft gelöscht werden können. Das ist in der Praxis häufig nicht einfach umzusetzen. 

3.3 Anonymisierung als Alternative zur Löschung

Anstelle einer Löschung kann eine Anonymisierung der Personendaten ausreichend sein, sofern der Personenbezug vollständig entfernt wird und eine Re-Identifizierung (auch durch den Verantwortlichen selbst) ausgeschlossen ist.

3.4 Dokumentation und Blacklist

Um die Nachvollziehbarkeit zu gewährleisten, empfehlen wir, Löschbegehren ein Jahr aufzubewahren. Blacklists helfen bei der Vermeidung von versehentlichen erneuten Kontaktaufnahmen mit dem Gesuchsteller.

3.5 Modalitäten und Frist

Häufig stehen Löschbegehren in engem Zusammenhang mit Auskunftsbegehren: Oft folgt ein Auskunftsbegehren in kurzem zeitlichem Abstand auf ein Löschbegehren (oder umgekehrt). Es ist empfehlenswert, beide Prozesse ähnlich zu behandeln. Das betrifft einerseits das Sammeln bzw. Zusammentragen aller relevanten Personendaten in den Systemen (um anschliessend Auskunft geben zu können bzw. um die Daten effektiv löschen zu können), andererseits die Modalitäten des Auskunftsrechts, welche in Art. 25 DSG geregelt werden (siehe hierzu weitergehend den Beitrag von Jacqueline Odermatt im bratschiLETTER Compliance vom April 2025). Die 30-tägige Frist zur Beantwortung von Auskunftsbegehren wird in vielen Fällen auch bei Löschbegehren angemessen sein. Wir empfehlen, Löschbegehren nicht gemeinsam mit Auskunftsbegehren zu beantworten (siehe Ziff. 4, Schritt 5).

3.6 Ablehnung von Löschbegehren

In bestimmten Fällen kann ein Löschbegehren abgelehnt werden. Namentlich, wenn überwiegende Interessen des Unternehmens einer Löschung von Daten entgegenstehen, insbesondere bei gesetzlichen Aufbewahrungspflichten (z.B. 10 Jahre für Buchhaltungsunterlagen), bei laufenden Vertragsbeziehungen mit dem Gesuchsteller oder wenn mit der Geltendmachung von Ansprüchen (ggf. der Erhebung einer Klage gegen das Unternehmen) gerechnet werden muss bzw. kann und die Daten zur Verteidigung der eigenen Position erforderlich sein können (relevant sind hier vor allem gesetzliche Verjährungsfristen des Obligationenrechts).

4. Der Ablauf der Bearbeitung eines Löschbegehrens

Für die Bearbeitung eines Löschbegehrens ist aus Compliance-Gründen empfohlen, ein mehrstufiges Schema im Unternehmen zu erstellen und zu implementieren. Ein solches könnte in etwa so aussehen, sofern einfache und klare Verhältnisse vorliegen. Es ist wichtig, zu beachten, dass jeder Fall anders gelagert ist und somit jedes Löschbegehren sorgfältig geprüft werden muss – vor allem vor dem Hintergrund von Verjährungs- und Aufbewahrungsfristen.

Schritt 1: Eingang des Gesuchs und Eingangsbestätigung

Das Löschbegehren wird von der intern zuständigen Person formell erfasst und ggf. eine Eingangsbestätigung an den Gesuchsteller erteilt.

Schritt 2: Authentifizierung des Gesuchstellers

Um den Datenschutz auch bei der Beantwortung eines Löschbegehrens zu wahren, muss der Gesuchsteller authentifiziert werden. Hierfür bietet sich gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten («EDÖB») an, eine Ausweiskopie anzufordern.

Schritt 3: Bewertung der Rechtslage

Es muss überprüft werden, ob dem Löschbegehren gesetzliche Pflichten entgegenstehen (z.B. Aufbewahrungspflichten – hierfür ist eine gut formulierte Retention Policy wichtig) oder ob andere überwiegende Interessen des Verantwortlichen bestehen, aufgrund derer gewisse Personendaten nicht gelöscht werden können.

Schritt 4: Durchführung der Löschung

Je nach Ergebnis des Schritts 3, können die betroffenen Daten gelöscht werden. In vielen Fällen wird aber nur eine Teillöschung möglich sein. Zudem müssen etwaige Auftragsbearbeiter über das Löschbegehren informiert und ebenfalls zur Löschung instruiert werden.

Schritt 5: Antwort an den Antragsteller

Je nach Ergebnis der Schritte 3 und 4 wird dem Antragsteller mitgeteilt, wie das Löschbegehren bearbeitet werden konnte. Bei der Formulierung der Antwort ist Vorsicht geboten: Keinesfalls sollte eine vollständige Datenlöschung bestätigt werden, weil in vielen Fällen eine (vollständige) Löschung weder rechtlich erforderlich noch technisch möglich ist. Werden Löschbegehren zusammen mit Auskunftsbegehren beantwortet, könnten vorsätzlich falsche Angaben in der Antwort an den Antragssteller strafrechtliche Sanktionen wegen Verletzung der Auskunftspflicht nach sich ziehen (siehe Ziff. 3.5).