Wenn eine Löschanfrage per E-Mail eingeht, beginnt der eigentliche Datenschutzprozess erst. Die Anfrage muss erkannt, zugeordnet, geprüft, intern weitergegeben, beantwortet und nachweisbar abgeschlossen werden. Genau hier entstehen in der Praxis viele Lücken: Die Website hat ein Kontaktformular, das Marketing nutzt Newsletter-Listen, der Shop hat Kundenkonten, das CRM speichert Leads, und irgendwo läuft noch eine alte Remarketing-Zielgruppe.

Der Europäische Datenschutzausschuss (EDPB) hat seinen One-Stop-Shop-Falldigest zu Widerspruch und Löschung aktualisiert. Der praktische Wert liegt nicht nur in den einzelnen Fällen, sondern in der wiederkehrenden Botschaft: Betroffenenrechte sind kein reiner Rechts-Text in der Datenschutzerklärung. Sie brauchen einen funktionierenden Workflow, der Website, Postfach, CRM, Newsletter, Consent-Setup und Dienstleister zusammenbringt.

Warum der EDPB-Falldigest für österreichische Websites relevant ist

Der EDPB-Falldigest fasst Entscheidungen und Beschwerdefälle aus dem europäischen One-Stop-Shop-Verfahren zusammen. Für österreichische Website-Betreiber ist das relevant, weil die DSGVO-Rechte nicht an der Landesgrenze enden. Wer Kundinnen, Nutzer, Newsletter-Abonnenten oder Leads aus anderen EU-Ländern verarbeitet, kann mit ähnlichen Fragestellungen konfrontiert sein.

Der Digest behandelt vor allem zwei Rechte, die im Alltag häufig unterschätzt werden: das Recht auf Löschung und das Widerspruchsrecht. Beide Rechte klingen einfach, werden aber kompliziert, sobald Daten in mehreren Systemen liegen. Eine Person kann im Newsletter abgemeldet sein, aber weiterhin in einer CRM-Kampagne auftauchen. Ein Shopkonto kann gelöscht werden, während Rechnungsdaten wegen gesetzlicher Aufbewahrungspflichten bleiben müssen. Ein Marketing-Widerspruch kann wirksam sein, ohne dass jede andere Verarbeitung automatisch endet.

Recht auf Löschung heißt nicht immer alles löschen

Artikel 17 DSGVO regelt das Recht auf Löschung. In der Praxis bedeutet das nicht, dass jedes Datum immer sofort aus jedem System verschwindet. Es kann Gründe geben, bestimmte Informationen weiterhin aufzubewahren, etwa gesetzliche Pflichten, Rechtsansprüche oder Buchhaltungsanforderungen. Genau deshalb brauchen Unternehmen eine saubere Prüfung statt einer reflexartigen Antwort.

Für Website-Teams heißt das: Die Anfrage muss zuerst verstanden werden. Geht es um ein Newsletter-Profil, ein Kundenkonto, ein Kontaktformular, einen Kommentar, ein Bewerbungsformular, eine Support-Anfrage oder eine Marketing-Zielgruppe? Danach muss geklärt werden, welche Systeme betroffen sind und welche Daten tatsächlich gelöscht, gesperrt, anonymisiert oder weiter aufbewahrt werden. Der AdSimple Datenschutz Generator hilft dabei, Dienste und Verarbeitungen nachvollziehbar zu dokumentieren. Diese Dokumentation ist der Ausgangspunkt für die praktische Suche.

Widerspruch ist besonders kritisch im Marketing

Artikel 21 DSGVO gibt betroffenen Personen unter bestimmten Voraussetzungen ein Widerspruchsrecht. Im Marketing-Alltag ist vor allem der Widerspruch gegen Direktwerbung wichtig. Wenn eine Person keine Werbung mehr erhalten will, reicht es nicht, nur eine einzelne Kampagne zu stoppen. Der Widerspruch muss dort wirken, wo die nächste Ansprache entstehen würde: Newsletter-Tool, CRM, Shop-Kundengruppe, Lead-Liste, Custom Audience, Telefonliste oder Agenturbriefing.

Hier hilft ein sauberer Unterschied zwischen Abmeldung, Widerruf und Widerspruch. Eine Newsletter-Abmeldung betrifft den konkreten Versandkanal. Ein Consent-Widerruf betrifft Einwilligungen, etwa im Cookie- oder Tracking-Kontext. Ein Widerspruch gegen Direktwerbung kann breiter wirken und muss intern als Signal verstanden werden. Der AdSimple Consent Manager ist deshalb nicht nur für Banner wichtig, sondern auch für die Frage, ob Einwilligungen, Widerruf und Marketing-Zwecke technisch nachvollziehbar bleiben.

Das Postfach ist nur der Eingang, nicht der Prozess

Viele Unternehmen verlassen sich auf eine Datenschutz-E-Mail-Adresse im Impressum oder in der Datenschutzerklärung. Das ist notwendig, aber nicht ausreichend. Eine Anfrage kann über Kontaktformular, allgemeine Office-Adresse, Social Media, Support-Tool, Chat, Shopkonto oder Telefonnotiz hereinkommen. Wenn nur eine Person im Team weiß, was damit zu tun ist, entsteht ein Risiko bei Urlaub, Personalwechsel oder hohem Anfragevolumen.

Ein belastbarer Prozess beantwortet vier Fragen. Erstens: Wie wird die Anfrage erkannt? Zweitens: Wie wird die Identität angemessen geprüft, ohne unnötig neue Daten zu sammeln? Drittens: Welche Systeme werden durchsucht? Viertens: Wie wird die Antwort dokumentiert? Die Datenschutzbehörde informiert über die Rechte betroffener Personen, und die WKO beschreibt Betroffenenrechte als organisatorische Pflicht für Unternehmen. Diese Pflicht lebt nicht in einem Textbaustein, sondern in Zuständigkeiten und Fristen.

Ein Monat Antwortfrist braucht Vorbereitung

Die DSGVO sieht grundsätzlich eine Antwort innerhalb eines Monats nach Eingang vor. Bei komplexen oder zahlreichen Anträgen kann diese Frist unter bestimmten Voraussetzungen verlängert werden; darüber muss aber informiert werden. Für KMU ist das eine klare operative Ansage: Wer erst am Tag 25 beginnt, Systeme zu durchsuchen und Dienstleister zu fragen, ist spät dran.

Ein gutes Setup legt deshalb schon vorab fest, welche Systeme bei welcher Anfrage geprüft werden. Für typische Websites sind das CMS, Shop, Newsletter-Tool, CRM, Consent-Logs, Analytics- und Tag-Manager-Setups, Support-Postfach, Buchhaltung, Zahlungsanbieter und externe Agenturen. Der Beitrag zur EDPB-Prüfaktion zu Datenschutzhinweisen zeigt denselben Grundgedanken: Transparenz ist nur belastbar, wenn sie zu den tatsächlichen Prozessen passt.

Website-Formulare müssen den richtigen Kontext liefern

Kontaktformulare sind oft der erste Berührungspunkt für Betroffenenrechte. Ein allgemeines Formular kann funktionieren, wenn es intern zuverlässig verteilt wird. Besser ist aber eine klare Struktur: Anliegen, betroffene E-Mail-Adresse, optionaler Kundenbereich, betroffene Dienste und sicherer Kontaktweg. Gleichzeitig sollte das Formular nicht unnötig viele Ausweisdaten oder sensible Informationen erzwingen.

Für das Impressum und die Datenschutzerklärung ist wichtig, dass Kontaktwege auffindbar bleiben. Der Prozess dahinter ist aber genauso wichtig: Eine Anfrage darf nicht in der allgemeinen Sales-Pipeline verschwinden. Wenn Website-Teams neue Formulare, Tools oder Automationen einführen, sollte der Betroffenenrechte-Workflow mitgetestet werden. Das passt auch zum Thema Datenschutz-Folgenabschätzung bei Website-Projekten, weil riskante neue Datenflüsse früh erkannt werden müssen.

Consent, Cookies und Opt-outs zusammendenken

Der ältere Beitrag zu technisch notwendigen Cookies und Consent zeigt, dass Tracking und Einwilligung bereits im Setup sauber getrennt werden müssen. Beim Widerspruch und bei der Löschung kommt eine weitere Ebene dazu: Was passiert mit bestehenden Profilen, Zielgruppen und Exporten, wenn jemand seine Rechte ausübt?

Ein praktischer Check lautet: Kann das Team nachvollziehen, welche Marketing- und Analyse-Dienste eine betroffene Person berühren könnten? Gibt es eine Suppression-Liste, damit eine Person nach einem Widerspruch nicht versehentlich wieder importiert wird? Werden Agenturen oder externe Dienstleister eingebunden? Sind alte CSV-Exporte, Offline-Listen oder Custom Audiences berücksichtigt? Gerade im Online Marketing ist Datenschutz kein Hindernis für Arbeit, sondern eine Qualitätskontrolle für saubere Kampagnen.

Dokumentation ohne Scheinsicherheit

Unternehmen sollten nicht versprechen, jede Löschanfrage immer vollständig und sofort umzusetzen. Seriöser ist eine klare Sprache: Anfragen werden geprüft, berechtigte Löschungen werden umgesetzt, gesetzliche Aufbewahrungspflichten bleiben berücksichtigt, und Betroffene erhalten eine nachvollziehbare Antwort. Unsichere oder komplexe Fälle sollten fachlich geprüft werden. Dieser Beitrag ist keine individuelle Rechtsberatung, sondern ein operativer Leitfaden für Website- und Marketing-Teams.

Das AdSimple Business Paket ist für solche laufenden Aufgaben sinnvoll, weil Datenschutztexte, Consent, Impressum, Website-Audits und Prozessfragen zusammengehören. Der Beitrag zu Dark Patterns und Digital Fairness passt hier ebenfalls: Faire Nutzerführung bedeutet nicht nur, Entscheidungen sauber zu gestalten, sondern auch spätere Rechteausübung nicht unnötig zu erschweren.

Praxis-Check für den nächsten Website-Audit

Für den nächsten Audit reichen klare Prüfpunkte. Gibt es eine sichtbare Kontaktmöglichkeit für Datenschutzanfragen? Werden Anfragen aus allen Eingangskanälen erkannt? Ist festgelegt, wer innerhalb von 48 Stunden prüft, welche Systeme betroffen sein könnten? Gibt es eine Liste der Tools, in denen personenbezogene Daten liegen? Sind Newsletter-Abmeldung, Consent-Widerruf und Werbewiderspruch voneinander sauber abgegrenzt? Können Löschgründe, Ausnahmen und Antworten dokumentiert werden?

Zusätzlich sollte jedes neue Tool eine Betroffenenrechte-Frage bekommen: Wie findet das Team dort personenbezogene Daten? Wie werden Daten gelöscht oder exportiert? Was passiert mit Backups, Logs und archivierten Exporten? Welche Dienstleister müssen informiert werden? Wer diese Fragen bei der Einführung stellt, spart später hektische Suchaktionen.

Fazit: Betroffenenrechte gehören in den Betriebsablauf

Der aktualisierte EDPB-Falldigest ist ein guter Anlass, den eigenen Lösch- und Widerspruchsprozess nicht nur juristisch, sondern praktisch zu prüfen. Website-Betreiber sollten wissen, wo Anfragen eingehen, welche Systeme betroffen sind, wer entscheidet und wie die Antwort dokumentiert wird.

Der wichtigste Schritt ist kein neues PDF, sondern ein funktionierender Ablauf: Eingang erkennen, Identität angemessen prüfen, Systeme durchsuchen, Marketing-Opt-outs respektieren, Dienstleister einbinden und Antwort sauber dokumentieren. Dann endet eine Löschanfrage nicht im Postfach, sondern in einem nachvollziehbaren Datenschutzprozess.

Quellen