Auftragsverarbeitung beendet: Was passiert jetzt mit den Daten?

Der Vertrag mit Ihrem IT-Dienstleister ist gekündigt, das Projekt mit der externen Marketing-Agentur abgeschlossen. Die Zusammenarbeit und damit auch die Auftragsverarbeitung endet – aber was passiert mit den personenbezogenen Daten Ihrer Kunden und Mitarbeiter, die der Dienstleister verarbeitet hat? Diese Frage ist entscheidend, denn hier lauern Risiken wie Kontrollverlust, Datenschutzverstöße und empfindliche Bußgelder. Die Datenschutz-Grundverordnung (DSGVO) gibt eine klare Antwort: Nach Beendigung der Auftragsverarbeitung müssen Daten entweder zurückgegeben oder gelöscht werden. In diesem Beitrag erfahren Sie, was das für Ihre Pflichten als Auftraggeber bedeutet, welche Optionen Sie haben und wie Sie diese rechtssicher umsetzen.

Vom passiven Vertrag zur aktiven Kontrollpflicht: Was neue Urteile für Sie bedeuten

In der Welt der Auftragsverarbeitung gibt es zwei zentrale Rollen: der Auftraggeber ist der Verantwortliche, denn er entscheidet über Zweck und Mittel der Verarbeitung. Der Dienstleister (z.B. Cloud-Anbieter, Web-Hoster) ist der Auftragsverarbeiter, der streng nach Weisung handelt. Entscheidend dabei ist, dass die Verantwortung des Auftraggebers nicht mit dem Vertrag endet. Stattdessen muss man als Auftraggeber sicherstellen, dass die Daten bei Vertragsende ordnungsgemäß behandelt werden. Die zentrale Vorschrift hierfür ist Art. 28 Abs. 3 lit. g DSGVO. Diese gibt Ihnen als Verantwortlichem ein Wahlrecht: Entweder die vollständige Löschung oder die vollständige Rückgabe aller personenbezogenen Daten durch den Dienstleister. Die Daten einfach zu Behalten, „falls man sie nochmal braucht“, ist verboten. Auch die Subunternehmer in der gesamten Vertragskette müssen kontrolliert werden. Weitere Informationen dazu finden Sie hier.

Wie ernst diese Pflicht zu nehmen ist, haben jüngste Gerichtsentscheidungen gezeigt. Der Bundesgerichtshof (BGH) stellte in einem wegweisenden Urteil klar (Az. VI ZR 396/24 vom 11.11.2025), dass eine Klausel im Auftragsverarbeitungsvertrag (AVV), die den Dienstleister zur Löschung verpflichtet, nicht ausreicht. Der BGH fordert von Ihnen als Verantwortlichem eine aktive Löschkontrolle. Sie müssen aktiv Maßnahmen ergreifen, um die tatsächliche, unwiderrufliche Löschung sicherzustellen. Eine schriftliche Löschbestätigung durch den Auftragnehmer ist dabei die Mindestanforderung.

Klare Regelung zur Datenlöschung im AV-Vertrag notwendig

Damit am Ende der Zusammenarbeit mit dem Dienstleister klar ist, wie und wann die Daten zu löschen bzw. zurückzugeben sind, ist die Festlegung eines genau geregelten Vorgehens im Auftragsverarbeitungsvertrag ratsam. Hier könnte bspw. geregelt sein, dass der Auftragnehmer verpflichtet ist, dem Auftraggeber das Protokoll der Löschung der Daten unaufgefordert vorzulegen. Oder derAuftraggeber verpflichtet wird, dem Auftragnehmer mit einer Frist von z.B. einem Monat vor Vertragsende mitzuteilen, ob er die Löschung der Daten verlangt oder deren Rückgabe fordert. Falls der Auftragnehmer bis zum Ablauf der Frist keine Weisung des Auftraggebers erhalten sollte, könnte er im AV-Vertrag berechtigt und verpflichtet werden, die Daten mit Vertragsende – spätestens nach Ablauf von z.B. 14 Tagen – zu löschen.

Vollständiger Prozess rund um die Auftragsverarbeitung

Aber nicht erst für die Beendigung der Auftragsverarbeitung ist ein Prozess zu erstellen. Um den den Pflichten als Verantwortlicher nachzukommen muss dies bereits vor der Beauftragung geschehn. Wie ein solcher Prozess aussehen kann und woran zu denken ist, werden wir in einem unserer nächsten Blogbeiträge näher erläutern.

Fazit

Die Löschung oder Rückgabe von Daten ist kein optionaler, sondern ein verpflichtender letzter Schritt der Auftragsverarbeitung. Die jüngste Rechtsprechung fordert von Ihnen als Verantwortlichem eine proaktive Rolle. Ein sauberer AV-Vertrag und eine klare Kommunikation über die Löschprozesse schaffen Rechtssicherheit und beweisen einen professionellen Umgang mit sensiblen Daten.

Haben Sie Fragen zur Auftragsverarbeitung oder benötigen datenschutzrechtliche Beratung? Bitte wenden Sie sich an unsere bundesweit tätigen Datenschutzexperten unter info@sidit.de

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Hiermit willige ich ein, dass mich die SiDIT GmbH per E-Mail kontaktieren darf, um mir auf meine persönlichen Interessen zugeschnittene Angebote im Zusammenhang mit ihren Waren/Dienstleitungen zu unterbreiten und mich über Neuigkeiten ihres Unternehmens und Waren/Dienstleistungen zu informieren. Erläuterungen zu Informationen auf Basis persönlicher Interessen erhalten Sie hier. Mir ist bewusst, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft, per E-Mail an info@sidit.de widerrufen kann. Wir setzen Sie davon in Kenntnis, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt wird. Weitere Informationen finden Sie in unserer Datenschutzerklärung.