Dieser Satz wirkt auf den ersten Blick harmlos. Viele denken dabei an einen simplen Delete-Button oder eine schnelle Aktion in einem System. In der Praxis zeigt sich jedoch sehr schnell: Hinter Art. 17 DSGVO verbirgt sich eine der technisch und organisatorisch anspruchsvollsten Anforderungen überhaupt.

In meiner täglichen Projektarbeit wird sehr deutlich, dass das Recht auf Vergessenwerden kein isoliertes Tool-Thema ist. Es betrifft die gesamte IT-Architektur, die Datenorganisation und die gelebten Prozesse eines Unternehmens.

Die fünf größten Stolpersteine

Systemvielfalt und Datensilos

Nahezu jedes Unternehmen verarbeitet personenbezogene Kundendaten in einer Vielzahl von Systemen. CRM, ERP, E-Commerce-Plattformen, Marketing-Tools, Support-Systeme, File-Shares und Backups enthalten jeweils Teilinformationen. Diese historisch gewachsene Landschaft führt dazu, dass es keinen zentralen Ort gibt, an dem alle Kundendaten vollständig zusammenlaufen.

Fehlende Transparenz über Datenbestände

Erschwerend kommt hinzu, dass häufig keine belastbare Übersicht existiert, welches System welche personenbezogenen Daten speichert. Ohne ein zentrales Dateninventar bleibt unklar, wo überall gesucht werden muss. Löschanfragen werden dadurch zu aufwendigen manuellen Recherchen – mit hohem Risiko, einzelne Datenbestände zu übersehen.

Uneinheitliche Datenfelder und Strukturen

Selbst wenn die relevanten Systeme bekannt sind, erschweren inkonsistente Datenmodelle die Umsetzung. Die gleiche Information wird unterschiedlich benannt oder gespeichert – etwa als CustomerID, Kunden-Nr. oder Freitextfeld. Tippfehler, leere Felder und verschiedene Formate machen ein systemübergreifendes Matching komplex und fehleranfällig.

Historisch gewachsene Integrationslandschaften

Viele Systeme sind über Schnittstellen miteinander verbunden und tauschen regelmäßig Daten aus. Wird ein Datensatz nur in einem System gelöscht, besteht die reale Gefahr, dass er über eine Integration aus einem anderen System erneut eingespielt wird. Löschungen müssen daher immer integriert, koordiniert und in der richtigen Reihenfolge erfolgen.

Schwierige Identifikation zusammengehöriger Datensätze

Kundinnen und Kunden existieren selten nur einmal. Unterschiedliche Profile für private und geschäftliche Nutzung oder alte Datenstände führen zu mehrfachen Datensätzen. Ohne saubere Identity Resolution bleibt bei Löschanfragen fast immer ein Restbestand bestehen.

Vier Hebel, die wirklich helfen

Transparenz schaffen – Dateninventar und Mapping

Der wichtigste erste Schritt ist ein belastbares Dateninventar. Unternehmen müssen wissen, in welchen Systemen personenbezogene Daten verarbeitet werden, welche Datentypen betroffen sind und wer fachlich verantwortlich ist. Ergänzt durch automatisierte Data-Discovery-Werkzeuge lassen sich auch vergessene oder unbekannte Speicherorte identifizieren.

Das Ergebnis ist ein lebendes Verzeichnis der Verarbeitungstätigkeiten, das als operative Grundlage für Lösch- und Auskunftsprozesse dient.

Einheitliche Kundensicht – Master Data Management

Um personenbezogene Daten systemübergreifend korrekt zu löschen, braucht es eine verlässliche Zuordnung der Datensätze zu einer Person. Ein Master-Data-Ansatz mit einem sogenannten „Golden Record“ hilft dabei, Dubletten zu erkennen und zusammenzuführen. Ziel ist nicht Perfektion, sondern eine eindeutige, arbeitsfähige Identität, auf deren Basis Löschprozesse reproduzierbar durchgeführt werden können.

Automatisierung – von Workflows bis Agentic AI

Manuelle Löschprozesse skalieren nicht. API-basierte Lösch-Workflows ermöglichen es, systemübergreifende Löschungen zentral zu steuern, Abhängigkeiten zu berücksichtigen und alle Schritte revisionssicher zu dokumentieren.

Hier eröffnen Agentic-AI-Ansätze zusätzliche Möglichkeiten. Agentic AI agiert dabei nicht als autonomes Löschsystem, sondern als unterstützende, kontextverstehende Instanz. Sie kann:

• personenbezogene Datenfelder über Metadaten- und Schemaanalysen identifizieren,
• Namens-, Schreib- und E-Mail-Varianten erkennen und logisch zusammenführen,
• betroffene Systeme analysieren und strukturierte Lösch-Playbooks vorbereiten,
• Dokumentation und Audit-Nachweise automatisiert erzeugen.

In der Praxis hat sich ein Copilot-Modell bewährt: Die AI bereitet vor, strukturiert und empfiehlt – Freigaben, Kontrolle und Verantwortung verbleiben beim Menschen.

Governance und klare Prozesse

Technologie allein reicht nicht aus. Erfolgreiche Unternehmen verankern das Recht auf Vergessenwerden organisatorisch. Ein zentraler Single Point of Contact – häufig ein Privacy Office – koordiniert Löschanfragen, priorisiert Fälle und überwacht Fristen.

Ebenso wichtig sind klare Richtlinien für Sonderfälle, etwa bei laufenden Vertragsverhältnissen oder gesetzlichen Aufbewahrungspflichten. Schulungen der System-Owner und Fachbereiche stellen sicher, dass klar ist:

Lessons Learned vom Projekt-Floor

• Time-to-Delete ist ein KPI.
  Mit gepflegtem Dateninventar sind vollständige Löschungen oft innerhalb von 24–48 Stunden möglich. Ohne diese Grundlage dauern identische Fälle mehrere Wochen.
• Backups früh mitdenken.
  Ohne klare Backup-Strategie tauchen gelöschte Datensätze spätestens beim Restore wieder auf. Selektive Restore-Mechanismen oder zeitversetztes Überschreiben sind essenziell.
• Rücksynchronisationen früh berücksichtigen.
  In der Praxis tauchen gelöschte Datensätze seltener durch Backups, sondern deutlich häufiger durch Rücksynchronisationen zwischen Systemen wieder auf. Batch-Jobs, Replikationen oder bidirektionale Schnittstellen können Löschungen unbemerkt überschreiben, wenn sie nicht explizit berücksichtigt werden. Erfolgreiche Löschkonzepte steuern daher Synchronisationsprozesse gezielt, definieren klare Löschreihenfolgen und stellen sicher, dass Löschungen systemübergreifend konsistent wirksam bleiben.
• Kleine Pilot-Workflows wirken.
  Ein erster automatisierter Löschprozess – etwa Webshop → CRM – liefert schnell sichtbare Erfolge und überzeugt Management wie Fachbereiche.
• Agentic AI ist kein „Fire-and-Forget“.
  Menschliche Kontrolle, Plausibilitätsprüfungen und Rollback-Mechanismen bleiben Pflicht.

Fazit & nächste Schritte

Das Recht auf Vergessenwerden legt schonungslos offen, wie fragmentiert viele Datenlandschaften sind. Unternehmen, die gezielt in Transparenz, Standardisierung und Automatisierung investieren, gewinnen jedoch mehr als nur DSGVO-Konformität: höheres Kundenvertrauen, bessere Datenqualität und geringere operative Kosten.

Empfohlene nächste Schritte für Ihr Unternehmen:

1. Dateninventar aufsetzen oder aktualisieren – pragmatisch, aber aktuell.
2. Identitäts- und Matching-Logik definieren, auf deren Basis gelöscht wird.
3. Einen ersten systemübergreifenden Lösch-Workflow automatisieren.
4. Governance klar verankern und Verantwortlichkeiten festlegen.
5. Agentic-AI-Potenziale gezielt über Pilotprojekte evaluieren.

Der Weg ist anspruchsvoll – aber mit einem realistischen, schrittweisen Ansatz möglich und nötig.

Warum Senacor der richtige Partner ist

Die Umsetzung des Rechts auf Vergessenwerden erfordert Erfahrung, Weitblick und ein tiefes Verständnis komplexer IT-Architekturen. Senacor bringt genau diese Kombination mit. In zahlreichen erfolgreichen Projekten haben wir Unternehmen bei Architekturvorhaben ebenso wie bei der Umsetzung von Löschkonzepten in verteilten Systemlandschaften begleitet – auch dort, wo Daten über viele Anwendungen hinweg konsistent entfernt werden mussten.

Unser Ansatz ist dabei stets pragmatisch und zugleich gewissenhaft: Wir denken Lösungen realistisch, schrittweise und mit Blick auf regulatorische Anforderungen. Gleichzeitig sind wir in der Lage, alle notwendigen Aktivitäten ganzheitlich abzudecken oder gezielt zu begleiten – von Architektur und Governance über Prozesse und Automatisierung bis hin zur Integration moderner Technologien wie AI. So schaffen wir nachhaltige Lösungen, die in der Praxis funktionieren.

JORRITT BEUTEL

Managing Consultant
mobility@senacor.com