Die Löschung von E-Mail-Adressen in Outlook wird in der Praxis häufig übersehen. Dabei kann genau dieser Umstand zu Datenschutzverstößen führen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist darauf hin, dass die Löschpflicht nach Art. 17 Abs. 1 DS-GVO auch die AutoVervollständigen-Liste in Microsoft Outlook umfasst. Erfahren Sie, warum diese oft übersehene Datenquelle datenschutzrechtlich relevant ist und welche Maßnahmen Unternehmen ergreifen sollten.
Löschung von E-Mail-Adressen in Outlook: Warum das BayLDA warnt
Die Löschung von E-Mail-Adressen in Outlook gehört zu jenen datenschutzrechtlichen Pflichten, die in der Praxis häufig übersehen werden.
Wer personenbezogene Daten gemäß Art. 17 Abs. 1 DS-GVO löschen muss, darf dabei die „AutoVervollständigen-Liste“ in Microsoft Outlook nicht vergessen.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat dieses Problem in seinem Tätigkeitsbericht 2025 aufgegriffen und konkrete Handlungsempfehlungen gegeben.
Der Datenschutzexperte Christof Kolyvas von KUECK Industries geht nachfolgend auf diese Erkenntnisse für Sie ein.
Die AutoVervollständigen-Liste als versteckte Datenquelle
Im Berichtszeitraum erreichten das BayLDA Beschwerden von betroffenen Personen, die trotz bestehender Löschpflicht erneut per E-Mail kontaktiert worden waren.
Die Ursache lag dabei nicht in einem bewussten Verstoß, sondern in einem technischen Detail: Microsoft Outlook speichert einmal verwendete E-Mail-Adressen automatisch in der AutoVervollständigen-Liste.
Sobald ein Mitarbeiter eine neue E-Mail verfasst und die ersten Buchstaben eingibt, schlägt Outlook die gespeicherte Adresse vor – und der Versender wählt sie aus, ohne zu bemerken, dass es sich um eine bereits zu löschende E-Mail-Adresse handelt.
Die verantwortlichen Stellen hatten ihre Löschpflicht nach Art. 17 Abs. 1 DS-GVO zwar (teilweise) erfüllt, allerdings die E-Mail-Adresse nicht aus der AutoVervollständigen-Liste entfernt.
Dadurch kam es zu einem ungewollten Versand an Personen, deren Daten längst hätten gelöscht sein müssen.
Dieses Verhalten ist datenschutzrechtlich als unzulässige Verarbeitung einzustufen.
Was Art. 17 Abs. 1 DS-GVO bei der Löschung von E-Mail-Adressen in Outlook verlangt
Art. 17 Abs. 1 DS-GVO verpflichtet Verantwortliche zur vollständigen Löschung personenbezogener Daten, sobald die Voraussetzungen vorliegen – etwa weil der Verarbeitungszweck entfallen ist.
„Vollständig“ bedeutet: Nicht nur in den primären IT-Systemen, sondern auch in sämtlichen Datenquellen, die im Verarbeitungsprozess genutzt werden.
Die AutoVervollständigen-Liste ist eine solche Datenquelle.
Deshalb umfasst die Löschung von E-Mail-Adressen in Outlook zwingend auch diesen Bereich – anderenfalls bleibt die Verarbeitung unvollständig und damit rechtswidrig.
Löschkonzept um technische Datenquellen erweitern
Das BayLDA empfiehlt, die AutoVervollständigen-Liste ausdrücklich in das betriebliche Löschkonzept aufzunehmen.
Daneben sollten Verantwortliche folgende Maßnahmen prüfen:
Manuelle Entfernung
Die E-Mail-Adresse lässt sich direkt aus der AutoVervollständigen-Liste entfernen.
Dazu reicht es, beim Verfassen einer neuen E-Mail die vorgeschlagene Adresse über das „X“-Symbol zu löschen.
Pfad in Outlook:
Neue E-Mail → Adresseingabe im An-Feld → X
Deaktivierung der Funktion
Alternativ lässt sich die Funktion in Outlook deaktivieren, sodass keine neuen Adressen gespeichert werden.
Pfad in Outlook:
Datei → Optionen → E-Mail → Nachricht senden → „Beim Ausfüllen der Zeilen ‚An‘, ‚CC‘ und ‚BCC‘ Namen mithilfe der AutoVervollständigen-Liste vorschlagen“ deaktivieren
Leeren der Liste
Zusätzlich besteht die Möglichkeit, die gesamte Liste zu leeren.
Pfad in Outlook:
Datei → Optionen → E-Mail → Nachricht senden → „AutoVervollständigen-Liste leeren“
Löschung von E-Mail-Adressen in Outlook als Bestandteil des Löschkonzepts
Die Hinweise des BayLDA zeigen, dass sich Löschpflichten nicht allein auf zentrale IT-Systeme beschränken.
Vielmehr müssen Unternehmen prüfen, welche technischen Datenquellen im Betrieb genutzt werden und ob diese vollständig im Löschkonzept berücksichtigt sind.
Gerade die AutoVervollständigen-Liste von Outlook wird dabei häufig übersehen, obwohl sie weiterhin personenbezogene Daten enthält und aktiv im Verarbeitungsprozess genutzt wird.
👉 Prüfen Sie gemeinsam mit unserem Datenschutzexperten, ob technische Datenquellen wie die AutoVervollständigen-Liste bereits Bestandteil Ihres Löschkonzepts sind.
Fazit: Löschung von E-Mail-Adressen in Outlook konsequent umsetzen
Die Löschung von E-Mail-Adressen in Outlook ist kein Randthema, sondern ein konkreter Bestandteil der gesetzlichen Löschpflicht nach Art. 17 Abs. 1 DS-GVO.
Wer sein Löschkonzept nur auf zentrale IT-Systeme beschränkt, läuft Gefahr, gegen Datenschutzrecht zu verstoßen – selbst wenn der eigentliche Löschvorgang korrekt durchgeführt wird.
Deshalb empfiehlt es sich, regelmäßig zu prüfen, welche technischen Datenquellen im Betrieb genutzt werden und ob diese vollständig im Löschkonzept berücksichtigt sind.
Denn nur wer auch „versteckte“ Datenquellen wie die AutoVervollständigen-Liste im Blick hat, erfüllt seine Pflichten wirklich lückenlos.
Unser Datenschutzexperte Christof Kolyvas von KUECK Industries hilft Ihnen gerne weiter.
Wie gehen Sie in Ihrem Unternehmen mit der Löschung personenbezogener Daten um? Nutzen Sie gerne die Kommentarfunktion und teilen Sie Ihre Erfahrungen.
Schreibe einen Kommentar