Backups gelten als technische Selbstverständlichkeit -- doch sobald sie personenbezogene Daten enthalten, geraten sie in das Spannungsfeld der DSGVO. Auf der einen Seite verlangt Art. 32 DSGVO die Verfügbarkeit und Wiederherstellbarkeit von Daten, was ohne Backups kaum zu erfüllen ist. Auf der anderen Seite fordern die Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) und das Recht auf Löschung (Art. 17 DSGVO), Daten nicht länger als nötig vorzuhalten. Wer beides zusammendenkt, braucht mehr als eine Backup-Routine: eine Rechtsgrundlage, ein Löschkonzept und eine saubere Auftragsverarbeitung. Dieser Leitfaden zeigt, wie die Datensicherung eines Online-Shops nach aktuellen DSGVO-Anforderungen aufgestellt wird -- ohne die handelsrechtlichen Aufbewahrungspflichten zu verletzen.
Rechtsgrundlage: Warum ein Backup überhaupt zulässig ist
Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage nach Art. 6 DSGVO (EUR-Lex, Verordnung 2016/679) -- und ein Backup ist eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO, weil Daten gespeichert und vervielfältigt werden. In der Praxis stützen sich Backups meist auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Der Verantwortliche hat ein legitimes Interesse an der Sicherheit, Integrität und Verfügbarkeit seiner Systeme. Die Datenschutzkonferenz (DSK) ordnet die Sicherung der Datenverfügbarkeit ausdrücklich den technischen und organisatorischen Maßnahmen zu.
Wichtig ist die Abgrenzung: Das Backup ist kein Selbstzweck, sondern dient der Sicherung von Daten, die für einen anderen Zweck (z.B. Vertragsabwicklung nach Art. 6 Abs. 1 lit. b DSGVO) erhoben wurden. Die Rechtsgrundlage der Sicherung folgt damit dem ursprünglichen Verarbeitungszweck und ergänzt ihn um die Sicherheitskomponente aus Art. 32 DSGVO. Der Bundesbeauftragte für den Datenschutz (BfDI) betont, dass die Wiederherstellbarkeit nach einem Zwischenfall integraler Bestandteil eines angemessenen Schutzniveaus ist.
Backup ist nicht gleich Archiv
Aufbewahrungsfristen: Handelsrecht trifft Datenschutz
Die DSGVO verlangt, personenbezogene Daten zu löschen, sobald der Zweck entfällt. Das Handels- und Steuerrecht verlangt dagegen, bestimmte Unterlagen über Jahre aufzubewahren. Nach Para. 257 HGB betragen die Fristen für Handelsbücher und Buchungsbelege bis zu 10 Jahre (HGB, Para. 257), für Handels- und Geschäftsbriefe 6 Jahre (HGB, Para. 257 Abs. 4). Das Steuerrecht spiegelt dies in Para. 147 AO: Buchungsbelege wie Rechnungen sind 10 Jahre aufzubewahren (Abgabenordnung, Para. 147).
Diese gesetzlichen Pflichten sind in der DSGVO ausdrücklich berücksichtigt: Art. 17 Abs. 3 lit. b DSGVO nimmt Daten von der Löschung aus, deren Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Eine Rechnung, die das Recht auf Löschung betreffen könnte, muss wegen Para. 147 AO dennoch zehn Jahre erhalten bleiben. Die saubere Lösung ist nicht das Löschen, sondern die Einschränkung der Verarbeitung (Art. 18 DSGVO) -- in der Praxis oft als Sperrung umgesetzt: Die Daten bleiben für die gesetzliche Aufbewahrung erhalten, werden aber für den ursprünglichen Zweck nicht mehr genutzt.
| Kriterium | Aufbewahren | Löschen |
|---|---|---|
| Rechtsgrundlage | Para. 147 AO, Para. 257 HGB, Art. 17 Abs. 3 lit. b DSGVO | Art. 17 Abs. 1, Art. 5 Abs. 1 lit. e DSGVO |
| Typische Frist | 6 bis 10 Jahre (Belege, Rechnungen) | Sofort bzw. nach Zweckwegfall |
| Betroffene Daten | Rechnungen, Buchungsbelege, Geschäftsbriefe | Marketing-Einwilligungen, Newsletter, Profildaten |
| Umsetzung im System | Einschränkung der Verarbeitung (Sperrung) | Endgültige Löschung aus aktiven Daten |
| Umsetzung im Backup | Im Archiv-Datensatz mit definierter Frist | Nachzug bei Rotation, nicht aktiver Eingriff |
Eine bewährte Grundlage für die praktische Umsetzung ist das DSK-Löschkonzept nach DIN 66398, das Datenarten in Löschklassen mit definierten Fristen und Startereignissen gruppiert (Datenschutzkonferenz, Standarddatenschutzmodell). Ein gepflegtes Löschkonzept ist die Voraussetzung dafür, dass Aufbewahren und Löschen nicht zufällig, sondern regelbasiert geschieht -- und es lässt sich in der laufenden Shopware-Wartung eines Shops verankern.
Recht auf Löschung in Backups: der Sonderfall
Verlangt eine betroffene Person die Löschung ihrer Daten nach Art. 17 DSGVO, stellt sich eine technische Frage: Was passiert mit den Kopien in alten Backups? Ein gezieltes Löschen einzelner Datensätze aus einem konsistenten, oft verschlüsselten Backup-Snapshot ist technisch kaum möglich, ohne die Integrität des gesamten Backups zu zerstören. Die deutschen Aufsichtsbehörden haben dafür eine pragmatische Linie entwickelt.
Der Landesbeauftragte für den Datenschutz Niedersachsen sowie weitere Aufsichtsbehörden vertreten die Auffassung, dass die Löschung im aktiven Datenbestand sofort erfolgen muss, während die Löschung in Backups erst im Zuge der regulären Rotation nachgezogen wird -- vorausgesetzt, die Backups sind isoliert, werden nicht für andere Zwecke ausgewertet und der Datensatz wird bei einer etwaigen Wiederherstellung erneut gelöscht. Entscheidend ist, dass kein produktiver Zugriff auf die Backup-Daten erfolgt und der Löschwunsch dokumentiert vermerkt wird.
- Löschung im aktiven Produktivsystem sofort umsetzen und dokumentieren.
- Löschwunsch in einer Merkliste vermerken, damit er bei Wiederherstellungen erneut greift.
- Backups isoliert halten -- keine Auswertung, kein produktiver Zugriff, kein Re-Import einzelner Felder.
- Bei der nächsten Rotation läuft das alte Backup mit dem Datensatz aus und wird überschrieben.
- Nach einer Wiederherstellung den vermerkten Löschwunsch erneut anwenden, bevor das System produktiv geht.
Keine Pauschalaussage möglich
Verschlüsselung und technische Maßnahmen nach Art. 32
Art. 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen (TOM), die dem Risiko angemessen sind -- ausdrücklich genannt werden die Verschlüsselung (Art. 32 Abs. 1 lit. a) und die Fähigkeit, die Verfügbarkeit personenbezogener Daten nach einem Zwischenfall rasch wiederherzustellen (Art. 32 Abs. 1 lit. c). Für Backups bedeutet das konkret: Verschlüsselung bei der Speicherung (AES-256) und bei der Übertragung (TLS 1.3). Das BSI empfiehlt im IT-Grundschutz-Baustein CON.3 (Datensicherungskonzept) die Verschlüsselung von Sicherungsdaten als Standardanforderung.
Verschlüsselung at Rest
Backups werden mit AES-256 verschlüsselt gespeichert. Selbst bei physischem Zugriff auf den Datenträger bleiben die personenbezogenen Daten geschützt -- ein zentraler Baustein nach Art. 32 Abs. 1 lit. a DSGVO.
Verschlüsselter Transport
Jeder Transfer zum Off-Site-Speicher erfolgt über TLS 1.3. Backups verlassen das System nie im Klartext und sind gegen Mitlesen auf dem Übertragungsweg geschützt.
Schlüsselverwaltung
Schlüssel werden getrennt von den Backups verwahrt. Ein kompromittierter Speicherort gibt ohne den separat gehaltenen Schlüssel keine lesbaren Daten preis.
Wiederherstellbarkeit
Regelmäßige Restore-Tests belegen, dass die Verfügbarkeit nach Art. 32 Abs. 1 lit. c tatsächlich gegeben ist -- ein nie getestetes Backup erfüllt diese Anforderung nicht.
Zugriffsbeschränkung
Nur ein klar definierter Personenkreis hat Zugriff auf Backups. Berechtigungen werden dokumentiert und regelmäßig überprüft -- nach dem Prinzip der Datenminimierung.
Dokumentation
Backup-Konzept, Löschkonzept und Restore-Protokolle gehören in das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) und belegen die Rechenschaftspflicht.
Die Wirksamkeit dieser Maßnahmen ist regelmäßig zu überprüfen (Art. 32 Abs. 1 lit. d DSGVO). Genau hier setzt die laufende Wartung mit Sicherheitsupdates an: Ohne aktuelle Verschlüsselungsbibliotheken, gepatchte Backup-Software und überwachte Transferwege bleibt das TOM-Niveau theoretisch. Die ENISA weist in ihren Leitlinien zur Datensicherheit darauf hin, dass veraltete Komponenten die wirksamste Verschlüsselung untergraben können (ENISA, Guidelines for SMEs on the security of personal data processing).
Auftragsverarbeitung: Backups beim Dienstleister
Wer Backups durch einen externen Dienstleister erstellen, speichern oder verwalten lässt, gibt personenbezogene Daten in eine Auftragsverarbeitung nach Art. 28 DSGVO. Das gilt für Hosting-Anbieter, Cloud-Speicher und Wartungsdienstleister gleichermassen. Voraussetzung ist ein Auftragsverarbeitungsvertrag (AVV), der die Pflichtinhalte aus Art. 28 Abs. 3 DSGVO abdeckt: Gegenstand, Dauer, Art und Zweck der Verarbeitung, Kategorien betroffener Personen, Weisungsbindung, Vertraulichkeit, TOM, Unterauftragsverarbeiter und Löschpflichten nach Vertragsende.
- AVV nach Art. 28 Abs. 3 DSGVO mit jedem Dienstleister abgeschlossen, der Backups verarbeitet.
- Unterauftragsverarbeiter (z.B. Rechenzentrumsbetreiber) im AVV benannt und freigegeben.
- Technische und organisatorische Maßnahmen des Auftragnehmers dokumentiert und geprüft.
- Lösch- und Rückgabepflichten für Backups nach Vertragsende geregelt.
- Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) um die Backup-Verarbeitung ergänzt.
Der BfDI stellt klar, dass die Verantwortung für die Rechtmäßigkeit beim Verantwortlichen bleibt -- auch wenn die technische Ausführung beim Auftragnehmer liegt. Deshalb muss der Verantwortliche die TOM des Dienstleisters prüfen und sich von deren Wirksamkeit überzeugen können. In unseren Projekten ist der AVV fester Bestandteil jedes Wartungsvertrags mit Backup-Komponente, und die Liste der Unterauftragsverarbeiter wird aktuell gehalten. Details klären wir gern im persönlichen Gespräch.
Speicherort EU und Drittlandtransfers
Der Speicherort der Backups ist ein eigenes Datenschutzthema. Liegen Backups auf Servern ausserhalb des Europäischen Wirtschaftsraums, greifen die Regeln zu Drittlandtransfers nach Kapitel V der DSGVO (Art. 44 ff.). Ohne Angemessenheitsbeschluss, Standardvertragsklauseln oder andere geeignete Garantien ist ein solcher Transfer unzulässig. Nach dem Schrems-II-Urteil des EuGH (Rechtssache C-311/18, EUR-Lex) müssen Verantwortliche zusätzlich prüfen, ob im Empfängerland ein gleichwertiges Schutzniveau besteht.
Warum EU-Speicherorte die Komplexität senken
Die Datenschutzkonferenz hat wiederholt betont, dass der Transfer in Drittländer ohne geeignete Garantien zu den häufigsten Beanstandungen gehört. Der EU-Speicherort ist damit nicht nur eine technische, sondern eine strategische Entscheidung, die das gesamte Backup-Konzept vereinfacht. In den von uns betreuten Projekten setzen wir auf Hosting in Deutschland und EU-Rechenzentren -- ein Aspekt, der beim Monitoring der Backup-Infrastruktur von Anfang an mitgedacht wird.
Datenpannen, Meldepflichten und das Backup als Schutz
Geht ein Backup verloren oder gerät es unverschlüsselt in falsche Hände, ist das eine Verletzung des Schutzes personenbezogener Daten. Art. 33 DSGVO verlangt die Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden (EUR-Lex, DSGVO Art. 33). Ist mit einem hohen Risiko für die Betroffenen zu rechnen, kommt nach Art. 34 DSGVO die Benachrichtigung der Betroffenen hinzu. Die Bußgeldobergrenze liegt nach Art. 83 Abs. 5 DSGVO bei bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro -- je nachdem, welcher Betrag höher ist.
Hier zeigt sich die doppelte Rolle des Backups: Ein verschlüsseltes, isoliertes Backup ist einerseits selbst ein potenzielles Risiko, wenn es kompromittiert wird -- andererseits ist es die wichtigste Verteidigung gegen Ransomware und Datenverlust. Erwägungsgrund 49 der DSGVO erkennt die Netz- und Informationssicherheit ausdrücklich als berechtigtes Interesse an. Laut BITKOM verursachen Cyberangriffe der deutschen Wirtschaft jährlich Schäden in dreistelliger Milliardenhöhe (Bitkom, Wirtschaftsschutz-Studie), wobei Datenverschlüsselung durch Ransomware zu den häufigsten Angriffsformen zählt.
Die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, ist keine Kür, sondern eine ausdrückliche Anforderung des Art. 32 DSGVO.
Ein getestetes Backup verkürzt die Zeit bis zur Wiederherstellung erheblich und kann im Ernstfall die Eskalation einer Datenpanne abmildern. Wer nach einem Ransomware-Vorfall innerhalb von Stunden aus einem sauberen Backup wiederherstellt, statt Lösegeld zu zahlen oder Daten endgültig zu verlieren, erfüllt die Verfügbarkeitsanforderung in der Praxis. Wie sich Updates und Wiederherstellungstests gefahrlos vorbereiten lassen, beschreibt unser Beitrag zu Staging-Umgebungen für sichere Updates.
Backup-Konzept und Löschkonzept zusammenführen
Ein DSGVO-bewusstes Backup-Konzept dokumentiert nicht nur, was gesichert wird, sondern auch, wie lange und wann die Daten wieder verschwinden. Das BSI fordert im Baustein CON.3 ein Datensicherungskonzept, das Sicherungsart, -häufigkeit, Aufbewahrungsdauer und Wiederherstellungsverfahren festlegt (BSI IT-Grundschutz, CON.3). Verbindet man dieses Konzept mit dem Löschkonzept nach DIN 66398, entsteht ein durchgängiger Lebenszyklus: Erhebung, Sicherung, Aufbewahrung, Einschränkung und Löschung greifen ineinander.
- Sicherungsumfang: Welche Systeme und Datenarten werden gesichert -- und welche bewusst nicht?
- Rotation und Aufbewahrung: Wie lange werden Snapshots vorgehalten, abgestimmt auf Löschklassen?
- Löschklassen nach DIN 66398: Welche Frist und welches Startereignis gilt je Datenart?
- Sperr- statt Löschlogik für aufbewahrungspflichtige Belege (Art. 18 DSGVO).
- Restore-Verfahren inklusive Nachlöschung vermerkter Löschwünsche.
- Rollen, Verantwortlichkeiten und Zugriffsrechte -- dokumentiert und überprüft.
In der Praxis scheitert die DSGVO-Konformität selten am fehlenden Backup, sondern an der fehlenden Verzahnung mit dem Löschkonzept und an nicht gepflegter Software. In 50+ betreuten Projekten (Projekterfahrung) hat sich gezeigt, dass ein dokumentiertes, regelmäßig getestetes und aktuell gehaltenes Backup-Konzept die solideste Grundlage ist. Wer hier Unterstützung braucht, findet sie in unseren Wartungsleistungen oder im direkten Gespräch.
Quellen und Grundlagen