Zum Inhalt springen
Proaktive Sicherheitsupdates
Sicherheit

DSGVO-konforme Datensicherung und Aufbewahrung im Shop

DSGVO und Backups vereinen: Rechtsgrundlage, Aufbewahrungsfristen, Löschkonzept, Recht auf Löschung, Verschlüsselung, Auftragsverarbeitung, EU-Speicherort.

13 Min. Lesezeit DSGVOBackupSicherheit

Backups gelten als technische Selbstverständlichkeit -- doch sobald sie personenbezogene Daten enthalten, geraten sie in das Spannungsfeld der DSGVO. Auf der einen Seite verlangt Art. 32 DSGVO die Verfügbarkeit und Wiederherstellbarkeit von Daten, was ohne Backups kaum zu erfüllen ist. Auf der anderen Seite fordern die Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) und das Recht auf Löschung (Art. 17 DSGVO), Daten nicht länger als nötig vorzuhalten. Wer beides zusammendenkt, braucht mehr als eine Backup-Routine: eine Rechtsgrundlage, ein Löschkonzept und eine saubere Auftragsverarbeitung. Dieser Leitfaden zeigt, wie die Datensicherung eines Online-Shops nach aktuellen DSGVO-Anforderungen aufgestellt wird -- ohne die handelsrechtlichen Aufbewahrungspflichten zu verletzen.

Backup-Lebenszyklus im DSGVO-Rahmen1. RechtsgrundlageArt. 6 Abs. 1 lit. fBerechtigtes InteresseDatenintegrität sichern2. VerschlüsselungAES-256 at RestTLS 1.3 im TransitArt. 32 TOM3. Speicherort EUAuftragsverarbeitungArt. 28 AVVKeine DrittlandtransfersSpannungsfeld: Aufbewahren (HGB/AO) vs. Löschen (Art. 17)AufbewahrenRechnungen 10 Jahre (Para. 147 AO)Handelsbriefe 6 Jahre (Para. 257 HGB)Gesetzliche Pflicht als SperrgrundArt. 17 Abs. 3 lit. bLöschenRecht auf Löschung (Art. 17)Speicherbegrenzung (Art. 5 Abs. 1 lit. e)Löschkonzept nach FristenBackup: Nachzug bei RotationAktive DatenSofort löschenauf BetroffenenwunschBackup-SnapshotGeschützt, isoliertkein DirektzugriffRotationLöschung wirdnachvollzogenWiederherstellungNachlöschungdokumentiertZiel: Verfügbarkeit (Art. 32) und Speicherbegrenzung (Art. 5) im Gleichgewicht

Rechtsgrundlage: Warum ein Backup überhaupt zulässig ist

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage nach Art. 6 DSGVO (EUR-Lex, Verordnung 2016/679) -- und ein Backup ist eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO, weil Daten gespeichert und vervielfältigt werden. In der Praxis stützen sich Backups meist auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Der Verantwortliche hat ein legitimes Interesse an der Sicherheit, Integrität und Verfügbarkeit seiner Systeme. Die Datenschutzkonferenz (DSK) ordnet die Sicherung der Datenverfügbarkeit ausdrücklich den technischen und organisatorischen Maßnahmen zu.

Wichtig ist die Abgrenzung: Das Backup ist kein Selbstzweck, sondern dient der Sicherung von Daten, die für einen anderen Zweck (z.B. Vertragsabwicklung nach Art. 6 Abs. 1 lit. b DSGVO) erhoben wurden. Die Rechtsgrundlage der Sicherung folgt damit dem ursprünglichen Verarbeitungszweck und ergänzt ihn um die Sicherheitskomponente aus Art. 32 DSGVO. Der Bundesbeauftragte für den Datenschutz (BfDI) betont, dass die Wiederherstellbarkeit nach einem Zwischenfall integraler Bestandteil eines angemessenen Schutzniveaus ist.

Backup ist nicht gleich Archiv

Ein Backup dient der kurzfristigen Wiederherstellung nach Störungen und wird regelmäßig überschrieben (Rotation). Ein Archiv speichert Daten gezielt und langfristig zu Nachweiszwecken. Beide haben unterschiedliche Rechtsgrundlagen, Fristen und Löschlogiken. Wer beides vermischt, riskiert sowohl Verstöße gegen die Speicherbegrenzung als auch Lücken bei den handelsrechtlichen Nachweispflichten.

Aufbewahrungsfristen: Handelsrecht trifft Datenschutz

Die DSGVO verlangt, personenbezogene Daten zu löschen, sobald der Zweck entfällt. Das Handels- und Steuerrecht verlangt dagegen, bestimmte Unterlagen über Jahre aufzubewahren. Nach Para. 257 HGB betragen die Fristen für Handelsbücher und Buchungsbelege bis zu 10 Jahre (HGB, Para. 257), für Handels- und Geschäftsbriefe 6 Jahre (HGB, Para. 257 Abs. 4). Das Steuerrecht spiegelt dies in Para. 147 AO: Buchungsbelege wie Rechnungen sind 10 Jahre aufzubewahren (Abgabenordnung, Para. 147).

Diese gesetzlichen Pflichten sind in der DSGVO ausdrücklich berücksichtigt: Art. 17 Abs. 3 lit. b DSGVO nimmt Daten von der Löschung aus, deren Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Eine Rechnung, die das Recht auf Löschung betreffen könnte, muss wegen Para. 147 AO dennoch zehn Jahre erhalten bleiben. Die saubere Lösung ist nicht das Löschen, sondern die Einschränkung der Verarbeitung (Art. 18 DSGVO) -- in der Praxis oft als Sperrung umgesetzt: Die Daten bleiben für die gesetzliche Aufbewahrung erhalten, werden aber für den ursprünglichen Zweck nicht mehr genutzt.

KriteriumAufbewahrenLöschen
RechtsgrundlagePara. 147 AO, Para. 257 HGB, Art. 17 Abs. 3 lit. b DSGVOArt. 17 Abs. 1, Art. 5 Abs. 1 lit. e DSGVO
Typische Frist6 bis 10 Jahre (Belege, Rechnungen)Sofort bzw. nach Zweckwegfall
Betroffene DatenRechnungen, Buchungsbelege, GeschäftsbriefeMarketing-Einwilligungen, Newsletter, Profildaten
Umsetzung im SystemEinschränkung der Verarbeitung (Sperrung)Endgültige Löschung aus aktiven Daten
Umsetzung im BackupIm Archiv-Datensatz mit definierter FristNachzug bei Rotation, nicht aktiver Eingriff

Eine bewährte Grundlage für die praktische Umsetzung ist das DSK-Löschkonzept nach DIN 66398, das Datenarten in Löschklassen mit definierten Fristen und Startereignissen gruppiert (Datenschutzkonferenz, Standarddatenschutzmodell). Ein gepflegtes Löschkonzept ist die Voraussetzung dafür, dass Aufbewahren und Löschen nicht zufällig, sondern regelbasiert geschieht -- und es lässt sich in der laufenden Shopware-Wartung eines Shops verankern.

Recht auf Löschung in Backups: der Sonderfall

Verlangt eine betroffene Person die Löschung ihrer Daten nach Art. 17 DSGVO, stellt sich eine technische Frage: Was passiert mit den Kopien in alten Backups? Ein gezieltes Löschen einzelner Datensätze aus einem konsistenten, oft verschlüsselten Backup-Snapshot ist technisch kaum möglich, ohne die Integrität des gesamten Backups zu zerstören. Die deutschen Aufsichtsbehörden haben dafür eine pragmatische Linie entwickelt.

Der Landesbeauftragte für den Datenschutz Niedersachsen sowie weitere Aufsichtsbehörden vertreten die Auffassung, dass die Löschung im aktiven Datenbestand sofort erfolgen muss, während die Löschung in Backups erst im Zuge der regulären Rotation nachgezogen wird -- vorausgesetzt, die Backups sind isoliert, werden nicht für andere Zwecke ausgewertet und der Datensatz wird bei einer etwaigen Wiederherstellung erneut gelöscht. Entscheidend ist, dass kein produktiver Zugriff auf die Backup-Daten erfolgt und der Löschwunsch dokumentiert vermerkt wird.

  1. Löschung im aktiven Produktivsystem sofort umsetzen und dokumentieren.
  2. Löschwunsch in einer Merkliste vermerken, damit er bei Wiederherstellungen erneut greift.
  3. Backups isoliert halten -- keine Auswertung, kein produktiver Zugriff, kein Re-Import einzelner Felder.
  4. Bei der nächsten Rotation läuft das alte Backup mit dem Datensatz aus und wird überschrieben.
  5. Nach einer Wiederherstellung den vermerkten Löschwunsch erneut anwenden, bevor das System produktiv geht.

Keine Pauschalaussage möglich

Ob die Löschung im Backup aufgeschoben werden darf, hängt vom Einzelfall ab -- von der Sensibilität der Daten, der Rotationsdauer und der Isolation der Backups. Diese Darstellung ersetzt keine Rechtsberatung. Im Zweifel ist die zuständige Aufsichtsbehörde oder ein Datenschutzbeauftragter einzubeziehen.

Verschlüsselung und technische Maßnahmen nach Art. 32

Art. 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen (TOM), die dem Risiko angemessen sind -- ausdrücklich genannt werden die Verschlüsselung (Art. 32 Abs. 1 lit. a) und die Fähigkeit, die Verfügbarkeit personenbezogener Daten nach einem Zwischenfall rasch wiederherzustellen (Art. 32 Abs. 1 lit. c). Für Backups bedeutet das konkret: Verschlüsselung bei der Speicherung (AES-256) und bei der Übertragung (TLS 1.3). Das BSI empfiehlt im IT-Grundschutz-Baustein CON.3 (Datensicherungskonzept) die Verschlüsselung von Sicherungsdaten als Standardanforderung.

Verschlüsselung at Rest

Backups werden mit AES-256 verschlüsselt gespeichert. Selbst bei physischem Zugriff auf den Datenträger bleiben die personenbezogenen Daten geschützt -- ein zentraler Baustein nach Art. 32 Abs. 1 lit. a DSGVO.

Verschlüsselter Transport

Jeder Transfer zum Off-Site-Speicher erfolgt über TLS 1.3. Backups verlassen das System nie im Klartext und sind gegen Mitlesen auf dem Übertragungsweg geschützt.

Schlüsselverwaltung

Schlüssel werden getrennt von den Backups verwahrt. Ein kompromittierter Speicherort gibt ohne den separat gehaltenen Schlüssel keine lesbaren Daten preis.

Wiederherstellbarkeit

Regelmäßige Restore-Tests belegen, dass die Verfügbarkeit nach Art. 32 Abs. 1 lit. c tatsächlich gegeben ist -- ein nie getestetes Backup erfüllt diese Anforderung nicht.

Zugriffsbeschränkung

Nur ein klar definierter Personenkreis hat Zugriff auf Backups. Berechtigungen werden dokumentiert und regelmäßig überprüft -- nach dem Prinzip der Datenminimierung.

Dokumentation

Backup-Konzept, Löschkonzept und Restore-Protokolle gehören in das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) und belegen die Rechenschaftspflicht.

Die Wirksamkeit dieser Maßnahmen ist regelmäßig zu überprüfen (Art. 32 Abs. 1 lit. d DSGVO). Genau hier setzt die laufende Wartung mit Sicherheitsupdates an: Ohne aktuelle Verschlüsselungsbibliotheken, gepatchte Backup-Software und überwachte Transferwege bleibt das TOM-Niveau theoretisch. Die ENISA weist in ihren Leitlinien zur Datensicherheit darauf hin, dass veraltete Komponenten die wirksamste Verschlüsselung untergraben können (ENISA, Guidelines for SMEs on the security of personal data processing).

Auftragsverarbeitung: Backups beim Dienstleister

Wer Backups durch einen externen Dienstleister erstellen, speichern oder verwalten lässt, gibt personenbezogene Daten in eine Auftragsverarbeitung nach Art. 28 DSGVO. Das gilt für Hosting-Anbieter, Cloud-Speicher und Wartungsdienstleister gleichermassen. Voraussetzung ist ein Auftragsverarbeitungsvertrag (AVV), der die Pflichtinhalte aus Art. 28 Abs. 3 DSGVO abdeckt: Gegenstand, Dauer, Art und Zweck der Verarbeitung, Kategorien betroffener Personen, Weisungsbindung, Vertraulichkeit, TOM, Unterauftragsverarbeiter und Löschpflichten nach Vertragsende.

  • AVV nach Art. 28 Abs. 3 DSGVO mit jedem Dienstleister abgeschlossen, der Backups verarbeitet.
  • Unterauftragsverarbeiter (z.B. Rechenzentrumsbetreiber) im AVV benannt und freigegeben.
  • Technische und organisatorische Maßnahmen des Auftragnehmers dokumentiert und geprüft.
  • Lösch- und Rückgabepflichten für Backups nach Vertragsende geregelt.
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) um die Backup-Verarbeitung ergänzt.

Der BfDI stellt klar, dass die Verantwortung für die Rechtmäßigkeit beim Verantwortlichen bleibt -- auch wenn die technische Ausführung beim Auftragnehmer liegt. Deshalb muss der Verantwortliche die TOM des Dienstleisters prüfen und sich von deren Wirksamkeit überzeugen können. In unseren Projekten ist der AVV fester Bestandteil jedes Wartungsvertrags mit Backup-Komponente, und die Liste der Unterauftragsverarbeiter wird aktuell gehalten. Details klären wir gern im persönlichen Gespräch.

Speicherort EU und Drittlandtransfers

Der Speicherort der Backups ist ein eigenes Datenschutzthema. Liegen Backups auf Servern ausserhalb des Europäischen Wirtschaftsraums, greifen die Regeln zu Drittlandtransfers nach Kapitel V der DSGVO (Art. 44 ff.). Ohne Angemessenheitsbeschluss, Standardvertragsklauseln oder andere geeignete Garantien ist ein solcher Transfer unzulässig. Nach dem Schrems-II-Urteil des EuGH (Rechtssache C-311/18, EUR-Lex) müssen Verantwortliche zusätzlich prüfen, ob im Empfängerland ein gleichwertiges Schutzniveau besteht.

Warum EU-Speicherorte die Komplexität senken

Werden Backups ausschließlich innerhalb der EU bzw. des EWR gespeichert, entfällt die aufwendige Prüfung von Drittlandtransfers vollständig. Das reduziert nicht nur den Dokumentationsaufwand, sondern auch das Risiko bei Aufsichtsbehörden-Anfragen. Für europäische Online-Shops empfehlen wir deshalb durchgängig Speicherstandorte innerhalb der EU -- vom Produktivsystem bis zum Off-Site-Backup.

Die Datenschutzkonferenz hat wiederholt betont, dass der Transfer in Drittländer ohne geeignete Garantien zu den häufigsten Beanstandungen gehört. Der EU-Speicherort ist damit nicht nur eine technische, sondern eine strategische Entscheidung, die das gesamte Backup-Konzept vereinfacht. In den von uns betreuten Projekten setzen wir auf Hosting in Deutschland und EU-Rechenzentren -- ein Aspekt, der beim Monitoring der Backup-Infrastruktur von Anfang an mitgedacht wird.

Datenpannen, Meldepflichten und das Backup als Schutz

Geht ein Backup verloren oder gerät es unverschlüsselt in falsche Hände, ist das eine Verletzung des Schutzes personenbezogener Daten. Art. 33 DSGVO verlangt die Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden (EUR-Lex, DSGVO Art. 33). Ist mit einem hohen Risiko für die Betroffenen zu rechnen, kommt nach Art. 34 DSGVO die Benachrichtigung der Betroffenen hinzu. Die Bußgeldobergrenze liegt nach Art. 83 Abs. 5 DSGVO bei bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro -- je nachdem, welcher Betrag höher ist.

Hier zeigt sich die doppelte Rolle des Backups: Ein verschlüsseltes, isoliertes Backup ist einerseits selbst ein potenzielles Risiko, wenn es kompromittiert wird -- andererseits ist es die wichtigste Verteidigung gegen Ransomware und Datenverlust. Erwägungsgrund 49 der DSGVO erkennt die Netz- und Informationssicherheit ausdrücklich als berechtigtes Interesse an. Laut BITKOM verursachen Cyberangriffe der deutschen Wirtschaft jährlich Schäden in dreistelliger Milliardenhöhe (Bitkom, Wirtschaftsschutz-Studie), wobei Datenverschlüsselung durch Ransomware zu den häufigsten Angriffsformen zählt.

Die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, ist keine Kür, sondern eine ausdrückliche Anforderung des Art. 32 DSGVO.

Sinngemäß nach Art. 32 Abs. 1 lit. c DSGVO (EUR-Lex, Verordnung 2016/679)

Ein getestetes Backup verkürzt die Zeit bis zur Wiederherstellung erheblich und kann im Ernstfall die Eskalation einer Datenpanne abmildern. Wer nach einem Ransomware-Vorfall innerhalb von Stunden aus einem sauberen Backup wiederherstellt, statt Lösegeld zu zahlen oder Daten endgültig zu verlieren, erfüllt die Verfügbarkeitsanforderung in der Praxis. Wie sich Updates und Wiederherstellungstests gefahrlos vorbereiten lassen, beschreibt unser Beitrag zu Staging-Umgebungen für sichere Updates.

Backup-Konzept und Löschkonzept zusammenführen

Ein DSGVO-bewusstes Backup-Konzept dokumentiert nicht nur, was gesichert wird, sondern auch, wie lange und wann die Daten wieder verschwinden. Das BSI fordert im Baustein CON.3 ein Datensicherungskonzept, das Sicherungsart, -häufigkeit, Aufbewahrungsdauer und Wiederherstellungsverfahren festlegt (BSI IT-Grundschutz, CON.3). Verbindet man dieses Konzept mit dem Löschkonzept nach DIN 66398, entsteht ein durchgängiger Lebenszyklus: Erhebung, Sicherung, Aufbewahrung, Einschränkung und Löschung greifen ineinander.

  • Sicherungsumfang: Welche Systeme und Datenarten werden gesichert -- und welche bewusst nicht?
  • Rotation und Aufbewahrung: Wie lange werden Snapshots vorgehalten, abgestimmt auf Löschklassen?
  • Löschklassen nach DIN 66398: Welche Frist und welches Startereignis gilt je Datenart?
  • Sperr- statt Löschlogik für aufbewahrungspflichtige Belege (Art. 18 DSGVO).
  • Restore-Verfahren inklusive Nachlöschung vermerkter Löschwünsche.
  • Rollen, Verantwortlichkeiten und Zugriffsrechte -- dokumentiert und überprüft.

In der Praxis scheitert die DSGVO-Konformität selten am fehlenden Backup, sondern an der fehlenden Verzahnung mit dem Löschkonzept und an nicht gepflegter Software. In 50+ betreuten Projekten (Projekterfahrung) hat sich gezeigt, dass ein dokumentiertes, regelmäßig getestetes und aktuell gehaltenes Backup-Konzept die solideste Grundlage ist. Wer hier Unterstützung braucht, findet sie in unseren Wartungsleistungen oder im direkten Gespräch.

Quellen und Grundlagen

Dieser Artikel basiert auf Daten aus: Verordnung (EU) 2016/679 (DSGVO, EUR-Lex), insbesondere Art. 5, 6, 17, 18, 28, 30, 32, 33, 34, 83; Handelsgesetzbuch (Para. 257 HGB); Abgabenordnung (Para. 147 AO); BSI IT-Grundschutz-Kompendium, Baustein CON.3 (Datensicherungskonzept); Datenschutzkonferenz, Standarddatenschutzmodell und Löschkonzept nach DIN 66398; ENISA, Guidelines for SMEs on the security of personal data processing; EuGH, Rechtssache C-311/18 (Schrems II); Bitkom, Wirtschaftsschutz-Studie. Die Darstellung ersetzt keine Rechtsberatung; Bewertungen können sich nach Einzelfall und aktueller Rechtsprechung unterscheiden.