Löschung von personenbezogenen Daten in Backups: Das Ende eines jahrelangen DSGVO‑Dilemmas?
Die Frage, ob personenbezogene Daten auch in Backups gelöscht werden müssen, beschäftigt Unternehmen, Behörden und Datenschutzbeauftragte seit Inkrafttreten der DSGVO. Sobald personenbezogene Daten in einem Backup liegen, kollidiert das technisch Sinnvolle häufig mit dem rechtlich Geforderten.
Viele Systeme sind schlicht nicht darauf ausgelegt, einzelne Datensätze in einem Backup gezielt zu löschen, ohne die Integrität oder Funktionsfähigkeit des gesamten Backup-Mediums zu gefährden. Gleichzeitig verlangt die DSGVO unmissverständlich, dass personenbezogene Daten gelöscht werden müssen, sobald ein Betroffener dies zu Recht verlangt oder die Verarbeitung aus anderen Gründen nicht mehr erforderlich ist.
Lange schien dieser Konflikt wie ein unlösbarer Widerspruch – doch nun bewegt sich etwas.
Historischer Standpunkt: Daten in Backups waren zu löschen
Die frühere Rechtsauffassung war hierzu häufig sehr streng. So empfahl beispielsweise der Bayerische Landesbeauftragte für den Datenschutz in seiner Orientierungshilfe „Das Recht auf Löschung nach der Datenschutz-Grundverordnung“ aus dem Jahr 2022 ausdrücklich:
Der Anspruch war also klar: Die Löschung im Backup sollte erzwungen werden – koste es, was es wolle.
In der Praxis war dieses „Soll“ für viele Unternehmen jedoch schlicht nicht umsetzbar.
Die Folge war ein dauerhafter Widerspruch zwischen der Löschpflicht nach der DSGVO und der technischen Realität.
Umso bemerkenswerter ist die neue Sichtweise des Europäischen Datenschutzausschusses, kurz EDSA.
Aktuelle Position des EDSA vom Februar 2026
Im Februar 2026 veröffentlichte der EDSA im Rahmen des Berichts „Implementation of the right to erasure by controllers“ eine entscheidende Klarstellung.
Unter Punkt 4.2.6 des Berichts führt der Ausschuss aus, dass eine Löschung personenbezogener Daten aus einem Backup nicht in jedem Fall zwingend erforderlich ist.
Das bedeutet: Wenn bestimmte Anforderungen erfüllt sind, müsst ihr personenbezogene Daten nicht physisch aus dem Backup entfernen.
Dieser Paradigmenwechsel schafft mehr Rechtssicherheit und stellt eine erhebliche Entlastung für Unternehmen dar.
Die wesentliche Bedingung des EDSA: Gelöschte Daten dürfen nicht erneut eingespielt werden
Der entscheidende Punkt ist, dass bereits gelöschte personenbezogene Daten bei einer Wiederherstellung des Backups nicht erneut in das produktive System gelangen dürfen.
Mit anderen Worten: Nicht zwingend das Backup selbst muss verändert werden, sondern der Restore-Prozess.
Dieser Ansatz wird häufig als „Restore & Repair“ bezeichnet. Damit reagiert der EDSA auf die technische Realität vieler Backup-Systeme.
Die Begründung des EDSA: Backups dienen der Integrität, nicht der operativen Verarbeitung
Der EDSA betont, dass Backups grundsätzlich nicht dazu dienen, personenbezogene Daten weiterhin operativ zu verarbeiten. Sie dienen in erster Linie der Sicherstellung der Integrität und der Wiederherstellbarkeit von Systemen nach Störungen, Ausfällen oder Sicherheitsvorfällen.
Solange ihr geeignete technische und organisatorische Maßnahmen getroffen habt, ist eine unmittelbare Löschung aus dem Backup nicht zwingend erforderlich.
Dazu gehört insbesondere, dass:
- Backups nicht für operative Zwecke verwendet werden,
- der Zugriff auf Backups streng beschränkt ist,
- Backups festen Aufbewahrungs- und Überschreibungsfristen unterliegen,
- bereits gelöschte Daten bei einer Wiederherstellung nicht erneut produktiv verarbeitet werden,
- der Restore-Prozess die vorhandene Löschhistorie berücksichtigt.
Damit nähert sich der EDSA einer Lösung an, die sowohl technisch realistisch als auch datenschutzrechtlich vertretbar ist.
Erwägungsgrund 26 DSGVO: Nicht oder nur mit geringerer Wahrscheinlichkeit wiederherstellbar
Doch wie lässt sich diese Auffassung mit der DSGVO vereinbaren? Schließlich fordert die DSGVO grundsätzlich die Löschung personenbezogener Daten und enthält keine ausdrückliche Ausnahme für digitale Daten in Backups.
Eine Orientierung bieten die Definition der Löschung und die entsprechenden Ausführungen in Erwägungsgrund 26 DSGVO.
Daraus lässt sich ableiten, dass personenbezogene Daten als wirksam gelöscht betrachtet werden können, wenn sie nicht mehr ohne unverhältnismäßigen Aufwand einer bestimmten Person zugeordnet, wiederhergestellt oder erneut verarbeitet werden können.
Dies eröffnet technisch saubere und praxisnahe Interpretationsspielräume.
Wenn ihr sicherstellt, dass:
- die Daten im produktiven System gelöscht wurden,
- die Daten im Backup nicht zugänglich oder operativ nutzbar sind,
- das Backup nach Ablauf einer festgelegten Frist überschrieben oder gelöscht wird,
- gelöschte Daten bei einem Restore nicht wieder in das Produktivsystem gelangen,
kann die vorübergehende Aufbewahrung im Backup DSGVO-konform sein.
Die Daten können in diesem Fall rechtlich als gelöscht oder zumindest als wirksam der weiteren Verarbeitung entzogen gelten.
Damit erhält die Praxis eine dringend benötigte Klarheit: Die DSGVO verlangt nicht zwingend das physische Überschreiben jedes einzelnen Backup-Blocks. Erforderlich ist vielmehr ein wirksames Löschkonzept, das eine erneute Verarbeitung der Daten verhindert.
Was bedeutet das für euer Unternehmen?
Die neue Position des EDSA bedeutet nicht automatisch weniger Arbeit. Sie führt jedoch zu realistischeren Anforderungen und verlagert den Schwerpunkt auf einen kontrollierten und dokumentierten Restore-Prozess.
Ihr solltet künftig insbesondere die folgenden Punkte sicherstellen:
Dokumentierte Backup-Architektur
Ihr solltet nachvollziehbar dokumentieren:
- welche Systeme und Daten gesichert werden,
- wo die Backups gespeichert werden,
- welche Aufbewahrungsfristen gelten,
- wann Backups überschrieben oder endgültig gelöscht werden,
- wer auf die Backups zugreifen darf.
Der Restore-Workflow muss die Löschhistorie berücksichtigen
Ein technisches oder organisatorisches Verfahren ist zwingend erforderlich.
Nach der Wiederherstellung eines Backups müsst ihr sicherstellen, dass personenbezogene Daten, die zwischenzeitlich gelöscht wurden, nicht erneut dauerhaft in das produktive System übernommen werden.
Dazu kann beispielsweise eine separate Löschliste oder Löschhistorie geführt werden, anhand derer die wiederhergestellten Daten erneut bereinigt werden.
Technische Zugriffsbeschränkungen
Backups dürfen nicht wie ein produktives System genutzt werden.
Der Zugriff sollte ausschließlich einem klar definierten Personenkreis und nur für festgelegte Zwecke gestattet sein. So könnt ihr begründen, dass die Daten im Backup zwar vorübergehend vorhanden sind, jedoch nicht aktiv verarbeitet werden.
Nachvollziehbare Risikoanalyse
Ihr müsst nachweisen können:
- warum eine gezielte Löschung einzelner Datensätze technisch nicht oder nur mit unverhältnismäßigem Aufwand möglich ist,
- welche Risiken durch die weitere Speicherung im Backup bestehen,
- welche Schutzmaßnahmen ihr getroffen habt,
- wie ihr eine erneute Verarbeitung nach einem Restore verhindert,
- wann die betreffenden Daten endgültig überschrieben oder gelöscht werden.
Klare Dokumentation im Löschkonzept
Euer Löschkonzept sollte mindestens folgende Punkte enthalten:
- Löschfristen für produktive Systeme,
- Aufbewahrungsfristen für Backups,
- technische und organisatorische Zugriffsbeschränkungen,
- den Ablauf eines Restore-Prozesses,
- die Berücksichtigung bereits erfolgter Löschungen,
- Verantwortlichkeiten und Kontrollmechanismen,
- die Dokumentation durchgeführter Löschungen.
Nur so könnt ihr bei einer Prüfung durch eine Aufsichtsbehörde nachvollziehbar belegen, wie ihr die Rechte der Betroffenen schützt.
Fazit: Der EDSA schafft Klarheit und entschärft ein praxisfernes Dilemma
Mit der neuen Auslegung des EDSA wird ein jahrelanger Konflikt zwischen technischer Realität und rechtlicher Erwartung deutlich entschärft.
Die Auffassung des EDSA folgt der nachvollziehbaren Einsicht, dass Backups kein operativer Speicherort personenbezogener Daten sind, sondern ein Instrument zur Sicherung und Wiederherstellung von IT-Systemen.
Damit könnt ihr:
- technisch notwendige Backups weiterhin einsetzen,
- die Integrität eurer Systeme schützen,
- auf eine technisch riskante Manipulation einzelner Backup-Datensätze verzichten,
- die Rechte der Betroffenen durch einen kontrollierten Restore-Prozess gewährleisten.
Wird es dadurch einfacher? Zumindest verlagert sich die Herausforderung: von der unmittelbaren Löschung innerhalb des Backups hin zur Kontrolle des Restore-Prozesses.
Wenn ihr diesen Prozess sauber dokumentiert, technisch absichert und organisatorisch kontrolliert, könnt ihr sowohl den Schutzbedarf der Betroffenen als auch die technischen Anforderungen moderner IT-Infrastrukturen berücksichtigen.
Wenn ihr Unterstützung bei der Umsetzung eines DSGVO-konformen Lösch- und Backup-Konzepts benötigt, stehen wir euch gerne beratend zur Seite.
Sprecht uns gerne an.
Lasst uns über eure Anforderungen sprechen.
Avallon ist euer zentraler Ansprechpartner für Datenschutz, Informationssicherheit und Compliance. Die Umsetzung erfolgt durch spezialisierte Unternehmen innerhalb unserer Gruppe. Jedes mit klarem fachlichem Fokus und operativer Expertise.