Ein WordPress DSGVO-konformes Backup ist eine Datensicherung, die personenbezogene Daten so speichert, verwaltet und schützt, dass sie den Anforderungen der Datenschutz-Grundverordnung entspricht. Das betrifft jeden Betreiber einer WordPress-Seite, die personenbezogene Daten verarbeitet, also praktisch jede geschäftliche Website. Die folgenden Abschnitte beantworten die wichtigsten Fragen rund um WordPress Backup Datenschutz und DSGVO-Konformität.
Welche Anforderungen stellt die DSGVO an WordPress-Backups?
Die DSGVO verlangt, dass personenbezogene Daten in Backups genauso sicher behandelt werden wie in der Live-Umgebung. Konkret bedeutet das: Backups müssen verschlüsselt, zugriffsgeschützt und auf rechtssicheren Servern gespeichert werden. Außerdem muss dokumentiert sein, wer Zugriff hat, wo die Daten liegen und wie lange sie aufbewahrt werden.
Der rechtliche Rahmen ergibt sich vor allem aus Artikel 32 DSGVO, der technische und organisatorische Maßnahmen (TOMs) vorschreibt, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Ein Backup, das unverschlüsselt auf einem Server außerhalb der EU liegt oder ohne Zugriffsprotokoll verwaltet wird, erfüllt diese Anforderungen nicht. Zusätzlich greifen die Grundsätze aus Artikel 5 DSGVO, insbesondere Datensparsamkeit, Integrität und Vertraulichkeit.
Für WordPress-Betreiber heißt das praktisch: Das Backup-System muss in die Datenschutzdokumentation einbezogen werden, Auftragsverarbeitungsverträge (AVV) müssen mit Backup-Dienstleistern abgeschlossen werden, und im Verzeichnis der Verarbeitungstätigkeiten sollte die Datensicherung als eigener Prozess aufgeführt sein.
Wo dürfen WordPress-Backups gespeichert werden?
WordPress-Backups dürfen nur auf Servern gespeichert werden, die sich innerhalb der EU oder des Europäischen Wirtschaftsraums befinden oder für die ein gleichwertiges Datenschutzniveau nachgewiesen ist. Speicherorte in Drittländern wie den USA sind ohne geeignete Garantien, etwa Standardvertragsklauseln, nicht zulässig.
Besonders kritisch ist die Nutzung amerikanischer Cloud-Dienste wie Dropbox, Google Drive oder Amazon S3 ohne vertragliche Absicherung. Zwar bieten einige dieser Anbieter EU-Server an, jedoch reicht der bloße Serverstandort nicht aus, wenn das Mutterunternehmen dem US-amerikanischen Recht unterliegt und damit theoretisch Zugriff auf die Daten gewähren kann.
Empfehlenswert sind Backup-Lösungen mit Servern ausschließlich in Deutschland oder einem anderen EU-Mitgliedstaat, kombiniert mit einem abgeschlossenen Auftragsverarbeitungsvertrag. Wer auf Nummer sicher gehen will, wählt einen Anbieter, der explizit DSGVO-konformen Speicher anbietet und dies vertraglich zusichert. Bei unseren Wartungspaketen werden Backups ausschließlich auf Servern in Deutschland gespeichert.
Wie oft sollte ein WordPress-Backup erstellt werden?
Wie häufig ein WordPress-Backup erstellt werden sollte, hängt davon ab, wie aktiv die Website ist und wie viele personenbezogene Daten sie verarbeitet. Für die meisten geschäftlichen WordPress-Seiten gilt: tägliche Backups sind der empfohlene Standard. Online-Shops mit täglichen Bestellungen sollten sogar mehrmals täglich sichern.
Die DSGVO schreibt keine konkrete Backup-Frequenz vor, sie verlangt jedoch, dass Daten bei einem technischen Vorfall wiederhergestellt werden können, und zwar zeitnah. Artikel 32 Abs. 1 lit. c DSGVO nennt ausdrücklich die Fähigkeit, die Verfügbarkeit personenbezogener Daten nach einem Zwischenfall rasch wiederherzustellen. Je länger der Abstand zwischen zwei Backups, desto mehr Daten gehen im Ernstfall verloren, und desto schwieriger wird es, dieser Anforderung nachzukommen.
Als Faustregel gilt: Der maximale Datenverlust, der für den Betrieb noch tolerierbar ist, bestimmt die Backup-Frequenz. Bei einem Blog ohne Kundendaten reicht ein tägliches Backup. Bei einem WooCommerce-Shop mit laufenden Bestellungen, Kundendaten und Zahlungsinformationen sind stündliche oder zumindest alle sechs Stunden erstellte Sicherungen sinnvoll.
Was muss bei einem DSGVO-konformen Backup verschlüsselt werden?
Bei einem DSGVO-konformen WordPress-Backup müssen alle Daten verschlüsselt werden, die personenbezogene Informationen enthalten. Das betrifft die gesamte Datenbank, in der Nutzerdaten, Bestellinformationen, Kommentare und Kontaktanfragen gespeichert sind, sowie alle hochgeladenen Dateien, die personenbezogene Inhalte enthalten können.
Konkret umfasst das bei einer typischen WordPress-Installation mindestens die MySQL-Datenbank mit Tabellen wie wp_users, wp_comments und bei WooCommerce die Bestelltabellen. Die Verschlüsselung sollte sowohl im Ruhezustand (at rest) als auch bei der Übertragung (in transit) gewährleistet sein. Für die Übertragung bedeutet das: Backups dürfen nur über verschlüsselte Verbindungen wie SFTP oder HTTPS übertragen werden.
Empfohlen wird eine AES-256-Verschlüsselung, die als aktueller Industriestandard gilt. Wichtig ist auch, dass die Verschlüsselungsschlüssel sicher und getrennt von den Backup-Daten aufbewahrt werden. Ein Backup, das zusammen mit seinem Schlüssel gespeichert wird, bietet nur minimalen Schutz.
Wer ist für das DSGVO-konforme Backup einer WordPress-Seite verantwortlich?
Für das DSGVO-konforme Backup einer WordPress-Seite ist der Websitebetreiber als Verantwortlicher im Sinne der DSGVO zuständig. Das gilt unabhängig davon, ob die technische Umsetzung intern erfolgt oder an eine Agentur oder einen Hosting-Anbieter ausgelagert wird.
Wer einen externen Dienstleister mit der Datensicherung beauftragt, muss mit diesem einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO abschließen. Ohne diesen Vertrag ist die Auslagerung des Backups datenschutzrechtlich nicht zulässig, selbst wenn der Dienstleister technisch einwandfreie Arbeit leistet. Der AVV regelt, wie der Dienstleister mit den Daten umgeht, welche Sicherheitsmaßnahmen er einsetzt und wie er im Fall eines Datenschutzvorfalls reagiert.
Die Verantwortung lässt sich also nicht delegieren, wohl aber die Ausführung. Wer die Backup-Verwaltung an Profis übergibt, bleibt rechtlich verantwortlich, trägt aber nicht mehr die operative Last. Wichtig ist, dass der Vertrag mit dem Dienstleister die DSGVO-Anforderungen explizit abdeckt und regelmäßig überprüft wird.
Wie lange dürfen personenbezogene Daten in Backups gespeichert bleiben?
Personenbezogene Daten in WordPress-Backups dürfen nicht länger gespeichert werden, als es dem ursprünglichen Verarbeitungszweck entspricht. Das bedeutet: Wenn ein Nutzer die Löschung seiner Daten beantragt, muss diese Löschung auch in Backups berücksichtigt werden, sobald diese wieder in die aktive Nutzung übergehen.
In der Praxis ist das eine der komplexesten Anforderungen der DSGVO Backup Pflicht. Backups können nicht ohne Weiteres selektiv bearbeitet werden. Die gängige Empfehlung lautet daher: Backup-Zyklen so kurz halten, dass alte Backups mit gelöschten Daten innerhalb eines überschaubaren Zeitraums automatisch überschrieben oder gelöscht werden. Eine Aufbewahrungsdauer von 30 bis 90 Tagen gilt für die meisten geschäftlichen Websites als angemessener Rahmen.
Gleichzeitig müssen handelsrechtliche und steuerrechtliche Aufbewahrungspflichten berücksichtigt werden. Rechnungen und Bestelldaten unterliegen in Deutschland einer gesetzlichen Aufbewahrungsfrist von bis zu zehn Jahren. Hier entsteht ein Spannungsfeld zwischen Datenschutzrecht und Handelsrecht, das im Einzelfall abgewogen werden muss. Wichtig ist, die gewählte Aufbewahrungsdauer schriftlich zu begründen und zu dokumentieren.
So hilft WP-Profi bei DSGVO-konformen WordPress-Backups
Ein rechtssicheres Backup-System selbst aufzusetzen und dauerhaft zu betreiben, kostet Zeit, technisches Know-how und ständige Aufmerksamkeit. Genau hier setzen wir an. Als WordPress-Spezialisten übernehmen wir die vollständige Verwaltung Ihrer WordPress-Datensicherung, DSGVO-konform und zuverlässig.
- Tägliche automatisierte Backups, die ohne Ihr Zutun erstellt und gespeichert werden
- Speicherung ausschließlich auf Servern in Deutschland, vollständig innerhalb der EU
- Verschlüsselte Übertragung und Speicherung aller Backup-Daten
- Auftragsverarbeitungsvertrag inklusive, sodass Sie rechtlich abgesichert sind
- Definierte Aufbewahrungszyklen passend zu Ihrer Website und den gesetzlichen Anforderungen
- Schnelle Wiederherstellung im Ernstfall, auch an Wochenenden und Feiertagen
Unsere Wartungspakete beinhalten all das bereits ab 14 Euro monatlich. Wenn Sie wissen möchten, ob Ihre aktuelle WordPress-Datensicherung den DSGVO-Anforderungen entspricht, fordern Sie jetzt Ihren kostenlosen Website-Check an und wir schauen gemeinsam, wo Handlungsbedarf besteht.
Die auf dieser Website bereitgestellten Informationen zu Datenschutz und DSGVO dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar — für verbindliche rechtliche Einschätzungen empfehlen wir die Konsultation eines qualifizierten Rechtsanwalts.
Ähnliche Artikel
- Was ist WordPress White-Label-Support und für wen ist er gedacht?
- Wie wirkt sich eine langsame WordPress-Seite auf meine Google-Rankings aus?
- Was sind Core Web Vitals und warum sollte ich als Unternehmer davon wissen?
- Was sollte ein guter WordPress-Wartungsvertrag beinhalten?
- Was passiert, wenn Google meine WordPress-Seite als unsicher markiert?
