23.03.2026

Löschpflichten in Backups

EDSA zu Löschpflichten bei personenbezogenen

Daten in Backups

Der Europäische Datenschutzausschuss hat am 10. Februar 2026 seinen Abschlussbericht zur koordinierten Durchsetzungsmaßnahme 2025 zum Recht auf Löschung veröffentlicht. Der Bericht befasst sich mit der praktischen Umsetzung von Art. 17 DSGVO durch Verantwortliche. Ein eigener Abschnitt behandelt die Löschung personenbezogener Daten in Backups. Dort hält der EDSA fest, dass Backups für die Integrität und Wiederherstellbarkeit von Systemen wichtig sind und dass es je nach technischer Ausgestaltung und Risikolage nicht immer sinnvoll ist, Informationen direkt in Backups zu verändern oder zu löschen. Zugleich verlangt der EDSA geeignete Verfahren, damit Löschanträge nach einer Wiederherstellung auf den wiederhergestellten Systemen umgesetzt werden. Der BayLfD hatte eine vergleichbare Linie bereits in seinem 30. Tätigkeitsbericht 2020 beschrieben. Dort wird verlangt, dass bereits gelöschte Daten bei einer Wiederherstellung nicht erneut produktiv verfügbar werden oder nach der Wiederherstellung sofort wieder gelöscht werden.

Eine Löschpflicht nach Art. 17 DSGVO erfasst grundsätzlich auch personenbezogene Daten, die sich in Backups befinden. Der EDSA schafft keine generelle Ausnahme für Backups, sondern beschreibt ein praktisches Vorgehen für Fälle, in denen eine unmittelbare Veränderung des Backups technisch problematisch oder risikobehaftet ist. Nach dem EDSA ist eine sofortige Löschung innerhalb des Backups nicht in jedem Fall zwingend. Maßgeblich sind die technischen Gegebenheiten und die Risiken. Der Bericht betont, dass der Schutz der Integrität des Backups ein legitimer Gesichtspunkt ist, gerade bei Sicherheitsvorfällen wie Ransomware.
Unterbleibt eine direkte Löschung im Backup, muss der Verantwortliche Verfahren vorhalten, um Löschanträge nachzuverfolgen und sie auf wiederhergestellten Systemen umzusetzen. Das ist der zentrale Punkt des Berichts. Eine bloße Aufbewahrung im Backup ohne nachgelagerten Löschprozess reicht nicht aus. Der EDSA stellt fest, dass viele Verantwortliche gerade für Backups keine eigenen Verfahren und Maßnahmen haben. Teilweise wird nur auf automatische Überschreibung oder allgemeine Aufbewahrungsfristen vertraut. Der Bericht bewertet das als Problemfeld.

Aufsichtsbehörden haben sehr unterschiedliche Löschmethoden in der Praxis festgestellt. Genannt werden etwa automatische Überschreibung, feste Löschintervalle, Auslagerung in getrennte Systeme und nachgelagerte endgültige Löschung. Der EDSA zeigt damit, dass es kein einheitliches technisches Modell gibt, aber ein belastbarer Prozess verlangt wird. Der Bericht weist auch darauf hin, dass lange Löschzyklen problematisch sein können. Wenn Daten nur in großen Zeitabständen entfernt werden, kann zweifelhaft sein, ob die Löschung noch ohne unangemessene Verzögerung im Sinne von Art. 17 Abs. 1 DSGVO erfolgt.

Der BayLfD verlangt ergänzend, dass Datensicherungskopien nur über die vorgesehene Wiederherstellungsfunktion genutzt werden dürfen und bei jeder Wiederherstellung sichergestellt ist, dass datenschutzrechtlich bereits gelöschte Daten nicht wiederhergestellt oder andernfalls sofort nachgelöscht werden. Auch die Wiederherstellung und die Nachlöschung sind zu dokumentieren.

Für die Praxis folgt daraus keine Freistellung von der Löschpflicht, sondern eine differenzierte Pflicht zur organisatorischen und technischen Absicherung. Entscheidend ist, dass gelöschte Daten nicht wieder in den regulären Produktivbetrieb gelangen und der Verantwortliche dies nachweisen kann. Diese Einordnung folgt aus dem Zusammenspiel der EDSA-Aussagen und der BayLfD-Vorgaben.

Empfehlungen für Verantwortliche

Unternehmen sollten ihr Backup-Konzept ausdrücklich um datenschutzrechtliche Löschprozesse ergänzen. Es sollte schriftlich festgelegt werden, ob und aus welchen technischen Gründen eine unmittelbare Löschung im Backup nicht erfolgt. Diese Begründung sollte die technische Architektur, die Integritätsanforderungen des Backups und die Risikobewertung einbeziehen.
Löschanträge sollten so dokumentiert werden, dass erkennbar bleibt, welche Daten im Primärsystem gelöscht wurden und welche Maßnahmen bei einer späteren Wiederherstellung greifen müssen. Die Information über offene Löschpflichten muss in den Restore-Prozess eingebunden sein. Ohne diese Verknüpfung besteht das Risiko, dass bereits gelöschte Daten wieder produktiv werden.
Für jeden Restore sollte ein verbindlicher Ablauf bestehen. Darin sollte geregelt sein, wie Reliktdaten erkannt, ausgesondert oder nach der Wiederherstellung unverzüglich gelöscht werden. Dieser Ablauf sollte getestet und dokumentiert werden. Der BayLfD verlangt ausdrücklich einen Nachweis über Wiederherstellungsgrund und rechtzeitig durchgeführte Löschung von Reliktdaten.
Unternehmen sollten außerdem feste Aufbewahrungsfristen für Backups definieren und diese im Löschkonzept und im Verzeichnis der Verarbeitungstätigkeiten nachvollziehbar abbilden. Pauschale oder zu lange Vorhaltezeiten ohne klare Begründung erhöhen das Risiko eines Verstoßes gegen Art. 17 DSGVO.
Schließlich sollte geprüft werden, ob technische Lösungen eingesetzt werden können, die Löschprozesse unterstützen, etwa durch Kennzeichnung offener Löschfälle, getrennte Archivbereiche oder automatisierte Nachlöschung nach Restore. Der EDSA nennt auch den Nachweis der tatsächlichen Löschung als wichtigen Punkt.

Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks