Die Frage, ob personenbezogene Daten auch in Backups gelöscht werden müssen, beschäftigt Unternehmen, Behörden und Datenschutzbeauftragte seit Inkrafttreten der DSGVO. Sobald personenbezogene Daten im Backup liegen, kollidiert das technisch Sinnvolle oft mit dem rechtlich Geforderten. Viele Systeme sind schlicht nicht darauf ausgelegt, einzelne Datensätze in einem Backup gezielt zu löschen, ohne die Integrität oder Funktionsfähigkeit des gesamten Backup‑Mediums zu gefährden. Gleichzeitig verlangt die DSGVO unmissverständlich, dass personenbezogene Daten gelöscht werden müssen, sobald ein Betroffener dies zu Recht verlangt oder die Verarbeitung sonst nicht mehr notwendig ist.

Lange schien dieser Konflikt wie ein unlösbarer Widerspruch – doch nun bewegt sich etwas.

Inhaltsverzeichnis

Historischer Standpunkt: Daten in Backups waren zu löschen

Die frühere Rechtsauffassung war hierzu häufig recht streng. So empfahl z. B. die Bayerische Landesbeauftragte für den Datenschutz in ihrer Orientierungshilfe „Das Recht auf Löschung nach der Datenschutz-Grundverordnung“ (Stand 2022) ausdrücklich:

„Sollten Daten auf mehreren Datenträgern gespeichert worden sein, bezieht sich die Löschungspflicht auf alle Kopien, auch etwa auf Sicherungskopien. Sicherungs- oder Backupsysteme sollten daher technisch möglichst so organisiert werden, dass endgültige Löschungen einzelner Datensätze möglich sind, ohne die Funktionsfähigkeit des Backupsystems im Ganzen zu gefährden.“
(S. 31, Orientierungshilfe der BayLDA)

Der Anspruch war also klar: Lösung im Backup erzwingen – koste es, was es wolle.
Doch praktisch war dieses „Soll“ für viele Unternehmen schlicht nicht umsetzbar:

Viele Backup‑Systeme schreiben Daten blockweise und nicht datensatzgenau.
Änderungen an Backups können die Wiederherstellbarkeit kompromittieren.
Cloud‑basierte Backup‑Dienste bieten oft gar keine Möglichkeit zur Löschung einzelner Elemente.

Die Folge: Ein dauerhafter Widerspruch zwischen DSGVO‑Pflicht und technischer Realität.

Umso bemerkenswerter ist nun die neue Sichtweise des Europäischen Datenschutzausschusses (EDSA).

Aktuelle Position des EDSA (Februar 2026)

Im Februar 2026 veröffentlichte der EDSA im Rahmen der „Implementation of the right to erasure by controllers report“ eine entscheidende Klarstellung. Unter Punkt 4.2.6 des Berichts führt der Ausschuss aus, dass eine Löschung im Backup nicht in jedem Fall zwingend erforderlich ist.

Das bedeutet, wenn bestimmte Anforderungen erfüllt sind, müssen personenbezogene Daten nicht physisch aus dem Backup entfernt werden.

Dieser Paradigmenwechsel schafft mehr Rechtssicherheit und eine erhebliche Entlastung für die Verantwortlichen.

Die wesentliche Bedingung des EDSA: Kein Wieder-Einspielen gelöschter Daten

Der EDSA sagt:

Es ist entscheidend, dass gelöschte Daten aus dem Produktivsystem nicht bei einer Wiederherstellung aus dem Backup erneut auftauchen.
Verantwortliche müssen also sicherstellen, dass Löschanfragen bei einer Rücksicherung nachträglich erneut berücksichtigt werden.

Mit anderen Worten:
Nicht das Backup selbst muss verändert werden — sondern der Restore‑Prozess. Dies wird oft als „Restore & Repair“-Ansatz bezeichnet. Damit reagiert der EDSA auf die technische Realität.

Die Begründung des EDSA: Backups dienen der Integrität, nicht der Verarbeitung

Der EDSA betont, dass Backups nicht dazu dienen, personenbezogene Daten weiter zu verarbeiten, sondern allein zur Sicherstellung der Integrität und Wiederherstellbarkeit nach Störungen.

Solange folgende Maßnahmen gewährleistet sind, ist das Erfordernis der Löschung aus Backups nicht zwingend:

Die Backup‑Daten sind nicht aktiv zugänglich,
sie werden nicht verarbeitet,
bei Wiederherstellung wird eine Liste aller in der Zwischenzeit gelöschten Datensätze erneut berücksichtigt.

Damit nähert sich der EDSA einer Lösung an, die sowohl realistisch als auch rechtskonform ist.

Erwägungsgrund 26 DSGVO: „Nicht oder nur mit geringerer Wahrscheinlichkeit wiederherstellbar“

Aber wie lässt sich dies mit der DSGVO vereinbaren, in der ja eine Löschung zwingend gefordert wird und die keine Ausnahmen von der Löschpflicht digitaler Daten kennt. Hier helfen uns die Definition der Löschung und die diesbezüglichen Anmerkungen in Erwägungsgrund 26 DSGVO. Dort heißt es sinngemäß, dass Daten als gelöscht gelten, wenn sie

„nicht oder nach allgemeinem Ermessen nur mit geringer Wahrscheinlichkeit einem Betroffenen zugeordnet werden können“.

Dies eröffnet technisch saubere und praxisnahe Interpretationsspielräume:

Wenn eine Wiederherstellung gelöschter Daten aus einem Backup sehr unwahrscheinlich ist,
und organisatorisch ausgeschlossen wird, dass diese Daten im Produktivsystem wieder auftauchen,

dann kann die Aufbewahrung im Backup DSGVO‑konform sein, weil die Daten rechtlich als gelöscht gelten können.

Damit erhält die Praxis eine längst benötigte Klarheit: Die DSGVO verlangt keinen „physikalischen Overwrite“ jedes Backup‑Blocks, sondern ein effektives Löschkonzept, das eine Wiederverarbeitung unterbindet.

Was bedeutet dies für Unternehmen?

Die neue Position des EDSA bedeutet nicht „weniger Arbeit“, aber sie führt zu realistischeren Anforderungen.

Unternehmen müssen künftig insbesondere folgende Punkte sicherstellen:

Dokumentierte Backup‑Architektur

Wie funktionieren Backup‑Erstellung und Wiederherstellung?
Welche Daten liegen in welchen Backup‑Generationen?
Wie wird sichergestellt, dass gelöschte Daten nicht erneut aktiv werden?

Restore‑Workflow muss Löschhistorie beachten

Ein technisches oder organisatorisches Verfahren ist zwingend erforderlich:

Nach einem Restore müssen alle seit der Backup‑Erstellung gelöschten Datensätze erneut gelöscht werden.
Dies kann erfolgen durch:
- systemseitige Automatisierung,
- ein „Deletion Ledger“ / Löschprotokoll,
- manuelle Kontrollprozesse.

Technische Zugriffsbeschränkungen

Backups dürfen nicht produktiv genutzt werden.
Nur so lässt sich begründen, dass Daten im Backup „schlummern“, aber nicht verarbeitet werden.

Nachvollziehbare Risikoanalyse

Unternehmen müssen nachweisen können:

dass eine Wiederherstellung gelöschter Daten sehr unwahrscheinlich ist,
und dass dies kontrolliert und überprüfbar organisiert ist.

Klare Dokumentation im Löschkonzept

Jedes Unternehmen sollte folgende Dokumente haben:

Backup‑Konzept
Löschkonzept
Technische und organisatorische Maßnahmen (TOMs)
Restore‑Prozessbeschreibung
Risikoanalyse zur Wiederherstellbarkeit gelöschter Daten

Nur so lässt sich bei einer Prüfung durch eine Aufsichtsbehörde belegen, wie der Schutz der Betroffenenrechte sichergestellt wird.

Fazit: Der EDSA schafft Klarheit — und entschärft ein praxisfernes Dilemma

Mit der neuen Auslegung des EDSA endet ein jahrelanger Konflikt zwischen technischer Realität und rechtlicher Erwartung. Die dargelegte Auffassung des EDSA folgt der logischen Einsicht, dass Backups nicht der operative Speicherort personenbezogener Daten sind, sondern ein Sicherungsinstrument.

Damit wird verantwortlichen Stellen ermöglicht:

rechtssicher zu handeln,
ohne die Integrität ihrer Backup‑Strategien zu gefährden,
und ohne unverhältnismäßige technische Anforderungen erfüllen zu müssen.

Wird es dadurch einfacher? Zumindest verlagert sich die Herausforderung – von der Löschung im Backup zur Kontrolle des Restore‑Prozesses. Wer diesen sauber dokumentiert und organisatorisch absichert, erfüllt sowohl den Schutzbedarf der betroffenen Personen als auch die technischen Anforderungen moderner IT‑Infrastrukturen.

Wenn Sie Unterstützung bei der Umsetzung eines DSGVO‑konformen Lösch‑ und Backup‑Konzepts benötigen, stehen wir Ihnen gerne beratend zur Seite. Sprechen Sie uns gerne an.