Sind Backups rechtlich vorgeschrieben?

Mittelbar ja. Art. 32 DSGVO verlangt die Wiederherstellbarkeit personenbezogener Daten nach einem Zwischenfall. NIS2 verlangt Backup- und Wiederherstellungsverfahren als Teil der Risikomanagement-Maßnahmen nach § 30 BSIG. Wer kein belastbares Backup-Konzept hat, verletzt diese Pflichten.

Wie oft müssen Backups getestet werden?

Eine konkrete Frequenz schreibt das Gesetz nicht vor. Der Stand der Technik verlangt aber regelmäßige Wiederherstellungstests, mindestens jährlich, bei kritischen Systemen häufiger.

Was bedeutet 3-2-1-Regel?

Drei Kopien der Daten, auf zwei verschiedenen Medien, davon eine offline oder air-gapped. Diese Regel hat sich als Mindeststandard durchgesetzt.

Was, wenn auch die Backups verschlüsselt sind?

Das ist die häufigste Fehlersituation. Ransomware-Gruppen suchen gezielt nach online erreichbaren Backup-Servern. Offline- oder Immutable-Backups sind die einzige verlässliche Verteidigung.

Welche Beweislast trifft uns bei Datenverlust?

Im Datenschutzrecht trägt der Verantwortliche die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Wer keine Wiederherstellung darstellen kann, trägt das Risiko, dass dies als Verstoß gegen Art. 32 DSGVO gewertet wird.

Backups & Recht: DSGVO, NIS2, Versicherer-Obliegenheiten

Wo das Recht Backups verlangt

Eine ausdrückliche Backup-Pflicht steht in keinem Gesetz. Die Pflicht ergibt sich indirekt aus drei Quellen. Erstens aus Art. 32 Abs. 1 lit. c DSGVO, der die Fähigkeit verlangt, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Zweitens aus § 30 BSIG (NIS2-Umsetzungsgesetz), der unter den geforderten Risikomanagementmaßnahmen ausdrücklich „Backup-Management und Wiederherstellung nach einem Notfall" nennt. Drittens aus den allgemeinen Pflichten der Geschäftsleitung, eine angemessene Risikovorsorge zu treffen — was in der höchstrichterlichen Rechtsprechung zu IT-Compliance regelmäßig Backups einschließt.

Diese Pflichten sind ergebnisorientiert formuliert. Das bedeutet: Es kommt nicht darauf an, dass ein Backup-Konzept auf dem Papier existiert, sondern dass die Wiederherstellung im Ernstfall tatsächlich funktioniert. Wer im Vorfall nicht wiederherstellen kann, weil die Backup-Server mitverschlüsselt wurden oder die Tests nie stattgefunden haben, verletzt die Pflicht.

Stand der Technik: 3-2-1 und Immutable Backups

Aus der BSI-Handlungsempfehlung, den Herstellerstandards und der gerichtlichen Praxis hat sich ein faktischer Mindeststandard entwickelt: die 3-2-1-Regel (drei Kopien, zwei Medien, eine offline) sowie eine Form der Schreibhärtung der Backup-Kopien (Immutable Storage, Write-Once-Read-Many, Air-Gap). Wer von diesem Standard abweicht, sollte die Abweichung im VVT oder in der TOM-Dokumentation begründen und das Restrisiko bewerten. Eine unbegründete Abweichung ist im Vorfall die Vorlage für ein Bußgeld.

Testpflicht: Backup ohne Restore ist kein Backup

Aus juristischer Sicht ist nicht die Existenz, sondern die Funktionsfähigkeit des Backups entscheidend. Wer Backups vorhält, aber nie eine vollständige Wiederherstellung getestet hat, hat nach unserer Erfahrung im Bußgeldverfahren keine überzeugende Position. Die Aufsichtsbehörden fragen regelmäßig nach: Wann wurde zuletzt ein vollständiger Restore-Test durchgeführt? Welche Systeme wurden getestet? Welche Recovery-Time-Objectives wurden erreicht? Wer hierauf keine dokumentierten Antworten geben kann, gerät schnell in eine Verteidigungslage.

Cyberversicherung: Backups als zentrale Obliegenheit

Jede uns bekannte Cyberpolice enthält eine Backup-Obliegenheit. Die Formulierungen reichen von „dem Stand der Technik entsprechende Backups" bis hin zu detaillierten Anforderungen (Häufigkeit, Offline-Kopie, Test). Wird die Obliegenheit verletzt, droht eine Quotenkürzung oder die vollständige Leistungsfreiheit. In der Schadenpraxis ist die Backup-Obliegenheit der häufigste Streitpunkt zwischen Versicherer und Versichertem. Wer den Police-Wortlaut bereits beim Abschluss prüft und die eigene Praxis daran ausrichtet, vermeidet das spätere Risiko.

Datenverlust und Beweislast

Im Datenschutzrecht trägt der Verantwortliche die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Wer nach einem Vorfall personenbezogene Daten verloren hat, muss nachweisen, dass er angemessene Maßnahmen ergriffen hat. Fehlt eine wiederherstellbare Kopie, wird dieser Nachweis schwer zu führen. Die Aufsichtsbehörden werten den Datenverlust dann regelmäßig als zusätzlichen Verstoß gegen Art. 32 DSGVO, der in das Bußgeld einfließt.

Häufige Fragen

Sind Backups rechtlich vorgeschrieben?: Mittelbar ja. Art. 32 DSGVO verlangt die Wiederherstellbarkeit personenbezogener Daten nach einem Zwischenfall. NIS2 verlangt Backup- und Wiederherstellungsverfahren als Teil der Risikomanagement-Maßnahmen nach § 30 BSIG. Wer kein belastbares Backup-Konzept hat, verletzt diese Pflichten.
Wie oft müssen Backups getestet werden?: Eine konkrete Frequenz schreibt das Gesetz nicht vor. Der Stand der Technik verlangt aber regelmäßige Wiederherstellungstests, mindestens jährlich, bei kritischen Systemen häufiger.
Was bedeutet 3-2-1-Regel?: Drei Kopien der Daten, auf zwei verschiedenen Medien, davon eine offline oder air-gapped. Diese Regel hat sich als Mindeststandard durchgesetzt.
Was, wenn auch die Backups verschlüsselt sind?: Das ist die häufigste Fehlersituation. Ransomware-Gruppen suchen gezielt nach online erreichbaren Backup-Servern. Offline- oder Immutable-Backups sind die einzige verlässliche Verteidigung.
Welche Beweislast trifft uns bei Datenverlust?: Im Datenschutzrecht trägt der Verantwortliche die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Wer keine Wiederherstellung darstellen kann, trägt das Risiko, dass dies als Verstoß gegen Art. 32 DSGVO gewertet wird.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.