BackWPup und Datenschutz: Das Plugin ist harmlos – aber deine Backups vielleicht nicht

BackWPup selbst ist datenschutzrechtlich unauffällig: Das Plugin läuft komplett im Hintergrund, setzt keine Cookies für deine Website-Besucher und baut keine Verbindungen zu fremden Servern auf. Die Datenschutzpflichten entstehen an einem anderen Punkt – nämlich dann, wenn du deine Backups in der Cloud speicherst. Denn deine Backups enthalten die gesamten Daten deiner Website, also auch personenbezogene Daten deiner Besucher und Kunden.

Überblick

Was ist BackWPup?

BackWPup ist ein WordPress-Plugin zum Erstellen und Verwalten von Website-Backups. Du kannst damit vollständige Sicherungen deines WordPress anlegen – Datenbank, Dateien, Plugins, Themes – und diese automatisch nach einem Zeitplan erstellen lassen. Die Backups lassen sich lokal auf deinem Server speichern oder direkt zu Cloud-Diensten wie Dropbox, Amazon S3 oder Google Drive hochladen. Anbieter ist WP Media SAS aus Lyon, Frankreich.

BackWPup – DSGVO-Risiko

KriteriumRisikoEinschätzung
Cookies🟢Keine Cookies für Website-Besucher.
Externe Verbindungen🟢Keine Verbindungen im sichtbaren Bereich der Website.
Datenschutzerklärung🟡Nötig, wenn Backups zu einem Cloud-Dienst hochgeladen werden.
Drittlandtransfer🟡Abhängig vom gewählten Cloud-Speicher, z. B. Dropbox oder Amazon S3 in den USA.
Auftragsverarbeitung🟢Kein Vertrag mit WP Media nötig – aber mit dem Cloud-Anbieter, wenn du Cloud-Speicher nutzt.
Benutzereingaben🟢Keine Eingabefelder für Website-Besucher

Datenverarbeitung

Welche Daten verarbeitet BackWPup?

BackWPup selbst schickt keine Daten an WP Media und verarbeitet keine Informationen deiner Website-Besucher. Das Plugin läuft ausschließlich in deinem WordPress-Adminbereich und erstellt dort Backup-Dateien.

Diese Backup-Dateien enthalten aber die gesamten Inhalte deiner Website – also auch alle personenbezogenen Daten, die auf deiner Website gespeichert sind: Kommentare mit IP-Adressen, Bestelldaten, Kundendaten, Nutzerdaten. Wenn du so ein Backup zu einem Cloud-Dienst hochlädst, überträgst du damit auch diese Daten an den jeweiligen Anbieter. Genau dort entstehen deine Datenschutzpflichten.

BackWPup und Datenschutz: Datenübertragung von Backup-Daten zu Cloud-Diensten in der USA
BackWPup selbst überträgt keine Daten – wenn du aber einen Cloud-Dienst als Backup-Ziel wählst, landen deine Backup-Dateien inklusive Besucherdaten auf dessen Servern, oft in den USA.

Cookies

Setzt BackWPup Cookies auf meiner Website?

BackWPup setzt keine Cookies für deine Website-Besucher. Das Plugin arbeitet ausschließlich im Adminbereich – dein Cookie-Banner muss dafür nichts tun.

Externe Verbindungen

Baut BackWPup Verbindungen zu fremden Servern auf?

BackWPup baut keine externen Verbindungen im sichtbaren Bereich deiner Website auf. Wenn ein Besucher deine Seite aufruft, passiert durch BackWPup technisch nichts.

Verbindungen zu Cloud-Diensten entstehen nur serverseitig im Adminbereich, wenn du aktiv ein Backup exportierst oder ein automatischer Backup-Job ausgeführt wird – und auch das nur, wenn du einen Cloud-Dienst als Ziel konfiguriert hast.

Dein Cookie-Banner kann das nicht blockieren.

BackWPup auf deiner Website? DSGVO-Check in 60 Sekunden.

Gib deine Domain ein und sieh sofort, was los ist.

→ Datenschutz-Check starten

Benutzereingaben

Gibt es Formulare oder Eingabefelder für Besucher?

BackWPup bietet keine Eingabefelder für Website-Besucher. Das Plugin ist ausschließlich ein Administrations-Werkzeug – Besucher deiner Website kommen damit nicht in Berührung.

Drittlandtransfer

Werden Daten in die USA oder andere Länder außerhalb der EU übertragen?

BackWPup selbst überträgt keine Daten ins Ausland. Wenn du aber einen Cloud-Dienst als Backup-Ziel nutzt, findet eine Datenübertragung an dessen Server statt – und das kann bedeuten, dass deine Backup-Daten in die USA übertragen werden.

Das betrifft konkret:

  • Dropbox (USA)
  • Amazon S3 (USA)
  • SugarSync (USA)
  • Rackspace Cloud Files (USA)
  • Microsoft Azure (USA, je nach gewählter Region).

Wenn du diese Datenübertragung vermeiden willst, kannst du stattdessen einen FTP-Server bei einem EU-Hosting-Anbieter als Backup-Ziel wählen oder Backups nur lokal auf deinem eigenen Server speichern. Die Einstellung findest du in BackWPup unter dem jeweiligen Backup-Job unter „Backup-Ziel“.

Auftragsverarbeitung

Brauche ich einen Vertrag mit WP Media?

Einen Vertrag mit WP Media, dem Anbieter von BackWPup, brauchst du nicht – WP Media verarbeitet keine Daten deiner Website-Besucher. Das bestätigt WP Media selbst in der offiziellen Dokumentation.

Anders sieht es bei deinem Cloud-Anbieter aus: Wenn du Dropbox, Amazon S3, Google Drive, OneDrive, Microsoft Azure, Rackspace oder SugarSync als Backup-Ziel nutzt, überträgst du dabei personenbezogene Daten aus deinen Backups an diesen Anbieter. Damit wirst du datenschutzrechtlich zum Auftraggeber und der Cloud-Anbieter verarbeitet die Daten in deinem Auftrag.

Du musst dann mit dem jeweiligen Cloud-Anbieter einen Vertrag zur Datenverarbeitung abschließen. BackWPup verlinkt in der eigenen Dokumentation direkt auf die entsprechenden Seiten der Anbieter, über die du diesen Vertrag abschließen kannst.

Datenschutzerklärung

Muss BackWPup in die Datenschutzerklärung?

BackWPup selbst muss nicht in deine Datenschutzerklärung – das Plugin verarbeitet keine Daten deiner Besucher. Wenn du aber einen Cloud-Dienst als Backup-Ziel nutzt, muss dieser Cloud-Dienst in deiner Datenschutzerklärung erwähnt werden, weil dort Daten deiner Besucher gespeichert werden. Nötige Angaben pro genutztem Cloud-Dienst:

  • Zweck: Speicherung von Website-Backups
  • Rechtsgrundlage: Berechtigtes Interesse (Datensicherung)
  • Empfänger: Name des Cloud-Anbieters und dessen Unternehmensland
  • Drittlandtransfer: Ob und in welches Land außerhalb der EU Daten übertragen werden
  • Speicherdauer: Wie lange du Backups aufbewahrst

Das folgende Beispiel gilt für die Nutzung von Dropbox als Backup-Ziel. Wenn du einen anderen Dienst nutzt, passe Anbieter, Land und Unternehmensangaben entsprechend an.

Textvorschlag für deine Datenschutzerklärung

Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.

Website-Backups – Datensicherung mit Cloud-Speicher

Zur Datensicherung erstellen wir regelmäßige Backups unserer Website. Diese Backups werden automatisch auf externen Servern von Dropbox, Inc., 1800 Owens Street, San Francisco, CA 94158, USA, gespeichert. Die Backups können personenbezogene Daten unserer Nutzer enthalten, die auf unserer Website gespeichert sind.

Grundlage für diese Verarbeitung ist unser berechtigtes Interesse an der Datensicherung und Aufrechterhaltung des Websitebetriebs. Mit Dropbox besteht ein Vertrag zur Datenverarbeitung. Die Daten werden in die USA übertragen. Backups werden nach [Zeitraum] automatisch gelöscht.

Drittanbieter

Mit welchen Diensten lässt sich BackWPup verbinden?

BackWPup bietet mehrere externe Cloud-Dienste als Backup-Ziel an. In der kostenlosen Version sind das Dropbox, Amazon S3, Rackspace Cloud Files, Microsoft Azure und SugarSync. In der kostenpflichtigen Pro-Version kommen Google Drive, Amazon Glacier, OneDrive und HiDrive hinzu.

Alle diese Dienste sind optional – du kannst Backups stattdessen auch lokal auf deinem Server oder per FTP auf einem eigenen Server speichern. Wenn du keinen dieser Cloud-Dienste nutzt, entstehen keine zusätzlichen Datenschutzpflichten durch BackWPup.

Alternative

Gibt es eine datenschutzfreundlichere Alternative zu BackWPup?

UpdraftPlus ist eine datenschutzrechtlich vergleichbare Alternative mit ähnlichem Funktionsumfang. Beide Plugins setzen keine Cookies, bauen keine Verbindungen im sichtbaren Bereich der Website auf, und beide sind gleichermaßen nur dann datenschutzrelevant, wenn du einen Cloud-Dienst in den USA als Backup-Ziel nutzt.

UpdraftPlus gilt nur als benutzerfreundlicher, besonders für Einsteiger.

Fehler

Typische Datenschutzfehler mit BackWPup

Der häufigste Fehler: Backups werden zu einem Cloud-Dienst wie Dropbox oder Amazon S3 hochgeladen, aber weder der Cloud-Anbieter steht in der Datenschutzerklärung noch wurde ein Vertrag mit ihm abgeschlossen. Das ist besonders heikel, weil die Backups in aller Regel auch sensible Daten enthalten – Kundendaten, Bestelldaten, Nutzerdaten – und diese damit unkontrolliert an einen Drittanbieter übertragen werden.

Ein weiterer Fehler ist die Wahl eines Cloud-Anbieters in den USA, ohne das in der Datenschutzerklärung zu erwähnen. Wer Backups nur lokal oder per FTP auf einem eigenen EU-Server speichert, hat dagegen keine zusätzlichen Datenschutzpflichten durch BackWPup.

DSGVO-Check

Wie erkenne ich, ob BackWPup auf meiner Website aktiv ist?

BackWPup verrät sich nicht durch Cookie-Namen oder externe Verbindungen im sichtbaren Bereich deiner Website. Das Plugin arbeitet ausschließlich im Hintergrund und hinterlässt für Besucher keine technischen Spuren.

Ein Datenschutz-Scan, der deine Website von außen prüft, wird BackWPup deshalb über andere Merkmale erkennen – zum Beispiel über interne WordPress-Strukturen. Wenn du wissen willst, ob BackWPup auf deiner Website erkannt wird und welche Datenschutzpflichten daraus folgen, kannst du deine Website kostenlos mit datenrein.de scannen lassen.

Quellen und weiterführende Links

Dein DSGVO-Ergebnis in 60 Sekunden?

Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.

→ Datenschutz-Check starten

Sofia

Dipl.-Informatikerin, Webentwicklerin seit 2006 und Autorin bei Packt Publishing. Mit datenrein.de helfe ich WordPress-Betreibern, Datenschutz-Probleme zu erkennen und zu lösen – ohne Juristendeutsch und ohne Technik-Kauderwelsch.