UpdraftPlus ist eines der meistgenutzten Backup-Plugins für WordPress und aus Datenschutzsicht im Normalbetrieb recht unkompliziert. Das Plugin läuft komplett im Hintergrund, ohne dass Website-Besucher davon etwas mitbekommen. Ob du trotzdem etwas zu tun hast, hängt davon ab, wohin du deine Backups speicherst – genauer gesagt, ob du dafür den eigenen Speicherdienst UpdraftVault von TeamUpdraft nutzt oder nicht.
Überblick
Was ist UpdraftPlus?
UpdraftPlus ist ein Backup- und Migrations-Plugin für WordPress, das von Updraft WP Software Ltd. (TeamUpdraft) aus dem Vereinigten Königreich entwickelt wird. Es sichert deine WordPress-Website automatisch oder manuell und speichert die Backups wahlweise lokal oder bei verschiedenen Cloud-Diensten. Mit über 3 Millionen aktiven Installationen gehört es zu den verbreitetsten Plugins überhaupt.
UpdraftPlus – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | UpdraftPlus setzt keine Cookies für Website-Besucher. |
| Externe Verbindungen | 🟢 | Keine externen Verbindungen im sichtbaren Bereich der Website. |
| Datenschutzerklärung | 🟡 | Nur erforderlich, wenn du UpdraftVault als Speicherort nutzt. |
| Drittlandtransfer | 🟡 | Entsteht bei UpdraftVault (US-Server) oder Amazon S3 ohne EU-Region. |
| Auftragsverarbeitung | 🟡 | Nur bei UpdraftVault: Vertrag mit TeamUpdraft prüfen. |
| Benutzereingaben | 🟢 | UpdraftPlus nimmt keine Eingaben von Website-Besuchern entgegen. |
Datenverarbeitung
Was macht UpdraftPlus mit Daten?
UpdraftPlus arbeitet vollständig im Hintergrund deines WordPress-Adminbereichs – Website-Besucher kommen damit nie in Berührung. Das Plugin legt Kopien deiner Dateien und Datenbank an und schickt sie an den Speicherort, den du in den Einstellungen festlegst: Das können dein Hosting-Server selbst, ein eigener Dropbox- oder Google-Drive-Account, ein Amazon-S3-Speicher oder UpdraftVault sein – der eigene Cloudspeicher von TeamUpdraft.
Datenschutzrechtlich hängt fast alles von dieser einen Entscheidung ab: Wer seine Backups auf einem eigenen Cloud-Account oder lokal speichert, gibt TeamUpdraft keinerlei Zugang zu seinen Daten. TeamUpdraft bestätigt das ausdrücklich. Wer dagegen UpdraftVault wählt, überträgt Backup-Daten auf Server von TeamUpdraft, die auf der Cloud-Plattform Amazon AWS in den USA laufen. Das ist der einzige Punkt, an dem aus diesem Plugin eine datenschutzrechtliche Aufgabe wird.
Cookies
Setzt UpdraftPlus Cookies auf meiner Website?
UpdraftPlus setzt keine Cookies für Website-Besucher. TeamUpdraft dokumentiert das ausdrücklich: Das Plugin hat keine Frontend-Funktionen, die Cookies im Browser von Besuchern hinterlassen würden.
Es gibt lediglich einen internen Cookie in der Premium-Version für die „Admin-Sperre“-Funktion – dieser betrifft ausschließlich eingeloggte Administratoren im Backend und hat mit dem Cookie-Banner deiner Website nichts zu tun. Dein Cookie-Banner muss für UpdraftPlus nichts blockieren.
Externe Verbindungen
Baut UpdraftPlus Verbindungen zu externen Servern auf?
UpdraftPlus baut im sichtbaren Bereich deiner Website keine Verbindungen zu externen Servern auf. Alle Backup-Vorgänge laufen serverseitig im Hintergrund – kein Besucher, der deine Website aufruft, löst dabei irgendeinen externen Kontakt aus.
Wenn du einen Cloud-Dienst wie Dropbox oder Google Drive als Speicherziel einrichtest, findet die Verbindung zu diesen Diensten nur einmalig während der Einrichtung im Adminbereich statt und danach serverseitig beim Backup-Prozess selbst. Das hat keine Auswirkung auf die Erfahrung deiner Website-Besucher und muss nicht im Cookie-Banner berücksichtigt werden.
UpdraftPlus auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Verarbeitet UpdraftPlus Eingaben von Website-Besuchern?
UpdraftPlus verarbeitet keine Eingaben von Website-Besuchern. Das Plugin stellt keine Formulare, Kommentarfelder oder andere Eingabemöglichkeiten für Besucher bereit. Alle Bedienelemente des Plugins befinden sich ausschließlich im WordPress-Adminbereich und sind nur für eingeloggte Administratoren zugänglich.
Drittlandtransfer
Werden durch UpdraftPlus Daten in die USA übertragen?
Ob UpdraftPlus Daten außerhalb der EU überträgt, hängt vollständig davon ab, welches Speicherziel du einstellst. UpdraftPlus selbst überträgt keine Daten in Drittländer – das passiert erst durch den Speicherort, den du wählst.
Wenn du UpdraftVault als Speicherziel aktivierst, landen deine Backups auf Amazon-AWS-Servern in den USA. UpdraftVault ist der eigene Cloudspeicher von TeamUpdraft, einem Unternehmen aus dem Vereinigten Königreich. Da das Vereinigte Königreich seit dem Brexit kein EU-Mitglied mehr ist, gelten Datentransfers dorthin ebenfalls als Drittlandübertragung – auch wenn es bislang einen EU-Beschluss gibt, der solche Transfers unter bestimmten Voraussetzungen erlaubt. Den aktuellen Stand dieses Beschlusses solltest du bei Bedarf eigenständig prüfen.
Wer Amazon S3 als Speicherziel nutzt, sollte in den AWS-Einstellungen darauf achten, eine EU-Region auszuwählen – andernfalls landen die Backups ebenfalls auf US-Servern. Speicherst du deine Backups lokal, per FTP auf deinem eigenen EU-Server oder in einem EU-Rechenzentrum, entsteht kein Drittlandtransfer über UpdraftPlus.
Auftragsverarbeitung
Brauche ich für UpdraftPlus einen Vertrag zur Datenverarbeitung?
Ob du einen Vertrag zur Auftragsverarbeitung benötigst, hängt davon ab, ob du UpdraftVault nutzt oder nicht.
Ohne UpdraftVault – also wenn du deine Backups lokal oder bei einem eigenen Cloud-Account (Google Drive, Dropbox, eigener S3-Bucket etc.) speicherst – bekommt TeamUpdraft keinen Zugang zu deinen Backup-Daten. In diesem Fall gibt es keine Auftragsverarbeitung durch TeamUpdraft und du brauchst keinen Vertrag mit ihnen.
Wenn du dagegen UpdraftVault aktivierst, speichert TeamUpdraft deine Backups auf eigenen Servern. UpdraftVault ist kein externer Drittanbieter, sondern ein von TeamUpdraft selbst betriebener Dienst. In diesem Fall verarbeitet TeamUpdraft deine Backup-Daten in deinem Auftrag, und du solltest prüfen, ob ein Vertrag zur Auftragsverarbeitung nötig ist.
TeamUpdraft benennt dafür keinen fertigen Vertragslink in der öffentlichen Dokumentation – wende dich direkt an TeamUpdraft, wenn du diesen Vertrag für deine DSGVO-Dokumentation benötigst. Beachte außerdem: Für Drittanbieter-Speicherziele wie Google Drive, Dropbox oder Amazon S3 müssen Verträge zur Auftragsverarbeitung separat mit den jeweiligen Anbietern abgeschlossen werden.
Datenschutzerklärung
Muss UpdraftPlus in der Datenschutzerklärung stehen?
UpdraftPlus muss nur dann in deiner Datenschutzerklärung erwähnt werden, wenn du UpdraftVault als Speicherziel nutzt. In diesem Fall verarbeitet TeamUpdraft deine Backup-Daten auf eigenen Servern und das muss dokumentiert werden. Ohne UpdraftVault – also bei lokaler Speicherung oder eigenem Cloud-Account – verarbeitet UpdraftPlus keine Besucherdaten und braucht keinen eigenen Eintrag.
Wenn du UpdraftVault nutzt, sollte dein Eintrag folgende Punkte enthalten:
- Zweck der Verarbeitung: Erstellung und Speicherung von Website-Backups
- Verarbeitender Anbieter: Updraft WP Software Ltd. (TeamUpdraft), Vereinigtes Königreich
- Drittlandtransfer: Speicherung auf Amazon-AWS-Servern in den USA
- Speicherdauer: Abhängig von den in UpdraftPlus eingestellten Aufbewahrungsregeln
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
UpdraftPlus / UpdraftVault – Website-Backup
Wir verwenden das Plugin UpdraftPlus, um regelmäßig Sicherungskopien dieser Website zu erstellen. Die Backups werden über den Dienst UpdraftVault gespeichert, der von Updraft WP Software Ltd. (TeamUpdraft), einem im Vereinigten Königreich ansässigen Unternehmen, betrieben wird.
Die Backup-Daten werden auf Servern der Amazon Web Services (AWS) in den USA gespeichert. Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Datensicherheit und Wiederherstellbarkeit unserer Website. Die Daten werden so lange aufbewahrt, wie es für die Datensicherung erforderlich ist, und entsprechend den in UpdraftPlus eingestellten Aufbewahrungsregeln automatisch gelöscht.
Hinweis: Wenn du zusätzliche Drittanbieter-Speicherziele wie Google Drive, Dropbox oder Amazon S3 nutzt, benötigen diese eigene Einträge in deiner Datenschutzerklärung.
Drittanbieter
Mit welchen Diensten lässt sich UpdraftPlus verbinden?
UpdraftPlus bietet eine große Auswahl an Speicherzielen, die du in den Plugin-Einstellungen unter „Sicherungsspeicher wählen“ (Choose your remote storage) aktivieren kannst. In der kostenlosen Version stehen Dropbox, Google Drive, Amazon S3 und kompatible Dienste, Rackspace Cloud, FTP, DreamObjects, OpenStack Swift sowie E-Mail-Versand zur Verfügung.
Mit der Premium-Version kommen weitere Optionen hinzu: Microsoft OneDrive, Microsoft Azure, Google Cloud, Backblaze B2, SFTP, SCP, pCloud, WebDAV sowie UpdraftVault – der eigene Cloudspeicher von TeamUpdraft. Alle diese Verbindungen laufen ausschließlich serverseitig im Hintergrund und haben keine Auswirkung auf den sichtbaren Bereich deiner Website oder auf deine Besucher.
Beachte: Für jeden Drittanbieter-Speicherdienst, den du aktivierst, solltest du prüfen, ob ein eigener Vertrag zur Auftragsverarbeitung mit dem jeweiligen Anbieter nötig ist und ob der Dienst in deiner Datenschutzerklärung erwähnt werden muss.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu UpdraftPlus?
Eine datenschutzfreundlichere Alternative zu UpdraftPlus ist nicht nötig – und auch kaum zu finden. Im Standardbetrieb setzt UpdraftPlus keine Cookies, baut keine externen Verbindungen im sichtbaren Bereich deiner Website auf und überträgt keine Daten in Drittländer. Das ist bereits das bestmögliche Datenschutz-Profil für ein Backup-Plugin.
Vergleichbare Plugins wie BackWPup erreichen dasselbe Niveau, sind aber in keinem dieser Punkte besser. Wenn du UpdraftVault nicht nutzt, gibt es aus Datenschutzsicht keinen Grund, das Plugin zu wechseln.
Fehler
Typische Datenschutz-Fehler bei UpdraftPlus
Der häufigste Fehler ist die Nutzung von UpdraftVault ohne Eintrag in die Datenschutzerklärung. Wer UpdraftVault als Speicherziel aktiviert, hat damit eine Datenverarbeitung durch TeamUpdraft auf US-Servern eingerichtet – und das muss in der Datenschutzerklärung stehen. Viele Betreiber richten das Backup einmal ein und vergessen den Eintrag in die Datenschutzerklärung.
Ein zweiter häufiger Fehler betrifft externe Speicherdienste: Wer Amazon S3 als Backup-Ziel nutzt, wählt dabei oft unbedacht die Standard-Region, die in den USA liegt. Das führt zu einem Drittlandtransfer, der dokumentiert werden müsste. Die Lösung ist einfach: In den AWS-Einstellungen eine EU-Region (z.B. eu-central-1 für Frankfurt) auswählen.
Schließlich übersehen viele, dass Drittanbieter-Speicherdienste wie Google Drive, Dropbox oder Amazon S3 eigene Einträge in der Datenschutzerklärung und oft auch eigene Verträge zur Auftragsverarbeitung erfordern – unabhängig davon, ob UpdraftPlus selbst einen Eintrag in die Datenschutzerklärung braucht oder nicht.
DSGVO-Check
Wie erkenne ich, ob UpdraftPlus auf meiner Website aktiv ist?
UpdraftPlus verrät sich nicht durch Cookie-Namen oder externe Verbindungen im sichtbaren Bereich deiner Website – das Plugin arbeitet ausschließlich im Backend. Ein einfacher Cookie-Scan oder ein Netzwerk-Check im Browser zeigt daher keine direkten Spuren von UpdraftPlus.
Der zuverlässigste Weg ist ein vollständiger Datenschutz-Scan, der deine WordPress-Installation selbst analysiert und erkennt, welche Plugins aktiv sind. datenrein.de prüft genau das: Es scannt deine Website direkt und zeigt dir, ob UpdraftPlus erkannt wurde – und ob datenschutzrelevante Einstellungen wie UpdraftVault aktiv sind.
Quellen und weiterführende Links
- WordPress.org – UpdraftPlus Plugin-Seite
- TeamUpdraft – UpdraftPlus Dokumentation
- TeamUpdraft – Datenschutz- und Datenschutzzentrum
- TeamUpdraft – Setzt UpdraftPlus Cookies für Website-Besucher?
- TeamUpdraft – UpdraftVault Produktseite
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.