DSGVO Backup: Wo Ihre Sicherungen liegen dürfen

Beschriftete Server-Laufwerke in einem gesicherten Rack-Schrank symbolisieren DSGVO-konformes Backup.

Von Manuel Hack, ihp media · Aktualisiert am 14. Juni 2026

Das Wichtigste in 30 Sekunden

  • Jedes Backup mit personenbezogenen Daten ist eine Verarbeitung im Sinne der DSGVO und unterliegt denselben Regeln wie die Produktivdaten.
  • Ein Backup-Anbieter ist Auftragsverarbeiter nach Art. 28 DSGVO. Der Auftragsverarbeitungsvertrag muss vor der ersten Sicherung vorliegen, nicht danach.
  • Backups in EU/EWR-Rechenzentren sind mit AVV zulässig. Bei US-Anbietern brauchen Sie entweder eine DPF-Zertifizierung des Anbieters oder Standardvertragsklauseln plus Risikoabschätzung.
  • Verschlüsselung nach AES-256 und TLS 1.3, getrenntes Schlüsselmanagement und ein schriftliches Löschkonzept sind Pflicht aus Art. 32 DSGVO.

Wer regelmäßig sichert, ist beim nächsten Serverausfall im Vorteil. Aber wo landen die Backups eigentlich? Und wer kann darauf zugreifen? Diese Fragen interessieren nicht nur den IT-Verantwortlichen, sondern auch die Datenschutzbehörde. Dieser Artikel zeigt, welche DSGVO-Pflichten beim Backup entstehen, was für den Speicherort gilt und was ein datenschutzkonformes Backup-Konzept in der Praxis leisten muss.

Hinweis vorab: Dieser Artikel ist eine fachliche Einordnung und ersetzt keine Rechtsberatung im Einzelfall. Bei konkreten Datenschutzfragen wenden Sie sich an eine auf Datenschutzrecht spezialisierte Kanzlei oder an Ihren Datenschutzbeauftragten.

Warum der Speicherort Ihrer Backups ein Datenschutzthema ist

Kurz gesagt: Ein Backup enthält dieselben personenbezogenen Daten wie die Produktivumgebung. Die DSGVO unterscheidet nicht zwischen Original und Kopie. Wer den Speicherort nicht regelt, hat eine Lücke im Datenschutzkonzept.

Eine Datensicherung ist technisch eine Kopie. Datenschutzrechtlich ist sie eine eigenständige Verarbeitung personenbezogener Daten. Art. 4 Nr. 2 DSGVO definiert Verarbeitung weit: Das Speichern einer Sicherungskopie fällt genauso darunter wie das Lesen oder Verändern von Daten. Die Grundsätze aus Art. 5 Abs. 1 DSGVO gelten für jede Verarbeitung, ohne Ausnahme für Sicherungskopien.

Wer in seiner Datenschutzdokumentation nur die laufenden Systeme beschreibt und die Backups auslässt, hat eine Lücke. Aufsichtsbehörden prüfen das. Die Landesbeauftragten für Datenschutz fragen bei Prüfungen gezielt, wo Sicherungskopien liegen, wer Zugriff hat und wie sie gelöscht werden.

Welche Daten im Backup DSGVO-relevant sind

Kurz gesagt: Praktisch jede Website-Datenbank mit Kundenstamm, Bestellhistorie, Kontaktformulardaten oder Nutzerkonten enthält personenbezogene Daten. Das Backup davon ist damit unmittelbar DSGVO-relevant.

Für eine kleine Unternehmenswebsite bedeutet das konkret: Die WordPress-Datenbank speichert Kommentardaten mit E-Mail-Adressen, WooCommerce-Bestellungen mit Lieferadressen und Telefonnummern, Benutzerkontodaten und möglicherweise Formulareinträge aus Kontakt- oder Anfragemasken. Alle diese Informationen sind personenbezogene Daten nach Art. 4 Nr. 1 DSGVO.

Eine rein technische Website ohne Nutzerkonten, ohne Kommentare und ohne Onlineshop könnte keinerlei personenbezogene Daten in der Datenbank enthalten. Praktisch kommt das kaum vor, weil Kontaktformular-Plugins, Cookie-Consent-Tools oder Newsletter-Integrationen fast immer Daten hinterlassen. Wenn Sie nicht mit Sicherheit sagen können, dass kein einziger Datensatz mit Personenbezug in der Datenbank ist, gilt das Backup als DSGVO-relevant.

AVV-Pflicht: der Auftragsverarbeitungsvertrag mit dem Backup-Anbieter

Kurz gesagt: Jeder externe Backup-Dienst, der technisch auf Ihre Daten zugreifen kann, ist Auftragsverarbeiter. Art. 28 Abs. 3 DSGVO schreibt einen schriftlichen Auftragsverarbeitungsvertrag (AVV) vor. Ohne AVV liegt ein formaler Verstoß vor, unabhängig davon, ob je ein Datenleck passiert.

Der AVV muss vor dem ersten Backup abgeschlossen sein, nicht irgendwann danach. Er regelt verbindlich, wie der Anbieter mit Ihren Daten umgeht. Art. 28 Abs. 3 DSGVO schreibt vor, was mindestens drin stehen muss:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Kategorien der gesicherten Daten und der betroffenen Personen
  • Verpflichtung des Anbieters, Daten nur auf Ihre Weisung zu verarbeiten
  • Geheimhaltungspflicht des Personals beim Anbieter
  • Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
  • Regelung zu Unterauftragsverarbeitern (Sub-Dienstleistern des Anbieters)
  • Unterstützung bei Betroffenenrechten und bei Meldepflichten
  • Löschung oder Rückgabe aller Daten nach Vertragsende
  • Prüfungsrechte für Sie als Auftraggeber

Die meisten seriösen Backup-Anbieter (Hetzner, IONOS, All-Inkl, Strato, aber auch AWS und Google Cloud) stellen vorgefertigte AVV bereit, die Sie abschließen oder online bestätigen können. Wer diesen Schritt überspringt und keinen aktuellen AVV vorlegen kann, hat eine Schwachstelle, die Aufsichtsbehörden bei Prüfungen regelmäßig beanstanden. Was ein vollständiger AVV enthalten muss und wie er geprüft wird, erklärt der Ratgeber Auftragsverarbeitungsvertrag (AVV) verständlich erklärt.

Unterauftragsverarbeiter: das versteckte Risiko

Art. 28 Abs. 4 DSGVO regelt, was passiert, wenn Ihr Backup-Anbieter selbst Subdienstleister einsetzt. Er benötigt dafür Ihre Genehmigung, und diese Subdienstleister müssen denselben Datenschutzpflichten unterliegen wie der Hauptanbieter. Prüfen Sie im AVV, welche Unterauftragsverarbeiter benannt werden. Große Cloud-Dienste listen teils Dutzende Subdienstleister. Jeder davon muss geeignete Garantien bieten.

EU, EWR oder USA: welcher Speicherort was bedeutet

Die entscheidende Grenze verläuft beim Europäischen Wirtschaftsraum. Backups in einem EWR-Rechenzentrum unterliegen dem europäischen Datenschutzrecht. Backups außerhalb des EWR unterliegen zusätzlichen Anforderungen aus Art. 44 ff. DSGVO.

Backup-Ort DSGVO-Status Was Sie beachten müssen
Deutschland / EU Zulässig mit AVV Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen. Kein zusätzlicher Transfermechanismus nötig.
EWR (z. B. Norwegen, Island) Zulässig mit AVV Wie EU-Standort behandeln. AVV ausreichend.
USA, Anbieter DPF-zertifiziert Zulässig mit AVV + DPF-Prüfung AVV abschließen, DPF-Zertifizierung des Anbieters im offiziellen Register verifizieren. Cloud Act Risikoabschätzung empfohlen.
USA, Anbieter nicht DPF-zertifiziert Zulässig nur mit SCC + TIA AVV plus Standardvertragsklauseln (SCC) nach Art. 46 DSGVO. Zusätzlich Transferfolgenabschätzung (TIA) erforderlich.
Sonstige Drittländer ohne Angemessenheitsbeschluss Erhöhter Aufwand AVV plus SCC, ggf. ergänzende Maßnahmen. Einzelfallprüfung nötig.

Die USA-Frage: DPF, Schrems II und Cloud Act

Nach dem Schrems-II-Urteil des EuGH aus dem Jahr 2020 war der Datentransfer in die USA jahrelang rechtlich unsicher. Privacy Shield war unwirksam, und Standardvertragsklauseln allein reichten nicht. Seit dem 10. Juli 2023 gibt es einen neuen Angemessenheitsbeschluss der EU-Kommission für das EU-US Data Privacy Framework (DPF). US-Anbieter, die sich im offiziellen Register des US-Handelsministeriums zertifizieren lassen, gelten seitdem als angemessen sicher für EU-Datentransfers. AWS, Google Cloud und Microsoft Azure sind zertifiziert.

Die Nutzung eines DPF-zertifizierten US-Anbieters ist damit rechtlich möglich, setzt aber zwei Dinge voraus: Der konkrete Anbieter muss im DPF-Register eingetragen sein (Zertifizierungen können ablaufen oder entzogen werden, also regelmäßig prüfen), und der AVV nach Art. 28 DSGVO bleibt Pflicht. Der Angemessenheitsbeschluss regelt nur die Übermittlungsgrundlage, nicht den Auftragsverarbeitungsrahmen.

Daneben gibt es den US CLOUD Act, der amerikanischen Behörden unter bestimmten Voraussetzungen ermöglicht, auf Daten bei US-Anbietern zuzugreifen, auch wenn diese in europäischen Rechenzentren liegen. Die Datenschutzkonferenz (DSK) hat dazu im Januar 2023 festgehalten, dass die Nutzung einer europäischen Tochtergesellschaft eines US-Konzerns allein keine Drittlandübermittlung darstellt, empfiehlt aber eine Risikoabwägung nach dem Vorbild der Schrems-II-Transferfolgenabschätzung. Für die meisten kleinen und mittleren Unternehmen mit Standarddaten (keine sensiblen Kategorien nach Art. 9 DSGVO) fällt diese Abwägung vertretbar aus, wenn technische Maßnahmen wie clientseitige Verschlüsselung den praktischen Zugriff erheblich einschränken. Die Anwendungshinweise der DSK zum DPF erläutern das im Detail.

Die einfachere Wahl bleibt ein Anbieter mit Rechenzentrum in Deutschland oder einem anderen EWR-Staat. Das eliminiert die Frage nach Drittlandübermittlung und senkt den Dokumentationsaufwand erheblich.

Verschlüsselung und Schlüsselmanagement

Kurz gesagt: Art. 32 DSGVO nennt Verschlüsselung ausdrücklich als Beispiel für eine angemessene Schutzmaßnahme. Das BSI empfiehlt in der TR-02102-1 (Version 2026-01) AES-256 für langfristig schützenswerte Daten und TLS 1.3 für die Übertragung.

Art. 32 Abs. 1 Buchstabe a DSGVO verlangt Maßnahmen, die dem Risiko angemessen sind. Zu den dort ausdrücklich genannten Beispielen zählt die Pseudonymisierung und Verschlüsselung. Konkrete Algorithmen oder Schlüssellängen schreibt die Verordnung nicht vor. Das verweist auf anerkannte Standards, und die maßgebliche deutsche Referenz ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Für symmetrische Verschlüsselung empfiehlt das BSI in seiner Technischen Richtlinie TR-02102-1 AES als Verfahren. AES-128 gilt für mittelfristigen Schutz, AES-256 für langfristig schützenswerte Daten, also genau für Backups, die möglicherweise Jahre aufbewahrt werden. Für die Übertragung gilt TLS 1.2 als Untergrenze, TLS 1.3 als aktueller Stand. TLS 1.0 und 1.1 gelten als unsicher und sollten deaktiviert sein.

Schlüsselmanagement: der unterschätzte Punkt

Wichtiger als der Algorithmus ist oft die Frage, wo der Verschlüsselungsschlüssel liegt. Wer den Backup-Dienst die Daten verschlüsseln lässt und den Schlüssel beim selben Anbieter belässt, hat kein unabhängiges Schutzniveau geschaffen. Der Anbieter kann im Zweifel beides entschlüsseln. Sicherere Praxis ist clientseitige Verschlüsselung: Der Schlüssel liegt ausschließlich auf Ihrer Seite, der Backup-Anbieter sieht nur verschlüsselte Blöcke. Das schützt auch beim Zugriff Dritter auf die Infrastruktur des Anbieters.

Gegen Ransomware hilft das 3-2-1-Prinzip: drei Kopien, auf zwei verschiedenen Medientypen, eine außerhalb des Hauptstandorts. Mindestens eine Kopie sollte offline oder unveränderlich (immutable) sein. Wie ein vollständiges Backup-Konzept technisch aufgebaut wird, erklärt der Ratgeber WordPress-Backup-Strategie: der 3-2-1-Plan für kleine Unternehmen.

Aufbewahrungsfristen und Löschkonzept

Kurz gesagt: Das Speicherbegrenzungsprinzip aus Art. 5 Abs. 1 Buchstabe e DSGVO gilt auch für Backups. Unbefristete Aufbewahrung ist nicht zulässig. Ein schriftliches Löschkonzept ist Teil der Nachweispflicht nach Art. 5 Abs. 2 DSGVO.

Datenschutzrecht und Handelsrecht zeigen hier in verschiedene Richtungen. Aus datenschutzrechtlicher Sicht sollten Backups so kurz wie nötig aufbewahrt werden. Handels- und steuerrechtliche Aufbewahrungspflichten verlangen für Geschäftsbriefe sechs Jahre (§ 257 HGB) und für Buchungsbelege zehn Jahre (§ 257 HGB und § 147 AO). Backups mit buchhalterisch relevanten Daten können unter diese Pflichten fallen.

Der richtige Umgang damit ist keine Abwägung, sondern eine schriftliche Festlegung: Je Datenkategorie wird dokumentiert, wie lange das Backup aufbewahrt wird und warum. Kundendaten aus Kontaktformularen: Löschung nach drei Monaten. Rechnungs- und Bestelldaten: zehn Jahre wegen steuerrechtlicher Pflicht. Diese Begründungen müssen vorliegen, bevor eine Behörde fragt.

Das Recht auf Löschung und Backups

Art. 17 DSGVO gibt betroffenen Personen das Recht, ihre Daten löschen zu lassen. Dieses Recht gilt grundsätzlich auch für Backups. Technisch ist das bei laufenden Sicherungsrotationen oft nicht sofort umsetzbar, und das ist unter bestimmten Bedingungen hinnehmbar. Der EDSA hat in seinen koordinierten Durchsetzungsmaßnahmen 2025 (Abschlussbericht Februar 2026) festgehalten, dass es je nach technischer Ausgestaltung und Risikolage möglicherweise nicht immer ratsam ist, Daten direkt in Backup-Dateien zu verändern oder zu löschen. Aber: Wer eine Löschanfrage erhält, muss sicherstellen, dass die Daten beim nächsten regulären Überschreiben der Sicherung tatsächlich gelöscht werden, und muss diesen Ablauf dokumentieren. Ein Löschkonzept, das Backup-Zyklen und die Behandlung von Löschanfragen innerhalb dieser Zyklen beschreibt, erfüllt diese Anforderung.

Das Backup im Verzeichnis der Verarbeitungstätigkeiten

Kurz gesagt: Das Backup gehört in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Die Ausnahme für Unternehmen unter 250 Mitarbeiter greift in der Praxis kaum, weil schon eine normale Unternehmenswebsite mit Kontaktformular oder ein kleiner Onlineshop die Ausnahmevoraussetzungen nicht erfüllt.

Art. 30 Abs. 5 DSGVO nimmt Unternehmen mit weniger als 250 Beschäftigten formal von der Verzeichnispflicht aus. Die Ausnahme greift aber nicht, wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, nicht nur gelegentlich erfolgt oder besondere Datenkategorien nach Art. 9 DSGVO umfasst. Wer regelmäßig Kundendaten, Bestelldaten oder Mitarbeiterdaten verarbeitet, muss das Verzeichnis führen. Das trifft praktisch alle Unternehmen, die eine Website mit Kontaktformular betreiben.

Folgende Punkte sollten zum Backup im Verzeichnis abgedeckt sein:

  • Zweck der Verarbeitung (Datensicherung zur Wiederherstellung nach Ausfall)
  • Kategorien der gesicherten personenbezogenen Daten
  • Aufbewahrungsfristen je Datenkategorie
  • Technische und organisatorische Maßnahmen (Verschlüsselung, Zugriffskontrolle)
  • Empfänger: der Backup-Anbieter als Auftragsverarbeiter mit AVV
  • Bei US-Anbietern: Übermittlungsgrundlage (DPF-Zertifizierung oder SCC)

Aus der Praxis: drei typische Versäumnisse

In Projekten, die wir technisch begleiten oder übernehmen, tauchen drei Muster immer wieder auf:

Kein AVV mit dem Hosting-Anbieter, der Backups erstellt. Viele All-Inclusive-Hosting-Pakete bei all-inkl.com, Strato oder IONOS enthalten automatische tägliche Backups. Technisch praktisch, datenschutzrechtlich aber nur sauber, wenn ein AVV abgeschlossen wurde. Die Anbieter stellen diesen bereit, aber der Abschluss passiert nicht automatisch. Wer das nie aktiv gemacht hat, hat mit hoher Wahrscheinlichkeit diese Lücke.

Backup-Plugin mit S3-Speicher in US-Region ohne Transfer-Grundlage. UpdraftPlus, BackWPup und ähnliche WordPress-Plugins lassen sich an Amazon S3 oder Google Cloud Storage anbinden. Die Standardregion bei AWS ist oft us-east-1. Wer das Plugin einrichtet und dabei nur auf die technische Funktion schaut, speichert personenbezogene Daten in den USA ohne AVV, ohne DPF-Prüfung und ohne Übermittlungsgrundlage. Die korrekte Lösung: EU-Region explizit wählen (z. B. eu-central-1 bei AWS Frankfurt), AVV mit dem Anbieter abschließen, und wenn ein US-Anbieter genutzt wird: DPF-Zertifizierung verifizieren.

Backup-Konzept aus 2019 ohne Aktualisierung. Nach dem Schrems-II-Urteil 2020 und dem EU-US-DPF-Angemessenheitsbeschluss 2023 hat sich die Rechtslage für Drittlandübermittlungen zweimal grundlegend verändert. Wer sein Backup-Konzept und den AVV seit 2019 nicht angepasst hat, dokumentiert eine Rechtslage, die so nicht mehr gilt. Das ist eine nachweisbare Lücke, die bei einer Prüfung sofort auffällt. Was zu tun ist, wenn die Website oder der Onlineshop nach einem Totalausfall wiederhergestellt werden muss, erklärt der Ratgeber Disaster Recovery: der Notfallplan wenn die Website komplett ausfällt.

Sofort-Checkliste: DSGVO-Backup auf einen Blick

Diese Punkte können Sie heute selbst durchgehen. Sie ersetzen keine vollständige Datenschutzprüfung, zeigen aber schnell, wo Lücken sind.

  • Wissen Sie, wo Ihre Backups physisch gespeichert werden (Rechenzentrumsstandort des Anbieters)?
  • Haben Sie mit Ihrem Backup-Anbieter einen aktuellen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen?
  • Sind die im AVV genannten Unterauftragsverarbeiter bekannt und geprüft?
  • Liegt der Backup-Speicherort im EWR, oder haben Sie bei US-Anbietern die DPF-Zertifizierung im Register verifiziert?
  • Sind die Backup-Daten verschlüsselt (mindestens AES-256 im Ruhezustand, TLS 1.3 für die Übertragung)?
  • Liegt der Verschlüsselungsschlüssel getrennt vom Backup-Speicher, idealerweise auf Ihrer Seite?
  • Gibt es ein schriftliches Löschkonzept, das Aufbewahrungsfristen je Datenkategorie festlegt?
  • Ist dokumentiert, wie mit Löschanfragen nach Art. 17 DSGVO in laufenden Backup-Zyklen umgegangen wird?
  • Ist das Backup im Verzeichnis der Verarbeitungstätigkeiten eingetragen, inklusive Zweck, Datenkategorien und technischer Maßnahmen?
  • Ist das Backup-Konzept nach dem EU-US-DPF-Angemessenheitsbeschluss (2023) und nach dem aktuellen AVV auf den neuesten Stand gebracht?
DSGVO-Schnellcheck für Ihre Website

Prüfen Sie in zwei Minuten, ob Ihre Website die wichtigsten DSGVO-Anforderungen erfüllt, inklusive Hinweis auf den Backup-Anbieter.

Wir prüfen von außen, welche externen Dienste Ihre Startseite einbindet. Keine Anmeldung, keine Speicherung.
Das Wichtigste zum Mitnehmen

  • Ein Backup unterliegt denselben DSGVO-Pflichten wie die Produktivdaten: Verschlüsselung, AVV und Löschkonzept eingeschlossen.
  • Jeder externe Backup-Dienst braucht einen AVV nach Art. 28 DSGVO. Fehlende Verträge werden von Aufsichtsbehörden aktiv beanstandet, auch ohne Datenpanne.
  • Backups in EU/EWR-Rechenzentren sind mit AVV rechtlich unkompliziert. US-Anbieter sind mit DPF-Zertifizierung zulässig, erfordern aber Zusatzprüfung und mehr Dokumentation.
  • AES-256 im Ruhezustand, TLS 1.3 für die Übertragung und ein getrenntes Schlüsselmanagement sind der Stand der Technik nach Art. 32 DSGVO und BSI TR-02102-1.

Häufige Fragen

Muss ich meinen Hosting-Anbieter als Auftragsverarbeiter für Backups benennen?

Ja, wenn der Hosting-Anbieter im Rahmen seines Dienstes automatische Backups erstellt und damit technisch auf Ihre Daten zugreifen kann. Das gilt für Managed-Hosting-Pakete genauso wie für dedizierte Backup-Dienste. Der AVV sollte explizit das Backup als Verarbeitungsgegenstand benennen.

Darf ich Amazon S3 oder Google Cloud Storage für WordPress-Backups nutzen?

Ja, unter Bedingungen. AWS und Google Cloud sind unter dem EU-US Data Privacy Framework zertifiziert. Sie müssen die DPF-Zertifizierung im Register des US-Handelsministeriums verifizieren, einen AVV nach Art. 28 DSGVO abschließen und explizit eine EU-Region wählen (z. B. eu-central-1 bei AWS Frankfurt). Das passiert nicht automatisch: Plugins wie UpdraftPlus setzen oft eine US-Region als Standard.

Wie lange muss ich ein Website-Backup aufbewahren?

Eine gesetzlich festgelegte Backup-Aufbewahrungspflicht gibt es nicht. Maßgeblich ist Art. 5 Abs. 1 Buchstabe e DSGVO: so kurz wie der Zweck es erlaubt. Als Orientierung: Reine Wiederherstellungs-Backups von Website-Dateien ohne steuerrelevante Daten können auf 30 bis 90 Tage begrenzt werden. Backups, die Rechnungs- oder Bestelldaten enthalten, können wegen der steuerrechtlichen Aufbewahrungspflichten von zehn Jahren länger vorgehalten werden. Das muss im Löschkonzept begründet sein.

Was ist, wenn ein Kunde die Löschung seiner Daten verlangt und diese noch in alten Backups sind?

Sie müssen nicht das Backup sofort aufbrechen und einzelne Datensätze herausoperieren. Das wäre technisch oft nicht möglich, ohne die Integrität der Sicherung zu gefährden. Die anerkannte Praxis: Löschanfrage dokumentieren und sicherstellen, dass die Daten beim nächsten regulären Überschreiben des Backups gelöscht werden. Diesen Ablauf müssen Sie nachweisbar dokumentieren.

Reicht ein AVV mit dem Hosting-Anbieter, oder brauche ich einen separaten für das Backup-Plugin?

Das kommt auf die Architektur an. Wenn das Backup-Plugin Daten an einen eigenen externen Speicher überträgt (z. B. S3, Dropbox, Google Drive), ist dieser Speicherdienst ein eigener Auftragsverarbeiter und braucht einen eigenen AVV. Der AVV mit dem Hosting-Anbieter deckt nur die Daten ab, die auf dessen Infrastruktur verbleiben.

Muss das Backup in meiner Datenschutzerklärung erwähnt werden?

Nicht zwingend als eigener Abschnitt, aber der Backup-Anbieter sollte als Empfänger oder Kategorie von Empfängern dort erscheinen, wenn er als Auftragsverarbeiter technisch auf personenbezogene Daten zugreifen kann. Betroffene Personen haben nach Art. 13 und 14 DSGVO ein Recht auf Transparenz über die Verarbeitungskette. Mehr zur datenschutzkonformen Gestaltung der gesamten Website erklärt der Ratgeber DSGVO-konforme Website ohne Abmahnangst.