Mittwoch, 1. März 2017

Ist mit einem Pentester eine Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG notwendig

yourIT aus Hechingen ist im Bereich Datenschutz & Informationssicherheit als Dienstleister und Berater tätig. Das IT-Systemhaus mit dem Slogan "Security in everything we do" bietet seinen Kunden unter anderem professionelle Schwachstellenanalysen und Penetrationstests an. Hierzu wurden und werden deutschlandweit Systemhaus-Partner aufgebaut, die eine Versorgung mit gleichbleibender Qualität im gesamten Bundesgebiet sicherstellen können.


Folgende interessante Frage wurde von einem Partner an yourIT herangetragen:


"Muss mit einem externen Dienstleister, der im Auftrag einen Pentest durchführen soll, ein Vertrag nach §11 Bundesdatenschutzgesetz (BDSG) bzw. Artikel 28 Abs. 3 EU-Datenschutzgrundverordnung (EU-DSGVO) geschlossen werden? Es werden an den Auftragsdatenverarbeiter (neu: Auftragsverarbeiter) ja eigentlich keine personenbezogenen Daten geliefert, wenn man jetzt von den Kontaktdaten zum Audit absieht.

Muss für solche Dienstleistungen ein § 11 Vertrag geschlossen werden, oder ist hier eine Verschwiegenheitserklärung sinnvoller.

Es wird ja kein Auftrag erteilt zum verarbeiten der Daten, sondern zur Prüfung der Systeme."

yourIT bietet eine breite Palette an Dienstleistungen und Beratungen im Bereich Datenschutz & Informationssicherheit
yourIT bietet eine breite Palette an Dienstleistungen und Beratungen im Bereich Datenschutz & Informationssicherheit

Und hier die Antwort von yourIT:


Wir möchten gerne voranstellen, dass zur sicheren Durchführung von Schwachstellenanalysen und Penetrationstests (Pentests) unbedingt ein sauberes und durchdachtes Vertragswerk notwendig ist. Ohne eine vom Verantwortlichen des Auftraggebers unterzeichnete "Permission to Attack" darf z.B. kein Audit stattfinden.

Wir geben Ihnen Recht: Bis auf die Kontaktdaten zum Audit werden augenscheinlich keine personenbezogenen Daten an den Pentester geliefert. Aber: Im Verlauf des Audits kann es vorkommen, dass der Auditor oder Pentester Zugriff auf personenbezogene Daten bekommt, wenn er in die Systeme eindringen kann. Das ist ja auch sein Auftrag Schwachstellen zu finden.

Zur Klärung der obigen Fragestellung gibt es den § 11 Absatz 5 BDSG: „Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“

Wir empfehlen den zusätzlichen Abschluss einer Verschwiegenheitserklärung (Non-Disclosure-Vereinbarung) für die Wahrung von Betriebs- und Geschäftsgeheimnissen etc.

yourIT - Wir auditieren und zertifizieren Pentester


Achtung: Die §11-Zertifizierung durch unser Beratungsunternehemen ist im Jahr 2017 förderfähig! Holen Sie sich bis zu 1.500 EUR FördermittelMehr zu diesem und unseren anderen staatlich geförderten Beratungspaketen haben wir auf einer eigenen Website zusammengestellt: http://www.mITgroup.eu


Bonus für mittelständische Pentester - Jetzt Fördermittel nutzen!


Die yourIT-§-11-Zertifizierung für mittelständische Unternehmen - sponsored by ESF

Um die Wettbewerbsfähigkeit mittelständischer Unternehmen zu steigern, stehen für Beratungsprojekte wie z.B. die §-11-Zertifizierung Fördergelder des Europäischen Sozialfonds bereit. Handeln Sie jetzt! Nähere Infos hierzu finden Sie hier.

Die §11-Zertifizierung bieten wir erfolgreich bundesweit an. Unsere Methodik und modernste Technik ermöglicht es uns in den meisten Fällen, das Audit schnell und unkompliziert auch ohne vor-Ort-Termin durchzuführen. Ihr Auftraggeber sollte nicht unnötig warten müssen, oder?

Ich freue mich auf Ihre Projektanfragen.

Ihr Thomas Ströbele

Thomas Ströbele