THE COMPLIÄNCE - Consulting Team by yourIT

Hier bloggen wir als #THECOMPLIÄNCE. Seit über 18 Jahren ist unser Team für Sie tätig als Berater, Implementer, Auditor, Trainer sowie als externer Beauftragter in den Bereichen Cybersecurity (NIS2), Datenschutz (EU-DSGVO) & Informationssicherheit (ISO 27001). Unsere Kunden sind u.a. mittelständische und Konzern-Unternehmen in verschiedenen Branchen wie Maschinenbau, Medizintechnik, Lebensmittel, etc. Dabei nutzen wir sofern möglich die Ihrem Unternehmen zustehenden Fördermittel.

Dienstag, 16. Januar 2024

Ist mit einem Pentester eine Vereinbarung zur Auftragsverarbeitung erforderlich

"securITy in everything we do" so lautet der Leitgedanke von yourIT. Wir bieten Kunden unter anderem professionelle Schwachstellenanalysen und Penetrationstests an. Hierzu wurden und werden deutschlandweit Systemhaus-Partner aufgebaut, die eine Versorgung mit gleichbleibender Qualität im gesamten Bundesgebiet sicherstellen können.

Team von Pentestern bei der Arbeit in einem modernen weißen Büro, fokussiert auf ihre Monitore mit Cybersecurity-Tools, repräsentativ für Professionalität und Teamarbeit im Bereich Informationssicherheit.

Sind Pentester Auftragsverarbeiter gemäß EU-DSGVO?

Folgende interessante Frage wurde von einem Partner an yourIT herangetragen:

"Muss mit einem externen Dienstleister, der im Auftrag einen Pentest durchführen soll, eine Vereinbarung zur Auftragsverarbeitung gemäß Artikel 28 Abs. 3 EU-Datenschutzgrundverordnung (EU-DSGVO) geschlossen werden? Es werden an den Pentester ja eigentlich keine personenbezogenen Daten geliefert, wenn man mal von den Kontaktdaten zum Audit absieht - oder ist hier eine Verschwiegenheitserklärung sinnvoller. Es wird ja kein Auftrag erteilt zum verarbeiten der Daten, sondern zur Prüfung der Systeme."

Und hier die Antwort von unserem yourIT-Consulting-Team:

In der Welt des Datenschutzes und der Informationssicherheit sind Penetrationstests (Pentests) ein wesentliches Instrument zur Identifikation von Schwachstellen in IT-Systemen.

Dabei stellt sich oft die Frage: Sind Penetrationstests als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (EU-DSGVO) zu betrachten? Dieser Beitrag soll Licht ins Dunkel bringen und erläutern, warum und wie Penetrationstests unter die Regelungen der DSGVO fallen können.

Grundlagen der DSGVO in Bezug auf Penetrationstests

Die DSGVO verlangt von Unternehmen, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen (Artikel 5 und 32 DSGVO). Penetrationstests spielen hier eine zentrale Rolle, da sie systematisch Schwachstellen in der IT-Infrastruktur aufdecken. Die Durchführung solcher Tests kann auf die Vorschriften der DSGVO gestützt werden, insbesondere im Hinblick auf die Gewährleistung der Systemsicherheit.

Penetrationstests und Auftragsverarbeitung

Wenn ein externer Dienstleister für Penetrationstests beauftragt wird, kann es vorkommen, dass dieser im Zuge seiner Tests Zugang zu personenbezogenen Daten erhält. In einem solchen Szenario empfiehlt es sich, den Dienstleister im Rahmen einer Auftragsverarbeitung zu binden. Dies stellt sicher, dass der Dienstleister rechtlich nicht als Dritter agiert und der Auftraggeber die Kontrolle über die Daten behält.

Vertragsgestaltung und Datenschutz

Obwohl Penetrationstests an sich nicht primär auf die Verarbeitung personenbezogener Daten abzielen, ist die Möglichkeit der Datenoffenlegung nicht auszuschließen. Deshalb ist es ratsam, vertragliche Regelungen zu treffen, die den Umgang mit personenbezogenen Daten im Falle ihrer Offenlegung klar definieren. Es empfiehlt sich, einen Standard-Auftragsverarbeitungsvertrag zu nutzen, der auf den Hauptvertrag Bezug nimmt und spezifische Anweisungen zum Umgang mit personenbezogenen Daten enthält.

Praktische Umsetzung

In der Praxis sollten Unternehmen bei der Beauftragung von Penetrationstests folgende Aspekte beachten:

Klare Vertragsbedingungen: Festlegen, wie mit personenbezogenen Daten umgegangen wird, sowohl im erwartbaren als auch im unerwarteten Fall ihrer Offenlegung.
Weisungsbefugnis: Sicherstellen, dass der Auftragnehmer Anweisungen des Auftraggebers bezüglich der Datenverarbeitung folgt.
Sichere Datenübermittlung: Die Übertragung des Beratungsberichts mit den Ergebnissen des Pentests muss auf einem sicheren Weg erfolgen.
Datenschutzkonforme Löschung: Vereinbarungen über die Übergabe oder Löschung von Daten nach Abschluss der Tests.

Fazit

Penetrationstests sind ein wichtiger Bestandteil der IT-Sicherheitsstrategie eines Unternehmens und können unter den Rahmen der DSGVO fallen, insbesondere wenn sie von externen Dienstleistern durchgeführt werden. Eine sorgfältige Vertragsgestaltung und eine klare Definition der Rollen und Verantwortlichkeiten sind entscheidend, um die Datenschutzkonformität dieser Tests zu gewährleisten. Unternehmen sollten sich daher bewusst sein, dass der korrekte Umgang mit Penetrationstests nicht nur ein technisches, sondern auch ein rechtliches Thema ist.

Möchten auch Sie gerne eine Schwachstellenanalyse durchgeführt haben?

Jetzt Kontakt aufnehmen

Seiten