Auftragsverarbeitung und Rechtsgrundlagen für Pentests
In Zeiten rasant gestiegener Fallzahlen von Cyberkriminalität wird für Unternehmen das Thema IT-Sicherheit immer wichtiger. Dabei spielt nicht nur das Ergreifen technischer Schutzmaßnahmen vor unberechtigten Systemzugriffen und Datenabflüssen oder -manipulationen eine zentrale Rolle, die getroffenen Maßnahmen müssen auch regelmäßig evaluiert werden (vgl. Art. 32 Abs. 1 lit. d DSGVO). Eine sinnvolle Maßnahme kann hierfür die Durchführung eines Penetrationtests darstellen, d.h eines Sicherheitstestes einzelner ganzer Netzwerke und Systeme oder bestimmter Teilbereiche hiervon. Durchgeführt werden Penetrationtests zumeist von externen Dienstleistern. Dabei nimmt der Penetrationtester typischerweise die Perspektive eines potentiellen Hackers ein, der versucht, z.B. Schwachstellen aufzuspüren und darüber Systemzugriff zu erhalten oder die Funktionsfähigkeit des Systems zu beeinträchtigen. Die aufgedeckten Schwachstellen können dann im besten Fall zeitnah geschlossen werden. Denkbar ist auch, dass im Rahmen des Penetrationtests u.a. gezielte Phishing-Attacken gestartet werden, um über die Schwachstelle “Mensch” Systemzugriff zu erhalten.
So sinnvoll dieser Blick von außen auf das IT-System sein kann, bedarf die Durchführung eines solchen Penetrationtests sowohl aus Sicht des Penetrationtesters als auch des Unternehmens einer sorgfältigen Vorbereitung und rechtlichen Prüfung. Nicht nur strafrechtliche Bestimmungen, sondern auch datenschutzrechtliche Vorgaben spielen dabei eine wesentliche Rolle.
Penetrationtesting als Auftragsverarbeitung?
Spätestens, wenn durch den Pentetrationtester ein Systemzugriff, z.B. durch Ausnutzen einer Sicherheitslücke erfolgt, erhält dieser potentiell Zugang zu personenbezogenen Daten, die vom Unternehmen verarbeitet werden. Darüber, ob die Verarbeitung personenbezogener Daten in diesem Fall die vertraglich geschuldete Tätigkeit des Penetrationtesters ist, lässt sich sicher diskutieren. Jedenfalls ist eine Kenntnisnahme und der Umgang mit personenbezogenen Daten im Rahmen eines Penetrationtests in vielen Fällen nicht von vorneherein auszuschließen. Zudem werden Umfang und Grenzen des Penetrationtests im Vorfeld konkret abgesteckt, so dass durchaus auch eine gewisse Weisungsbindung des Penetrationtesters gegenüber dem Unternehmen besteht. Zum Beispiel wird oft vorab festgelegt, auf welche Bereiche der Systeme sich der Test erstrecken soll oder ob nach einem erfolgreichen Systemzugriff der Test abzubrechen ist oder ob auch das Ausweiten der Zugriffsmöglichkeiten im System vom Test umfasst sein soll.
Soll der Penetration nicht nur von außen Sicherheitslücken aufdecken und dokumentieren, sondern diese tatsächlich auch ausnutzen dürfen, z.B. um zu prüfen, ob eine Ausweitung von Zugangsrechten möglich ist, liegt daher eine Auftragsverarbeitung im Sinne von Art. 28, 29 DSGVO vor. Gleiches gilt, wenn Bestandteil des Penetrationtests die Nutzung von E-Mail-Adressen der Beschäftigten zur Simulation einer Phishing-Attacke ist.
Damit muss im Vorfeld des Penetrationtests auch ein Vertrag über die Auftragsverarbeitung – in der Regel als Anlage zum eigentlichen Penetrationtesting-Vertrag – abgeschlossen werden. Professionelle Penetrationtester sollten einen solchen Vertrag, der speziell auf die Situation eines Penetrationtests zugeschnitten ist, anbieten. Dies macht bereits deshalb Sinn, da ansonsten zahlreiche unterschiedliche Vorlagen von Auftragsverarbeitungsverträgen der Kundenunternehmen geprüft und ggf. noch länger individuell verhandelt werden müssten.
Welche datenschutzrechtlichen Erlaubnistatbestände kommen in Betracht?
Daneben muss sich ein Unternehmen, das einen Penetrationtest plant, bei dem ein Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden kann, Gedanken über den datenschutzrechtlich erforderlichen Erlaubnistatbestand für die Datenverarbeitung machen. Hierbei ist zu unterscheiden, ob auch ein Zugriff des Penetrationtesters auf besondere Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO in Betracht kommt oder nicht, also beispielsweise Gesundheitsdaten, Angaben zur Religionszugehörigkeit oder zur rassischen oder ethnischen Herkunft. Ist dies nicht der Fall, z.B. weil der Penetrationtest auf eine Webapp beschränkt ist, über die keine besonderen Kategorien personenbezogener Daten verarbeitet werden, kommen unterschiedliche Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO in Frage.
Zulässigkeit der Verarbeitung nach Art. 6 DSGVO
Zum einen lässt sich argumentieren, dass die Verarbeitung von personenbezogenen Daten im Rahmen eines Penetrationtests erforderlich zur Erfüllung einer rechtlichen Verpflichtung im Sinne von Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 32 Abs. 1 DSGVO ist. Art. 32 Abs. 1 DSGVO verpflichtet verantwortliche Stellen geeignete technisch-organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus bei der Verarbeitung personenbezogener Daten zu treffen. Unter anderem sollen diese Maßnahmen nach Art. 32 Abs. 1 lit. d DSGVO Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Maßnahmen einschließen. Art. 32 Abs. 1 DSGVO enthält zwar keine ausdrückliche Pflicht zur Durchführung eines Penetrationtests, doch ist dieser fraglos mittlerweile ein wesentlicher Baustein eines IT-Sicherheitskonzepts. Ob Art. 32 Abs. 1 DSGVO als Norm, aus der sich die rechtliche Verpflichtung ergeben soll, konkret genug gefasst ist, ist bisher umstritten. Die besseren Argumente sprechen allerdings dafür.
Alternativ kommt die Verarbeitung auf Grund eines berechtigten Interesses im Sinne von Art. 6 Abs. 1 lit. f DSGVO nach einer zu dokumentierenden Interessenabwägung mit den Rechten und Freiheiten der betroffenen Personen in Betracht. Auch insofern lassen sich regelmäßig überwiegende Interessen der verantwortlichen Stelle an der Sicherstellung ihrer IT-Sicherheit begründen. Dabei fällt ins Gewicht, dass die betroffenen Personen (insb. Kunden und Beschäftigte) typischerweise selbst von den Ergebnissen eines Penetrationtests profitieren können, indem dieser gerade zur Verbesserung des Schutzes ihrer personenbezogenen Daten beitragen soll.
Zulässigkeit der Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 2 DSGVO
Was gilt aber, wenn im Rahmen des Penetrationtests auch ein Zugriff auf besondere Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO im Raum steht.
Beide vorstehend geschilderten Erlaubnisnormen finden sich in Art. 9 Abs. 2 DSGVO, der die Ausnahmen vom grundsätzlichen Verarbeitungsverbot besonderer Kategorien personenbezogener Daten regelt, nicht.
Denkbar erscheint lediglich ein Rückgriff auf Art. 9 Abs. 2 lit. g DSGVO i.V.m. § 22 Abs. 1 Ziff. 1 lit. d BDSG. Danach wäre eine Verarbeitung auf Basis einer Rechtsnorm der EU oder eines Mitgliedstaates zulässig, wenn dies aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich wäre. Außerdem muss die Rechtsnorm angemessen im Verhältnis zum verfolgten Ziel sein, den Wesensgehalt des Rechts auf Datenschutz wahren und angemessene und spezifische Maßnahmen zum Schutz der Grundrechte und Interessen der betroffenen Person vorsehen. Eine solche Norm könnte man wiederum in Art. 32 Abs. 1 DSGVO erblicken. Auch der Schutz vor Cyberangriffen kann ein erhebliches öffentliches Interesse darstellen, insbesondere wenn es sich um Unternehmen aus der Bankwirtschaft, der Versicherungsbranche oder auch dem Energiesektor handelt. Im Übrigen dürfte der Gedanke heranzuziehen sein, dass die Einhaltung der DSGVO als Teil der Rechtsordnung und u.a. zum Schutz des allgemeinen Persönlichkeitsrecht erlassenen Rechtsvorschrift, selbst im erheblichen öffentlichen Interesse ist. Ob allerdings die Verarbeitung von personenbezogenen Daten und insbesondere „Art.9-Daten“ zwingend im Sinne von § 22 Abs. 1 Ziff. 1 lit. d BDSG ist, wird sind nur im Einzelfall bewerten lassen.
Dass zudem – selbst wenn man eine Verarbeitung nach Art. 9 Abs. 2 lit. g i.V.m § 22 Abs. 1 Ziff. 1 lit. d für zulässig hält – , angemessene und spezifische Schutzmaßnahmen bei der Durchführung eines Penetrationtests zu treffen sind, ergibt sich aus § 22 Abs. 2 BDSG. Auf Grund der bestehenden Unsicherheit sollte bei der Planung und Durchführung des Penetrationtests soweit technisch und organisatorisch möglich, ein Zugriff auf besondere Kategorien personenbezogener Daten verhindert werden.
Der Autor
Wenn Sie Fragen haben, sprechen Sie mich gerne an oder schreiben einen Kommentar:
Dr. Christian Velten
Fachanwalt für Arbeitsrecht und Datenschutzbeauftragter
Gesellschafter der Datenschutz Mittelhessen GbR
Sie möchten die nächsten Blogartikel nicht verpassen? Dann melden Sie sich zu unserem ibo-Newsletter an!
FAQ
Ein Penetrationstest ist ein Sicherheitstest von Netzwerken, Systemen oder bestimmten Teilbereichen hiervon, um Schwachstellen aufzudecken. Der Tester nimmt dabei die Perspektive eines potenziellen Hackers ein, um Schwachstellen zu identifizieren und möglicherweise Systemzugriff zu erhalten. In Zeiten steigender Cyberkriminalität ist es für Unternehmen wichtig, ihre IT-Sicherheit regelmäßig zu überprüfen und Schwachstellen zeitnah zu schließen. Dazu kann ein Penetrationstest beitragen.
Bei einem Penetrationstest kann der Tester potenziell Zugang zu personenbezogenen Daten erhalten. Daher müssen unter anderem auch datenschutzrechtliche Vorgaben beachtet werden. Wenn der Tester Zugriff auf personenbezogene Daten hat, kann dies als Auftragsverarbeitung im Sinne von Art. 28 und 29 DSGVO betrachtet werden. Vor dem Test muss daher in vielen Fällen ein Vertrag über die Auftragsverarbeitung abgeschlossen werden. Zudem muss das Unternehmen prüfen, welche datenschutzrechtlichen Erlaubnistatbestände für die Datenverarbeitung gelten.
Als Erlaubnistatbestände lassen sich argumentativ sowohl Art. 6 Abs. 1 lit. c i.V.m. Art. 32 DSGVO als auch das berechtigte Interesse im Sinne von Art. 6 Abs. 1 lit. f. DSGVO heranziehen. Wenn im Rahmen des Penetrationstests ein Zugriff auf besondere Kategorien von personenbezogenen Daten (z.B. Gesundheitsdaten oder Angaben zur Religionszugehörigkeit) möglich ist, sind die allgemeinen Erlaubnisnormen aus Art. 6 DSGVO nicht ausreichend. Eine mögliche Rechtsgrundlage könnte sich aber aus der Ausnahmevorschrift des Art. 9 Abs. 2 lit. g DSGVO in Verbindung mit § 22 Abs. 1 Ziff. 1 lit. d BDSG sein. Es ist jedoch ratsam, soweit möglich, einen Zugriff auf solche Daten bei der Durchführung eines Penetrationstests zu verhindern.
Hallo, vielen Dank für den interessanten Artikel. Heute wird es immer wichtiger Heimnetzwerke absichern zu können vor Einbrüchen von Aussen! Gruss