Ist ein Penetrationstest eine Auftragsverarbeitung?
Frage der rechtlichen Einordnung als Auftragsverarbeitung bei Sicherheitstests
Es stellt sich regelmäßig die Frage, ob sogenannte „Penetrationstests“ als Auftragsverarbeitung zu werten sind. Nach der Rechtslage sind geeignete technische und organisatorische Maßnahmen zum Schutz der Daten seitens Verantwortlicher zu ergreifen und diese auch zu dokumentieren. Die Aufsichtsbehörde bezieht sich hierbei auch ausdrücklich auf die Vorschrift des Artikels 5 Absatz 1, Absatz 2 DSGVO. Die Vorschrift korrespondiert mit Artikel 32 DSGVO und auch mit dem betroffene Personen schützenden Artikel 25 der DatenschutzGrundverordnung. Artikel 25 legt Prinzipien fest, wie personenbezogene Datenverarbeitung zum Schutz des Einzelnen gestaltet sein muss und welche Voreinstellungen vorzunehmen sind. Die Vorschrift des Artikels 32, die nicht auf den Schutz des Einzelnen, sondern die Systemsicherheit bezogen ist, präzisiert zu ergreifende Maßnahmen. Artikel 32 Absatz 1 Buchstabe d) Datenschutz-Grundverordnung sieht neben der Implementierung und Durchführung technischer und organisatorischer Maßnahmen in Bezug auf die Verfügbarkeit, Vertraulichkeit und Integrität der Systeme vor, dass die tatsächliche Wirksamkeit der Maßnahmen durch geeignete Verfahren nachzuweisen sind. Somit wäre als Zwischenergebnis festzuhalten, dass sogenannte „Penetrationstests“, also Verfahren mit denen gezielt ein Angriff auf IT-Systeme und Anwendungen zum Zweck der Identifizierung von Schwachstellen der Systeminfrastruktur erfolgt, ausdrücklich auf Vorschriften der Datenschutz-Grundverordnung gestützt werden können.
Pflichten Verantwortlicher und Auftragsverarbeiter
Hinzuzufügen ist, dass neben der bloßen Identifikation von Sicherheitslücken bei komplexen IT-Systemstrukturen gegebenenfalls erst hierdurch Maßnahmen zur Erhöhung der technischen Sicherheit sowie in personeller und organisatorischer Hinsicht entwickelt werden können. Zusätzlich zu den technischen Eingriffen, internen und externen Zugriffen, die durch Penetrationstests erfolgen, können auch Maßnahmen durchgeführt werden, um die Einhaltung von Sicherheitsrichtlinien und das Sicherheitsbewusstsein der Beschäftigten zu prüfen, sogenannte „Social Engineering-Tests“. Aufgrund durchgeführter Testmaßnahmen besteht, je nach Auftrag, die Möglichkeit, dass seitens eines Auftragnehmers, der die Tests durchführt, personenbezogene Daten erlangt, ausgelesen oder auf irgendeine Weise verarbeitet werden. Ist dies nicht auszuschließen, wird dem Verantwortlichen geraten, den Auftragnehmer im Wege einer Auftragsverarbeitung zu binden, so dass dieser rechtlich nicht als Dritter handelt und der Auftraggeber Herr der Daten bleibt. Auch wenn Penetrationstests in der Praxis, wie zuvor dargestellt, durchaus gesetzlichen Zwecken dienen, bestehen im Bezug auf personenbezogene Datenerhebungen durch den Auftragnehmer und Datenübermittlungen an diesen, auch zum Zweck der Durchführung der Analysen, dagegen Vorbehalte.
Bei der Auftragsverarbeitung handelt es sich eigentlich um eine vertragliche technische Hilfsdienstleistung, die die Verwahrung, die Pflege, das Einsammeln oder eine sonstige personenbezogene Datenverarbeitung zum Hauptgegenstand hat. Zudem ist der Auftragnehmer weisungsgebunden und der Auftraggeber steuert weiterhin die Datenverarbeitung und bestimmt sie inhaltlich. Bei Wartungsverträgen und Penetrationstests ist die Verarbeitung der personenbezogenen Daten eigentlich nicht Kern des Vertrags. Gleichwohl weiß der Auftraggeber von der Möglichkeit der Offenlegung und beauftragt quasi „mit bedingtem Vorsatz“. es ist deshalb interessengerecht und erforderlich, den Auftragnehmer für den Fall der Kenntnisnahme personenbezogener Daten aus dem Bereich des Auftraggebers zu binden, wie bei einer Auftragsverarbeitung.
In der praktischen Umsetzung wir empfohlen, einen ergänzenden Standard-Auftragsverarbeitungsvertrag zu verwenden, der auf den Hauptvertrag referenzieren kann. Vertraglich sollte darin konkret festgelegt sein, wie mit personenbezogenen Daten, für den erwartbaren oder unerwarteten Fall, dass diese aus der Sphäre des Auftraggebers empfangen oder offengelegt werden, nach Weisung des Auftraggebers umgegangen wird bzw. dass die Informationen nach Abschluss der Testmaßnahmen und Berichterstattung gegenüber dem Verantwortlichen übergeben oder ordnungsgemäß gelöscht werden.
Quelle: Der sächsische Datenschutzbeauftragte
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks