Pentest, Datenschutz und EU-DSGVO

Pentests sind wichtige Compliance-Maßnahmen

Art. 32 DSGVO formuliert strengere gesetzliche Bestimmungen als bisher in Art. 9 BDSG enthalten waren. Mit der Nachweispflicht sind jedoch nun völlig neue Verpflichtungen für Betreiber technischer Anlagen hinzugekommen. Die Durchführung von Penetrationstests ist eine Möglichkeit, diese Beweislast zu erfüllen.

Verpflichtung zu TOMs: Die DSGVO definiert zunächst in Art. 5 Abs. 1 lit. f die Verpflichtung zur Durchführung geeigneter technischer und organisatorischer Maßnahmen (TOMs) zum Schutz der Daten („Integrität und Vertraulichkeit“). Darüber hinaus legt Art. 25 DSGVO („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) Grundsätze fest, wie die Verarbeitung gestaltet werden muss („Datenschutz durch Design“) und welche Voreinstellungen vorzunehmen sind („Datenschutz standardmäßig“).

Verpflichtung zum Nachweis: Jetzt wird’s interessant, denn neben der reinen Umsetzung der TOMs muss die Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen nun auch in Zukunft durch geeignete Verfahren nachgewiesen werden.
Diese Verordnung ist neu und verpflichtet die Betreiber technischer Systeme, Folgendes einzuführen:

„ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
(Art. 32 Abs. 1 lit. d)