剣 KENSAI
← All posts · security · 2026-01-01 · 4 min

DSGVO-Sicherheitstests und Schwachstellenbewertung

Artikel 32 der DSGVO verlangt eine „regelmäßige Prüfung, Beurteilung und Bewertung“ von Sicherheitsmaßnahmen. Schwachstellenbewertungen und Penetrationstests sind die wichtigsten technischen Mechanismen, um dies nachzuweisen. KENSAI hilft Ihnen, kontinuierliche Sicherheitstests in Ihr DSGVO-Compliance-Programm zu integrieren.

DSGVO-Sicherheitsbewertung starten → Buchen Sie eine Demo

DSGVO Artikel 32: Das Sicherheitstestmandat

Artikel 32 der DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern, „geeignete technische und organisatorische Maßnahmen“ zu ergreifen, um eine dem Risiko angemessene Sicherheit zu gewährleisten. Entscheidend ist, dass darin ausdrücklich Folgendes enthalten ist:

Artikel 32 Absatz 1 Buchstabe d – Regelmäßige Tests

„...ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“Dies ist das klarste Mandat der DSGVO für die Schwachstellenbewertung und Sicherheitstests.

Artikel 32 Absatz 1 Buchstabe b – Integrität und Vertraulichkeit

Stellen Sie die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme sicher. Das Schwachstellenmanagement unterstützt dies unmittelbar, indem es Schwachstellen identifiziert, bevor diese ausgenutzt werden können.

Artikel 25 – Datenschutz durch Technikgestaltung

Sicherheit muss von Anfang an verankert sein. Sicherheitstests in Entwicklungspipelines (SAST, DAST) demonstrieren die Grundsätze des Datenschutzes durch Technikgestaltung.

🚨 Die Kosten unzureichender Sicherheitstests

Meta wurde mit einer Geldstrafe von 1,2 Milliarden Euro (2023) belegt, Amazon mit 746 Millionen Euro und WhatsApp mit 225 Millionen Euro. Bei vielen Maßnahmen zur Durchsetzung der DSGVO wird darauf hingewiesen, dass keine angemessenen Sicherheitsmaßnahmen implementiert wurden, einschließlich eines unzureichenden Schwachstellenmanagements. Das irische DPC, die CNIL und die nationalen Behörden haben allesamt technische Sicherheitsmängel als erschwerende Faktoren bei der Bußgeldberechnung angeführt. Nach der DSGVO können Bußgelder bis zu 4 % des weltweiten Jahresumsatzes betragen.

Zuordnung von Sicherheitstests zur DSGVO-Verantwortung

Der Rechenschaftsgrundsatz der DSGVO (Artikel 5 Absatz 2) verlangt, dass die Verantwortlichen die Einhaltung nachweisen. Sicherheitstests erstellen den Prüfpfad, der die Wirksamkeit Ihres Sicherheitsprogramms nachweist:

DSGVO-PrinzipWie Sicherheitstests dies unterstützen
Integrität und Vertraulichkeit (Art. 5(1)(f))Das Scannen auf Schwachstellen identifiziert Schwachstellen in den Datenschutzkontrollen
Regelmäßige Tests (Art. 32(1)(d))Der dokumentierte Scan-Zeitplan und die Ergebnisse zeigen das laufende Testprogramm
Rechenschaftspflicht (Art. 5 Abs. 2)Korrekturaufzeichnungen belegen ein reaktionsfähiges Sicherheitsmanagement
Risikobasierter Ansatz (Art. 32 Abs. 1)CVSS-Bewertung + Geschäftskontext zeigt risikoproportionale Sicherheit
Verhinderung von Datenschutzverletzungen (Art. 33-34)Proaktives Schwachstellenmanagement reduziert die Wahrscheinlichkeit von Sicherheitsverletzungen

Besondere Überlegungen für personenbezogene Daten mit hohem Risiko

Die DSGVO verfolgt einen risikobasierten Ansatz – die Sicherheitsanforderungen wachsen mit der Sensibilität der verarbeiteten Daten. Kategorien mit höherem Risiko erfordern strengere Tests:

Wie KENSAI die Einhaltung der DSGVO unterstützt

✓ Artikel 32 Beweiserstellung

Automatisierte Berichte, die Ihr regelmäßiges Testprogramm dokumentieren – mit Zeitstempel versehen, umfassend und prüfungsbereit für DPA-Untersuchungen.

✓ Erkennung des persönlichen Datenspeichers

Identifiziert Systeme und Datenbanken, die möglicherweise personenbezogene Daten enthalten, und priorisiert Sicherheitstests basierend auf der Datensensibilität.

✓ Reduzierung des Risikos von Sicherheitsverletzungen

Das Auffinden und Beheben von Schwachstellen vor der Ausnutzung verringert direkt die Wahrscheinlichkeit von Datenschutzverstößen, die gemäß Artikel 33 meldepflichtig sind.

✓ Bewertung von Drittanbietern

Bewerten Sie die Sicherheitslage von Datenverarbeitern – erfüllen Sie Ihre Sorgfaltspflichten gemäß Artikel 28 bei der Auswahl von Datenverarbeitern.

✓ Verschlüsselungsvalidierung

Überprüft, ob personenbezogene Daten während der Übertragung ordnungsgemäß verschlüsselt werden, und identifiziert Systeme, die schwache oder fehlerhafte Kryptografie verwenden.

✓ DPIA-Unterstützung

Die Ergebnisse der Sicherheitsbewertung werden in Datenschutz-Folgenabschätzungen integriert und liefern die gemäß Artikel 35 erforderliche technische Risikoanalyse.

Aufbau eines DSGVO-konformen Sicherheitstestprogramms

  1. Ordnen Sie die Verarbeitung Ihrer personenbezogenen Daten zu:Das Protokoll der Verarbeitungsaktivitäten (RoPA) gemäß Artikel 30 definiert, welche Systeme getestet werden müssen
  2. Risikoklassifizierung:Bewerten Sie die Empfindlichkeit der Daten in jedem System, um die Testhäufigkeit und -tiefe zu kalibrieren
  3. Testplan definieren:Dokumentieren Sie Ihren regelmäßigen Testrhythmus – dies ist der „Prozess“, den Artikel 32(1)(d) erfordert
  4. Ausführen und dokumentieren:Führen Sie Scans durch, erfassen Sie Ergebnisse, korrigieren Sie sie und bewahren Sie Aufzeichnungen mindestens für die EU-Datenaufbewahrungsfrist auf
  5. Jährlicher Penetrationstest:Zumindest für Systeme, die Daten besonderer Kategorien verarbeiten
  6. Bewertung der Lieferantensicherheit:Beziehen Sie die Prozessorsicherheit in Ihre Verarbeitungsvereinbarungen und Due Diligence gemäß Artikel 28 ein

Nachweis der Einhaltung von Artikel 32 der DSGVO

KENSAI bietet die kontinuierlichen Sicherheitstests und Dokumentationen, die erforderlich sind, um den Datenschutzbehörden die Einhaltung von Artikel 32 der DSGVO nachzuweisen. Vermeiden Sie Durchsetzungsmaßnahmen, indem Sie proaktive Sicherheitstests durchführen.

Starten Sie den DSGVO-Sicherheitstest → Sprechen Sie mit einem DSGVO-Experten

Verwandte Artikel