DSGVO-Sicherheitstests und Schwachstellenbewertung
Artikel 32 der DSGVO verlangt eine „regelmäßige Prüfung, Beurteilung und Bewertung“ von Sicherheitsmaßnahmen. Schwachstellenbewertungen und Penetrationstests sind die wichtigsten technischen Mechanismen, um dies nachzuweisen. KENSAI hilft Ihnen, kontinuierliche Sicherheitstests in Ihr DSGVO-Compliance-Programm zu integrieren.
DSGVO-Sicherheitsbewertung starten → Buchen Sie eine DemoDSGVO Artikel 32: Das Sicherheitstestmandat
Artikel 32 der DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern, „geeignete technische und organisatorische Maßnahmen“ zu ergreifen, um eine dem Risiko angemessene Sicherheit zu gewährleisten. Entscheidend ist, dass darin ausdrücklich Folgendes enthalten ist:
„...ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“Dies ist das klarste Mandat der DSGVO für die Schwachstellenbewertung und Sicherheitstests.
Stellen Sie die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme sicher. Das Schwachstellenmanagement unterstützt dies unmittelbar, indem es Schwachstellen identifiziert, bevor diese ausgenutzt werden können.
Sicherheit muss von Anfang an verankert sein. Sicherheitstests in Entwicklungspipelines (SAST, DAST) demonstrieren die Grundsätze des Datenschutzes durch Technikgestaltung.
🚨 Die Kosten unzureichender Sicherheitstests
Meta wurde mit einer Geldstrafe von 1,2 Milliarden Euro (2023) belegt, Amazon mit 746 Millionen Euro und WhatsApp mit 225 Millionen Euro. Bei vielen Maßnahmen zur Durchsetzung der DSGVO wird darauf hingewiesen, dass keine angemessenen Sicherheitsmaßnahmen implementiert wurden, einschließlich eines unzureichenden Schwachstellenmanagements. Das irische DPC, die CNIL und die nationalen Behörden haben allesamt technische Sicherheitsmängel als erschwerende Faktoren bei der Bußgeldberechnung angeführt. Nach der DSGVO können Bußgelder bis zu 4 % des weltweiten Jahresumsatzes betragen.
Zuordnung von Sicherheitstests zur DSGVO-Verantwortung
Der Rechenschaftsgrundsatz der DSGVO (Artikel 5 Absatz 2) verlangt, dass die Verantwortlichen die Einhaltung nachweisen. Sicherheitstests erstellen den Prüfpfad, der die Wirksamkeit Ihres Sicherheitsprogramms nachweist:
| DSGVO-Prinzip | Wie Sicherheitstests dies unterstützen |
|---|---|
| Integrität und Vertraulichkeit (Art. 5(1)(f)) | Das Scannen auf Schwachstellen identifiziert Schwachstellen in den Datenschutzkontrollen |
| Regelmäßige Tests (Art. 32(1)(d)) | Der dokumentierte Scan-Zeitplan und die Ergebnisse zeigen das laufende Testprogramm |
| Rechenschaftspflicht (Art. 5 Abs. 2) | Korrekturaufzeichnungen belegen ein reaktionsfähiges Sicherheitsmanagement |
| Risikobasierter Ansatz (Art. 32 Abs. 1) | CVSS-Bewertung + Geschäftskontext zeigt risikoproportionale Sicherheit |
| Verhinderung von Datenschutzverletzungen (Art. 33-34) | Proaktives Schwachstellenmanagement reduziert die Wahrscheinlichkeit von Sicherheitsverletzungen |
Besondere Überlegungen für personenbezogene Daten mit hohem Risiko
Die DSGVO verfolgt einen risikobasierten Ansatz – die Sicherheitsanforderungen wachsen mit der Sensibilität der verarbeiteten Daten. Kategorien mit höherem Risiko erfordern strengere Tests:
- Spezielle Kategoriedaten(Gesundheit, Biometrie, Politik, Religion): Häufigere Tests, spezielle Penetrationstests, strengere SLAs für die Behebung
- Kinderdaten:Erweiterte Zugangskontrollen, strengere Altersüberprüfung – Sicherheitstests müssen diese spezifischen Kontrollen abdecken
- Großflächige Verarbeitung:Höheres Volumen = höheres Risiko = strengere Sicherheitstests, die von den Datenschutzbehörden erwartet werden
- Neue Technologien / Profilierung:DPIA erforderlich; Die Sicherheitsbewertung muss der DSFA beiliegen
Wie KENSAI die Einhaltung der DSGVO unterstützt
✓ Artikel 32 Beweiserstellung
Automatisierte Berichte, die Ihr regelmäßiges Testprogramm dokumentieren – mit Zeitstempel versehen, umfassend und prüfungsbereit für DPA-Untersuchungen.
✓ Erkennung des persönlichen Datenspeichers
Identifiziert Systeme und Datenbanken, die möglicherweise personenbezogene Daten enthalten, und priorisiert Sicherheitstests basierend auf der Datensensibilität.
✓ Reduzierung des Risikos von Sicherheitsverletzungen
Das Auffinden und Beheben von Schwachstellen vor der Ausnutzung verringert direkt die Wahrscheinlichkeit von Datenschutzverstößen, die gemäß Artikel 33 meldepflichtig sind.
✓ Bewertung von Drittanbietern
Bewerten Sie die Sicherheitslage von Datenverarbeitern – erfüllen Sie Ihre Sorgfaltspflichten gemäß Artikel 28 bei der Auswahl von Datenverarbeitern.
✓ Verschlüsselungsvalidierung
Überprüft, ob personenbezogene Daten während der Übertragung ordnungsgemäß verschlüsselt werden, und identifiziert Systeme, die schwache oder fehlerhafte Kryptografie verwenden.
✓ DPIA-Unterstützung
Die Ergebnisse der Sicherheitsbewertung werden in Datenschutz-Folgenabschätzungen integriert und liefern die gemäß Artikel 35 erforderliche technische Risikoanalyse.
Aufbau eines DSGVO-konformen Sicherheitstestprogramms
- Ordnen Sie die Verarbeitung Ihrer personenbezogenen Daten zu:Das Protokoll der Verarbeitungsaktivitäten (RoPA) gemäß Artikel 30 definiert, welche Systeme getestet werden müssen
- Risikoklassifizierung:Bewerten Sie die Empfindlichkeit der Daten in jedem System, um die Testhäufigkeit und -tiefe zu kalibrieren
- Testplan definieren:Dokumentieren Sie Ihren regelmäßigen Testrhythmus – dies ist der „Prozess“, den Artikel 32(1)(d) erfordert
- Ausführen und dokumentieren:Führen Sie Scans durch, erfassen Sie Ergebnisse, korrigieren Sie sie und bewahren Sie Aufzeichnungen mindestens für die EU-Datenaufbewahrungsfrist auf
- Jährlicher Penetrationstest:Zumindest für Systeme, die Daten besonderer Kategorien verarbeiten
- Bewertung der Lieferantensicherheit:Beziehen Sie die Prozessorsicherheit in Ihre Verarbeitungsvereinbarungen und Due Diligence gemäß Artikel 28 ein
Nachweis der Einhaltung von Artikel 32 der DSGVO
KENSAI bietet die kontinuierlichen Sicherheitstests und Dokumentationen, die erforderlich sind, um den Datenschutzbehörden die Einhaltung von Artikel 32 der DSGVO nachzuweisen. Vermeiden Sie Durchsetzungsmaßnahmen, indem Sie proaktive Sicherheitstests durchführen.
Starten Sie den DSGVO-Sicherheitstest → Sprechen Sie mit einem DSGVO-Experten