Mit „Pentests“ versucht man die Effektivität von IT- Sicherheitsmaßnahmen technischer Systeme durch simulierte Angriffe zu überprüfen. Die Verträge sind typischerweise Dienstverträge. Schwierig gestalten sich zwei Dinge. Das eine ist die Aufklärung des Kunden über mögliche Probleme, die während und durch den Test auftreten können, der zweite Aspekt betrifft den Datenschutz.
Unsere Kunden fragen uns immer wieder, welche Dokumentationen aus Sicht des Datenschutzrechts vorhanden sein müssen. Muss der Pentester eine AVV (Auftragsverarbeitungsvereinbarung) abschließen? Gibt es einen anderen Weg?
Der Pentest als Datenverarbeitung
Die erste Frage ist lapidar und zielt darauf, ob Pentests überhaupt von der DSGVO erfasst sind. Im Grunde müsste man im Rahmen einer Einzelfallbetrachtung überprüfen, ob überhaupt eine Datenverarbeitung vorliegt. Das hängt von den jeweils getroffenen Maßnahmen für den Pentest ab. Falls im Rahmen des Penetrationstests Kopien von personenbezogenen Daten angefertigt werden, weil man auf dem Testsystem prüfen will, liegt eine Datenverarbeitung vor. Ein Kopieren personenbezogener Daten ist immer eine Datenverarbeitung. Eine Verarbeitung kann in dem Auslesen von personenbezogenen Daten oder in der anderen Form der Bereitstellung vorliegen.
Also wird man im Regelfall davon ausgehen, dass eine Datenverarbeitung im Rahmen eines Pentests nicht ausgeschlossen werden kann.
AVV
Eine Vereinbarung zur Auftragsverarbeitung müsste dann abgeschlossen werden, wenn der Pentester als Auftragsverarbeiter nicht infolge der Inanspruchnahme fremder Fachleistungen agiert. Der DSK (Kreis der Datenschutzbeauftragten der Länder) hat ein Positonspapier verfasst (das ich falsch finde) und folgende Abgrenzung vorgeschlagen: Hat das IT- Unternehmen weiten Ermessensspielraum in der Durchführung der technischen Maßnahmen, muss eine AVV abgeschlossen werden, ist das IT- Unternehmen wie z.B. bei einem Wartungsvertrag weisungsgebunden, muss keine AVV abgeschlossen werden.
Die Abgrenzung richtet sich also nach dem Maß der Weisungsgebundenheit des Pentesters. Falls dieser nur der verlängerte Arm des Kunden ist und die Maßnahmen umsetzt, die der Kunde angeordnet hat, braucht man keine AVV. Falls nur ein abstrakter Auftrag zur Überprüfung der Sicherheit besteht und der Pentester nicht konkret weisungsgebunden ist, braucht man eine AVV. Diese AVV hat als TOM angemessene Maßnahmen zum Schutz der personenbezogenen Daten vorzusehen.
Wenn man meiner Ansicht folgen will, braucht man immer eine AVV. Denn die Aufträge des Kunden bestehen meistens in regelmäßigen Überprüfungen und die Frage, was im Einzelnen getan wird, wird mit dem Kunden nur dann im Detail besprochen, wenn der Kunde selbst fachkundig ist. Im Übrigen kauft man die Leistungen des Pentesters (White Hat) ja genau deshalb ein, um mittels fremder Kompetenz Überprüfungen vorzunehmen, die dem Stand der Technik entsprechen.
Aber: Eine AVV ist ein langes Dokument, ihr Abschluss ist nicht einfach. Gibt es einen anderen Weg?
Antwort: Ja, aber auch der ist steinig.
Berechtigtes Interesse und Güterabwägung, Artikel 6 Absatz 1 Satz 1 lit f
Der zweite Weg der Legitimation der Leistung des Pentesters besteht im Artikel 6 Absatz 1 Satz 1 lit f DSGVO (berechtigtes Interesse), denn es ist natürlich auch im Interesse der Betroffenen, deren personenbezogene Daten verarbeitet werden, dass die Sicherheit des IT- Systems überprüft wird, um die Möglichkeit eines Missbrauchs auszuschließen oder diese zu reduzieren.
Das Problem dieses Weges besteht darin, dass der Nachweis des berechtigten Interesses jeweils im Einzelfall unter Abwägung der widerstrebenden Interessen vorzunehmen ist und es ist eine Dokumentation über diese Abwägung vorzunehmen.
Dass ein berechtigtes Interesse vorliegt, ist nicht schwer zu begründen.
Aus Artikel 32 DSGVO folgt die Verpflichtung des Verantwortlichen, angemessene technische und organisatorische Maßnahmen zu ergreifen, die der Sicherheit der Datenverarbeitung dienen. Pentest dienen der Überprüfung getroffener technischer und organisatorischer Maßnahmen. Also lässt sich gut argumentieren, dass ein vorrangiges Interesse des Verantwortlichen besteht, Pentests durchzuführen.
Aber man wird nachweisen müssen, dass angemessene Technische und Organisatorische Maßnahmen bestehen, die die Interessen der Betroffenen schützen.
So einfach das klingt: Der Kunde (der Verantwortliche) muss diese Abwägung vornehmen und dokumentieren. Und dann folgt für den Kunden der zweite Schritt, denn nun ist die Erfüllung Informationspflichten gegenüber den Betroffenen (seinen Mitarbeitern und Mitarbeiter der Endkunden etc.) zu dokumentieren. Ob dieser Weg schneller zur Erteilung des Auftrags führt, wage ich zu bezweifeln. Ich würde – schon weil die Tests ja häufiger durchgeführt werden und die Pentester nicht (!) im Einzelnen weisungsgebunden sind, den Weg über die AVV bevorzugen.
Fazit:
Am Papier führt kein Weg vorbei. Von der Wiege bis zur Bahre, Formulare, Formulare.
