Penetrationstest: Diese Datenschutz-Vorgaben sind zu beachten

Fachbeitrag

Dieser Beitrag behandelt die Frage, warum beim Hacking in IT-Systeme, auch wenn ein Vertrag zum Penetrationstest vorliegt, der Datenschutz nicht ohne Weiteres gegeben ist, nur weil diese Maßnahme für den Verantwortlichen im Rahmen der IT-Sicherheit sinnvoll und im Rahmen eines bestehenden ISMS (Informationssicherheitsmanagementsystems) gefordert sein kann. In dem Artikel wird auf die datenschutzrechtlichen Vorgaben und die Notwendigkeit der Einzelfallabwägung beim Penetrationstest eingegangen.

Was ist ein Penetrationstest?

Ein Penetrationstest (Pentest) dient dazu, Sicherheitslücken in den IT-Systemen zu entdecken und diese im Nachgang zu schließen, bevor dies Cyberkriminelle z.B. mit einem DDoS-Angriff (Distributed-Denial-of-Service-Angriff) tun. Bei einem Penetrationstest versucht ein White-Hat-Hacker proaktiv, sich von außen erlaubterweise im Rahmen der getroffenen vertraglichen Regelung in das „fremde“ IT-System zu hacken.

Gute Hacker versus böse Hacker

Wenn sich jemand in ein fremdes IT-System hackt, kann es verschiedene Gründe geben, legale und illegale, demnach unterscheidet man:

  • White-Hat-Hacker
    Beim Pentest bedienen sich die Unternehmen eines White-Hat-Hackers. Der White-Hat-Hacker arbeitet grundsätzlich mit den gleichen Methoden wie der Black-Hat-Hacker, um in das Unternehmenssystem über eine entdeckte Sicherheitslücke einzudringen und hierbei Unternehmensdaten u.U. auch personenbezogenen Daten zu kapern. Ziel ist es, mit der Erkenntnis aus der Sicherheitslücke von Unternehmenseite Gegenmaßnahmen zur Sicherung des IT-Systems und des Datenbestandes zu ergreifen, um vor Black-Hat-Hackern zukünftig geschützt zu sein.
  • Black-Hat-Hacker
    Black-Hat-Hacker haben keinen Testauftrag und nützen die entdeckte IT-Sicherheitslücke für sich aus, um die Daten zu verschlüsseln und hierfür Lösegeld fordern.
  • Grey-Hat-Hacker
    Neben diesen beiden Vorgenannten gibt es noch die Grey-Hat-Hacker, die vom Unternehmen auch nicht beauftragt sind, IT-Sicherheitslücken ausfindig zu machen, dies aus eigener Motivation heraus tun und sich mit den gewonnenen Erkenntnissen an Stellen in den Unternehmen oder außerhalb wenden, um die Kenntnisse von konkreten IT-Sicherheitslücken ggf. auch zu Geld zu machen. Wobei dies oftmals nicht im Vordergung steht, sondern vielmehr generell eine Verbesserung der IT-Systeme im Sinne einer Weiterentwicklung bezweckt wird. Unternimmt das Unternehmen nichts, kann es dazu kommen, dass die Grey-Hat-Hacker die gewonnenen Erkenntnisse veröffentlichen, womit die Gefahr eröffnet wird, dass die Sicherheitslücken von Kriminellen genutzt werden könnten. Grey-Hat-Hacker sind nicht unbedingt schlecht, denn oftmals wollen Sie Veränderungen der IT-Systeme in Zusammenarbeit mit den Unternehmen herbeiführen. Es ist aber eine Grauzone.

Mögliche Strafbarkeit beim Hacking ohne Testauftrag

Solange kein Testauftrag des Unternehmens vorliegt, setzt sich der Hacker Strafbarkeitsrisiken aus. Hierbei ist zwischen dem invasiven, also dem erfolgreichen Ausspähen von Daten und dem nicht invasiven Hacking zu unterscheiden. Für die Strafbarkeit nach § 202a StGB reicht es bereits aus, in das Unternehmenssystem ohne konkreten Auftrag eingedrungen zu sein. Nicht notwendig ist der bereits erfolgte Zugriff auf konkrete Unternehmensdaten durch den Hacker.

Soweit der Hacker sich „Zugangsdaten“ verschafft, aber diese nicht zum Eindringen in die Systeme nutzt, macht er sich noch nicht nach § 202a StGB Ausspähen von Daten strafbar, jedoch nach § 202c StGB Vorbereiten des Ausspähens von Daten. Neben §§ 202a und 202c StGB sind noch weitere Straftatbestände möglich, wie unter anderem:

Die Strafbarkeit ist auch nicht wegen Vorliegen eines Rechtfertigungsgrundes etwa gem. § 34 StGB ausgeschlossen, weil der Hacker in Kenntnis der Notstandslage, u.a. der Gefahr für die IT-Sicherheit und Aufrechterhaltung der Geschäftsgeheimnisse bzw. der Vertraulichkeit der personenbezogenen Daten gehandelt haben müsste, als er in die IT-Systeme eingedrungen ist. Diese Kenntnis der Notstandlage und der Notstandswille müsste von dem Hacker belegt werden können. Um nicht Gefahr zu laufen, sich strafbar zu machen, sollte zuvor ein Vertrag über das Penetration Testing mit dem Verantwortlichen geschlossen werden.

Vertrag über den Penetrationtest

Um Penetrationstests erfolgsversprechend für das Unternehmen durchführen zu können, ist eine exakte vertragliche Abklärung und Festlegung der Aufgaben das Prüfers (Hackers) in einem Vertrag vorzunehmen. Dieser sollte die zu prüfenden Systeme, den Prüfzeitraum, die Prüftiefe, die Festlegung der Ergebnisse, die mit dem Penetrationstest erzielt werden sollen, die Festlegung des Testzwecks und der Speicherdauer der Daten, eine Vereinbarung zur Haftung und der Verschwiegenheit des Prüfers auch gegenüber Dritten sowie mögliche Maßnahmen zur Anonymisierung regeln. Daneben muss auch eine Abklärung der persönlichen, fachlichen Kompetenzen des Prüfers erfolgen. Gerade im Hinblick auf die Sensibilität der eingesehenen Daten und der Systeme ist die Vertrauenswürdigkeit des Prüfers wesentlich. Das Unternehmen sollte zudem auf das Vier-Augen-Prinzip setzen, um eine gewisse Kontrolle gegenüber dem Prüfer zu haben während dieser im Unternehmenssystem agiert.

Brauchen Maßnahmen der IT-Sicherheit überhaupt eine datenschutzrechtliche Legitimation?

Maßnahmen der IT-Sicherheit sind Aufgaben, die den Sorgfaltspflichten des Managements im Rahmen der Unternehmensführung entspringen, um sich ggf. auch von der eigenen Haftung zu exkulpieren. Ohne Unternehmens-IT und dem gesicherten Zugriff auf die unternehmensbezogenen Daten, seien diese nun personen- oder geschäftsbezogen, ist das Unternehmen nicht lebensfähig. Die Aufrechterhaltung des Zugriffs und die Nutzungsmöglichkeit der Daten ist im Rahmen des Risikomanagements durch das Management zu gewährleisten. Daher gehört die Organisation der IT-sicherheitsrechtlichen Aufgaben und Zuständigkeiten zu den elementaren Obliegenheiten des Unternehmensmanagements, um den Verpflichtungen eines ordentlichen und gewissenhaften Kaufmanns zu genügen, siehe auch § 91 Abs. 2 und 3 AktG, § 43 Abs. 1 GmbHG , 347 Abs. 1 HGB und nicht Gefahr zu laufen, für Versäumnisse persönlich haften zu müssen.

Ob die Unternehmen ein Überwachungssystem und entsprechende Verfahren zur Wirksamkeitsmessung eingerichtet haben wird durch die Wirtschaftsprüfer geprüft und im Jahresabschluss und Lagebericht gem. §§ 316 Abs.1, 321 Abs. 4 HGB belegt, insbesondere für die Aktiengesellschaft gilt dies gem. § 317 Abs. 4 HGB i.V.m § 91 Abs. 1 AktG und für die GmbH gem. § 43 GmbHG.

Diese Maßnahmen im Rahmen des ISMS, um die Integrität, Verfügbarkeit und Vertraulichkeit der Daten sicherzustellen, zu denen auch der Penetrationstest gehören kann, sind daher für das Unternehmen angebracht und wichtig, aber sind diese damit auch datenschutzrechtlich legitim?

Allein aus den oben dargestellten Sorgfaltspflichten eines ordentlichen Kaufmanns und der daraus resultierenden Notwendigkeit von Penetrationstests, ergibt sich noch nicht die datenschutzrechtliche Erlaubnis, wenn hierbei personenbezogene Daten verarbeitet werden. Personenbezogene Daten werden dann verarbeitet, wenn etwa der Test nicht mit Testdaten, sondern mit Echtdaten im operativen System des Unternehmens erfolgt. Erhält ein Hacker Zugriff auf personenbezogene Daten, handelt es sich um eine Datenverarbeitung als „eine andere Form der Bereitstellung“ gem. Art. 4 Nr. 2 DSGVO, wofür eine Rechtsgrundlage notwendig wäre, entsprechend in der DSGVO geltenden dem Verbot mit Erlaubnisvorbehalt.

Datenschutz-Relevanz mit Ex-ante-Sicht

Problematisch ist die datenschutzrechtliche Klärung hinsichtlich der Frage, ob eine Rechtsgrundlage aus der DSGVO benötigt wird und welcher Art die Dienstleistung des Hackers ist, deshalb, weil aus der Ex-ante-Sicht vor dem Testbeginn gar nicht bekannt ist, ob der Hacker Zugriff auf Daten und insbesondere auf personenbezogene Daten erhalten wird. Dies wüsste man nur dann, wenn bekannt wäre, ob er eine IT-Sicherheitslücke entdeckt und dann ein Zugriff auf personenbezogene Daten erfolgt. Unklar ist auch, ob der Hacker mit dem potentiellen Ausloten von Sicherheitslücken in eigener Verantwortlichkeit agiert, wenn das Hacking eine eigene fachspezifische Beratungsleistung des Hackers darstellen würde oder ob dieser als Auftragsverarbeiter für den Verantwortlichen potentielle IT-Sicherheitslücken sucht.

Auftragsverarbeitungsvertrag

Es ist weder dem Verantwortlichen noch dem Hacker aufgrund der oben skizzierten Strafbarkeitsrisiken anzuraten, ohne Vertrag einen Penetrationstest durchzuführen. Wie oben dargestellt, sollte die vertragliche Vereinbarung durch den Verantwortlichen unter anderem folgende Punkte zum Hacking regeln, nämlich das Prüfobjekt, die Prüftiefe, Prüfdauer, Speicherung etc. (siehe Vertrag über den Penetrationtest). Sind all diese Punkte festgelegt, agiert der Hacker nicht weisungsfrei. Es ist daher in diesem Fall von einer Auftragsverarbeitung auszugehen.

Mögliche datenschutzrechtliche Rechtsgrundlagen

Agiert der Hacker weisungsgebunden, benötigt er keine eigene datenschutzrechtliche Rechtsgrundlage, sondern wird auf Weisung im Rahmen des Auftragsverarbeitungsvertrages tätig. Entscheidend ist dann, dass das Unternehmen eine datenschutzrechtliche Rechtsgrundlage für die Durchführung des Penetrationstests hat. Wird der Hacker als eigener Verantwortlicher tätig, benötigt er für die Durchführung des Penetration Testing eine eigene Rechtsgrundlage.

Einwilligung

Soweit im Datenschutz Art. 6 Abs. 1 lit. a DSGVO und § 26 Abs. 2 BDSG die Einwilligung als Rechtsgrundlage ermöglichen, soll hier aufgrund der Widerrufbarkeit nicht auf diese eingegangen werden. Die Widerruflichkeit lässt die Einwilligung als nicht ausreichend belastbar für Penetrationstests erscheinen und zwar weder für den Verantwortlichen als Arbeitgeber, der dann eine Einwilligung seiner Beschäftigten mit der damit einhergehenden Problematik zur Durchführung des Beschäftigungsverhältnisses einholen müsste, soweit Beschäftigtendaten verarbeitet werden würden, noch für den Hacker, der die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO einholen müsste, wenn er in eigener Verantwortung tätig werden würde.

Berechtigtes Interesse

Sowohl der Verantwortliche als auch der Hacker könnten sich bei der Durchführung des Penetration Testing auf Art. 6 Abs. 1 lit. f DSGVO auf das eigene berechtigte Interesse des Verantwortlichen bzw. der Hacker auf das Interesse eines Dritten nämlich des zu hackenden Unternehmens berufen, wenn das Hacking im Rahmen der eigenen Verantwortlichkeit erfolgen würde. EG 49 bezeichnet die Sicherheit von IT-Systemen und den Schutz vor Angriffen Dritter als ein berechtigtes Interesse, hierzu zählen Maßnahmen, die den Zugang Dritter zu den Systemen verhindern, bzw. geeignet sind, Lücken in den Systemen zu erkennen und diese zu schließen. Auch der Penetrationstest ist somit in der Regel vom berechtigten Interesse gedeckt, wobei eine dreistufige, dokumentierte und auf den Einzelfall bezogene Interessensabwägung erfolgen muss. Allerdings kann Art. 6 Abs. 1 lit. f DSGVO für die Verarbeitung von besonderen personenbezogenen Daten beim Pentesting nicht als Rechtsgrundlage herangezogen werden. Da aber die Verarbeitung von besonderen personenbezogenen Daten beim Pentesting von vornherein nicht ausgeschlossen werden kann, ist Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage nicht ausreichend.

Rechtliche Verpflichtung

Möglich wäre es den Penetrationstest auf Art. 6 Abs. 1 lit. c DSGVO i.V.m. Artt. 5 Abs. 1 lit. a, f und Artt. 24, 32 I DSGVO zu stützen und soweit besondere personenbezogene Daten verarbeitet werden Art. 9 Abs. 2 lit. g DSGVO i.V.m. Art. 24, 32 DSVO, § 91 Abs. 2 und 3 AktG, § 43 Abs. 1 GmbHG , 347 Abs. 1 HGB heranzuziehen.

Art. 6 Abs. 1 lit. c DSGVO ist für sich alleine keine Rechtsgrundlage, vielmehr bedarf es einer rechtlichen Verpflichtung. Für den Penetrationstest ergibt sich die Verpflichtung zu dessen Durchführung aus Artt. 6 Abs. 1 lit. c i.V.m. 5, 24, 32 DSGVO und hier insbesondere aus Art. 32 Abs. 1 lit. d DSGVO. Art. 32 Abs. 1 DSGVO legt fest, dass die getroffenen Maßnahmen, die der Verantwortliche gem. EG 74 S. 2 i.V. Artt. 24, 25 DSGVO umgesetzt hat, auf deren Geeignetheit und Wirksamkeit geprüft werden müssen. Der Penetrationstest ist ein solches Verfahren, das zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung eingesetzt werden kann. Im Zuge dessen wird die Integrität und Vertraulichkeit der personenbezogenen Daten bei der Verarbeitung unter Berücksichtigung der in Art. 5 DSGVO verankerten Grundsätze gewährleistet und belegt.

Eine konkretes rechtliches Verlangen nach Penetrationstests lässt sich Art. 6 Abs. 1 lit. c DSGGVO nicht entnehmen, dies wird zwar von einer restriktiven Meinung als Notwendigkeit vertreten. Jedoch kann es nicht Sinn und Zweck gesetzlicher Regelungen sein, jedes Verfahren kleinteilig anzuführen, siehe auch EG 45, S. 2. Vielmehr ergibt sich aus Art. 6 Abs. 3 S. 2 DSGVO i.V.m. EG 45, dass der Zweck in der Rechtsgrundlage festgelegt sein müsse, nicht jedoch die konkrete Maßnahme/das konkrete Verfahren. Die Verarbeitung müsse zudem ein im öffentlichen Interesse liegendes Ziel anstreben und zu dem verfolgten Zweck in einem angemessenen Verhältnis stehen. Für das Penetrationtesting ist somit der Zweck, wie er in Art. 32 Abs. 1 lit. d i.V.m. Artt. 24, 25 DSGVO sowie dem Grundsatz „Treu und Glauben“ aus Art. 5 Abs. 1 lit. a DSGVO angeführt ist, ausreichend. Das im öffentlichen Interesse liegende Ziel, welches mit dem Zweck des Pentetrationtests verfolgt wird, ist der Schutz des Grundrechts der betroffenen Personen auf informationelle Selbstbestimmung und damit der Schutz deren personenbezogener Daten.

Fraglich ist hingegen, ob der Penetrationstest gem. Art. 32 Abs. 1 d DSGVO das mildeste Mittel darstellt. Dies muss im Einzelfall belegt und abgewogen werden. Art. 24 DSGVO scheidet als alleinige Rechtsgrundlage hingegen aus, weil Art. 32 DSGVO hinsichtlich der Kontrolle der eingeführten Sicherheitsmaßnahmen gegenüber Art. 24 DSGVO lex specialis ist.

Informationssicherheit und Datenschutz

Art. 32 Abs. 1 lit. d DSGVO fordert neben der zweckbezogenen Datenverarbeitung durch den Verantwortlichen oder Auftragsverarbeiter ein zusätzliches Verfahren, um ein angemessenes Schutzniveau der personenbezogenen Daten dauerhaft aufrecht zu erhalten. Der vertraglich vereinbarte Penetrationstest kann ein solches Mittel sein. Mit dem Verfahren soll eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen, wie sich diese aus Art. 32 Abs. 1 und Abs. 3 DSGVO ergeben, sichergestellt sein. Die mit dem Verfahren ermittelte Wirksamkeit der getroffenen Maßnahmen, dient dem Verantwortlichen als Nachweis gem. Art. 5 Abs. 2 DSGVO, dass er alle Rechtsgrundsätze der DSGVO bei der Datenverarbeitung einhält, siehe auch EG 74, S2 und zugleich die Weiterentwicklung der Risiken für die Datenverarbeitung im Blick hat. Das Management kann mit einem Penetrationstest die eigene Haftung und der Verantwortliche das Risiko ein Bußgeld gem. Art. 83 DSGVO zu erhalten, reduzieren. Entsprechende datenschutzrechtliche Rechtsgrundlagen sind vorhanden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.