In Zeiten der rasant gestiegenen Fallzahlen von Cyberkriminalität wird für Unternehmen das Thema IT-Sicherheit immer wichtiger. Dabei spielt nicht nur das Ergreifen technischer Schutzmaßnahmen vor unberechtigten Systemzugriffen eine große Rolle, die getroffenen Maßnahmen müssen auch regelmäßig evaluiert werden. Eine sinnvolle Maßnahme kann hierfür die Durchführung eines Penetrationtests darstellen, d.h eines Sicherheitstestes einzelner Devices innerhalb eines Systems oder ganzer Netzwerke und Systeme. Dabei nimmt der Penetrationtester häufig die Perspektive eines potentiellen Hackers ein, der versucht z.B. Schwachstellen aufzuspüren und darüber in das System zu gelangen. Die aufgedeckten Schwachstellen können dann im besten Fall zeitnah geschlossen werden. Denkbar ist aber auch, dass im Rahmen des Penetrationtests auch gezielte Phishing-Attacken gestartet werden, um über die Schwachstelle “Mensch” Systemzugriff zu erhalten.
So sinnvoll dieser Blick von außen auf das IT-System sein kann, darf die Durchführung eines solchen Penetrationtest sowohl aus Sicht des Penetrationtesters als auch des Unternehmens einer sorgfältigen Vorbereitung und rechtlichen Prüfung. Nicht nur strafrechtliche Bestimmungen, sondern auch datenschutzliche Vorgaben spielen eine Rolle. Spätestens, wenn durch den Pentetrationtester ein Systemzugriff, z.B. durch Ausnutzen einer Sicherheitslücke erfolgt, erhält dieser Zugang zu personenbezogenen Daten, die vom Unternehmen verarbeitet werden. Darüber, ob die Verarbeitung personenbezogener Daten in diesem Fall die vertragliche geschuldete Tätigkeit des Penetrationtesters ist, lässt sich sicher diskutieren. Jedenfalls ist eine Kenntnisnahme und der Umgang mit personenbezogenen Daten im Rahmen eines Penetrationtest nicht auszuschließen. Zudem werden Umfang und Grenzen des Penetrationtest im Vorfeld konkret abgesteckt, so dass durchaus auch eine gewisse Weisungsbedingung des Penetrationtesters gegenüber dem Unternehmen besteht. Zum Beispiel wird oft vorab festgelegt, ob nach einem erfolgreichen Systemzugriff der Test abzubrechen ist oder ob auch das Ausweiten der Zugriffsmöglichkeit im System vom Test umfasst sein soll.
Datenschutzrechtlich spricht deshalb viel dafür, dass es sich um eine Auftragsverarbeitung nach Art. 28, 29 DSGVO handelt. Damit muss im Vorfeld des Penetrationtest auch ein Vertrag über die Auftragsverarbeitung abgeschlossen werden. Professionelle Penetrationtester sollten einen solchen Vertrag, der speziell auf die Situation eines Penetrationtests zugeschnitten ist, anbieten. Dies macht bereits deshalb Sinn, da ansonsten zahlreiche unterschiedliche Vorlagen von Auftragsverarbeitungsverträgen der Kundenunternehmen geprüft und ggf. noch länger individuell verhandelt werden müssten.