DSGVO & nDSG: Compliance durch Pentests

DSGVO Art. 32: Sicherheit der Verarbeitung

Die Datenschutz-Grundverordnung (DSGVO) fordert in Artikel 32, dass für die Sicherheit der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Massnahmen (TOM) getroffen werden. Dazu gehören insbesondere:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten
• Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherzustellen
• Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
• Ein regelmässiges Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

Ein Penetrationstest ist explizit eine geeignete Massnahme, um die Wirksamkeit der technischen Sicherheitskontrollen zu überprüfen und zu evaluieren. Er demonstriert, ob die implementierten Massnahmen tatsächlich vor realistischen Angriffen schützen.

Schweizer nDSG: Neues Datenschutzgesetz

Das schweizerische neue Datenschutzgesetz (nDSG), in Kraft seit dem 1. September 2023, harmonisiert den Schweizer Datenschutz mit der DSGVO. Art. 8 nDSG fordert ebenfalls geeignete technische und organisatorische Massnahmen zum Schutz personenbezogener Daten.

Im Unterschied zur DSGVO sieht das nDSG keine explizite Pflicht zur Datenpannen-Meldung vor (ausser bei besonders schwerwiegenden Risiken für die Persönlichkeit der betroffenen Personen), aber die Aufsichtsbehörden (EDÖB) können bei Verstössen Buessen verhängen von bis zu CHF 250’000.

Ein Pentest hilft, diese Risiken zu minimieren, indem er Schwachstellen aufdeckt, die zu Datenpannen führen könnten – bevor sie ausgenutzt werden.

Pentest als TOM: Konkrete Anforderungen

Ein Pentest als technische und organisatorische Massnahme muss folgende Kriterien erfüllen:

• Regelmässigkeit: Mindestens jährlich oder nach signifikanten Änderungen (neue Systeme, Releases, Migrationen).
• Dokumentation: Alle Ergebnisse müssen dokumentiert, bewertet und archiviert werden.
• Unabhängigkeit: Der Tester sollte unabhängig von den betroffenen Systemen sein (kein Interessenkonflikt).
• Nachweis: Der Report dient als Nachweis gegenüber Aufsichtsbehörden und Auditoren.
• Behebung: Gefundene Schwachstellen müssen in angemessener Frist behoben werden.

Auftragsverarbeitung (AVV) und Pentests

Wenn Sie personenbezogene Daten durch einen Dienstleister (z.B. Cloud-Provider, Software-Entwickler) verarbeiten lassen, müssen Sie gemäss DSGVO/nDSG einen Auftragsverarbeitungsvertrag (AVV) abschliessen. Der AVV sollte auch die Sicherheitsanforderungen festlegen.

Ein Pentest kann prüfen, ob der Auftragsverarbeiter die vereinbarten Sicherheitsmassnahmen tatsächlich umgesetzt hat. Besonders bei Cloud-Diensten (AWS, Azure, GCP) ist ein Cloud-Pentest wichtig, um das «Shared Responsibility Model» zu verifizieren: Der Cloud-Provider ist für die Sicherheit der Cloud verantwortlich, Sie für die Sicherheit in der Cloud.

FAQ: Datenschutz & Pentests