Rechtkonforme Penetrationstests: IT‑Sicherheit, Datenschutz und die Rolle des Betriebsrats

Cyberangriffe zählen heute zu den größten Risiken für Unternehmen. Die Zahl professioneller Attacken steigt kontinuierlich, und 2024 belief sich der verursachte Schaden laut BITKOM bereits auf über 178 Milliarden Euro. Vor diesem Hintergrund kommt kaum ein Unternehmen daran vorbei, seine IT‑Systeme regelmäßig auf Schwachstellen prüfen zu lassen.

Penetrationstests sind hierfür eines der wirksamsten Instrumente. Sie simulieren echte Angriffe, decken Sicherheitslücken auf und helfen, Risiken zu minimieren. Gleichzeitig greifen sie oft auf Systeme zu, in denen personenbezogene Daten verarbeitet werden. Dadurch trifft IT‑Sicherheit auf Datenschutzrecht – und häufig auch auf Mitbestimmungsrechte des Betriebsrats.

Warum Pentests für Unternehmen unverzichtbar sind

Pentests bilden reale Angriffsszenarien nach und zeigen auf, wie anfällig Systeme tatsächlich sind. Sie unterstützen Unternehmen dabei, IT‑Sicherheitsmaßnahmen gezielt zu verbessern und gesetzliche Vorgaben zu erfüllen.

Die Anforderungen ergeben sich aus verschiedenen Rechtsrahmen – vom durch die NIS‑2‑Richtlinie reformierten BSIG über den Cyber Resilience Act bis zu DORA.
Damit wird klar: IT‑Sicherheit ohne regelmäßige Pentests ist kaum noch umsetzbar.

Rechtlicher Rahmen: DSGVO, NIS‑2, CRA und DORA

In manchen Bereichen, wie bei digitalen Gesundheitsanwendungen nach § 139e SGB V oder bei Finanzunternehmen unter DORA, sind Penetrationstests ausdrücklich vorgeschrieben.

Daneben gibt es zahlreiche implizite Pflichten. Unternehmen, die unter den durch NIS‑2 reformierten Anwendungsbereich des BSIG fallen, müssen umfassende Sicherheits‑ und Risikomanagementmaßnahmen umsetzen. Hersteller digitaler Produkte müssen nach dem Cyber Resilience Act nachweisen, dass ihre Systeme regelmäßig getestet werden. Überdies verlangt Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, die sich ohne Pentests oft nicht erfüllen lassen.

Datenschutzrechtliche Anforderungen

Sobald ein Penetrationstest personenbezogene Daten berührt, braucht es eine klare Rechtsgrundlage. Bei verpflichtenden Tests ist dies Art. 6 Abs. 1 lit. c DSGVO. Auch in Fällen, in denen ein Gesetz zwar keinen Pentest nennt, ihn aber faktisch voraussetzt, kann diese Grundlage greifen.

Einwilligungen einzelner Mitarbeitender sind ungeeignet, da IT‑Sicherheit nicht vom individuellen Zutun abhängen darf. Auch die Interessenabwägung bietet in Pflichtsituationen wenig Stabilität.

In der Praxis werden Pentests häufig von externen Dienstleistern durchgeführt. Wird ein externer Dienstleister eingesetzt – was bei Pentests regelmäßig der Fall ist – muss in der Regel ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden.

Besonders heikel wird es, wenn Systeme sensible Daten enthalten. Dann ist neben Art. 6 DSGVO zusätzlich ein Ausnahmetatbestand nach Art. 9 erforderlich, häufig das „erhebliche öffentliche Interesse“. Ob dieses im Einzelfall greift, muss sorgfältig bewertet werden.

Betriebsrat: Informationsrechte und rechtliche Grenzen

Auch die Beteiligungsrechte des Betriebsrats spielen eine wichtige Rolle. Der Arbeitgeber muss den Betriebsrat informieren, sobald Maßnahmen Arbeitnehmerdaten betreffen. Das gilt insbesondere für Social‑Engineering‑Tests, bei denen das Verhalten einzelner Beschäftigter sichtbar werden kann.

Technische Details ohne Bezug zu Beschäftigtendaten – wie IP‑Adressbereiche oder interne Architekturinformationen – gehören dagegen nicht zum Informationsumfang.

Wesentlich ist die Frage, ob für den Arbeitgeber eine gesetzliche Pflicht zur Durchführung von Pentests besteht. Wenn ja, verbleibt in der Regel kein Gestaltungsspielraum, sodass kein Mitbestimmungsrecht über das „Ob“ des Tests besteht. Besteht keine Pflicht, kommt es auf den Einzelfall und die konkrete Ausgestaltung des Tests an.

Entscheidend ist stets, dass Pentest‑Berichte so anonymisiert werden, dass keine Rückschlüsse auf einzelne Beschäftigte möglich sind.

Fazit

Penetrationstests sind ein unverzichtbarer Bestandteil moderner IT‑Sicherheit und in vielen Fällen rechtlich notwendig. Gleichzeitig bewegen sie sich im Spannungsfeld zwischen Datenschutz, IT‑Sicherheitsrecht und betriebsverfassungsrechtlichen Vorgaben.

Unternehmen sollten daher sorgfältig prüfen,

• auf welcher Rechtsgrundlage der Pentest ruht,
• ob besondere Kategorien personenbezogener Daten betroffen sind,
• wie externe Pentester eingebunden werden,und
• welche Informationspflichten gegenüber dem Betriebsrat bestehen.

Mit klaren Prozessen und einer rechtssicheren Umsetzung lassen sich Pentests effizient durchführen – und Unternehmen wirksam gegen moderne Cyberbedrohungen schützen.