Florian Groothuis und Dr. Roman Schildbach

Datenschutzkonforme Durchführung von Penetrationstests und Grenzen der Betriebsratsbeteiligung

IT-Sicherheit ist das Gebot der Stunde. Allein im Jahr 2024 ist durch Cybercrime nach der Studie Wirtschaftsschutz des BITKOM e.V. ein Schaden von 178,6 Mrd. Euro entstanden. Um Angriffen auf die IT-Infrastruktur eines Unternehmens präventiv entgegenzuwirken, sollten Penetrationstests (Pentests) ein essenzieller Baustein in der IT-Sicherheitsarchitektur eines jeden Unternehmens sein. Nicht selten sind die Tests sogar gesetzlich vorgeschrieben. Bei dieser IT-Sicherheitsmaßnahme gibt es jedoch einige datenschutzrechtliche Stolpersteine zu beachten. Zudem stellt sich die Frage, wie weitreichend das Unterrichtungs- und Mitbestimmungsrecht des Betriebsrats ist. Die Antwort hängt im Wesentlichen davon ab, inwieweit das jeweilige Unternehmen zur Durchführung von Pentests verpflichtet ist.

Funktionsweise und Zweck der Tests

Pentests dienen dazu, Schwachstellen in der IT-Infrastruktur eines Unternehmens aufzudecken und dadurch präventiv die Sicherheit zu erhöhen. Dies erfolgt durch simulierte Angriffe auf die eigenen Systeme, um bislang unentdeckte Sicherheitslücken zu finden. Diese sollen soweit möglich anschließend geschlossen werden (siehe hierzu auch bereits Schildbach/Groothuis, DSRITB 2025, 265, worauf Teile dieses Aufsatzes zurückgehen). Ein solcher Pentest beginnt für gewöhnlich mit der Planung und Aufklärung (Reconnaissance), gefolgt von Scans zur Erkennung potenzieller Einstiegspunkte. Danach erfolgt in der Regel der Versuch der gezielten Ausnutzung (Exploitation) dieser Schwachstellen.

In Zeiten immer häufiger und ausgefeilter stattfindenden Cyberangriffe sind Pentests ein essenzieller Bestandteil moderner Cybersicherheitsstrategien. Täglich müssen Unternehmen feststellen, dass ihre Systeme verschlüsselt und oft unternehmenskritische Informationen extrahiert wurden, seien es personenbezogene Kunden- oder Mitarbeiterdaten oder Geschäftsgeheimnisse, die in Datensätzen enthalten sind. Ob am Ende Lösegelder gezahlt werden oder nicht, die Folgeschäden bedrohen nicht selten den Fortbestand des Unternehmens. Diese Schäden können aufgrund regelmäßiger Pentests in Kombination mit weiteren IT-Sicherheitsmaßnahmen oft vorgebeugt werden. So verringert regelmäßiges Pentesting die Gefahr erfolgreicher Cyberattacken. Entsprechend raten Aufsichtsbehörden dringend zu regelmäßigen Pentests (siehe EDSA, Leitlinien 01/2021, V. 2.0, Rn. 49 ff.).

Penetrationstests als IT-Sicherheitspflicht

Nicht nur Aufsichtsbehörden, sondern auch der deutsche und der unionale Gesetzgeber haben erkannt, dass IT-Sicherheit auch im privaten Sektor ein öffentliches Gut sein kann. Entsprechend gilt laut verschiedenen Regelungen für viele Unternehmen eine explizite oder jedenfalls implizite oder mittelbare Pentesting-Pflicht.

Explizite Pflichten zu Penetrationstests

Zum Beispiel gilt im Gesundheitsbereich für Apps auf Rezept und andere sog. digitale Gesundheitsanwendungen gem. § 139e SGB V und der Digitale-Gesundheitsanwendungen-Verordnung ausdrücklich eine Pentesting-Pflicht. Auch im Bankensektor kennt man derartige Pflichten insbesondere aus den Art. 25 f. DORA.

Implizite Pflichten zur Durchführung

Eine mittelbare gesetzliche Pflicht zum Pentesting ergibt sich zudem aus dem durch die NIS-2-Richtlinie novellierten BSI-Gesetz (BSIG). Insbesondere in den §§ 30 f. BSIG sind umfassenden Risikomanagementmaßnahmen verpflichtend vorgesehen. Auch wenn Pentests hier keine ausdrückliche Erwähnung finden, wird ein solches Risikomanagementsystem kaum ohne die Tests auskommen. Diese Pflichten treffen nun neben klassischen kritischen Infrastrukturanbietern auch zahlreiche mittelständische Unternehmen, soweit sie eine „wichtige Einrichtung“ im Sinne von § 28 Abs. 2 BSIG sind.

Daneben besteht ebenfalls im CRA keine ausdrückliche Pflicht zur Durchführung von Pentests. Allerdings sind die Hersteller von Produkten mit digitalen Elementen nach Anhang I Teil II Abs. 3 CRA verpflichtet, die Sicherheit ihrer Produkte regelmäßig und wirksam zu testen, um sicherzustellen, dass keine bekannten und ausnutzbaren Schwachstellen vorliegen. Da Pentests vor allem der Ermittlung von Schwachstellen in der IT-Infrastruktur dienen, sind diese regelmäßig als Sicherheitsmaßnahme für Unternehmen im Anwendungsbereich des CRA mit umfasst.

Auch die DSGVO erwähnt Pentesting nicht expressis verbis. Zugleich fordert das Datenschutzrecht in Art. 32 DSGVO bei der Verarbeitung personenbezogener Daten, dass Verantwortliche angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit treffen, insbesondere durch regelmäßigen Sicherheitsüberprüfungen (siehe Art. 32 Abs. 1 lit. d DSGVO). Dies muss gerade bei Verarbeitungen mit erhöhtem Risiko für die betroffenen Personen auch Pentests umfassen.

Datenschutzrechtliche Stolpersteine

Ein Pentest kommt meist nicht ohne die Verarbeitung personenbezogener Daten der Mitarbeiter oder Kunden des Unternehmens aus. Dies gilt jedenfalls dann, wenn dabei eine Schwachstelle gefunden wird. Deshalb muss bei der Planung und Durchführung der Tests stets die DSGVO beachtet werden.

Auftragsverarbeitungsvertrag als Pflicht

Das bedeutet insbesondere auch: Soweit wie zumeist ein externer Dienstleister den Pentest durchführt, ist zu prüfen, ob verpflichtende datenschutzrechtliche Verträge mit diesem abgeschlossen werden müssen. In der Regel wird das auftraggebende Unternehmen über die Zwecke und Mittel der Datenverarbeitung entscheiden und deshalb Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sein. Der externen Pentester wird hingegen in den meisten Fällen weisungsgebunden als Auftragsverarbeiter auftreten, sodass ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zu schließen ist.

Rechtsgrundlage nach Art. 6 DSGVO

Zudem bedarf das Pentesting einer Rechtsgrundlage nach Art. 6 DSGVO. Soweit das Durchführen von Pentests gesetzlich vorgeschrieben ist, greift hierbei Art. 6 Abs. 1 lit. c DSGVO, der Datenverarbeitung zur Einhaltung rechtlicher Verpflichtungen erlaubt. Für viele Unternehmen stellt sich dabei die Frage, ob diese Rechtsgrundlage für rechtliche Verpflichtungen auch dann greift, wenn das Gesetz Pentests nicht explizit erwähnt, aber faktisch fordert. Dies ist etwa bei dem BSIG unterfallenden Unternehmen der Fall, aber auch Art. 32 DSGVO ist letztlich bei umfassenden und teils besonders sensiblen Datenverarbeitungen eines Unternehmens ohne Pentests kaum zu wahren (s.o.).

Deshalb muss sinnvollerweise auch insoweit Art. 6 Abs. 1 lit. c DSGVO jeweils in Verbindung mit dem die Pflicht begründenden Gesetz hier die Rechtsgrundlage bilden. Dies muss jedenfalls dann gelten, wenn Unternehmen ihren Pflichten nach §§ 30 f. BSIG oder Art. 32 DSGVO nicht anders nachkommen können als durch Pentesting. Ein hilfsweises Abstellen auf eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ist zwar möglich. Doch sinnvoll ist diese Konstruktion nicht, da gerade die hierbei bestehende Möglichkeit eines Widerspruchs einzelner betroffener Personen der letztlich verpflichtenden Durchführung der Tests widerspricht. Ebenso verhält es sich mit der Einholung freiwilliger Einwilligungen nach Art. 6 Abs. 1 lit. a DSGVO, die zur Rechtfertigung von Pentests nicht geeignet sind. Denn es kann nicht von der freiwilligen Entscheidung – beispielsweise eines einzelnen Mitarbeitenden – abhängen, ob in der gesamten IT-Umgebung des Unternehmens Sicherheitsvorkehrungen wie Pentests getroffen werden.

Ausnahmetatbestand nach Art. 9 DSGVO

Eine besondere datenschutzrechtliche Herausforderung ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Rahmen von Pentests. Unternehmen verarbeiten solche Daten regelmäßig, etwa zur Religionszugehörigkeit ihrer Mitarbeitenden für steuerliche Zwecke. Werden Systeme mit solchen Daten einbezogen, genügt Art. 6 DSGVO nicht. Zusätzlich ist ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO erforderlich.

Eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO ist praktisch ungeeignet, sodass letztlich nur der Rückgriff auf ein erhebliches öffentliches Interesse im Sinne von Art. 9 Abs. 2 lit. g DSGVO verbleibt. Ob jedoch die Durchführung von Pentests in Unternehmen und der damit verbundene technische Schutz der Rechte und Freiheiten der betroffenen Personen tatsächlich stets ein solches erhebliches öffentliches Interesse im Sinne der DSGVO sein kann, ist eine schwierige und im Einzelfall zu bewertende Frage. Angesichts der Bedrohungslage durch Cyberkriminalität und der Pflicht aller Verantwortlichen zur Umsetzung von Sicherheitsmaßnahmen – jedenfalls nach Art. 32 DSGVO – spricht viel dafür, die IT-Sicherheit (auch kleinerer privater Unternehmen) als ein solches gewichtiges öffentliches Interesse zu werten. Bei einer anderen Bewertung käme man jedenfalls zu dem Schluss, dass die schützenswerten besonderen Kategorien personenbezogener Daten gerade nicht durch Pentests besonders geschützt werden dürften. Gleichwohl verbleibt hier oft Rechtsunsicherheit, sodass behördliche Leitlinien wünschenswert erscheinen.

Beteiligung des Betriebsrats

Daneben stellt sich die Frage, inwieweit Unternehmen als Arbeitgeber mit gewähltem Betriebsrat die Mitwirkungs- und Mitbestimmungsrechte der Mitarbeitervertretung zu beachten haben, bevor ein Pentest durchgeführt wird. Dabei kann es den Rückhalt und die Akzeptanz in der Belegschaft in Bezug auf die innerbetriebliche IT-Sicherheit stärken, wenn der Betriebsrat in die Umsetzung von IT-Sicherheitsmaßnahmen aktiv einbezogen wird. Zugleich haben die Betriebsparteien die Grenzen der betrieblichen Mitbestimmung zu beachten, soweit Pentests als Schutzmaßnahme gesetzlich vorgeschrieben sind.

Unterrichtung und Kontrollrechte

Eine Kernaufgabe des Betriebsrats ist die Wahrnehmung von Überwachungspflichten, welche sich nach § 80 Abs. 1 Nr. 1 BetrVG insbesondere darauf erstrecken, dass die zugunsten der Arbeitnehmer geltenden Gesetze und Betriebsvereinbarungen durchgeführt werden. Davon umfasst sind insbesondere die nationalen und unionalen Datenschutzgesetze. Hingegen kann der Betriebsrat seine datenschutzrechtlich geprägte Überwachungspflicht nur wahrnehmen, wenn er Einblick in die innerbetrieblichen – personenbezogenen – Datenflüsse hat. Um dies zu ermöglichen, ist der Arbeitgeber nach § 80 Abs. 2 Satz 1 BetrVG verpflichtet, den Betriebsrat rechtzeitig und umfassend zu unterrichten, wenn der Arbeitgeber Vorhaben anstößt, die eine der allgemeinen Aufgaben des Betriebsrats berühren. Korrespondierend hierzu hat der Betriebsrat gemäß § 80 Abs. 2 Satz 1 BetrVG ein aufgaben- und anlassbezogenes Informationsrecht gegenüber dem Arbeitgeber.

Hinsichtlich eines vom Arbeitgeber in Auftrag gegebenen Pentests muss der Betriebsrat folglich in die Lage versetzt werden überprüfen zu können, ob ein nach § 87 Abs. 1 BetrVG mitbestimmungspflichtiger Sachverhalt vorliegt und die Datenschutzbestimmungen zugunsten der Arbeitnehmer eingehalten werden. In diesem Zusammenhang ist hervorzuheben, dass der Betriebsrat kein vollumfängliches und unbeschränktes Informationsrecht hat. Es ist stets zu bewerten, ob im Sinne von Art. 80 Abs. 2 Satz 2 BetrVG die angeforderten Unterlagen zur Wahrnehmung seiner Aufgabe – Arbeitnehmerdatenschutz – auch tatsächlich erforderlich sind. Erforderlich dürfte die Einsichtnahme von Unterlagen zu Pentests sein, bei denen die Schwachstelle „Mensch“ untersucht wird, indem der Pentester die Reaktion der Mitarbeiter auf Täuschungsversuche überprüft (sogenannte Social-Engineering-Tests). Hier hat der Betriebsrat im Kontext seiner Aufgabe des Arbeitnehmerdatenschutzes zu kontrollieren, ob die datenschutzrechtlichen Vorgaben eingehalten werden, insbesondere das Bestehen einer einschlägigen Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO.

Demgegenüber dürften die zwischen dem Arbeitgeber und Pentester vereinbarten technischen oder geschäftlichen Details zu Angriffszielen hinsichtlich der IP-Adressbereiche, dem Aufbau der IT-Infrastruktur oder IT-Systemen von Drittdienstleistern nicht von der Informationspflicht umfasst sein. Ein Bezug zum Arbeitnehmerdatenschutz besteht hier regelmäßig nicht. Während der Arbeitgeber zum Schutz der Persönlichkeits- und Datenschutzrechte der Mitarbeiter zur Offenlegung interner Vorgänge gegenüber dem Betriebsrat verpflichtet ist, hat der Betriebsrat nach § 79 Abs. 1 BetrVG im Gegenzug den Inhalt der offengelegten Unterlagen vertraulich zu behandeln und ist zur Verschwiegenheit verpflichtet.

Reichweite der Mitbestimmung im Lichte gesetzlicher Verpflichtungen zu Pentests

Die in § 87 Abs. 1 BetrVG aufgeführten betrieblichen Angelegenheiten dienen dem Schutz der Arbeitnehmer vor nachteiligen Maßnahmen des Arbeitgebers. Hingegen besteht nach § 87 Abs. 1 Hs. 1 BetrVG kein Mitbestimmungsrecht des Betriebsrats, wenn zwingende gesetzliche Regelungen den Arbeitgeber zur Umsetzung einer Maßnahme verpflichten. In solchen Konstellationen ist davon auszugehen, dass das Schutzbedürfnis der Arbeitnehmer vom Gesetzgeber bei der Ausgestaltung der gesetzlichen Verpflichtung ausreichend berücksichtigt wurde. Hat der Arbeitgeber hingegen trotz vorliegender gesetzlicher Verpflichtung einen Gestaltungsspielraum, hat der Betriebsrat im gleichen Umfang ein entsprechendes Mitbestimmungsrecht (BAG, Urt. v. 22.7.2014 – 1 ABR 96/12). Mithin ist mangels höchstrichterlicher Rechtsprechung fraglich und in der betrieblichen Praxis potenziell konfliktbehaftet, ob und in welchem Umfang die expliziten und impliziten gesetzlichen Pflichten in den IT-Sicherheitsgesetzen zur Durchführung von Pentests eine Sperrwirkung für die Mitbestimmung des Betriebsrats haben.

Einen Anhaltspunkt für eine restriktive Handhabung des Mitbestimmungsrechts gibt eine Entscheidung des hessischen Landesarbeitsgerichts (LAG Hessen, Beschl. v. 5.12.2024 – 5 TaBV 4/24). Gegenstand des Verfahrens vor dem LAG war das Mitbestimmungsrecht des Betriebsrates hinsichtlich der Einführung unternehmenseigener IT-Infrastruktur. Im dortigen Fall spiegelten die datenschutzrechtlichen Pflichten des Arbeitgebers die Grenze des Mitbestimmungsrechts des Betriebsrats wider. Insoweit ist der Betriebsrat auf seine allgemeine Überwachungsaufgabe und sein Unterrichtungsrecht beschränkt, wie das LAG ausführt. Die Übertragung dieses Rückschlusses auf IT-sicherheitsrechtliche Verpflichtungen liegt nahe, sofern Unternehmen wie eingangs ausgeführt zu Pentests verpflichtet sind.

Insbesondere bei expliziten gesetzlichen Verpflichtungen zum Pentesting – wie nach § 139e SGB V und Art. 25 f. DORA – dürfte der Gestaltungsspielraum des Arbeitgebers auf ein Maß reduziert sein, dass der Betriebsrat sowohl beim „Ob“ als auch „Wie“ grundsätzlich kein Mitbestimmungsrecht mehr hat. Ansonsten geriete das Unternehmen in die Lage, einer gesetzlichen Pflicht zur Durchführung von Pentests nachkommen zu müssen und bei Verzögerungen Bußgelder zu riskieren, während gleichzeitig zeitintensive Verhandlungen mit dem Betriebsrat erforderlich wären, deren Ausgang offen ist.

Weniger eindeutig ist die Rechtslage bei impliziten gesetzlichen Pflichten zur Durchführung von Pentests wie es im durch die NIS-2-Richtlinie regulierten Bereich für wichtige Einrichtungen nach §§ 30 f. BSIG, für Hersteller nach Anhang I Teil II Abs. 3 CRA und für Verantwortliche nach Art. 32 DSGVO der Fall ist. Hier hat der Unionsgesetzgeber den Unternehmen bei der Wahl der geeigneten IT-Sicherheitsmaßnahme einen Entscheidungsspielraum eingeräumt. Diese haben selbst zu entscheiden, ob angesichts ihres Risikoprofils die Durchführung von und die Art des Pentests angemessen sind.

Hier lassen sich unterschiedliche Rechtsansichten vertreten. Einerseits kann die unternehmensbezogene Risikoabwägung des mittelbar verpflichteten Arbeitgebers zu einer Situation vergleichbar mit einer „Ermessensreduzierung auf null“ führen, sodass die Durchführung von Pentests für den Einzelfall die gebotene IT-Sicherheitsmaßnahme zur Pflichterfüllung ist. Dann gilt auch für implizite Pentesting-Pflichten, dass der Betriebsrat auf seine allgemeine Überwachungsaufgabe und sein Unterrichtungsrecht beschränkt ist, da der Arbeitgeber keine andere Möglichkeit hat, seiner IT-Sicherheitspflicht nachzukommen als durch die Vornahme von Pentests. Ein Mitbestimmungsrecht seitens des Betriebsrats würden folglich auch nach diesem Ansatz auf Grund der gesetzlichen Sperrwirkung hinsichtlich des „Ob“ und „Wie“ ausscheiden.

Andererseits ist auf Grund der bestehenden Rechtsunsicherheit ebenso vertretbar, dass gerade dieser vom Unionsgesetzgeber vorgegebene Entscheidungsspielraum die Reichweite des Mitbestimmungsrechts des Betriebsrats vorgibt. So haben datenschutzrechtlich Verantwortliche nach Art. 32 Abs. 1 DSGVO und wichtige Einrichtungen nach § 30 Abs. 1 BSIG gemäß dem risikobasierten Ansatz eine umfassende Risikoabwägung vorzunehmen, im Rahmen dessen dem Betriebsrat zum Schutz der Arbeitnehmerinteressen ein vom Umfang gleichlaufendes Mitbestimmungsrecht zukommt, sofern eine Angelegenheit aus § 87 Abs. 1 BetrVG einschlägig ist. Im Ergebnis würde es auch nach diesem Ansatz keine Mitbestimmung des Betriebsrats hinsichtlich des „Ob“ des Pentests geben, allerdings in Bezug auf das „Wie“.

Verhaltens- und Leistungskontrolle

Sofern man der hier zuvor letztgenannten Ansicht folgt, könnte insbesondere bei Pentests mit Social Engineering Angriffen eine Verhaltens- und Leistungskontrolle mittels einer technischen Einrichtung erfolgen und das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG auslösen.

Dieses ist jedoch nur gegeben, wenn der Arbeitgeber auf Grund des Pentests, beispielsweise durch Einblick in die vom Pentester erstellte Dokumentation, einzelne Mitarbeiter individualisieren kann. So könnte die E-Mail-Kommunikation zwischen dem Pentester und einem Mitarbeiter offengelegt werden, aus der die Reaktion des Mitarbeiters auf den Täuschungsversuch hervorgeht und Rückschlüsse auf sein Arbeitsverhalten zulässt. Dies betrifft vor allem Pentests, die auf Social Engineering setzen.

In der Konsequenz müssten die Betriebsparteien eine Betriebsvereinbarung abschließen oder es wäre eine formlose Betriebsabsprache über die Durchführung von Pentests erforderlich. Sofern das keine praktischen Handlungsoptionen sind, hat der Arbeitgeber sicherzustellen, dass über den Pentest keine Verhaltens- und Leistungskontrolle stattfinden kann. Das dürfte erreicht werden, indem zwischen dem Pentester und Arbeitgeber vereinbart wird, dass im Abschlussbericht und der angefertigten Dokumentation die Arbeitnehmerdaten anonymisiert werden. Eine Re-Identifikation des Arbeitnehmers darf nicht mehr realistisch möglich sein, auch nicht unter Heranziehung der zusätzlich beim Arbeitgeber vorhandener Informationen, wie die Abteilungszugehörigkeit und Arbeitszeiten eines Mitarbeiters.

Fazit

Pentests sind nicht nur ein sinnvolles Instrument zur Erhöhung der IT-Sicherheit, sondern für viele Unternehmen aufgrund gesetzlicher Vorgaben – etwa nach BSIG, DORA oder DSGVO – verpflichtend. Datenschutzrechtlich ist insbesondere sicherzustellen, dass eine tragfähige Rechtsgrundlage für die Verarbeitung personenbezogener Daten besteht und mit externen Dienstleistern ein Auftragsverarbeitungsvertrag abgeschlossen wird. Besondere Aufmerksamkeit erfordert die Verarbeitung besonderer Kategorien personenbezogener Daten, die regelmäßig nur über den Ausnahmetatbestand des erheblichen öffentlichen Interesses gerechtfertigt werden kann.

Während dem Betriebsrat vor allem bei Pentests ein vollumfängliches Unterrichtungs- und Kontrollrecht zusteht, die einen Mitarbeiterbezug haben, ist die Reichweite des Mitbestimmungsrechts bei gesetzlich vorgeschriebenen Pentests eingeschränkt. Vor allem ist die Reichweite der Sperrwirkung aus § 87 Abs. 1 Hs. 1 BetrVG durch gesetzlich vorgeschriebene IT-Sicherheitspflichten bis zu einer höchstrichterlichen Klärung mit Rechtsunsicherheit behaftet.

Autoren:	Florian Groothuis, M.A. (IT-Law) ist Rechtsanwalt bei ByteLaw. Der Autor berät nationale und internationale Mandanten im Bereich des Datenschutzes sowie IT-Sicherheitsrechts und unterstützt Unternehmen rechtlich beim Aufbau einer Data Governance Struktur.
	Dr. Roman Schildbach ist Rechtsanwalt bei ByteLaw. Er berät private und staatliche Mandanten zu IT-rechtlichen Fragen, insbesondere aus den Bereichen des Datenschutz-, Datensicherheits- und Datenwirtschaftsrechts.