EU-DSGVO-Konformität
The EU GDPR governs how organizations protect the personal data of people in the EU. Learn how ImmuniWeb helps you meet its Article 32 security-of-processing obligations with web and mobile application testing.
EU-DSGVO-Konformität
What Is the EU GDPR?
The GDPR sets out how organizations may collect, use, store and transfer the personal data of individuals (data subjects) in the EU. It is built on principles such as lawfulness, purpose limitation, data minimization, accuracy, storage limitation, and integrity and confidentiality.
It defines the roles of data controllers and processors, grants data subjects extensive rights (access, rectification, erasure, portability and more), and requires organizations to demonstrate accountability. Crucially for security teams, it requires appropriate technical and organisational measures to protect personal data.
Erfahren Sie, wie ImmuniWeb Ihnen hilft, GDPR Article 32 zu erfüllen — Sicherheit der Verarbeitung für Web- und Mobile Apps, die personenbezogene Daten verarbeiten. Fordern Sie eine Demo an · oder führen Sie einen kostenlosen Community Edition-Test durch.
Wer unterliegt der DSGVO?
Die DSGVO gilt umfassend und extraterritorial:
- Verantwortliche und Auftragsverarbeiter in der EU, die personenbezogene Daten verarbeiten.
- Organisationen außerhalb der EU, die Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten in der EU überwachen.
- Jeder Sektor und jede Größe — von Startups über multinationale Konzerne bis hin zu öffentlichen Einrichtungen.
Jede Organisation, die internetexponierte Web- und mobile Anwendungen betreibt, die personenbezogene Daten verarbeiten, muss nachweisen können, dass diese Anwendungen gesichert und getestet sind.
Wichtige DSGVO-Anforderungen an die Anwendungssicherheit
Mehrere Artikel treiben die Anwendungssicherheitsarbeit an; der zentrale ist Artikel 32:
- • Artikel 32 – Sicherheit der Verarbeitung: geeignete technische und organisatorische Maßnahmen, einschließlich Verschlüsselung/Pseudonymisierung, Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit, sowie ein Verfahren zur regelmäßigen Prüfung, Bewertung und Beurteilung ihrer Wirksamkeit.
- Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: Integration von Sicherheit und Datenschutz von Beginn an in Systeme (ein sicheres SDLC).
- Artikel 5 Absatz 1 Buchstabe f — Integrität und Vertraulichkeit: Schutz personenbezogener Daten vor unbefugter Verarbeitung, Verlust oder Beschädigung.
- Artikel 33–34 — Meldung von Datenschutzverletzungen: Benachrichtigung der Aufsichtsbehörde innerhalb von 72 Stunden und, sofern erforderlich, der betroffenen Personen.
GDPR Security Requirements in Depth
Artikel 32 – Sicherheit der Verarbeitung
Artikel 32 verlangt ausdrücklich „einen Prozess zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen“. In der Praxis bedeutet dies Penetrationstests und Schwachstellenscans für Web- und Mobile-Apps, APIs und Infrastruktur, die personenbezogene Daten verarbeiten – durchgeführt regelmäßig und nach wesentlichen Änderungen, wobei die festgestellten Mängel behoben und erneut getestet werden.
Artikel 25 — Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
Security must be engineered in, not bolted on. Embedding security testing into the software development life cycle (DevSecOps / CI/CD) helps satisfy Article 25 and keeps applications secure release after release.
Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind
Die meisten Datenschutzverletzungen passieren durch verwundbare Web- und mobile Anwendungen. Die Risiken, deren Prävention und Überprüfung Artikel 32 der DSGVO von Ihnen erwartet, entsprechen weitgehend den OWASP Top 10:
- Broken Access Control — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
- Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
- Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
- Unsicheres Design – fehlende Sicherheitskontrollen im Design, nicht nur durch Bugs.
- Security Misconfiguration — default, incomplete or unsafe configuration.
- Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
- Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
- Software & Data Integrity Failures — untrusted updates, insecure CI/CD pipelines.
- Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
- Server-Side Request Forgery (SSRF) — der Server wird dazu gebracht, bösartige Anfragen zu stellen.
Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.
Wie Sie die Anwendungssicherheit gemäß DSGVO mit ImmuniWeb gestalten
- Entdecken Sie Ihre Assets. Inventarisieren Sie internetzugängliche Apps, APIs und exponierte Daten mit ImmuniWeb Discovery (Attack Surface Management).
- Testen Sie Webanwendungen mit manuellen Penetrationstests (On-Demand) und automatisierten Scans (Neuron).
- Testen Sie mobile Anwendungen mit MobileSuite und Neuron Mobile.
- Beheben und erneut testen mit umsetzbaren, fehlerfreien Berichten – als Nachweis für „regelmäßige Tests“ gemäß Artikel 32.
- Integrieren Sie Tests in CI/CD mit Continuous, um Article 25 (Data Protection by Design) zu unterstützen.
- Überwachen Sie die Angriffsfläche mit Discovery, einschließlich der Überwachung des Dark Web auf geleakte personenbezogene Daten.
So hilft Ihnen ImmuniWeb bei der Einhaltung der DSGVO
ImmuniWeb unterstützt die DSGVO-Pflichten zur Verarbeitungssicherheit mit Tests, die klare, auditfähige Nachweise liefern.
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| Artikel 32 | Regelmäßige Tests und Bewertung der Wirksamkeit von Sicherheitsmaßnahmen zum Schutz personenbezogener Daten. | On-Demand, Neuron, Discovery, Continuous |
| Artikel 25 | Sicherheit durch Design und standardmäßig in Anwendungen integrieren (secure SDLC). | Continuous, Neuron |
| Apps und Datenexposition | Secure web/mobile apps processing personal data; detect leaks and exposed assets. | On-Demand, MobileSuite, Neuron Mobile, Discovery |
ImmuniWeb On-Demand bietet manuelle Penetrationstests für Webanwendungen mit einer SLA für null False Positives; Neuron und Neuron Mobile bieten automatisierte Scans; MobileSuite umfasst mobile Penetrationstests; Continuous integriert Tests in CI/CD; und Discovery kartiert Ihre Angriffsfläche und überwacht das Dark Web auf gelockerte personenbezogene Daten.
DSGVO im Vergleich zu internationalen Rahmenwerken
Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:
| Framework | Aspekt der Anwendungssicherheit | Wie ImmuniWeb abbildet |
|---|---|---|
| EU-DSGVO | Artikel 32: Sicherheit der Verarbeitung + regelmäßige Tests | Web-/Mobile-Penetrationstests, Scans, ASM, Dark Web-Monitoring |
| UK-DSGVO | Equivalent security-of-processing duty | Dieselben Tests decken beide ab |
| ISO/IEC 27001 | Anhang A technische Kontrollen | Penetrationstests und Scanning als Kontrollevidenz |
| NIST CSF 2.0 | Schutz-/Erkennungsfunktionen | Anwendungstests und kontinuierliche Überwachung |
Penetrationstests vs. Security Scanning
Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.
Compliance-Checkliste (Anwendungssicherheit)
- Inventar internetzugänglicher Apps, APIs und exponierter Assets
- Webanwendungen, die nach OWASP Top 10 getestet wurden
- Mobile Anwendungen, die gegen die OWASP Mobile Top 10 getestet wurden
- Sicherheitstests in den SDLC integriert (Artikel 25)
- Regelmäßige Tests dokumentiert für Artikel 32
- Mängel behoben und erneut getestet; Aufzeichnungen aufbewahrt.
- Dark-Web- und Exposure-Monitoring für durchgesickerte personenbezogene Daten
Warum DSGVO-Konformität wichtig ist
Die DSGVO sieht einige der höchsten Strafen im Datenschutz vor – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – und die Aufsichtsbehörden haben gezeigt, dass sie davon Gebrauch machen werden. Über Geldbußen hinaus löst eine Verletzung des Schutzes personenbezogener Daten eine 72-Stunden-Meldepflicht, behördliche Überprüfungen und Reputationsschäden aus.
Da Web- und mobile Anwendungen zu den am häufigsten ausgenutzten Eintrittspunkten gehören, ist deren nachweisbare Prüfung eine der wirksamsten Methoden, um Artikel 32 zu erfüllen und das Risiko von Datenschutzverletzungen zu verringern. F