Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Gesamtzahl der Tests:
485,773,462
737,046
130,956

EU-DSGVO-Konformität

The EU GDPR governs how organizations protect the personal data of people in the EU. Learn how ImmuniWeb helps you meet its Article 32 security-of-processing obligations with web and mobile application testing.

Lesezeit:8 Min. Aktualisiert:8. Juli 2025
Einhaltung der Datenschutz-Grundverordnung (DSGVO)
Bitte füllen Sie die unten rot markierten Felder aus.

Talk to a Specialist about
EU GDPR Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

EU-DSGVO-Konformität

What Is the EU GDPR?

The GDPR sets out how organizations may collect, use, store and transfer the personal data of individuals (data subjects) in the EU. It is built on principles such as lawfulness, purpose limitation, data minimization, accuracy, storage limitation, and integrity and confidentiality.

It defines the roles of data controllers and processors, grants data subjects extensive rights (access, rectification, erasure, portability and more), and requires organizations to demonstrate accountability. Crucially for security teams, it requires appropriate technical and organisational measures to protect personal data.

Erfahren Sie, wie ImmuniWeb Ihnen hilft, GDPR Article 32 zu erfüllen — Sicherheit der Verarbeitung für Web- und Mobile Apps, die personenbezogene Daten verarbeiten. Fordern Sie eine Demo an · oder führen Sie einen kostenlosen Community Edition-Test durch.

Wer unterliegt der DSGVO?

Die DSGVO gilt umfassend und extraterritorial:

  • Verantwortliche und Auftragsverarbeiter in der EU, die personenbezogene Daten verarbeiten.
  • Organisationen außerhalb der EU, die Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten in der EU überwachen.
  • Jeder Sektor und jede Größe — von Startups über multinationale Konzerne bis hin zu öffentlichen Einrichtungen.

Jede Organisation, die internetexponierte Web- und mobile Anwendungen betreibt, die personenbezogene Daten verarbeiten, muss nachweisen können, dass diese Anwendungen gesichert und getestet sind.

Wichtige DSGVO-Anforderungen an die Anwendungssicherheit

Mehrere Artikel treiben die Anwendungssicherheitsarbeit an; der zentrale ist Artikel 32:

  • • Artikel 32 – Sicherheit der Verarbeitung: geeignete technische und organisatorische Maßnahmen, einschließlich Verschlüsselung/Pseudonymisierung, Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit, sowie ein Verfahren zur regelmäßigen Prüfung, Bewertung und Beurteilung ihrer Wirksamkeit.
  • Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: Integration von Sicherheit und Datenschutz von Beginn an in Systeme (ein sicheres SDLC).
  • Artikel 5 Absatz 1 Buchstabe f — Integrität und Vertraulichkeit: Schutz personenbezogener Daten vor unbefugter Verarbeitung, Verlust oder Beschädigung.
  • Artikel 33–34 — Meldung von Datenschutzverletzungen: Benachrichtigung der Aufsichtsbehörde innerhalb von 72 Stunden und, sofern erforderlich, der betroffenen Personen.

GDPR Security Requirements in Depth

Artikel 32 – Sicherheit der Verarbeitung

Artikel 32 verlangt ausdrücklich „einen Prozess zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen“. In der Praxis bedeutet dies Penetrationstests und Schwachstellenscans für Web- und Mobile-Apps, APIs und Infrastruktur, die personenbezogene Daten verarbeiten – durchgeführt regelmäßig und nach wesentlichen Änderungen, wobei die festgestellten Mängel behoben und erneut getestet werden.

Artikel 25 — Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Security must be engineered in, not bolted on. Embedding security testing into the software development life cycle (DevSecOps / CI/CD) helps satisfy Article 25 and keeps applications secure release after release.

Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind

Die meisten Datenschutzverletzungen passieren durch verwundbare Web- und mobile Anwendungen. Die Risiken, deren Prävention und Überprüfung Artikel 32 der DSGVO von Ihnen erwartet, entsprechen weitgehend den OWASP Top 10:

  • Broken Access Control — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
  • Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
  • Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
  • Unsicheres Design – fehlende Sicherheitskontrollen im Design, nicht nur durch Bugs.
  • Security Misconfiguration — default, incomplete or unsafe configuration.
  • Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
  • Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
  • Software & Data Integrity Failures — untrusted updates, insecure CI/CD pipelines.
  • Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
  • Server-Side Request Forgery (SSRF) — der Server wird dazu gebracht, bösartige Anfragen zu stellen.

Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.

Wie Sie die Anwendungssicherheit gemäß DSGVO mit ImmuniWeb gestalten

  1. Entdecken Sie Ihre Assets. Inventarisieren Sie internetzugängliche Apps, APIs und exponierte Daten mit ImmuniWeb Discovery (Attack Surface Management).
  2. Testen Sie Webanwendungen mit manuellen Penetrationstests (On-Demand) und automatisierten Scans (Neuron).
  3. Testen Sie mobile Anwendungen mit MobileSuite und Neuron Mobile.
  4. Beheben und erneut testen mit umsetzbaren, fehlerfreien Berichten – als Nachweis für „regelmäßige Tests“ gemäß Artikel 32.
  5. Integrieren Sie Tests in CI/CD mit Continuous, um Article 25 (Data Protection by Design) zu unterstützen.
  6. Überwachen Sie die Angriffsfläche mit Discovery, einschließlich der Überwachung des Dark Web auf geleakte personenbezogene Daten.

So hilft Ihnen ImmuniWeb bei der Einhaltung der DSGVO

ImmuniWeb unterstützt die DSGVO-Pflichten zur Verarbeitungssicherheit mit Tests, die klare, auditfähige Nachweise liefern.

Anforderung Was erforderlich ist ImmuniWeb-Produkte
Artikel 32 Regelmäßige Tests und Bewertung der Wirksamkeit von Sicherheitsmaßnahmen zum Schutz personenbezogener Daten. On-Demand, Neuron, Discovery, Continuous
Artikel 25 Sicherheit durch Design und standardmäßig in Anwendungen integrieren (secure SDLC). Continuous, Neuron
Apps und Datenexposition Secure web/mobile apps processing personal data; detect leaks and exposed assets. On-Demand, MobileSuite, Neuron Mobile, Discovery

ImmuniWeb On-Demand bietet manuelle Penetrationstests für Webanwendungen mit einer SLA für null False Positives; Neuron und Neuron Mobile bieten automatisierte Scans; MobileSuite umfasst mobile Penetrationstests; Continuous integriert Tests in CI/CD; und Discovery kartiert Ihre Angriffsfläche und überwacht das Dark Web auf gelockerte personenbezogene Daten.

DSGVO im Vergleich zu internationalen Rahmenwerken

Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:

Framework Aspekt der Anwendungssicherheit Wie ImmuniWeb abbildet
EU-DSGVO Artikel 32: Sicherheit der Verarbeitung + regelmäßige Tests Web-/Mobile-Penetrationstests, Scans, ASM, Dark Web-Monitoring
UK-DSGVO Equivalent security-of-processing duty Dieselben Tests decken beide ab
ISO/IEC 27001 Anhang A technische Kontrollen Penetrationstests und Scanning als Kontrollevidenz
NIST CSF 2.0 Schutz-/Erkennungsfunktionen Anwendungstests und kontinuierliche Überwachung

Penetrationstests vs. Security Scanning

Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.

Compliance-Checkliste (Anwendungssicherheit)

  • Inventar internetzugänglicher Apps, APIs und exponierter Assets
  • Webanwendungen, die nach OWASP Top 10 getestet wurden
  • Mobile Anwendungen, die gegen die OWASP Mobile Top 10 getestet wurden
  • Sicherheitstests in den SDLC integriert (Artikel 25)
  • Regelmäßige Tests dokumentiert für Artikel 32
  • Mängel behoben und erneut getestet; Aufzeichnungen aufbewahrt.
  • Dark-Web- und Exposure-Monitoring für durchgesickerte personenbezogene Daten

Warum DSGVO-Konformität wichtig ist

Die DSGVO sieht einige der höchsten Strafen im Datenschutz vor – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – und die Aufsichtsbehörden haben gezeigt, dass sie davon Gebrauch machen werden. Über Geldbußen hinaus löst eine Verletzung des Schutzes personenbezogener Daten eine 72-Stunden-Meldepflicht, behördliche Überprüfungen und Reputationsschäden aus.

Da Web- und mobile Anwendungen zu den am häufigsten ausgenutzten Eintrittspunkten gehören, ist deren nachweisbare Prüfung eine der wirksamsten Methoden, um Artikel 32 zu erfüllen und das Risiko von Datenschutzverletzungen zu verringern. F

Häufig gestellte Fragen

  • Q
    Was ist die DSGVO?
    A
    Die Datenschutz-Grundverordnung (EU) 2016/679 ist das seit dem 25. Mai 2018 geltende Datenschutzgesetz der EU, das festlegt, wie Organisationen die personenbezogenen Daten von Personen in der EU verarbeiten.
  • Q
    Wer muss die DSGVO einhalten?
    A
    Jeder Verantwortliche oder Auftragsverarbeiter, der personenbezogene Daten von Personen in der EU verarbeitet, einschließlich Organisationen mit Sitz außerhalb der EU, die sich an EU-Bewohner richten oder diese überwachen.
  • Q
    Was fordert Artikel 32?
    A
    TAppropriate technical and organisational security measures and a process for regularly testing, assessing and evaluating their effectiveness.
  • Q
    Does the GDPR require penetration testing?
    A
    Die in Artikel 32 festgelegte Anforderung einer „regelmäßigen Prüfung“ der Sicherheitsmaßnahmen wird in der Praxis durch Penetrationstests und Schwachstellenscans von Systemen erfüllt, die personenbezogene Daten verarbeiten.
  • Q
    Wie unterstützt ImmuniWeb bei der DSGVO-Konformität?
    A
    By testing and securing the web and mobile applications that process personal data, embedding testing into the SDLC, and monitoring the attack surface and dark web for exposure.
  • Q
    What are the GDPR fines?
    A
    Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
  • Q
    Gilt die DSGVO auch für Unternehmen außerhalb der EU?
    A
    Ja, wenn sie Waren oder Dienstleistungen an Personen in der EU anbieten oder das Verhalten von Personen in der EU überwachen.
Bitte füllen Sie die unten rot markierten Felder aus.

Talk to a Specialist about
EU GDPR Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.
Sprechen Sie mit einem Experten