Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Gesamtzahl der Tests:
485,773,462
737,046
130,956

Hong Kong PDPO Compliance

Hong Kong's Personal Data (Privacy) Ordinance (PDPO) requires data users to safeguard personal data with all practicable security steps.Learn how ImmuniWeb helps you meet Data Protection Principle 4.

Lesezeit:8 Min. Aktualisiert:8. Juli 2025
Einhaltung der Hong Kong Personal Data Privacy Ordinance (PDPO)
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über
die Einhaltung der Hongkonger Verordnung zum Schutz personenbezogener Daten (PDPO)

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Einhaltung der Hong Kong Personal Data Privacy Ordinance (PDPO)

Was ist die Hong Kong PDPO?

Das PDPO regelt, wie Organisationen personenbezogene Daten erheben, aufbewahren, verarbeiten und nutzen. Seine sechs Data Protection Principles (DPPs) umfassen Zweck und Mittel der Erhebung, Richtigkeit und Aufbewahrungsdauer, Nutzung, Sicherheit, Offenlegung sowie das Recht auf Auskunft und Berichtigung durch die betroffene Person.

Sie gilt für „Datenverwender“, die die Erhebung, Aufbewahrung, Verarbeitung oder Nutzung personenbezogener Daten kontrollieren. Die PCPD untersucht Beschwerden, erlässt Vollstreckungsbescheide und veröffentlicht Richtlinien; die Änderungen von 2021 führten zudem Straftatbestände gegen Doxxing ein.

See how ImmuniWeb helps you meet PDPO Data Protection Principle 4- the security of the personal data your web and mobile apps hold. Request a demo· or run a free Community Edition test.

Wer muss die PDPO einhalten?

Die PDPO gilt für:

  • Datennutzer (öffentlich oder privat), die die Erhebung, Aufbewahrung, Verarbeitung oder Nutzung personenbezogener Daten in oder aus Hongkong kontrollieren.
  • Organisationen jeder Größe und Branche, die personenbezogene Daten von Einzelpersonen verarbeiten.
  • Data processors engaged by data users, who remain responsible for their processors' security.

Jede Organisation, die Web- und mobile Anwendungen betreibt, die personenbezogene Daten speichern, muss gemäß DPP4 alle zumutbaren Maßnahmen ergreifen, um diese zu schützen.

Wichtige PDPO-Anforderungen an die Anwendungssicherheit

Die Anwendungssicherheit fällt unter den vierten Datenschutzgrundsatz:

  • DPP4 – Sicherheit personenbezogener Daten: Treffen Sie alle zumutbaren Maßnahmen, um personenbezogene Daten vor unbefugtem oder versehentlichem Zugriff, Verarbeitung, Löschen, Verlust oder Nutzung zu schützen.
  • Risikobasierte Überlegungen: die Sensibilität der Daten, der durch einen Vorfall verursachte Schaden, der Speicherort der Daten und die an Systemen und Übertragungen angewendeten Sicherheitsmaßnahmen.
  • Umgang mit Datenschutzverletzungen: Die PCPD empfiehlt eine schnelle Bearbeitung und Meldung von Datenschutzverletzungen gemäß ihren Leitlinien.

PDPO-Sicherheitsanforderungen im Detail

DPP4 - Security of Personal Data

DPP4 verpflichtet Datennutzer, „alle zumutbaren Maßnahmen“ zu ergreifen, um personenbezogene Daten zu schützen. Für internetexponierte Systeme bedeutet dies, die Web- und Mobile-Anwendungen, APIs und die Infrastruktur, die personenbezogene Daten speichern, auf Schwachstellen zu testen und die gefundenen Mängel zu beheben – sowohl vor als auch nach wesentlichen Änderungen.

Umgang mit Datenschutzverletzungen

Zwar war die Meldung von Datenschutzverletzungen historisch eher empfohlen als verpflichtend, doch die Leitlinien der PCPD sehen eine prompte Bearbeitung und Benachrichtigung vor. Die Reduzierung der Eintrittswahrscheinlichkeit von Vorfällen durch regelmäßige Anwendungstests ist der effektivste Weg, diesen Erwartungen stets zuvorzukommen.

Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind

Datenschutzverletzungen beginnen häufig mit anfälligen Web- und mobilen Anwendungen. Die Risiken, die DPP4 erwartet, dass Sie diese adressieren, stimmen weitgehend mit den OWASP Top 10 überein:

  • Zugriffsfehlsteuerung — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
  • Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
  • Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
  • Insecure Design — missing security controls by design, not just by bug.
  • Security Misconfiguration — Standard-, unvollständige oder unsichere Konfiguration.
  • Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
  • Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
  • Software- und Datenintegritätsfehler — nicht vertrauenswürdige Updates, unsichere CI/CD-Pipelines.
  • Security Logging & Monitoring Failures — attacks going undetected.
  • Server-Side Request Forgery (SSRF) – Der Server wird dazu verleitet, bösartige Anfragen zu stellen.

Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.

How to Approach PDPO Application Security with ImmuniWeb

  1. Kartieren Sie Ihre Angriffsfläche. Erfassen Sie mit ImmuniWeb Discovery alle internetexponierten Apps und Assets.
  2. Testen Sie Webanwendungen mit On-Demand (Penetrationstests) und Neuron (Scanning).
  3. Testen Sie mobile Anwendungen mit MobileSuite und Neuron Mobile.
  4. Beseitigen und erneut testen mit umsetzbaren, fehlerfreien Reports – Nachweis für 'all practicable steps'.
  5. Keep testing continuously with Continuous in CI/CD and periodic re-testing.
  6. Monitor for leaks with Discovery dark-web monitoring.

So hilft Ihnen ImmuniWeb bei der Einhaltung der PDPO-Anforderungen

ImmuniWeb unterstützt Datennutzer beim Ergreifen und Nachweisen der von DPP4 geforderten „alle praktikablen Maßnahmen“.

Anforderung Was erforderlich ist ImmuniWeb-Produkte
DPP4 Ergreifen Sie alle vertretbaren Maßnahmen zum Schutz personenbezogener Daten. On-Demand, Neuron, Discovery, Continuous
Apps & Daten Sichere Web-/Mobile-Apps mit personenbezogenen Daten. On-Demand, Neuron, MobileSuite, Neuron Mobile
Bereitschaft auf Datenschutzverletzungen Detect exposure and leaked data; keep attack surface mapped. Discovery (ASM / Dark Web)

ImmuniWeb On-Demand und MobileSuite bieten Web- und mobile Penetrationstests; Neuron und Neuron Mobile stellen automatisierte Scans bereit; Continuous integriert Tests in CI/CD; und Discovery kartiert Ihre Angriffsfläche und überwacht das Dark Web auf durchgesickerte personenbezogene Daten.

PDPO im Vergleich zu internationalen Rahmenwerken

Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:

Framework Aspekt der Anwendungssicherheit Wie ImmuniWeb abbildet
Hong Kong PDPO DPP4 security of personal data Web-/Mobile-Penetrationstests, Scans, ASM, Dark Web-Monitoring
Singapur PDPA § 24 Schutzpflicht Dieselben Tests decken beide ab
EU-DSGVO Artikel 32 Sicherheit der Verarbeitung Dieselben Tests decken beide ab
ISO/IEC 27001 Anhang A technische Kontrollen Tests als Kontrollnachweis

Penetrationstests vs. Security Scanning

Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.

Compliance-Checkliste (Anwendungssicherheit)

  • Inventarisierung der Internet-exponierten Apps und exponierten Assets
  • Webanwendungen, die nach OWASP Top 10 getestet wurden
  • Mobile Anwendungen, die gegen die OWASP Mobile Top 10 getestet wurden
  • Alle vertretbaren Sicherheitsmaßnahmen umgesetzt und überprüft (DPP4)
  • Auftragsverarbeiter unterliegen gleichwertigen Sicherheitsstandards
  • Mängel behoben und erneut getestet; Aufzeichnungen aufbewahrt.
  • Exposure- und Dark-Web-Monitoring vorhanden

Why PDPO Compliance Matters

Das PCPD kann Durchsetzungsanordnungen erlassen, und Nichteinhaltung kann zu Geldbußen führen. Bei Doxxing-Verstößen, die 2021 eingeführt wurden, drohen Bußgelder von bis zu 1.000.000 HK$ und Haftstrafen von bis zu fünf Jahren. Ein Verstoß verursacht zudem Reputationsschäden in einem wichtigen Finanzzentrum.

Da Web- und mobile Anwendungen ein führender Verletzungsvektor sind, ist das nachweisbare Absichern und Testen eine der klarsten Möglichkeiten, DPP4 zu erfüllen und das Risiko zu reduzieren.

Häufig gestellte Fragen

  • Q
    Was ist die Hong Kong PDPO?
    A
    The Personal Data (Privacy) Ordinance (Cap. 486), Hong Kong's data protection law, in force since 1996 and built around six Data Protection Principles.
  • Q
    Wer reguliert die PDPO?
    A
    Das Amt des Datenschutzbeauftragten für personenbezogene Daten (PCPD).
  • Q
    Wer muss die PDPO einhalten?
    A
    Datenverwender (öffentlich oder privat), die die Erhebung, Speicherung, Verarbeitung oder Nutzung personenbezogener Daten in oder aus Hongkong kontrollieren.
  • Q
    Was ist DPP4?
    A
    Datenschutzgrundsatz 4 verlangt von Datenverwendern, alle praktikablen Schritte zu unternehmen, um personenbezogene Daten vor unbefugtem oder zufälligem Zugriff, Verarbeitung, Löschung, Verlust oder Nutzung zu schützen.
  • Q
    Verlangt die PDPO Sicherheitstests?
    A
    Der DPP4-Standard 'alle praktikablen Maßnahmen' wird in der Praxis durch Penetrationstests und Schwachstellenscans von Systemen erfüllt, die personenbezogene Daten enthalten.
  • Q
    Wie unterstützt ImmuniWeb bei der PDPO-Konformität?
    A
    Durch das Testen und Absichern von Web- und Mobilanwendungen, die personenbezogene Daten enthalten, sowie durch die Überwachung der Angriffsfläche auf Exponierung.
  • Q
    What are the penalties under the PDPO?
    A
    Vollstreckungsbescheide und Geldbußen; Doxxing-Verstöße können mit Geldbußen in Höhe von bis zu HK$ 1.000.000 sowie Freiheitsstrafen von bis zu 5 Jahren geahndet werden.
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über
die Einhaltung der Hongkonger Verordnung zum Schutz personenbezogener Daten (PDPO)

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.
Sprechen Sie mit einem Experten