Datenschutzkonforme Durchführung von Penetrationstests und Grenzen der Betriebsratsbeteiligung

IT-Sicherheit ist das Gebot der Stunde. Allein im Jahr 2024 ist durch Cybercrime nach der Studie Wirtschaftsschutz des BITKOM e. V. ein Schaden von 178,6 Mrd. Euro entstanden. Um Angriffen auf die IT-Infrastruktur eines Unternehmens präventiv entgegenzuwirken, sollten Penetrationstests (Pentests) ein essenzieller Baustein in der IT-Sicherheitsarchitektur eines jeden Unternehmens sein. Nicht selten sind die Tests sogar gesetzlich vorgeschrieben. Bei dieser IT-Sicherheitsmaßnahme gibt es jedoch einige datenschutzrechtliche Stolpersteine zu beachten. Zudem stellt sich die Frage, wie weitreichend das Unterrichtungs- und Mitbestimmungsrecht des Betriebsrats ist. Die Antwort hängt im Wesentlichen davon ab, inwieweit das jeweilige Unternehmen zur Durchführung von Pentests verpflichtet ist.