Aktuell erhalten Website-Betreiber vermehrt irreführende E-Mails, die eine angebliche gesetzliche Pflicht zu Penetrationstests nach DSGVO vorgeben. Diese Nachrichten sind nicht seriös und versuchen, durch falsche rechtliche Androhungen Druck aufzubauen. Unsere Analyse zeigt: Es handelt sich um einen klassischen Betrugsversuch, der die Komplexität der DSGVO gezielt ausnutzt.

Die E-Mail ist ein sorgfältig konstruiertes Werkzeug, das falsche Dringlichkeit und Autorität vermitteln soll. Die verwendeten Taktiken sind charakteristisch für Betrugsversuche:

• **Falsche Identität:** Der Unterzeichner „i.A. Andreas Bergmann“ (Leitung Beratung & Anmeldung) erscheint im Impressum der Website nicht. Stattdessen wird ein „Herr Michael Hoffmann“ genannt. Dies dient der Verschleierung.
• **Ausländische Gesellschaft:** Als Anbieter wird die „Digital Solution Group Limited“ mit Sitz in London genannt. Dies erschwert die rechtliche Verfolgung und ist ein typisches Merkmal.
• **Keine Telefonauskunft:** Das Impressum schottet sich explizit mit dem Hinweis „KEINE TELEFONISCHE AUSKUNFT, KEINE RECHTSBERATUNG!“ ab. Seriöse Anbieter sind erreichbar.
• **Manipulative Darstellung von Bußgeldern:** Die Androhung pauschaler Strafen in Höhe von 2 % des Jahresumsatzes ist eine grobe Vereinfachung der tatsächlichen, risikobasierten Bußgeldpraxis der Aufsichtsbehörden.

Die DSGVO ist eine Flexibilitätsnorm. Artikel 32 verpflichtet zu angemessenen Sicherheitsmaßnahmen, schreibt aber **keine spezifischen Methoden** wie Penetrationstests vor.

**Die vier Säulen der Sicherheit nach Art. 32 Abs. 1:**
1. **Pseudonymisierung und Verschlüsselung** personenbezogener Daten.
2. Gewährleistung der **Vertraulichkeit, Integrität, Verfügbarkeit** und Belastbarkeit der Systeme.
3. Fähigkeit zur **schnellen Wiederherstellung** der Verfügbarkeit nach einem Vorfall.
4. Einrichtung eines Verfahrens zur **regelmäßigen Überprüfung** der Wirksamkeit der Maßnahmen.

**Die Rolle von Penetrationstests:**
Ein Pentest ist ein *mögliches Mittel* zur Erfüllung von Punkt 4, aber **keine gesetzliche Pflicht**. Die Wahl der konkreten Maßnahmen obliegt dem Verantwortlichen unter Berücksichtigung des Risikos. Ein seriöser Anbieter benötigt für einen Pentest zudem eine klare vertragliche Grundlage, um nicht selbst gegen Datenschutzgesetze zu verstoßen – etwas, was dieser Anbieter ignoriert.

Die Drohung mit pauschalen 2 %-Umsatzstrafen ist irreführend. Aufsichtsbehörden bemessen Bußgelder nach Art. 83 DSGVO nach einer Vielzahl von Kriterien:
• **Art, Schwere und Dauer** des Verstoßes
• **Vorsätzlichkeit oder Fahrlässigkeit**
• **Ergreifung von Maßnahmen** zur Schadensminderung
• **Grad der Verantwortlichkeit** (inkl. technischer & organisatorischer Maßnahmen)
• **Vorherige Verstöße** und Kooperationsbereitschaft
Die genannten Prozentsätze sind **rechtliche Obergrenzen**, keine automatischen Strafen. Die Praxis ist differenziert und verhältnismäßig.

Wenn Sie eine solche E-Mail erhalten:
• **Nicht antworten**
• **Keine Links anklicken**
• **Keine Anhänge öffnen**
• **Keine Daten preisgeben**
• **Vorfall melden** an betrugsmeldung@muenchen.de oder Ihre lokale Verbraucherschutzbehörde
• **E-Mail als Spam markieren** und löschen