Achtung vor Fake-Mails zu „DSGVO-Pentest“ – was wirklich dahinter steckt

---

Einleitung: die Mail, die Panik machen soll

Vor kurzem landete eine Mail in meinem Postfach. Auf den ersten Blick sah sie ernst aus.
Absender: „DSGVO-Pentest Prüfservice“.
Inhalt: dramatische Warnungen zu hohen Bußgeldern, wenn ich nicht sofort einen „regelmäßigen, zertifizierten Sicherheitstest“ meiner Webseite durchführe. Verweise auf die DSGVO inklusive.

Klingt seriös? Ist es nicht.
Es handelt sich um Spam. Um eine Masche, die Angst macht, um Leistungen zu verkaufen, die niemand in dieser Form braucht.

Genau deshalb schreibe ich diesen Artikel: Damit du erkennst, wie solche Mails aufgebaut sind, warum die Drohungen nicht stimmen – und wie du deine IT-Sicherheit wirklich im Griff hast.

---

Inhalt der "Pentest-Mail":

Betreff: Fristsache: Pflichtprüfung nach DSGVO Art. 32

Sehr geehrte Damen und Herren,

nach Datenschutzgrundverordnung (DSGVO Art. 32 Abs.1) sind Unternehmen, die eine Webseite mit Datenverarbeitung betreiben gesetzlich verpflichtet, eine regelmäßige dokumentierte Sicherheitsüberprüfung durchzuführen.

Ein Verstoß gegen die DSGVO Art.32 Abs.1 wird mit Geldstrafen in Höhe von bis zu 2% des erzielten Jahresumsatz des Vorjahres geahndet.

Gesetz zur DSGVO Art. 32 Abs.1 unter: https://dsgvo-pentest.de/gesetz/#art32

Verordnung Geldstrafen DSGVO Art. 83 unter: https://dsgvo-pentest.de/gesetz/#art83

Sollten Sie noch keinen regelmäßigen Sicherheitstest für Ihre Webseite beauftragt haben, können Sie einen DSGVO konformen Sicherheitstest inkl. zertifiziertem Prüfbericht einfach beauftragen unter: www.dsgvo-pentest.de

Mit freundlichen Grüßen

DSGVO-Pentest Prüfservice
Leitung Beratung & Anmeldung
i.A. ...

Der Trick hinter den Mails

Die Struktur dieser Nachrichten ist immer ähnlich:

• es wird auf Art. 32 DSGVO verwiesen (technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten),
• es wird behauptet, dass regelmäßige, dokumentierte Sicherheitsprüfungen vorgeschrieben sind,
• es wird mit Art. 83 DSGVO und hohen Bußgeldern gedroht,
• am Ende gibt es einen Link zu einem angeblich konformen Test, den man sofort beauftragen soll.

Das Ziel ist klar: Unternehmer:innen sollen verunsichert werden und aus Angst vor Bußgeldern auf „jetzt kaufen“ klicken.

---

Was Art. 32 DSGVO wirklich verlangt

Um das einzuordnen, schauen wir auf den echten Gesetzestext.
Art. 32 DSGVO schreibt vor, dass Verantwortliche „geeignete technische und organisatorische Maßnahmen“ treffen müssen, um personenbezogene Daten zu schützen.

Das bedeutet:

• Verschlüsselung (z. B. https://, VPN, Datenbanken absichern)
• Zugriffsbeschränkungen und Rollenmodelle
• regelmäßige Updates und Patches
• Backups, Notfallpläne, Monitoring
• Schulungen der Mitarbeitenden

👉 Aber:

• Es gibt keine Pflicht, bestimmte Anbieter zu beauftragen.
• Es gibt keine Pflicht, „zertifizierte Penetrationstests“ regelmäßig einzukaufen.
• Es gibt kein offizielles Zertifikat, das die DSGVO vorschreibt.

---

Auftragsverarbeitung - diese 8 Dinge müssen jetzt in deinem rechtssicheren Vertrag stehen

---

Warum die Drohungen mit Bußgeldern nicht stimmen

Art. 83 DSGVO sieht tatsächlich hohe Bußgelder vor – bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.
Aber das bedeutet nicht: „Wenn du keinen Penetrationstest buchst, bist du sofort dran.“

So arbeiten die Aufsichtsbehörden in der Praxis:

• Sie schauen, ob ein Unternehmen grundlegende Schutzmaßnahmen umgesetzt hat.
• Sie bewerten das Risiko: Sensible Daten brauchen stärkeren Schutz.
• Sie prüfen den Einzelfall: War ein Verstoß fahrlässig oder vorsätzlich?
• Sie verhängen nur in klaren Fällen Bußgelder, nicht wegen fehlender Zertifikate, die gar nicht existieren.

Die Drohungen in solchen Spam-Mails sind also nichts anderes als eine Masche, um Panik auszulösen und Geld zu verdienen.

---

So erkennst du Spam-Mails im Datenschutz-Mantel

Damit du künftig sofort Bescheid weißt, hier ein paar typische Merkmale:

• Ungefragt im Postfach: Du hast keinen Kontakt zu diesem Anbieter gehabt.
• Drohkulisse: Es wird sofort mit Strafen in Millionenhöhe gearbeitet.
• Links zu dubiosen Seiten: Häufig ohne Impressum, manchmal mit ausländischen Domains.
• Unklare Absender: Keine echte Firma, keine seriösen Ansprechpartner.
• Amtliches Vokabular, aber ohne Substanz: Behörden schreiben nie so – und schon gar nicht per Werbemail.

👉 Mein Tipp: Wenn du nur eine Sekunde lang denkst „das klingt zu sehr nach Panikmache“ → ab in den Spam-Ordner.

---

Was du tun solltest, wenn so eine Mail kommt

1. Ruhe bewahren. Es ist keine Abmahnung, kein Bescheid, keine offizielle Aufforderung.
2. Nicht antworten. Wer reagiert, bestätigt nur, dass die Adresse aktiv ist.
3. Nicht klicken. Links können Schadsoftware enthalten.
4. Melden. Markiere die Mail als Spam.
5. Den Anlass nutzen. Wenn du unsicher bist, ob deine Webseite wirklich sicher ist, sprich lieber mit deinem IT-Dienstleister.

---

IT-Sicherheit in der Praxis: was wirklich zählt

Anstatt auf Panikmails hereinzufallen, lohnt sich ein Blick auf die Basics:

• SSL-Zertifikat: Deine Seite muss verschlüsselt erreichbar sein.
• Regelmäßige Updates: Halte CMS, Plugins und Server aktuell.
• Zugriffsschutz: Nur Berechtigte dürfen in den Adminbereich.
• Backups: Automatisiert und regelmäßig – am besten verschlüsselt.
• Monitoring: Überwache Logins und ungewöhnliche Aktivitäten.
• Passwörter: Keine „Sommer2023“-Kennwörter mehr – sondern sichere, lange Phrasen plus Zwei-Faktor.

Das sind Maßnahmen, die wirklich etwas bringen.

---

Praxisbeispiel: Ab wann ein Penetrationstest sinnvoll sein kann

Nehmen wir zwei Fälle:

• Kleine Unternehmenswebseite: Ein einfaches WordPress mit Kontaktformular. Hier reicht es meist, wenn Updates eingespielt, Plugins aktuell und die Verbindung verschlüsselt sind.
• Großer Onlineshop mit Kundendaten: Hier kann ein professioneller Penetrationstest sinnvoll sein, um Sicherheitslücken früh zu erkennen.

Das heißt: Ein Penetrationstest kann hilfreich sein – aber er ist nicht für jeden verpflichtend. Schon gar nicht auf Knopfdruck über eine Spam-Mail.

---

Checkliste: So machst du deine Webseite DSGVO-sicher

• ✅ SSL-Zertifikat aktivieren
• ✅ CMS und Plugins aktuell halten
• ✅ Nutzerrechte einschränken
• ✅ Starke Passwörter + Zwei-Faktor-Authentifizierung
• ✅ Regelmäßige Backups einrichten
• ✅ Datenschutzerklärung aktuell halten
• ✅ Auftragsverarbeitungsverträge mit Dienstleistern prüfen

---

FAQ: Häufige Fragen zu „DSGVO-Pentest“-Mails

Muss ich wirklich regelmäßig Penetrationstests machen?
Nein. Die DSGVO verlangt keine regelmäßigen Tests – sie verlangt angemessene Sicherheitsmaßnahmen.

Darf ein privater Anbieter mit Bußgeldern drohen?
Nein. Nur Aufsichtsbehörden dürfen Bußgelder verhängen.

Kann eine fehlende Sicherheit zum Problem werden?
Ja, wenn es zu Datenpannen kommt. Dann prüfen die Behörden, ob du deine Pflicht nach Art. 32 DSGVO erfüllt hast.

Sind Penetrationstests grundsätzlich unseriös?
Nein, im Gegenteil. Aber nur, wenn sie gezielt, sinnvoll und mit einem vertrauenswürdigen Anbieter durchgeführt werden.

---

Fazit

Spam-Mails, die mit angeblichen DSGVO-Pflichten drohen, sind kein Grund zur Panik. Sie basieren auf übertriebenen Darstellungen, die so im Gesetz nicht stehen.

👉 Art. 32 DSGVO verlangt, dass du deine Daten schützt – aber wie genau, hängt von deinem Unternehmen und den Risiken ab.
👉 Ein verpflichtender, zertifizierter Penetrationstest für jede Webseite existiert nicht.
👉 Wer dich mit Bußgeldern unter Druck setzt, will in erster Linie verkaufen.

Mein Rat: Ignoriere diese Mails, prüfe deine eigene IT-Sicherheit mit seriösen Partnern – und lass dich nicht verrückt machen.

---

Mein Angebot für dich

Du willst wissen, wie du deine Webseite rechtssicher und sicher aufstellst – ohne auf Panikmails hereinzufallen?

👉 Dann melde dich gern bei mir für eine individuelle Beratung.