Auftragsverarbeitungsvertrag bei Softwaretest erforderlich?

In dieser Woche kam diese Frage unter Datenschutz-Coaching-Mitgliedern auf:

Die Frage

Unsere Marketingabteilung möchte eine Trackingsoftware (SaaS) für die Firmenwebseite ausprobieren. Der Test soll 14 Tage dauern (Angebot des Anbieters). Sehe ich das richtig, dass ich aus Sicht Datenschutz auch für diesen Test "das volle Programm" benötige, also AV-Vertrag, Info für Besucher (Art. 13 DSGVO) und technische Widerspruchsmöglichkeit?

Meine Antwort

Die Antwort lautet: Ja (keine Pointe)

Datenschutzrechtlich ist es nicht relevant, ob der Zweck der Datenverarbeitung nur ein Test ist oder nicht. Rechtlich werden hier personenbezogene Daten im Auftrag durch den SaaS-Anbieter verarbeitet. Daher ist ein Auftragsverarbeitungsvertrag zu schließen.

Und wenn es um „Tracking“ geht, müssen auch die weiteren rechtlichen Voraussetzungen bzgl. des Vorliegens einer Rechtsgrundlage (Interessenabwägung oder ggf. sogar Einwilligung) eingehalten werden.

Und ja…auch Informationspflichten bzgl. der Verarbeitung sowie ein Hinweis auf ein etwaiges Widerspruchsrecht (oder falls mit einer Einwilligung gearbeitet wird bzgl. des Widerrufs derselben) sind bei einem reinen Test erforderlich.

Daher macht es durchaus Sinn, diese Tests in einer reinen Staging-Umgebung zu machen, auf die z.B. nur die Tester Zugriff haben oder auf denen Zugriffe simuliert werden, bevor das jeweilige Tool in der „Live-Umgebung“ zum Einsatz kommt. Denn in der reinen Test-Umgebung („Staging“) sind Datenschutzhinweise regelmäßig entbehrlich, wenn diese nicht allgemein zugänglich ist.

Nach oben scrollen