Auftragsverarbeitungsvertrag bei Softwaretest erforderlich?

Fragen & Antworten

In dieser Woche kam diese Frage unter Datenschutz-Coaching-Mitgliedern auf:

Die Frage

Unsere Marketingabteilung möchte eine Trackingsoftware (SaaS) für die Firmenwebseite ausprobieren. Der Test soll 14 Tage dauern (Angebot des Anbieters). Sehe ich das richtig, dass ich aus Sicht Datenschutz auch für diesen Test "das volle Programm" benötige, also AV-Vertrag, Info für Besucher (Art. 13 DSGVO) und technische Widerspruchsmöglichkeit?

Meine Antwort

Die Antwort lautet: Ja (keine Pointe)

Datenschutzrechtlich ist es nicht relevant, ob der Zweck der Datenverarbeitung nur ein Test ist oder nicht. Rechtlich werden hier personenbezogene Daten im Auftrag durch den SaaS-Anbieter verarbeitet. Daher ist ein Auftragsverarbeitungsvertrag zu schließen.

Und wenn es um „Tracking“ geht, müssen auch die weiteren rechtlichen Voraussetzungen bzgl. des Vorliegens einer Rechtsgrundlage (Interessenabwägung oder ggf. sogar Einwilligung) eingehalten werden.

Und ja…auch Informationspflichten bzgl. der Verarbeitung sowie ein Hinweis auf ein etwaiges Widerspruchsrecht (oder falls mit einer Einwilligung gearbeitet wird bzgl. des Widerrufs derselben) sind bei einem reinen Test erforderlich.

Daher macht es durchaus Sinn, diese Tests in einer reinen Staging-Umgebung zu machen, auf die z.B. nur die Tester Zugriff haben oder auf denen Zugriffe simuliert werden, bevor das jeweilige Tool in der „Live-Umgebung“ zum Einsatz kommt. Denn in der reinen Test-Umgebung („Staging“) sind Datenschutzhinweise regelmäßig entbehrlich, wenn diese nicht allgemein zugänglich ist.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.