DSGVO-konform · Server in Deutschland
Ratgeber · Datenschutz

DSGVO-konform Nutzer testen: der Leitfaden

Ein Nutzertest zeichnet Stimme, Bildschirm und Verhalten echter Menschen auf — datenschutzrechtlich ist das kein Randthema, sondern der Kern. Hier sind die fünf Pflichten, die dabei zählen, mit Checkliste und Primärquellen.

Test-it-Baby-Redaktion Veröffentlicht am 7. Juli 2026 Lesezeit ca. 8 Minuten Alle Quellen ↓

Hinweis: Dieser Artikel erklärt die Grundlagen sorgfältig und mit Primärquellen, ersetzt aber keine Rechtsberatung. Für den Einzelfall — besonders bei sensiblen Daten oder eigenen Verträgen — gehört eine Datenschutz-Fachperson dazu.

Warum Datenschutz beim Nutzertest kein Kleingedrucktes ist

Bei einem Denk-Laut-Test entstehen zwangsläufig personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO: die Stimme der Testperson, oft ihr Gesicht, ihr Bildschirm samt allem, was darauf sichtbar wird, und ihr Verhalten. Wie ernst Aufsichtsbehörden das Thema Datenflüsse nehmen, zeigt der bislang größte Fall: 2023 verhängte die irische Datenschutzbehörde nach bindender Entscheidung des Europäischen Datenschutzausschusses eine Rekordstrafe von 1,2 Milliarden Euro gegen Meta — wegen unzulässiger Datentransfers in die USA (Verstoß gegen Art. 46 Abs. 1 DSGVO).

1,2 Milliarden Euro — die höchste DSGVO-Strafe der Geschichte — erging 2023 nicht wegen eines Hacks, sondern wegen Datentransfers in die USA ohne gültige Grundlage.Irische Datenschutzbehörde (DPC) nach EDPB-Beschluss, Mai 2023

Für den Mittelstand ist die Maximalstrafe (Art. 83 Abs. 5: bis 20 Mio. € oder 4 % des Weltumsatzes) selten das reale Szenario — Beschwerden einzelner Tester, Abmahnungen und Vertrauensverlust sind es sehr wohl. Die gute Nachricht: DSGVO-konformes Testen ist keine Raketenwissenschaft. Es sind fünf Pflichten.

Pflicht 1: Einwilligung einholen — vor der Aufnahme, nicht danach

Rechtsgrundlage für Aufnahmen ist praktisch immer die informierte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie muss laut Art. 7 und den EDPB-Leitlinien 05/2020 freiwillig, spezifisch, informiert und unmissverständlich sein — und nachweisbar. Konkret heißt das: Die Testperson erfährt vor dem Start, was aufgezeichnet wird (Bildschirm? Stimme? Kamera?), wofür, wie lange gespeichert und wer Zugriff hat. Ein Haken in AGB genügt nicht. Sauber gelöst ist es, wenn die Aufnahme technisch erst starten kann, nachdem die Einwilligung erteilt wurde — genau so erzwingt es Test it Baby bei jedem einzelnen Test.

Pflicht 2: Datensparsamkeit — nur aufzeichnen, was der Test braucht

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) übersetzt sich beim Nutzertest in drei simple Fragen: Braucht der Test wirklich die Kamera oder reicht Bildschirm + Stimme? Müssen Tester echte persönliche Daten eingeben oder gibst du Testdaten vor? Und: Ist die Aufnahme auf die Testaufgabe begrenzt statt auf die ganze Sitzung? Wer hier vorab aufräumt, reduziert Risiko und Schnittarbeit zugleich.

Pflicht 3: Auftragsverarbeitung regeln (Art. 28)

Sobald ein Tool die Aufnahmen für dich speichert oder auswertet, ist dessen Betreiber dein Auftragsverarbeiter — und dafür verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV) mit klaren Regeln zu Zweck, Dauer, Unterauftragnehmern und technischen Schutzmaßnahmen. Prüfliste für die Tool-Auswahl: Gibt es einen AVV? Wo stehen die Server? Welche Subunternehmer sind gelistet — und sitzen sie in Drittländern?

Pflicht 4: Drittlandtransfers vermeiden oder absichern (Kapitel V)

Hier liegt die größte Stolperfalle, denn viele Testing-Tools kommen aus den USA: Jede Übermittlung personenbezogener Daten in ein Drittland braucht eine Grundlage nach Kapitel V DSGVO. Der Meta-Fall zeigt, wie teuer es wird, wenn sie fehlt — und die jeweils aktuelle Grundlage für US-Transfers (derzeit das EU-US Data Privacy Framework) steht seit Jahren unter juristischem Dauerbeschuss, wie zuvor schon „Safe Harbor“ und „Privacy Shield“, die der EuGH beide kippte. Wer Transfers von vornherein vermeidet — Verarbeitung ausschließlich in Deutschland oder der EU, inklusive Transkription und KI-Auswertung —, macht sich von diesem Dauerstreit unabhängig. Wie sich deutsche und US-Anbieter hier unterscheiden, zeigt unser Vergleich.

Pflicht 5: Löschkonzept und Betroffenenrechte

Tester bleiben Herr ihrer Daten: Sie können Auskunft verlangen (Art. 15), die Einwilligung widerrufen (Art. 7 Abs. 3) und Löschung fordern (Art. 17). Praktisch brauchst du dafür drei Dinge: eine feste, kommunizierte Aufbewahrungsfrist, einen definierten Lösch-Prozess (auch beim Tool-Anbieter!) und eine Kontaktadresse, die in der Einwilligung genannt ist.

Die Checkliste für deinen nächsten Test

Vor dem TestEinwilligungstext formuliert (was, wofür, wie lange, wer)? Aufnahme technisch erst nach Einwilligung möglich? Testdaten statt echter Kundendaten vorbereitet?
Beim ToolAVV abgeschlossen? Server-Standort und Subunternehmer geprüft? Transkription/KI-Auswertung ebenfalls EU-basiert?
Nach dem TestAufbewahrungsfrist notiert und Löschung terminiert? Prozess für Widerruf/Auskunft definiert? Zugriff auf Aufnahmen auf die Personen begrenzt, die sie brauchen?

Wir haben Test it Baby von Grund auf so gebaut, dass diese Liste kurz bleibt: Einwilligung wird vor jeder Aufnahme technisch erzwungen, alle Daten — inklusive Transkription und KI-Zusammenfassung — werden auf Servern in Deutschland verarbeitet, und Tester ohne Konto nehmen über ablaufende Einladungslinks teil. Details dazu auf der Seite Tester buchen und im Vergleich mit US-Tools.

Häufige Fragen

Sind Bildschirmaufnahmen aus Nutzertests personenbezogene Daten?
In aller Regel ja. Stimme, Gesicht, Verhaltensmuster und alles, was Tester während der Aufnahme eintippen oder zeigen, können eine Person identifizierbar machen — damit greift Art. 4 Nr. 1 DSGVO. Die Verarbeitung braucht eine Rechtsgrundlage, praktisch fast immer die informierte Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Wann muss die Einwilligung der Tester eingeholt werden?
Vor Beginn der Aufnahme — nicht danach. Die Einwilligung muss informiert, freiwillig, spezifisch und nachweisbar sein (Art. 7 DSGVO, konkretisiert durch die EDPB-Leitlinien 05/2020) und ist jederzeit widerrufbar. Ein pauschaler AGB-Haken genügt nicht; sauber ist ein eigener Einwilligungsschritt, der die Aufnahme technisch erst freischaltet.
Darf ich US-Testing-Tools verwenden?
Nur mit gültiger Transfergrundlage nach Kapitel V DSGVO — und das Risiko trägst du: Die 1,2-Milliarden-Euro-Strafe gegen Meta (2023) erging genau wegen unzulässiger US-Datentransfers. Rechtsgrundlagen wie das EU-US Data Privacy Framework werden zudem regelmäßig juristisch angefochten. Der einfachste Weg ist, Tools zu wählen, die Daten ausschließlich in der EU bzw. in Deutschland verarbeiten.
Wie lange darf ich Test-Aufnahmen aufbewahren?
So lange, wie es der beim Einholen der Einwilligung genannte Zweck erfordert — danach greift die Löschpflicht (Art. 17 DSGVO). Praktikabel ist eine feste, kommunizierte Frist (z. B. 12 Monate) plus ein Prozess für Auskunfts- und Löschanfragen der Tester (Art. 15, 17 DSGVO).
Welche Strafen drohen bei Verstößen?
Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist (Art. 83 Abs. 5 DSGVO). Relevanter als die Maximalstrafe ist für kleinere Unternehmen das Alltagsrisiko: Abmahnungen, Beschwerden einzelner Tester bei der Aufsichtsbehörde und der Vertrauensschaden.

Quellen

  1. Verordnung (EU) 2016/679 (DSGVO), konsolidierter Text: EUR-Lex — insbes. Art. 4, 5, 6, 7, 15, 17, 28, 46, 83.
  2. Europäischer Datenschutzausschuss (EDPB): Guidelines 05/2020 on Consent under Regulation 2016/679.
  3. Irische Datenschutzbehörde (DPC): Entscheidung zu Datentransfers EU/EWR → USA durch Meta Platforms Ireland, Mai 2023 (1,2-Mrd.-€-Strafe).

Testen, ohne den Datenschutz zu verbiegen.

Einwilligung technisch erzwungen, alle Daten auf Servern in Deutschland, Transkription und KI-Auswertung inklusive — so testest du echte Menschen ohne US-Datenrisiko.

Kostenlos starten Vergleich mit US-Tools