Hinweis: Dieser Artikel erklärt die Grundlagen sorgfältig und mit Primärquellen, ersetzt aber keine Rechtsberatung. Für den Einzelfall — besonders bei sensiblen Daten oder eigenen Verträgen — gehört eine Datenschutz-Fachperson dazu.
Warum Datenschutz beim Nutzertest kein Kleingedrucktes ist
Bei einem Denk-Laut-Test entstehen zwangsläufig personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO: die Stimme der Testperson, oft ihr Gesicht, ihr Bildschirm samt allem, was darauf sichtbar wird, und ihr Verhalten. Wie ernst Aufsichtsbehörden das Thema Datenflüsse nehmen, zeigt der bislang größte Fall: 2023 verhängte die irische Datenschutzbehörde nach bindender Entscheidung des Europäischen Datenschutzausschusses eine Rekordstrafe von 1,2 Milliarden Euro gegen Meta — wegen unzulässiger Datentransfers in die USA (Verstoß gegen Art. 46 Abs. 1 DSGVO).
1,2 Milliarden Euro — die höchste DSGVO-Strafe der Geschichte — erging 2023 nicht wegen eines Hacks, sondern wegen Datentransfers in die USA ohne gültige Grundlage.Irische Datenschutzbehörde (DPC) nach EDPB-Beschluss, Mai 2023
Für den Mittelstand ist die Maximalstrafe (Art. 83 Abs. 5: bis 20 Mio. € oder 4 % des Weltumsatzes) selten das reale Szenario — Beschwerden einzelner Tester, Abmahnungen und Vertrauensverlust sind es sehr wohl. Die gute Nachricht: DSGVO-konformes Testen ist keine Raketenwissenschaft. Es sind fünf Pflichten.
Pflicht 1: Einwilligung einholen — vor der Aufnahme, nicht danach
Rechtsgrundlage für Aufnahmen ist praktisch immer die informierte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie muss laut Art. 7 und den EDPB-Leitlinien 05/2020 freiwillig, spezifisch, informiert und unmissverständlich sein — und nachweisbar. Konkret heißt das: Die Testperson erfährt vor dem Start, was aufgezeichnet wird (Bildschirm? Stimme? Kamera?), wofür, wie lange gespeichert und wer Zugriff hat. Ein Haken in AGB genügt nicht. Sauber gelöst ist es, wenn die Aufnahme technisch erst starten kann, nachdem die Einwilligung erteilt wurde — genau so erzwingt es Test it Baby bei jedem einzelnen Test.
Pflicht 2: Datensparsamkeit — nur aufzeichnen, was der Test braucht
Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) übersetzt sich beim Nutzertest in drei simple Fragen: Braucht der Test wirklich die Kamera oder reicht Bildschirm + Stimme? Müssen Tester echte persönliche Daten eingeben oder gibst du Testdaten vor? Und: Ist die Aufnahme auf die Testaufgabe begrenzt statt auf die ganze Sitzung? Wer hier vorab aufräumt, reduziert Risiko und Schnittarbeit zugleich.
Pflicht 3: Auftragsverarbeitung regeln (Art. 28)
Sobald ein Tool die Aufnahmen für dich speichert oder auswertet, ist dessen Betreiber dein Auftragsverarbeiter — und dafür verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV) mit klaren Regeln zu Zweck, Dauer, Unterauftragnehmern und technischen Schutzmaßnahmen. Prüfliste für die Tool-Auswahl: Gibt es einen AVV? Wo stehen die Server? Welche Subunternehmer sind gelistet — und sitzen sie in Drittländern?
Pflicht 4: Drittlandtransfers vermeiden oder absichern (Kapitel V)
Hier liegt die größte Stolperfalle, denn viele Testing-Tools kommen aus den USA: Jede Übermittlung personenbezogener Daten in ein Drittland braucht eine Grundlage nach Kapitel V DSGVO. Der Meta-Fall zeigt, wie teuer es wird, wenn sie fehlt — und die jeweils aktuelle Grundlage für US-Transfers (derzeit das EU-US Data Privacy Framework) steht seit Jahren unter juristischem Dauerbeschuss, wie zuvor schon „Safe Harbor“ und „Privacy Shield“, die der EuGH beide kippte. Wer Transfers von vornherein vermeidet — Verarbeitung ausschließlich in Deutschland oder der EU, inklusive Transkription und KI-Auswertung —, macht sich von diesem Dauerstreit unabhängig. Wie sich deutsche und US-Anbieter hier unterscheiden, zeigt unser Vergleich.
Pflicht 5: Löschkonzept und Betroffenenrechte
Tester bleiben Herr ihrer Daten: Sie können Auskunft verlangen (Art. 15), die Einwilligung widerrufen (Art. 7 Abs. 3) und Löschung fordern (Art. 17). Praktisch brauchst du dafür drei Dinge: eine feste, kommunizierte Aufbewahrungsfrist, einen definierten Lösch-Prozess (auch beim Tool-Anbieter!) und eine Kontaktadresse, die in der Einwilligung genannt ist.
Die Checkliste für deinen nächsten Test
Wir haben Test it Baby von Grund auf so gebaut, dass diese Liste kurz bleibt: Einwilligung wird vor jeder Aufnahme technisch erzwungen, alle Daten — inklusive Transkription und KI-Zusammenfassung — werden auf Servern in Deutschland verarbeitet, und Tester ohne Konto nehmen über ablaufende Einladungslinks teil. Details dazu auf der Seite Tester buchen und im Vergleich mit US-Tools.
Häufige Fragen
Sind Bildschirmaufnahmen aus Nutzertests personenbezogene Daten?
Wann muss die Einwilligung der Tester eingeholt werden?
Darf ich US-Testing-Tools verwenden?
Wie lange darf ich Test-Aufnahmen aufbewahren?
Welche Strafen drohen bei Verstößen?
Quellen
- Verordnung (EU) 2016/679 (DSGVO), konsolidierter Text: EUR-Lex — insbes. Art. 4, 5, 6, 7, 15, 17, 28, 46, 83.
- Europäischer Datenschutzausschuss (EDPB): Guidelines 05/2020 on Consent under Regulation 2016/679.
- Irische Datenschutzbehörde (DPC): Entscheidung zu Datentransfers EU/EWR → USA durch Meta Platforms Ireland, Mai 2023 (1,2-Mrd.-€-Strafe).