Bald verfügbar : TesterPayKit ist im öffentlichen Preview. Preise und Funktionen können sich vor dem Launch noch ändern.

Für Unternehmen

DSGVO-konformes App-Testing für DACH-Indie-Devs — was wirklich zählt

Die DSGVO-Checkliste für die Wahl einer Crowd-Testing-Plattform, wenn deine App EU-User anspricht. Daten-Residenz, Tester-PII, AVV — die Teile, die beißen.

· TesterPayKit-Team

Wenn deine App EU-User anspricht — oder du ein DACH-Region-Indie-Dev bist — ist die Wahl einer Crowd-Testing-Plattform mehr als eine Preis-Entscheidung. Die DSGVO greift in dem Moment, in dem du Tester-Daten irgendwohin sendest, und die falsche Plattform-Wahl bedeutet viel Papierkram oder schlimmer: eine berechtigte Beschwerde. Hier die praktische Checkliste.

Die drei Fragen, die wirklich zählen

Bei der Bewertung einer Crowd-Testing-Plattform für DSGVO-Zwecke kehren dieselben drei Fragen immer wieder zurück:

  1. Wo liegen die Daten?
  2. Welche Tester-PII sammeln sie?
  3. Was steht in der AVV?

Der Rest ist Detail. Wenn du keine sauberen Antworten auf diese drei bekommst, geh weiter.

1. Wo liegen die Daten?

Die einfachste DSGVO-Compliance-Haltung ist die Daten verlassen niemals die EU. Tester-Aufnahmen, Bug-Reports, Screenshots, Geräte-Telemetrie — all das bleibt in EU-Rechenzentren, verarbeitet nur von EU-Unterauftragsverarbeitern.

Wie prüfen:

  • Find die Daten-Verarbeitungs-Standorte-Seite oder das Trust-Center der Plattform. Wenn es das nicht gibt, ist das ein Signal.
  • Prüf die Unterauftragsverarbeiter. Selbst eine EU-basierte Plattform, die Cloudflares globales CDN für Medien nutzt, macht technisch einen Cross-Border-Transfer — prüf ob sie in der EU-only-Cloudflare-Daten-Ebene sind.
  • Hosting auf Hetzner, OVH oder Scaleway in EU-Regionen = sauber. Hosting auf AWS us-east-1 = Cross-Border-Transfer.

Für TesterPayKit speziell: API + Datenbank + Screen-Recordings leben alle auf Hetzner Frankfurt + Nürnberg. Unterauftragsverarbeiter sind limitiert und EU-only. Volle Liste auf unserer Sicherheits-Seite.

2. Welche Tester-PII sammeln sie?

Die Default-Annahme: weniger ist besser.

PII-Kategorien, die Crowd-Testing-Plattformen typischerweise sammeln:

  • IP-Adresse (immer — kommt aus HTTP)
  • Geräte-IDs (IDFA, GAID, Fingerprint)
  • Screen-Recordings (können Gesicht zeigen wenn Frontkamera aktiv)
  • Voice-Notes (die Stimme selbst ist biometrische Daten)
  • Echter Name + E-Mail (für Auszahlung — manchmal optional)
  • Geo-Location

Jedes Item vergrößert deine DSGVO-Oberfläche. Die besten Plattformen minimieren:

  • Pseudonyme Tester-IDs by default (kein echter Name, außer Tester opt-in)
  • Front-Kamera-Recording opt-in, nicht default
  • Geräte-Fingerprints auf die Plattform gescoped, nicht plattform-übergreifend

Was das praktisch bedeutet: Wenn ein Tester aus deiner Kampagne fragt “welche Daten habt ihr von mir”, solltest du antworten können. Wenn die Plattform echte Namen + Screen-Recordings + Voice-Notes by default sammelt, wird deine Antwort länger.

3. Was steht in der AVV?

Die Auftragsverarbeitungsvereinbarung (Data Processing Agreement auf Englisch) ist der Vertrag zwischen dir (Verantwortlicher) und der Plattform (Auftragsverarbeiter), den DSGVO Artikel 28 vorschreibt. Ohne kannst du legal keine User-Daten an sie senden.

Worauf achten:

  • Unterauftragsverarbeiter namentlich gelistet. “Wir nutzen evtl. Dritte” ohne Liste ist eine Red Flag.
  • Tester-Daten-Löschfrist. Sollte ≤30 Tage nach Kampagnen-Ende sein. Manche Plattformen behalten Daten für Jahre fürs “Research”.
  • Audit-Recht. Du solltest mindestens dokumentierte Audit-Rechte haben, auch wenn du sie nie ausübst.
  • Haftungsbegrenzung. Sollte hoch genug sein, dass Breach-Kosten nicht auf “deine Monatsmiete” gedeckelt sind.
  • Unterauftragsverarbeiter-Approval-Workflow. Neuer Unterauftragsverarbeiter = du solltest benachrichtigt werden, bevor er aufgenommen wird.

Die meisten Plattformen haben eine Template-AVV. Lies das ganze Ding einmal vor der Unterschrift — kostet 30 Minuten und spart später viel Schmerz.

US-gehostete Plattformen — kannst du sie zum Funktionieren bringen?

Technisch ja, aber die Reibung ist real. Um eine US-gehostete Crowd-Testing-Plattform DSGVO-konform zu nutzen, brauchst du:

  1. Eine unterschriebene AVV mit der Plattform
  2. Standardvertragsklauseln (SCC) an die AVV angeheftet
  3. Eine Transfer-Impact-Assessment (TIA), die dokumentiert warum US-Datentransfer für deinen Datentyp akzeptabel ist
  4. Verzeichnis der Verarbeitungstätigkeiten (VVT) Eintrag, der die Plattform als Unterauftragsverarbeiter nennt
  5. Möglicherweise Benachrichtigung an den Tester-Pool der Plattform, dass ihre Daten Grenzen überqueren

Das ist machbar. Es ist auch nervig. Für einen Indie-Entwickler kippt die Kosten-Nutzen-Rechnung üblicherweise Richtung “nimm einfach die EU-gehostete Plattform und überspring Schritte 2-5”.

Speziell für die Plattformen, gegen die wir benchen:

  • UserTesting (US-gehostet): bietet AVV + SCC, du unterschreibst beide, du schreibst eine TIA, du pflegst VVT. Machbar für Enterprises mit Datenschutz-Rechtsabteilung; hohe Reibung für Solo-Devs.
  • TestFi (gemischt): prüf ihre aktuelle AVV — könnte eine EU-Daten-Ebenen-Option haben. Zuletzt geprüft war default US-gehostet.
  • Applause (US): wie UserTesting, reife AVV + SCC, aber echte Cross-Border-Reibung.
  • TesterPayKit (EU-gehostet): AVV auf Deutsch + Englisch, keine SCC-Anforderung, EU-only Unterauftragsverarbeiter.

Was das für DACH-Indie-Devs bedeutet

Wenn du ein Hamburger Dev bist, der eine Fintech-App ausliefert, eine Aachener Agentur die für eine regionale Sparkasse baut, oder ein Münchner Indie der eine Vibe-Coding-App in den App Store pusht — die DSGVO-Reibung einer US-gehosteten Testing-Plattform ist echte und wiederkehrende Overhead. EU-gehostete Plattformen entfernen das.

Speziell für DACH-Region-Indie-Devs, die Picks, die die Mathe am einfachsten machen:

Use-CasePick
Crowd-Testing einer Flutter-App, DACH-MarktTesterPayKit
Beta-Testing-Distribution (keine PII-Issues auf App-Ebene)TestFlight / Play Internal Track
Survey-/Feedback-Widget für existierende UserWiredash (EU, DSGVO sauber)
Volle UX-Research mit US-User-PoolUserTesting (akzeptier die AVV-Overhead)

Der 5-Minuten-Compliance-Check

Vor der Unterschrift bei jeder Crowd-Testing-Plattform:

  1. Prüf ihre Daten-Residenz-Angabe (EU-only / gemischt / US-only)
  2. Find ihre Unterauftragsverarbeiter-Liste (wenn fehlt → nicht unterschreiben)
  3. Lies die AVV (besonders Löschfrist + Unterauftragsverarbeiter-Klausel)
  4. Bestätige pseudonyme-by-default Tester-IDs (oder akzeptier höhere VVT-Last)
  5. Trag in dein VVT ein bevor du erste User-Daten sendest

Das ist der Boden. Über diesem Boden bist du im Fine-Tuning-Territorium — aber wenn eines dieser 5 Items fehlt, ist die Plattform nicht wirklich bereit für EU-grade Testing.


Teil von TesterPayKits Crowd-Testing-Serie. Pillar: Was ist Crowd-Testing?. Siehe auch TesterPayKit vs UserTesting.

Häufige Fragen

Ist Crowd-Testing per default DSGVO-konform? +
Nein — die Konformität hängt von der gewählten Plattform ab. US-basierte Plattformen (UserTesting, Applause) verlangen eine US-EU-Auftragsverarbeitungsvereinbarung und Standardvertragsklauseln. EU-basierte Plattformen (TesterPayKit, einige andere) handhaben das out of the box. Prüf immer die Daten-Residenz-Angaben bevor du unterschreibst.
Gilt DSGVO, wenn meine App nur EU-User hat, aber meine Testing-Plattform in den USA ist? +
Ja. Wenn du EU-User-Daten verarbeitest (und das tut deine App), folgt die DSGVO deinen Daten überall hin. Tester-Aufnahmen oder Bug-Reports an eine US-gehostete Plattform zu senden ist Datentransfer über die Grenze und triggert Artikel-44+-Pflichten.
Brauche ich für jede Testing-Plattform die ich nutze eine separate AVV? +
Ja. Jeder Auftragsverarbeiter braucht seine eigene AVV unterschrieben, bevor du ihm personenbezogene Daten sendest. Die meisten Plattformen haben eine Template-AVV auf ihrer Website — lies sie bevor du unterschreibst, besonders die Unterauftragsverarbeiter-Liste.
Welche Tester-Daten sind "personenbezogen" nach DSGVO? +
Mehr als Leute erwarten. Die IP eines Testers ist personenbezogen. Eine Screen-Recording die sein Gesicht zeigt ist personenbezogen. Selbst ein Geräte-Fingerprint kann personenbezogen sein, wenn er mit anderen Signalen kombiniert wird. Der sicherste Ansatz ist anzunehmen, alles ist personenbezogen und zu minimieren was gesammelt wird.
Kann ich Tester-Daten anonymisieren um DSGVO zu vermeiden? +
Echte Anonymisierung (unwiderruflich) bringt dich aus dem DSGVO-Scope. Pseudonymisierung (umkehrbare IDs wie "tester-7-abc") ist immer noch im DSGVO-Scope, aber eine anerkannte Risiko-Reduzierung. Die meisten Plattformen pseudonymisieren by default — prüf das bevor du davon ausgehst.