DSGVO-konformes App-Testing für DACH-Indie-Devs — was wirklich zählt
Die DSGVO-Checkliste für die Wahl einer Crowd-Testing-Plattform, wenn deine App EU-User anspricht. Daten-Residenz, Tester-PII, AVV — die Teile, die beißen.
Wenn deine App EU-User anspricht — oder du ein DACH-Region-Indie-Dev bist — ist die Wahl einer Crowd-Testing-Plattform mehr als eine Preis-Entscheidung. Die DSGVO greift in dem Moment, in dem du Tester-Daten irgendwohin sendest, und die falsche Plattform-Wahl bedeutet viel Papierkram oder schlimmer: eine berechtigte Beschwerde. Hier die praktische Checkliste.
Die drei Fragen, die wirklich zählen
Bei der Bewertung einer Crowd-Testing-Plattform für DSGVO-Zwecke kehren dieselben drei Fragen immer wieder zurück:
- Wo liegen die Daten?
- Welche Tester-PII sammeln sie?
- Was steht in der AVV?
Der Rest ist Detail. Wenn du keine sauberen Antworten auf diese drei bekommst, geh weiter.
1. Wo liegen die Daten?
Die einfachste DSGVO-Compliance-Haltung ist die Daten verlassen niemals die EU. Tester-Aufnahmen, Bug-Reports, Screenshots, Geräte-Telemetrie — all das bleibt in EU-Rechenzentren, verarbeitet nur von EU-Unterauftragsverarbeitern.
Wie prüfen:
- Find die Daten-Verarbeitungs-Standorte-Seite oder das Trust-Center der Plattform. Wenn es das nicht gibt, ist das ein Signal.
- Prüf die Unterauftragsverarbeiter. Selbst eine EU-basierte Plattform, die Cloudflares globales CDN für Medien nutzt, macht technisch einen Cross-Border-Transfer — prüf ob sie in der EU-only-Cloudflare-Daten-Ebene sind.
- Hosting auf Hetzner, OVH oder Scaleway in EU-Regionen = sauber. Hosting auf AWS us-east-1 = Cross-Border-Transfer.
Für TesterPayKit speziell: API + Datenbank + Screen-Recordings leben alle auf Hetzner Frankfurt + Nürnberg. Unterauftragsverarbeiter sind limitiert und EU-only. Volle Liste auf unserer Sicherheits-Seite.
2. Welche Tester-PII sammeln sie?
Die Default-Annahme: weniger ist besser.
PII-Kategorien, die Crowd-Testing-Plattformen typischerweise sammeln:
- IP-Adresse (immer — kommt aus HTTP)
- Geräte-IDs (IDFA, GAID, Fingerprint)
- Screen-Recordings (können Gesicht zeigen wenn Frontkamera aktiv)
- Voice-Notes (die Stimme selbst ist biometrische Daten)
- Echter Name + E-Mail (für Auszahlung — manchmal optional)
- Geo-Location
Jedes Item vergrößert deine DSGVO-Oberfläche. Die besten Plattformen minimieren:
- Pseudonyme Tester-IDs by default (kein echter Name, außer Tester opt-in)
- Front-Kamera-Recording opt-in, nicht default
- Geräte-Fingerprints auf die Plattform gescoped, nicht plattform-übergreifend
Was das praktisch bedeutet: Wenn ein Tester aus deiner Kampagne fragt “welche Daten habt ihr von mir”, solltest du antworten können. Wenn die Plattform echte Namen + Screen-Recordings + Voice-Notes by default sammelt, wird deine Antwort länger.
3. Was steht in der AVV?
Die Auftragsverarbeitungsvereinbarung (Data Processing Agreement auf Englisch) ist der Vertrag zwischen dir (Verantwortlicher) und der Plattform (Auftragsverarbeiter), den DSGVO Artikel 28 vorschreibt. Ohne kannst du legal keine User-Daten an sie senden.
Worauf achten:
- Unterauftragsverarbeiter namentlich gelistet. “Wir nutzen evtl. Dritte” ohne Liste ist eine Red Flag.
- Tester-Daten-Löschfrist. Sollte ≤30 Tage nach Kampagnen-Ende sein. Manche Plattformen behalten Daten für Jahre fürs “Research”.
- Audit-Recht. Du solltest mindestens dokumentierte Audit-Rechte haben, auch wenn du sie nie ausübst.
- Haftungsbegrenzung. Sollte hoch genug sein, dass Breach-Kosten nicht auf “deine Monatsmiete” gedeckelt sind.
- Unterauftragsverarbeiter-Approval-Workflow. Neuer Unterauftragsverarbeiter = du solltest benachrichtigt werden, bevor er aufgenommen wird.
Die meisten Plattformen haben eine Template-AVV. Lies das ganze Ding einmal vor der Unterschrift — kostet 30 Minuten und spart später viel Schmerz.
US-gehostete Plattformen — kannst du sie zum Funktionieren bringen?
Technisch ja, aber die Reibung ist real. Um eine US-gehostete Crowd-Testing-Plattform DSGVO-konform zu nutzen, brauchst du:
- Eine unterschriebene AVV mit der Plattform
- Standardvertragsklauseln (SCC) an die AVV angeheftet
- Eine Transfer-Impact-Assessment (TIA), die dokumentiert warum US-Datentransfer für deinen Datentyp akzeptabel ist
- Verzeichnis der Verarbeitungstätigkeiten (VVT) Eintrag, der die Plattform als Unterauftragsverarbeiter nennt
- Möglicherweise Benachrichtigung an den Tester-Pool der Plattform, dass ihre Daten Grenzen überqueren
Das ist machbar. Es ist auch nervig. Für einen Indie-Entwickler kippt die Kosten-Nutzen-Rechnung üblicherweise Richtung “nimm einfach die EU-gehostete Plattform und überspring Schritte 2-5”.
Speziell für die Plattformen, gegen die wir benchen:
- UserTesting (US-gehostet): bietet AVV + SCC, du unterschreibst beide, du schreibst eine TIA, du pflegst VVT. Machbar für Enterprises mit Datenschutz-Rechtsabteilung; hohe Reibung für Solo-Devs.
- TestFi (gemischt): prüf ihre aktuelle AVV — könnte eine EU-Daten-Ebenen-Option haben. Zuletzt geprüft war default US-gehostet.
- Applause (US): wie UserTesting, reife AVV + SCC, aber echte Cross-Border-Reibung.
- TesterPayKit (EU-gehostet): AVV auf Deutsch + Englisch, keine SCC-Anforderung, EU-only Unterauftragsverarbeiter.
Was das für DACH-Indie-Devs bedeutet
Wenn du ein Hamburger Dev bist, der eine Fintech-App ausliefert, eine Aachener Agentur die für eine regionale Sparkasse baut, oder ein Münchner Indie der eine Vibe-Coding-App in den App Store pusht — die DSGVO-Reibung einer US-gehosteten Testing-Plattform ist echte und wiederkehrende Overhead. EU-gehostete Plattformen entfernen das.
Speziell für DACH-Region-Indie-Devs, die Picks, die die Mathe am einfachsten machen:
| Use-Case | Pick |
|---|---|
| Crowd-Testing einer Flutter-App, DACH-Markt | TesterPayKit |
| Beta-Testing-Distribution (keine PII-Issues auf App-Ebene) | TestFlight / Play Internal Track |
| Survey-/Feedback-Widget für existierende User | Wiredash (EU, DSGVO sauber) |
| Volle UX-Research mit US-User-Pool | UserTesting (akzeptier die AVV-Overhead) |
Der 5-Minuten-Compliance-Check
Vor der Unterschrift bei jeder Crowd-Testing-Plattform:
- Prüf ihre Daten-Residenz-Angabe (EU-only / gemischt / US-only)
- Find ihre Unterauftragsverarbeiter-Liste (wenn fehlt → nicht unterschreiben)
- Lies die AVV (besonders Löschfrist + Unterauftragsverarbeiter-Klausel)
- Bestätige pseudonyme-by-default Tester-IDs (oder akzeptier höhere VVT-Last)
- Trag in dein VVT ein bevor du erste User-Daten sendest
Das ist der Boden. Über diesem Boden bist du im Fine-Tuning-Territorium — aber wenn eines dieser 5 Items fehlt, ist die Plattform nicht wirklich bereit für EU-grade Testing.
Teil von TesterPayKits Crowd-Testing-Serie. Pillar: Was ist Crowd-Testing?. Siehe auch TesterPayKit vs UserTesting.