DSGVO und Visuelle Tests: Warum Ihre Screenshots Europa Nicht Verlassen Sollten
Jedes Mal, wenn Sie einen visuellen Test mit einem Cloud-Tool starten, werden Ihre Screenshots auf entfernte Server geschickt. Diese Aufnahmen enthalten oft weit mehr als eine einfache Webseite: interne Dashboards mit Kundendaten, Administrationsoberflächen, Produktmockups, die noch nicht veröffentlicht wurden, vorausgefüllte Formulare mit echten Daten.
Die Frage ist nicht technischer Natur. Sie ist juristisch und strategisch: Wohin gehen Ihre Testdaten, und wer hat Zugriff darauf?
Was Ihre Screenshots wirklich enthalten
Wenn man an „Test-Screenshot" denkt, stellt man sich eine öffentliche Startseite vor. In Wirklichkeit testen QA-Teams hauptsächlich interne Oberflächen und authentifizierte Abläufe:
Management-Dashboards mit echten Umsatzzahlen. Back-Offices mit Kundennamen, Adressen und Bestellnummern. Zahlungsoberflächen mit teilweise sichtbaren Bankdaten. Funktionsmockups, die noch nicht öffentlich angekündigt wurden. Staging-Umgebungen, die Produktionsdaten reproduzieren.
Jeder dieser Screenshots ist ein potenziell sensibles Datum. Und bei den meisten visuellen Testtools auf dem Markt werden alle diese Aufnahmen automatisch in die Cloud geschickt — oft in die USA.
Das Problem mit amerikanischen Cloud-Tools
Die Mehrheit der populären visuellen Testtools — Applitools, Percy (BrowserStack), Chromatic — sind amerikanische Unternehmen, deren Server in den USA gehostet werden oder von Unternehmen betrieben werden, die dem amerikanischen Recht unterliegen.
Die DSGVO (Datenschutz-Grundverordnung) stellt strenge Anforderungen an die Übermittlung personenbezogener Daten außerhalb der Europäischen Union. Seit der Ungültigkeitserklärung des Privacy Shield durch den Europäischen Gerichtshof im Jahr 2020 (Schrems-II-Urteil) ist die Datenübertragung in die USA juristisch komplex.
Konkret: Wenn Ihre Screenshots personenbezogene Daten enthalten (ein Name, eine Adresse, eine am Bildschirm sichtbare Kundennummer), kann das Senden auf einen amerikanischen Server ohne die entsprechenden Garantien einen DSGVO-Verstoß darstellen.
Und auch außerhalb des strengen DSGVO-Rahmens gibt es die Frage des geistigen Eigentums. Ihre Oberflächen, Ihre Mockups, Ihre am Bildschirm sichtbare Geschäftslogik — all das hat Wert. Es auf Drittserver zu senden, ist ein Risiko, das viele Unternehmen unterschätzen.
Die Branchen, in denen dies ein echtes Problem ist
Für bestimmte Unternehmen ist dies kein Detail — es ist ein Ausschlusskriterium:
Banken und Finanzen: Die Aufsichtsbehörden (BaFin, EZB) stellen strenge Anforderungen an die Lokalisierung und Verarbeitung von Daten. Ein Screenshot, der einen Kontostand oder eine Kontonummer zeigt, darf nicht ohne erhebliche Vorsichtsmaßnahmen über einen ausländischen Server laufen.
Gesundheitswesen: Gesundheitsdaten gehören zu den am stärksten durch die DSGVO geschützten Daten. Ein im visuellen Test aufgenommenes Krankenhaus-Dashboard ist ein Gesundheitsdatum.
Verteidigung und öffentlicher Sektor: Öffentliche Ausschreibungen fordern zunehmend souveräne Lösungen. Keine amerikanische Cloud, Punkt.
E-Commerce: Selbst ein klassischer Online-Shop erfasst in seinen Back-Offices Namen, Adressen und Kaufhistorien. Die DSGVO gilt uneingeschränkt.
B2B-SaaS: Ihre Kunden vertrauen Ihnen ihre Daten an. Wenn Ihr Testprozess diese einem Dritten offenlegt, ist es Ihre vertragliche und gesetzliche Verantwortung, die auf dem Spiel steht.
Der lokale Ansatz: vollständige Kontrolle behalten
Die einfachste Lösung zur Eliminierung dieses Risikos besteht darin, die Screenshots niemals außerhalb Ihrer Infrastruktur zu senden.
Genau das ist der Ansatz von Delta-QA. Die Desktop-Version funktioniert vollständig lokal: Die Aufnahmen werden auf Ihrem Rechner gemacht, auf Ihrem Rechner verglichen und auf Ihrem Rechner gespeichert. Keine Daten werden über einen externen Server übertragen. Es gibt kein Konto zu erstellen, keinen API-Token, keine Cloud-Verbindung.
Für Unternehmen, die Ergebnisse im Team teilen müssen, ermöglicht die On-Premise-Version die Bereitstellung von Delta-QA auf Ihren eigenen Servern — in Ihrem Rechenzentrum, auf Ihrer privaten Cloud oder in Ihrem internen Netzwerk. Die Daten verlassen niemals Ihren Bereich.
Dieser Ansatz beseitigt die DSGVO-Frage an der Wurzel: Wenn die Daten nicht hinausgehen, gibt es keine Übertragung zu regeln.
Open-Source-Tools: eine teilweise Alternative
Open-Source-Tools wie Playwright und BackstopJS funktionieren standardmäßig ebenfalls lokal. Das ist ein echter Vorteil für die Vertraulichkeit.
Aber sie haben eine Kehrseite: Sie erfordern Entwicklerkenntnisse für Installation, Konfiguration und Wartung. Wenn Ihr QA-Team diese Kompetenzen nicht hat, wird das Tool nicht von den richtigen Personen genutzt — und das Abhängigkeitsproblem gegenüber den Entwicklern kehrt zurück.
Delta-QA kombiniert beide Vorteile: standardmäßig lokal (wie Open Source) und ohne Code zugänglich (im Gegensatz zu Open Source).
Jenseits der DSGVO: Souveränität als Wettbewerbsvorteil
Die Frage geht über den regulatorischen Rahmen hinaus. Immer mehr europäische Unternehmen wählen souveräne Tools nicht aus Pflicht, sondern aus Überzeugung.
Genau zu wissen, wo Ihre Daten sind, wer Zugriff darauf hat, und es Ihren Kunden beweisen zu können — das ist ein geschäftlicher Vorteil. Bei einer Ausschreibung zu sagen „unsere Testdaten verlassen niemals unsere Infrastruktur" kann den Unterschied gegenüber einem Konkurrenten ausmachen, der ein amerikanisches Cloud-Tool verwendet.
Es ist auch eine Frage des internen Vertrauens. Teams arbeiten gelassener, wenn sie wissen, dass die Screenshots ihrer in Entwicklung befindlichen Oberflächen nicht auf einem Server am anderen Ende der Welt gespeichert sind.
Wie Sie prüfen, wohin Ihre Daten aktuell gehen
Wenn Sie bereits ein visuelles Testtool verwenden, hier die Fragen, die Sie stellen sollten:
Wo befinden sich die Server, die Ihre Aufnahmen speichern? Unter welcher Rechtsordnung operiert das Unternehmen? Werden die Daten bei der Übertragung und im Ruhezustand verschlüsselt? Wie lange werden die Aufnahmen aufbewahrt? Können Sie die vollständige Löschung Ihrer Daten verlangen? Gibt es eine On-Premise-Option oder ein europäisches Hosting?
Wenn Ihr Anbieter diese Fragen nicht klar beantworten kann, ist das ein Warnsignal.
FAQ
Gilt die DSGVO für Test-Screenshots?
Ja, sobald ein Screenshot personenbezogene Daten enthält — einen Namen, eine E-Mail-Adresse, eine Kundennummer, auch nur teilweise sichtbar. Testdaten genießen keine besondere Ausnahme in der DSGVO.
Reicht es aus, die Testdaten zu anonymisieren?
Die Anonymisierung kann das Risiko reduzieren, ist aber bei Screenshots schwer zu garantieren. Ein sichtbarer Name in einer Ecke des Bildschirms, eine Adresse in einem vorausgefüllten Formular — ein einziges Versehen reicht aus, damit der Screenshot personenbezogene Daten enthält.
Sendet Delta-QA Daten in die Cloud?
Nein. Die Desktop-Version funktioniert vollständig lokal. Kein Screenshot, keine Daten verlassen Ihren Rechner. Die On-Premise-Version läuft auf Ihren eigenen Servern.
Welche visuellen Testtools sind DSGVO-konform?
Tools, die lokal funktionieren (Delta-QA, Playwright, BackstopJS), lassen sich am einfachsten konform gestalten, da es keine Datenübertragung gibt. Cloud-Tools (Applitools, Percy, Chromatic) erfordern zusätzliche Vorsichtsmaßnahmen: Standardvertragsklauseln, Datenschutz-Folgenabschätzung usw.
Garantiert „Made in Germany" die DSGVO-Konformität?
Nicht automatisch, aber ein europäischer Herausgeber unterliegt direkt der DSGVO und hat nicht die Einschränkungen des transatlantischen Datentransfers. Das ist ein struktureller Vorteil.
Die Vertraulichkeit von Testdaten ist kein Nebenthema. Es ist eine juristische, geschäftliche und strategische Herausforderung. Ein Tool zu wählen, das Ihre Daten bei Ihnen behält, ist keine Paranoia — es ist gutes Management.
Vorheriger Artikel: Vergleich der Visuellen Testtools 2026