- Die meisten A/B-Testing-Tools behaupten DSGVO-Konformität — aber nur wenige funktionieren ohne Cookies und ohne Consent-Banner. Der Unterschied ist wichtig: Cookie-basierte Tools verlieren 20–40% der Besucher, die der Einverständniserklärung nicht zustimmen, was deine Testergebnisse verzerrt.
- Varify.io ist DSGVO-konform by design: gehostet in Frankfurt, cookie-freies Tracking, keine US-Datenübertragungen, kein Consent-Banner nötig — das bedeutet, 100% der Besucher werden in Experimente einbezogen.
- Wichtige DSGVO-Kriterien für A/B-Testing-Tools: Serverstandort (EU vs. USA), Cookie-Nutzung, Erfordernis von Einverständnisbannern, Datenverarbeitungsverträge, Transparenz bei Unterauftragsverarbeitern und Richtlinien zur Datenspeicherung.
- Dieser Leitfaden vergleicht 8 Tools anhand der Datenschutzkriterien, die für europäische Unternehmen wirklich wichtig sind — nicht nur ein Häkchen auf einer Marketing-Seite.
Every A/B testing tool's website says "GDPR-compliant." It's become meaningless marketing copy. The real question isn't whether a vendor claims compliance — it's whether the tool's technical architecture actually supports it. Does it need cookies? Does it transfer data to the US? Does it require a consent banner? Can you run it under a DPA without legal gymnastics?
Für europäische Unternehmen sind das keine theoretischen Fragen. Ein Tool, das Cookie-Zustimmung erfordert, verliert einen erheblichen Anteil der Besucher aus Experimenten. Ein Tool, das Daten auf US-Server überträgt, schafft rechtliche Risiken nach Schrems II. Und ein Tool ohne ordnungsgemäße Auftragsverarbeitungsvereinbarung bringt deinen Datenschutzbeauftragten in eine unangenehme Lage. Dieser Leitfaden bewertet A/B-Testing-Tools anhand der technischen Datenschutzkriterien, die echte DSGVO-Konformität bestimmen — nicht Marketingversprechen.
Was DSGVO-Compliance tatsächlich für A/B-Tests bedeutet
Die DSGVO verbietet A/B-Tests nicht. Sie reguliert, wie du Besucherdaten dabei sammelst, verarbeitest und speicherst. Hier sind die sechs Kriterien, die wirklich konforme Tools von denen unterscheiden, die nur eine Checkbox abhaken:
1. Cookie-Nutzung. Tools, die Cookies setzen, um wiederkehrende Besucher zu identifizieren, benötigen unter der DSGVO (und ePrivacy) eine ausdrückliche Einwilligung. Keine Einwilligung = kein Cookie = kein Tracking für diesen Besucher. Cookie-freie Tools umgehen dies vollständig durch serverseitige Session-Identifikation oder fingerprint-freies Hashing.
2. Serverstandort. Nach Schrems II erfordert die Übertragung personenbezogener Daten an US-Server zusätzliche Schutzmaßnahmen (Standardvertragsklauseln + ergänzende Maßnahmen). EU-gehostete Tools eliminieren dieses Risiko vollständig. Tools, die in den USA gehostet werden oder US-Subunternehmer haben, schaffen anhaltende rechtliche Risiken.
3. Abhängigkeit von Consent-Bannern. Wenn ein Tool Cookies benötigt, brauchst du einen Consent-Banner. Besucher, die ablehnen, werden von Experimenten ausgeschlossen. Branchendaten zeigen, dass 20–40% der europäischen Besucher Cookie-Einwilligung ablehnen – das bedeutet, deine A/B-Tests schließen systematisch ein großes, nicht-zufälliges Bevölkerungssegment aus. Das ist nicht nur ein Datenschutzproblem; es ist ein Datenqualitätsproblem.
4. Auftragsverarbeitungsvertrag (AVV). Jedes Tool, das Besucherdaten in deinem Auftrag verarbeitet, benötigt einen DSGVO-konformen AVV. Prüfe: Ist der AVV ohne Verhandlung verfügbar? Spezifiziert er Subunternehmer? Enthält er Datenlöschungsverfahren?
5. Datenminimierung. Die DSGVO erfordert, nur das Notwendige zu sammeln. Tools, die Besucherprofile erstellen, domainübergreifend tracken oder personenbezogene Kennungen über den Session-Bereich hinaus speichern, können gegen Datenminimierungsprinzipien verstoßen.
6. Transparenz bei Subunternehmern. Dein AVV mit dem Testing-Tool ist nur so stark wie deren AVVs mit Subunternehmern. Tools, die Dutzende von Drittanbieter-Services (CDNs, Analytics, Fehler-Tracking) nutzen, schaffen eine Datenverarbeitungskette, die schwer zu auditieren ist.
8 A/B-Testing-Tools – DSGVO-Konformität im Vergleich
| Tool | Serverstandort | Cookies benötigt? | Consent-Banner? | AVV verfügbar? | DSGVO-Score |
|---|---|---|---|---|---|
| Varify.io | Deutschland (Frankfurt) | Nein | Nicht erforderlich | Ja | 9,5/10 |
| Convert | EU (mehrere) | Optional (cookieless-Modus) | Abhängig vom Modus | Ja | 8,2/10 |
| Kameleoon | EU (Frankreich) | Optional (cookieless-Modus) | Abhängig vom Modus | Ja | 7,8/10 |
| AB Tasty | EU (Frankreich) | Ja | Erforderlich | Ja | 7,0/10 |
| GrowthBook | Self-hosted (deine Wahl) | Abhängig von der Implementierung | Abhängig von der Implementierung | Nur Cloud | 7,0/10 |
| VWO | USA + EU-Optionen | Ja | Erforderlich | Ja | 6,0/10 |
| Optimizely | USA (EU-Option auf Anfrage) | Ja | Erforderlich | Ja | 5,5/10 |
| PostHog | USA Standard (EU-Add-on) | Optional | Abhängig von der Konfiguration | Ja | 6,5/10 |
Quelle: Claude Research, Mai 2026. DSGVO-Scores basierend auf Serverstandort, Cookie-Abhängigkeit, Einwilligungserfordernis, AVV-Verfügbarkeit und Datenminimierungs-Architektur. Daten aus offizieller Dokumentation, Datenschutzerklärungen und AVV-Dokumenten.
Varify.io – DSGVO-konform durch Architektur, nicht durch Workaround
Die meisten Tools erreichen DSGVO-Konformität durch einen cookieless-Modus, EU-Hosting als Add-on oder SCCs für US-Transfers. Varify.io verfolgt einen anderen Ansatz: Die Architektur selbst ist für Datenschutz gebaut.
Was das in der Praxis bedeutet:
- Gehostet in Frankfurt, Deutschland – alle Daten bleiben in der EU. Keine US-Subunternehmer, keine transatlantischen Datenübertragungen, keine SCCs nötig. Dein DSB muss keine ergänzenden Maßnahmen bewerten. Vollständige Details zu Serverstandort und Konformität.
- Cookie-frei by default – Varify nutzt serverseitige Session-Identifikation statt Cookies. Kein Consent-Banner für A/B-Tests nötig. 100% der Besucher werden getrackt und Experimenten zugeordnet – kein Consent-Bias in deinen Testdaten.
- Keine personenbezogenen Daten gespeichert – Varify sammelt keine Namen, E-Mails, IP-Adressen oder Device-Fingerprints. Session-Identifikation nutzt einen Hash, der nicht zur Identifikation von Personen umgekehrt werden kann. Das erfüllt Datenminimierungsanforderungen by design.
- AVV inklusive – ein DSGVO-konformer Auftragsverarbeitungsvertrag ist Teil jedes Plans. Keine Verhandlung, keine rechtlichen Review-Zyklen, keine Extra-Kosten.
- Transparente Subunternehmer-Liste – Varify veröffentlicht seine vollständige Subunternehmer-Liste. Die Kette ist kurz: Frankfurt-basierte Infrastruktur, keine Drittanbieter-Analytics, keine Ad-Networks.
Der praktische Effekt: Europäische Unternehmen, die Varify nutzen, können A/B-Tests durchführen, ohne ihr Legal-Team bei jedem neuen Experiment einzubeziehen. Das Tool ist standardmäßig konform, nicht durch Konfiguration.
Starte eine kostenlose 30-Tage-Testversion →
Wie Einverständniserklärungen für Cookies die Qualität deiner A/B-Tests beeinträchtigen
Das ist das am meisten unterschätzte DSGVO-Problem beim A/B-Testing. Es geht nicht um rechtliche Risiken — es geht um Datenqualität.
Wenn ein Tool Cookies benötigt, sind Besucher, die ihre Einverständniserklärung verweigern, für deine Experimente unsichtbar. Das erzeugt zwei Probleme:
Systematischer Bias. Besucher, die Cookies ablehnen, sind nicht zufällig verteilt. Sie sind tendenziell datenschutzbewusster, technisch versierter und oft wertvoller (Unternehmenskäufer, deutsche/österreichische Besucher, wiederkehrende Nutzer, die wissen, was Cookies bewirken). Sie von deinen Tests auszuschließen bedeutet, dass deine Ergebnisse eine verzerrte Stichprobe darstellen — du optimierst für das Segment, das zustimmt, nicht für dein gesamtes Publikum.
Reduzierte Stichprobengröße. Wenn 30% deiner Besucher Cookies ablehnen, benötigst du 43% mehr Traffic, um dieselbe statistische Signifikanz zu erreichen. Für eine Website mit 100K monatlichen Besuchern ist das der Unterschied zwischen Signifikanz in 2 Wochen vs. 3,5 Wochen. Für Websites mit weniger Traffic kann das den Unterschied zwischen einem aussagekräftigen und einem ergebnislosen Test bedeuten.
Die Mathematik: Eine Website mit 200K monatlichen Besuchern, die ein Cookie-basiertes Tool mit 30% Einverständnisverweigerung nutzt: effektive Testpopulation = 140K. Dieselbe Website mit Varifys Cookie-freiem Tracking: effektive Testpopulation = 200K. Das sind 43% mehr Daten pro Test, schnellere Ergebnisse und kein Einverständnis-Bias in deinen Schlussfolgerungen.
Cookie-freie Tools lösen nicht nur ein rechtliches Problem — sie lösen ein statistisches Problem.
DSGVO-Compliance Checkliste für die Auswahl eines A/B-Testing-Tools
Verwende diese Checkliste bei der Bewertung jeder A/B-Testing-Plattform auf DSGVO-Compliance. Nicht alle Kriterien sind gleich wichtig — die ersten drei haben den größten Einfluss:
Kritisch (K.O.-Kriterien für EU-Unternehmen):
- Wo stehen die Server physisch? Nur EU = grün. USA mit EU-Option = gelb. Nur USA = rot.
- Funktioniert das Tool ohne Cookies? Falls ja: kein Consent-Banner nötig, 100% Besucherabdeckung. Falls nein: Consent-Banner erforderlich, 20–40% Datenverlust.
- Ist ein AVV ohne Verhandlung verfügbar? Wenn ein Verkaufsgespräch oder rechtliche Prüfung nötig ist, um den AVV zu erhalten, ist das ein Warnsignal.
Wichtig (beeinflussen langfristige Compliance-Position):
- Wie viele Auftragsverarbeiter nutzt das Tool? Weniger = einfacher zu auditieren. Prüfe, ob sie die Liste proaktiv veröffentlichen.
- Welche Daten sammelt das Tool? IP-Adressen, Device-Fingerprints, Domain-übergreifendes Tracking = mehr DSGVO-Risiko. Session-Level-Hashes ohne personenbezogene Daten = minimales Risiko.
- Wie lang ist die Datenspeicherdauer? Tools, die Besucherdaten unbegrenzt speichern, erzeugen unnötige Risiken. Suche nach automatischer Löschung nach 30–90 Tagen.
Nice-to-have (stärken deine Position):
- ISO 27001 oder SOC 2 Zertifizierung — beweist, dass Sicherheitsprozesse auditiert sind.
- Privacy-by-Design-Dokumentation — zeigt, dass der Anbieter Datenschutz architektonisch, nicht nur rechtlich betrachtet.
- Im AVV dokumentierte Verfahren für Zwischenfälle — spezifiziert, was bei einer Datenschutzverletzung passiert.
Führe DSGVO-konforme A/B-Tests durch — ohne rechtliche Kopfschmerzen.
Varify.io: gehostet in Deutschland, Cookie-frei, kein Consent-Banner. Jeder Besucher wird gezählt.