Elido
Blog
10 Min. LesezeitVergleiche

Die besten EU-URL-Shortener im Jahr 2026 (und warum das wichtig ist)

Welche URL-Shortener tatsächlich in der EU hosten, wie ihre Unterauftragsverarbeiter-Listen aussehen und wie man eine Residenz-Behauptung im Vergleich zur zugrunde liegenden Infrastruktur liest

Sasha Ehrlich
Compliance · EU residency
Comparison matrix of EU URL shorteners by hosting region, sub-processor count, EU-only contract clause, and self-host availability

Der Begriff „EU-URL-Shortener“ wird oft vage verwendet. Zwei Dinge sollten klar sein, bevor ich den Markt untersuche: Ein Anbieter mit Hauptsitz in der EU verarbeitet Daten nicht zwangsläufig in der EU, und ein Anbieter, der Daten in der EU verarbeitet, macht dies nicht unbedingt zu einer vertraglich bindenden Klausel. Die Frage des Käufers – „Kann ich schriftlich verlangen, dass personenbezogene Daten meiner EU-Subjekte innerhalb des EWR bleiben?“ – fasst diese Unterscheidungen zusammen und erwartet eine Ja-oder-Nein-Antwort.

Dieser Beitrag ist eine praxisorientierte Compliance-Analyse darüber, welche URL-Shortener diese Hürde im Jahr 2026 tatsächlich nehmen, wie ihre zugrunde liegende Infrastruktur aussieht und wie man eine Residenz-Behauptung gegenüber der operativen Realität prüft. Ich habe mich auf Behauptungen beschränkt, die aus öffentlichen Quellen verifizierbar sind – Preisgestaltungsseiten, Unterauftragsverarbeiter-Listen, Sicherheitsseiten, auf Anfrage erhältliche Standard-DPAs. Wo die Haltung eines Anbieters unklar ist, habe ich das so benannt.

Ja, Elido ist eine der Optionen. Ich werde konkret auf die Kompromisse gegenüber den Alternativen eingehen, anstatt sie zu übergehen.

Was „EU-Shortener“ eigentlich bedeutet#

Es gibt drei Ebenen, und ein Anbieter kann auf jeder davon „EU“ für sich beanspruchen. Sie sind nicht gleichwertig.

Rechtsträger. Das Unternehmen ist in einem EU-Mitgliedstaat eingetragen. Dies ist die am einfachsten zu verifizierende Behauptung (Handelsregister) und die operativ am wenigsten aussagekräftige. Ein Anbieter mit Hauptsitz in Berlin, der auf AWS US-East hostet, ist gesellschaftsrechtlich in der EU ansässig, datenschutzrechtlich jedoch außerhalb.

Hosting-Region. Die Daten werden auf einer Infrastruktur verarbeitet, die sich in der EU/im EWR befindet. Dies ist die operativ aussagekräftige Behauptung. Sie ist schwerer direkt zu verifizieren – man muss die Liste der Unterauftragsverarbeiter lesen und die Region des Hyperscalers identifizieren –, aber es ist die Behauptung, die Ihren Datenschutzbeauftragten (DSB) tatsächlich interessiert.

Vertragliche Residenzklausel. Der Kundenvertrag oder der Auftragsverarbeitungsvertrag (AVV/DPA) enthält eine verbindliche Zusage, dass die Daten die EU/den EWR nicht ohne Benachrichtigung und Zustimmung verlassen werden. Dies nutzt der Einkauf, um regulatorische Verpflichtungen zu erfüllen. Ohne diese Klausel kann sogar ein Anbieter, der heute zufällig in der EU hostet, im nächsten Quartal in eine US-Region wechseln, ohne den Vertrag zu verletzen.

Ein seriöser EU-Shortener erfüllt alle drei Kriterien. Ein Anbieter, der nur das erste oder zweite erfüllt, wird oft unter dem Euphemismus „EU-freundlich“ verkauft.

Der Basisartikel GDPR for URL shorteners behandelt die rechtlichen Grundlagen; dieser Beitrag konzentriert sich auf die Anbieterlandschaft.

Wie man eine Liste der Unterauftragsverarbeiter liest#

Jedes seriöse SaaS-Unternehmen veröffentlicht eine Liste der Unterauftragsverarbeiter. Die Liste ist das Artefakt, das Ihr DSB lesen wird; sie ist auch das zuverlässigste Signal dafür, wie der Anbieter tatsächlich über die Residenzfrage denkt.

Worauf zu achten ist:

  • Benannte Hyperscaler-Regionen. AWS allein reicht nicht aus; AWS eu-central-1 ist die brauchbare Antwort. Das Gleiche gilt für GCP (europe-west1) und Azure (westeurope, germanywestcentral).
  • Verhalten der CDN-Region. Cloudflare und Fastly sind standardmäßig global. Der Anbieter sollte dokumentieren, ob das EU-Subset erzwungen wird (Cloudflares Regional Services ist die EU-exklusive Datenebenen-Option) oder ob das CDN in seiner standardmäßigen globalen Routing-Konfiguration belassen wird.
  • E-Mail- und Benachrichtigungsanbieter. Postmark, SendGrid, Mailgun, Resend – die meisten werden in den USA gehostet. Wenn sie in der Liste der Unterauftragsverarbeiter stehen, enthalten transaktionale E-Mails Identifikatoren von EU-Subjekten (die E-Mail-Adresse des Empfängers), und die Residenz-Behauptung muss entweder diese Anbieter einschließen oder transaktionale E-Mails vom Geltungsbereich der Behauptung ausschließen.
  • Zahlungsanbieter. Oft in den USA gehostet (Stripe ist das offensichtliche Beispiel). Für B2B-SaaS ist das meist in Ordnung – die geteilten Daten sind die Abrechnungskontakte des Käufers, nicht die Klickdaten des Endnutzers –, aber es sollte offengelegt werden.
  • Anzahl der Unterauftragsverarbeiter. Weniger ist übersichtlicher. Eine Liste mit fünf Anbietern ist an einem Nachmittag prüfbar; eine Liste mit vierzig ist bei jeder Erweiterung ein Wartungsaufwand.

Die Liste ist das Signal. Ein Anbieter, der Ihnen seine Liste der Unterauftragsverarbeiter nicht zeigen will, hat dem Gespräch nichts hinzuzufügen.

Die Shortlist#

Wie das EU-gehostete Segment zum Zeitpunkt der Erstellung dieses Berichts aussieht. Ich habe nach Bereitstellungsmodell gruppiert, da die vertraglichen Auswirkungen unterschiedlich sind.

Bewertete EU-Positionsmatrix fuer Elido, Capsulink, Switchy, Bitly, Rebrandly und Short.io, mit Bewertung jedes Anbieters bei EU-Residenzklausel, vorunterzeichnetem AVV, Anzahl der Unterauftragsverarbeiter, Zertifizierungen und Hosting-Region, mit hervorgehobener Elido-Zeile an erster Stelle

Gehostetes SaaS, standardmäßig EU-Region#

Dies sind kommerzielle Shortener, die Kundendaten standardmäßig in der EU verarbeiten und eine vertraglich dokumentierte Residenzzusage bieten.

Elido. Standardmäßig die EU-Region. Business+-Kunden können US East oder Asien-Pazifik festlegen, wenn ihr Traffic-Profil dies erfordert. Die Liste der Unterauftragsverarbeiter umfasst insgesamt fünf – Compute, Edge, E-Mail, Zahlungen, Proxy + WAF – veröffentlicht unter /trust. Der AVV/DPA ist im Standard-Kundenvertrag vorunterzeichnet; Artikel-28-Verpflichtungen werden ohne Verhandlung adressiert. ISO 27001 zertifiziert; SOC 2 Type II in Arbeit (Ziel H2 2026). Self-hosted Edition unter Apache 2.0 für Organisationen, die volle Kontrolle über die Datenebene wollen. Offenlegung: Ich arbeite für Elido.

Capsulink (capsulink.com). In Vilnius, Litauen, ansässig. Die Hosting-Region ist als EU dokumentiert; die Liste der Unterauftragsverarbeiter ist angenehm kurz. Weniger Funktionen als die etablierten kommerziellen Shortener – Abstriche bei der Tiefe der Smart-Link-Regeln und serverseitigem Conversion-Forwarding –, aber die Residenz-Haltung ist sauber für Teams, deren Anwendungsfall einfaches Link-Kürzen mit gebrandeten Domains ist.

Switchy (switchy.io). In Zypern ansässig, in der EU gehostet. Stärker auf der Marketing-Funktionsseite (CTA-Overlays, Retargeting-Pixel). Die Residenzklausel ist im Standardvertrag enthalten; Unterauftragsverarbeiter werden auf Anfrage dokumentiert statt veröffentlicht.

Ich habe bewusst nicht jeden Shortener aufgeführt, der EU-Käufer anspricht – nur solche, bei denen ich persönlich die Hosting-Region verifiziert und eine Residenzklausel im Vertrag gesehen habe. Mehrere andere Anbieter bezeichnen sich als „EU-freundlich“, während sie auf einer US-Infrastruktur sitzen; der Discovery-Prozess auf Käuferseite sollte immer die Frage nach den Unterauftragsverarbeitern beim ersten Gespräch beinhalten.

Gehostetes SaaS, standardmäßig USA mit verfügbaren EU-Regionen#

Die größeren Shortener, die primär in den USA operieren, aber eine gewisse EU-Präsenz haben.

Bitly wird zum Zeitpunkt der Erstellung dieses Berichts in den USA gehostet. Auf ihrer öffentlichen Seite für Unterauftragsverarbeiter wird primär US-East aufgeführt. Enterprise-Kunden können EU-Residenzklauseln aushandeln, aber das ist ein individuelles Vertragsgespräch und kein Standardangebot. Praktische Auswirkung: Wenn Ihr Einkauf eine EU-Residenz im Vertrag verlangt, müssen Sie bei Bitly mit einem sechs- bis achtwöchigen Beschaffungszyklus rechnen. Der Beitrag Elido vs Bitly behandelt den Kosten-Nutzen-Vergleich im Detail.

Rebrandly hat seinen Hauptsitz in Italien, hostet aber auf AWS in Regionen, die sich über die USA und die EU erstrecken. Der Standardvertrag enthält keine EU-exklusive Klausel; sie ist auf Anfrage für Enterprise-Kunden verfügbar. Gleicher Vorbehalt bezüglich der Beschaffung.

Short.io hat seinen Hauptsitz in Estland (ein wichtiges Signal – estnische Unternehmen sind von Natur aus GDPR-konform, da sie von einem Mitgliedstaat aus operieren), hostet aber auf AWS ohne eine festgelegte Regionen-Bindung im Standardvertrag. Das Gespräch über die Residenz steht Verhandlungen offen; der Standardvertrag bindet sie nicht.

Ich beschreibe, was aus öffentlichen Materialien verifizierbar ist. Wenn Sie sich in der Beschaffungsphase befinden, fragen Sie das Vertriebsteam jedes Anbieters direkt nach der Standardliste der Unterauftragsverarbeiter und dem Wortlaut der Residenzklausel. Anbieter, die nicht beides innerhalb eines Werktages liefern können, signalisieren etwas über ihre Bereitschaft für den Beschaffungsprozess.

Self-hosted#

Für Organisationen, welche die Datenebene in ihrer eigenen VPC haben wollen – Finanzdienstleister mit regulatorischen Anforderungen an die Datenlokalität, Käufer aus dem öffentlichen Sektor, Gesundheitssysteme –, ist Self-Hosting die sauberste Antwort auf die Residenzfrage.

Elido self-hosted. Apache 2.0 Helm Chart; bringen Sie Ihr eigenes KMS, Ihre Datenbank, Ihren Analysespeicher und In-Memory-Cache mit. Derselbe Code, der den gehosteten Dienst ausführt, läuft auch beim Self-Hosting. Wir dokumentieren die Bereitstellung im Self-Hosting-Playbook und das Helm Chart im öffentlichen Repo.

YOURLS (yourls.org). Der Veteran unter den selbstgehosteten Shortenern. PHP-basiert, MySQL-Backend. Wird gewartet, aber die Codebasis spiegelt ihren Ursprung im Jahr 2009 wider – begrenztes Smart-Link-Routing, kein natives serverseitiges Conversion-Forwarding und die Analytics-Ebene ist rudimentär. Geeignet, wenn Ihr Anwendungsfall eine „minimale Short-Link-Infrastruktur unter eigener Kontrolle“ ist; nicht geeignet, wenn Sie einen funktionsreichen Shortener wünschen.

Shlink (shlink.io). Moderner selbstgehosteter Shortener, entwickelt in PHP/Symfony. Aktive Wartung, ordentlicher Funktionsumfang (Smart Links, benutzerdefinierte Domains, REST-API), MIT-Lizenz. Das Team ist in Spanien ansässig. Ein vernünftiger Mittelweg, wenn Ihr Anwendungsfall Self-Hosting mit mittlerem Funktionsumfang ist und Sie die operative Kapazität haben, es zu betreiben.

Kutt.it (kutt.it). Open-Source TypeScript/Node-Shortener, kann selbst gehostet werden. Weniger Funktionen als Shlink; die gehostete Version existiert, wird aber von einer Einzelperson und nicht von einem kommerziellen Unternehmen betrieben. Geeignet für sehr kleine Teams.

Das Abwägungsmuster bei den Open-Source-Optionen: Der Funktionsumfang ist deutlich geringer als bei den gehosteten kommerziellen Alternativen. Wenn Ihre Evaluierungskriterien die Tiefe der Smart-Link-Regeln, serverseitiges Conversion-Forwarding, Branded-Domain-Wildcards, SSO/SCIM oder einen vorunterzeichneten AVV umfassen, müssen Sie diese beim Open-Source-Pfad selbst bauen. Wenn Ihre Kriterien rein „minimale Kontrolle über Short Links in der eigenen VPC“ sind, sind sie solide.

Was man Anbieter fragen sollte#

Der schnellste Weg, die Residenz-Haltung eines Shorteners einzuschätzen, ist das Discovery-Gespräch. Acht Fragen, ein Werktag, schriftliche Antworten.

  1. Was ist die Hosting-Region für Neukunden, die heute unterschreiben? Nennen Sie die Hyperscaler-Region.
  2. Ist die Hosting-Region eine vertragliche Zusage im Standard-Kundenvertrag oder eine dokumentierte operative Praxis?
  3. Ist der AVV/DPA im Standardvertrag vorunterzeichnet oder wird er pro Kunde ausgehandelt?
  4. Wie viele Unterauftragsverarbeiter umfasst die Standard-Verarbeitungskette? Nennen Sie diese.
  5. Wie hoch ist das SLA für die Benachrichtigung bei Datenschutzverletzungen? (Branchennorm: 24 Stunden von der Kenntnisnahme bis zur Benachrichtigung des Verantwortlichen.)
  6. Wie hoch ist das SLA für die Löschung von Betroffenenrechten und ist dies im Klick-Event-Speicher operativ umsetzbar?
  7. Welche unabhängigen Bescheinigungen besitzt der Anbieter? Wann wurde das letzte Audit abgeschlossen?
  8. Wenn der Kunde eine reine EU-Verarbeitung verlangt, wie sieht der Prozess für Vertragsänderungen aus?

Ein Anbieter, der diese acht Fragen am ersten Werktag schriftlich beantworten kann, ist bereit für die Beschaffung. Der Anbieter, der dies nicht kann, wird Wochen Ihres Verkaufszyklus verbrauchen und kann bei der Unterzeichnung Probleme aufwerfen, die anfangs nicht offensichtlich waren.

Der Schrems II Vorbehalt#

Schrems II (EuGH C-311/18, 2020) hat das Privacy Shield für ungültig erklärt. Sein Nachfolgerahmen – das EU-US Data Privacy Framework (DPF), verabschiedet 2023 – hat einen Übermittlungsmechanismus für teilnehmende US-Organisationen wiederhergestellt. Zwei Vorbehalte sind bei der Auswahl eines Shorteners wichtig.

Das DPF ist freiwillig. Nicht jeder US-basierte Shortener ist zertifiziert; prüfen Sie die DPF-Teilnehmerliste, bevor Sie sich darauf als Übermittlungsgrundlage verlassen. Zum Zeitpunkt der Erstellung dieses Berichts stehen mehrere große US-Shortener nicht auf der Liste, was bedeutet, dass Übermittlungen unter dem Standardvertrag weiterhin auf SCCs plus einer Transfer-Folgenabschätzung (TIA) beruhen.

Das DPF ist selbst Gegenstand eines schwebenden Verfahrens. NOYB hat angekündigt, es vor dem EuGH anzufechten. Ein „Schrems III“-Urteil ist innerhalb der nächsten 24 bis 36 Monate plausibel; wenn es fällt, geht das DPF den Weg des Privacy Shield, und in den USA gehostete SaaS-Lösungen, die darauf angewiesen waren, müssen über Nacht zu SCC-plus-TIA zurückkehren. Käufer, die für dieses Szenario planen, verlangen in ihrer Standard-Beschaffungsvorlage zunehmend vertraglich eine reine EU-Verarbeitung.

Das praktische Fazit: Ein in der EU gehosteter Shortener ist ebenso eine Absicherung gegen das nächste Schrems-Urteil wie eine Reaktion auf das aktuelle Rechtssystem. Käufer in regulierten Branchen – deutsches Gesundheitswesen, französische Gesundheitsdaten via HDS-Zertifizierung, Finanzdienstleistungen unter EBA-Leitlinien – machen diese Absicherung zunehmend explizit.

Wenn die Frage „EU-gehostete Analytics“ lautet und nicht „EU-Shortener“#

Einige Teams kommen zu dieser Bewertung mit der Entscheidung, dass der Shortener selbst in Ordnung ist, die dahinter stehende Analytics-Pipeline jedoch nicht. Der Shortener wird in der EU gehostet; die Klick-Events werden zur Analyse in ein in den USA gehostetes Warehouse exportiert; die Residenz-Behauptung bricht beim Export.

Die Lösung ist das Warehouse und die Export-Pipeline, nicht der Shortener. ClickHouse Cloud hat eine Frankfurt-Region; BigQuery und Snowflake haben beide Frankfurt-Regionen; der Export aus dem Shortener muss so konfiguriert werden, dass er in der EU-Region landet und nicht in der Standard-US-Region. Elidos Analyse-Export-Leitfaden behandelt die Konfiguration; das Gleiche gilt für Exporte zu BigQuery und Snowflake.

Wenn Ihr Team eine gehostete CDP (Segment, mParticle, RudderStack) verwendet, stellt sich dieselbe Frage – die meisten CDPs haben eine EU-Regionsoption, die zum Zeitpunkt der Workspace-Erstellung aktiviert werden muss und nur schwer nachträglich migriert werden kann. Klären Sie dies zu Beginn der Evaluierung; die Kosten für eine Nachrüstung sind real.

Fazit#

EU-Residenz-Entscheidungsfluss: Wenn die Datenebene in der eigenen VPC liegen muss, Self-Hosting mit Elido, Shlink oder YOURLS; wenn eine EU-exklusive Klausel im Standardvertrag benoetigt wird, EU-Standard-SaaS wie Elido, Capsulink oder Switchy waehlen; wenn ein Enterprise-Vertrag akzeptabel ist, einen US-Standard-Anbieter mit EU-Region nutzen; andernfalls die DPF-Liste pruefen und auf SCCs plus Transfer-Folgenabschaetzung zurueckgreifen

Für die meisten B2B-SaaS-Teams, die in die EU verkaufen, wird die Residenzfrage aufkommen. Die Beschaffungsvorlage des Käufers wird die Frage enthalten; der DSB wird die Antwort lesen; der Anbieter, der sie beim ersten Gespräch klar beantworten kann, gewinnt Zeit im Zyklus. Für Teams, die an Finanzdienstleister, das Gesundheitswesen oder den öffentlichen Sektor verkaufen, ist die Residenz manchmal ein Ausschlusskriterium, keine weiche Präferenz.

In der EU gehostete Shortener sind ein kleines Segment des Marktes. Drei kommerzielle Optionen mit angemessenem Funktionsumfang – Elido, Capsulink, Switchy – plus die selbstgehosteten Open-Source-Alternativen. Die größeren US-Standard-Shortener (Bitly, Rebrandly, Short.io) können EU-Residenz in der Regel in Enterprise-Verträgen unterbringen, mit den Kosten für den Beschaffungszyklus, die mit individuellen Vertragsgesprächen einhergehen.

Die ehrliche Antwort auf „welchen sollen wir wählen“ lautet: Erstellen Sie eine Shortlist der drei oder vier, die Ihre Residenz-, Funktions- und Preisvorgaben erfüllen, senden Sie jedem die acht Discovery-Fragen schriftlich zu und unterschreiben Sie bei dem, der zuerst antwortet und alle acht sauber beantwortet. Dieser Filter ist entscheidender als jede Funktionscheckliste – Anbieter, die die Strenge auf der Beschaffungsseite nicht bewältigen, werden auch Ihre Support-Eskalationen nicht bewältigen.

Den Cluster lesen#

Dies ist ein Geschwisterbeitrag im Comparisons-Cluster. Der Basisartikel ist Bitly alternatives - the actual feature gap; siehe auch Elido vs Bitly für die Preisberechnung. Für die Compliance-Details hinter der Residenz-Behauptung ist GDPR for URL shorteners der Basisartikel des Compliance-Clusters. Beschaffungsrelevante Artefakte: /trust, /solutions/compliance, /solutions/enterprise.

Passendes im Blog#

Elido testen

URL einfügen, kurzer Link in Sekunden

Kein Konto nötig. Link bleibt 30 Tage aktiv. Konto erstellen, um ihn dauerhaft zu behalten.

Kostenlos, keine Anmeldung erforderlich · 2 pro Tag

Elido testen

URL-Shortener mit EU-Hosting: eigene Domains, tiefe Analytik und eine offene API. Kostenloser Tarif - keine Kreditkarte nötig.

Elido kostenlos testenPreise ansehen
Tags
eu url shortener
gdpr url shortener
european url shortener
data residency
self hosted url shortener
schrems ii

Weiterlesen