Elido
Blog
13 Min. LesezeitCompliance
Eckpfeiler

EU-Datenresidenz für Marketing-Tools: Was Ihr Datenschutzbeauftragter wirklich fragt

Was „EU-Datenresidenz“ gemäß DSGVO Artikel 3 + Schrems II bedeutet – wo Marketing-Tools Daten leaken, der serverseitige Fix und eine Beschaffungs-Checkliste

Sasha Ehrlich
Compliance · EU residency
EU border with data-flow arrows staying inside versus crossing to US-hosted marketing tools, with seven leak points highlighted

Ich habe viele Sicherheitsfragebögen geprüft, die mit demselben Kontrollkästchen begannen: „Werden Kundendaten in der EU gehostet? Ja / Nein.“ Der Anbieter setzt ein Häkchen bei Ja. Der Datenschutzbeauftragte unterzeichnet die Prüfung. Sechs Monate später bemerkt derselbe Datenschutzbeauftragte, dass jedes Click-Event über ein in den USA gehostetes Meta Pixel und eine in Kalifornien ansässige HubSpot-Instanz geleitet wird, die beide im Browser des Benutzers ausgelöst werden, noch bevor der EU-Edge von Elido die Anfrage überhaupt sieht.

Das Häkchen war ehrlich. Die Antwort war jedoch unvollständig. „EU-gehostet“ auf der Homepage eines Anbieters beschreibt, wo sich die eigenen Server der Plattform befinden. Es sagt nichts darüber aus, was die mit dieser Plattform verbundene Marketing-Ebene mit den Daten macht, wohin sie fließen oder welche Rechtsgrundlage die Übermittlung abdeckt. Das sind die Fragen, die ein Datenschutzbeauftragter, der DSGVO Artikel 3 und Schrems II gelesen hat, tatsächlich stellt.

Dieser Beitrag ist die Version dieses Gesprächs für Marketer und Datenschutzbeauftragte. Wo beginnt und endet die EU-Datenresidenz, wenn Sie Link-Tracking und Conversion-Weiterleitung betreiben? Was ändert sich rechtlich, wenn Sie von clientseitigen Pixeln zu serverseitigen Conversion-APIs wechseln? Und was sollte die Beschaffungs-Checkliste tatsächlich enthalten?

Der zugehörige Beitrag - DSGVO für URL-Shortener - deckt die Verpflichtungen auf Artikelebene vollständig ab. Ich werde darauf verweisen, wo es relevant ist, anstatt es zu wiederholen.

TL;DR#

  • „EU-gehostet“ deckt die Datenebene Ihres Anbieters ab. Es deckt nicht die clientseitigen Marketing-Skripte ab, die in den Browsern Ihrer Benutzer ausgeführt werden, bevor der Redirect erfolgt.
  • Schrems II und die DSGVO Artikel 44–49 erlegen dem Datenfluss zu in den USA gehosteten Werbe- und Analytics-Plattformen reale Anforderungen auf. Die serverseitige Conversion-Weiterleitung verlagert die Übermittlung auf die Server-zu-Server-Ebene, beseitigt jedoch nicht die Übermittlungspflicht.
  • Artikel 28 Abs. 2 erfordert eine schriftliche Liste der Unterauftragsverarbeiter. Fünf Unterauftragsverarbeiter mit benannten Regionen sind prüfbar; vierzig mit vagen Angaben sind ein Haftungsrisiko.
  • Die folgende Beschaffungs-Checkliste klärt die meisten Fragen des Datenschutzbeauftragten in einem einzigen Discovery-Call.

Der rechtliche Stack in einfacher Sprache#

Vier Rechtsgrundlagen leisten hier den Großteil der Arbeit. Sie können sie zitieren, ohne ein Jurastudium absolviert zu haben; die Artikelnummern sind kurz.

DSGVO Artikel 3 - räumlicher Anwendungsbereich. Artikel 3 Abs. 2 wendet die DSGVO auf jede Verarbeitung personenbezogener Daten von EU-Bürgern durch einen nicht in der EU ansässigen Verantwortlichen oder Auftragsverarbeiter an, wenn die Verarbeitung dazu dient, EU-Bürgern Waren oder Dienstleistungen anzubieten oder deren Verhalten zu beobachten. „Verhaltensbeobachtung“ ist Link-Tracking. Ein in den USA gehosteter Analytics-Anbieter ohne EU-Niederlassung verarbeitet jedes Mal personenbezogene Daten von EU-Bürgern, wenn Ihr Link deren Pixel auslöst. Artikel 3 besagt, dass die DSGVO für diesen Anbieter gilt, unabhängig davon, wo er ansässig ist. Bei der Residenzfrage geht es darum, wohin die Daten fließen, nachdem die Verarbeitungsverpflichtung bereits entstanden ist.

DSGVO Artikel 28 - Pflichten des Auftragsverarbeiters. Artikel 28 regelt den Vertrag zwischen dem Verantwortlichen und jedem Auftragsverarbeiter in der Kette. Ihre Link-Kürzung-Plattform, Ihr Analytics-Tool, Ihr E-Mail-Anbieter - jeder muss einen DPA unterzeichnen, der die acht Verpflichtungen (a) bis (h) abdeckt. Ein Anbieter, der keinen vorab unterzeichneten DPA liefert, verlangt von Ihnen, sein Compliance-Risiko zu übernehmen. Unterabsatz (2) verpflichtet den Auftragsverarbeiter ausdrücklich dazu, die Genehmigung des Verantwortlichen einzuholen, bevor er weitere Unterauftragsverarbeiter beauftragt, und diesen Unterauftragsverarbeitern vertraglich gleichwertige Verpflichtungen aufzuerlegen.

DSGVO Artikel 44–49 - Drittlandübermittlungen. Kapitel V der DSGVO untersagt die Übermittlung personenbezogener Daten in ein Drittland, es sei denn, einer der aufgeführten Mechanismen greift: ein Angemessenheitsbeschluss, Standardvertragsklauseln (SCCs), verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) oder die Ausnahmen in Artikel 49. Für Übermittlungen an in den USA gehostete Plattformen ist der Standardmechanismus seit der Verabschiedung des EU-US DPF im Jahr 2023 die SCCs ergänzt durch eine DPF-Zertifizierung - oder das EU-US Data Privacy Framework selbst, sofern der US-Empfänger zertifiziert ist. Keiner der Mechanismen beseitigt die Übermittlungsanforderung; sie beschreiben, wie man sie erfüllt.

Schrems II - EuGH C-311/18. Das Schrems II-Urteil erklärte das Privacy Shield im Juli 2020 für ungültig und legte fest, dass auf SCCs basierende Übermittlungen eine Datentransfer-Folgenabschätzung (Transfer Impact Assessment, TIA) erfordern, um zu bewerten, ob das Überwachungsrecht des Bestimmungslandes EU-Bürgern wirksame Rechtsbehelfe verweigern würde. Die TIA-Last ist real und fortlaufend. Das EU-US Data Privacy Framework, das 2023 per Angemessenheitsbeschluss der Kommission verabschiedet wurde, bietet einen aktuellen Mechanismus für DPF-zertifizierte US-Empfänger, ist jedoch Gegenstand laufender Rechtsstreitigkeiten - NOYB hat die Absicht signalisiert, dagegen vorzugehen, und die Empfehlungen des EDPB zu ergänzenden Maßnahmen (01/2020) bleiben eine relevante Orientierungshilfe für Teams, die ein Transferregime wollen, das gegenüber dem nächsten Schrems-Urteil robust ist. Einkäufer in regulierten Sektoren schließen zunehmend Verträge für eine reine EU-Verarbeitung ab, als strukturelle Absicherung gegen Änderungen der Rechtslage.

Wo Marketing-Analytics typischerweise die EU-Residenz verletzen#

Die Lücke zwischen „unser Shortener ist EU-gehostet“ und „unsere Daten bleiben in der EU“ öffnet sich auf der clientseitigen Marketing-Ebene. Sechs häufige Leak-Punkte.

Meta Pixel (clientseitig). Die Standard-Pixel-Implementierung sendet einen GET-Request vom Browser des Benutzers an connect.facebook.net, einen CDN-Punkt, der von der US-basierten Infrastruktur von Meta bedient wird. Diese Anfrage enthält die vollständige URL - einschließlich Ihrer UTM-Parameter - sowie die IP des Benutzers, Cookie-Identifikatoren und den Browser-Fingerprint. Die Daten verlassen das EU-Territorium im Browser des Benutzers, noch bevor Ihr Server den Klick verarbeitet. Meta ist für EU-Zwecke in Irland eingetragen und beansprucht eine Rechtsgrundlage für die Übermittlung unter SCCs. Dieser Anspruch ist Gegenstand zweier wesentlicher DPA-Entscheidungen (das Urteil der irischen Datenschutzbehörde zu Facebook Irland von 2022 und die Durchsetzungsanordnung zu SCCs von 2023). Das Pixel selbst sendet weiterhin Daten an US-Server; die Rechtsgrundlage ist umstritten.

Google Tag / GA4 (clientseitig). Das gtag.js-Snippet wird vom Browser des Benutzers an google-analytics.com und analytics.google-analytics.com gesendet, die beide auf US-basierten Google-Servern aufgelöst werden, es sei denn, Sie haben das Google Analytics 4 EU-Routing mit data_collection_endpoint auf region1.google-analytics.com konfiguriert. Selbst mit dem EU-Endpunkt dokumentiert Google, dass einige Verarbeitungsprozesse in der US-Infrastruktur stattfinden. Die Standardimplementierung ist eindeutig: browserseitig, US-gehostet.

Salesforce CRM. Die Datenresidenz der Salesforce Marketing Cloud hängt davon ab, auf welchem Pod sich Ihr Tenant befindet. EU-Kunden auf EU-Pods verarbeiten Click-Event-Attributionsdaten in der EU - sofern Sie dies explizit konfiguriert haben. Der Standard-US-Pod ist in den USA gehostet. Die meisten Teams, die ich im Bereich KMU bis Mittelstand sehe, haben diese Konfiguration nicht vorgenommen; sie verfügen über eine Salesforce-Instanz, die von einem in den USA ansässigen Admin auf einem US-Pod bereitgestellt wurde und seitdem CRM-Daten von EU-Bürgern über den Atlantik leitet.

HubSpot. Die E-Mail-Tracking-Pixel von HubSpot werden von der HubSpot-Infrastruktur in den USA bereitgestellt. EU-Datenresidenz ist als Add-on für Enterprise-Kunden verfügbar; sie ist nicht der Standard. Das Tracking-Pixel, das ausgelöst wird, wenn ein Kontakt eine Marketing-E-Mail öffnet, sendet in der Standardkonfiguration einen Identifikator eines EU-Bürgers (die E-Mail-Adresse, kodiert in der Pixel-URL) an einen US-Endpunkt.

E-Mail-Öffnungstracking von Drittanbietern. Über HubSpot hinaus - Mailchimp, Brevo, Customer.io, ActiveCampaign - gilt dasselbe Muster. Tracking-Pixel-URLs werden auf dem CDN des Anbieters gehostet; die meisten CDNs verwenden standardmäßig US-PoPs für Origin-Traffic; das Pixel, das vom E-Mail-Client eines EU-Benutzers ausgelöst wird, leitet zur US-Infrastruktur. Für einige Tarife gibt es EU-Regionsoptionen; sie sind nicht voreingestellt.

Der Shortener selbst als Transit. Wenn ein Shortener nicht in der EU gehostet wird, durchläuft die Redirect-Anfrage eine Nicht-EU-Infrastruktur. Das Click-Event wird außerhalb des EWR protokolliert. Dies ist die Residenz-Ebene, die das Kontrollkästchen „EU-gehosteter Shortener“ eigentlich adressieren soll - und es ist der kleinste der sechs Leaks, da der Redirect typischerweise ein Ereignis von 2-5 ms ist und das Click-Log das einzige dauerhafte Datum ist, das der Shortener erstellt.

Die typische Exposition für ein mittelständisches Marketing-Team, das Standard-Tools einsetzt: Drei bis fünf der oben genannten Szenarien sind gleichzeitig aktiv, ohne dass für eines davon eine Datentransfer-Folgenabschätzung vorliegt, und ein Verzeichnis von Verarbeitungstätigkeiten (RoPA) nach Artikel 30, das „Google Analytics, Meta Pixel“ nennt, ohne zu dokumentieren, welcher Mechanismus die Übermittlung abdeckt.

Der serverseitige Fix: Was sich rechtlich ändert und was nicht#

Die serverseitige Conversion-Weiterleitung - bei der der EU-Edge des Shorteners Klick- und Conversion-Events an die serverseitige API der Werbeplattform weiterleitet, anstatt das Pixel im Browser des Benutzers auslösen zu lassen - ist die teilweise Lösung. Hier ist, was sich dadurch ändert und was unverändert bleibt.

Was sich ändert: Der Browser des Benutzers sendet keine Daten mehr direkt an den US-Endpunkt. Der Anfragepfad lautet:

  1. Benutzer klickt auf den Kurzlink
  2. Der EU-Edge von Elido (die EU-Region) empfängt die Anfrage und protokolliert das Click-Event lokal
  3. Der EU-Edge von Elido leitet das Conversion-Signal von Server zu Server an Meta CAPI / GA4 Measurement Protocol weiter
  4. Die Werbeplattform empfängt das Event auf ihrem US-Server

Die Meta Conversions API ist die kanonische Implementierung dieses Musters für Meta. Das GA4 Measurement Protocol ist das Äquivalent von Google. Der Browser des Benutzers berührt nur den EU-Edge von Elido; er kontaktiert niemals direkt einen US-Analytics-Endpunkt.

Sequence diagram showing browser to EU edge (Elido) to server-side vendor API. The browser never directly contacts the US analytics endpoint.

Was sich nicht ändert: Die Daten werden immer noch an einen in den USA gehosteten Auftragsverarbeiter übermittelt. Der EU-Edge von Elido löst diese Übermittlung aus. Die Übermittlungspflicht gemäß Artikel 44–49 gilt weiterhin - Sie benötigen weiterhin SCCs oder eine DPF-Abdeckung für den Meta- oder Google-Teil der Kette. Was sich ändert, ist die praktische Kontrolle des Verantwortlichen über diese Übermittlung: Sie findet auf einem von Ihnen betriebenen Server statt, unter Verwendung von Ihnen verwalteter Anmeldedaten, mit dem von Ihnen angewendeten Hashing der Identifikatoren (SHA-256 bei E-Mail-Adressen, wie Meta CAPI es erfordert), anstatt in einem Browser-Skript, dessen Prüfung oder Kontrolle Sie nur begrenzt möglich ist.

Dies ist eine wesentliche Verbesserung unter dem Gesichtspunkt der Datenminimierung und Sicherheit. Es handelt sich nicht um eine vollständige Befreiung vom Transferregime. Ihr Datenschutzbeauftragter muss sich über diesen Unterschied im Klaren sein, bevor er die Beschaffungsprüfung unterzeichnet.

Die rechtliche Folge der serverseitigen Weiterleitung: Ihr RoPA-Eintrag nach Artikel 30 für „Meta CAPI“ dokumentiert nun eine Server-zu-Server-Übermittlung unter Ihrer Kontrolle, wobei die Identifikatoren gehasht werden, bevor sie die EU-Infrastruktur verlassen. Das ist ein wesentlich saubererer Eintrag als „Meta Pixel - clientseitig, vom Browser initiiert, Übermittlungsgrundlage TBD.“ Es ist kein Null-Transfer; es ist ein dokumentierter, kontrollierter Transfer.

Artikel 28 Abs. 2: Warum die Anzahl der Unterauftragsverarbeiter wichtig ist#

Artikel 28 Abs. 2 verpflichtet den Auftragsverarbeiter, die vorherige Genehmigung des Verantwortlichen einzuholen, bevor er weitere Unterauftragsverarbeiter beauftragt, entweder spezifisch (pro Anbieter) oder allgemein (benachrichtigungsbasiert mit einem Widerspruchsrecht). Jeder seriöse SaaS-Vertrag verwendet eine allgemeine vorherige Genehmigung mit einer 30-tägigen Benachrichtigungsfrist. Der Verantwortliche unterzeichnet den DPA; der DPA enthält eine Liste der Unterauftragsverarbeiter; Ergänzungen der Liste lösen eine Benachrichtigung und eine 30-tägige Widerspruchsfrist aus.

Die Liste der Unterauftragsverarbeiter ist das Artefakt, das Ihr Datenschutzbeauftragter tatsächlich lesen wird. Was eine brauchbare Liste enthält:

  • Name des Unterauftragsverarbeiters
  • Ort der Datenverarbeitung (Hyperscaler-Region, nicht nur das Land)
  • Rolle in der Verarbeitungskette
  • Kategorien der weitergegebenen personenbezogenen Daten
  • Rechtsgrundlage für jede Drittlandübermittlung
  • Datum der Hinzufügung
  • Benachrichtigungskanal für künftige Ergänzungen

Die Liste ist auch ein Signal dafür, wie der Anbieter über Residenz denkt. Ein Anbieter mit fünf Unterauftragsverarbeitern, deren Regionen Sie in einem Satz benennen können, hat dies bewusst so geplant. Ein Anbieter mit vierzig Unterauftragsverarbeitern, deren Einträge „verschiedene globale Regionen“ lauten, hat dies nicht getan.

Die Unterauftragsverarbeiter-Liste von Elido umfasst fünf Anbieter - EU-Compute und -Infrastruktur, EU-E-Mail, Zahlungen und CDN - veröffentlicht unter /legal/subprocessors. Diese Zahl ist absichtlich klein gewählt. Jeder Unterauftragsverarbeiter vergrößert die Angriffsfläche des Datenschutzprogramms des Verantwortlichen; jede Hinzufügung eines Unterauftragsverarbeiters löst einen Benachrichtigungszyklus und ein potenzielles Widerspruchsfenster aus. Ein Anbieter, der einen produktionsreifen Shortener mit fünf Unterauftragsverarbeitern betreiben kann, hat explizite Entscheidungen darüber getroffen, welche Abhängigkeiten von Drittanbietern gerechtfertigt sind.

Vergleichen Sie dies mit einer Marketing-Analytics-Plattform mit 35-40 Unterauftragsverarbeitern. Die Liste ist prinzipiell prüfbar; in der Praxis prüft der Datenschutzbeauftragte des Verantwortlichen vierzig DPAs und vierzig Datentransfer-Folgenabschätzungen, von denen einige fehlen werden. Die Zahl von fünf Anbietern ist kein Marketingversprechen. Es ist eine betriebliche Entscheidung mit realen Konsequenzen für Ihren Compliance-Arbeitsaufwand.

Die Beschaffungs-Checkliste für Marketer#

Acht Fragen. Schriftliche Antworten. Wenn ein Anbieter diese bereits beim ersten Discovery-Call liefern kann, verkürzt sich der Beschaffungszyklus um Wochen. Wenn er es nicht kann, sagt Ihnen das etwas.

  1. Was ist die spezifische Hosting-Region für neue Kundendaten, benannt auf der Ebene der Hyperscaler-Region? (Erwartete Antwort: eine benannte EU-Region - zum Beispiel „AWS eu-central-1“ oder eine gleichwertige EU-Rechenzentrumsregion, nicht „die EU“ als unbelegter Anspruch.)
  2. Ist die EU-Hosting-Region im Standard-Kundenvertrag vertraglich zugesichert oder handelt es sich um eine betriebliche Praxis, die der Anbieter ohne Vorankündigung ändern kann? (Erwartete Antwort: vertraglich bindend, spezifisch für den Standardvertrag, kein individueller Zusatz erforderlich.)
  3. Enthält der Standardvertrag einen vorab unterzeichneten DPA, der die Verpflichtungen nach Artikel 28 (a) bis (h) abdeckt? (Erwartete Antwort: ja, vorab unterzeichnet, verfügbar, bevor der Sales-Call endet.)
  4. Wie viele Unterauftragsverarbeiter befinden sich in der Standard-Verarbeitungskette? Kann der Anbieter sie alle mit ihren Datenverarbeitungsregionen benennen? (Erwartete Antwort: die vollständige Liste, benannt, mit Regionen, öffentlich unter einer URL verfügbar, die Sie in Ihrem RoPA verlinken können.)
  5. Verwendet der Anbieter serverseitige Conversion-Weiterleitung an Werbeplattformen oder erfolgt das Conversion-Tracking clientseitig im Browser des Benutzers? (Erwartete Antwort eines datenschutzorientierten Anbieters: serverseitig, mit Hashing der Identifikatoren, bevor die Daten die EU-Infrastruktur verlassen.)
  6. Was ist der Standard für die IP-Kürzung bei der Protokollierung von Klick-Events? (Erwartete Antwort: /24-Kürzung für IPv4, /48 für IPv6, vor der Speicherung - d. h. die vollständige IP wird nicht gespeichert.)
  7. Wie hoch ist das SLA für die Löschung betroffener Personen und ist es im Click-Event-Speicher betrieblich realisierbar? (Erwartete Antwort: 30 Tage oder weniger, übertragen auf den Analytics-Datenspeicher, bestätigt per Webhook oder Zertifikat.)
  8. Welche unabhängigen Compliance-Zertifizierungen besitzt der Anbieter und wann wurde das letzte Audit abgeschlossen? (Erwartete Antwort: ISO 27001 aktuell; SOC 2 Typ II abgeschlossen oder in Arbeit mit einem Zieldatum; für gesundheitsnahe Workloads Verfügbarkeit von BAAs im entsprechenden Tarif.)

Diese acht Fragen decken die primären Bedenken des Datenschutzbeauftragten ab, ohne dass bereits in der Discovery-Phase eine rechtliche Prüfung erforderlich ist. Der Anbieter, der alle acht Fragen am selben Tag schriftlich beantwortet, ist bereit für die Beschaffung. Der Anbieter, der vor der Beantwortung von Frage drei an die Rechtsabteilung eskaliert, ist es nicht.

Tooling bei Elido#

Die Details zum Nachschlagen.

Region-Pin auf Workspace-Ebene. Neue Workspaces verwenden standardmäßig die EU-Region. Business- und Enterprise-Workspaces können pro Workspace einen Pin auf US East oder Asien-Pazifik setzen. Der Pin wird auf der Routing-Ebene erzwungen – es handelt sich nicht um eine Dashboard-Einstellung, die durch eine Konfigurationsänderung ohne eine Vertragsänderung auf Workspace-Ebene überschrieben werden kann. Die Trust-Page dokumentiert die Infrastruktur.

Vorab unterzeichneter DPA. Der DPA nach Artikel 28 ist im Standard-Kundenvertrag enthalten. Für EU-Käufer, die eine Standardabdeckung nach Artikel 28 benötigen, ist keine individuelle Verhandlung erforderlich. Enterprise-Verträge mit zusätzlichen Prüfungsrechten, Genehmigungsfristen für Unterauftragsverarbeiter oder individuellen Aufbewahrungsfristen werden separat ausgehandelt. Der Standard-DPA ist unter /legal/dpa verfügbar.

Unterauftragsverarbeiter-Liste. Veröffentlicht unter /legal/subprocessors. Fünf Anbieter. Ergänzungen lösen eine 30-tägige Vorabbenachrichtigung per E-Mail sowie einen RSS-Feed für das Tool-basierte Monitoring aus. Das Widerspruchsrecht innerhalb von 30 Tagen ist vertraglich, nicht administrativ.

Serverseitige Conversion-Weiterleitung. Die Anmeldedaten für Meta CAPI, GA4 Measurement Protocol und Mixpanel werden einmal auf Workspace-Ebene registriert. Elido übernimmt das SHA-256-Hashing der Identifikatoren vor dem ausgehenden POST, die Deduplizierung über das Feld event_id und die Retry-Logik bei vorübergehenden Upstream-Fehlern. Die Übermittlung erfolgt von Server zu Server aus der EU-Infrastruktur; der Browser des Benutzers kontaktiert die Werbeplattform nicht direkt.

ISO 27001. Zertifiziert. SOC 2 Typ II in Arbeit, Ziel H2 2026. BAAs im Business-Plan für gesundheitsnahe Workloads verfügbar.

Die vollständige Compliance-Posture finden Sie in der Zusammenfassung für das Einkaufsteam unter /solutions/compliance.

Was wir nicht versprechen#

Dieser Abschnitt existiert, weil „EU-Datenresidenz“ ein Begriff ist, den Anbieter leichtfertig verwenden, was wir nicht tun sollten.

Elido ist die Link-Ebene. Ein Klick, der über den EU-Edge von Elido geleitet wird, bleibt innerhalb der EU-Infrastruktur auf der Elido-Ebene. Das Klick-Ereignis wird in unserem Analysespeicher in der EU-Region protokolliert. Das Conversion-Signal, das serverseitig an Meta CAPI weitergeleitet wird, verlässt die EU-Infrastruktur - diese Übermittlung erfolgt in Ihrem Namen unter Ihrer Verantwortung als Verantwortlicher, und Sie müssen sie in Ihrem RoPA dokumentieren und mit dem entsprechenden Übermittlungsmechanismus abdecken.

Wenn Ihre Organisation verlangt, dass absolut keine personenbezogenen Daten von EU-Bürgern unter keinen Umständen den EWR verlassen - einschließlich des Attributionsteils der Werbeplattform -, ist die Antwort nicht ein anderer Shortener. Die Antwort ist, überhaupt keine Conversion-Events an in den USA gehostete Werbeplattformen zu senden. Das ist eine geschäftliche und Marketing-Entscheidung, keine technologische.

Was Elido Ihnen bietet: Eine Link-Ebene, die Klickdaten von EU-Bürgern standardmäßig in der EU-Infrastruktur verarbeitet, mit dokumentierten Unterauftragsverarbeitern, einem vorab unterzeichneten DPA, IP-Kürzung, serverseitiger Conversion-Weiterleitung mit Hashing der Identifikatoren und einer Anzahl an Unterauftragsverarbeitern, die klein genug ist, um sie an einem Nachmittag zu prüfen. Das deckt die Residenzpflicht auf Link-Ebene sauber ab.

Ihre E-Mail-Marketing-Plattform, Ihr CRM, Ihre Werbeplattformen und Ihr Analytics-Warehouse haben jeweils ihre eigene Residenz-Posture. Elido ist nicht die Antwort für diese; wir sind die Antwort für die Redirect- und Click-Attributions-Ebene, und wir werden den Umfang nicht überbewerten.

Der Cornerstone-Beitrag zur DSGVO für URL-Shortener deckt das vollständige Bild der Verpflichtungen als Auftragsverarbeiter auf Artikelebene ab, falls Sie die Compliance-Begründung hinter den oben genannten Entscheidungen erfahren möchten.

Lesen Sie den Compliance-Cluster#

Dieser Beitrag ist der Eckpfeiler der Residenz-Säule des Compliance-Clusters. Zugehörige Beiträge: DSGVO für URL-Shortener (Verpflichtungen als Auftragsverarbeiter Artikel für Artikel) und der bevorstehende Beitrag über Schrems II und Tracking-Pixel (die praktischen Konsequenzen für die Attribution auf Browser-Ebene). Zu den Trust-Page- und Vertragsdokumenten: /trust, /legal/dpa, /legal/subprocessors. Zur Zusammenfassung der Lösungen: /solutions/compliance.

Elido testen

URL einfügen, kurzer Link in Sekunden

Kein Konto nötig. Link bleibt 30 Tage aktiv. Konto erstellen, um ihn dauerhaft zu behalten.

Kostenlos, keine Anmeldung erforderlich · 2 pro Tag

Elido testen

URL-Shortener mit EU-Hosting: eigene Domains, tiefe Analytik und eine offene API. Kostenloser Tarif - keine Kreditkarte nötig.

Elido kostenlos testenPreise ansehen
Tags
eu data residency
eu hosted analytics
gdpr analytics
schrems ii
marketing compliance
data processing agreement

Weiterlesen