Elido
Blog
14 Min. LesezeitCompliance

GDPR-freundliche URL-Shortener - worauf du 2026 achten solltest

Eine praktische Checkliste fuer Marketing- und Beschaffungsteams, die URL-Shortener unter der GDPR evaluieren: EU-Datenresidenz, IP-Truncation, DPA-Verfuegbarkeit, Sub-Processor-Offenlegung, Recht auf Loeschung und die versteckten Fallen in beliebten US-basierten Tools.

Sasha Ehrlich
Compliance · EU residency
Ten-item GDPR checklist for URL shorteners mapped to GDPR articles: EU residency (Art. 44), IP truncation (Art. 5), no fingerprinting (Art. 6), DPA pre-signed (Art. 28), sub-processor list (Art. 28), right to erasure (Art. 17), breach notification SLA (Art. 33), independent attestation (Art. 32), privacy notice (Art. 13), cookieless analytics (Art. 6)

Jeder Redirect ueber einen URL-Shortener erzeugt ein Datenverarbeitungsereignis. Das Klick-Event enthaelt mindestens eine IP-Adresse, einen Zeitstempel und einen User-Agent-String. Unter Artikel 4(1) der GDPR kann diese Kombination personenbezogene Daten darstellen - der CJEU hat in Breyer (C-582/14, 2016) bestaetigt, dass dynamische IP-Adressen personenbezogene Daten sind, wenn eine Organisation eine realistische Moeglichkeit hat, das Individuum dahinter zu identifizieren. Dein Shortener hat diese Moeglichkeit: er kontrolliert das Redirect-Log.

Dieser Post ist eine praktische Checkliste, um zu bewerten, ob ein URL-Shortener tatsaechlich GDPR-freundlich ist. Ich gehe durch, was die Verordnung tatsaechlich verlangt, wo beliebte Anbieter zurueckbleiben, worauf in einem konformen Tool zu achten ist, und welche Trade-offs damit verbunden sind. Die Artikelverweise beziehen sich auf die Regulation (EU) 2016/679, die GDPR in der geltenden Fassung.

Was die GDPR von einem URL-Shortener verlangt#

Ein URL-Shortener sitzt im Datenfluss zwischen deiner Kampagne und deinem Kunden. Wenn jemand auf einen Kurzlink klickt, sieht der Shortener den Klick, bevor die Zielseite ihn sieht. Das macht den Shortener zu einem Auftragsverarbeiter unter Artikel 4(8): er verarbeitet personenbezogene Daten in deinem Auftrag. Du bist der Verantwortliche; du entscheidest ueber den Zweck und die Mittel des Trackings. Der Shortener fuehrt die Operation auf deine Weisung aus.

Datenfluss eines Kurzlink-Klicks: Die Redirect-Ebene fuehrt Geo- und Bot-Pruefungen auf der vollen IP durch, kuerzt sie dann auf /24, bevor das Klick-Event im EU-Speicher landet; du bleibst als Verantwortlicher fuer die Wahl der Rechtsgrundlage zustaendig.

Diese Aufteilung erzeugt vier konkrete Verpflichtungen, die der Shortener erfuellen muss:

1. Ein schriftlicher Vertrag, der Artikel 28(3) abdeckt

Artikel 28(3) listet acht Anforderungen auf, die jeder Auftragsverarbeitungsvertrag enthalten muss: Verarbeitung nur auf dokumentierte Weisung, Vertraulichkeit, angemessene Sicherheit, Offenlegung von Sub-Processors, Unterstuetzung bei Betroffenenrechten, Unterstuetzung bei Sicherheits- und DPIA-Pflichten, Loeschung oder Rueckgabe bei Beendigung und Audit-Rechte. Ein Shortener ohne ein Data Processing Agreement (DPA), das jeden dieser Punkte adressiert, ist nicht procurement-ready fuer ein EU-Deployment.

2. Rechtsgrundlage fuer die Klick-Tracking-Ebene

Der Redirect selbst - einen Klick entgegenzunehmen und zum Ziel zu routen - ist erforderlich fuer den Dienst. Die Analytics-Schicht, die auf diesem Redirect aufsitzt - den Klick fuer Attribution, Kampagnenmessung, Retargeting zu erfassen - ist eine separate Verarbeitungsoperation, die ihre eigene Rechtsgrundlage unter Artikel 6 braucht. Die meisten B2B-Teams gruenden Kampagnen-Analytics auf berechtigtem Interesse nach Artikel 6(1)(f); wenn der Shortener Drittanbieter-Retargeting-Pixel zum Redirect-Zeitpunkt injiziert, verschiebt sich die Grundlage zur Einwilligung nach Artikel 6(1)(a), was bedeutet, dass du vor dem ersten Klick einen Einwilligungs-Mechanismus brauchst.

3. Datenminimierung

Artikel 5(1)(c) verlangt, dass die Datenerhebung "dem Zweck angemessen und erheblich sowie auf das notwendige Mass beschraenkt" ist. Fuer einen Shortener gilt dieses Prinzip direkt fuer das Klick-Event-Schema. Du brauchst Land-Level-Geo, die Geraetekategorie, den Zeitstempel und eine Klick-Kennung. Du brauchst die volle IP-Adresse ueber den Moment des Redirects hinaus nicht. Du brauchst mit grosser Wahrscheinlichkeit den vollen User-Agent-String nicht - ein geparstes Tupel device.type / device.os traegt das Attributionssignal, ohne ein Fingerprinting-Vektor zu sein.

4. Compliance bei internationalen Uebermittlungen

Wenn der Shortener Klick-Events ausserhalb des EWR speichert oder verarbeitet, gelten Artikel 44 und Artikel 46. Uebermittlungen in die USA erfordern entweder Standardvertragsklauseln (SCCs) plus eine Transfer Impact Assessment oder die Teilnahme am EU-US Data Privacy Framework, das selbst Gegenstand anhaengiger Rechtsstreitigkeiten ist. Ein EU-gehosteter Shortener umgeht dieses Problem komplett.

Wo beliebte Shortener zurueckbleiben#

Bitly#

Bitlys primaere Datenebene liegt in den Vereinigten Staaten. Laut ihrer oeffentlichen Dokumentation stuetzen sich internationale Datenuebermittlungen aus dem EWR auf Standardvertragsklauseln. Das DPA ist verfuegbar, aber im Standardvertrag nicht vorab unterzeichnet - Enterprise-Kunden verhandeln es separat, was die Beschaffungsdauer erhoeht. EU-only-Datenresidenz ist kein Standardangebot; es ist ein Gespraech ueber einen Sondervertrag.

Zwei weniger diskutierte Themen: Bitlys Analytics-Dashboard integriert sich mit Drittanbieter-Attributionsdiensten, und einige Plan-Tiers aktivieren Retargeting-Pixel-Injektion auf der Redirect-Ebene. Wenn Retargeting-Pixel feuern, bevor der Nutzer eingewilligt hat, ist das ein Artikel-6-Compliance-Problem fuer dich als Verantwortlichen. Der Shortener ist der Auftragsverarbeiter, aber die Hauptverantwortung dafuer, die richtige Rechtsgrundlage zu haben, traegt der Verantwortliche.

Rebrandly#

Rebrandly hat seinen Sitz in Dublin, was EU-freundlich klingt, aber die operative Frage ist, wo Daten verarbeitet werden, nicht wo das Unternehmen eingetragen ist. Laut ihrem DPA (abgerufen Mai 2026) stuetzen sich Datenuebermittlungen aus dem EWR in die USA auf SCCs. EU-only-Verarbeitung ist Enterprise-Kunden zu Sonderkonditionen verfuegbar. Der Standardvertrag bindet die Daten nicht an EU-Infrastruktur. Fuer Teams, die eine vertraglich durchsetzbare Residenzklausel von der Stange brauchen, erfordert Rebrandly eine Sonderverhandlung.

Rebrandly unterstuetzt ausserdem Drittanbieter-Retargeting-Pixel nativ auf den meisten Plaenen. Der Marketingwert ist real; die Compliance-Implikation ist, dass jedes Pixel, das fuer EU-Betroffene zur Redirect-Zeit feuert, eine Einwilligungs-Basis braucht, keine berechtigtes-Interesse-Basis, weil Verhaltensprofiling fuer Werbung in den meisten Auslegungen der Aufsichtsbehoerden ausserhalb der berechtigtes-Interesse-Grenze liegt.

TinyURL#

TinyURL bietet ein sauberes Free-Tier und ist ein weit verbreiteter Consumer-Shortener. Es veroeffentlicht keine Sub-Processor-Liste. Die Standardbedingungen enthalten kein DPA, das Artikel 28(3) erfuellt. Die Analytics-Schicht ist rudimentaer und in den USA gehostet. Fuer B2B- oder Marketing-Teams mit EU-Betroffenen in ihrer Zielgruppe ist TinyURL nicht procurement-ready.

Das generelle Problem US-gehosteter Shortener#

Viele Anbieter, die primaer fuer US-Kunden operieren, behandeln GDPR-Compliance als Haekchen statt als architektonische Einschraenkung. Die Anzeichen, auf die zu achten ist: ein "GDPR compliant"-Abzeichen auf der Preisseite ohne Link zu einem DPA, eine Sub-Processor-Liste, die keine Hosting-Regionen nennt (nur Hyperscaler-Namen ohne Regionen), ein Loeschprozess, der ueber den Support laeuft statt ueber einen dokumentierten API-Endpoint, und keine Erwaehnung von IP-Truncation oder Datenminimierungs-Defaults.

"GDPR compliant" als Marketing-Aussage bedeutet nichts ohne ein DPA, das auf Artikel 28(3) abgebildet ist, eine aktuelle und regional-spezifische Sub-Processor-Liste und Belege, dass die Standard-Erhebung Minimierung anwendet, statt dich zu zwingen, sie aktiv einzuschalten.

Die Checkliste fuer GDPR-freundliche Shortener#

Dies sind die zehn Fragen, die du schriftlich stellen solltest, bevor du einen Vertrag mit einem URL-Shortener unterzeichnest, der Klickdaten zu EU-Betroffenen verarbeiten wird.

Die Zehn-Punkte-Shortener-Checkliste mit GDPR-Artikeln: Residenz zu Art. 44, DPA zu Art. 28(3), IP-Truncation zu Art. 5(1)(c), Loeschung zu Art. 17, Breach-SLA zu Art. 33 und mehr.

1. Wo werden die Daten verarbeitet, und ist das eine vertragliche Zusage?#

Frag nach der Hyperscaler-Region - nicht nur dem Cloud-Anbieter. "AWS" ist keine Antwort; "AWS eu-central-1 (Frankfurt)" schon. Wichtiger: frag, ob diese Region eine bindende Klausel im Standardvertrag ist oder eine operative Praxis, die ohne deine Zustimmung geaendert werden kann. Unter Artikel 44 brauchen Uebermittlungen ausserhalb des EWR eine Rechtsgrundlage; du willst die Residenzzusage im Vertrag, damit du die Analyse nicht jedes Mal wiederholen musst, wenn der Anbieter seine Infrastruktur aktualisiert.

2. Ist das DPA vorab unterzeichnet, und deckt es Artikel 28(3) vollstaendig ab?#

Ein DPA, das im Standardvertrag vorab unterzeichnet ausgeliefert wird, signalisiert, dass der Anbieter GDPR-Compliance als Basis behandelt, nicht als Verhandlung. Lies das DPA gegen die acht Unterabsaetze von Artikel 28(3). Jeder muss adressiert sein. Achte besonders auf Absatz (d) - Einbindung von Sub-Processors - und Absatz (h) - Audit-Rechte. Generische Formulierungen wie "wir nutzen branchenuebliche Sicherheitspraktiken" anstelle der konkreten Pflichten sind ein Warnzeichen.

3. Wie viele Sub-Processors, und sind sie mit Regionen benannt?#

Jeder Sub-Processor ist ein weiteres Glied in der Uebermittlungskette. Eine kurze Liste mit benannten Regionen (EU-Compute-Anbieter in der EU-Region, E-Mail-Anbieter in US East, etc.) ist in einem einzigen Review pruefbar. Eine lange Liste mit vagen Anbieternamen ist eine Wartungslast und ein Residenzrisiko. Unter Artikel 28(2) muss jeder Sub-Processor dieselben Datenschutzpflichten akzeptieren wie der Auftragsverarbeiter. Frag, wie lang die Benachrichtigungsfrist fuer neue Sub-Processors ist und ob du ein Widerspruchsrecht hast.

4. Kuerzt oder hasht der Shortener IP-Adressen, bevor er sie speichert?#

Volle IP-Adress-Speicherung ist fuer die Analytics-Anwendungsfaelle, die ein Shortener unterstuetzt, selten erforderlich. Land-Level-Geolokalisierung und Bot-Erkennung koennen zur Redirect-Zeit aus der vollen IP durchgefuehrt und das Ergebnis gespeichert werden; die rohe IP kann dann verworfen oder gekuerzt werden. Unter Artikel 5(1)(c) ist es ein Verstoss gegen das Prinzip der Datenminimierung, mehr Daten als der Zweck verlangt zu speichern. Frag, ob IP-Truncation oder Hashing der Default ist, oder ob du sie aktiv einschalten musst. Default-Minimierung ist die richtige Architektur; Opt-in-Minimierung verschiebt das Compliance-Risiko auf dich.

5. Injiziert der Redirect Drittanbieter-Skripte oder -Pixel?#

Manche Shortener bieten Retargeting-Pixel-Injektion als Feature an: wenn ein Besucher auf deinen Kurzlink klickt, laedt der Shortener vor oder waehrend des Redirects ein Meta Pixel, einen Google Tag oder ein aehnliches Drittanbieter-Skript. Fuer EU-Betroffene ist das Laden eines Drittanbieter-Verhaltens-Tracking-Skripts ohne vorherige Einwilligung ein Verstoss gegen Artikel 6 und, abhaengig davon, ob Cookies gesetzt werden, gegen die ePrivacy-Richtlinie. Wenn dein Shortener Pixel-Injektion anbietet, muss dieses Feature fuer EU-Traffic deaktiviert oder per Einwilligung gegated werden. Wenn der Anbieter nicht bestaetigen kann, dass zur Redirect-Zeit standardmaessig keine Drittanbieter-Skripte laden, teste es selbst mit geoeffneter Network-Tab.

6. Gibt es einen API-Endpoint fuer Loeschanfragen?#

Artikel 17 gibt betroffenen Personen das Recht, ihre personenbezogenen Daten "ohne unangemessene Verzoegerung" loeschen zu lassen, wenn spezifische Gruende greifen. Wenn du eine Loeschanfrage erhaeltst, die sich auf Klickdaten bezieht, die dein Shortener haelt, brauchst du einen Mechanismus, um darauf zu reagieren. Ein API-Endpoint, der eine Subject-ID akzeptiert und zugehoerige Klick-Events loescht, ist die operativ richtige Antwort. Loeschung-per-Support-Ticket ist in den meisten Auslegungen der Aufsichtsbehoerden nicht "ohne unangemessene Verzoegerung" und ist bei nennenswertem Klick-Volumen kein skalierbares Muster.

Die Komplikation: Klick-Events leben oft in einer spaltenorientierten Append-only-Analytics-Datenbank (zum Beispiel BigQuery oder Snowflake). Ein Anbieter, der Klick-Events so speichert, muss demonstrieren, dass die Loeschung echt ist - ein DELETE gegen die relevante Partition - und nicht nur ein Soft-Flag. Frag nach dem Artikel-17-SLA des Anbieters und nach dem technischen Mechanismus dahinter.

7. Was ist das Breach-Notification-SLA?#

Artikel 33 verlangt vom Verantwortlichen, seine Aufsichtsbehoerde "ohne unangemessene Verzoegerung und nach Moeglichkeit binnen 72 Stunden, nachdem ihm der Vorfall bekannt geworden ist" ueber eine Datenschutzverletzung zu informieren. Damit diese Uhr funktioniert, musst du deinen Auftragsverarbeiter dazu bringen, dich deutlich schneller zu benachrichtigen - die Industrie-Norm sind 24 Stunden ab Kenntnis zur Benachrichtigung des Verantwortlichen. Dein DPA sollte dieses SLA spezifizieren. "Wir werden Sie umgehend benachrichtigen" ist keine Zahl.

8. Nutzt der Shortener standardmaessig cookielose First-Party-Analytics?#

Viele Shortener bauen ihr eigenes Analytics-Dashboard auf einem Drittanbieter-Produktanalytics-Tool (Mixpanel, Amplitude, Segment) auf, das US-gehostet ist und persistente Identifier in Cookies oder Local Storage setzen kann. Fuer die eigenen Produktanalytics des Shorteners (das Tracking deiner Nutzung des Dashboards) ist das eine separate Angelegenheit. Die fuer Klick-Tracking relevante Frage ist, ob der Redirect-Flow Cookies oder persistente Identifier ohne Einwilligung im Browser des Besuchers setzt.

Ein cookieloses Klick-Event - eines, das Land, Geraet und Referrer aus den Request-Headern ableitet, ohne clientseitigen State zu setzen - verlangt nach den meisten Leitlinien der Aufsichtsbehoerden keinen Einwilligungsmechanismus fuer First-Party-Analytics, sofern die Daten unter berechtigtem Interesse verarbeitet werden und der Datenschutzhinweis zugaenglich ist. Ein Redirect, der einen persistenten Identifier setzt oder einen Drittanbieter-Tag laedt, erfordert ein Einwilligungs-Gate. Wisse, welches dein Shortener verwendet.

Artikel 13 verlangt, dass Personen, deren Daten erhoben werden, zum Zeitpunkt der Erhebung ueber die Verarbeitung informiert werden, sofern keine Ausnahme greift. Fuer Klick-Tracking auf einem Kurzlink lautet die praktische Frage: wie weiss die Person, die den Link klickt, dass ihr Klick getrackt wird, und wo kann sie darueber nachlesen?

Die meisten Shortener-Deployments erfuellen das ueber den Datenschutzhinweis des Verantwortlichen auf der Zielseite oder in einem Cookie-Banner auf der ausgehenden Kampagnenseite. Der Shortener als Auftragsverarbeiter muss dem Klickenden keinen eigenen Hinweis anzeigen - aber du als Verantwortlicher brauchst einen Datenschutzhinweis, der die Link-Tracking-Verarbeitungskette abdeckt. Wenn die Datenschutzerklaerung des Shorteners das einzige Dokument ist, das die Verarbeitung beschreibt, und sie aus Anbieter- statt aus Verantwortlichen-Perspektive geschrieben ist, hast du eine Luecke.

10. Kannst du deine eigenen Daten ohne Support-Kontakt herunterladen und loeschen?#

Das ist ein praktischer Test dafuer, ob ein Anbieter Betroffenenrechte, die er beansprucht, tatsaechlich operationalisiert. Du solltest in der Lage sein: alle Klick-Events fuer einen Workspace in einem portablen Format zu exportieren, einzelne Links und die zugehoerige Klick-Historie zu loeschen und das Konto mit dokumentierter Loeschung aller personenbezogenen Daten zu beenden. Wenn eines dieser Dinge eine Support-Anfrage statt einer Self-Service-API oder Dashboard-Aktion erfordert, frag nach dem SLA und setz es in den Vertrag.

Die Trade-offs#

GDPR-freundliche Architektur bringt echte Trade-offs mit sich, und ehrlich darueber zu sein ist nuetzlicher, als so zu tun, als haetten die Compliance-Einschraenkungen keine Kosten.

Grobere Analytics. Ein Shortener, der IPs auf /24 kuerzt und den vollen User-Agent-String verwirft, liefert dir Land, Geraetefamilie und OS - aber kein City-Level-Targeting, keinen individuellen Browser-Fingerprint und keine sitzungsuebergreifende Identitaetsaufloesung, die volle Daten ermoeglichen wuerden. Fuer die meisten Kampagnen-Attributions-Anwendungsfaelle ist diese Aufloesungsstufe ausreichend. Fuer Retargeting auf Individuumsebene brauchst du einen anderen Ansatz - typischerweise serverseitiges Conversion-Forwarding gegen einen First-Party-Identifier, den der Nutzer bereits geteilt hat (E-Mail-Adresse, eingeloggte User-ID), was nicht verlangt, dass der Shortener das Individuum auf der Redirect-Ebene trackt.

Kleinere Feature-Flaeche. Einige der maechtigsten Shortener-Features - Retargeting-Pixel-Injektion, Cross-Domain-Tracking, tiefe Integration mit Drittanbieter-Werbeplattformen - basieren auf Datenerhebungspraktiken, die schwer mit Datenminimierung in Einklang zu bringen sind. Ein GDPR-freundlicher Shortener neigt zu einem saubereren Redirect, der weniger auf der Redirect-Ebene tut und mehr in die Conversion-Event-Ebene routet, wo der Verantwortliche eine direkte Beziehung zum Nutzer hat und das Tracking auf Einwilligung gruenden kann.

Procurement-Aufwand. Die Wahl eines EU-gehosteten Shorteners mit vorab unterzeichnetem DPA reduziert den Beschaffungszyklus gegenueber einem US-gehosteten Anbieter, der fuer EU-Residenz einen Sondervertrag verlangt. Sie eliminiert den Zyklus nicht. Du musst trotzdem das DPA pruefen, die Sub-Processor-Liste checken, das Loesch-SLA validieren und bestaetigen, dass die IP-Truncation- und Cookie-Defaults zu deinem Datenschutzhinweis passen. Veranschlage zwei bis vier Stunden Beschaffungsaufwand fuer einen GDPR-freundlichen Shortener gegenueber zwei bis acht Wochen fuer einen US-gehosteten Anbieter, bei dem EU-Residenz Sondervertragsverhandlungen erfordert.

Vergleich eines EU-gehosteten Shorteners (Residenz im Vertrag, vorab unterzeichnetes DPA, kein Transfernachweis noetig, ca. 2 bis 4 Stunden) mit einem US-gehosteten (EU-Sonderkonditionen, SCCs plus TIA, ca. 2 bis 8 Wochen).

Wie Elido das angeht#

Wo es fuer diese Checkliste relevant ist, hier wie Elidos Standard-Deployment aussieht.

Datenresidenz. Elido verarbeitet Klick-Events standardmaessig auf EU-Infrastruktur in der EU-Region. Die Residenz ist eine bindende Klausel im Standardkundenvertrag, keine operative Praxis. Business+-Kunden koennen an andere Regionen pinnen; der Default uebermittelt keine Daten ausserhalb des EWR.

IP-Truncation. In unserem Analysespeicher gespeicherte Klick-Events enthalten das /24- (IPv4) oder /48- (IPv6) Netzwerkpraefix, nicht die volle IP-Adresse. Geo- und Bot-Erkennung laufen zur Redirect-Zeit auf der vollen IP, und die volle IP wird verworfen, bevor das Event persistiert wird. Das ist der Default; du musst es nicht konfigurieren.

Drittanbieter-Pixel zur Redirect-Zeit. Die Redirect-Ebene laedt keine Drittanbieter-Skripte. Serverseitiges Conversion-Forwarding - Attribution-Daten an Meta CAPI, GA4 oder aehnliches senden - ist ein optionales, separat konfiguriertes Feature, das First-Party-Event-Daten verwendet, die du an die Elido-API POSTest, kein zur Redirect-Zeit injiziertes Pixel. Diese sind architektonisch unterschiedlich: eines feuert ohne Wissen des Besuchers aus dem Redirect, das andere ist ein Server-to-Server-Aufruf, der auf Daten basiert, die der Besucher bereits mit dir geteilt hat.

DPA. Elidos DPA ist im Standardkundenvertrag vorab unterzeichnet. Es adressiert alle acht Unterabsaetze von Artikel 28(3). Sub-Processors sind auf der Trust-Seite mit benannten Regionen aufgelistet. Die Seite legal/privacy deckt die Verarbeitungskette ab, die fuer Link-Empfaenger sichtbar ist.

Recht auf Loeschung. Artikel-17-Loeschanfragen propagieren innerhalb von 24 Stunden in den Klick-Event-Store. Die Loeschung ist eine Partition-Level-Operation, kein Soft-Flag.

Cookielose Analytics. Die Redirect-Ebene setzt keine Cookies. Klick-Events sind ausschliesslich serverseitig. Das Analytics-Dashboard, das Elido intern ausliefert, nutzt Plausible im cookielosen Modus fuer Produkttelemetrie; das ist getrennt vom Klick-Event-Recording fuer deine Kampagnen.

Was Elido noch nicht hat: SOC 2 Type II (in Arbeit, Ziel H2 2026), eine Self-Service-DPIA-Vorlage fuer Kunden und eine vollstaendig automatisierte Subject-Access-Request-API fuer weniger gaengige Auskunftsrecht-Szenarien. Details zu aktuellen Bescheinigungen findest du auf der Trust-Seite.

Migrations-Checkliste fuer den Wechsel von einem Nicht-EU-Shortener#

Falls du derzeit einen US-gehosteten Shortener nutzt und auf einen EU-gehosteten wechseln musst, hier eine komprimierte operative Checkliste.

Vor Unterzeichnung des neuen Vertrags:

  1. Lies das DPA des neuen Anbieters gegen Artikel 28(3). Bestaetige, dass alle acht Punkte explizit abgedeckt sind.
  2. Pruefe die Sub-Processor-Liste. Bestaetige, dass Hosting-Regionen benannt sind, nicht nur Cloud-Anbieter.
  3. Bestaetige den IP-Truncation-Default. Frag nach schriftlicher Bestaetigung, falls es nicht in der Produktdokumentation steht.
  4. Bestaetige das Artikel-17-SLA und den technischen Mechanismus.
  5. Pruefe, ob Retargeting-Pixel zur Redirect-Zeit feuern. Falls ja, bestaetige, dass sie vollstaendig deaktivierbar sind oder per Einwilligung gegated werden koennen.

Waehrend der Migration:

  1. Exportiere deine bestehenden Kurzlinks als CSV. Verifiziere, dass Custom Slugs von der neuen Plattform erhalten bleiben, bevor du DNS anfasst.
  2. Provisioniere alle Links auf der neuen Plattform unter derselben Custom Domain und denselben Slugs, bevor du den CNAME umlegst.
  3. Lass nach dem CNAME-Wechsel 24-48 Stunden fuer DNS-Propagation. Beide Plattformen liefern in diesem Fenster gueltige Antworten, wenn die Slugs uebereinstimmen.
  4. Migriere keine historischen Klickdaten von der alten Plattform - die Chain of Custody fuer alte Klick-Events bleibt beim alten Auftragsverarbeiter, bis du Loeschrechte ausuebst.

Nach der Migration:

  1. Stelle eine Loeschanfrage beim alten Anbieter fuer alle personenbezogenen Daten, die mit deinem Workspace verknuepft sind. Bestaetige den Empfang und die Loeschzeitlinie.
  2. Aktualisiere deinen Datenschutzhinweis, um den neuen Auftragsverarbeiter, seine Sub-Processors und die neue Datenresidenz widerzuspiegeln.
  3. Pruefe alle Cookie-Banner oder Einwilligungs-Mechanismen, die auf Tracking-Features des alten Shorteners verwiesen haben. Passe den Scope an, wenn die Default-Erhebung der neuen Plattform schmaler ist.

Das migrate from Bitly playbook deckt die technischen Mechaniken des Link-Imports und der DNS-Uebergabe in mehr Detail ab.

Was vor dem Vertrauen einer GDPR-Aussage zu verifizieren ist#

Jeder Shortener kann "GDPR compliant" auf eine Preisseite schreiben. Die Aussage ist nicht reguliert und traegt fuer sich allein keine rechtliche Wirkung. Die Artefakte, die Gewicht tragen, sind:

  • Ein DPA, das auf Artikel 28(3) Unterabsatz fuer Unterabsatz abgebildet ist.
  • Eine Sub-Processor-Liste, die Anbieter, Regionen und geteilte Datenkategorien nennt.
  • Ein Datenschutzhinweis, der Link-Empfaengern zugaenglich ist und die Verarbeitungskette beschreibt - das erfuellt Artikel 13.
  • Dokumentierte IP-Handhabung, die Truncation oder Hashing vor der Persistenz bestaetigt.
  • Ein Artikel-17-Loesch-SLA mit einem benannten technischen Mechanismus.
  • Unabhaengige Bescheinigung (ISO 27001 ist die Untergrenze; SOC 2 Type II fuegt Vertrauen fuer US/internationale Beschaffung hinzu).

Wenn ein Anbieter all das nicht innerhalb eines Geschaeftstages schriftlich liefern kann, ist die "GDPR compliant"-Aussage Marketing-Copy statt einer dokumentierten Compliance-Haltung.

Fuer die artikelweise rechtliche Analyse hinter dieser Checkliste deckt der GDPR for URL shorteners cornerstone die Artikel 3, 6, 28, 30, 32 und 35 in der Tiefe ab, mit Zitaten der Aufsichtsbehoerden. Beschaffungsgewandte Artefakte: Elidos privacy policy, terms of service und pricing - das DPA ist auf jedem bezahlten Tier in den Standardvertrag gebundelt.

Verwandt im Blog#

Elido testen

URL einfügen, kurzer Link in Sekunden

Kein Konto nötig. Link bleibt 30 Tage aktiv. Konto erstellen, um ihn dauerhaft zu behalten.

Kostenlos, keine Anmeldung erforderlich · 2 pro Tag

Elido testen

URL-Shortener mit EU-Hosting: eigene Domains, tiefe Analytik und eine offene API. Kostenloser Tarif - keine Kreditkarte nötig.

Elido kostenlos testenPreise ansehen
Tags
gdpr url shortener
gdpr friendly url shortener
url shortener data residency
link tracking gdpr
eu url shortener
dpa url shortener
gdpr checklist

Weiterlesen