7 Min. LesezeitCompliance

Ist Bitly GDPR-konform? Die ehrliche Antwort eines Datenschutzbeauftragten

Bitly hat eine DPA, Standardvertragsklauseln und eine Data Privacy Framework-Zertifizierung. Konform, ja - aber nicht dasselbe wie eine reine EU-Datenresidenz.

Sasha Ehrlich
Compliance · EU residency
Ist Bitly GDPR-konform: EU-Klickdaten, die unter einem rechtlichen Transferinstrument in die USA übertragen werden, neben einem EU-Residenz-Pfad, bei dem die Daten die EU nie verlassen

Ja. Bitly ist GDPR-konform in dem Sinne, der für eine Beschaffungs-Checkliste zählt: Das Unternehmen veröffentlicht eine Datenverarbeitungsvereinbarung, überträgt Daten unter Standardvertragsklauseln, verfügt über eine aktive Zertifizierung nach dem EU-US Data Privacy Framework, betreibt eine EU-Gesellschaft in Berlin und beantwortet Betroffenenanfragen gemäß den Artikeln 15 bis 21. Wenn auf Ihrem Lieferantenformular die Frage steht „GDPR-konform: ja/nein", lautet die ehrliche Antwort: ja.

Die schwierigere Frage - die, die Ihr Datenschutzbeauftragter nach der Checkliste stellt - ist, wo Ihre Klickdaten tatsächlich liegen. Bitlys Konformität beruht darauf, personenbezogene EU-Daten in die USA zu verschieben und diese Übertragung mit einem rechtlichen Instrument abzudecken. Das ist heute rechtmäßig. Es ist jedoch nicht dasselbe wie EU-Datenresidenz, und für manche Käufer entscheidet genau diese Lücke über den Vertrag.

Dies ist ein Beitrag aus dem Compliance-Cluster, daher werden die Artikelnummern zitiert und die Quellen verlinkt, damit Sie sie Ihrer eigenen Rechtsberatung vorlegen können. Für den Rahmen dahinter - was die GDPR von jedem Shortener verlangt, nicht nur von Bitly - geht der GDPR-Grundlagenartikel für URL-Shortener die Artikel 3, 6, 28, 30, 32 und 35 einzeln durch.

Die kurze Antwort - und das Sternchen

Bitly hat die Compliance-Arbeit geleistet, die man von einem seriösen Anbieter erwartet. Liest man die Datenschutzrichtlinie (abgerufen am 17.07.2026), ist die gesamte Maschinerie vorhanden:

  • Eine Datenverarbeitungsvereinbarung, eingebettet in die Nutzungsbedingungen.
  • Standardvertragsklauseln für Übertragungen außerhalb des EWR.
  • Eine aktive Zertifizierung nach dem EU-US Data Privacy Framework, plus die UK Extension und das Swiss-US Framework.
  • Eine EU-Niederlassung: Bitly Europe GmbH in Berlin, mit einem benannten Datenschutzbeauftragten (DataCo GmbH).
  • Ein Prozess für Betroffenenrechte, aufgeteilt zwischen [email protected] für US-Angelegenheiten und [email protected] für EU-Angelegenheiten, der Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch abdeckt.
  • Eine festgelegte Aufbewahrungsregel: Personenbezogene Daten werden auf Anfrage gelöscht oder anonymisiert, oder spätestens drei Jahre nach dem letzten Kontakt mit der betroffenen Person, je nachdem, was zuerst eintritt.

Nichts davon steht infrage. Ein Anbieter mit DPA, SCCs, einer Framework-Zertifizierung und einem EU-Datenschutzbeauftragten „ignoriert die GDPR" nicht, und jeder Artikel, der Ihnen etwas anderes erzählt, verkauft Ihnen etwas. Das Sternchen betrifft nicht, ob Bitly konform ist. Es betrifft, wie es konform ist - und der Mechanismus ist die transatlantische Übertragung.

Wohin Ihre Bitly-Daten tatsächlich gehen

Bitlys eigene Struktur bringt das am klarsten zum Ausdruck. Bitly Europe GmbH (Berlin) und Bitly Inc. (New York) sind gemeinsam Verantwortliche gemäß Artikel 26, gebunden durch eine Vereinbarung zwischen gemeinsam Verantwortlichen. Ihre Kontodaten und die Klickdaten, die durch Ihre Links fließen, befinden sich innerhalb dieser gemeinsamen Struktur - und diese Struktur überspannt den Atlantik von Natur aus.

Die Datenschutzrichtlinie ist eindeutig: Personenbezogene Daten „können außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums übertragen werden, unter anderem, aber nicht ausschließlich, in die Vereinigten Staaten von Amerika." Jede Weiterleitung protokolliert eine IP-Adresse und einen User-Agent; beides kann personenbezogene Daten identifizierbarer Personen darstellen. Der Klickstrom, den ein Shortener erfasst, fällt also in den Anwendungsbereich, und bei Bitly wird dieser Strom in ein US-zentriertes Verarbeitungsmodell geleitet.

An EU user's click on a Bitly link recorded by joint controllers Bitly Europe GmbH in Berlin and Bitly Inc. in New York, with click data transferred to the United States under Standard Contractual Clauses and the Data Privacy Framework

Das ist rechtmäßig. Es ist aber auch eine dauerhafte Abhängigkeit von den rechtlichen Instrumenten, die die EU-US-Übertragung stützen - und diese Instrumente haben eine Geschichte.

Warum „Data Privacy Framework-zertifiziert" nicht das Ende der Geschichte ist

Die Übertragungsgarantien, auf die sich Bitly stützt, mussten bereits zweimal neu aufgebaut werden, nachdem der Europäische Gerichtshof sie gekippt hatte. Safe Harbor fiel 2015. Privacy Shield fiel im Urteil Schrems II (EuGH C-311/18, 2020), das zudem die Anforderungen an SCCs verschärfte, indem es für jede Übertragung eine Transfer Impact Assessment vorschreibt. Das EU-US Data Privacy Framework, von der Europäischen Kommission 2023 verabschiedet, ist der aktuelle Nachfolger - und derjenige, unter dem Bitly zertifiziert ist.

Für Käufer ergeben sich daraus zwei Konsequenzen.

Erstens ist eine Zertifizierung eine Momentaufnahme, kein Dauerzustand. Zertifizierungen laufen ab, werden entzogen oder verlieren ihre Konformität. Wenn Sie sich auf Bitlys Framework-Status verlassen, prüfen Sie auf der offiziellen Teilnehmerliste des Data Privacy Framework, ob er noch aktiv ist, statt der Richtlinienseite einfach zu vertrauen.

Zweitens steht das Framework selbst unter rechtlichem Druck. Datenschutzaktivisten haben signalisiert, es anfechten zu wollen, und ein drittes Schrems-Urteil ist ein Szenario, auf das umsichtige Käufer sich inzwischen einstellen. Kapitel V der GDPR - Artikel 44 bis 49 zu internationalen Übertragungen - ist der Teil der Verordnung mit dem am wenigsten gefestigten Boden. Einen Marketing-Attributions-Stack auf dem Kapitel aufzubauen, das sich am wahrscheinlichsten verändert, ist ein Risiko, das manche Organisationen eingehen und andere nicht.

Konform ist nicht dasselbe wie ausschließlich EU

Hier ist die Unterscheidung, die bei der Beschaffung tatsächlich den Ausschlag gibt. „GDPR-konform" und „Daten bleiben in der EU" sind unterschiedliche Aussagen, und Bitly erfüllt die erste, ohne die zweite zu treffen.

Für viele Teams ist das in Ordnung. Ein Marketingteam, das Links für eine öffentliche Kampagne kürzt und die Klick-Analyse auf berechtigtes Interesse stützt, ist mit einem konformen, transferbasierten Anbieter gut bedient. Die rechtlichen Instrumente decken sie ab.

Das ändert sich, wenn Ihr Sektor Residenz zur Anforderung macht. Daten aus dem deutschen öffentlichen Sektor und dem Gesundheitswesen unter den Regeln zum Sozialdatenschutz, französische Gesundheitsdaten unter HDS-Zertifizierung, Finanzdienstleistungsdaten unter EBA-Vorgaben - all das drängt in Richtung einer reinen EU-Verarbeitung. In diesen Fällen ist eine transferbasierte Haltung kein einmaliges Häkchen, sondern eine fortlaufende Pflicht: Sie tragen die Transfer Impact Assessment, führen sie erneut durch, wenn sich die Rechtsgrundlage ändert, und dokumentieren, warum eine US-Übertragung für personenbezogene Daten vertretbar ist, die Sie auch in der EU hätten behalten können. Ein in der EU ansässiger Shortener erspart Ihnen diese Arbeit, weil es keine Übertragung gibt, die zu bewerten wäre.

Two compliance paths compared: a transfer-based path where EU data moves to the US and requires a Transfer Impact Assessment, versus an EU-residency path where data stays in the EU region and no transfer assessment is needed

Wenn Ihre Anforderung lautet, dass EU-Klickdaten die EU niemals verlassen, behält Elido sie standardmäßig in der EU-Region - die Residenz ist vertraglich zugesichert und operativ durchgesetzt, keine Zeile in einer Broschüre. Das ist der Unterschied zwischen der Antwort auf „Sind wir konform?" und der Antwort auf „Können wir beweisen, dass die Daten nie verlassen haben?" - ganz ohne angehängte Transferanalyse.

Was Sie prüfen sollten, bevor Sie sich auf Bitly verlassen

Der Compliance-Status ist real, die eigentliche Arbeit besteht also darin, einzugrenzen, ob er zu Ihren Pflichten passt. Fünf Dinge, die Sie schriftlich bestätigen lassen sollten:

  1. Ist Ihre Anforderung Konformität oder Residenz? Wenn irgendein Stakeholder „nur EU" gesagt hat, erfüllt eine Framework-Zertifizierung das nicht. Sie brauchen stattdessen eine Residenz-Zusage, und das sind andere Klauseln.
  2. Prüfen Sie die Standard-Aufbewahrungsfrist. Bitlys festgelegte Regel behält Daten bis zu drei Jahre nach dem letzten Kontakt - wenn Ihre Verantwortlichen-Richtlinie kürzer ist, muss das konfiguriert und darf nicht einfach angenommen werden.
  3. Fordern Sie die Liste der Unterauftragsverarbeiter an. Eine Struktur mit gemeinsam Verantwortlichen über zwei Kontinente hinweg bedeutet in der Regel, dass mehr Parteien mit den Daten in Berührung kommen, und Sie wollen wissen, welche davon im Pfad der Klick-Ereignisse liegen.
  4. Bestätigen Sie, dass die Framework-Zertifizierung heute auf der behördlichen Liste aktiv ist, nicht nur auf der Richtlinienseite referenziert wird. Zertifizierungen laufen ab.
  5. Lesen Sie die DPA. Sie ist in die Nutzungsbedingungen eingebunden, also stehen das Modell zur Autorisierung von Unterauftragsverarbeitern und das Lösch-SLA dort und nicht in einem separaten unterzeichneten Dokument. Eine DPA, die Artikel 28 erfüllt, ist der Boden, nicht die Decke - der Grundlagenartikel schlüsselt auf, was jede Klausel nach Artikel 28(3) enthalten sollte.

Für den breiteren Marktüberblick, wer sich zur EU-Verarbeitung verpflichtet und wer überträgt, decken der Überblick Die besten EU-URL-Shortener und der tiefere Beitrag EU-Datenresidenz für Marketing die Alternativen ab. Wenn speziell Bitlys Modell das ist, was Sie abwägen, stellt Elido im Vergleich zu Bitly die Residenz- und Preislinien nebeneinander, und die Werbe-Interstitials bei kostenlosen Bitly-Links sind ein weiterer Grund, warum EU-Teams neu bewerten.

Das Fazit

Ist Bitly GDPR-konform? Ja. Es hat die DPA, die SCCs, die Data Privacy Framework-Zertifizierung, die EU-Gesellschaft und die Maschinerie für Betroffenenrechte. Wer behauptet, Bitly sei schlicht nicht konform, liegt falsch.

Aber „konform" war nie die ganze Frage. Bitlys Konformität baut darauf auf, personenbezogene EU-Daten in die USA zu übertragen und diese Übertragung mit Instrumenten abzudecken, die Kapitel V der GDPR immer wieder ins Wanken bringt. Wenn Sie Marketer sind und öffentliche Kampagnen fahren, ist das ein vernünftiger Kompromiss. Wenn Sie in einer regulierten oder souveränitätsbewussten Position sitzen, in der EU-Klickdaten die EU nicht verlassen dürfen, dann reicht „konform durch Übertragung" nicht aus - und die Lösung ist nicht eine bessere DPA, sondern ein Shortener, der die Übertragung von vornherein nie vornimmt. Entscheiden Sie, in welcher Position Sie sich befinden, bevor Sie sich für das Werkzeug entscheiden.

Lesen Sie die Grundlagenreihe

Dieser Beitrag gehört zum Compliance-Cluster. Der Grundlagenartikel ist GDPR für URL-Shortener: Was Ihr Datenschutzbeauftragter wirklich sehen will - beginnen Sie dort für den artikelweisen Rahmen. Für die beschaffungsorientierte Zusammenfassung sind die Trust-Seite und solutions/compliance die beiden Artefakte, die Sie sich merken sollten.

Verwandte Beiträge im Blog

Häufig gestellte Fragen

Ist Bitly GDPR-konform?

Ja, im formalen Sinne. Bitly veröffentlicht eine Datenverarbeitungsvereinbarung (DPA), überträgt Daten auf Grundlage von Standardvertragsklauseln, verfügt über eine aktive Zertifizierung nach dem EU-US Data Privacy Framework, betreibt eine EU-Gesellschaft in Berlin und erfüllt Betroffenenanfragen gemäß den Artikeln 15 bis 21. Die Nuance besteht darin, dass die Konformität von Bitly auf der Übertragung personenbezogener EU-Daten in die USA beruht - das ist rechtmäßig, aber nicht dasselbe, wie die Daten in der EU zu behalten.

Speichert Bitly Klickdaten in der EU?

Nicht standardmäßig. Bitlys Datenschutzrichtlinie besagt, dass personenbezogene Daten außerhalb der EU und des EWR übertragen werden können, unter anderem in die USA, auf Grundlage von Standardvertragsklauseln und dem Data Privacy Framework. In den öffentlichen Vertragsbedingungen gibt es keine Standardzusage für eine reine EU-Verarbeitung - wenn EU-Residenz Ihre Anforderung ist, müssen Sie sie ausdrücklich einfordern.

Hat Bitly eine Datenverarbeitungsvereinbarung (DPA)?

Ja. Bitlys DPA ist in die Nutzungsbedingungen eingebettet statt als separates Dokument unterzeichnet zu werden, und Bitly Europe GmbH sowie Bitly Inc. fungieren gemäß Artikel 26 als gemeinsam Verantwortliche für die Daten, die sie kontrollieren. Lesen Sie die DPA-Bedingungen direkt durch, um das Modell zur Unterauftragsverarbeiter-Autorisierung und das Lösch-SLA zu bestätigen, bevor Sie sich darauf verlassen.

Ist Bitly nach dem EU-US Data Privacy Framework zertifiziert?

Ja. Bitly hat gegenüber dem US-Handelsministerium zertifiziert, dass es die Grundsätze des EU-US Data Privacy Framework einhält, sowie die UK Extension und das Swiss-US Framework. Sie können prüfen, ob die Zertifizierung noch aktiv ist, indem Sie die offizielle Teilnehmerliste auf dataprivacyframework.gov konsultieren, da Zertifizierungen ablaufen oder entzogen werden können.

Ist Bitly für EU-Unternehmen unter GDPR sicher nutzbar?

Für die allgemeine Marketingnutzung ja - die rechtlichen Instrumente sind vorhanden. Schwieriger wird die Frage, wenn Ihr Sektor eine reine EU-Verarbeitung verlangt (deutsche Sozialdaten, französische Gesundheitsdaten unter HDS, Finanzdienstleistungen), denn eine transferbasierte Haltung bedeutet, dass Sie eine Transfer Impact Assessment tragen müssen, die ein in der EU ansässiger Shortener vollständig überflüssig macht.

Elido testen

URL einfügen, kurzer Link in Sekunden

Kein Konto nötig. Link bleibt 30 Tage aktiv. Konto erstellen, um ihn dauerhaft zu behalten.

Kostenlos, keine Anmeldung erforderlich · 2 pro Tag

Elido testen

URL-Shortener mit EU-Hosting: eigene Domains, tiefe Analytik und eine offene API. Kostenloser Tarif - keine Kreditkarte nötig.

Tags
is bitly gdpr compliant
bitly gdpr
bitly data processing agreement
bitly eu data residency
data privacy framework
url shortener gdpr

Weiterlesen