E-Commerce
E-Commerce-Plattformen betreiben Online-Shops und verwalten Produktkataloge, Checkout-Prozesse, Bestellmanagement und Kundendaten. Für EU-Käufer sind die entscheidenden Fragen, wo Kunden- und Transaktionsdaten gehostet werden und ob der Anbieter dem CLOUD Act unterliegt. Topbewertete europäische Optionen auf EU Vetted: MyCashflow (Finnland, 4/5), Shopware (Deutschland, 3/5) und Sylius (Polen, 3/5).
E-Commerce-Plattformen sind das operative Herzstück des Online-Handels: Sie hosten Produktkataloge, verwalten den Checkout-Prozess, bearbeiten Bestellungen, wickeln Retouren ab und speichern Kundendaten. Die Kategorie reicht von vollständig verwalteten SaaS-Plattformen für KMU-Händler bis hin zu komponierbaren oder headless Commerce-Engines für groß angelegte, Mehrkanaldeployments. Neben operativen Werkzeugen gehören E-Commerce-Plattformen zu den intensivsten Verarbeitern kommerziell sensibler personenbezogener Daten im Stack einer Organisation: Kundennamen und -adressen, vollständige Kaufhistorien, Zahlungsmittel-Metadaten und detailliertes Surfverhalten.
Für EU-Käufer macht diese Datensensibilität das jurisdiktionelle Profil des E-Commerce-Anbieters zu einem primären Beschaffungskriterium. Kunden- und Transaktionsdaten werden routinemäßig für Personalisierung, Retargeting und Business Intelligence verwendet; sie sind genau die Datenkategorie, auf die Geheimdienste und Strafverfolgungsbehörden über Instrumente wie den US CLOUD Act zuzugreifen versuchen. Wenn die E-Commerce-Plattform von einem in den USA eingetragenen Unternehmen betrieben oder letztlich kontrolliert wird, kann der CLOUD Act im Prinzip auf diese Daten zugreifen, unabhängig vom EU-Hosting. MyCashflow (Finnland, 4/5) ist die höchstbewertete EU-eigene verwaltete Plattform im aktuellen Katalog. Sylius (Polen, 3/5) und Saleor Commerce (Polen, 3/5) sind EU-eigentümergesteuert und Open Source, was Käufern vollständige Self-Hosting-Optionalität bietet. Shopware (Deutschland, 3/5) und PrestaShop (Frankreich, 3/5) sind europäisch geführt, tragen aber US-Finanzierungssignale, die ihre Eigentumsbewertungen beeinflussen.
Die Listings zeigen für jedes Produkt das Gründungsland, das Eigentumssignal und den redaktionellen Compliance-Score auf einer Skala von 1–5 — gespeist aus veröffentlichten AVVs und Unternehmensregistern, nicht aus bezahlten Platzierungen. Nutzen Sie den Eigentumsfilter, wenn Ihre Beschaffungsrichtlinien strikt EU-eigene Verarbeiter voraussetzen; nutzen Sie den Hosting-Filter, um selbst hostbare Open-Source-Optionen von verwalteten SaaS-Plattformen zu trennen. Der Größenfilter lässt Sie KMU-fokussierte Werkzeuge von Enterprise-grade komponierbaren Commerce-Engines unterscheiden.
-
MyCashflowVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Finnish all-in-one e-commerce SaaS with own Helsinki hosting and 0% commission across plans.
EIGENTüMERSCHAFTWo die letztliche Kontrolle über das Betreiberunternehmen liegt.
-
EU-Eigentum Dieser Eintrag In der EU ansässig und EU-kontrolliert; keine nennenswerte US-Beteiligung.
-
EU-Sitz, US-finanziert EU-Hauptsitz, aber von US-Risikokapital oder -Private-Equity kontrolliert.
-
US-Eigentum US-Hauptsitz oder mit US-Mutterkonzern.
-
Sonstige Schweiz, UK oder eine andere Nicht-EU-Jurisdiktion.
CLOUD-ACT-RISIKOWie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
-
Keines Dieser Eintrag EU-Betreiber, kein US-Mutterkonzern, keine relevanten US-Unterauftragsverarbeiter.
-
Gering Ein vorübergehender US-Unterauftragsverarbeiter (CDN, Karten); ruhende Daten bleiben in der EU.
-
Erheblich US-Mutterkonzern oder ein zentraler Unterauftragsverarbeiter ist ein US-Hyperscaler.
-
Direkt Der Betreiber selbst ist US-ansässig.
FI · 0 sub-procs Öffnen ↗ -
PrestaShopVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
French open-source e-commerce with hosted SaaS option; parent group Fortidia is an Oaktree Capital portfolio company.
EIGENTüMERSCHAFTWo die letztliche Kontrolle über das Betreiberunternehmen liegt.
-
EU-Eigentum In der EU ansässig und EU-kontrolliert; keine nennenswerte US-Beteiligung.
-
EU-Sitz, US-finanziert Dieser Eintrag EU-Hauptsitz, aber von US-Risikokapital oder -Private-Equity kontrolliert.
-
US-Eigentum US-Hauptsitz oder mit US-Mutterkonzern.
-
Sonstige Schweiz, UK oder eine andere Nicht-EU-Jurisdiktion.
CLOUD-ACT-RISIKOWie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
-
Keines EU-Betreiber, kein US-Mutterkonzern, keine relevanten US-Unterauftragsverarbeiter.
-
Gering Ein vorübergehender US-Unterauftragsverarbeiter (CDN, Karten); ruhende Daten bleiben in der EU.
-
Erheblich Dieser Eintrag US-Mutterkonzern oder ein zentraler Unterauftragsverarbeiter ist ein US-Hyperscaler.
-
Direkt Der Betreiber selbst ist US-ansässig.
0 sub-procs Öffnen ↗ -
Saleor CommerceVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Polish headless GraphQL commerce platform; open-source BSD-3; cloud hosted on AWS EU (Ireland) with SOC 2 Type 2.
EIGENTüMERSCHAFTWo die letztliche Kontrolle über das Betreiberunternehmen liegt.
-
EU-Eigentum Dieser Eintrag In der EU ansässig und EU-kontrolliert; keine nennenswerte US-Beteiligung.
-
EU-Sitz, US-finanziert EU-Hauptsitz, aber von US-Risikokapital oder -Private-Equity kontrolliert.
-
US-Eigentum US-Hauptsitz oder mit US-Mutterkonzern.
-
Sonstige Schweiz, UK oder eine andere Nicht-EU-Jurisdiktion.
CLOUD-ACT-RISIKOWie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
-
Keines EU-Betreiber, kein US-Mutterkonzern, keine relevanten US-Unterauftragsverarbeiter.
-
Gering Ein vorübergehender US-Unterauftragsverarbeiter (CDN, Karten); ruhende Daten bleiben in der EU.
-
Erheblich Dieser Eintrag US-Mutterkonzern oder ein zentraler Unterauftragsverarbeiter ist ein US-Hyperscaler.
-
Direkt Der Betreiber selbst ist US-ansässig.
IE · 0 sub-procs Öffnen ↗ -
ShopwareVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
German mid-market commerce platform (Schöppingen, est. 2000); Cloud entry €600/mo. PayPal owns ~41% as of Oct 2025.
EIGENTüMERSCHAFTWo die letztliche Kontrolle über das Betreiberunternehmen liegt.
-
EU-Eigentum In der EU ansässig und EU-kontrolliert; keine nennenswerte US-Beteiligung.
-
EU-Sitz, US-finanziert Dieser Eintrag EU-Hauptsitz, aber von US-Risikokapital oder -Private-Equity kontrolliert.
-
US-Eigentum US-Hauptsitz oder mit US-Mutterkonzern.
-
Sonstige Schweiz, UK oder eine andere Nicht-EU-Jurisdiktion.
CLOUD-ACT-RISIKOWie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
-
Keines EU-Betreiber, kein US-Mutterkonzern, keine relevanten US-Unterauftragsverarbeiter.
-
Gering Ein vorübergehender US-Unterauftragsverarbeiter (CDN, Karten); ruhende Daten bleiben in der EU.
-
Erheblich Dieser Eintrag US-Mutterkonzern oder ein zentraler Unterauftragsverarbeiter ist ein US-Hyperscaler.
-
Direkt Der Betreiber selbst ist US-ansässig.
DE · 0 sub-procs Öffnen ↗ -
SyliusVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Polish open-source Symfony e-commerce framework (MIT); commercial Plus modules from €800/yr GMV-based.
EIGENTüMERSCHAFTWo die letztliche Kontrolle über das Betreiberunternehmen liegt.
-
EU-Eigentum Dieser Eintrag In der EU ansässig und EU-kontrolliert; keine nennenswerte US-Beteiligung.
-
EU-Sitz, US-finanziert EU-Hauptsitz, aber von US-Risikokapital oder -Private-Equity kontrolliert.
-
US-Eigentum US-Hauptsitz oder mit US-Mutterkonzern.
-
Sonstige Schweiz, UK oder eine andere Nicht-EU-Jurisdiktion.
CLOUD-ACT-RISIKOWie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
-
Keines Dieser Eintrag EU-Betreiber, kein US-Mutterkonzern, keine relevanten US-Unterauftragsverarbeiter.
-
Gering Ein vorübergehender US-Unterauftragsverarbeiter (CDN, Karten); ruhende Daten bleiben in der EU.
-
Erheblich US-Mutterkonzern oder ein zentraler Unterauftragsverarbeiter ist ein US-Hyperscaler.
-
Direkt Der Betreiber selbst ist US-ansässig.
0 sub-procs Öffnen ↗ -
CCV ShopVERIFIED SIGNALSJurisdiction
- EU / adequacy operator
- EU / adequacy hosting
- No US CLOUD Act exposure
Transparency- Third-party certification
- Open-source clients
- Public DPA
- Sub-processors disclosed
Dutch hosted e-commerce SaaS from €36/mo; 0% transaction fees; parent company CCV Group is Fiserv-owned (US).
EIGENTüMERSCHAFTWo die letztliche Kontrolle über das Betreiberunternehmen liegt.
-
EU-Eigentum In der EU ansässig und EU-kontrolliert; keine nennenswerte US-Beteiligung.
-
EU-Sitz, US-finanziert Dieser Eintrag EU-Hauptsitz, aber von US-Risikokapital oder -Private-Equity kontrolliert.
-
US-Eigentum US-Hauptsitz oder mit US-Mutterkonzern.
-
Sonstige Schweiz, UK oder eine andere Nicht-EU-Jurisdiktion.
CLOUD-ACT-RISIKOWie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
-
Keines EU-Betreiber, kein US-Mutterkonzern, keine relevanten US-Unterauftragsverarbeiter.
-
Gering Ein vorübergehender US-Unterauftragsverarbeiter (CDN, Karten); ruhende Daten bleiben in der EU.
-
Erheblich Dieser Eintrag US-Mutterkonzern oder ein zentraler Unterauftragsverarbeiter ist ein US-Hyperscaler.
-
Direkt Der Betreiber selbst ist US-ansässig.
NL · 0 sub-procs Öffnen ↗
| Compare | Owner | CLOUD Act | Cert. | Sub-procs | ||||
|---|---|---|---|---|---|---|---|---|
|
MyCashflow
Finnish all-in-one e-commerce SaaS with own Helsinki hosting and 0% commission across plans.
|
HELSINKI · FI
Finland
|
EIGENTüMERSCHAFT
Wo die letztliche Kontrolle über das Betreiberunternehmen liegt.
|
CLOUD-ACT-RISIKO
Wie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Öffnen ↗ | |
|
PrestaShop
French open-source e-commerce with hosted SaaS option; parent group Fortidia is an Oaktree Capital portfolio company.
|
—
France
|
EIGENTüMERSCHAFT
Wo die letztliche Kontrolle über das Betreiberunternehmen liegt.
|
CLOUD-ACT-RISIKO
Wie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Öffnen ↗ | |
|
Saleor Commerce
Polish headless GraphQL commerce platform; open-source BSD-3; cloud hosted on AWS EU (Ireland) with SOC 2 Type 2.
|
DUBLIN · IE
Poland
|
EIGENTüMERSCHAFT
Wo die letztliche Kontrolle über das Betreiberunternehmen liegt.
|
CLOUD-ACT-RISIKO
Wie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
|
SOC 2
|
0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Öffnen ↗ | |
|
Shopware
German mid-market commerce platform (Schöppingen, est. 2000); Cloud entry €600/mo. PayPal owns ~41% as of Oct 2025.
|
DE
Germany
|
EIGENTüMERSCHAFT
Wo die letztliche Kontrolle über das Betreiberunternehmen liegt.
|
CLOUD-ACT-RISIKO
Wie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
|
ISO/IEC 27001
SOC 2
|
0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Öffnen ↗ | |
|
Sylius
Polish open-source Symfony e-commerce framework (MIT); commercial Plus modules from €800/yr GMV-based.
|
—
Poland
|
EIGENTüMERSCHAFT
Wo die letztliche Kontrolle über das Betreiberunternehmen liegt.
|
CLOUD-ACT-RISIKO
Wie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Öffnen ↗ | |
|
CCV Shop
Dutch hosted e-commerce SaaS from €36/mo; 0% transaction fees; parent company CCV Group is Fiserv-owned (US).
|
NL
Netherlands
|
EIGENTüMERSCHAFT
Wo die letztliche Kontrolle über das Betreiberunternehmen liegt.
|
CLOUD-ACT-RISIKO
Wie stark Kundendaten US-Behörden nach dem CLOUD Act ausgesetzt sind.
|
— | 0 |
VERIFIED SIGNALS
Jurisdiction
Transparency
|
Öffnen ↗ |