So prüfen wir
Die faktischen Signale, die wir veröffentlichen (Jurisdiktion, Datenschutz und Transparenz), was jedes bedeutet und wie wir es verifizieren.
Zuletzt aktualisiert am 2026-05-18
EU Vetted vergibt keine einzelne Note. Stattdessen trägt jeder Eintrag eine feste Menge faktischer Signale, und jedes Signal ist als verifiziert (✓), nicht vorhanden (✗) oder nicht bewertet (—) gekennzeichnet. Die Markierungen sind gruppiert, damit Leser die für sie relevanten Aspekte selbst gewichten können, statt einer einzigen Kennzahl zu vertrauen, die für alles stehen soll.
Die Signalgruppen
Jedes Produkt wird anhand derselben Signalmenge bewertet, gegliedert in drei Gruppen.
Jurisdiktion
- EU-/Angemessenheits-Hosting: ruhende Kundendaten werden in der EU oder in einer durch einen Angemessenheitsbeschluss anerkannten Jurisdiktion gehostet.
- EU-Eigentum: die betreibende Gesellschaft ist in der EU eingetragen und EU-kontrolliert, ohne nennenswerte Nicht-EU-Beteiligung im Cap-Table.
- Keine CLOUD-Act-Exposition: der Betreiber ist nicht in den USA eingetragen, hat keine US-Mutter und stützt sich für ruhende Kundendaten auf keinen zentralen US-eigenen Sub-Auftragsverarbeiter. Der US-CLOUD Act (2018) erlaubt US-Behörden, US-kontrollierte Unternehmen zur Datenherausgabe zu zwingen, unabhängig vom Speicherort; die Rechenzentrumsregion allein beseitigt diese Exposition nicht.
Datenschutz
- Ende-zu-Ende-Verschlüsselung und verwandte Datenschutzeigenschaften, gekennzeichnet, soweit sie für die Kategorie einschlägig sind. Ein Signal, das für eine Kategorie nicht gilt (etwa Ende-zu-Ende-Verschlüsselung bei einem Analytics-Produkt, das keine Nachrichteninhalte vorhält), wird als nicht bewertet ausgewiesen, nicht als Mangel.
Transparenz
- Öffentliche AVV: ein Auftragsverarbeitungsvertrag, den ein Interessent ohne Login oder Vertriebskontakt lesen kann.
- Offenlegung der Unterauftragsverarbeiter: eine öffentlich zugängliche, aktuelle Liste der Sub-Auftragsverarbeiter des Anbieters.
- Open-Source-Clients: Client-Anwendungen, deren Quellcode öffentlich einsehbar ist.
- Zertifizierung durch Dritte: ein unabhängiges Audit wie SecNumCloud (ANSSI), EUCS (ENISA), BSI C5 oder ISO/IEC 27001. Wir weisen ein Zertifikat nur aus, wenn der Anbieter es öffentlich beansprucht; wir erfinden keines.
Wie wir verifizieren
Jedes Signal wird gegen die eigenen öffentlichen Offenlegungen des Anbieters geprüft. Wir lesen die veröffentlichte AVV, das Sub-Auftragsverarbeiter-Dokument, die Hosting-Regions-Erklärung, die Zertifizierungen und die Eintragungen im Handelsregister. Jeder Eintrag trägt einen Zeitstempel (das „Zuletzt geprüft"-Datum des Eintrags) und wird mindestens vierteljährlich neu geprüft. Selbstauskünfte akzeptieren wir nie: Lässt sich eine Angabe nicht gegen eine öffentliche Quelle bestätigen, wird das Signal als nicht vorhanden oder nicht bewertet markiert, nicht als verifiziert.
Die Markierungen sind redaktionell. Sie spiegeln das Lesen öffentlicher Quellen durch die Redaktion zum angegebenen Datum wider und sind keine von uns ausgestellte Zertifizierung.
Warum keine einzelne Kennzahl
Früher haben wir eine Compliance-Bewertung von 1–5 veröffentlicht. Wir haben sie eingestellt. Eine einzelne Note verdichtete unabhängige Aspekte (wo Daten gehostet werden, wem die Gesellschaft gehört, ob US-Recht auf die Daten zugreifen kann, was der Anbieter offenlegt) zu einer einzigen Zahl und konnte über sehr unterschiedliche Produkte und Kategorien hinweg nicht konsistent bleiben. Getrennte faktische Markierungen lassen jeden Leser seine eigene Priorität anlegen: Ein Käufer in einem regulierten Sektor mag jede CLOUD-Act-Exposition als hartes Veto behandeln, während einem anderen Leser eine öffentliche AVV am wichtigsten ist. Keines dieser Signale ersetzt die eigenen Compliance-Belege des Anbieters; beschaffen Sie vor einer Vertragsschließung die AVV, die aktuelle Sub-Auftragsverarbeiter-Liste und die relevanten Zertifikate direkt beim Anbieter.
Affiliate-Unabhängigkeit
Signale und die Reihenfolge, in der Produkte erscheinen, werden nie durch Affiliate-Beziehungen beeinflusst. Einige Links auf der Website sind Affiliate-Links, und wir erhalten ggf. eine Provision ohne Mehrkosten für Sie. Das hat jedoch keinen Einfluss darauf, ob ein Signal als verifiziert markiert wird oder wie ein Eintrag platziert ist. Bezahlte Platzierungen sind, wo es sie gibt, stets als solche gekennzeichnet.