Wie wir bewerten
Compliance-Bewertung, CLOUD-Act-Expositionsmarkierung und Eigentumssignal — was jeder Wert bedeutet und wie wir ihn vergeben.
Zuletzt aktualisiert am 2026-05-18
Jeder Eintrag auf EU Vetted trägt drei unabhängige redaktionelle Signale: eine Compliance-Bewertung, eine CLOUD-Act-Expositionsmarkierung und ein Eigentumssignal. Sie beantworten unterschiedliche Käuferfragen — Leser sollten sie nicht zu einer einzigen Kennzahl verschmelzen. Diese Seite erklärt jeden Wert und wie wir ihn vergeben.
Compliance-Bewertung (1–5)
Eine redaktionelle Einschätzung, wie compliance- und privacy-bereit ein Anbieter ist, basierend auf den vier in Redaktionelle Richtlinien → Wie wir verifizieren aufgeführten Quellen: veröffentlichte AVV, Sub-Auftragsverarbeiter-Liste, Hosting-Regions-Erklärung, Eintragung im Handelsregister.
| Bewertung | Bedeutung |
|---|---|
| 5 / 5 | In der EU eingetragen, keine Kundendaten in Ruhe auf US-eigener Cloud, AVV und Sub-Auftragsverarbeiter öffentlich, SCCs für jeden Nicht-EU-Transfer vorhanden, keine CLOUD-Act-Exposition für Kundenproduktdaten. Nachgelagerte US-Sub-Auftragsverarbeiter (System-E-Mail, Error-Tracking, Billing), die keine Kundenproduktdaten berühren, schließen 5/5 nicht aus. |
| 4 / 5 | In der EU eingetragen und EU-gehostet, verwendet aber Cloudflare oder ein bis zwei US-Sub-Auftragsverarbeiter mit SCCs; geringfügige CLOUD-Act-Exposition vermerkt. |
| 3 / 5 | In der EU eingetragen, primäres EU-Hosting, aber ≥3 US-Sub-Auftragsverarbeiter ODER nennenswerte CLOUD-Act-Exposition ODER keine öffentlich zugängliche AVV (siehe AVV-Zugänglichkeit unten). |
| 2 / 5 | EU-Büro, aber überwiegend US-Mutter oder US-Infrastruktur. Erhebliche CLOUD-Act-Exposition. Nur gelistet, wenn keine bessere Option in der Kategorie existiert. |
| 1 / 5 | Nicht wirklich europäisch; als „fragwürdiger EU-Anspruch" markiert. Nur als Warnung gelistet. |
Die Bewertung ist redaktionell, nicht zertifiziert. Sie spiegelt das Lesen der Redaktion zu einem angegebenen Zeitpunkt anhand öffentlicher Offenlegungen wider. Das „Zuletzt geprüft"-Datum entspricht dem Datum dieser Lesung. Wir prüfen mindestens vierteljährlich nach.
AVV-Zugänglichkeit. Eine öffentlich zugängliche AVV — die ein Interessent ohne Login oder Vertriebskontakt lesen kann — ist für 5/5 erforderlich. Existiert eine AVV, ist aber nur im Kundenkonto erreichbar, deckelt das die Bewertung bei 4/5; ist sie nur auf Anfrage oder gar nicht veröffentlicht, deckelt sie bei 3/5. Dieses Kriterium gilt nicht für selbstgehostete oder lokale Software, bei der der Anbieter keine Kundendaten verarbeitet, und nicht für Anbieter, die echte Nicht-Auftragsverarbeiter sind, und nicht für Produkte mit einer SecNumCloud-, EUCS- oder BSI-C5-Zertifizierung — einem unabhängigen Audit, das die Auftragsverarbeiter-Governance bereits abdeckt — diese Einträge werden anhand der übrigen Kriterien bewertet.
CLOUD-Act-Expositionsmarkierung
Der US-CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) gibt US-Behörden den rechtlichen Mechanismus, US-eingetragene Unternehmen zur Herausgabe von Daten zu verpflichten, die sie kontrollieren — unabhängig vom physischen Speicherort. Das Schrems-II-Urteil (EuGH, 2020) und der Präzedenzfall Microsoft Ireland v US machen deutlich: Die Rechenzentrumsregion allein schützt nicht davor, wenn die betreibende Gesellschaft US-kontrolliert ist.
Die Markierung ist von der Compliance-Bewertung unabhängig, weil ein Käufer in einem regulierten Sektor (Verteidigung, öffentliche Gesundheitsdaten, bestimmte Finanzdienste) die CLOUD-Act-Exposition unabhängig vom übrigen Profil als hartes Veto behandeln kann.
| Markierung | Definition |
|---|---|
| none | In der EU eingetragener Betreiber, keine US-Mutter, keine nennenswerten US-Sub-Auftragsverarbeiter. |
| minor | Ein vorübergehender US-Sub-Auftragsverarbeiter (Cloudflare für DDoS, Mapbox für Karten, Error-Tracking), aber Kundendaten in Ruhe ausschließlich EU. |
| material | US-Mutter ODER mindestens ein Kern-Sub-Auftragsverarbeiter, der Kundendaten in Ruhe behandelt, ist ein US-eigener Hyperscaler (AWS EU-Region, Google Cloud, Azure, Stripe US, Twilio US usw.). Die EU-Region einer US-eigenen Cloud ändert die Markierung nicht — die Jurisdiktion der Muttergesellschaft schon. |
| direct | Die betreibende SaaS ist selbst in den USA eingetragen. Standardmäßig US-extraterritorialen Anforderungen ausgesetzt. |
Eigentumssignal
Wo die letztendliche Kontrolle über die betreibende Gesellschaft liegt. Getrennt von der Compliance-Bewertung, die sich darauf bezieht, wie der Anbieter Daten verarbeitet — nicht wem die Gesellschaft gehört.
| Signal | Definition |
|---|---|
| eu-owned | In der EU eingetragen, EU-kontrolliert, keine nennenswerte US-Beteiligung im Cap-Table. |
| eu-hq-us-funded | EU-Hauptsitz, aber von US-VC oder US-PE kontrolliert. Cap-Table-Beleg in den Verifizierungsnotizen zitiert. |
| us-owned | US-Hauptsitz oder US-Mutter. Nur gelistet, wenn es tatsächlich die führende Option in einer Kategorie ist und die Alternativen schwach sind. |
| other | Schweizer, post-Brexit-UK, israelische, norwegische oder andere nicht-EU-europäische Jurisdiktion. Das konkrete Land wird im Eintrag genannt. |
Verweise auf Compliance-Rahmen
Wenn ein Anbieter öffentlich eines der folgenden Rahmenwerke bescheinigt, weisen wir es im Eintrag aus. Wir erfinden keine Zertifikate: Beansprucht der Anbieter ein Zertifikat nicht öffentlich, listen wir es nicht.
- EUCS — European Cybersecurity Certification Scheme for Cloud Services (ENISA)
- C5 — Cloud Computing Compliance Criteria Catalogue (BSI Deutschland)
- SecNumCloud — französische nationale Cloud-Services-Qualifizierung (ANSSI)
- ISO/IEC 27001, 27017, 27018 — Managementsystem für Informationssicherheit, Cloud-Security-Controls, Schutz personenbezogener Daten in der Cloud
- SOC 2 — US-Rahmen; der Vollständigkeit halber ausgewiesen, erfüllt aber für sich genommen keine EU-spezifische Anforderung
Bei mehrstufigen Anbietern (etwa wenn SecNumCloud nur für das Bare-Metal-Produkt und nicht für die Public Cloud gilt) vermerken wir, welche Produktstufe das Zertifikat abdeckt. Eine pauschale „ISO 27001"-Angabe ohne Aufschlüsselung nach Stufen wird ohne Verstärkung dargestellt.
Was das nicht ist
Keines der drei Signale ersetzt die eigenen Compliance-Belege des Anbieters. Vor einer Vertragsschließung sollte ein Käufer die AVV, die aktuelle Sub-Auftragsverarbeiter-Liste und die relevanten Zertifikate direkt beim Anbieter beschaffen und sich vergewissern, dass sie mit dem öffentlichen Stand am „Zuletzt geprüft"-Datum des Eintrags übereinstimmen.