DSGVO-konformer URL-Shortener

Die produktive Infrastruktur von QR-Guru läuft auf einem dedizierten Server im deutschen Rechenzentrum unseres Hosting-Partners (IONOS, Tier-3-zertifiziert, ISO 27001). Es gibt keine Replikate, Backups oder Cache-Layer außerhalb der Bundesrepublik.

Die vollständige Liste aller Sub-Auftragsverarbeiter (Hosting, Mail-Versand, Zahlungsabwicklung) stellen wir mit dem AVV bereit. Alle Sub-Verarbeiter sitzen in Deutschland oder der EU. Kein US-Konzern in der Verarbeitungskette.

Die Klick-Auflösung von qrgu.de (unsere Kurz-Domain) und das Backend laufen ohne externes Content-Delivery-Network. Nur statische Assets werden über ein EU-CDN ausgeliefert. Keine personenbeziehbaren Daten verlassen damit deutsche Infrastruktur.

Solange die verarbeitende Infrastruktur ausschließlich in der EU steht und der Anbieter keine US-Konzernmutter hat, fällt der US-Cloud-Act nicht an. Bei US-Anbietern wie Bitly bleibt dieses Risiko auch mit Standardvertragsklauseln bestehen, weil das US-Bundesgesetz im Konfliktfall vorgeht (Stand Mai 2026).

Datenschutzaufsichten verlangen seit dem EuGH-Urteil Schrems II (C-311/18, 16.07.2020) eine Risiko-Folgenabschätzung für jedes Tool mit US-Bezug. Bei QR-Guru entfällt diese Prüfung, weil weder Hosting noch Mutter-Gesellschaft US-Bezug haben.

Transport mit TLS 1.3, Ruheverschlüsselung auf Festplatten-Ebene (LUKS), Backups verschlüsselt im selben Rechenzentrum. Schlüsselverwaltung intern, keine Hinterlegung bei Drittanbietern.

• • Gegenstand, Dauer, Art der Verarbeitung
• • Kategorien personenbezogener Daten und betroffener Personen
• • Pflichten und Rechte des Verantwortlichen
• • Technisch-organisatorische Maßnahmen (TOM) als Anlage
• • Liste der genehmigten Sub-Auftragsverarbeiter
• • Regelungen zur Datenlöschung bei Vertragsende

• • Anfrage per Formular oder E-Mail an datenschutz@qr-guru.de
• • Versand als PDF mit qualifizierter elektronischer Signatur
• • Rücksendung Ihrer Unterschrift genügt, keine Anwaltskosten, keine Verhandlung
• • Verfügbar in Deutsch (Original) und Englisch (Übersetzung)
• • Auf Wunsch zusätzlich: TOM-Auszug für Ihr Verarbeitungsverzeichnis

Jede eingehende IP wird sofort mit einem täglich rotierenden Salt zu einem SHA-256-Hash umgerechnet. Nur dieser Hash landet in der Datenbank. Die ursprüngliche IP existiert nirgendwo im Klartext. Nach 24 Stunden rotiert der Salt, selbst der Hash ist dann nicht mehr rückführbar.

Innerhalb eines Tages erkennen wir, ob zwei Klicks vom selben Hash kommen, das reicht für Spam-Schutz und Unique-Klick-Zählung. Sobald der Salt rotiert, sind alle Hashes des Vortages voneinander entkoppelt. Personenbezug entsteht zu keinem Zeitpunkt.

Beim Klick auf einen Kurzlink wird kein Cookie gesetzt. Wir lesen keinen Canvas-Fingerprint, keine WebGL-Daten, keine Schriftarten-Liste. Browser-Identifikation findet schlicht nicht statt.

Aus der IP wird ausschließlich das Herkunftsland abgeleitet (über die EU-gehostete MaxMind-Datenbank, lokal vorgehalten, keine externen API-Calls). Stadt, Region oder ISP werden nicht gespeichert.

Interface, Hilfe-Texte, Fehlermeldungen, Onboarding-E-Mails, AGB, Datenschutzerklärung und AVV liegen in deutscher Originalfassung vor. Keine maschinelle Übersetzung, keine schiefen Begriffe, keine englischen Fachtermini im UI.

E-Mail-Support unter support@qr-guru.de, durchschnittliche Antwortzeit innerhalb von 24 Stunden an Werktagen. Für Compliance- und Datenschutzfragen steht ein deutscher Ansprechpartner unter datenschutz@qr-guru.de zur Verfügung.

Alle Rechnungen werden mit deutscher Umsatzsteuer-Identifikationsnummer und vollständigen Pflichtangaben nach § 14 UStG ausgestellt. Geeignet für GoBD-konforme Archivierung. Reverse-Charge-Verfahren für EU-Unternehmen mit USt-ID auf Anfrage.

Kunden in Österreich erhalten Rechnungen ohne deutsche Umsatzsteuer (Reverse-Charge mit gültiger UID). Schweizer Kunden bekommen Netto-Rechnungen ohne Mehrwertsteuer. Beide Länder profitieren vom deutschen DSGVO-Hosting genauso wie deutsche Kunden.