„DSGVO-konform" steht bei vielen URL-Shortenern auf der Website. Was dahinter steckt, ist oft weniger als versprochen. Wir erklären, worauf es wirklich ankommt, und warum der Hosting-Standort entscheidender ist als jedes Compliance-Badge.
Hinweis: Bitly®, TinyURL® und Rebrandly® sind eingetragene Marken der jeweiligen Inhaber. QR-Guru steht in keiner geschäftlichen Verbindung zu diesen Anbietern. Die Aussagen auf dieser Seite basieren auf öffentlich zugänglichen Informationen (Stand Mai 2026) und dienen der neutralen Orientierung.
Das Problem mit US-Anbietern
Bitly, TinyURL, Rebrandly und die meisten bekannten URL-Shortener haben eines gemeinsam: ihre Server stehen in den USA (Stand Mai 2026).
Das hat konkrete rechtliche Konsequenzen für deutsche Unternehmen:
⚖️
Schrems-II-Urteil (2020)
Der EuGH hat festgestellt, dass die USA kein angemessenes Datenschutzniveau bieten. Datentransfers in die USA sind seitdem rechtlich riskant.
🏛️
US-Cloud-Act (2018)
Verpflichtet US-Unternehmen, amerikanischen Behörden auf Anfrage Zugang zu Daten zu gewähren, unabhängig vom Speicherort.
📄
Standardvertragsklauseln
SCCs können das Risiko abmildern, aber nach Schrems II nur mit zusätzlichen Maßnahmen vollständig adressieren. Deutsche Datenschutzbehörden haben den Einsatz von US-Tools mehrfach beanstandet (z. B. LG München I 20.01.2022, 3 O 17493/20 — Google Fonts).
Was „wirklich DSGVO-konform" bedeutet
Für einen URL-Shortener sind das die entscheidenden Kriterien:
✓Server in der EU, idealerweise in Deutschland. Kein Datentransfer in Drittländer (Art. 44 ff. DSGVO).
✓Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, mit einem deutschen Unternehmen als Auftragsverarbeiter.
✓Keine US-Mutter-Gesellschaft. Auch EU-Töchter von US-Konzernen können dem Cloud-Act unterliegen.
✓Transparente Datenlöschung: klare Fristen, vollständige Löschung auf Anfrage.
✓Keine Weitergabe an Dritte, keine Datenverkäufe, keine Werbezwecke.
Wie QR-Guru diese Kriterien erfüllt
Server in Deutschland
Alle Daten werden ausschließlich auf Servern in Deutschland gespeichert. Kein Backup in Drittländern.
📋
AVV nach Art. 28 DSGVO
Wir schließen mit jedem Unternehmens-Kunden einen vollständigen Auftragsverarbeitungsvertrag ab. Der Vertragspartner ist ein deutsches Unternehmen.
🏢
Deutsches Unternehmen
QR-Guru ist ein deutsches Produkt eines deutschen Unternehmens. Kein US-Cloud-Act-Risiko. Keine Konzernmutter in den USA.
🔒
Datensparsamkeit
Wir erheben nur Daten die für den Dienst notwendig sind. IP-Adressen werden gehasht gespeichert, nicht im Klartext.
🗑️
Löschung auf Anfrage
Vollständige Datenlöschung auf Anfrage innerhalb von 30 Tagen.
Wo stehen unsere Server?
🏢 Hosting in Deutschland
QR-Guru läuft ausschließlich auf Servern in Deutschland. Es gibt keine Replikate, Backups oder Cache-Layer außerhalb der Bundesrepublik.
⚖️ Was das rechtlich bedeutet
Der Hosting-Standort entscheidet, welches Datenschutzregime greift. Solange die verarbeitende Infrastruktur ausschließlich in der EU steht und der Anbieter keine US-Konzernmutter hat, fällt der US-Cloud-Act nicht an. Bei US-Anbietern wie Bitly bleibt dieses Risiko auch mit Standardvertragsklauseln bestehen, weil das Bundesgesetz im Konfliktfall vorgeht (Stand Mai 2026).
🌐 Kein CDN für sensible Pfade
Die Klick-Auflösung von qrg.li (unsere Kurz-Domain) und das Backend laufen ohne externes Content-Delivery-Network. Nur statische Assets werden über ein EU-CDN ausgeliefert. Keine personenbeziehbaren Daten verlassen damit deutsche Infrastruktur.
Für welche Branchen ist das besonders relevant?
Öffentliche Verwaltung & Behörden
Viele Behörden dürfen US-Dienste grundsätzlich nicht nutzen. QR-Guru erfüllt die Anforderungen für den öffentlichen Sektor.
Kanzleien & Steuerberater
Anwaltliche Schweigepflicht und steuerliches Berufsgeheimnis erfordern besonders hohe Datenschutzstandards.
Medizin & Gesundheitswesen
Patientendaten unterliegen dem strengsten Datenschutz. Auch indirekte Verarbeitungsketten müssen sicher sein.
Konzerne & DAX-Unternehmen
Compliance-Abteilungen prüfen jeden Dienstleister. Ein deutscher AVV ohne Cloud-Act-Risiko ist Pflicht.
Bildungseinrichtungen
Schulen und Universitäten verarbeiten Daten von Minderjährigen: hohe Anforderungen an Drittanbieter.
Häufige Fragen zur DSGVO und URL-Shortenern
Bitly bezeichnet sich als DSGVO-konform (Stand Mai 2026), hat aber Server in den USA. Für viele deutsche Unternehmen, insbesondere im öffentlichen Sektor und in regulierten Branchen, ist das ein relevantes Risiko.
SCCs können das Risiko reduzieren, aber nach dem Schrems-II-Urteil des EuGH ist ihre Schutzwirkung begrenzt wenn US-Behörden Zugriff auf Daten verlangen können. Für risikosensible Organisationen ist ein EU-Anbieter ohne US-Bezug aus Compliance-Sicht die naheliegende Wahl.
Ja, wenn Sie einen URL-Shortener geschäftlich einsetzen und dabei personenbezogene Daten verarbeitet werden. Der URL-Shortener ist dann Auftragsverarbeiter nach Art. 28 DSGVO. QR-Guru stellt Ihnen einen fertigen AVV zur Verfügung.
Ja. Wenn ein QR-Code auf einen Kurz-Link von QR-Guru verweist, werden beim Scan die gleichen Daten verarbeitet wie bei einem direkten Klick auf den Kurz-Link.
Auf Anfrage löschen wir alle Ihre Daten vollständig innerhalb von 30 Tagen. IP-Adressen werden bei uns nie im Klartext gespeichert.
Ja. Da QR-Guru ausschließlich auf deutschen Servern betrieben wird und einen vollständigen AVV anbietet, ist der Einsatz für öffentliche Stellen datenschutzrechtlich unbedenklich.
Ja, auf Anfrage stellen wir Ihnen alle notwendigen Unterlagen für Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zur Verfügung.
DSGVO-konformer URL-Shortener: kostenlos testen
Registrieren Sie sich kostenlos und überzeugen Sie sich selbst. AVV auf Anfrage sofort verfügbar.
Diese Website verwendet technisch notwendige Cookies, um die Funktionalität sicherzustellen.
Weitere Informationen findest du in unserer Datenschutzerklärung.
