Sovereignty Scan
Scan

Methodik · Transparenz

So funktioniert der Sovereignty Scan

Welche Daten wir auswerten, wie wir Anbieter-Jurisdiktion bestimmen, was wir bewusst nicht prüfen. Und warum eine Note A nicht „konform“ heißt.

Methodik v2.3Stand
Zurück zum ScanWarum Souveränität?

01 · Was wir auswerten

Fünf Signal­quellen, alle öffentlich zugänglich

Der Scan startet keinen Login und liest keine privaten Daten. Wir nutzen ausschließlich, was jeder Browser oder jedes DNS-Tool ebenfalls sehen kann. Bei SPA-Sites rendern wir die Seite einmal in einem echten Browser und klicken auf „Alle akzeptieren", um die hinter dem Consent-Banner verborgene Tracker-Schicht offenzulegen – ohne diesen Schritt blieben Adobe Analytics, Tealium oder OneTrust auf den meisten Konzernseiten unsichtbar. Dabei feuern dieselben Beacons wie bei einem normalen Besuch nach Consent.

  • HTML der Startseite + Rechtsseiten

    Wir laden zusätzlich /datenschutz, /impressum, /kontakt und ihre englischen Pendants. Daraus erkennen wir Tracking-Skripte, eingebettete Iframes, Formular-Endpoints und CSP-Direktiven.

  • DNS-Records (MX, NS, A, PTR)

    Mail-Server (MX) verraten Office-Suite und Newsletter-Anbieter. Nameserver (NS) zeigen den DNS-Provider. Reverse-DNS (PTR) der A-Records identifiziert den Hosting-Anbieter.

  • SPF-Records (rekursiv)

    Wir folgen `include:`-Direktiven über mehrere Ebenen, um SendGrid, Mailgun, AWS SES, Brevo etc. auch hinter SPF-Flatten­ern (EasyDMARC) zu erkennen, und zwar durch Reverse-Lookup der IP-Bereiche zu AS-Owner-Namen.

  • ASN / IP-Inhaber (Team Cymru)

    Die primäre A-Record-IP wird via Team Cymru zum AS-Owner aufgelöst (z.B. AMAZON-02 vs HETZNER). Unblockbar: wer ein IP-Paket annimmt, verrät seine ASN.

  • HTTP-Header + Pre-Consent-Cookies

    Server-Header (cf-ray, x-vercel-id, fastly-debug-path) verraten Edge- und Hosting-Anbieter. Cookies, die *vor* einem Consent-Banner gesetzt werden, sind ein DSGVO-Indikator.

  • TLS-Cert + DNSSEC

    Cert-Issuer (Let's Encrypt vs DigiCert vs Sectigo) und der DNSSEC-Validierungsstatus fließen als Kontextinformation in den Bericht. Sie beeinflussen den Score nicht direkt.

02 · Was wir bewusst NICHT lesen

Grenzen des Scans

Wir scannen nur, was öffentlich zugänglich ist. Das ist eine bewusste Entscheidung, keine technische Schwäche.

  • Keine Auth-pflichtigen Bereiche: Mitglieder­bereiche, Kunden-Portale und SaaS-Backends bleiben außen vor. Wir prüfen die öffentliche Außen­darstellung Ihrer Domain.
  • Keine personen­bezogenen Daten: keine Inhalte hinter Login, keine E-Mails, keine Daten Ihrer Website-Besucher.
  • Wenn eine Website unseren Crawler aktiv blockiert, weisen wir das offen im Ergebnis aus. DNS-basierte Erkennung läuft auch dann weiter.

03 · Wie wir Jurisdiktion bestimmen

Wo sitzt der eigentliche Vertragspartner?

Die wichtigste Frage in einem CLOUD-Act-Kontext: nicht wo läuft der Server, sondern wer ist der juristische Inhaber. Hier unsere Heuristik.

Für jeden erkannten Anbieter bestimmen wir die Jurisdiktion wie folgt, in dieser Reihenfolge:

  1. Hand­kuratiert für ca. 400 hochrelevante Anbieter: wir tragen die juristische Mutter­gesellschaft, ihre und die wichtigsten EU-Töchter manuell ein (z.B. Typeform SL → Typeform Inc. US).
  2. Auto­matisch für den breiteren Katalog (~2.600 weitere Anbieter): wir leiten die Jurisdiktion aus der Top-Level-Domain der Anbieter-Website ab (.de → EU, .com → unklar, etc.). Diese Einträge sind im Ergebnis mit dem Hinweis „Anbieterprüfung empfohlen“ markiert.
  3. Drittlandtransfer wird zusätzlich gesondert markiert, wenn der Hauptanbieter zwar in der EU sitzt, ein aber in der Vertrags­kette steht (Beispiel: Typeform = EU mit US-Subprozessor).
  4. für US-Mutter­gesellschaften, auch wenn der konkrete Server in Frankfurt steht. Diese Logik basiert auf und den EDPB-Empfehlungen 01/2020.

04 · Wie der Score zustande kommt

Sovereignty-Risiko, kein meetergo-Werbe-Score

Die Note A–E basiert ausschließlich auf der Datenschutz-Risiko­bewertung der erkannten Anbieter, unabhängig davon, ob meetergo das jeweilige Tool ersetzen kann. Das ist eine bewusste Entscheidung.

Schritt 1 · Pro Anbieter

Für jeden erkannten Anbieter berechnen wir ein als Produkt aus zwei Faktoren:

Souveränitäts-Risiko=Jurisdiktion×Daten-Sensitivität
Bereich 1 (EU-Analytics) bis 25 (US-Buchungstool)
JurisdiktionGewicht
  • USA5
  • Unklar3
  • UK / Schweiz2
  • EU / EEA1
Daten-SensitivitätGewicht
  • Buchung · CRM · Forms · E-Mail · Signatur5
  • Hosting · DNS · CDN · Payments · Video3
  • Analytics · Error-Tracking · CDN-only1

Schritt 2 · Domain-Score

Wir starten bei 100 und ziehen pro erkanntem Nicht-EU-Anbieter Punkte ab. Der Abzug ist eine glatte Funktion aus Risiko und Detektions-Konfidenz (Risiko × 0,7 × Konfidenzfaktor; high 1,0 / medium 0,75 / low 0,5). Abzüge werden nach Kategorie-Buckets summiert und gedeckelt: Personendaten max. 35, Marketing max. 25, Infrastruktur max. 20. So kompoundieren viele gleichartige Befunde nicht endlos. Pre-Consent-Tracker-Cookies sind ein zusätzlicher Abzug (max. 8). Für jede „kritische“ Kategorie (Terminbuchung, CRM, E-Mail, Hosting, DNS), die durch einen EU-Anbieter abgedeckt ist, gibt es einen Souveränitäts-Bonus von +3 (max. +12). EU-Tools an sich werden nicht abgezogen — Souveränität ist der Soll-Zustand, nicht der bestrafte. Der resultierende Score von 0–100 wird auf eine Note A–E abgebildet:

  1. AScore ≥ 90Vorbildlich souverän
  2. BScore ≥ 75Weitgehend souverän
  3. CScore ≥ 55Bedingt souverän
  4. DScore ≥ 30Erhebliches Risiko
  5. EScore < 30Hohes CLOUD-Act-Risiko

Hinweis: Wenn die Website den Scan blockiert oder eine reine JS-SPA zurückgibt, capen wir die Note bei C. Eine ungelesene Seite kann nicht „A“ sein.

Konfidenz-Gewichtung statt -Boden: Eine Low-Confidence-Detektion (z. B. reiner TLD-Heuristik-Treffer) zieht nur halb so viel ab wie eine High-Confidence-Detektion auf demselben Anbieter. Damit eine Note A („vorbildlich“) oder E („hohes Risiko“) ausgesprochen wird, muss die Beweislage entsprechend tragfähig sein. Vorgänger-Versionen klemmten den Score binär bei einem Confidence-Schwellwert ein — die jetzige Gewichtung skaliert weich mit der tatsächlichen Evidenzqualität.

05 · Anbieter­datenbank

ca. 3.000 Anbieter, zwei Vertrauens­stufen

Damit Ihr DPO weiß, wie belastbar ein einzelner Treffer ist, kennzeichnen wir jeden erkannten Anbieter mit einer von zwei Konfidenz­stufen.

Kern­katalog (~400 Anbieter)

Hand­gepflegte Datensätze für die in DACH-B2B häufigsten Tools: Eigentümer-Kette, Hosting-Region, Migrations-Aufwand, EU-Alternative. Werden im Ergebnis als „high confidence“ gewertet.

Erweiterter Katalog (~2.600 Anbieter)

Breitere Abdeckung für Long-Tail-Tools: Jurisdiktion aus TLD abgeleitet, Empfehlungs­text generisch. Werden mit „Anbieterprüfung empfohlen“ markiert, damit Ihr DPO den Treffer vor Übernahme verifiziert.

Der Kern­katalog wird laufend redaktionell gepflegt; der erweiterte Katalog wird in regelmäßigen Abständen abgeglichen, sobald sich Eigentümer-Strukturen oder ändern.

06 · Was der Scan NICHT ist

Was wir nicht behaupten

Damit es keine Missver­ständnisse gibt, hier explizit:

  • Der Scan ist keine Rechts­beratung. Er ersetzt keine , keine und kein juristisches Gutachten.
  • Wir treffen keine Aussage darüber, ob ein konkreter Anbieter in einem konkreten Anwendungsfall -konform eingesetzt werden kann. Das hängt von Ihrer , Ihren und dem Datentyp ab.
  • Eine Note A bedeutet nicht „vollständig konform“, sondern „auf Basis der erkannten Tools sieht das Setup sehr sauber aus“. Eine Note F bedeutet nicht „illegal“, sondern „hier liegt erhebliches Drittland-Transfer-Risiko“.
  • Tools, die meetergo direkt ersetzen kann (Calendly, Typeform, DocSend etc.), werden im Ergebnis bevorzugt mit einer meetergo-Empfehlung versehen. Tools, die meetergo nicht ersetzt (AWS, Cloudflare, Stripe), bekommen eine neutrale EU-Empfehlung. Wir verkaufen Ihnen kein Hosting.

Bereit, Ihre eigene Domain zu prüfen?

60 Sekunden. Keine Anmeldung. Sie bekommen eine Note von A bis E mit allen erkannten Tools und EU-Alternativen.

Zum ScanWarum digitale Souveränität?