Sovereignty Scan
Geprüfte Domain: afterpay.com
Wir prüfen DNS, Hosting, erkannte Tools und EU-Alternativen. Bei großen Seiten kann das beim ersten Aufruf einen Moment dauern.
Sovereignty Scan
Geprüfte Domain: afterpay.com
Wir prüfen DNS, Hosting, erkannte Tools und EU-Alternativen. Bei großen Seiten kann das beim ersten Aufruf einen Moment dauern.
22 von 28 erkannten Tools fallen unter (-Reichweite).
Wir zeigen die 3 einfachsten Wechsel mit passenden EU-Alternativen.
Einordnung
Hohes CLOUD-Act-Risiko. Buchung, Marketing und Hosting laufen über Anbieter mit US-Bezug.
Personenbezogene Daten
HochKontakt-, Termin- und Kundendaten in US-Tools.
Marketing-Daten
HochTracking, E-Mail-Listen, Conversion-Daten.
Infrastruktur
HochHosting, CDN, DNS und Mail-Versand.
Die 3 größten Hebel für afterpay.com
Sortiert nach Wirkung pro Aufwand. Der erste Wechsel bringt typischerweise mehr als die nächsten zwei zusammen.
Marketing Automation · Adobe Inc. (Marketo) (US)
Marketo (Adobe) verarbeitet Lead-Daten und Marketing-Funnels in den USA.
Mehr als ein Bußgeld
Bußgelder machen Schlagzeilen, aber selten Bilanzen. Sie treffen spät, selektiv und sind verhandelbar. Was US-Tools Sie früher kosten, ist die Summe aus verlorenen Ausschreibungen, misstrauischen Großkunden, einem laufenden Audit-Berg, der persönlichen Haftung Ihrer Geschäftsführung sowie einem Tool, das mit einer einzigen Executive Order morgen abgeschaltet werden kann.
Procurement
Bund, Länder und Konzern-Einkauf machen "EU-Hosting" und "CLOUD-Act-frei" zum K.O.-Kriterium. Ein einziges US-Tool im Stack reicht für die Disqualifikation, ohne dass Sie je in der Shortlist standen.
bis 2027
Souveränitäts-Roadmap der Bundesverwaltung (BMI, "Souveräne IT 2027")
Vertrauen & Churn
Seit Schrems II prüft jede ernstzunehmende Einkaufsabteilung die DPA-Anlage. Ein US-Logo unter "Auftragsverarbeiter" ist eine Verlängerungsverhandlung, oder ein Lost-Deal, den Sie nie als Lost-Deal sehen.
73 %
der DSGVO-bewussten B2B-Buyer prüfen Subprocessor (Gartner, 2024)
Operative Last
Jedes US-Tool zieht eine eigene Datenschutz-Folgenabschätzung, Standardvertragsklauseln und ein Transfer Impact Assessment nach sich. Bei jedem Subprocessor-Wechsel startet der Audit-Zyklus erneut, meistens unbemerkt.
8–16 h
Aufwand pro Tool und Audit-Zyklus, recurring
Geschäftsführung
§ 43 GmbHG / § 93 AktG: Wer den Stand der Technik ignoriert, haftet mit Privatvermögen, nicht mit der Firmenkasse. D&O-Versicherungen schließen DSGVO-Vorsatz und grobe Fahrlässigkeit regelmäßig aus.
Privatvermögen
der Geschäftsführung im Schadensfall (§ 43 GmbHG)
Geopolitik
CLOUD Act, OFAC-Sanktionen, ein neues Schrems-Urteil: Wenn Washington den Stecker zieht, gibt es keine Übergangsfrist. Realer Präzedenzfall: 2025 sperrte Microsoft auf US-Anweisung Konten des Internationalen Strafgerichtshofs.
0 Tage
Übergangsfrist bei US-Embargo oder Account-Sperre
Und wenn die Aufsicht doch klingelt
Aufsichten in DE prüfen langsam, aber zunehmend systematisch. Der Erwartungswert ist niedriger als die Schlagzeile, die Reichweite ist es nicht.
50.000 €
realistisches Risiko · max. 200.000 € (Art. 83 (5) DSGVO, bis zu 4 % des Jahresumsatzes)
Erkannte Tools · 28 gefunden
| Tool | Kategorie | Hosting | Eigentümer | Risiko | EU-Alternative |
|---|---|---|---|---|---|
Branch Skript / Iframe → cdn.branch.io | CRM / Marketing Automation | AWS CloudFront | Branch Metrics US · CLOUD Act DPF | Niedrig | |
Indeedim Produkt JS-Bundle → .indeed.com | CRM / Marketing Automation | Cloudflare | Indeed US · CLOUD Act DPF | Niedrig | |
Marketo Skript / Iframe → munchkin.marketo.net | Marketing Automation | Adobe Cloud (US) | Adobe Inc. (Marketo) US · CLOUD Act | Hoch | |
Pardot (Marketing Cloud Account Engagement) Skript / Iframe → pi.pardot.com | Marketing Automation | Salesforce Hyperforce | Salesforce Inc. US · CLOUD Act | Hoch | |
Salesforce Skript / Iframe → pardot.com | CRM | Salesforce Hyperforce | Salesforce Inc. US · CLOUD Act DPF | Hoch | |
Typeform Skript / Iframe → embed.typeform.com | Formulare | AWS EU-West-1 (Irland) | Typeform S.L. ES | Mittel | · |
 Amazon SES SPF-ASN → AMAZON-AES - Amazon.com, Inc., US | Transaktions-E-Mail | AWS (Region je nach Account) | Amazon Web Services Inc. US · CLOUD Act DPF | Hoch | |
Amplitude Skript / Iframe → cdn.amplitude.com | Product Analytics | AWS US (EU-Region möglich) | Amplitude Inc. US · CLOUD Act | Hoch | |
Appsflyer Skript / Iframe → websdk.appsflyer.com | Analytics | AWS | Appsflyer IL | Niedrig | |
Cloudflare HTTP-Header cf-ray → 9f61dc95abe5f0cb-CDG | CDN | Anycast (Global) | Cloudflare Inc. US · CLOUD Act DPF | Mittel | |
Cloudflare DNS NS-Record → logan.ns.cloudflare.com | DNS-Provider | Anycast (Global) | Cloudflare Inc. US · CLOUD Act DPF | Mittel | |
Friendbuyim Produkt JS-Bundle → static.fbot.me/friendbuy.js | Analytics | AWS | Friendbuy US · CLOUD Act | Niedrig | |
Google Analytics Skript / Iframe → www.google-analytics.com | Analytics | Google Cloud (Global) | Alphabet Inc. US · CLOUD Act DPF | Hoch | |
Google Mail Sending SPF → _spf.google.com | Ausgehender E-Mail-Versand | Google Cloud (Global) | Alphabet Inc. US · CLOUD Act DPF | Hoch | |
Google Mapsim Produkt JS-Bundle → //maps.googleapis.com/maps/api/js | Analytics | Google Cloud | Google Maps Global | Niedrig | |
Google Workspace MX-Record → alt1.aspmx.l.google.com | Office-Suite / E-Mail | Google Cloud (Global) | Alphabet Inc. US · CLOUD Act DPF | Hoch | |
LaunchDarkly JS-Bundle → .launchdarkly.com/ | Analytics | AWS | launchdarkly-server-sdk Global | Niedrig | |
OneTrust Skript / Iframe → cdn.cookielaw.org | Cookie-Banner / Consent | AWS US | OneTrust LLC US · CLOUD Act | Mittel | |
Pinterest Conversion Tag CSP-Header → pinimg.com | Marketing-Pixel | Pinterest Cloud (US) | Pinterest, Inc. US · CLOUD Act | Hoch | |
Plaidim Produkt JS-Bundle → .plaid.com/ | Zahlungen | AWS CloudFront | Plaid US · CLOUD Act | Niedrig | |
Rakuten Skript / Iframe → tag.rmp.rakuten.com | Analytics | AWS | Rakuten Group, Inc. Other | Niedrig | |
Rakuten Advertising Skript / Iframe → tag.rmp.rakuten.com | Analytics | Automattic, Inc | Rakuten Advertising Global | Niedrig | |
SendGrid SPF → sendgrid.net | Transaktions-E-Mail | AWS US | Twilio (SendGrid) US · CLOUD Act | Hoch | |
Sentry JS-Bundle → Sentry.init( | Error-Tracking | GCP US | Functional Software Inc. US · CLOUD Act DPF | Mittel | |
Stripeim Produkt Skript / Iframe → js.stripe.com | Zahlungen | AWS US-East-1 | Stripe Inc. US · CLOUD Act DPF | Mittel | |
TikTok Pixel Skript / Iframe → analytics.tiktok.com | Advertising / Retargeting | Server in Singapur, Irland und den USA (laut TikTok-Privacy-Policy) | TikTok Technology Limited (EWR-Vertragspartner) / TikTok Pte. Ltd. (Global) IE · CLOUD Act | Hoch | |
Trustpilot Skript / Iframe → .trustpilot.com | Bewertungsplattform | AWS EU | Trustpilot A/S EU · CLOUD Act | Mittel | |
Zendeskim Produkt Skript / Iframe → static.zdassets.com | Helpdesk / Live-Chat | AWS US | Zendesk Inc. US · CLOUD Act DPF | Hoch |
Branch
CRM / Marketing Automation
EU-Alternative
+2Indeed
CRM / Marketing Automation
EU-Alternative
+2Marketo
Marketing Automation
EU-Alternative
+2Pardot (Marketing Cloud Account Engagement)
Marketing Automation
EU-Alternative
+2Salesforce
CRM
EU-Alternative
+2Typeform
Formulare
Amazon SES
Transaktions-E-Mail
EU-Alternative
+2Amplitude
Product Analytics
EU-Alternative
+2Cloudflare
CDN
EU-Alternative
+2Cloudflare DNS
DNS-Provider
EU-Alternative
+2Google Analytics
Analytics
EU-Alternative
+2Google Mail Sending
Ausgehender E-Mail-Versand
EU-Alternative
+2Google Maps
Analytics
EU-Alternative
+2Google Workspace
Office-Suite / E-Mail
EU-Alternative
+2LaunchDarkly
Analytics
EU-Alternative
+2OneTrust
Cookie-Banner / Consent
EU-Alternative
+2Pinterest Conversion Tag
Marketing-Pixel
EU-Alternative
+2Rakuten Advertising
Analytics
EU-Alternative
+2SendGrid
Transaktions-E-Mail
EU-Alternative
+2Sentry
Error-Tracking
EU-Alternative
+2TikTok Pixel
Advertising / Retargeting
EU-Alternative
+2Trustpilot
Bewertungsplattform
EU-Alternative
+2Zendesk
Helpdesk / Live-Chat
EU-Alternative
+2Acht Seiten: juristische Einordnung pro Tool, Migrationsaufwand, priorisierte Roadmap. Direkt verwendbar im Vorstand oder beim Datenschutzbeauftragten.
Der DPO entscheidet über AV-Verträge, TIAs und Subprozessor-Freigaben. Mit einem Klick erhält er eine kompakte Zusammenfassung dieses Scans, direkt aus seinem Posteingang.
Share-Kit · für LinkedIn, X, TikTok & Co.
Eine Karte mit Logo, Note und erkannten Tools. Auf LinkedIn und X wird sie automatisch groß ausgespielt; für TikTok & Reels gibt es das passende 9:16-Format zum Download.
Vorgeschlagener Text
Habe gerade afterpay.com durch den Sovereignty Scan von meetergo geschickt. Ergebnis: Note E (20/100). 22 von 28 erkannten Tools fallen unter US-Jurisdiktion (CLOUD-Act-Reichweite). Erkannte US-Tools: Branch, Indeed, Marketo, Pardot (Marketing Cloud Account Engagement) + 18 weitere. Der Score ist ein Risiko-Indikator, kein DSGVO-Urteil. Aber genau die Übersicht, die ich bei der nächsten Drittland-Diskussion am Tisch haben will. Wie souverän ist euer eigener Web-Stack?
Endet bewusst mit einer Frage, denn der Algorithmus mag Fragen.
Trust-Seite, Footer, RFP-Antwort. Aktualisiert sich nach jedem Re-Scan automatisch. Klick auf das Bild öffnet den vollständigen Report.
<a href="https://scan.meetergo.com/de/r/afterpay.com" target="_blank" rel="noopener" aria-label="afterpay.com: Sovereignty-Score E – meetergo Sovereignty Scan"> <img src="https://meetergo.com/scan/api/og?domain=afterpay.com&grade=E&score=20&tools=28&us=22&logo=afterpay.com&theme=light&eu=27&tools_list=Branch%2CIndeed%2CMarketo%2CPardot+%28Marketing+Cloud+Account+Engagement%29" alt="afterpay.com: Sovereignty-Score E – meetergo Sovereignty Scan" width="600" height="315" loading="lazy" style="max-width:100%;height:auto;border-radius:14px;border:1px solid #e5e5e5" /> </a>
Embed-Badge
Wechseln Sie zwei US-Tools, scannen Sie neu. Der Code unten zeigt dann die neue Note.
<a href="https://scan.meetergo.com/de/r/afterpay.com" target="_blank" rel="noopener" aria-label="Sovereignty Score: E – afterpay.com">
<iframe src="https://scan.meetergo.com/scan/api/badge/afterpay.com?variant=card&theme=light" width="360" height="240"
title="Sovereignty Score: E – afterpay.com" loading="lazy"
style="border:0;display:block;max-width:100%"
sandbox="allow-popups allow-popups-to-escape-sandbox"></iframe>
</a>Stattdessen
meetergo
Lite-CRM mit Kontakten, Notizen und Pipeline, direkt mit Buchungen verknüpft.
Marketing Automation · Salesforce Inc. (US)
Pardot (Salesforce Marketing Cloud Account Engagement) verarbeitet B2B-Lead-Daten in den USA.
Stattdessen
meetergo
Lite-CRM mit Kontakten, Notizen und Pipeline, direkt mit Buchungen verknüpft.
CRM · Salesforce Inc. (US)
CRM- und Marketing-Automation über Salesforce (US).DPF-Hinweis: Anbieter ist im gelistet. Drittlandtransfer ist abgedeckt, der bleibt jedoch bestehen.
Stattdessen
meetergo
Lite-CRM mit Kontakten, Notizen und Pipeline, direkt mit Buchungen verknüpft.
28Einträge
22TIAs
28DPAs
Grundlage: DSGVO Art. 28, 30, 44 ff. · EDPB-Empfehlungen 01/2020 (Schrems II).
Sortiert nach Aufwand. Zeile aufklappen für Details.
Formulare
Der 1-Klick-Import übernimmt Forms, Branching-Logik und Skip-Logic direkt aus Typeform in meetergo Smart Forms, Routing-Regeln und Lead-Felder bleiben erhalten.
Time-to-Value: Live in <1 Tag dank 1-Klick-Import
CRM / Marketing Automation
CRM-Migration via natives Export-Tool oder API; Kontakte, Deals, Properties bleiben erhalten. Aufwand entsteht durch Workflow-Rebuild.
Time-to-Value: 2–6 Wochen
CRM / Marketing Automation
CRM-Migration via natives Export-Tool oder API; Kontakte, Deals, Properties bleiben erhalten. Aufwand entsteht durch Workflow-Rebuild.
Time-to-Value: 2–6 Wochen
Marketing Automation
CRM-Migration via natives Export-Tool oder API; Kontakte, Deals, Properties bleiben erhalten. Aufwand entsteht durch Workflow-Rebuild.
Time-to-Value: 2–6 Wochen
Marketing Automation
CRM-Migration via natives Export-Tool oder API; Kontakte, Deals, Properties bleiben erhalten. Aufwand entsteht durch Workflow-Rebuild.
Time-to-Value: 2–6 Wochen
CRM
CRM-Migration via natives Export-Tool oder API; Kontakte, Deals, Properties bleiben erhalten. Aufwand entsteht durch Workflow-Rebuild.
Time-to-Value: 2–6 Wochen
Transaktions-E-Mail
API-Endpoint umbiegen, DKIM/SPF auf den neuen Sender anpassen, E-Mail-Templates portieren. DKIM-Validierung ist der pfadkritische Schritt.
Time-to-Value: 1–2 Wochen
Product Analytics
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Analytics
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Analytics
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Analytics
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Ausgehender E-Mail-Versand
API-Endpoint umbiegen, DKIM/SPF auf den neuen Sender anpassen, E-Mail-Templates portieren. DKIM-Validierung ist der pfadkritische Schritt.
Time-to-Value: 1–2 Wochen
Analytics
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Analytics
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Cookie-Banner / Consent
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Marketing-Pixel
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Analytics
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Analytics
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Transaktions-E-Mail
API-Endpoint umbiegen, DKIM/SPF auf den neuen Sender anpassen, E-Mail-Templates portieren. DKIM-Validierung ist der pfadkritische Schritt.
Time-to-Value: 1–2 Wochen
Error-Tracking
DSN-URL austauschen, SDKs bleiben kompatibel (GlitchTip ist Sentry-API-kompatibel). Alte Issues bleiben in der alten Instanz.
Time-to-Value: 3–5 Werktage
Advertising / Retargeting
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Bewertungsplattform
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Helpdesk / Live-Chat
Chat-Verläufe per Export/API ziehen (für Compliance-Archiv), Snippet austauschen, Routing/Kanäle in EU-Tool nachbauen.
Time-to-Value: 1–2 Wochen
CDN
DNS auf neuen CDN umstellen (TTL vorher senken), Cache-Regeln und WAF-Policies portieren, Origin-IPs ggf. neu verstecken.
Time-to-Value: 1–2 Wochen
DNS-Provider
Records einmalig exportieren, TTL auf 60 Sekunden senken, in EU-DNS (Hetzner DNS, deSEC, INWX) importieren, NS-Cutover beim Registrar.
Time-to-Value: 1 Werktag + 48h DNS-Propagation
Office-Suite / E-Mail
MX-Cutover mit Doppelbetrieb in der Übergangsphase; Mail-Migration via IMAP, Kalender und Drive-Files separat.
Time-to-Value: 4–8 Wochen
Zahlungen
Zahlungsabwicklung umstellen erfordert PSP-Integration, Buchhaltungs-Sync und Erstattungs-Workflow neu aufzusetzen. Bei sensiblen Branchen (Health, Public) priorisieren.
Time-to-Value: 4–8 Wochen
Zahlungen
Zahlungsabwicklung umstellen erfordert PSP-Integration, Buchhaltungs-Sync und Erstattungs-Workflow neu aufzusetzen. Bei sensiblen Branchen (Health, Public) priorisieren.
Time-to-Value: 4–8 Wochen
Schnellster Hebel: Buchung & Lead-Routing. Infrastruktur (Hosting, DNS, CDN) ist ein eigenes Projekt.
Betriebssignale
Fünf operative Signale, die jeder DNS-Auflöser oder TLS-Handshake offenlegt. Sie zeigen, wer hinter der Domain steht, auch wenn die Marke vorne etwas anderes verspricht.
Cookies, die der Server schon beim ersten Besuch setzt, bevor irgendwer auf einen Cookie-Banner geklickt hat.
Kryptografische Signatur der DNS-Antworten. Verhindert, dass Angreifer die Domain auf bösartige Server umleiten.
Verschlüsselt die Verbindung zwischen Browser und Website. Die Zertifizierungsstelle (CA) garantiert, dass die Domain dem ausgewiesenen Inhaber gehört.
Wem die IP-Adresse der Website tatsächlich gehört. Zeigt den eigentlichen Hosting-Konzern, auch wenn der Vertragspartner ein anderer ist.
Hostname, auf den die IP zurückverweist. Bei Anycast-CDNs (Cloudflare, Vercel) oft nicht gesetzt.
Eine deutsche Plattform für Buchung, Qualifizierung, Signatur und Erinnerungen, DSGVO-konform mit Servern in Frankfurt. Statt einem weiteren US-Tool zu zahlen: konsolidieren Sie zu meetergo.
Hinweis: Statt einen weiteren US-Anbieter zu integrieren, lässt sich der gesamte Termin- und Lead-Flow direkt über meetergo abbilden, DSGVO-konform aus Frankfurt.
Pro Bucket gedeckelt, low-conf Treffer halb gewichtet, EU-Anbieter werden nicht abgezogen.
Abzüge gesamt: −80 · Souveränitäts-Bonus: +0
0 Cookie(s) vor Einwilligung gesetzt.
Keine kritische Kategorie wird durch einen EU-Anbieter abgedeckt.
Der Sovereignty Scan wertet öffentlich erreichbare Signale aus (HTML der Startseite und Rechtsseiten, DNS-, MX-, SPF- und ASN-Daten) und vergleicht sie mit unserer Datenbank von ca. 3.000 Anbietern. Die Zuordnung von Tool zu Eigentümer und Jurisdiktion basiert auf öffentlichen Quellen (Impressum, Datenschutzerklärung, Wappalyzer, RIPE/ARIN-Registrierungen) und ist als Erstindikation zum Stichtag der Auswertung gedacht, nicht als rechtsverbindliche Bewertung.
Die Note A–E ist ein Risiko-Indikator, kein DSGVO-Konformitätsurteil. Für eine konkrete DSGVO-Bewertung, insbesondere für Auftragsverarbeitungsverträge (AVV/DPA), Standardvertragsklauseln (SCC) und Transfer Impact Assessments (TIA), wenden Sie sich bitte an Ihren Datenschutzbeauftragten oder eine externe Rechtsberatung. meetergo trifft keine Aussage darüber, ob ein konkreter Anbieter in einem konkreten Anwendungsfall DSGVO-konform eingesetzt werden kann.
Korrektur & Stellungnahme: Wenn Sie Domain-Inhaber, Datenschutzbeauftragter oder Pressestelle der bewerteten Domain sind und die hier gezeigten Signale nicht Ihrer aktuellen Tool-Konfiguration entsprechen, nehmen wir Korrekturen auf und passen die Anzeige nach Prüfung umgehend an.