Sovereignty Scan
Geprüfte Domain: qform.io
Wir prüfen DNS, Hosting, erkannte Tools und EU-Alternativen. Bei großen Seiten kann das beim ersten Aufruf einen Moment dauern.
Sovereignty Scan
Geprüfte Domain: qform.io
Wir prüfen DNS, Hosting, erkannte Tools und EU-Alternativen. Bei großen Seiten kann das beim ersten Aufruf einen Moment dauern.
2 von 5 erkannten Tools fallen unter (-Reichweite).
Wir zeigen die 3 einfachsten Wechsel mit passenden EU-Alternativen.
Einordnung
Über dem Durchschnitt. Wenige US-Tools, gezielt austauschbar.
Personenbezogene Daten
NiedrigKontakt-, Termin- und Kundendaten in US-Tools.
Marketing-Daten
NiedrigTracking, E-Mail-Listen, Conversion-Daten.
Infrastruktur
MittelHosting, CDN, DNS und Mail-Versand.
Die 3 größten Hebel für qform.io
Sortiert nach Wirkung pro Aufwand. Der erste Wechsel bringt typischerweise mehr als die nächsten zwei zusammen.
Analytics · Yandex N.V. (Other)
Yandex.Metrica überträgt Nutzungsdaten nach Russland, Drittlandtransfer ohne Angemessenheitsbeschluss.
Stattdessen
Mehr als ein Bußgeld
Bußgelder machen Schlagzeilen, aber selten Bilanzen. Sie treffen spät, selektiv und sind verhandelbar. Was US-Tools Sie früher kosten, ist die Summe aus verlorenen Ausschreibungen, misstrauischen Großkunden, einem laufenden Audit-Berg, der persönlichen Haftung Ihrer Geschäftsführung sowie einem Tool, das mit einer einzigen Executive Order morgen abgeschaltet werden kann.
Procurement
Bund, Länder und Konzern-Einkauf machen "EU-Hosting" und "CLOUD-Act-frei" zum K.O.-Kriterium. Ein einziges US-Tool im Stack reicht für die Disqualifikation, ohne dass Sie je in der Shortlist standen.
bis 2027
Souveränitäts-Roadmap der Bundesverwaltung (BMI, "Souveräne IT 2027")
Vertrauen & Churn
Seit Schrems II prüft jede ernstzunehmende Einkaufsabteilung die DPA-Anlage. Ein US-Logo unter "Auftragsverarbeiter" ist eine Verlängerungsverhandlung, oder ein Lost-Deal, den Sie nie als Lost-Deal sehen.
73 %
der DSGVO-bewussten B2B-Buyer prüfen Subprocessor (Gartner, 2024)
Operative Last
Jedes US-Tool zieht eine eigene Datenschutz-Folgenabschätzung, Standardvertragsklauseln und ein Transfer Impact Assessment nach sich. Bei jedem Subprocessor-Wechsel startet der Audit-Zyklus erneut, meistens unbemerkt.
8–16 h
Aufwand pro Tool und Audit-Zyklus, recurring
Geschäftsführung
§ 43 GmbHG / § 93 AktG: Wer den Stand der Technik ignoriert, haftet mit Privatvermögen, nicht mit der Firmenkasse. D&O-Versicherungen schließen DSGVO-Vorsatz und grobe Fahrlässigkeit regelmäßig aus.
Privatvermögen
der Geschäftsführung im Schadensfall (§ 43 GmbHG)
Geopolitik
CLOUD Act, OFAC-Sanktionen, ein neues Schrems-Urteil: Wenn Washington den Stecker zieht, gibt es keine Übergangsfrist. Realer Präzedenzfall: 2025 sperrte Microsoft auf US-Anweisung Konten des Internationalen Strafgerichtshofs.
0 Tage
Übergangsfrist bei US-Embargo oder Account-Sperre
Und wenn die Aufsicht doch klingelt
Aufsichten in DE prüfen langsam, aber zunehmend systematisch. Der Erwartungswert ist niedriger als die Schlagzeile, die Reichweite ist es nicht.
50.000 €
realistisches Risiko · max. 200.000 € (Art. 83 (5) DSGVO, bis zu 4 % des Jahresumsatzes)
Erkannte Tools · 5 gefunden
| Tool | Kategorie | Hosting | Eigentümer | Risiko | EU-Alternative |
|---|---|---|---|---|---|
Snowplow Analytics JS-Bundle → sp.js | Behavioral Data Platform | Selbst-gehostet oder Snowplow BDP Cloud (AWS) | Snowplow Analytics Ltd UK | Niedrig | |
Vimeo JS-Bundle → player.vimeo.com/video | Video-Hosting | AWS / Edge (Global) | Vimeo Inc. US · CLOUD Act | Mittel | |
Yandex.Metrica Skript / Iframe → mc.yandex.ru/metrika | Analytics | Yandex (RU) | Yandex N.V. Other | Hoch | |
Yandex.Metrika Skript / Iframe → mc.yandex.ru/metrika/tag.js | Analytics | Eigenes Netz, primäre Region Russland | Yandex LLC Other | Hoch | |
YouTube JS-Bundle → youtube-nocookie.com/embed/ | Video-Plattform | Google Cloud US und global | Google LLC (Alphabet Inc.) US · CLOUD Act | Hoch |
Snowplow Analytics
Behavioral Data Platform
EU-Alternative
+2Vimeo
Video-Hosting
EU-Alternative
+2Yandex.Metrika
Analytics
EU-Alternative
+2YouTube
Video-Plattform
EU-Alternative
+2Acht Seiten: juristische Einordnung pro Tool, Migrationsaufwand, priorisierte Roadmap. Direkt verwendbar im Vorstand oder beim Datenschutzbeauftragten.
Der DPO entscheidet über AV-Verträge, TIAs und Subprozessor-Freigaben. Mit einem Klick erhält er eine kompakte Zusammenfassung dieses Scans, direkt aus seinem Posteingang.
Share-Kit · für LinkedIn, X, TikTok & Co.
Eine Karte mit Logo, Note und erkannten Tools. Auf LinkedIn und X wird sie automatisch groß ausgespielt; für TikTok & Reels gibt es das passende 9:16-Format zum Download.
Vorgeschlagener Text
Habe gerade qform.io durch den Sovereignty Scan von meetergo geschickt. Ergebnis: Note B (76/100), sauber. Nur 2 von 5 Tools mit US-Bezug. War mir wichtig, das einmal schwarz auf weiß zu haben. Welche Domains in eurem Umfeld würden euch auch positiv überraschen?
Endet bewusst mit einer Frage, denn der Algorithmus mag Fragen.
Trust-Seite, Footer, RFP-Antwort. Aktualisiert sich nach jedem Re-Scan automatisch. Klick auf das Bild öffnet den vollständigen Report.
<a href="https://scan.meetergo.com/de/r/qform.io" target="_blank" rel="noopener" aria-label="qform.io: Sovereignty-Score B – meetergo Sovereignty Scan"> <img src="https://meetergo.com/scan/api/og?domain=qform.io&grade=B&score=76&tools=5&us=2&logo=qform.io&theme=light&eu=5&tools_list=Vimeo%2CYouTube" alt="qform.io: Sovereignty-Score B – meetergo Sovereignty Scan" width="600" height="315" loading="lazy" style="max-width:100%;height:auto;border-radius:14px;border:1px solid #e5e5e5" /> </a>
Embed-Badge
Trust-Seite, Footer, RFP-Antwort. Aktualisiert sich nach jedem Re-Scan automatisch.
<a href="https://scan.meetergo.com/de/r/qform.io" target="_blank" rel="noopener" aria-label="Sovereignty Score: B – qform.io">
<iframe src="https://scan.meetergo.com/scan/api/badge/qform.io?variant=card&theme=light" width="360" height="240"
title="Sovereignty Score: B – qform.io" loading="lazy"
style="border:0;display:block;max-width:100%"
sandbox="allow-popups allow-popups-to-escape-sandbox"></iframe>
</a>Matomo
Self-hosted oder EU-Cloud. 1:1-Migration aus GA4.
Analytics · Yandex LLC (Other)
Yandex.Metrika überträgt Besucher-IPs, Session-Replays und Heatmaps an Server in Russland. Keine DSGVO-Adäquanz; russisches Recht erlaubt FSB-Zugriff auf gespeicherte Datensätze.
Stattdessen
etracker
Hamburger Web-Analytics-Anbieter, voll DSGVO-konform.
Video-Plattform · Google LLC (Alphabet Inc.) (US)
YouTube ist ein Dienst von Google LLC (Mountain View, CA). Videoeinbettungen übertragen Nutzerdaten an Google in den USA; CLOUD Act gilt. Erweiterte Datenschutzmodus-Einbettung (youtube-nocookie.com) reduziert das Risiko.
Stattdessen
VIMP
Videoportal-Software aus München: On-Prem oder als EU-Cloud, ideal für interne Kommunikation.
5Einträge
2TIAs
5DPAs
Grundlage: DSGVO Art. 28, 30, 44 ff. · EDPB-Empfehlungen 01/2020 (Schrems II).
Sortiert nach Aufwand. Zeile aufklappen für Details.
Behavioral Data Platform
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Video-Hosting
meetergo ersetzt kein Video-Hosting. Quick-Win: Privacy-Embed (z.B. youtube-nocookie.com) mit Consent-Gate. Vollwechsel: EU-Video-Hosting (Vimeo EU-Region, Bunny Stream EU/Slowenien, selbst gehostetes Peertube). Embeds und Player-IDs austauschen.
Time-to-Value: 1–3 Werktage pro Plattform (Embed-Swap)
Analytics
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Analytics
Tag austauschen, Goals/Ziele neu konfigurieren, ggf. Daten via API/BigQuery für Vergleichsperiode exportieren.
Time-to-Value: 1–2 Wochen
Video-Plattform
meetergo ersetzt kein Video-Hosting. Quick-Win: Privacy-Embed (z.B. youtube-nocookie.com) mit Consent-Gate. Vollwechsel: EU-Video-Hosting (Vimeo EU-Region, Bunny Stream EU/Slowenien, selbst gehostetes Peertube). Embeds und Player-IDs austauschen.
Time-to-Value: 1–3 Werktage pro Plattform (Embed-Swap)
Schnellster Hebel: Buchung & Lead-Routing. Infrastruktur (Hosting, DNS, CDN) ist ein eigenes Projekt.
Betriebssignale
Fünf operative Signale, die jeder DNS-Auflöser oder TLS-Handshake offenlegt. Sie zeigen, wer hinter der Domain steht, auch wenn die Marke vorne etwas anderes verspricht.
Cookies, die der Server schon beim ersten Besuch setzt, bevor irgendwer auf einen Cookie-Banner geklickt hat.
Kryptografische Signatur der DNS-Antworten. Verhindert, dass Angreifer die Domain auf bösartige Server umleiten.
Verschlüsselt die Verbindung zwischen Browser und Website. Die Zertifizierungsstelle (CA) garantiert, dass die Domain dem ausgewiesenen Inhaber gehört.
Wem die IP-Adresse der Website tatsächlich gehört. Zeigt den eigentlichen Hosting-Konzern, auch wenn der Vertragspartner ein anderer ist.
Hostname, auf den die IP zurückverweist. Verrät häufig den tatsächlichen Hosting-Anbieter, auch wenn die Marke vorne ein anderer Name ist.
Pro Bucket gedeckelt, low-conf Treffer halb gewichtet, EU-Anbieter werden nicht abgezogen.
Abzüge gesamt: −23.9 · Souveränitäts-Bonus: +0
Keine kritischen Anbieter in dieser Kategorie erkannt.
0 Cookie(s) vor Einwilligung gesetzt.
Keine kritische Kategorie wird durch einen EU-Anbieter abgedeckt.
Der Sovereignty Scan wertet öffentlich erreichbare Signale aus (HTML der Startseite und Rechtsseiten, DNS-, MX-, SPF- und ASN-Daten) und vergleicht sie mit unserer Datenbank von ca. 3.000 Anbietern. Die Zuordnung von Tool zu Eigentümer und Jurisdiktion basiert auf öffentlichen Quellen (Impressum, Datenschutzerklärung, Wappalyzer, RIPE/ARIN-Registrierungen) und ist als Erstindikation zum Stichtag der Auswertung gedacht, nicht als rechtsverbindliche Bewertung.
Die Note A–E ist ein Risiko-Indikator, kein DSGVO-Konformitätsurteil. Für eine konkrete DSGVO-Bewertung, insbesondere für Auftragsverarbeitungsverträge (AVV/DPA), Standardvertragsklauseln (SCC) und Transfer Impact Assessments (TIA), wenden Sie sich bitte an Ihren Datenschutzbeauftragten oder eine externe Rechtsberatung. meetergo trifft keine Aussage darüber, ob ein konkreter Anbieter in einem konkreten Anwendungsfall DSGVO-konform eingesetzt werden kann.
Korrektur & Stellungnahme: Wenn Sie Domain-Inhaber, Datenschutzbeauftragter oder Pressestelle der bewerteten Domain sind und die hier gezeigten Signale nicht Ihrer aktuellen Tool-Konfiguration entsprechen, nehmen wir Korrekturen auf und passen die Anzeige nach Prüfung umgehend an.