Session-Replay & Heatmaps: DSGVO-Bewertung & EU-Alternativen

Im Sovereignty Scan listen wir aktuell 3 EU-/EWR-Anbieter und 0 Anbieter aus UK/Schweiz im Bereich session-replay & heatmaps. EU-Anbieter unterliegen direkt der DSGVO ohne Drittlandtransfer; UK und Schweiz haben Angemessenheitsbeschlüsse der EU-Kommission. Jede Empfehlung enthält Hosting-Region, Eigentümer-Kette und einen kurzen Migrations-Plan.

Nicht automatisch. US-Anbieter unterliegen jedoch dem CLOUD Act und FISA 702. Staatlicher Zugriff bleibt rechtlich möglich, auch bei EU-Hosting. Für jeden der 6 US-Anbieter in dieser Kategorie braucht es nach Schrems II Standardvertragsklauseln plus ein Transfer Impact Assessment. Das EU-US Data Privacy Framework (DPF) erleichtert den Transfer, hebt CLOUD Act aber nicht auf.

Drei Kriterien zählen: (1) Sitz und Konzernmutter des Anbieters, (2) Hosting-Region (idealerweise EU/EWR) und (3) Subprozessor-Liste. Viele EU-Anbieter setzen für E-Mail-Versand oder Hosting US-Subprozessoren ein und sind dann doch CLOUD-Act-exponiert. Auf jedem Anbieter-Profil in dieser Kategorie finden Sie diese drei Punkte plus eine Migrations-Schätzung in Werktagen.

Die „EU-Region“ eines US-Anbieters (z. B. AWS Frankfurt, Salesforce EU) liegt physisch in der EU, gehört aber einem US-Konzern und damit unter US-Recht. Eine echte EU-Alternative hat juristischen Sitz und Konzernmutter in der EU, EU-Hosting und keine US-Subprozessoren in der Vertragskette. Nur die zweite Variante schließt den CLOUD Act aus.