Datenschutz & Recht 8 Min. Lesezeit von Knapp. Team

DSGVO-konformer URL Shortener: Was du wissen musst

DSGVO-konformer URL Shortener: Welche Pflichten du hast, welche Anbieter sicher sind und was dich im Ernstfall schützt. Der vollständige Leitfaden für DACH-Unternehmen.

Du kürzt Links für dein Unternehmen – auf Flyern, in Newslettern, auf Social Media. Klingt harmlos. Ist es aber nicht zwingend: Jeder Klick auf deinen Kurzlink ist technisch gesehen eine Datenverarbeitung. Und je nachdem welchen Anbieter du verwendest, könnte diese Verarbeitung gegen die DSGVO verstoßen – mit dir als Verantwortlichem.

Dieser Artikel erklärt, wann ein URL-Shortener DSGVO-relevant wird, was die Anforderungen sind, welche Anbieter das Problem lösen und wie du dich absicherst.

Warum ist ein URL-Shortener DSGVO-relevant?

Ein URL-Shortener tut mehr als nur weiterleiten. In dem Moment, in dem jemand auf deinen Kurzlink klickt, werden (je nach Anbieter) folgende Daten verarbeitet:

  • IP-Adresse des Klickenden – personenbezogenes Datum nach DSGVO Art. 4
  • User-Agent (Browser, Betriebssystem, Gerätetyp)
  • Referer (von welcher Seite der Nutzer kam)
  • Zeitstempel des Klicks
  • Geografischer Standort (aus der IP)

Wenn diese Daten auf Servern außerhalb der EU – etwa in den USA – gespeichert werden, greift Kapitel V der DSGVO über Drittlandübermittlungen. Und das ohne explizite Einwilligung des Klickenden.

Das Schrems-II-Problem

Seit dem EuGH-Urteil „Schrems II" (2020) ist der Datentransfer in die USA ohne ausreichende Schutzmaßnahmen grundsätzlich unzulässig. Das EU-US Data Privacy Framework (2023) hat für teilnehmende US-Unternehmen Erleichterungen gebracht – aber es bleibt ein regulatorisches Risiko, das EU-Datenschutzbehörden (DSB) genau beobachten.

Konkret: Wenn du Bitly, TinyURL oder Short.io einsetzt und diese Dienste Klickdaten von EU-Nutzern in die USA übertragen, bist du als Betreiber dafür verantwortlich.

Was macht einen URL-Shortener DSGVO-konform?

1. EU-Hosting – keine Drittlandübermittlung

Der einfachste und sicherste Weg: Die Daten verlassen die EU nie. Wenn der Shortener-Server in Österreich, Deutschland oder einem anderen EU-Mitgliedstaat steht, entfällt das Drittland-Problem komplett.

Prüffrage: Wo stehen die Server? Antworten wie "Cloudflare Edge" oder "AWS us-east-1" sind kein EU-Hosting.

2. IP-Anonymisierung statt Volldatenspeicherung

Selbst mit EU-Hosting gilt: IP-Adressen sind personenbezogene Daten und dürfen nicht ohne Rechtsgrundlage dauerhaft gespeichert werden. DSGVO-konforme Shortener anonymisieren die IP-Adresse vor der Speicherung – typischerweise auf Länderebene.

Das Verfahren bei kuerze.at: Aus der IP wird per GeoIP das Land ermittelt. Dann wird ein HMAC-SHA256-Hash der IP für die Deduplizierung (Verhinderung von Doppelzählungen) erstellt und nach 24 Stunden gelöscht. Die Roh-IP wird nie auf Disk gespeichert.

Prüffrage: Speichert der Anbieter Roh-IP-Adressen? Wenn ja: wie lang?

3. Keine Drittanbieter-Tracker auf Redirect-Seiten

Manche Shortener-Dienste verdienen an Werbeeinnahmen – und schalten dafür Skripte von Meta, Google oder ähnlichen Diensten auf ihren Weiterleitungsseiten. Jede Person, die auf deinen Link klickt, wird damit ungefragt von US-Konzernen getrackt.

Das ist ohne Cookie-Banner und Einwilligung nicht rechtmäßig – und du hast als Linkersteller kaum Einfluss darauf, kannst aber haftbar gemacht werden.

Prüffrage: Werden auf der Redirect-Seite Drittanbieter-Skripte geladen?

4. AVV (Auftragsverarbeitungsvertrag)

Wenn du einen URL-Shortener geschäftlich einsetzt, verarbeitest du im Auftrag möglicherweise auch Kundendaten (Nutzer, die auf deine Links klicken). Der Anbieter ist dann dein Auftragsverarbeiter – und du benötigst mit ihm einen Auftragsverarbeitungsvertrag (AVV) gemäß DSGVO Art. 28.

Ohne AVV darfst du den Dienst für geschäftliche Zwecke streng genommen nicht nutzen.

Prüffrage: Stellt der Anbieter einen AVV bereit? Ist er DACH-rechtlich sauber formuliert?

Die häufigsten DSGVO-Fehler mit URL-Shortenern

Fehler 1: Bitly für Unternehmens-Links nutzen

Bitly ist US-gehostet, bietet keinen kostenfreien AVV, und speichert Klickdaten inkl. IP auf US-Servern. Für Unternehmen in der EU ist das ohne explizite Rechtsgrundlage und AVV ein Compliance-Risiko.

Tatsächlich haben mehrere europäische Datenschutzbehörden (u.a. die österreichische DSB, die bayerische Aufsichtsbehörde) Google Analytics-ähnliche US-Dienste für unzulässig erklärt – dieselbe Logik gilt für US-Shortener mit Tracking-Funktionen.

Fehler 2: Shortener ohne AVV in Newsletter-Kampagnen einsetzen

In einem Newsletter klicken oft Tausende Abonnenten auf deine Links. Jeder Klick ist eine Datenverarbeitung durch den Shortener-Anbieter. Ohne AVV ist das eine unrechtmäßige Weitergabe von Nutzerdaten an Dritte.

Fehler 3: Keine Dokumentation im Verzeichnis der Verarbeitungstätigkeiten

DSGVO Art. 30 verpflichtet Unternehmen (ab 250 MA oder bei regelmäßiger Datenweitergabe), ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Der eingesetzte URL-Shortener gehört dort rein – inkl. Rechtsgrundlage, Zweck und Empfänger (Auftragsverarbeiter).

Fehler 4: Erwähnung in der Datenschutzerklärung vergessen

Wenn du auf deiner Website oder in Newslettern Kurzlinks verwendest, muss der eingesetzte Shortener-Dienst in deiner Datenschutzerklärung erwähnt werden – inkl. Angaben zum Anbieter, Server-Standort und Verarbeitungszweck.

DSGVO-Check: Die wichtigsten Anbieter im Überblick

| Anbieter | EU-Hosting | IP-Anonymisierung | AVV verfügbar | Drittanbieter-Tracker | |---|---|---|---|---| | kuerze.at | ✅ Österreich | ✅ Land-Ebene, Hash 24h | ✅ Pro-Plan | ❌ Keine | | Bitly | ❌ USA | ❌ Vollständig gespeichert | ⚠️ Custom (teuer) | ⚠️ Ja | | TinyURL | ❌ USA | ❌ Unbekannt | ❌ Nicht verfügbar | ⚠️ Ja | | Rebrandly | ⚠️ US/EU-Option | ⚠️ Teilweise | ⚠️ Enterprise | ⚠️ Ja | | Short.io | ❌ USA (Cloudflare) | ❌ Unbekannt | ⚠️ Business-Plan | ⚠️ Ja |

Stand: April 2026. Rechtliche Einschätzung ersetzt keine individuelle Rechtsberatung.

So setzt du kuerze.at DSGVO-konform ein

Schritt 1: Konto erstellen

Registriere dich auf kuerze.at/registrieren. Alle Daten werden ausschließlich auf Servern in Österreich verarbeitet.

Schritt 2: AVV abschließen (für Pro- und Agentur-Kunden)

Im Pro-Tarif (9 €/Monat) ist der AVV automatisch im Abo enthalten. Für Unternehmenskunden zum Download verfügbar im Account-Bereich unter Einstellungen → Datenschutz → Auftragsverarbeitungsvertrag.

Schritt 3: Datenschutzerklärung aktualisieren

Füge in deine Datenschutzerklärung folgenden Abschnitt ein (als Mustertext, rechtliche Anpassung empfohlen):

Wir verwenden für die Erstellung von Kurzlinks den Dienst kuerze.at (kuerze.at Betreiber-GmbH, Wien, Österreich). Bei Klicks auf Kurzlinks werden folgende Daten auf österreichischen Servern anonymisiert erfasst: Zeitpunkt des Klicks, Herkunftsland (aus anonymisierter IP), Gerätekategorie. IP-Adressen werden nicht gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kampagnenauswertung). Es besteht ein AVV gemäß Art. 28 DSGVO.

Schritt 4: Verzeichnis der Verarbeitungstätigkeiten ergänzen

Trag kuerze.at als Auftragsverarbeiter in dein VVT ein:

  • Zweck: Erstellung und Auswertung von Kurzlinks im Marketing
  • Empfänger: kuerze.at (Österreich) als Auftragsverarbeiter
  • Drittlandübermittlung: Keine
  • Löschfrist: 12 Monate (Klick-Aggregat), 24 Stunden (Deduplizierungs-Hash)

Häufig gestellte Fragen (FAQ)

Brauche ich für URL-Shortener-Klicks einen Cookie-Banner?

Das kommt auf den Anbieter an. Klassische Cookies braucht kuerze.at nicht, da die Analytics ohne Client-Side-Tracking laufen (kein JavaScript auf der Redirect-Seite, keine Cookies). Damit entfällt die Einwilligungspflicht nach ePrivacy. Wenn du jedoch eigene Tracking-Pixel (Matomo, Plausible) am Ziellink einbindest, gelten dort die üblichen Regeln.

Gilt das auch für QR-Codes?

Ja. Ein QR-Code ist technisch gesehen nur eine andere Darstellung des Kurzlinks. Die Klickdaten-Verarbeitung ist identisch.

Was passiert bei einem DSGVO-Verstoß?

Bußgelder durch die zuständige Datenschutzbehörde (in Österreich: DSB, in Deutschland: die jeweiligen Landes-DPAs). Für kleinere Verstöße üblicherweise Verwarnung + Nachbesserungsfrist; bei schwerwiegenden oder wiederholten Verstößen sind Geldbußen bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes möglich.

Ist der kostenlose Plan von kuerze.at bereits DSGVO-konform?

Ja. Die technische Architektur (EU-Hosting, IP-Anonymisierung, keine Drittanbieter-Tracker) ist auch im kostenlosen Plan vollständig DSGVO-konform. Den AVV-Vertrag gibt es ab dem Pro-Plan.

Fazit: DSGVO und URL-Shortener – auf den Anbieter kommt es an

Der Einsatz eines URL-Shorteners ist für sich genommen nicht problematisch. Was zählt, ist wo und wie die Klickdaten verarbeitet werden. Wer im DACH-Raum tätig ist, sollte auf:

  1. EU-Hosting (keine Drittlandübermittlung)
  2. IP-Anonymisierung (kein Roh-IP-Speichern)
  3. Keinen Drittanbieter-Tracker auf Redirect-Seiten
  4. AVV-Möglichkeit für den geschäftlichen Einsatz

kuerze.at erfüllt alle vier Kriterien – und bietet dabei einen vollständig kostenlosen Tarif an, der für den Start ausreicht.

Jetzt DSGVO-konform starten: kuerze.at/registrieren

Dieser Artikel stellt keine Rechtsberatung dar. Für eine verbindliche rechtliche Einschätzung wende dich an einen auf DSGVO spezialisierten Anwalt oder daten­schutz­rechtlichen Berater.

Zuletzt aktualisiert: April 2026.