Behörden & Öffentliche Hand 8 Min. Lesezeit von Knapp. Team

URL Shortener für Behörden: DSGVO, BSI-Grundschutz & öffentliche Hand

URL Shortener für Behörden und öffentliche Stellen: DSGVO-konform, EU-Hosting, BSI-Grundschutz-kompatibel, AVV und SSO. Die richtige Lösung für Kommunen und Verwaltungen.

Behörden kommunizieren zunehmend digital: QR-Codes auf Formularen und Bescheiden, Kurzlinks in Pressemitteilungen, Short-URLs auf Informationsplakaten in Ämtern. Gleichzeitig gelten für öffentliche Stellen besonders strenge Anforderungen an Datenschutz, IT-Sicherheit und Transparenz.

Viele Behörden greifen mangels bekannter Alternativen auf Bitly oder ähnliche US-Dienste zurück – und riskieren dabei DSGVO-Verstöße, die in Prüfungen durch Datenschutzbehörden zunehmend auffallen.

Dieser Artikel zeigt, welche Anforderungen URL-Shortener für öffentliche Stellen erfüllen müssen und welche Lösung für Behörden in DACH geeignet ist.

Warum Behörden besondere Anforderungen haben

DSGVO für öffentliche Stellen

Behörden sind nicht nur von der DSGVO erfasst – sie stehen unter erhöhter Beobachtung. Datenschutzbehörden (DSB in Österreich, BfDI in Deutschland, EDÖB in der Schweiz) prüfen öffentliche Stellen intensiver als private Unternehmen.

Konkret für URL-Shortener: Wenn ein Bürger auf einen Kurzlink in einem amtlichen Schreiben klickt, verarbeitet der Shortener-Dienst seine IP-Adresse. Das ist eine Datenverarbeitung durch die Behörde – mit Pflichten:

  • Rechtsgrundlage nach DSGVO Art. 6 (öffentliche Aufgabe, Art. 6(1)(e))
  • Auftragsverarbeitungsvertrag nach Art. 28 mit dem Shortener-Anbieter
  • EU-Hosting: Drittlandübermittlungen (USA) sind für öffentliche Stellen besonders riskant
  • Dokumentation im Verarbeitungsverzeichnis

Informationssicherheit: BSI IT-Grundschutz (Deutschland)

Behörden in Deutschland, die nach BSI IT-Grundschutz zertifiziert sind oder arbeiten, müssen Cloud-Dienste nach OPS.2.2 (Cloud-Nutzung) bewerten. Relevante Anforderungen:

  • Serverstandort dokumentiert (bevorzugt EU)
  • Auftragsverarbeitungsvertrag vorhanden
  • Sicherheitszertifizierung des Anbieters (ISO 27001 o.ä.)
  • Notfallplan bei Ausfall des Dienstes

IT-Sicherheitsgesetz (Deutschland)

Behörden, die kritische Infrastruktur betreiben, unterliegen dem BSI-Gesetz und müssen verwendete IT-Dienste auf Sicherheitsniveau prüfen. US-Dienste ohne EU-Datenspeicherung scheiden oft aus.

Österreich: Datenschutzbehörde und NIS2

In Österreich hat die DSB in mehreren Verfahren EU-fremde Cloud-Dienste öffentlicher Stellen beanstandet. NIS2-Pflichten treffen zunehmend auch Kommunalverwaltungen. EU-Hosting ist hier die sicherste Basis.

Anforderungs-Checkliste für Behörden

Bevor eine Behörde einen URL-Shortener einführt, sollten folgende Punkte geprüft werden:

Datenschutz

  • [ ] Serverstandort EU (nachweisbar, kein US-Failover)
  • [ ] IP-Anonymisierung dokumentiert
  • [ ] AVV (Auftragsverarbeitungsvertrag) nach DSGVO Art. 28 verfügbar
  • [ ] Keine Drittanbieter-Tracker in der Infrastruktur
  • [ ] Datenschutzerklärung des Anbieters aktuell und transparent

IT-Sicherheit

  • [ ] Sicherheitszertifizierung des Anbieters (ISO 27001 oder gleichwertig)
  • [ ] SLA mit definierten Verfügbarkeitsgarantien
  • [ ] Notfallkontakt und Incident-Response-Prozess
  • [ ] SSO/SAML-Unterstützung für Integration in Behörden-IDM

Betrieb

  • [ ] Eigene Short-Domain möglich (nicht anbietergebundene Subdomain)
  • [ ] Rollenzugangsverwaltung (mehrere Bearbeiter, granulare Rechte)
  • [ ] Audit-Log (wer hat welchen Link wann erstellt/geändert?)
  • [ ] Export aller Daten (Link-Liste, Analytics) für Archivierungspflichten

Compliance-Dokumentation

  • [ ] AVV unterschrieben und archiviert
  • [ ] Eintrag im Verarbeitungsverzeichnis möglich
  • [ ] Anbieter im Register der Unterauftragsverarbeiter dokumentiert

Anwendungsfälle für Behörden

Bürger-Kommunikation

Bescheide und Schreiben: QR-Codes auf amtlichen Dokumenten, die auf aktuelle Formulare, Erklärungsvideos oder Weiterführungsmaterial verweisen. Dynamische Codes erlauben Updates ohne Neudruck.

Infoplakate in Ämtern: Wartezimmer, Eingangsbereich, Schwarzes Brett. QR-Codes mit aktuellen Hinweisen auf Öffnungszeiten, Formulare, Informationsveranstaltungen.

Pressemitteilungen: Kurze, professionelle Links statt langer URLs mit Parametern. stadt.at/pm-mai26 statt www.stadtname.at/presse/2026/05/pressemitteilung-zum-thema-xyz-buergerinformation.

Interne Kommunikation

Intranet-Links: Kurzlinks für häufig genutzte interne Ressourcen (SharePoint-Dokumente, HR-Systeme, Formulare). Einfacher zu merken und weiterzugeben.

Interne QR-Codes: Gerätemarkierungen, Raumschilder, Inventar-QR-Codes.

Veranstaltungen und Öffentlichkeitsarbeit

Events und Informationsveranstaltungen: QR-Codes auf Einladungen und Plakaten, die auf aktuelle Informationen, Anmeldeformulare oder Präsentationsmaterial verweisen.

Social Media: Kurzlinks für Beiträge auf kommunalen Social-Media-Kanälen. Mit Tracking: Welche Beiträge führen zu Klicks auf welche Ressourcen?

Knapp. für öffentliche Stellen

Warum Knapp.?

EU-Hosting: Serverstandort Österreich (EU). Keine Daten fließen in Drittländer. Für DSB-Prüfungen dokumentierbar.

IP-Anonymisierung: Roh-IPs werden niemals auf Disk gespeichert. Standard-DSGVO-Konformität für Tracking-Daten.

AVV inklusive: Im Pro- und Agentur-Plan ist der AVV nach DSGVO Art. 28 standardmäßig enthalten. Kein separater Verhandlungsprozess.

SSO/SAML: Für Behörden mit Active Directory oder anderen SAML-Identity-Providern ist Single Sign-On im Agentur-Plan verfügbar. Kein separates Passwort-Management.

Eigene Domain: Jede Behörde kann eine eigene Short-Domain betreiben, z. B. info.stadtname.at oder qr.landkreis.de. Links sind dauerhaft unter behördlicher Kontrolle – nicht anbietergebunden.

Audit-Log: Jede Änderung (Link erstellt, geändert, gelöscht) wird protokolliert. Relevant für Archivierungspflichten.

Rechtliche Einordnung: Art der Datenverarbeitung

Wenn eine Behörde einen URL-Shortener mit Tracking einsetzt, liegt folgende Konstellation vor:

Rechtsgrundlage: DSGVO Art. 6(1)(e) – Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse.

Zweck: Messung der Nutzung digitaler Bürgerinformationen zur Verbesserung des Angebots.

Dauer: Aggregierte Statistiken können unbegrenzt aufbewahrt werden; bei IP-gehashten Daten für Deduplizierung: max. 24 Stunden per Knapp.-Standard.

Dokumentation im Verarbeitungsverzeichnis (Art. 30):

Bezeichnung: Web-Analyse Kurzlinks
Zweck: Nutzungsstatistik digitaler Informationsangebote
Rechtsgrundlage: Art. 6(1)(e) DSGVO
Kategorien Betroffener: Bürgerinnen und Bürger
Kategorien Daten: Land, Gerät, Zeitpunkt (anonymisiert)
Übermittlungen Drittland: Keine
Auftragsverarbeiter: Knapp. GmbH (AT), AVV v. [Datum]
Löschfristen: Aggregiert unbegrenzt; IP-Hash: 24h

Kein US-Dienst für amtliche Kommunikation

Ein Grundsatz, der in DACH zunehmend Konsens wird: Öffentliche Stellen sollten für die Verarbeitung von Bürgerdaten keine US-Dienste einsetzen, wenn EU-Alternativen verfügbar sind.

Das EU-US Data Privacy Framework bietet eine juristische Grundlage für US-Dienste – aber es ist politisch angreifbar. Ein neues EuGH-Urteil, ein geändertes US-Gesetz, oder ein Rückzug der USA aus dem Abkommen können die Grundlage über Nacht entziehen. Behörden, die dann auf US-Dienste aufgebaut haben, stehen vor einem sofortigen Compliance-Problem.

Mit EU-gehosteten Diensten entfällt dieses Risiko vollständig.

Preise für öffentliche Stellen

Pro-Plan (9€/Monat)

Geeignet für: Kleinere Gemeinden, Abteilungen mit begrenztem Bedarf

  • Unbegrenzte Links und QR-Codes
  • 1 eigene Short-Domain
  • Vollständige Analytics
  • API-Zugang
  • AVV inklusive

Agentur-Plan (39€/Monat)

Geeignet für: Größere Gemeinden, Landkreise, Ministerien mit mehreren Abteilungen

  • Unbegrenzte Links und QR-Codes
  • 25 eigene Short-Domains
  • Mandantenverwaltung (Abteilungen als separate Arbeitsbereiche)
  • SSO/SAML
  • SLA
  • AVV inklusive
  • Audit-Log

Für Behörden mit spezifischen Anforderungen (individuelle Laufzeiten, Rahmenvertragsausschreibung, Sicherheitsdokumentation für BSI-Zertifizierung) nehmt Kontakt auf – wir begleiten euch durch den Beschaffungsprozess.

Praktisches Beispiel: Gemeinde X führt QR-Codes ein

Ausgangslage: Gemeinde X (8.000 Einwohner) will QR-Codes auf Veranstaltungsplakaten, Bescheiden und dem Gemeindeblatt einführen. Bisher keine Lösung, IT-Abteilung schätzt US-Dienste als problematisch ein.

Entscheidung: Knapp. Pro-Plan, eigene Domain info.gemeinde-x.at.

Umsetzung:

  1. Domain info.gemeinde-x.at beim Domain-Provider registrieren (ca. 10 Min.)
  2. CNAME auf Knapp. setzen (5 Min., 15 Min. Propagation)
  3. Knapp. Pro-Plan buchen, AVV unterzeichnen (5 Min.)
  4. Drei Nutzer anlegen: Bürgermeister, Gemeindesekretärin, IT (5 Min.)
  5. Erste QR-Codes erstellen und Druck-Test durchführen (10 Min. pro Code)

Ergebnis: Nach ca. 1 Stunde Einrichtungsaufwand hat die Gemeinde eine vollständige, DSGVO-konforme Short-URL- und QR-Code-Infrastruktur unter eigener Domain – für 9€/Monat.

Fazit

URL-Shortener für Behörden sind kein Luxus, sondern professionelles Handwerk für die digitale Bürgerinformation. Die Anforderungen an EU-Hosting, AVV, IP-Anonymisierung und SSO sind real und prüfungsrelevant – aber mit der richtigen Lösung ohne großen Aufwand erfüllbar.

Knapp. wurde für den DACH-Markt entwickelt, ist in Österreich gehostet und erfüllt die DSGVO-Anforderungen öffentlicher Stellen ohne Enterprise-Aufwand.

Jetzt kostenlos mit Knapp. starten – DSGVO-konformer URL-Shortener mit EU-Hosting, AVV und eigener Domain – auch für Behörden und öffentliche Stellen.