DE
Produkt einreichen
Aufnahmekriterien

Drei Regeln. Keine Ausnahmen.

Jedes Produkt auf eubuilt.eu erfüllt alle drei nachstehenden Kriterien — manuell, von Hand, alle sechs Monate geprüft. Wir biegen die Regeln weder für bezahlte Platzierungen noch für große Namen oder aus Bequemlichkeit. Das ist die Messlatte.

01 / EU-Hauptsitz

Rechtlicher Hauptsitz in einem EU-Mitgliedstaat

Der offizielle juristische Hauptsitz des Unternehmens ist in einem der 27 EU-Mitgliedstaaten eingetragen. Die Schweiz und reine EWR-Länder sind ausgeschlossen.

Ausführlich lesen
02 / EU-Jurisdiktion

Operiert ausschließlich nach EU-Recht

Das Unternehmen unterliegt keiner kollidierenden ausländischen Gesetzgebung — insbesondere nicht dem US CLOUD Act und vergleichbaren extraterritorialen Befugnissen.

Ausführlich lesen
03 / DSGVO-konform

Nachweisbare, dokumentierte Konformität

Veröffentlichte Datenschutzerklärung, verfügbarer AVV, nachweisliche Verarbeitung im Einklang mit der DSGVO — mit Transparenz über Subunternehmer.

Ausführlich lesen
01 EU-Hauptsitz

Der juristische Hauptsitz des Unternehmens muss in einem EU-Mitgliedstaat liegen.

Nicht die Marketingaussage, nicht die operative Präsenz — die tatsächliche juristische Person, eingetragen in einem öffentlichen Unternehmensregister in einem der 27 EU-Mitgliedstaaten. Wir prüfen anhand des Impressums, der Allgemeinen Geschäftsbedingungen und des zuständigen nationalen Registers (z. B. Handelsregister, Registre du Commerce, Registry of Estonian Businesses).

Diese Regel existiert, weil „ein europäisches Unternehmen" eine der am stärksten gedehnten Marketingaussagen in der Tech-Branche ist. Eine US-C-Corp mit einem Berliner Büro ist kein EU-Unternehmen. Eine Cayman-Holding mit einer Tochter in Tallinn ist kein EU-Unternehmen. Die juristische Person, die den Kundenvertrag unterzeichnet — und die rechtlich nach EU-Recht haftet — ist diejenige, die wir listen.

Wir akzeptieren

  • GmbH, SARL, BV, OÜ, S.A., S.r.l. und gleichwertige EU-Rechtsformen, eingetragen in einem der 27 Mitgliedstaaten
  • Unternehmen mit EU-Hauptsitz, die Niederlassungen außerhalb der EU haben (ein Pariser Hauptsitz mit einem Vertriebsbüro in NYC ist in Ordnung)
  • Ursprünglich außerhalb der EU gegründete Unternehmen, die ihren Hauptsitz und steuerlichen Sitz tatsächlich verlagert haben
  • Open-Source-Projekte mit einer eindeutig in der EU eingetragenen kommerziellen Trägerorganisation

× Wir lehnen ab

  • Unternehmen, die in der Schweiz, dem Vereinigten Königreich, Norwegen, Island oder Liechtenstein eingetragen sind — diese sind keine EU-Mitgliedstaaten
  • EU-Töchter von US-, chinesischen oder britischen Mutterunternehmen (das Recht des Mutterunternehmens gilt unter den meisten Verträgen)
  • „EU-freundliche" Unternehmen, deren tatsächlicher Hauptsitz in Delaware, den Caymans oder Singapur liegt
  • Open-Source-Projekte ohne kommerzielle juristische Person (wir listen das Unternehmen, nicht das Projekt)
Sonderfall

Schweiz: wegen ihres starken Datenschutzregimes oft als „EU-äquivalent" wahrgenommen. Die Schweiz ist jedoch weder in der EU noch im EWR, und Schweizer Unternehmen unterliegen weiterhin Schweizer Recht — einschließlich nationaler Sicherheits- und nachrichtendienstlicher Kooperationsvereinbarungen, die für EU-Unternehmen nicht gelten. Möglicherweise ergänzen wir in einer späteren Phase eine separate „EWR & Angemessenheit"-Stufe, aber die Schweiz wird niemals mit dem zentralen EU-Eintrag vermischt.

02 EU-Jurisdiktion

Das Unternehmen muss ausschließlich unter EU-Recht operieren.

Ein EU-Hauptsitz ist notwendig, aber nicht ausreichend. Wir prüfen außerdem, ob das Unternehmen nicht strukturell Nicht-EU-Recht ausgesetzt ist — insbesondere dem US CLOUD Act, der US-Behörden ermöglicht, US-Unternehmen (und viele ihrer ausländischen Töchter) zur Herausgabe von Daten zu zwingen, selbst wenn diese auf EU-Servern liegen.

Für einen Käufer in einer regulierten Branche bedeutet „die Daten liegen in der EU" sehr wenig, wenn das Mutterunternehmen nach US-Recht verpflichtet ist, sie auf Anfrage herauszugeben. Wir behandeln das als strukturellen Ausschlussgrund — nicht als Beruhigung.

Was wir prüfen

Für jeden Eintrag umfasst die Prüfung:

Erforderlich

  • Eigentümerstruktur: kein beherrschendes US-, britisches oder chinesisches Mutterunternehmen
  • Keine Betriebsvereinbarung, die das EU-Unternehmen dem Compliance-Regime einer Nicht-EU-Mutter unterordnet
  • Öffentliche Erklärung (in der Datenschutzerklärung oder im AVV), dass das Unternehmen nicht dem US CLOUD Act oder Vergleichbarem unterliegt
  • Ausschließlich EU-Governance: Geschäftsführer und leitende Organe operieren unter EU-Jurisdiktion

× Ausschlussgründe

  • EU-Tochter eines in den USA hauptsitzenden Unternehmens (CLOUD Act gilt über das Mutterunternehmen)
  • Kürzlich von einem Nicht-EU-Käufer übernommen — wir markieren als veraltet innerhalb von 90 Tagen nach Abschluss
  • Joint Venture, bei dem der Nicht-EU-Partner Datenzugriffsrechte besitzt
  • Einsatz von US-Subunternehmern für Produktionsdaten ohne gültigen Übermittlungsmechanismus nach Artikel 46
Zu Microsoft Sovereign / AWS European Sovereign Cloud

Die „Sovereign Cloud"-Angebote der US-Hyperscaler erfüllen unsere Kriterien nicht. Die juristische Person, die den Dienst erbringt, unterliegt unabhängig von der operativen Datenisolation weiterhin dem CLOUD Act. EU-Datenresidenz ist nicht gleich EU-Jurisdiktion. Unsere vollständige Position lesen →

03 DSGVO-konform

Dokumentierte und nachweisbare DSGVO-Konformität.

Jedes EU-Unternehmen unterliegt formal der DSGVO — aber das ist eine viel schwächere Aussage als die Erfüllung des Standards, den ein Beschaffungsteam oder Datenschutzbeauftragter tatsächlich braucht. Wir verlangen für jeden Eintrag drei konkrete Artefakte.

Die drei Artefakte, die wir prüfen

Veröffentlichte Datenschutzerklärung

Ohne Authentifizierung verfügbar; benennt den Verantwortlichen, die Rechtsgrundlage, Aufbewahrungsfristen und EU-Vertreter.

Verfügbarer Auftragsverarbeitungsvertrag (AVV)

Entweder im Kundenkonto vorab unterzeichnet oder auf Anfrage innerhalb von 5 Werktagen verfügbar. Konform mit Artikel 28.

Liste der Subunternehmer

Öffentliche Liste aller Subunternehmer mit Standort, Rolle und Datenkategorien. Aktualisierungen werden den Kunden mitgeteilt.

Angegebene Datenresidenz

Bonus, nicht zwingend erforderlich: ausdrückliche Zusage zur ausschließlichen EU-Speicherung. Die meisten Produkte, die unsere übrigen Kriterien erfüllen, bieten dies ohnehin.

„DSGVO-Badge"-Unternehmen

Eine erstaunlich große Zahl von Produkten bewirbt sich als „DSGVO-konform", ohne tatsächlich einen AVV, eine Subunternehmer-Liste oder eine Datenschutzerklärung mit Nennung des Verantwortlichen anzubieten. Diese listen wir nicht. Marketingaussagen sind kein Nachweis.

04 Prüfprozess

Wie wir einen Eintrag tatsächlich prüfen.

Für jeden Eintrag wird derselbe vierstufige Prozess von Anfang bis Ende durchlaufen. Bei der Erstprüfung dauert er 30–90 Minuten pro Produkt, bei der Neuprüfung 15–30 Minuten.

SCHRITT 01
Juristische Person identifizieren

Impressum + Handelsregisterprüfung. Muss ein eingetragenes Unternehmen in einem EU-Mitgliedstaat sein.

SCHRITT 02
Eigentum & Jurisdiktion prüfen

Mutterunternehmen, Vorstand, beherrschende Anteile. Disqualifikation bei US-/UK-/CN-Muttergesellschaft oder CLOUD-Act-Exposition.

SCHRITT 03
DSGVO-Artefakte auditieren

Datenschutzerklärung lesen. Verfügbarkeit des AVV bestätigen. Liste der Subunternehmer auf Nicht-EU-Exposition prüfen.

SCHRITT 04
Redaktioneller Beitrag

Beschreibung verfassen. „Ersetzt"-Alternativen ergänzen. Prüfdatum festlegen und bei besonderer Eignung anpinnen.

Neuprüfungszyklus

Jeder Eintrag wird mindestens alle sechs Monate erneut geprüft. Die Neuprüfung umfasst dieselben vier Schritte sowie eine Recherche nach Unternehmensnachrichten (Übernahmen, Wechsel in der Geschäftsführung, Offenlegung von Sicherheitsvorfällen), die die Eignung beeinflussen könnten.

Routine: alle 6 Monate

Standardzyklus. Die Redaktion durchläuft den vierstufigen Prozess für jeden aktiven Eintrag erneut.

Ausgelöst: Community-Meldungen

Jeder kann einen Eintrag melden. Meldungen werden innerhalb von 48 Stunden gesichtet; bedenkliche lösen eine außerplanmäßige Prüfung aus.

Ausgelöst: News-Monitoring

Übernahmen, Eigentümerwechsel, DSGVO-Bußgeldverfahren — diese markieren die betroffenen Einträge automatisch zur Prüfung.

Prüfdatum ist öffentlich

Jeder Eintrag zeigt sein letztes Prüfdatum an. Wenn Ihnen etwas Veraltetes auffällt, hat das System versagt — bitte melden Sie es.

05 Veraltungsmarkierung

Was zur Veraltungsmarkierung eines Eintrags führt.

Wenn ein Eintrag bei der Neuprüfung ein Kriterium nicht erfüllt — oder früher, sofern Nachrichten dies erfordern — wird er als veraltet markiert. Veraltete Einträge bleiben unter ihrer ursprünglichen URL mit einem deutlichen Hinweisbanner zugänglich, werden aber aus Suche, Kategorie- und Länderseiten entfernt.

Die Seite des veralteten Eintrags dokumentiert den Grund, das Datum und einen kurzen redaktionellen Hinweis. Wir löschen Einträge nicht stillschweigend.

Häufige Gründe für die Veraltungsmarkierung

× Strukturelle Mängel

  • Übernahme durch ein Nicht-EU-Mutterunternehmen (CLOUD-Act-Exposition)
  • Hauptsitz außerhalb der EU verlegt
  • Wechsel zu einem in den USA hauptsitzenden Verarbeiter für Produktionsdaten
  • AVV entfernt oder nur noch hinter Enterprise-Tarifen verfügbar

× Redaktionelle Mängel

  • Neuprüfung nicht bestanden (Kriterium nicht mehr erfüllt, keine Nachbesserung innerhalb von 30 Tagen)
  • Bestätigte Falschdarstellung der Compliance-Position
  • Außerhalb des Geltungsbereichs (Produkt eingestellt oder grundlegend geändert)
  • Erhebliche regulatorische Maßnahme mit nicht behobenen Beanstandungen
06 Häufig gefragt

Häufige Fragen zu den Kriterien.

Die Schweiz ist weder in der EU noch im EWR. Ihr Datenschutzregime gilt zwar als anerkannt, doch Schweizer Unternehmen unterliegen nicht direkt der DSGVO und operieren unter Schweizer Recht — einschließlich nationaler Sicherheits- und nachrichtendienstlicher Kooperationsvereinbarungen, die für EU-Unternehmen nicht gelten.

Das Vereinigte Königreich ist 2020 aus der EU ausgetreten und gilt nun als „Drittland" mit eigener UK-GDPR. Der Investigatory Powers Act gibt britischen Behörden weitreichende Datenzugriffsbefugnisse, die mit dem US CLOUD Act vergleichbar sind — deshalb behandeln wir Unternehmen mit Hauptsitz im Vereinigten Königreich als außerhalb des zentralen Verzeichnisses liegend.

Möglicherweise ergänzen wir in einer späteren Phase eine separate „EWR & Angemessenheit"-Stufe, die jedoch klar gekennzeichnet und niemals mit dem zentralen EU-Eintrag vermischt werden wird.

Ausgeschlossen. Der CLOUD Act gilt für US-Mutterunternehmen und ihre ausländischen Töchter, unabhängig davon, wo die Daten liegen. Operative Isolation der EU-Daten ist kein Ersatz dafür, rechtlich außerhalb der Reichweite des CLOUD Act zu sein. Deshalb listen wir die „Sovereign Cloud"-Angebote von AWS, Microsoft oder Google nicht.

Nein. Die Kriterien sind nicht verhandelbar. Ein Unternehmen, das sie erfüllt, wird kostenlos gelistet; ein Unternehmen, das sie nicht erfüllt, wird nicht gelistet — unabhängig vom Geld. Möglicherweise führen wir in einer späteren Phase eine bezahlte „Featured"-Platzierung ein, doch auch hervorgehobene Produkte müssen weiterhin alle drei Kriterien erfüllen, und jede gesponserte Platzierung wird klar gekennzeichnet.

Wir listen die kommerzielle Trägerorganisation hinter einem Produkt, nicht das Open-Source-Projekt selbst. Hat ein Projekt kein kommerzielles Unternehmen (z. B. ein reines Community-Projekt), liegt es vorerst außerhalb unseres Geltungsbereichs — wir ermutigen Maintainer jedoch, Projekte zu melden, die eine EU-Rechtsperson besitzen oder gerade gründen, und werden diese listen, sobald die Rechtsperson existiert.

Manche US-Subunternehmer sind im Jahr 2026 unvermeidbar — beispielsweise gibt es kein vollständig EU-basiertes Äquivalent zu Stripe für die globale Kartenabwicklung. Wir akzeptieren einige US-Subunternehmer, sofern (a) sie wirklich notwendig sind, (b) sie in der öffentlichen Subunternehmer-Liste offengelegt werden und (c) das Unternehmen über einen gültigen Übermittlungsmechanismus nach Artikel 46 verfügt (typischerweise Standardvertragsklauseln + ergänzende Maßnahmen).

Was wir nicht akzeptieren: US-Subunternehmer für den zentralen Produktionsdatenpfad (z. B. den gesamten Kundendatenverkehr über Cloudflare zu leiten oder auf AWS US-East zu hosten). In solchen Fällen ist das Unternehmen strukturell exponiert und disqualifiziert.

Reichen Sie es über das Einreichungsformular ein. Die SLA für die redaktionelle Prüfung beträgt eine Woche. Wir geben frei, fordern weitere Informationen an oder lehnen mit Begründung ab.

Tipp: Halten Sie Ihren AVV, die Subunternehmer-Liste und die URL der Datenschutzerklärung bereit — das sind die Artefakte, die wir zuerst prüfen.

Klicken Sie auf der Produktseite auf „Eintrag melden" oder schreiben Sie an contact@eubuilt.eu. Wir sichten Meldungen innerhalb von 48 Stunden und antworten innerhalb einer Woche mit unseren Befunden und den vorgenommenen Änderungen.

Möglicherweise — etwa wenn EU-Angemessenheitsbeschlüsse oder die Rechtsprechung zu Subunternehmern die rechtliche Lage verändern. Jede Änderung wird öffentlich angekündigt, mit mindestens 30 Tagen Vorlauf, und wir werden alle bestehenden Einträge gegen die neuen Kriterien erneut prüfen. Die heutigen Kriterien sind seit dem Start unverändert.

Bauen Sie etwas, das die Kriterien erfüllt?

Wenn Sie EU-Software entwickeln, die alle drei Regeln erfüllt, möchten wir davon erfahren. Reichen Sie sie über das untenstehende Formular ein — in der Regel antworten wir innerhalb einer Woche.

Produkt einreichen Über eubuilt.eu