Zurück zum Blog
Datenschutz

Monitoring ohne US-Sub-Prozessoren: der Vorteil im B2B- und Public-Sector-Pitch

Prüfliste eines Ausschreibungsverfahrens mit erfüllter Anforderung zur EU-Datenverarbeitung ohne US-Sub-Prozessoren

Für viele MSPs kommt der schwierigste Moment einer Ausschreibung nicht bei Preis oder Leistung, sondern in der Anlage zum Datenschutz: der Liste der Sub-Prozessoren. Ein Bank- oder Behörden-Auftraggeber liest sie bis zum letzten Eintrag – und sobald dort ein US-Anbieter auftaucht, der Daten verarbeitet, beginnt ein Prüfmarathon, der einen Zuschlag verzögern oder kippen kann. Monitoring, dessen Datenkette vollständig ohne US-Sub-Prozessoren auskommt, nimmt genau diesen Reibungspunkt aus dem Pitch. Dieser Artikel erklärt faktisch, warum das ein Vorteil ist, wie du ihn belegst – und wo die ehrliche Grenze der Aussage verläuft.

Warum die Sub-Prozessoren-Liste im regulierten Pitch entscheidet

In einem gewöhnlichen B2B-Verkauf ist die Sub-Prozessoren-Liste eine Formalie. Im regulierten Umfeld – Banken, Versicherungen, öffentliche Auftraggeber – ist sie ein Prüfgegenstand. Diese Käufer tragen selbst Compliance-Pflichten, die sie an ihre Dienstleister weiterreichen: Wer für eine Behörde arbeitet, muss belegen, dass auch die eingesetzten Werkzeuge den Anforderungen genügen. Die Prüfung endet deshalb nicht bei deiner Agentur, sondern geht die gesamte Kette hinunter – bis zu dem Dienstleister, der ganz am Ende die Daten tatsächlich verarbeitet.

Für dich als MSP heißt das: Dein Monitoring-Tool ist kein internes Detail, sondern Teil dessen, was der Auftraggeber bewertet. Steht in seiner Kette ein Sub-Prozessor, der Fragen aufwirft, werden diese Fragen zu deinen Fragen. Und die aufwendigste dieser Fragen ist immer dieselbe: Verlassen die Daten den europäischen Rechtsraum?

Der Drittland-Transfer – ruhig erklärt

Der Begriff, um den sich alles dreht, ist der Drittland-Transfer: jede Verarbeitung personenbezogener oder zurechenbarer Daten außerhalb des Europäischen Wirtschaftsraums. Er ist nicht grundsätzlich verboten. Aber er ist der Punkt, an dem eine Datenschutz-Bewertung von einer Seite auf zehn wächst.

Sobald Daten die EU verlassen, braucht es eine tragfähige Rechtsgrundlage für den Transfer – in der Regel Standardvertragsklauseln (SCCs). Diese allein genügen seit den einschlägigen Entscheidungen der europäischen Gerichte aber nicht mehr: Ergänzend ist ein Transfer Impact Assessment nötig, das prüft, ob im Zielland – etwa den USA unter dem CLOUD Act – ein behördlicher Zugriff möglich ist, der das europäische Schutzniveau untergräbt. Fällt diese Prüfung ungünstig aus, müssen zusätzliche technische und organisatorische Maßnahmen greifen, oder der Transfer ist nicht haltbar.

Für einen regulierten Auftraggeber ist dieser Mechanismus kein theoretisches Konstrukt, sondern gelebtes Risiko. Jeder Drittland-Transfer in der Kette ist etwas, das er dokumentieren, verteidigen und im Zweifel gegenüber einer Aufsichtsbehörde rechtfertigen muss. Deshalb bevorzugen – und fordern – viele Ausschreibungen von vornherein Lösungen, bei denen dieser Transfer gar nicht erst entsteht. Nicht, weil ein US-Transfer immer unzulässig wäre, sondern weil seine Abwesenheit schlicht das kleinere Risiko ist.

Der Vorteil: eine Monitoring-Kette, die in der EU bleibt

Hier liegt der konkrete Wedge für regulierte MSPs. Wenn die gesamte Kette, die deine Monitoring-Daten verarbeitet, innerhalb der EU liegt, entsteht kein Drittland-Transfer – und das komplexeste Kapitel der Datenschutz-Bewertung fällt ersatzlos weg. Aus einem mehrseitigen Prüfvorgang wird eine kurze, belegbare Feststellung.

Bei Uptimeify ist genau diese Monitoring-Kette EU-only. Die Dienstleister, die Monitoring-Daten verarbeiten – Hosting, die Standorte der Prüf-Nodes, der E-Mail- und der SMS-Versand für Benachrichtigungen – sitzen sämtlich in der EU: in Deutschland, Frankreich und den Niederlanden. Die Kern-Infrastruktur ist ausschließlich in der EU gehostet, und gepollt wird ausschließlich aus europäischen Standorten (zwei in Deutschland – Nürnberg und Falkenstein – sowie Zürich, Prag, Warschau, Mailand und Helsinki). Die Daten, um die es dem Auftraggeber geht – welche URL wann geprüft wurde, mit welchem Ergebnis, an wen alarmiert wurde – verlassen den europäischen Rechtsraum zu keinem Zeitpunkt.

Für deinen Pitch bedeutet das einen doppelten Gewinn. Du erfüllst eine Anforderung, an der rein US-basierte Tools in regulierten Ausschreibungen regelmäßig scheitern. Und du verkürzt die Datenschutz-Bewertung des Auftraggebers, statt sie zu verlängern – was dich vom Bittsteller, der eine Hürde nehmen muss, zum Anbieter macht, der ihm Arbeit abnimmt.

Ehrlich bleiben: „ohne US-Sub-Prozessoren" richtig sagen

Genau hier trennt sich ein belastbares Argument von einem, das in der ersten Prüfung zerbricht. Die Versuchung im Pitch ist, „komplett ohne US-Anbieter" zu behaupten. Das ist fast nie wahr – und ein Datenschutzbeauftragter, der genau hinsieht, wird die Lücke finden. Die präzise, verteidigbare Aussage ist enger und dadurch stärker: Kein US-Sub-Prozessor verarbeitet Monitoring-Daten.

Der Unterschied liegt im Zweck. Fast jedes Unternehmen setzt für Nebenfunktionen Dienste ein, die in den USA sitzen oder US-Konzernen gehören – einwilligungsbasierte Website-Analyse auf der öffentlichen Marketing-Seite, Code-Hosting für die Entwicklung, interne Team-Kommunikation, Postfächer. Diese berühren keine Monitoring-Daten. Sie laufen, wo sie US-Bezug haben, unter anerkannten Garantien wie dem EU-US Data Privacy Framework. Der ehrliche Satz lautet deshalb nicht „null US", sondern: Die Monitoring-Datenkette ist EU-only, und alles außerhalb dieser Kette ist transparent ausgewiesen.

Diese Nüchternheit ist kein Zugeständnis, sondern der Kern der Überzeugungskraft. Ein regulierter Käufer hat schon viele Anbieter erlebt, die Souveränität behaupten und bei Nachfrage einknicken. Wer die eigene Grenze von sich aus benennt – „hier ist EU-only, hier setzen wir für Nebenzwecke unter DPF US-Dienste ein" – wirkt geprüft statt beworben. Präzision schlägt Superlativ, gerade bei denen, die es prüfen müssen.

Der Beleg schlägt die Behauptung

Im regulierten Umfeld ist eine Zusage nur so viel wert wie ihr Nachweis. Ein Auftraggeber, der seine eigene Aufsicht zufriedenstellen muss, kann sich nicht auf ein Versprechen im Verkaufsgespräch stützen – er braucht ein Dokument, das er zu seinen Akten nehmen und im Prüffall vorlegen kann. Genau deshalb ist Transparenz kein Nice-to-have, sondern der eigentliche Hebel.

Der stärkste Beleg ist eine öffentliche Sub-Prozessoren-Liste, die für jeden Dienstleister drei Dinge ausweist: wer es ist, wo er sitzt und ob er Monitoring-Daten verarbeitet. Uptimeify führt eine solche Liste öffentlich zugänglich und markiert für jeden Eintrag explizit, ob Monitoring-Daten betroffen sind – die EU-Anbieter der Kette ebenso wie die klar als „keine Monitoring-Daten" gekennzeichneten Nebendienste. Infrastruktur-Änderungen werden zusätzlich in einem öffentlichen Changelog protokolliert. Damit kann dein Auftraggeber die Aussage selbst verifizieren, statt sie dir glauben zu müssen.

Für dich als MSP ist das der praktische Kern der Argumentationshilfe: Du musst die Souveränität nicht behaupten, du verlinkst sie. Eine prüfbare Quelle, auf die du im Angebot verweist, beantwortet die schwierigste Datenschutzfrage, bevor sie mündlich gestellt wird – und signalisiert dem Auftraggeber, dass du seine Prüflogik verstanden hast.

Souveränität als ruhiges Verkaufsargument

Der Souveränitäts-Vorteil wirkt am stärksten, wenn er nicht wie ein Verkaufsargument klingt. Regulierte Käufer sind gegen Superlative abgestumpft – „100 % sicher", „vollständig DSGVO-konform" sind für sie Warnsignale, keine Zusagen. Was sie überzeugt, ist die ruhige, präzise Darstellung eines nachprüfbaren Sachverhalts: Die Monitoring-Daten bleiben in der EU, hier ist die Liste, hier die Grenze der Aussage.

Diese Tonlage ist zugleich die ehrlichste. Sovereign Monitoring befreit dich nicht von deinen eigenen Datenschutzpflichten, und es ist kein Rechtsgutachten. Was es leistet, ist genau umrissen: Es nimmt den Drittland-Transfer aus der Monitoring-Kette und macht diesen Umstand belegbar. Mehr verspricht es nicht – und genau deshalb hält es, was es verspricht.

Für regulierte MSPs ist das der Unterschied zwischen einem Tool, das man im Pitch erklären und verteidigen muss, und einem, das den Pitch trägt. Der Standort deiner Monitoring-Daten ist keine technische Randnotiz. Er ist das Argument, das eine Ausschreibung entscheidet, an der andere schon in der Anlage zum Datenschutz scheitern.

Häufig gestellte Fragen

Was bedeutet Monitoring ohne US-Sub-Prozessoren?

Es bedeutet, dass kein Dienstleister aus den USA an der Verarbeitung deiner Monitoring-Daten beteiligt ist – also der geprüften URLs, Check-Ergebnisse, Alarm-Inhalte und Benachrichtigungsempfänger. Diese gesamte Kette bleibt bei EU-Sub-Prozessoren. Wichtig ist die Präzision: Gemeint ist die Monitoring-Datenkette, nicht zwingend jeder einzelne Dienstleister eines Unternehmens. Genau diese saubere Abgrenzung ist es, die im regulierten Pitch überzeugt.

Warum ist das für Bank- und Behördenverträge relevant?

Regulierte Auftraggeber prüfen die Verarbeitungskette bis zum letzten Sub-Prozessor. Sobald ein US-Anbieter Monitoring-Daten verarbeitet, entstehen Fragen zu Drittland-Transfer, CLOUD Act und dem Schutzniveau – ein Prüfaufwand, der einen Zuschlag verzögern oder verhindern kann. Bleibt die Monitoring-Kette vollständig in der EU, entfällt dieses Kapitel, und du erfüllst eine Anforderung, an der US-Tools in Ausschreibungen regelmäßig scheitern.

Was ist der Drittland-Transfer und warum ist er ein Risiko?

Ein Drittland-Transfer ist jede Verarbeitung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums. Er ist nicht per se unzulässig, erfordert aber zusätzliche Absicherungen – etwa Standardvertragsklauseln und ein Transfer Impact Assessment, das prüft, ob im Zielland behördlicher Zugriff das europäische Schutzniveau untergräbt. Für regulierte Auftraggeber ist dieser Aufwand ein Risiko: Er ist prüfintensiv, angreifbar und in vielen Ausschreibungen schlicht ausgeschlossen.

Wie belege ich einem Auftraggeber, dass die Daten in der EU bleiben?

Über eine öffentliche, aktuelle Sub-Prozessoren-Liste, die für jeden Dienstleister Standort und Rolle ausweist – und explizit kennzeichnet, wer Monitoring-Daten verarbeitet und wer nicht. Uptimeify führt eine solche Liste öffentlich und protokolliert Infrastruktur-Änderungen in einem Changelog. Das verwandelt deine Zusage von einer Behauptung in einen prüfbaren Beleg, den der Auftraggeber selbst einsehen kann.

Heißt sovereign Monitoring, dass gar keine US-Anbieter beteiligt sind?

Nein, und diese Ehrlichkeit ist Teil der Stärke. Entscheidend ist die Monitoring-Datenkette – und die liegt vollständig bei EU-Anbietern. Für Nebenzwecke ohne Monitoring-Daten (etwa einwilligungsbasierte Website-Analyse oder internen Code-Hosting) können US-Dienste mit anerkannten Garantien wie dem EU-US Data Privacy Framework im Einsatz sein. Diese saubere Trennung – Monitoring-Daten EU-only, Nebenzwecke transparent ausgewiesen – ist belastbarer als ein pauschales, im Zweifel unhaltbares 'null US'.

Florian Zaskoku
Geschrieben von
Florian Zaskoku · Co-Founder

Co-Founder von Uptimeify und verantwortlich für das gesamte Marketing. Übersetzt zwischen technischer Entwicklung und Marketing-Strategie: von Java, PHP und Shopware-Plugins zur Steuerung digitaler Wachstumsstrategien. Zertifizierter UX-Manager (IHK) und Digital-Marketing-Berater für drei gemeinnützige Organisationen.

Mehr aus dem Blog

Gebrandete Status-Seite unter eigener Domain mit grünem Operational-Status und Uptime-Verlauf
Datenschutz

Status-Seite unter eigener Domain & DSGVO: was Agenturen beachten sollten

Status-Seite unter eigener Domain per CNAME, wo die Daten liegen und was DSGVO-konform kommuniziert wird – der faktische Leitfaden für Agenturen.

Florian Zaskoku9 Min. Lesezeit
Europakarte mit Monitoring-Standorten in Deutschland, der Schweiz, Tschechien, Polen, Italien und Finnland
Datenschutz

Monitoring-Daten in der EU: warum der Standort der Polling-Nodes zählt

Warum EU-Polling und EU-Hosting die DSGVO-Argumentation gegenüber deinen Kunden vereinfachen – und was der Standort der Monitoring-Nodes damit zu tun hat.

Florian Zaskoku9 min read
Gebrandeter SLA-Report mit Verfügbarkeitswert 99,95 % und Agentur-Logo auf einem Laptop
Agentur-Playbook

SLA-Report für Kunden erstellen: Verfügbarkeit, die deinen Wert beweist

So baust du einen SLA-Report, der deine Verfügbarkeit belegt und deinen Retainer rechtfertigt – Monat für Monat, unter deiner Marke.

Florian Zaskoku9 Min. Lesezeit

Der Souveränitäts-Vorteil, der Ausschreibungen gewinnt

Uptimeify verarbeitet Monitoring-Daten ausschließlich über EU-Sub-Prozessoren und ist in der EU gehostet – transparent auf einer öffentlichen Sub-Prozessoren-Liste ausgewiesen. Nimm den Drittland-Transfer aus deinem nächsten Pitch.