Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Zeabur

Was macht Zeabur?

Zeabur ist eine Cloud-Plattform für Entwickler (PaaS), die das Ein-Klick-Deployment von Webanwendungen aus Git mit globalen Edge-Regionen, eigenen Domains und verwalteter Infrastruktur ermöglicht.

Was Zeabur ist und wie die Plattform Daten verarbeitet

Zeabur ist eine Cloud-Plattform für Entwickler (Platform as a Service), die es Engineering-Teams ermöglicht, Webanwendungen, APIs, Datenbanken und Background-Worker per Klick aus einem Git-Repository zu deployen. Sie positioniert sich als Alternative zu Vercel, Railway oder Render und richtet sich an Full-Stack-Entwickler, die verwaltete Infrastruktur wünschen, ohne ein eigenes Kubernetes-Cluster zu betreiben. Aus DSGVO-Sicht ist Zeabur in der Regel ein Auftragsverarbeiter nach Artikel 28: Sie führt Kundencode aus, hostet Datenbanken, beendet TLS, verwaltet eigene Domains und erzeugt Build-, Runtime- und Deployment-Telemetrie im Auftrag des Kunden.

Datenstandort und gewählte Region

Zeabur hat seinen Sitz in Asien (Singapur/Taiwan) und bietet je nach Tarif mehrere Deployment-Regionen: Singapur, Hongkong, Tokio, USA und EU-Regionen. Der tatsächliche Ort von Compute und Storage ergibt sich aus der beim Deployment gewählten Region und nicht aus dem Standort des Kunden oder des Zeabur-Dashboards. EU-Verantwortliche müssen diese Region sorgfältig prüfen: Singapur verfügt über einen britischen Angemessenheitsbeschluss, jedoch nicht über einen aktuellen EU-Angemessenheitsbeschluss, Hongkong ist von keinem Angemessenheitsbeschluss erfasst, und Tokio ist durch den Angemessenheitsbeschluss EU-Japan abgedeckt. Die gewählte Region muss im Verzeichnis der Verarbeitungstätigkeiten (Artikel 30 DSGVO) dokumentiert werden.

Garantien nach Artikel 46 und Schrems II

Werden Workloads außerhalb des EWR in einem Land ohne Angemessenheitsbeschluss ausgeführt (insbesondere Hongkong, USA und Singapur), müssen Übermittlungen auf Garantien nach Artikel 46 DSGVO gestützt werden. Praktisch bedeutet das Standardvertragsklauseln zwischen dem Verantwortlichen und Zeabur in Kombination mit einem Transfer Impact Assessment im Sinne des Schrems-II-Urteils des Gerichtshofs der Europäischen Union (C-311/18). Zusätzliche Maßnahmen wie Verschlüsselung bei Übertragung und im Ruhezustand, kundenseitige Schlüsselverwaltung und Minimierung personenbezogener Daten in Build-Logs sind zu dokumentieren.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Cookies und Tracking

Zeabur als Hosting-Plattform setzt keine Werbe- oder Analyse-Cookies bei den Besuchern der Kundenwebsite. Das Zeabur-Dashboard verwendet ausschließlich technisch notwendige Cookies wie ''zeabur_session'' und CSRF-Token, um Entwickler zu authentifizieren; diese sind nach Artikel 5(3) der ePrivacy-Richtlinie einwilligungsfrei. Auf Zeabur gehostete Anwendungen können jedoch eigene Cookies setzen, und der Betreiber bleibt für die Einholung der Einwilligung für jeden nicht notwendigen Cookie der gehosteten Anwendung verantwortlich.

Unterauftragsverarbeiter und Lieferkette

Wie die meisten PaaS-Anbieter stützt sich Zeabur auf IaaS-Unterauftragsverarbeiter (Cloud-Anbieter, CDN-Anbieter, Observability-Dienste) für Compute, Storage und Edge-Kapazität. EU-Verantwortliche sollten eine aktuelle Liste der Unterauftragsverarbeiter einholen, sicherstellen, dass der DPA Vorabinformation und ein Widerspruchsrecht bei neuen Unterauftragsverarbeitern vorsieht, und das Vorhandensein durchgereichter SCC entlang der gesamten Kette prüfen.

Europäische Alternativen

Betreiber, die ihre Hosting-Infrastruktur im EWR halten möchten, können europäische PaaS- und Cloud-Anbieter wie Scalingo (Frankreich), Clever Cloud (Frankreich), OVHcloud (Frankreich) und Hetzner Cloud (Deutschland) sowie fly.io ausschließlich mit EU-Regionen in Betracht ziehen. Diese Alternativen vermeiden den Großteil der Übermittlungspflichten aus Artikel 46, indem Compute und Storage in europäischen Rechenzentren europäischer Anbieter verbleiben.

GDPR consent category

Sonstige

Websites using Zeabur must obtain user consent under GDPR regulations.

Legal basislegitimate_interest_and_contract

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive Article 5(3), Schrems II, Article 46 GDPR (where applicable)

DPIA considerations

Zeabur fungiert als Auftragsverarbeiter für Hosting und Infrastruktur nach Artikel 28 DSGVO. Bei der Verarbeitung sensibler oder umfangreicher personenbezogener Daten wird eine DSFA empfohlen. Zu dokumentierende Risiken: Datenstandort je nach gewählter Region (Singapur, Hongkong, Tokio, USA, EU), Übermittlungen in nicht angemessene Drittländer (insbesondere Hongkong), Kette der Unterauftragsverarbeiter (zugrunde liegende IaaS-Anbieter), Aufbewahrung von Build-Logs und Telemetrie, Zugriff durch Zeabur-Support sowie Fristen zur Vorfallmeldung. Ein DPA mit SCC ist abzuschließen und die gewählte Region im Verzeichnis der Verarbeitungstätigkeiten (Artikel 30 DSGVO) zu dokumentieren.

Sample consent text

Wir nutzen Zeabur, um diese Website zu hosten und auszuliefern. Zeabur setzt technisch notwendige Sitzungs-Cookies (z. B. 'zeabur_session' und CSRF-Token), die zum Betrieb des Dashboards und zur Auslieferung der Anwendung erforderlich sind. Diese Cookies sind nach Artikel 5(3) der ePrivacy-Richtlinie einwilligungsfrei. Je nach gewählter Region können Anwendungsdaten außerhalb des EWR unter den geeigneten Garantien des Artikels 46 DSGVO verarbeitet werden.

Technical details

Tracking methodsession cookies, CSRF tokens, server logs, build and deployment telemetry

Server locationMulti-region (Singapore, Hong Kong, Tokyo, United States, EU available depending on plan)

Data transferred outside the EUZeabur is headquartered in Asia (Singapore/Taiwan) and operates global edge regions. Customer compute and storage may be deployed in Singapore, Hong Kong, Tokyo, the United States or EU regions depending on the region selected at deployment time. For EU/EEA operators, transfers to non-adequate regions require Standard Contractual Clauses (SCCs) under Article 46 GDPR together with a Transfer Impact Assessment consistent with the Schrems II ruling. Hong Kong in particular is not covered by an EU adequacy decision and triggers heightened scrutiny.

Third-party domains contacted

zeabur.comdash.zeabur.comapi.zeabur.comzeabur.appcdn.zeabur.com

Cookies placed

Name	Type	Duration	Purpose
zeabur_session	http_cookie_first_party	session	Strictly necessary authentication session cookie used by the Zeabur dashboard to keep developers logged in. Exempt from prior consent under Article 5(3) of the ePrivacy Directive.
zeabur_csrf_token	http_cookie_first_party	session	Cross-Site Request Forgery (CSRF) protection token used by the Zeabur dashboard to validate that state-changing requests originate from the legitimate logged-in user. Security cookie, exempt from prior consent.
zeabur_preferences	http_cookie_first_party	12 months	Stores developer preferences (theme, selected workspace, last region) for the Zeabur dashboard. Functional cookie strictly necessary for the requested service.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Benötigt Zeabur eine Einwilligung für seine Cookies?

Zeabur selbst setzt in seinem Entwickler-Dashboard nur technisch notwendige Cookies (Session, CSRF), die nach Artikel 5(3) der ePrivacy-Richtlinie keine vorherige Einwilligung erfordern. Auf Zeabur gehostete Websites können jedoch eigene Cookies setzen und unterliegen den Einwilligungspflichten des Betreibers.

Wo werden meine Daten gespeichert, wenn ich auf Zeabur deploye?

Die Daten werden in der Region gespeichert, die beim Deployment ausgewählt wurde. Zeabur stellt derzeit Singapur, Hongkong, Tokio, USA und EU-Regionen je nach Tarif bereit. Die gewählte Region bestimmt den Speicherort von Compute, persistentem Storage und den meisten Logs und muss im Verzeichnis der Verarbeitungstätigkeiten (Artikel 30 DSGVO) dokumentiert werden.

Ist Zeabur DSGVO-konform für EU-Betreiber?

Zeabur kann DSGVO-konform genutzt werden, wenn ein Auftragsverarbeitungsvertrag geschlossen und eine EU-Region gewählt wird oder wenn Garantien nach Artikel 46 (SCC und Transfer Impact Assessment) für Übermittlungen in nicht angemessene Länder wie Hongkong, Singapur oder die USA vorliegen. Die Compliance liegt letztlich in der Verantwortung des Verantwortlichen.

Was ist mit Schrems II und Übermittlungen nach Hongkong oder in die USA?

Hongkong ist von keinem EU-Angemessenheitsbeschluss erfasst, und die USA profitieren nur vom EU-US Data Privacy Framework für teilnehmende Organisationen. Gemäß dem Schrems-II-Urteil (EuGH C-311/18) muss jede Übermittlung in diese Regionen über Zeabur auf SCC, einem Transfer Impact Assessment und zusätzlichen Maßnahmen wie starker Verschlüsselung und kundenseitig verwalteten Schlüsseln beruhen.

Veröffentlicht Zeabur seine Unterauftragsverarbeiter?

Wie die meisten PaaS-Anbieter stützt sich Zeabur auf IaaS-Unterauftragsverarbeiter für Compute, Storage, CDN und Observability. EU-Verantwortliche sollten eine aktuelle Liste anfordern, sicherstellen, dass der DPA eine Vorabinformation und ein Widerspruchsrecht bei neuen Unterauftragsverarbeitern vorsieht, und das Vorhandensein durchgereichter SCC entlang der gesamten Kette bestätigen.

Welche Zeabur-Cookies sind technisch notwendig?

Im Zeabur-Dashboard sind die technisch notwendigen Cookies der Authentifizierungs-Sitzungs-Cookie (typischerweise 'zeabur_session'), ein CSRF-Schutz-Token und eine kleine Anzahl von Präferenz-Cookies. Sie sind nach Artikel 5(3) der ePrivacy-Richtlinie einwilligungsfrei, da sie für den vom Nutzer ausdrücklich gewünschten Dienst erforderlich sind.

Gibt es europäische Alternativen zu Zeabur?

Ja. Für rein europäisches Hosting können Betreiber Scalingo (Frankreich), Clever Cloud (Frankreich), OVHcloud (Frankreich) und Hetzner Cloud (Deutschland) sowie fly.io ausschließlich mit EU-Regionen in Betracht ziehen. Diese Anbieter betreiben Compute und Storage in europäischen Rechenzentren und vereinfachen die DSGVO-Übermittlungspflichten in der Regel deutlich.

Was sollte eine DSFA für Zeabur enthalten?

Eine DSFA sollte folgendes dokumentieren: Kategorien personenbezogener Daten, die über die gehostete Anwendung verarbeitet werden, gewählte Zeabur-Region und das daraus resultierende Drittlandrisiko, Kette der Unterauftragsverarbeiter, Aufbewahrung von Build-Logs und Telemetrie, Verschlüsselung und Schlüsselverwaltung, Zugriffskontrollen für Zeabur-Personal und die im DPA vereinbarten Fristen zur Vorfallmeldung.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note