n8n und DSGVO: Die Antwort in 60 Sekunden
n8n DSGVO-konform zu betreiben ist auf zwei Wegen möglich: self-hosted auf einem Server in der EU oder über n8n Cloud, deren Workspaces auf Azure-Infrastruktur in Frankfurt laufen. Entscheidend sind ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, ein EU-Datenstandort und datensparsam gestaltete Workflows.
Welcher Weg für dich passt, hängt von deinen Daten, deinem IT-Team und deinem Budget ab. Dieser Ratgeber führt dich in sieben Schritten zur Entscheidung.
- Self-Hosting gibt dir volle Datenkontrolle: Die Software ist kostenlos, ein EU-Server kostet ab ca. 5 bis 20 Euro pro Monat.
- n8n Cloud hostet alle Daten in Frankfurt, ist SOC 2 Type 2 zertifiziert und liefert AVV plus Standardvertragsklauseln mit.
- DSGVO-Konformität entsteht nicht durch das Hosting allein, sondern durch das Design deiner Workflows, vor allem bei KI-Nodes.
- 78 Prozent der deutschen Unternehmen halten sich für zu abhängig von US-Cloud-Anbietern (Bitkom, 2025). Datensouveränität ist ein Standortvorteil.
Jeder Workflow transportiert Daten. Die Frage ist: wohin?
Montagmorgen, 9 Uhr. Dein Marketingleiter zeigt dir stolz einen n8n-Workflow: Jede Anfrage aus dem Webformular landet automatisch im CRM, der Vertrieb bekommt eine Slack-Nachricht, der Lead eine Bestätigungsmail. Drei Stunden Handarbeit pro Woche, einfach weg. Du bist begeistert.
Dann meldet sich dein Datenschutzbeauftragter. Wo läuft diese Instanz? Wer hat einen Auftragsverarbeitungsvertrag unterschrieben? Welche Daten gehen an welchen US-Dienst? Plötzlich steht der Workflow still, und keiner kann die Fragen beantworten.
Diese Szene spielt sich gerade in vielen Unternehmen ab. Ein Online-Shop verknüpft Bestelldaten mit dem Newsletter-Tool. Ein Maschinenbauer leitet Bewerbungen automatisch an Abteilungsleiter weiter. Eine Agentur routet Kundenbriefings durch ein Sprachmodell. Überall fließen personenbezogene Daten, oft ohne dass jemand den Datenfluss dokumentiert hat.
Das Risiko ist real. Deutsche Aufsichtsbehörden verhängten 2025 mindestens 249 Bußgelder mit einer Gesamtsumme von rund 46,9 Millionen Euro (dsgvo-portal.de, 2025). Es trifft nicht nur Konzerne: Die Masse der Verfahren richtet sich gegen kleine und mittlere Unternehmen.
Die gute Nachricht: n8n gehört zu den wenigen Automatisierungsplattformen, die du vollständig unter eigener Kontrolle betreiben kannst. Du musst nur die richtigen Entscheidungen treffen. Und genau die gehen wir jetzt durch.
In sieben Schritten zum DSGVO-konformen n8n-Setup
Was heißt DSGVO-konform bei n8n überhaupt?
DSGVO-konform betreiben heißt: Du verarbeitest personenbezogene Daten in n8n nur mit Rechtsgrundlage, auf einem bekannten Datenstandort, mit Auftragsverarbeitungsvertrag und nachvollziehbarer Dokumentation. n8n ist ein Werkzeug. Konform oder nicht konform ist immer dein konkreter Betrieb, nie die Software an sich.
Der Aufwand lohnt sich doppelt. Laut Bitkom (2025) berichten 97 Prozent der deutschen Unternehmen von hohem Datenschutzaufwand, bei Unternehmen mit 20 bis 99 Mitarbeitern stufen ihn 45 Prozent als sehr hoch ein. Automatisierung mit einem sauber aufgesetzten n8n senkt genau diesen Aufwand: Ein dokumentierter Workflow ersetzt zehn undokumentierte Excel-Handgriffe.
Für die Praxis bedeutet das: Bevor du Workflows baust, klärst du Hosting, Verträge und Datenflüsse. Die folgenden sieben Schritte bringen dich in zwei bis vier Arbeitstagen zu einem belastbaren Setup.
Schritt 1: Erfasse, welche Daten durch deine Workflows fließen
Der erste Schritt ist eine simple Liste, kein Jura. Notiere für jeden geplanten Workflow drei Dinge: welche Datenarten fließen (Namen, E-Mail-Adressen, Bestelldaten, Bewerbungen), woher sie kommen und an welche Systeme sie gehen.
Ein Beispiel aus dem E-Commerce: Der Workflow „Bestellung zu Rechnung“ transportiert Name, Adresse und Kaufhistorie vom Shop-System in die Buchhaltungssoftware. Ein Beispiel aus dem produzierenden Gewerbe: Der Workflow „Bewerbungseingang“ leitet Lebensläufe vom Karriere-Postfach an den Abteilungsleiter weiter. Beides sind personenbezogene Daten, Bewerbungen sogar besonders schützenswerte.
Diese Liste ist deine Entscheidungsgrundlage für alles Weitere. Faustregel: Je sensibler die Daten, desto mehr spricht für Self-Hosting. Wenn du unsicher bist, wo deine Prozesse überhaupt Automatisierungspotenzial haben, hilft ein strukturiertes KI-Audit als Bestandsaufnahme.
Schritt 2: Triff die Hosting-Entscheidung: Self-Hosting vs. n8n Cloud
Die Kernfrage dieses Ratgebers beantwortet eine Tabelle besser als tausend Worte. Beide Varianten können DSGVO-konform sein, sie unterscheiden sich in Kontrolle, Aufwand und Kosten:
| Kriterium | Self-Hosting | n8n Cloud |
|---|---|---|
| Datenstandort | Frei wählbar, z. B. deutscher Server bei Hetzner oder IONOS | Frankfurt, Azure-Infrastruktur, Daten bleiben in der EU |
| AVV | Mit deinem Hosting-Anbieter abschließen | AVV und Standardvertragsklauseln sind Teil der Vertragsbedingungen |
| Kosten | Software kostenlos (Community Edition), Server ab ca. 5 bis 20 Euro pro Monat | Starter ab 20 Euro pro Monat (jährliche Zahlung), Pro ab 50 Euro |
| Wartung | Updates, Backups und Sicherheit liegen bei dir | Übernimmt n8n, inklusive Updates und Verfügbarkeit |
| IT-Know-how | Docker- und Server-Grundwissen nötig | Keines nötig, Browser genügt |
| Zertifizierung | Abhängig von deinem Hoster (z. B. ISO 27001 des Rechenzentrums) | SOC 2 Type 2 zertifiziert |
| Kontrolle | Volle Kontrolle über Daten, Logs und Löschfristen | Kontrolle über Workflows, Infrastruktur liegt bei n8n |
| Geeignet für | Sensible Daten, eigene IT, Maschinenbau, Gesundheits- und Finanznähe | KMU ohne IT-Team, Agenturen, schneller Start |
Die Fakten dahinter: n8n Cloud hostet alle Workspaces auf Azure-Servern in Frankfurt, die Daten verlassen die EU nicht, und die Plattform ist SOC 2 Type 2 zertifiziert (n8n, 2026). Der Starter-Tarif kostet 24 Euro pro Monat, bei jährlicher Zahlung 20 Euro (n8n Pricing, 2026). Die selbst gehostete Community Edition ist kostenlos und läuft per Docker auf jedem EU-Server.
Klare Empfehlung je Anwendungsfall: Hast du kein IT-Team und verarbeitest Standard-Geschäftsdaten, nimm n8n Cloud. Der AVV liegt bei, der Standort stimmt, du startest in einer Stunde. Verarbeitest du sensible Daten, etwa Bewerbungen, Gesundheitsbezug oder Konstruktionsdaten mit Kundenbezug, oder willst du grundsätzlich unabhängig von Anbietern sein, hoste selbst auf einem deutschen Server. Eine Agentur mit fünf Mitarbeitern fährt mit der Cloud gut. Ein Maschinenbauer mit eigener IT und NDA-gebundenen Kundendaten gehört aufs Self-Hosting.
Schritt 3: Schließe den AVV und prüfe Drittlandtransfers
Ohne Auftragsverarbeitungsvertrag nach Art. 28 DSGVO darfst du keinen Dienstleister personenbezogene Daten verarbeiten lassen. Bei n8n Cloud sind AVV und EU-Standardvertragsklauseln Bestandteil der Vertragsbedingungen, du musst sie nur dokumentiert ablegen. Beim Self-Hosting schließt du den AVV mit deinem Hosting-Anbieter, deutsche Anbieter wie Hetzner oder IONOS stellen ihn als Standarddokument bereit.
Der oft übersehene Punkt sind die Drittlandtransfers nach Art. 44 ff. DSGVO. Sie entstehen nicht durch n8n selbst, sondern durch die Nodes in deinen Workflows. Jeder Node, der Daten an einen US-Dienst schickt, etwa Slack, Google Sheets oder OpenAI, ist ein eigener Transfer und braucht eine eigene Grundlage.
Handlungsempfehlung: Geh deine Datenliste aus Schritt 1 durch und markiere jeden Empfänger außerhalb der EU. Für jeden brauchst du entweder einen Angemessenheitsbeschluss (für zertifizierte US-Anbieter über das EU-US Data Privacy Framework) oder Standardvertragsklauseln. Was du nicht begründen kannst, ersetzt du durch eine EU-Alternative.
Schritt 4: Sichere deine KI-Nodes ab
KI-Nodes sind der heikelste Teil jedes n8n-Setups, denn hier verlassen Daten dein System Richtung Sprachmodell. Drei Regeln machen den Unterschied. Erstens: Schließe mit dem KI-Anbieter eine Vereinbarung zur Auftragsverarbeitung ab und stelle sicher, dass deine Daten nicht für das Modelltraining verwendet werden. Bei OpenAI, Anthropic und Co. ist das in den Business-Konditionen möglich.
Zweitens: Nutze, wo verfügbar, EU-Endpunkte, etwa Azure OpenAI mit EU-Region oder europäische Anbieter wie Mistral. Drittens: Pseudonymisiere vor dem LLM-Aufruf. Ein n8n-Workflow kann Namen und E-Mail-Adressen automatisch durch Platzhalter ersetzen, bevor der Text an das Modell geht, und sie danach wieder einsetzen.
Praxisbeispiel Agentur: Ein Workflow fasst Kundenbriefings per Claude zusammen. Vor dem API-Call ersetzt ein Code-Node alle Personennamen durch Kürzel. Das Briefing wird zusammengefasst, die Kürzel werden zurückgetauscht, und ins Sprachmodell ist kein einziger Klarname geflossen. Solche Patterns kosten einmalig eine Stunde Bauzeit und entschärfen das größte Risiko dauerhaft.
Schritte 5 bis 7: Härte die Technik, regle die Löschung, dokumentiere
Schritt 5 ist die technische Härtung. Beim Self-Hosting heißt das: HTTPS erzwingen, Zwei-Faktor-Authentifizierung aktivieren, Rollen und Rechte sauber vergeben, den n8n-Encryption-Key sichern und Updates monatlich einspielen. In der Cloud übernimmt n8n die Infrastruktur, Rollen und Zugriffe konfigurierst du trotzdem selbst.
Schritt 6 ist das Löschkonzept. n8n speichert standardmäßig Ausführungsdaten, also auch die personenbezogenen Inhalte jedes Workflow-Laufs. Begrenze die Aufbewahrung über die Datenbankeinstellungen (beim Self-Hosting etwa per Umgebungsvariable für das maximale Alter von Ausführungsdaten) auf ein definiertes Maß, zum Beispiel 14 oder 30 Tage. Was du nicht speicherst, musst du nie beauskunften oder löschen.
Schritt 7 ist die Dokumentation: Trage jeden produktiven Workflow ins Verzeichnis von Verarbeitungstätigkeiten ein und prüfe bei sensiblen Daten, ob eine Datenschutz-Folgenabschätzung nötig ist. Klingt nach Bürokratie, ist aber bei einer Behördenanfrage deine Lebensversicherung. Budgetiere die Schritte 5 bis 7 realistisch mit ein, wenn du dein Automatisierungsprojekt planst. Wenn du das Setup nicht allein stemmen willst: Genau diese Arbeit, von der Hosting-Entscheidung bis zum dokumentierten Workflow, übernehme ich in der KI-Implementierung mit n8n.
Was die Zahlen zu Cloud-Abhängigkeit und Datenschutz zeigen
Die Hosting-Frage bei n8n ist Teil einer größeren Bewegung. Die Daten zeichnen ein klares Bild:
- 78 Prozent der deutschen Unternehmen halten sich für zu abhängig von US-Cloud-Anbietern, und 82 Prozent wünschen sich konkurrenzfähige Hyperscaler aus Deutschland oder Europa (Bitkom Cloud Report, 2025).
- Jedes zweite Cloud-nutzende Unternehmen (50 Prozent) überdenkt wegen der US-Politik seine Cloud-Strategie, während 90 Prozent inzwischen Cloud-Anwendungen einsetzen (Bitkom Cloud Report, 2025).
- 97 Prozent der Unternehmen berichten von hohem Datenschutzaufwand, der höchste Wert seit Beginn der Erhebung. 38 Prozent fehlt qualifiziertes Datenschutzpersonal (Bitkom, 2025).
- Deutsche Aufsichtsbehörden verhängten 2025 mindestens 249 DSGVO-Bußgelder mit einer Gesamtsumme von rund 46,9 Millionen Euro, das höchste Einzelbußgeld traf Vodafone mit 45 Millionen Euro (dsgvo-portal.de, 2025).
Was folgt daraus für dich? Erstens: Du bist mit dem Wunsch nach Datensouveränität nicht allein, sondern im Mehrheitslager der deutschen Wirtschaft. Zweitens: Werkzeuge, die EU-Hosting oder Self-Hosting ermöglichen, sind strategisch im Vorteil. n8n als in Berlin entwickeltes Tool mit Frankfurt-Cloud und Self-Hosting-Option trifft genau diese Anforderung. Drittens: Der Personalmangel im Datenschutz spricht für schlanke, gut dokumentierte Setups statt für möglichst viele Tools. Lieber eine n8n-Instanz mit zwanzig sauberen Workflows als fünf SaaS-Abos, die niemand überblickt.
Die wichtigsten Lernpunkte für deinen n8n-Betrieb
Wenn du nur fünf Dinge aus diesem Artikel mitnimmst, dann diese:
- DSGVO-Konformität ist eine Eigenschaft deines Betriebs, nicht der Software. n8n liefert die Voraussetzungen, umsetzen musst du sie.
- Beide Hosting-Wege funktionieren: n8n Cloud (Frankfurt, SOC 2 Type 2, AVV inklusive) für den schnellen Start, Self-Hosting für maximale Kontrolle bei sensiblen Daten.
- Die echten Risiken stecken in den Nodes: Jeder US-Dienst und jedes Sprachmodell in einem Workflow ist ein eigener Datentransfer mit eigener Rechtsgrundlage.
- Ausführungsdaten sind gespeicherte personenbezogene Daten. Ein Löschkonzept mit kurzer Aufbewahrungsfrist gehört von Tag eins dazu.
- Pseudonymisierung vor KI-Aufrufen ist mit n8n in einer Stunde gebaut und entschärft das größte Datenschutzrisiko moderner Workflows.
Checkliste für dein Setup:
- Habe ich für jeden Workflow dokumentiert, welche personenbezogenen Daten woher kommen und wohin fließen?
- Habe ich die Hosting-Entscheidung bewusst getroffen und begründet (Self-Hosting oder Cloud)?
- Liegt ein AVV mit n8n beziehungsweise meinem Hosting-Anbieter dokumentiert vor?
- Ist jeder Drittlandtransfer in meinen Workflows identifiziert und abgesichert?
- Sind meine KI-Nodes auf Training-Ausschluss, EU-Endpunkte und Pseudonymisierung geprüft?
- Ist die Aufbewahrung der Ausführungsdaten begrenzt, zum Beispiel auf 14 bis 30 Tage?
- Stehen alle produktiven Workflows im Verzeichnis von Verarbeitungstätigkeiten?
Self-Hosting oder Cloud: So entscheidest du richtig
Die Antwort auf die Ausgangsfrage ist erfreulich unkompliziert. n8n lässt sich auf beiden Wegen DSGVO-konform betreiben, und die Wahl folgt einer einfachen Logik: Standard-Geschäftsdaten und kein IT-Team sprechen für n8n Cloud mit Frankfurt-Hosting und mitgeliefertem AVV. Sensible Daten, eigene IT oder der Wunsch nach voller Souveränität sprechen für Self-Hosting auf einem deutschen Server.
Wichtiger als die Hosting-Frage ist die Disziplin dahinter: Datenflüsse kennen, Verträge schließen, KI-Nodes absichern, Löschfristen setzen, dokumentieren. Das ist kein Projekt für Monate, sondern für zwei bis vier konzentrierte Arbeitstage. Danach automatisierst du nicht trotz DSGVO, sondern mit ihr im Rücken.
Dein konkreter erster Schritt: Nimm dir heute eine Stunde und erstelle die Datenliste aus Schritt 1 für deine drei wichtigsten Prozesse. Damit hast du die Grundlage für jede weitere Entscheidung. Und wenn du dabei Unterstützung willst, von der Standortbestimmung bis zum fertigen Workflow: Genau dafür gibt es das KI-Audit und die KI-Implementierung von andersai.de.
Häufige Fragen zu n8n und DSGVO
Ist n8n DSGVO-konform?
Ja, n8n kann DSGVO-konform betrieben werden. Sowohl Self-Hosting auf einem EU-Server als auch n8n Cloud mit Hosting in Frankfurt erfüllen die Voraussetzungen. Entscheidend sind ein Auftragsverarbeitungsvertrag, ein EU-Datenstandort und datenschutzgerecht gestaltete Workflows.
Wo speichert n8n Cloud die Daten?
n8n Cloud hostet alle Workspaces auf Azure-Infrastruktur in Frankfurt am Main. Die Daten verlassen die EU nicht. Zusätzlich ist die Plattform SOC 2 Type 2 zertifiziert und verschlüsselt Daten bei Übertragung und Speicherung.
Was kostet es, n8n DSGVO-konform zu betreiben?
Self-Hosting kostet nur die Infrastruktur, typischerweise 5 bis 20 Euro pro Monat für einen EU-Server, die Software ist kostenlos. n8n Cloud startet bei 20 Euro pro Monat im Starter-Tarif bei jährlicher Zahlung. Dazu kommt einmaliger Einrichtungsaufwand von zwei bis vier Arbeitstagen.
Brauche ich einen AVV für n8n?
Ja, sobald personenbezogene Daten verarbeitet werden. Bei n8n Cloud sind AVV und Standardvertragsklauseln Teil der Vertragsbedingungen. Beim Self-Hosting schließt du den AVV mit deinem Hosting-Anbieter ab, etwa Hetzner oder IONOS.
Ist Self-Hosting von n8n automatisch DSGVO-konform?
Nein. Self-Hosting löst nur die Standortfrage. Du musst zusätzlich Drittlandtransfers in deinen Workflows prüfen, Zugriffe absichern, Ausführungsdaten zeitnah löschen und die Verarbeitung dokumentieren. Ein deutscher Server mit unkontrollierten US-Nodes bleibt ein Datenschutzproblem.
Kann ich ChatGPT oder Claude in n8n DSGVO-konform nutzen?
Ja, unter Bedingungen: Vereinbarung zur Auftragsverarbeitung mit dem Anbieter, Ausschluss der Daten vom Modelltraining und idealerweise Pseudonymisierung vor dem API-Aufruf. EU-Endpunkte wie Azure OpenAI in europäischen Regionen senken das Risiko zusätzlich.
Quellen
n8n: Privacy Documentation (2026)
n8n: Security & Compliance (2026)
Bitkom: Cloud Report 2025 (2025)
Bitkom: Unternehmen ächzen weiter unterm Datenschutz (2025)
dsgvo-portal.de: Rückblick DSGVO-Bußgeldverfahren und Datenpannen 2025 (2025)