Ist n8n DSGVO-konform? Self-Hosting macht den Unterschied

n8n kann DSGVO-konform laufen, ist es aber nicht automatisch. Was Cloud und Self-Hosting unterscheidet und wo Workflows Daten verlieren.

Sobald durch Ihre n8n-Workflows Kundendaten laufen, Namen, E-Mail-Adressen, Rechnungsbeträge, manchmal Bewerbungen, landet die Frage auf Ihrem Tisch: Ist n8n DSGVO-konform? Die kurze Antwort: n8n kann DSGVO-konform betrieben werden, ist es aber nicht von allein. Die DSGVO bewertet den Betrieb und die Workflows, nicht das Werkzeug, deshalb entscheidet Ihr Setup und nicht die Software allein.

Klären sollten Sie das übrigens, bevor der erste Workflow produktiv geht, nicht danach. Entscheidend sind drei Dinge: wo n8n läuft, welche Dienste Ihre Workflows anbinden und was mit den Ausführungsdaten passiert. Self-Hosting auf einem Server in Deutschland ist der direkteste Weg zu voller Datenhoheit, löst aber nicht jede Frage.

Warum „DSGVO-konform“ keine Eigenschaft einer Software ist

Die DSGVO regelt Verarbeitungstätigkeiten, keine Produkte, deshalb kann kein Hersteller seriös behaupten, seine Software sei pauschal DSGVO-konform. Verantwortlich für die Datenverarbeitung bleiben Sie als Unternehmen. Ein n8n-Workflow, der Kundendaten ungefragt an einen US-Dienst schickt, verletzt die DSGVO auf demselben Server, auf dem ein sauber gebauter Workflow völlig unkritisch läuft. Die Frage lautet also nicht „Ist n8n konform?“, sondern „Ist mein n8n-Setup samt Workflows konform?“. Das ist keine Wortklauberei, sondern der Grund, warum Hosting-Entscheidung und Workflow-Design getrennt betrachtet werden müssen.

n8n Cloud: deutsches Unternehmen, EU-Server, US-Cloud-Anbieter

n8n Cloud speichert Kundendaten laut der offiziellen Sicherheitsseite von n8n (Stand Juli 2026) auf Microsoft-Azure-Infrastruktur in der Europäischen Union, die Preisseite nennt als Standort Frankfurt. Hinter dem Produkt steht die n8n GmbH mit Sitz in Berlin, also ein deutsches Unternehmen. Einen Auftragsverarbeitungsvertrag (AVV, englisch DPA) stellt n8n zum Unterzeichnen bereit, inklusive EU-Standardvertragsklauseln und einer öffentlichen Liste der Subdienstleister. Das ist eine solide Grundlage für viele KMU.

Der Punkt, den Sie kennen sollten: Azure gehört Microsoft, einem US-Konzern. Auch bei Speicherung in Frankfurt bleibt damit ein US-Anbieter in der Kette. Für die meisten Geschäftsdaten ist das mit AVV und Standardvertragsklauseln vertretbar, für besonders sensible Daten, etwa bei Berufsgeheimnisträgern oder im Gesundheitsbereich, wird es zum Diskussionspunkt mit dem Datenschutzbeauftragten. Diese Bewertung nimmt Ihnen keine Software ab, und dieser Beitrag ersetzt keine Rechtsberatung.

Self-Hosting: Ihre Daten bleiben auf Ihrem Server

Beim Self-Hosting läuft n8n auf einem Server, den Sie kontrollieren, und personenbezogene Daten aus Ihren Workflows verlassen Ihre Infrastruktur nicht, solange die Workflows keine externen Dienste anbinden. Die Community Edition ist ohne Lizenzgebühr nutzbar und lässt sich per Docker auf einem Server bei einem deutschen Hoster betreiben. Einen AVV brauchen Sie dann nur noch mit dem Hoster, nicht mit n8n selbst, denn n8n hat keinen Zugriff auf Ihre Instanz. Genau dieses Setup bauen wir bei NordFlux standardmäßig: n8n auf einem Server in Deutschland, mit Updates, Backups und Monitoring, damit der Betrieb nicht an Ihnen hängen bleibt.

Ehrlich dazugesagt: Self-Hosting verschiebt die Verantwortung für Sicherheit zu Ihnen. Ein ungepatchter n8n-Server mit offenem Login ist ein größeres Datenschutzrisiko als jede seriös betriebene Cloud. Wer intern niemanden für Serverpflege hat, sollte den Betrieb an einen Dienstleister geben oder die Cloud-Variante mit AVV bewusst wählen.

Kurz gesagt

Ob n8n DSGVO-konform läuft, entscheidet nicht die Software, sondern Ihr Setup. Self-Hosting in Deutschland löst die Hosting-Frage. Die Frage, wohin Ihre Workflows Daten schicken, löst nur sauberes Workflow-Design.

Drei Datenschutz-Fallen im Workflow-Design

Die meisten Datenschutzprobleme mit n8n entstehen nicht beim Hosting, sondern in den Workflows selbst. Drei Muster sehen wir in der Praxis immer wieder:

  • KI-Nodes: Sobald ein Workflow Kundendaten an ein KI-Modell wie OpenAI oder Anthropic schickt, verarbeitet dieser Anbieter die Daten. Dann brauchen Sie einen AVV mit dem KI-Anbieter, den Ausschluss vom Modelltraining und möglichst Datenminimierung vor dem Node.
  • Drittanbieter-Nodes zu US-Diensten: Google Sheets, Slack oder Airtable als Workflow-Ziel bedeuten Drittlandtransfer. Der selbstgehostete Server nützt wenig, wenn der Workflow die Daten anschließend in eine US-Tabelle kopiert.
  • Execution-Logs: n8n speichert standardmäßig die Ein- und Ausgabedaten jeder Workflow-Ausführung. Ohne begrenzte Aufbewahrung sammeln sich dort personenbezogene Daten, an die niemand mehr denkt.

Besonders die KI-Anbindung verdient einen genauen Blick, weil dort oft komplette Datensätze fließen, obwohl das Modell nur zwei Felder braucht. Wie Sie KI-Dienste generell datenschutzkonform einbinden, von der Anbieterwahl bis zum AVV, haben wir im Beitrag zu DSGVO-konformer KI im Unternehmen ausführlich beschrieben.

n8n DSGVO-konform betreiben: so sieht ein sauberes Setup aus

Ein belastbares n8n-Setup für den Mittelstand besteht aus vier Bausteinen: einem Server bei einem deutschen oder europäischen Hoster mit unterschriebenem AVV, Zugriffskontrolle mit persönlichen Konten und Zwei-Faktor-Anmeldung, einer Löschregel für Execution-Daten (n8n kann alte Ausführungsdaten automatisch bereinigen) und Datenminimierung in jedem Workflow, der externe Dienste anspricht. Dazu gehört, die Workflows ins Verzeichnis der Verarbeitungstätigkeiten aufzunehmen, damit Ihr Datenschutzbeauftragter weiß, was automatisiert wurde. Das klingt nach Papierkram, ist aber in ein bis zwei Arbeitstagen erledigt und muss danach nur gepflegt werden.

Der Aufwand lohnt sich doppelt: Ein dokumentiertes Setup beschleunigt jede spätere Erweiterung, weil die Grundsatzfragen geklärt sind und neue Workflows nur noch gegen die bestehenden Regeln geprüft werden müssen.

Häufige Fragen

Ist n8n Cloud DSGVO-konform nutzbar?

Ja, für viele Anwendungsfälle. n8n bietet einen AVV mit EU-Standardvertragsklauseln, und die Daten liegen laut n8n auf Azure-Servern in der EU. Zu bewerten bleibt, dass mit Microsoft ein US-Anbieter die Infrastruktur stellt. Bei sensiblen Daten sollten Sie das mit Ihrem Datenschutzbeauftragten klären.

Brauche ich beim Self-Hosting einen AVV mit n8n?

Nein. Bei einer selbstgehosteten Instanz verarbeitet n8n keine Daten für Sie, die Software läuft vollständig auf Ihrem Server. Einen AVV brauchen Sie stattdessen mit dem Hosting-Anbieter, auf dessen Server die Instanz läuft, sofern Sie keinen eigenen Server im Haus betreiben.

Darf ich KI-Nodes wie OpenAI in n8n-Workflows nutzen?

Grundsätzlich ja, wenn die Rahmenbedingungen stimmen: AVV mit dem KI-Anbieter, Ausschluss der Daten vom Modelltraining und nur die Felder übertragen, die das Modell wirklich braucht. Wer Drittlandtransfers vermeiden will, kann auf europäische Anbieter oder lokal betriebene Modelle ausweichen.

Was kostet n8n beim Self-Hosting?

Die Community Edition ist lizenzkostenfrei, Sie zahlen den Server und den Betrieb, also Updates, Backups und Monitoring. Für kleinere Setups reicht ein einfacher Cloud-Server bei einem deutschen Hoster. Die ehrliche Rechnung enthält allerdings auch die Arbeitszeit für die Pflege, intern oder über einen Dienstleister.

Macht Self-Hosting n8n automatisch DSGVO-konform?

Nein. Self-Hosting klärt nur, wo die Software läuft und wer Zugriff auf die Instanz hat. Ob die Verarbeitung konform ist, hängt zusätzlich davon ab, welche Dienste Ihre Workflows anbinden, wie lange Ausführungsdaten gespeichert werden und ob eine Rechtsgrundlage für die Verarbeitung besteht.

About NordFlux

NordFlux UG (haftungsbeschränkt)

NordFlux builds digital employees for organisations: automations and AI agents that take over repetitive work. You stay in control.

More about us
Free initial analysis

Soll n8n bei Ihnen datenschutzsauber laufen?

In der kostenlosen Erstanalyse prüfen wir Ihre Prozesse und sagen Ihnen ehrlich, ob n8n passt und wie das Setup mit deutscher Datenhoheit aussieht.

  • n8n auf einem Server in Deutschland, Sie behalten die Kontrolle
  • Workflow-Design mit Datenminimierung statt Datenabfluss
  • Ein fester Ansprechpartner, kein Callcenter