Ist n8n DSGVO-konform? Self-Hosting macht den Unterschied
n8n kann DSGVO-konform laufen, ist es aber nicht automatisch. Was Cloud und Self-Hosting unterscheidet und wo Workflows Daten verlieren.
Seit wann speichert Power Automate Daten in der EU? Fakten zur EU Data Boundary und was das für Ihren Betrieb bedeutet.

Wer Power Automate für Rechnungsfreigaben, HR-Workflows oder Kundendaten einsetzt, bekommt bei der nächsten Datenschutz-Folgenabschätzung fast immer dieselbe Frage aus der Rechtsabteilung: Wo genau liegen die Daten, wenn ein Cloud-Flow läuft? Viele IT-Verantwortliche im Mittelstand können das nicht sauber beantworten, weil Microsoft die Antwort über mehrere Jahre und mehrere Dokumente verteilt hat.
Dieser Beitrag bringt die Fakten zusammen: was die EU Data Boundary bei Power Automate konkret bedeutet, wo die Grenzen liegen und was das praktisch für Ihren Betrieb heißt.
Die EU Data Boundary ist die von Microsoft zugesagte geografische Grenze, innerhalb derer Kundendaten und personenbezogene Daten für Microsoft-Onlinedienste wie Power Automate gespeichert und verarbeitet werden, und sie umfasst die 27 EU-Staaten sowie die vier EFTA-Länder Liechtenstein, Island, Norwegen und die Schweiz (Quelle: Microsoft Learn, EU Data Boundary).
Seit November 2024 werden alle neu erstellten Power-Automate-Cloud-Flows automatisch innerhalb dieser Grenze gespeichert und verarbeitet, unabhängig davon, ob sie Teil einer Solution sind (Quelle: Microsoft Learn, Power Automate und die EU Data Boundary). Für Flows, die vor diesem Stichtag entstanden sind, stellt Microsoft ein Migrationswerkzeug für Power-Platform-Administratoren bereit, weil ältere Flows außerhalb von Solutions ursprünglich in global replizierten Ressourcengruppen angelegt wurden.
Ausschlaggebend ist die sogenannte Home Geo Ihres Microsoft-Entra-Tenants: Die geografische Region, die beim Einrichten des Tenants anhand der Rechnungsadresse zugewiesen wird, bestimmt, in welcher Azure-Geografie Ihre Power-Platform-Umgebungen und damit auch Ihre Flow-Daten liegen (Quelle: Microsoft Learn, Datenspeicherung und -governance).
Ein Sonderfall zeigt, wie genau man hinschauen muss: Bei Copilot Studio landen Daten standardmäßig in den USA, wenn die Tenant-Region nicht explizit in der EU-Liste geführt ist, mit einer Ausnahme für Frankreich, dessen Daten in Europa bleiben (Quelle: Microsoft Learn, Dynamics 365 und Power Platform Datenresidenz). Wer Power-Automate-Flows mit Copilot-Studio-Agenten kombiniert, muss also beide Komponenten getrennt prüfen.
Auch innerhalb der EU Data Boundary gibt es Ausnahmen: Tabellen- und Spaltennamen sowie App-Namen, Beschreibungen und Logos werden aus Support- und Performancegründen global repliziert, der eigentliche Dateninhalt bleibt aber in der zugewiesenen Geografie (Quelle: Microsoft Learn, fortlaufende Teilübertragungen).
Drei Schritte reichen für die meisten Mittelständler: erstens die Home Geo des eigenen Tenants im Power Platform Admin Center prüfen, zweitens mit dem PowerShell-Cmdlet Get-AdminFlow -IncludeEUDBNonCompliantFlows nach älteren, noch nicht migrierten Flows suchen, drittens gefundene Flows über Start-EUDBMigration nachträglich migrieren.
Bei einem Kunden aus der Logistikbranche haben wir genau diesen Cmdlet-Aufruf vor einem DSGVO-Audit genutzt: Mehrere vor November 2024 angelegte Flows lagen noch außerhalb der EU-Grenze und wurden über das Migrationswerkzeug nachträglich verschoben, ohne dass die automatisierten Läufe unterbrochen wurden. Während der Migration lassen sich betroffene Flows kurzzeitig nicht bearbeiten oder manuell starten, automatisierte und geplante Läufe laufen aber ohne Unterbrechung weiter (Quelle: Microsoft Learn, Migration durchführen).
Der Unterschied liegt in der Art der Kontrolle: Power Automate gibt eine vertragliche Zusage von Microsoft, dass Daten innerhalb der EU-Grenze bleiben, selbst gehostetes n8n gibt Ihnen die physische Kontrolle über den Server, auf dem die Daten überhaupt erst entstehen. Mehr zur Self-Hosting-Perspektive lesen Sie in unserem Beitrag Ist n8n DSGVO-konform? Self-Hosting macht den Unterschied.
Diese Frage trifft einen wunden Punkt der deutschen Wirtschaft: 78 Prozent der Unternehmen halten Deutschland für zu abhängig von US-Cloud-Anbietern, 82 Prozent wünschen sich große Cloud-Anbieter aus Deutschland oder Europa (Quelle: Bitkom, Cloud Report 2025).
Für die meisten Mittelständler ist deshalb nicht die Frage „Power Automate oder n8n“ entscheidend, sondern „wo brauche ich welche Kontrolle“: In besonders sensiblen Kernprozessen kann Self-Hosting sinnvoll sein, in der Microsoft-365-Umgebung, in der ohnehin gearbeitet wird, ist eine sauber konfigurierte EU Data Boundary häufig der pragmatischere Weg. Genau das prüfen wir bei NordFlux vor jeder Power-Automate-Automatisierung und jeder umfassenderen Microsoft-365-Automatisierung.
Seit November 2024 speichert Power Automate neue Cloud-Flows automatisch innerhalb der EU Data Boundary, ältere Flows lassen sich per PowerShell-Migrationswerkzeug nachrüsten. Entscheidend bleibt die Home Geo des Tenants, Ausnahmen bestehen bei global replizierten Metadaten und bei Copilot Studio ohne explizite EU-Zuordnung.
Power Automate kann DSGVO-konform betrieben werden, wenn der Tenant in einer EU-Geografie liegt und alle Cloud-Flows innerhalb der EU Data Boundary gespeichert und verarbeitet werden. Für Flows aus der Zeit vor November 2024 ist dafür in der Regel eine Migration über das PowerShell-Werkzeug von Microsoft nötig.
Für Kunden mit EU-Tenant und migrierten Flows bleiben Kundendaten und personenbezogene Daten innerhalb der EU Data Boundary. Ausnahmen betreffen global funktionierende Komponenten wie Content Delivery Networks, Microsoft Entra ID oder replizierte Tabellen- und Spaltennamen, nicht aber den eigentlichen Dateninhalt.
Mit dem PowerShell-Cmdlet Get-AdminFlow -IncludeEUDBNonCompliantFlows lassen sich über die Power Platform Administrator PowerShell alle Flows auflisten, die noch nicht innerhalb der EU Data Boundary migriert wurden, einzeln oder je Umgebung.
Sicherer nicht automatisch, aber kontrollierbarer: Self-Hosting gibt die physische Hoheit über die Infrastruktur, Power Automate mit korrekt konfigurierter EU Data Boundary gibt eine vertragliche Zusage bei geringerem Betriebsaufwand. Welche Lösung passt, hängt von der Sensibilität der Daten und den vorhandenen IT-Ressourcen ab.
Ja. Vor jeder Power-Automate- oder Microsoft-365-Automatisierung prüfen wir Tenant-Geo, migrationspflichtige Altflows und Konnektoren, die Daten außerhalb der EU verarbeiten könnten, und dokumentieren das Ergebnis für Ihre Datenschutz-Folgenabschätzung.
NordFlux baut Organisationen digitale Mitarbeiter: Automatisierungen und KI-Agenten, die wiederkehrende Arbeit abnehmen. Sie behalten die Kontrolle.
n8n kann DSGVO-konform laufen, ist es aber nicht automatisch. Was Cloud und Self-Hosting unterscheidet und wo Workflows Daten verlieren.
Drei Werkzeuge, drei Philosophien. Ein ehrlicher Vergleich von Kosten, Datenhoheit und Aufwand, ohne Hersteller-Bias.
In der kostenlosen Erstanalyse besprechen wir Ihren Fall direkt. Unverbindlich.