n8n DSGVO-konform und self-hosted betreiben
Self-Hosting auf einem EU-Server gibt dir die Datenhoheit zurück. Aber der Server allein macht noch kein konformes Setup. Ich zeige, worauf es ankommt: Datenstandort, AVV, angebundene Dienste und der Umgang mit Ausführungsdaten.
Was „n8n DSGVO-konform“ eigentlich heißt
n8n selbst ist erst mal nur Software, ein Baukasten für Workflows. Ob du es datenschutzkonform einsetzt, entscheidet sich nicht an n8n, sondern an deinem Setup: Wo läuft die Instanz, wer hat Zugriff, welche Daten laufen durch die Workflows und wohin gehen sie am Ende. Genau das ist auch der Grund, warum viele zu n8n greifen. Bei der Self-Hosting-Variante liegt die Instanz auf einem Server, den du auswählst, und damit bleibt die Kontrolle über den Datenstandort bei dir.
Das ist der entscheidende Unterschied zu vielen US-Automatisierungstools, bei denen deine Daten zwangsläufig über fremde Server laufen. Mit n8n auf einem deutschen oder europäischen Server bestimmst du, wo die Verarbeitung passiert. Die DSGVO verlangt aber mehr als nur einen guten Serverstandort. Sie fragt nach Verträgen, nach klaren Zuständigkeiten und nach dem Umgang mit den Daten über ihren ganzen Weg.
Dieser Text ist eine praktische Orientierung aus Projektsicht, keine Rechtsberatung. Für die verbindliche Bewertung deines konkreten Falls gehört am Ende ein Blick von jemandem dazu, der Datenschutzrecht macht.
Self-Hosting oder n8n Cloud
Beide Wege lassen sich datenschutzkonform gehen. Sie unterscheiden sich vor allem darin, wie viel Kontrolle und wie viel Betriebsaufwand bei dir liegt.
Wenn du grundsätzlich überlegst, ob n8n das richtige Werkzeug ist und wie es sich gegen Zapier und Make schlägt, hilft der Vergleich n8n vs. Zapier vs. Make. Wie ich n8n in der Praxis aufsetze und betreibe, steht auf der Seite zur n8n-Agentur.
Mit wem du einen AVV brauchst
Ein Auftragsverarbeitungsvertrag regelt, dass jemand personenbezogene Daten in deinem Auftrag verarbeitet und sich dabei an deine Vorgaben hält. Bei n8n ist die Frage nicht „brauche ich einen AVV mit n8n“, sondern „wer verarbeitet hier eigentlich in meinem Auftrag“. Das hängt davon ab, wie du n8n betreibst.
Bei Self-Hosting
Du bist der Verantwortliche. Den AVV schließt du mit deinem Hosting-Anbieter, denn auf dessen Infrastruktur liegen die Daten. n8n als Software steht nicht dazwischen. Dazu kommt ein AVV mit jedem Dienst, an den deine Workflows Daten weitergeben.
Bei n8n Cloud
Hier betreibt n8n die Instanz für dich und wird damit dein Auftragsverarbeiter. Den AVV schließt du also mit n8n. Auch hier gilt zusätzlich: für jedes angebundene Tool, das Daten erhält, ein eigener Vertrag.
Der Punkt, den viele unterschätzen: Die angebundenen Dienste zählen mit. Ein Workflow, der Kontakte aus einem Formular an HubSpot, ein E-Mail-Tool und eine Datenbank verteilt, berührt drei Verarbeiter. Der Suchbegriff „n8n avv“ taucht regelmäßig auf, und fast immer steckt dahinter genau diese Unsicherheit, mit wem der Vertrag überhaupt geschlossen werden muss.
Was du vor dem Einsatz prüfen solltest
Sechs Punkte, die ich bei jedem n8n-Setup mit Datenschutzbezug durchgehe, bevor der erste Workflow scharf geschaltet wird.
Datenstandort festlegen
Auf welchem Server läuft n8n und wo steht der? Bei Self-Hosting wählst du das selbst, etwa einen deutschen oder EU-Anbieter. Bei n8n Cloud entscheidet der Tarif über die Region.
Verantwortlichkeiten klären
Bist du beim Self-Hosting der Verantwortliche im Sinne der DSGVO und der Hoster dein Auftragsverarbeiter? Oder ist bei der Cloud-Variante n8n selbst dein Auftragsverarbeiter? Davon hängt ab, mit wem du einen AVV brauchst.
AVV abschließen
Mit jedem Dienst, der in deinem Auftrag personenbezogene Daten verarbeitet: dem Hosting-Anbieter, n8n bei der Cloud-Variante und jedem angebundenen Tool, an das Daten fließen.
Angebundene Dienste prüfen
Ein Workflow ist nur so datenschutzfreundlich wie seine Endpunkte. Wenn n8n Daten an ein US-Tool ohne passende Garantien schickt, hilft der EU-Server nichts.
Verschlüsselung und Zugriffe
Verschlüsselung im Transport und idealerweise auf dem Server, getrennte Konten statt eines geteilten Admin-Logins, Zwei-Faktor-Authentifizierung für die n8n-Oberfläche.
Logs und Ausführungsdaten
n8n speichert Ausführungen mitsamt der durchlaufenen Daten. Das sind oft personenbezogene Daten. Lege fest, wie lange diese aufbewahrt werden und wann sie automatisch gelöscht werden.
Drei Annahmen, die in der Praxis schiefgehen
„Self-hosted ist automatisch DSGVO-konform“
Der eigene Server ist die Grundlage, nicht der Schlusspunkt. Konform wird ein Setup erst, wenn auch Verträge, Zugriffe, Löschfristen und die angebundenen Tools stimmen. Ein US-Dienst am Ende des Workflows kann die ganze Kette wieder kippen.
Ausführungsdaten werden vergessen
Viele richten Workflows ein und denken nicht an die gespeicherten Ausführungen. Dort liegen oft Klarnamen, E-Mail-Adressen oder Bestelldaten. Ohne Aufbewahrungsregel sammelt sich das unbegrenzt an.
Der AVV mit dem Hoster fehlt
Beim Self-Hosting ist der Server-Anbieter dein Auftragsverarbeiter. Auch wenn die Maschine bei dir im Konto läuft, braucht es dafür einen Vertrag. Das wird gern übersehen, weil sich n8n selbst ja nicht meldet.
Wann sich der Self-Hosting-Weg lohnt
- Du verarbeitest in deinen Workflows personenbezogene Daten und willst sie in der EU halten.
- Deine Branche oder deine Kunden verlangen klare Aussagen zum Datenstandort.
- Du willst nicht jeden Automatisierungsschritt über die Server eines US-Anbieters laufen lassen.
- Du brauchst Kontrolle über Aufbewahrung und Löschung der Ausführungsdaten.
Wenn deine Workflows dagegen kaum personenbezogene Daten berühren und der Betrieb eines eigenen Servers Aufwand ohne Gegenwert wäre, kann die Cloud-Variante der pragmatischere Weg sein. Auch das gehen wir im Gespräch ehrlich durch.
Häufige Fragen zu n8n und DSGVO
n8n sauber und datenschutzkonform aufsetzen
Sag kurz, welche Daten durch deine Workflows laufen sollen und wie dein aktuelles Setup aussieht. Ich melde mich mit einer ehrlichen Einschätzung, ob Self-Hosting oder Cloud für dich passt und worauf du achten solltest.
- Kostenloses Erstgespräch, ca. 15 Minuten
- Einschätzung zu Datenstandort, AVV und angebundenen Diensten
- n8n self-hosted auf einem EU-Server, sauber konfiguriert
