Ist n8n automatisch DSGVO-konform?

n8n als Software ist neutral – die DSGVO-Konformität hängt davon ab, wie und wo Sie es betreiben. n8n Self-Hosted auf einem deutschen Server (z. B. Hetzner in Nürnberg) ist der DSGVO-Goldstandard: Alle Daten bleiben in Ihrer Infrastruktur, es gibt keine Datenweitergabe. n8n Cloud läuft auf EU-Servern und ist für die meisten Anwendungen konform. Kritisch wird es bei den Drittdiensten, die Sie in Workflows einbinden.

Brauche ich einen AVV mit n8n?

Für die n8n Cloud: Ja, ein Auftragsverarbeitungsvertrag (AVV) mit n8n ist erforderlich, wenn personenbezogene Daten durch Workflows fließen. n8n stellt einen standardisierten AVV bereit, der direkt in den Account-Einstellungen akzeptiert werden kann. Für Self-Hosted n8n auf eigenem Server: n8n verarbeitet keine Ihrer Daten, daher ist kein AVV mit n8n notwendig – wohl aber mit Ihrem Server-Anbieter (Hetzner stellt ebenfalls einen AVV bereit).

Welche Drittdienste in n8n-Workflows sind DSGVO-kritisch?

Kritisch sind alle US-basierten Dienste, an die personenbezogene Daten übertragen werden: Zapier (für Integrationen), Salesforce, HubSpot (US-Server), OpenAI/Anthropic (KI-APIs), Google Workspace (je nach Konfiguration). Für jeden dieser Dienste benötigen Sie einen AVV und müssen die Datenweitergabe in Ihre Datenschutzerklärung aufnehmen. Empfehlung: EU-basierte Alternativen bevorzugen.

Wie lange darf n8n Ausführungsdaten speichern?

Die DSGVO verlangt das Prinzip der Speicherbegrenzung: Daten dürfen nicht länger gespeichert werden als notwendig. Für Workflow-Ausführungsdaten in n8n empfehle ich eine Retention von 30–90 Tagen. In den n8n-Einstellungen kann die automatische Löschung der Execution History konfiguriert werden (Pruning). Für Compliance-relevante Workflows (z. B. mit Kundendaten) sollten Sie die Retention dokumentieren und ggf. kürzen.

n8n DSGVO-konform betreiben: Leitfaden

n8n ist ein leistungsfähiges Automatisierungswerkzeug – aber wie jede Software, die mit Unternehmensdaten arbeitet, wirft es DSGVO-Fragen auf. Wenn Kundendaten durch Ihre Workflows fließen, müssen Sie diese Fragen beantwortet haben, bevor Sie live gehen.

Die gute Nachricht: n8n ist – richtig eingesetzt – das DSGVO-freundlichste Automatisierungstool auf dem Markt. Dieser Leitfaden zeigt Ihnen, was Sie wissen müssen und was Sie konkret tun müssen.

DSGVO-Grundprinzipien für Automatisierung

Automatisierungsworkflows, die personenbezogene Daten (Namen, E-Mails, Adressen, IPs) verarbeiten, unterliegen der DSGVO. Die wichtigsten Grundprinzipien, die Sie im Kopf behalten müssen:

Zweckbindung: Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Ein Lead, der für einen Newsletter eingetragen wird, darf nicht automatisch in ein CRM für Verkaufsgespräche überführt werden – ohne entsprechende Rechtsgrundlage.
Datensparsamkeit: Verarbeiten Sie nur die Daten, die für den Workflow wirklich notwendig sind. Schleifen Sie keine Telefonnummern durch einen Workflow, der sie nicht braucht.
Speicherbegrenzung: Daten dürfen nicht länger gespeichert werden als nötig. Das gilt auch für n8n-Execution-Logs.
Rechtsgrundlage: Jede Datenverarbeitung braucht eine Rechtsgrundlage (Einwilligung, berechtigtes Interesse, Vertrag etc.).
Vertraulichkeit: Daten müssen sicher übertragen und gespeichert werden (SSL, Verschlüsselung).

Self-Hosted vs. Cloud: Der entscheidende Unterschied

Die DSGVO-Einschätzung für n8n hängt maßgeblich vom Betriebsmodell ab:

n8n Self-Hosted auf deutschem Server (Hetzner)

Das ist der DSGVO-Goldstandard:

Alle Daten bleiben in Ihrer eigenen Infrastruktur
Keine Datenweitergabe an Dritte durch n8n selbst
Server in Deutschland – nur deutsches und EU-Recht anwendbar
Kein US Cloud Act, keine Datentransfer-Problematik
Sie sind alleiniger Verantwortlicher (kein AVV mit n8n nötig)

n8n Cloud

n8n Cloud läuft auf AWS-Infrastruktur in der EU (Frankfurt). Das ist für die meisten Anwendungsfälle ausreichend:

EU-Serverstandort ✓
AVV mit n8n GmbH abschließen (in Account-Einstellungen verfügbar) ✓
n8n GmbH ist deutsches Unternehmen ✓
AWS EU als Subauftragsverarbeiter – eigener AVV mit AWS vorhanden ✓

Nachteil: Sie haben weniger Kontrolle als beim Self-Hosting. Bei hochsensiblen Daten (Gesundheit, Finanzen) empfehle ich Self-Hosting.

AVV: Mit wem Sie Verträge brauchen

Immer wenn n8n Daten in Ihrem Auftrag verarbeitet und ein externer Dienst beteiligt ist, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO:

Dienst	AVV nötig?	Wo abschließen?
n8n Cloud	Ja	Account-Einstellungen > Legal
Hetzner (Self-Hosted)	Ja	Hetzner Cloud-Konsole > Datenschutz
Google Workspace (Gmail etc.)	Ja	Automatisch im Google-Nutzungsvertrag
HubSpot, Salesforce	Ja	Jeweils in Konto-Einstellungen
OpenAI, Anthropic	Ja	API-Kontobereich, separate Anfrage
Slack, Teams	Ja (bei Kundendaten)	Enterprise-Plan oder separate Anfrage

Datensparsamkeit in Workflows

Konkrete Tipps für datensparsamere n8n-Workflows:

Nur benötigte Felder weitergeben: Nutzen Sie den Set-Node, um nur relevante Felder an den nächsten Node zu übergeben. Wenn eine Buchhaltungs-API nur Betrag und Datum braucht, übergeben Sie nicht den vollständigen Kundendatensatz.
Daten früh anonymisieren: Wenn möglich, ersetzen Sie personenbezogene Daten durch IDs oder Hashes, bevor Daten an externe APIs geschickt werden.
Keine unnötigen Logs: Deaktivieren Sie das Speichern von Execution-Daten für Workflows, die besonders sensible Daten verarbeiten: Einstellung „Save Execution Data" auf „Only Errors" setzen.
Passwörter und Keys nur in Credentials: Niemals Credentials als Plaintext in Workflow-Variablen. n8n verschlüsselt den Credentials-Speicher mit AES-256.

Logging und Löschkonzept

n8n speichert standardmäßig alle Workflow-Ausführungen – inklusive der Eingabe- und Ausgabedaten jedes Nodes. Bei Workflows mit personenbezogenen Daten ist das problematisch.

Execution History konfigurieren

In den n8n-Einstellungen (Settings → Executions) konfigurieren Sie:

Save Execution History: Wählen Sie „Only Errors" für sensible Workflows
Prune Data: Aktivieren und Retention auf 30 oder 90 Tage setzen
Max Execution Count: Maximale Anzahl gespeicherter Ausführungen pro Workflow

Löschkonzept dokumentieren

Dokumentieren Sie in Ihrem Verarbeitungsverzeichnis für jeden n8n-Workflow:

Welche personenbezogenen Daten verarbeitet werden
Wie lange diese in n8n-Logs gespeichert bleiben
Wer Zugang zu den Logs hat
Wie auf Auskunfts- und Löschanfragen reagiert wird

Vergleich: Self-Hosted vs. Cloud für DSGVO

Kriterium	Self-Hosted (Hetzner DE)	n8n Cloud (AWS EU)
Datenspeicherort	Eigene Infrastruktur in DE	AWS Frankfurt (EU)
Datenweitergabe an n8n	Keine	Ja (AVV erforderlich)
US Cloud Act Risiko	Kein Risiko	Minimal (AWS EU-Entity)
Kontrolle über Logs	Vollständig	Begrenzt (UI-Einstellungen)
AVV-Aufwand	Nur mit Hetzner	Mit n8n GmbH + Hetzner
Für hochsensible Daten	Empfohlen	Prüfen
Technischer Aufwand	Höher (Server-Management)	Keiner

Für die meisten deutschen KMU, die keine hochsensiblen Daten (Gesundheit, Finanzen, besondere Kategorien nach Art. 9 DSGVO) automatisieren, reicht die n8n Cloud mit korrekt abgeschlossenem AVV aus. Für maximale Sicherheit und Kontrolle ist Self-Hosting die bessere Wahl.

Details zum Self-Hosting-Setup finden Sie im Artikel n8n selbst hosten auf Hetzner. Den großen DSGVO-Überblick gibt es im DSGVO-Leitfaden für Unternehmen und Web-Designer. Den Einstieg in n8n generell bietet der n8n-Automatisierungsleitfaden.

n8n DSGVO-konform betreiben: Was Sie wissen müssen

DSGVO-Grundprinzipien für Automatisierung

Self-Hosted vs. Cloud: Der entscheidende Unterschied

n8n Self-Hosted auf deutschem Server (Hetzner)

n8n Cloud

AVV: Mit wem Sie Verträge brauchen

Datensparsamkeit in Workflows

Logging und Löschkonzept

Execution History konfigurieren

Löschkonzept dokumentieren

Vergleich: Self-Hosted vs. Cloud für DSGVO

Häufig gestellte Fragen

Projekt besprechen?

Weiterführende Artikel

DSGVO-Leitfaden für Web-Designer in Deutschland (2025/2026)

n8n Automatisierung: Der komplette Leitfaden für Unternehmen (2026)

n8n selbst hosten auf Hetzner: Schritt-für-Schritt-Anleitung