KI im Scheinwerferlicht

Künstliche Intelligenz anwenden und verstehen.

n8n DSGVO-konform nutzen: Was du wirklich wissen musst (2026)

Ein leuchtendes digitales Schild mit Symbolen für Daten und Automatisierung, umgeben von Warnsymbolen. Der überlagerte Text auf Deutsch lautet: "n8n & DSGVO: Was du wissen musst." Perfekt zur Veranschaulichung der n8n-DSGVO-Konformitätsgrundlagen.

n8n ist DSGVO-konform nutzbar, aber es kommt auf die Details an. Self‑Hosted auf EU‑Servern ist der klarste Weg. n8n Cloud erfordert zusätzliche Prüfung wegen US‑Servern. Ich zeige, welche Daten n8n verarbeitet, wie du die Instanz richtig einrichtest und welche Workflow‑Szenarien unbedenklich oder kritisch sind.

Rene, dein KI-Enthusiast und Blogger

Von: René Lutz

📄 ,
🏷️ , ,

veröffentlicht:

zuletzt aktualisiert:

KI-Praktiker aus dem Finanzsektor. Schreibt seit 2022 über KI-Tools, n8n-Automatisierung und lokale Modelle.

Kein Rechtsrat: Dieser Artikel gibt meine persönliche Einschätzung als n8n-Nutzer wieder, keine rechtliche Beratung. DSGVO-Compliance ist komplex und von deinem konkreten Anwendungsfall abhängig. Bei rechtlichen Fragen wende dich an einen Fachanwalt oder Datenschutzbeauftragten.

Was du in diesem Artikel lernst

  • Warum Cloud und Self-Hosted aus DSGVO-Sicht fundamental unterschiedlich sind
  • Welche Daten n8n verarbeitet und wo sie landen
  • 4 praktische Schritte für eine DSGVO-konforme n8n-Instanz
  • Wann du einen AV-Vertrag brauchst und mit wem
  • Welche Workflow-Szenarien unbedenklich, prüfenswert oder kritisch sind
Transparenz: Dieser Artikel enthält Affiliate-Links zu n8n. Ich nutze n8n selbst täglich und empfehle es aus eigener Überzeugung.

n8n ist ein leistungsstarkes Automatisierungs-Tool. Wer damit Workflows baut, die Kundendaten, E-Mail-Inhalte oder CRM-Einträge verarbeiten, fragt früher oder später: Ist das eigentlich DSGVO-konform? Die ehrliche Antwort ist: Es kommt darauf an. Hauptsächlich darauf, welche Hosting-Variante du nutzt.

Ich betreibe n8n selbst lokal in Docker und habe mich intensiv mit der Frage beschäftigt, welche Daten wo landen. Was ich dabei gelernt habe, zeige ich in diesem Artikel.

Schnellübersicht für Eilige:
  • Self-Hosted auf EU-Server: Bester Ausgangspunkt für DSGVO-Compliance
  • n8n Cloud (US-Server): Zusätzliche Prüfung nötig (Drittlandtransfer)
  • Lokal (eigener PC/Mac): Daten verlassen dein Gerät nicht
  • KI-Nodes (OpenAI, ChatGPT): Immer Drittlandtransfer, Einwilligung prüfen

Ist n8n DSGVO-konform?

n8n selbst ist ein Tool, kein Akteur. Die Software verarbeitet nur das, was du ihr gibst. Ob eine n8n-Instanz DSGVO-konform betrieben wird, hängt also weniger vom Tool ab als von drei Faktoren: wo die Instanz läuft, welche Daten du verarbeitest und ob du die nötigen rechtlichen Grundlagen geschaffen hast.

Meine persönliche Einschätzung: Self-Hosted n8n auf einem deutschen oder finnischen Server ist der am einfachsten DSGVO-konform zu betreibende Weg. Die Cloud-Variante erfordert mehr Aufwand, weil die Server außerhalb der EU stehen. Das ist kein Ausschlusskriterium, aber ein Faktor, den du nicht ignorieren solltest.

Kurz-Definition: Personenbezogene Daten im Sinne der Datenschutz-Grundverordnung sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Also Namen, E-Mail-Adressen, IP-Adressen, Kundennummern und ähnliches. Sobald solche Daten durch n8n-Workflows fließen, greift die DSGVO.

Cloud oder Self-Hosted: Der entscheidende DSGVO-Unterschied

n8n Cloud und der US Cloud Act

Die n8n-Cloud läuft auf Servern außerhalb der EU, betrieben von US-amerikanischen Anbietern. Das bedeutet: Daten, die durch deine Workflows fließen, werden auf US-Servern verarbeitet. Das ist ein Drittlandtransfer im Sinne der DSGVO und erfordert eine Rechtsgrundlage, typischerweise Standardvertragsklauseln (SCCs).

Hinzu kommt der US Cloud Act. US-Behörden können unter bestimmten Voraussetzungen auf Daten zugreifen, die bei US-Unternehmen oder deren Töchtern gespeichert sind, auch wenn die Server in der EU stehen. Das gilt für viele bekannte Tools: Google Sheets, HubSpot, Salesforce, Slack. Wer sensible Kundendaten verarbeitet, sollte das ernst nehmen.

n8n bietet für die Cloud-Version einen AV-Vertrag (Data Processing Agreement) an. Das löst das rechtliche Grundlagenproblem für viele Anwendungsfälle, aber nicht alle. Für Branchen mit hohen Datenschutzanforderungen, also Gesundheitswesen, Rechtsberatung oder Finanzdienstleistungen, reicht ein AVV allein oft nicht aus.

Self-Hosted auf EU-Servern: Die sicherere Wahl

Wer n8n auf einem eigenen Server in Deutschland oder Finnland hostet, behält die volle Kontrolle. Daten bleiben in der EU, kein US-Anbieter hat strukturellen Zugriff, und der Serveranbieter, z. B. Hetzner, bietet einen AVV an, der deutschen Datenschutzstandards entspricht. Das ist aus meiner Sicht der klarste Weg zu einer rechtssicheren n8n-Instanz.

Die technische Einrichtung dauert unter einer Stunde. Eine vollständige Anleitung findest du im Artikel n8n selbst hosten: Schritt-für-Schritt-Anleitung.

Lokal auf dem eigenen PC: Wer n8n per Docker lokal betreibt, hat die engste Datenkontrolle. Daten verlassen den eigenen Rechner nicht, wenn diese z. B. nicht mit einem KI Agenten online verarbeitet werden. Für Produktiv-Workflows, die rund um die Uhr laufen sollen, ist das jedoch unpraktisch. Dazu muss der eigene Rechner 24h eingeschaltet sein. Als Test- und Entwicklungsumgebung ist es ideal.

Welche Daten verarbeitet n8n überhaupt?

Workflow-Definitionen und Execution-Logs

n8n speichert zwei Arten von Daten. Erstens: Workflow-Definitionen. Das sind die JSON-Strukturen, die beschreiben, welche Nodes in welcher Reihenfolge ausgeführt werden. Diese enthalten keine Echtdaten, sondern nur die Logik. Zweitens: Execution-Logs. Hier ist Vorsicht geboten.

Wenn ein Workflow ausgeführt wird, speichert n8n standardmäßig die Ein- und Ausgabe-Daten jedes Nodes. Das bedeutet: Wenn dein Workflow eine CRM-Abfrage macht und Kundennamen zurückbekommt, landen diese Namen im Execution-Log. Wie lange, lässt sich konfigurieren, und das sollte man tun.

Credentials und API-Keys

API-Keys, Passwörter und OAuth-Tokens werden verschlüsselt in der n8n-Datenbank gespeichert. Der Verschlüsselungsschlüssel liegt in der Umgebungsvariable N8N_ENCRYPTION_KEY. Wer Self-Hosting betreibt, kontrolliert diesen Key selbst, ein klarer Vorteil gegenüber gehosteten Lösungen.

Webhooks empfangen Daten von außen und leiten sie in Workflows weiter. Diese Daten erscheinen ebenfalls in den Execution-Logs. Gerade bei Kontaktformularen oder Lead-Erfassungs-Workflows können das sensible Informationen sein.

n8n DSGVO-konform einrichten: 4 praktische Schritte

Die folgenden Schritte sind keine Rechtsberatung, sondern technische Maßnahmen, die ich selbst umsetze. Sie reduzieren das Datenschutzrisiko messbar.

Execution-Datenspeicherung konfigurieren In den n8n-Einstellungen unter Settings → Execution Data lässt sich festlegen, wie lange Execution-Logs aufbewahrt werden. Meine Empfehlung: Erfolgreich abgeschlossene Ausführungen nach 7 Tagen automatisch löschen, Fehler 30 Tage behalten für Debugging. Wer besonders sensible Informationen verarbeitet, sollte noch kürzere Fristen wählen.
n8n docker-compose.yml — Execution-Daten begrenzenenvironment: – EXECUTIONS_DATA_PRUNE=true – EXECUTIONS_DATA_MAX_AGE=168 # Stunden (= 7 Tage) – EXECUTIONS_DATA_PRUNE_MAX_COUNT=1000
Dataminimierung: Nur verarbeiten, was nötig ist Das Minimalprinzip der DSGVO gilt auch für Workflows. Wenn dein CRM-Sync nur die E-Mail-Adresse braucht, lass Name, Telefon und Adresse weg. Das ist nicht nur Datenschutz, es macht Workflows auch robuster. Ein Set-Node nach einem HTTP-Request kann gezielt nur die benötigten Felder weiterleiten.
Credentials absichern Jede API-Verbindung bekommt eigene Credentials mit minimalen Berechtigungen. Kein “Admin-Token für alles”. Google-Workspace-Verbindungen z.B. nur mit Leserecht auf die Tabelle, die der Workflow braucht. Bei Self-Hosting den N8N_ENCRYPTION_KEY in einer separaten .env-Datei pflegen, die nicht ins Git-Repository kommt.
Webhooks absichern Öffentlich erreichbare Webhooks sollten immer eine Authentifizierung haben. n8n bietet Header-Auth und Basic Auth direkt am Webhook-Node. Wer sensible Daten per Webhook empfängt, sollte außerdem nur HTTPS verwenden und prüfen, ob die sendende Gegenstelle aus der EU operiert.
Audits und Dokumentation: Wer n8n für Kundendaten einsetzt, sollte die Workflows im Verarbeitungsverzeichnis dokumentieren. Welche Daten fließen wohin, wie lange werden sie gespeichert, welche Rechtsgrundlage gilt? Das ist unabhängig vom Tool eine DSGVO-Pflicht für Unternehmen.

AV-Vertrag: Wann brauchst du einen?

Ein Auftragsverarbeitungsvertrag (AV-Vertrag oder AVV) ist immer dann nötig, wenn du einem externen Dienstleister erlaubst, personenbezogene Daten in deinem Auftrag zu verarbeiten. n8n selbst ist eine Software, kein Dienstleister. Aber die Infrastruktur, auf der n8n läuft, ist es.

Bei der n8n-Cloud bist du Auftraggeber, n8n GmbH ist Auftragsverarbeiter. Ein DPA (Data Processing Agreement) ist verfügbar und muss abgeschlossen werden, bevor du personenbezogene Daten durch die Cloud-Version fließen lässt.

Bei Self-Hosted n8n auf einem VPS braucht es keinen AV-Vertrag mit n8n, wohl aber mit dem Serveranbieter. Hetzner, Strato und andere deutsche Anbieter stellen standardisierte AVVs bereit, die du in wenigen Minuten abschließen kannst.

Bei lokaler Installation auf dem eigenen Rechner fällt kein externer Auftragsverarbeiter an, solange keine Cloud-Synchronisation stattfindet.

Drittdienste im Workflow: Wenn dein n8n-Workflow Daten an externe Dienste schickt, also OpenAI, HubSpot, Google Sheets, Slack oder andere, dann bist du für jede dieser Übertragungen verantwortlich. Für jeden Dienst, der personenbezogene Daten verarbeitet, braucht es eine Rechtsgrundlage und gegebenenfalls einen AVV. Das ist unabhängig davon, ob du n8n Cloud oder Self-Hosted nutzt.

n8n-Workflows und DSGVO: 6 typische Szenarien

Meine persönliche Einschätzung der häufigsten Anwendungsfälle. Kein Ersatz für rechtliche Beratung.

Szenario Einschätzung Warum
Interne Prozesse ohne Kundendaten (z.B. Datei-Transformationen, Berechnungen) ✓ Unbedenklich Keine personenbezogenen Daten, kein DSGVO-Anwendungsfall
CRM-Sync auf Self-Hosted EU-Server (Hetzner DE/FI) ✓ Mit AVV Daten bleiben in der EU, AVV mit Serveranbieter abschließen
E-Mail-Automatisierung mit Kundenadressen ⚠ Prüfen Einwilligung oder berechtigtes Interesse als Rechtsgrundlage nötig
KI-Workflows mit OpenAI oder ChatGPT ⚠ Drittland Daten gehen auf US-Server, SCCs und Einwilligung prüfen
Google Sheets mit Kundendaten ⚠ Cloud Act Google ist US-Unternehmen, Cloud Act-Risiko auch bei EU-Servern
n8n Cloud für sensible Kundendaten (Gesundheit, Finanzen) ✗ Kritisch US-Server + besondere Datenkategorien — hier Self-Hosting auf deutschen Servern deutlich besser

Pseudonymisierung ist ein praktischer Ansatz für KI-Workflows: Personenbezogene Felder werden vor dem Weitergeben an externe APIs durch Platzhalter ersetzt, die Zuordnungstabelle bleibt lokal. Das reduziert das Risiko bei Drittlandtransfers deutlich.

Was passiert bei einer Datenpanne?

Die DSGVO schreibt vor, dass Datenpannen, die ein Risiko für Betroffene darstellen, innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden müssen. n8n-Execution-Logs können im Fall einer Panne Aufschluss darüber geben, welche Daten betroffen sind und wann sie verarbeitet wurden. Das ist ein weiterer Grund, Logs gezielt aufzubewahren und nicht sofort zu löschen.

Bei Self-Hosting liegt die Verantwortung vollständig bei dir. Regelmäßige Backups, Zugriffskontrollen und Server-Monitoring sind keine optionalen Extras, sondern Teil der technischen und organisatorischen Maßnahmen (TOM), die die DSGVO fordert.

n8n und Logging: Unter Settings → Log Level lässt sich steuern, wie detailliert n8n interne Ereignisse protokolliert. Für Produktivumgebungen reicht warn, für Debugging debug. Zu viel Logging erzeugt unnötige Datenspuren.

Häufig gestellte Fragen

n8n DSGVO-konform betreiben: Die nächsten Schritte

n8n kostenlos testen

Ist n8n Cloud DSGVO-konform?

Die n8n-Cloud kann DSGVO-konform genutzt werden, wenn ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen ist und der konkrete Anwendungsfall keine besonders schützenswerten Daten umfasst. Für DACH-Unternehmen mit Kundendaten ist Self‑Hosting auf EU‑Servern oft die klarere Lösung. Konkrete Rechtsfragen sollte ein Datenschutzanwalt klären.

Brauche ich einen Datenschutzbeauftragten für n8n?

Das hängt von deiner Organisation ab, nicht vom Tool. Ein Datenschutzbeauftragter ist nach DSGVO erforderlich, wenn du regelmäßig personenbezogene Daten in großem Umfang verarbeitest, besondere Kategorien verarbeitest oder eine Behörde bist. n8n ändert an dieser Pflicht nichts. Rechtsberatung empfohlen.

Darf ich OpenAI-Nodes in n8n mit Kundendaten nutzen?

Daten, die an OpenAI gesendet werden, werden auf US‑Servern verarbeitet. OpenAI bietet API‑Zusagen (z. B. keine Nutzung für Training), dennoch bleibt der Drittlandtransfer ein DSGVO‑Thema. Alternativen sind lokale Modelle (Ollama) oder europäische Anbieter. Für sehr sensible Daten ist lokal gehostete Verarbeitung empfehlenswert.

Ist n8n selbst BSI-zertifiziert oder ISO-27001-zertifiziert?

Bis Mai 2026 ist keine BSI‑Zertifizierung für n8n bekannt. Informationen zu ISO 27001/anderen Zertifizierungen solltest du direkt bei n8n anfragen. Self‑Hosting erlaubt, eigene Server‑/Infrastrukturzertifizierungen zu nutzen, unabhängig vom Toolhersteller.

Kann ich n8n für die Automatisierung von Löschanfragen (Art. 17 DSGVO) nutzen?

Ja. n8n-Workflows können Löschanfragen entgegennehmen, Einträge in CRM/DBs/Services löschen und die Durchführung dokumentieren, sofern die verwendeten APIs Lösch‑Endpoints anbieten. Fristen (z. B. 30 Tage) und Nachweispflichten lassen sich mit n8n gut automatisieren.

Brauche ich für jeden externen Dienst im Workflow einen AVV?

Wenn personenbezogene Daten an einen externen Dienst übermittelt werden und dieser die Daten in deinem Auftrag verarbeitet, sollte ein AVV vorliegen. Das gilt unabhängig von n8n. Viele SaaS‑Anbieter stellen AVVs bereit; bei Unsicherheit Rechtsberatung einholen.

Die mit einem * Symbol gekennzeichneten Links sind Affiliate-Links. Erfolgt darüber ein Einkauf, erhalten wir eine Provision ohne Mehrkosten für dich. Die redaktionelle Auswahl und Bewertung der Produkte bleibt davon unbeeinflusst. Dein Klick hilft bei der Finanzierung unseres kostenfreien Angebots. Erfahre mehr.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Mehr…!