DSGVO-konforme Automatisierung: Was Mittelständler bei n8n, Make und Zapier beachten müssen

Warum 4.387 Bussgeldbescheide allein 2024 die meisten KMUs überrascht haben

Europaweit wurden 2024 DSGVO-Bussgelder in Höhe von 1,2 Milliarden Euro verhängt (DLA Piper Studie, 2025). Allein in Deutschland gab es 2024 exakt 4.387 Bussgeldbescheide wegen Datenschutzverstössen (2FOX4, 2025). Die meisten davon treffen nicht Konzerne, sondern KMUs, die dachten, sie seien unter dem Radar.

Sobald Sie Automatisierungs-Tools wie n8n, Make oder Zapier einsetzen, verarbeiten Sie personenbezogene Daten durch einen Dienstleister. Das ist in der DSGVO klar geregelt, wird aber im Alltag oft übersehen. Dieser Artikel beantwortet die Fragen, die wir in Projektanfragen regelmässig hören: Wann brauche ich einen AVV, welches Tool ist wirklich DSGVO-sicher, und wie vermeide ich die typischen Fallstricke?

Das Wichtigste auf einen Blick

• Europaweit wurden 2024 rund 1,2 Milliarden Euro DSGVO-Bussgelder verhängt (DLA Piper, 2025).
• Das höchste deutsche DSGVO-Bussgeld bislang: 45 Millionen Euro gegen Vodafone im Juni 2025 (ODC Legal, 2025).
• 70 Prozent aller Auftragsverarbeitungsverträge sind unvollständig (Bitkom via Plotdesk, 2025).
• n8n lässt sich als Self-Hosted-Variante vollständig DSGVO-konform in Deutschland betreiben.
• Zapier und US-SaaS-Tools sind nicht grundsätzlich verboten, brauchen aber Zusatzvereinbarungen und klare Risikobewertung.

Was verlangt die DSGVO von KMUs, die Automatisierung einsetzen?

Sobald personenbezogene Daten durch einen externen Dienstleister verarbeitet werden, greift Artikel 28 DSGVO und verlangt einen Auftragsverarbeitungsvertrag (DataGuard, 2025). Das gilt auch für Tools wie n8n, Make oder Zapier, selbst wenn Sie diese nur zur Automation “im Hintergrund” nutzen. Der Gesetzgeber kennt keinen Unterschied zwischen einem Newsletter-Versand und einem internen Workflow.

Die DSGVO verlangt im Kern drei Dinge: einen schriftlichen AVV mit dem Dienstleister, technische und organisatorische Massnahmen (TOM) zum Datenschutz und Transparenz darüber, wo und wie die Daten verarbeitet werden. Fehlt einer dieser Bausteine, kann das Bussgeld bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen.

Für Mittelständler ist die Situation dabei nicht hoffnungslos. Die realen Bussgelder in Deutschland liegen deutlich unter den Maximalbeträgen, häufig im Bereich weniger Tausend Euro. Aber: Jeder Verstoss bringt Dokumentationsaufwand, Rechtsberatung und im Zweifel Reputationsschäden mit sich. Die Investition in saubere Compliance ist deutlich billiger als jedes Verfahren.

n8n, Make oder Zapier: Was ist am besten DSGVO-konform?

Die drei grossen Automatisierungs-Tools unterscheiden sich fundamental in ihrer DSGVO-Eignung. Nicht weil eines “besser” oder “schlechter” wäre, sondern weil ihre Architektur unterschiedliche Anforderungen erfüllt. Wir nutzen in unseren Projekten alle drei, aber nicht für dieselben Anwendungsfälle.

Kriterium	n8n (Self-Host)	n8n Cloud	Make	Zapier
Serverstandort EU	Ja (nach Wahl)	Ja (Frankfurt)	Ja (Frankfurt / Prag)	Nein (USA)
Datenhoheit	Voll	Teilweise	Teilweise	Nein
AVV verfügbar	Eigenverantwortung	Ja	Ja	Ja
SOC 2 / ISO 27001	Eigenverantwortung	Ja	Ja	Ja
Einrichtung DSGVO-ready	Hoher Aufwand	Niedrig	Niedrig	Mittel (mit Risiko)
Empfehlung für sensible Daten	Ideal	Gut	Gut	Nur mit Einschränkungen

n8n (Self-Hosted) ist der Goldstandard für DSGVO-sensible Workflows. Das Tool ist Open Source, läuft auf einem eigenen Server in Deutschland und kein Byte verlässt Ihre Infrastruktur. Ideal für Personaldaten, Finanzdaten und alles, wo Sie maximale Kontrolle wollen. Der Nachteil: Sie sind selbst für Sicherheit, Updates und Backups verantwortlich.

Make ist der pragmatische Mittelweg. EU-Server, unterschriebener AVV, SOC 2 Audit und DSGVO-Nachweis. Für die meisten KMU-Anwendungsfälle ausreichend sicher, und die Einrichtung ist deutlich einfacher als Self-Hosted n8n.

Zapier ist ein US-Cloud-Dienst. Nicht grundsätzlich verboten, aber Daten fliessen in die USA und unterliegen potenziell dem Cloud Act. Für Marketing-Automation mit nicht-sensiblen Daten meist vertretbar. Für Personal-, Gesundheits- oder Finanzdaten eher ungeeignet.

n8n Self-Hosted 10/10

n8n Cloud (EU) 9/10

Make (EU) 8/10

Zapier 5/10

Die Eignung hängt stark vom Anwendungsfall und den verarbeiteten Datentypen ab.

Ein detaillierter Funktions-Vergleich zwischen n8n, Make und Zapier findet sich in unserem Artikel n8n vs. Make vs. Zapier.

Wann brauchen Sie einen AVV und was muss drin stehen?

Ein Auftragsverarbeitungsvertrag ist Pflicht, sobald Sie personenbezogene Daten durch einen externen Dienstleister verarbeiten lassen (planIT prima, 2025). Das heisst konkret: sobald Sie ein Webhosting, einen Newsletter-Versand, eine Buchhaltungs-Cloud oder eben ein Automatisierungs-Tool einsetzen, in das Namen, E-Mail-Adressen oder andere personenbezogene Daten fliessen.

Die gute Nachricht: Die grossen Anbieter haben Standard-AVVs, die Sie nur unterschreiben müssen. Make, Zapier, n8n Cloud, HubSpot, Brevo, Pipedrive, alle bieten DSGVO-konforme Verträge zum Download. Die schlechte Nachricht: 70 Prozent aller AVVs sind unvollständig, meist weil Standardvorlagen nicht an den konkreten Einsatz angepasst wurden (Bitkom via Plotdesk, 2025).

Ein vollständiger AVV muss gemäss Artikel 28 Absatz 3 DSGVO folgende Punkte regeln:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Datenverarbeitung
• Art der personenbezogenen Daten (z.B. Name, E-Mail, Telefon)
• Kategorien der Betroffenen (z.B. Kunden, Interessenten, Mitarbeiter)
• Rechte und Pflichten von Auftraggeber und Auftragsverarbeiter
• Technische und organisatorische Massnahmen (TOM) zur Datensicherheit
• Regelung zu Subunternehmern (Transparenz über weitere Dienstleister)
• Löschungs- und Herausgabe-Pflichten nach Vertragsende

Wichtig bei Automatisierungs-Tools: Die Regelung zu Subunternehmern muss sauber sein. n8n Cloud nutzt beispielsweise AWS Frankfurt als Infrastruktur, Make nutzt eigene EU-Rechenzentren. Diese Ketten müssen im AVV abgebildet sein.

Welche Daten dürfen Sie überhaupt automatisiert verarbeiten?

Die DSGVO unterscheidet zwischen normalen und besonders sensiblen Daten. Für beide gelten andere Anforderungen. Viele KMUs übersehen diese Unterscheidung und behandeln alles gleich, was im Zweifel zu Problemen führt.

Normale personenbezogene Daten sind Name, E-Mail, Telefonnummer, Firmenname, Position. Diese dürfen Sie mit einer sauberen Rechtsgrundlage (z.B. Einwilligung, Vertragserfüllung, berechtigtes Interesse) verarbeiten. Für Automation ist die Einwilligung meist der sicherste Weg, etwa über Opt-in-Häkchen in Formularen.

Besonders sensible Daten sind nach Artikel 9 DSGVO Gesundheitsdaten, Glaubensbekenntnis, sexuelle Orientierung, politische Einstellung, biometrische Daten, genetische Daten und Gewerkschaftszugehörigkeit. Diese dürfen Sie nur in engen Ausnahmefällen automatisiert verarbeiten, und wenn doch, brauchen Sie zusätzliche Schutzmassnahmen wie Verschlüsselung und Pseudonymisierung.

Für die meisten Mittelstands-Workflows gilt: Sie verarbeiten normale Daten mit klarer Rechtsgrundlage. Die Einwilligung muss dabei freiwillig, informiert und widerrufbar sein. Automatische Workflows dürfen niemals gegen den Willen des Betroffenen laufen. Ein Widerspruch muss innerhalb weniger Werktage umgesetzt werden.

Worauf wir in Projekten besonders achten: Die Rechtsgrundlage muss für jede Verarbeitung dokumentiert sein, nicht nur einmalig. In der Praxis heisst das: Pro Workflow eine Zeile im Verarbeitungsverzeichnis, die erklärt, welche Daten fliessen, von wem, auf welcher Grundlage und wie lange sie gespeichert werden. Das klingt nach Bürokratie, spart aber im Ernstfall viel Zeit und Rechtsberatung.

Was Sie bei US-Tools wirklich beachten müssen

Zapier, HubSpot, Salesforce, Google Workspace und viele andere sind US-Anbieter. Seit dem Schrems-II-Urteil des EuGH ist der Datentransfer in die USA nicht mehr automatisch unbedenklich. Das EU-US Data Privacy Framework (DPF) bietet seit 2023 eine neue Rechtsgrundlage, ist aber politisch angreifbar und wurde schon mehrfach vor Gericht attackiert.

Für KMUs heisst das in der Praxis: US-Tools sind nicht verboten, aber Sie brauchen eine saubere Risiko-Bewertung. Prüfen Sie drei Punkte, bevor Sie ein US-Tool in Ihre Automatisierungs-Pipeline einbinden.

Punkt 1: Ist der Anbieter unter dem Data Privacy Framework zertifiziert? Das ist eine Mindestanforderung und bei den meisten grossen Anbietern gegeben. Check unter dataprivacyframework.gov oder im Datenschutz-Bereich des Anbieters.

Punkt 2: Gibt es einen AVV mit Standardvertragsklauseln (SCC)? Die EU-Kommission hat Standardvertragsklauseln veröffentlicht, die bei Datentransfers in Drittländer als rechtliche Absicherung dienen. Seriöse Anbieter bieten diese Klauseln als Ergänzung zum AVV.

Punkt 3: Welche Daten fliessen wirklich in die USA? Bei Zapier beispielsweise werden alle Daten durch US-Server geleitet. Bei HubSpot können Sie das EU-Hosting wählen, dann bleiben die Daten in Frankfurt. Der Unterschied ist rechtlich entscheidend.

Wenn die drei Punkte sauber abgehakt sind und es sich nicht um besonders sensible Daten handelt, ist der Einsatz eines US-Tools vertretbar. Für Personaldaten, Gesundheitsdaten oder Finanzdaten empfehlen wir trotzdem EU-Alternativen oder Self-Hosting.

Wie Self-Hosting DSGVO-Risiken reduziert

Self-Hosting ist die radikalste, aber sauberste Lösung. Sie betreiben n8n auf einem eigenen Server, idealerweise bei einem deutschen Hoster wie Hetzner, IONOS oder netcup. Keine Daten verlassen Ihre Infrastruktur, kein Dienstleister sieht Ihre Workflows, kein Subunternehmer-Problem.

Die technischen Voraussetzungen sind überschaubar. Ein kleiner Server für 5 bis 30 Euro pro Monat reicht für die meisten KMU-Setups. Das Setup selbst dauert einen halben Tag, wenn Sie Docker kennen, oder einen Tag mit Anleitung. Updates sind per Skript in wenigen Minuten erledigt.

Unsere Praxis: In 14 von 23 Sales-Automation-Projekten der letzten 12 Monate haben wir n8n Self-Hosted eingesetzt. Die wichtigsten Gründe: volle Datenhoheit, keine Abhängigkeit vom Cloud-Anbieter und niedrigere Betriebskosten bei grossen Workflow-Mengen. Die Einrichtung auf einem Hetzner-Server dauert etwa 3 Stunden inklusive SSL, Backup und Monitoring.

Die rechtliche Situation ist bei Self-Hosting am einfachsten: Sie sind Auftraggeber und Auftragsverarbeiter in einer Person. Kein AVV notwendig, keine Subunternehmer-Fragen, keine Transferprobleme in Drittländer. Der einzige AVV, den Sie brauchen, ist der mit Ihrem Hoster, den deutsche Anbieter standardmässig mitliefern.

Checkliste für DSGVO-konforme Automation im KMU

Diese acht Punkte arbeiten wir mit jedem Kunden ab, bevor ein einziger Workflow live geht. Sie dienen als Selbst-Check, nicht als Rechtsberatung.

1. Rechtsgrundlage dokumentieren. Für jeden Datenfluss eine klare Grundlage (Einwilligung, Vertrag, berechtigtes Interesse).
2. Verarbeitungsverzeichnis pflegen. Jeder Workflow muss dort eingetragen sein, mit Datenkategorien, Empfängern und Speicherfristen.
3. AVVs unterschrieben und vollständig. Für jeden externen Dienstleister, der Daten verarbeitet.
4. Serverstandort prüfen. EU-Hosting ist der sichere Weg. US-Hosting braucht DPF-Zertifikat und SCC.
5. TOM dokumentieren. Technische und organisatorische Massnahmen in einem Dokument zusammengefasst.
6. Löschkonzept festlegen. Wie lange dürfen Daten im CRM, im n8n-Workflow, im Archiv bleiben? Automatische Löschung einrichten.
7. Betroffenenrechte umsetzbar machen. Widerspruch, Auskunft, Löschung müssen innerhalb weniger Werktage machbar sein.
8. Regelmässiger Review. Einmal pro Jahr alle Punkte durchgehen, bei grösseren Änderungen sofort.

Diese Checkliste ersetzt keinen Datenschutzbeauftragten, aber sie deckt 80 Prozent der Fälle ab, in denen deutsche KMUs in Schwierigkeiten geraten. Für komplexe Fälle (Gesundheitsdaten, internationale Transfers, KI-Einsatz) holen Sie Fachjuristen ins Boot.

Häufig gestellte Fragen

Ist Zapier in Deutschland verboten?

Nein, Zapier ist nicht verboten. Der Einsatz ist aber rechtlich komplexer als bei EU-Alternativen, weil Daten in die USA fliessen. Für Marketing-Automation mit nicht-sensiblen Daten und einer sauberen Risiko-Bewertung ist Zapier nutzbar. Für Personaldaten, Gesundheitsdaten oder Finanzdaten empfehlen wir EU-Alternativen.

Reicht ein Standard-AVV von Make oder n8n Cloud?

Ja, für die meisten Fälle reicht der Standard-AVV. Wichtig ist, dass Sie ihn tatsächlich unterschreiben, im Verarbeitungsverzeichnis dokumentieren und die aktuellen Fassungen verwenden. Etwa alle 12 bis 24 Monate aktualisieren die Anbieter ihre Verträge. 70 Prozent aller AVVs sind unvollständig (Bitkom, 2025), meist wegen veralteter Stände.

Brauche ich einen Datenschutzbeauftragten als KMU?

Ab 20 Mitarbeitern, die regelmässig personenbezogene Daten verarbeiten, brauchen Sie nach Paragraf 38 BDSG einen Datenschutzbeauftragten. Das kann intern oder extern sein. Für kleinere Firmen ist es nicht verpflichtend, aber empfehlenswert, wenn Sie viele Automatisierungen mit Kundendaten einsetzen.

Kann ich n8n auch auf einem deutschen Cloud-Server betreiben?

Ja, das ist sogar die häufigste Variante. Hetzner, IONOS, netcup oder Strato bieten Server in deutschen Rechenzentren ab 5 Euro pro Monat. Die Einrichtung dauert einen halben bis einen ganzen Tag, je nach Vorkenntnissen. Technische Hilfe gibt es in der aktiven n8n-Community oder bei Dienstleistern wie uns.

Was droht bei einem Verstoss wirklich?

Die theoretischen Maximalbussgelder von 20 Millionen Euro oder 4 Prozent Jahresumsatz treffen in der Praxis Grosskonzerne. Für den Mittelstand liegen reale Bussgelder meist im Bereich weniger Hundert bis einige Tausend Euro, ergänzt um Anordnungen zur Abstellung von Verstössen. Hinzu kommen Anwaltskosten, Dokumentationsaufwand und mögliche Reputationsschäden durch die Veröffentlichung der Aufsichtsbehörde.

Fazit: DSGVO-Compliance ist kein Showstopper, sondern eine Einstiegshürde

DSGVO-konforme Automation ist möglich, auch mit US-Tools, auch mit komplexen Workflows und auch im kleinen KMU. Der Schlüssel ist saubere Dokumentation, die Wahl des richtigen Tools für den richtigen Datentyp und die Bereitschaft, alle 12 Monate die Compliance-Checkliste durchzugehen.

Unsere Empfehlung für den typischen Mittelständler: Nutzen Sie n8n Self-Hosted oder Make für alles, was mit Personal-, Kunden- oder Finanzdaten zu tun hat. Zapier und andere US-Tools reservieren Sie für Marketing-Workflows mit nicht-sensiblen Daten. Pflegen Sie ein Verarbeitungsverzeichnis. Prüfen Sie jährlich. Dann sind Sie auf der sicheren Seite.

Sie möchten wissen, wie Sie Ihre bestehenden Automatisierungen DSGVO-konform aufstellen oder eine neue Pipeline auf rechtssicheren Füssen starten? Machen Sie unseren kostenlosen Automatisierungs-Check oder buchen Sie direkt eine 30-minütige Analyse.