n8n selbst hosten: DSGVO-konforme Automatisierung fuer den Mittelstand

Ihre Kundendaten laufen womöglich gerade durch ein Rechenzentrum in Virginia – und niemand in Ihrem Unternehmen weiß davon. Wer Zapier oder Make für seine Automatisierungen nutzt, verarbeitet personenbezogene Daten standardmäßig auf US-Infrastruktur. Für viele B2B-Mittelständler ist das ein latentes Compliance-Risiko, das in keinem Verarbeitungsverzeichnis sauber dokumentiert ist.

n8n self-hosted gilt als der Ausweg: Open-Source, EU-Server, volle Datenhoheit. Aber lohnt sich der Aufwand wirklich – oder ist das nur ein Bastlerthema, das in der Praxis mehr Probleme schafft, als es löst? Diese Frage beantworte ich hier ehrlich, mit Zahlen und einer klaren Empfehlung am Ende.

Warum Datenhoheit kein Luxus, sondern ein Vertriebsargument ist

Self-Hosting bedeutet: n8n läuft auf Ihrem eigenen Server oder in einer EU-Cloud, und Ihre Daten verlassen diese Infrastruktur nicht. Sie behalten die volle Kontrolle über Workflows, Credentials und alle verarbeiteten Inhalte – ohne dass ein Drittanbieter mitliest oder mitspeichert.

Das ist nicht nur ein abstraktes Datenschutzthema. Wenn Sie selbst B2B-Kunden bedienen – etwa Kanzleien, Versicherer, Industrieunternehmen – verlangen diese zunehmend Nachweise, wo deren Daten verarbeitet werden. Die Antwort „auf einem Server in Frankfurt, den wir selbst kontrollieren“ ist ein Verkaufsargument. Die Antwort „irgendwo in den USA, abgesichert über die AGB eines SaaS-Anbieters“ ist es nicht.

Hinzu kommt der CLOUD Act: US-Behörden können US-Unternehmen per Anordnung zur Herausgabe von Daten zwingen – auch wenn die Server physisch in Europa stehen. Self-Hosting auf eigener oder rein europäischer Infrastruktur entzieht sich diesem Zugriff strukturell. Das ist der eigentliche Hebel, nicht der gesparte Cent.

Was die DSGVO konkret verlangt – und was „EU-Server“ NICHT abdeckt

Hier wird es unbequem, denn der Satz „wir hosten in der EU, also sind wir DSGVO-konform“ ist falsch. EU-Datenresidenz ist ein Baustein, nicht die Lösung.

Der AVV ist Pflicht – nicht optional

Sobald ein externer Dienstleister personenbezogene Daten nach Ihrer Weisung verarbeitet, brauchen Sie nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV). Das gilt für Ihren Cloud-Hoster ebenso wie für jeden angebundenen Dienst. Ein fehlender oder mangelhafter AVV ist ein Verstoß gegen Art. 28 DSGVO und kann nach Art. 83 Abs. 4 DSGVO Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes auslösen – und zwar unabhängig davon, ob jemals ein konkreter Datenschaden eingetreten ist. Allein der fehlende Vertrag ist sanktionierbar.

Drittlandtransfer: Der AVV allein genügt nicht

Sitzt ein Dienstleister außerhalb von EU/EWR – Stichwort USA – reicht der AVV nicht aus. Sie brauchen zusätzlich eine Transfer-Rechtfertigung. Seit Juli 2023 gilt das EU-US Data Privacy Framework (DPF) als Angemessenheitsbeschluss und hat das gekippte Privacy Shield abgelöst. Für DPF-zertifizierte US-Unternehmen ist das ausreichend; für alle anderen brauchen Sie EU-Standardvertragsklauseln (SCC 2021/914) plus eine dokumentierte Transfer Impact Assessment.

Der heikle Punkt: angebundene US-Tools verlagern das Problem

Genau hier scheitern viele self-hosted Setups. Sie betreiben n8n sauber auf einem deutschen Server – und schicken dann in einem Workflow Kundendaten an die OpenAI-API. Solche Dienste verarbeiten typischerweise auf Servern außerhalb der EU. Damit ist das Drittland-Problem wieder da, nur eine Ebene tiefer. Self-Hosting löst das nicht automatisch; Sie brauchen Einwilligung, Angemessenheitsbeschluss oder SCC für jeden US-Dienst, den Sie anbinden.

Was Sie bei self-hosted n8n selbst verantworten

Bei einer self-hosted Instanz sind Sie für das Löschen von Nutzerdaten selbst zuständig. n8n empfiehlt deshalb, die Instanz so zu konfigurieren, dass Execution-Daten automatisch geprunt werden – per Default nach 14 Tagen, über die Umgebungsvariablen frei einstellbar. Das erleichtert Auskunfts- und Löschanfragen nach DSGVO erheblich. Verschlüsselung in transit und at rest, sauberes Rechte- und Zugriffsmanagement sowie die Dokumentation im Verarbeitungsverzeichnis kommen hinzu. Immerhin: n8n sammelt in self-hosted Deployments nur anonyme Usage-Telemetrie (per Umgebungsvariable abschaltbar), aber keine Workflow- oder Credential-Inhalte.

Zur Einordnung des Risikos: Laut DLA-Piper-Studie wurden 2024 europaweit rund 1,2 Milliarden Euro an DSGVO-Bußgeldern verhängt. Deutsche Behörden agieren im europäischen Vergleich eher zurückhaltend – die kumulierten deutschen Bußgelder seit 2018 liegen laut derselben Quelle im niedrigen dreistelligen Millionenbereich. Moderat – aber kein Freibrief.

Cloud vs. self-hosted: die ehrlichen Trade-offs

Die Community Edition von n8n ist kostenlose Software mit unbegrenzten Workflow-Ausführungen. Sie zahlen nur den Server. Die n8n-Cloud beginnt 2026 laut offizieller Preisseite bei 20 Euro/Monat (Starter, 2.500 Executions, bei jährlicher Zahlung), Pro bei 50 Euro/Monat (10.000 Executions), Business bei 667 Euro/Monat (40.000 Executions, dafür SSO/SAML, Git-Versionierung und self-hosted Option). Enterprise auf Anfrage. Wichtig: Business- und Enterprise-Lizenzen brauchen einen Lizenzschlüssel, der sich regelmäßig beim n8n-Lizenzserver meldet, um aktiv zu bleiben.

Der entscheidende Vorteil der Cloud aus Compliance-Sicht: n8n speichert alle Cloud-Daten in Frankfurt und liefert den DPA gleich mit. Damit ist die EU-Datenresidenz ohne eigenen Aufwand erfüllt.

Ein Wort zur Lizenz, weil das viele falsch verstehen: n8n läuft unter der Sustainable Use License (fair-code, seit 2022). Sie dürfen die Software kostenlos für eigene interne Geschäftszwecke nutzen und modifizieren. Auch kommerzielles Consulting und das Bauen von n8n-Workflows für Kunden ist erlaubt. Nicht erlaubt ist, n8n in ein eigenes SaaS-Produkt einzubetten oder Automatisierung als gehosteten Service an Externe weiterzuverkaufen. Für den Mittelstand, der intern automatisiert, ist das also völlig unproblematisch.

Der grobe Setup-Weg – von Docker bis Produktion

Wenn Sie self-hosten, ist Docker beziehungsweise docker-compose der empfohlene Weg. Produktionstauglich heißt nicht „der billigste VPS“: Als praxistaugliches Minimum gelten rund 2 vCPU, 4 GB RAM und ausreichend SSD-Speicher – und zwingend PostgreSQL statt der Default-SQLite-Datenbank. Der n8n-Hauptprozess verbraucht im Leerlauf grob 300–500 MB RAM, bei komplexen Workflows (große JSON-Payloads, Datei-Handling, AI-API-Calls) entsprechend mehr. Wer in den Bereich von etwa 50 Executions pro Minute kommt und in den Queue Mode geht (Redis plus mehrere Worker), sollte eher 8 GB RAM einplanen.

Zwei Setup-Punkte entscheiden über Erfolg oder Frust:

• Die Webhook-URL auf die eigene Domain pinnen. Sonst brechen Ihre Webhooks bei jedem Container-Restart, weil sich die URL ändert.
• N8N_ENCRYPTION_KEY extern sichern. Geht dieser Schlüssel verloren, sind sämtliche Credentials in allen Workflows unwiederbringlich verloren – es gibt keinen Master-Key und keine Reset-Funktion. Das ist der häufigste teure Anfängerfehler.

Als EU-Optionen bieten sich Hetzner (eigenes Setup) oder Elestio (managed, läuft auf Hetzner-Infrastruktur) an – beide mit deutschen Rechenzentren.

Was Self-Hosting wirklich kostet – Server vs. Zeit

Die reinen Serverkosten sind lächerlich gering. Hetzner Cloud bietet 2026 passende Instanzen ab knapp 4 Euro/Monat (CX22: 2 vCPU, 4 GB RAM), die nächstgrößere Stufe (CX32: 4 vCPU, 8 GB RAM) für unter 7 Euro/Monat und 8 vCPU/16 GB RAM (CX42) für rund 16 Euro/Monat. Ein kleines n8n-Setup läuft also für etwa 4–10 Euro/Monat. Managed n8n über Elestio startet bei rund 15–20 Euro/Monat inklusive Wartung.

Und genau hier liegt der Denkfehler. Der 4-Euro-Server ist nicht der Preis. Der Preis ist Ihre Zeit. Self-Hosting bedeutet laufende Verantwortung für Updates, Backups, Security-Patches und Monitoring – typischerweise 1–2 Stunden pro Monat, in größeren Setups deutlich mehr. n8n selbst empfiehlt unmissverständlich: Wer im Server-Management nicht erfahren ist, sollte die Cloud nutzen, weil Fehler zu Datenverlust, Sicherheitslücken und Downtime führen.

Rechnen Sie ehrlich: Self-Hosting spart kleinen Teams gegenüber der Cloud grob 200–700 Euro im Jahr. Aber ein Senior Engineer, der 4 Stunden im Monat für Wartung aufwendet, kostet das Unternehmen schnell mehr als jede Hosting-Gebühr. Die Ersparnis ist real – aber nur, wenn die Engineering-Zeit ohnehin vorhanden ist und nicht an wertschöpfender Stelle fehlt.

Wann sich Self-Hosting NICHT lohnt

Ich verdiene mit n8n-Projekten mein Geld, und trotzdem rate ich regelmäßig davon ab, selbst zu hosten. Diese Konstellationen sprechen klar gegen Self-Hosting:

• Kein DevOps-Know-how im Haus. Wenn niemand routiniert mit Docker, Backups und Linux-Servern umgeht, ist ein Ausfall keine Frage des Ob, sondern des Wann.
• Niedriges Execution-Volumen. Wer mit 2.500 oder 10.000 Ausführungen im Monat auskommt, fährt mit dem Starter- oder Pro-Plan in Frankfurt für 20–50 Euro oft günstiger – wenn man die Wartungszeit einpreist.
• Fehlende Backup-Disziplin. Ohne automatisierte, getestete Backups ist der verlorene Encryption-Key oder eine kaputte Datenbank ein Totalschaden.

In allen drei Fällen ist die n8n-Cloud in Frankfurt oder ein Managed-Hosting die ehrlichere Wahl. Die EU-Datenresidenz bekommen Sie dort ohne eigenes Risiko.

Fazit: Datensensibilität × Volumen × interne Ressourcen

Die Entscheidung lässt sich auf drei Faktoren reduzieren: Wie sensibel sind die Daten, wie hoch ist das Volumen, und welche internen Ressourcen haben Sie?

• Hohe Datensensibilität (z. B. Gesundheits-, Mandanten- oder Personaldaten) plus vorhandenes DevOps: Self-Hosting ist der richtige Weg. Volle Datenhoheit, kein US-Transfer, planbare Kosten.
• Mittlere Sensibilität, solides Volumen, aber keine Server-Erfahrung: Managed n8n (Elestio o. ä.) ab rund 15–20 Euro/Monat – Datenhoheit ohne den Wartungs-Klotz am Bein.
• Geringes Volumen oder kein technisches Team: n8n-Cloud Frankfurt. Ehrlich gesagt die vernünftigste Option, und mit dem inkludierten DPA DSGVO-sauber.

Was in jedem Fall gilt: AVV abschließen, angebundene US-Dienste prüfen, Execution-Pruning konfigurieren und den Encryption-Key sichern. „EU-Server“ allein ist keine Compliance-Strategie.

Wenn Sie erste schnelle Ergebnisse mit n8n sehen wollen, bevor Sie über Infrastruktur entscheiden, lohnt ein Blick auf meinen Leitfaden Automation Quick Wins mit n8n in 30 Tagen. Und wer den nächsten Schritt Richtung automatisierte Kundengewinnung gehen will, findet konkrete Ansätze unter Leadgenerierung automatisieren für B2B-Dienstleister.