Muss ich meine bestehende Software ersetzen?

Nein. Die Lösungen ergänzen Ihre vorhandene Software – ERP, CRM oder Branchensystem bleibt bestehen. Ich automatisiere die manuellen Schritte dazwischen.

Was kostet eine individuelle Lösung?

Das hängt von Komplexität und Umfang ab. Einfache Automatisierungen starten ab einem überschaubaren Tagesatz, individuelle Webanwendungen werden nach Aufwand bepreist. Nach dem Erstgespräch erhalten Sie eine realistische Einschätzung.

Wie lange dauert die Umsetzung?

Einfache Workflows sind in wenigen Tagen einsatzbereit. Individuelle Webanwendungen entstehen typischerweise in 4–8 Wochen – inkl. Tests und Einweisung.

Ist die Lösung DSGVO-konform?

Ja. Alle Anwendungen werden mit Hosting in Frankfurt am Main gebaut. Keine Blackbox, nachvollziehbare Datenflüsse, AVV auf Anfrage.

Was passiert nach der Übergabe?

Sie erhalten 14 Tage Fehlerbehebungs-Garantie und 30 Tage Support. Danach optional ein Servicepaket für Betrieb und Weiterentwicklung.

Brauche ich technisches Vorwissen?

Nein. Das Ziel ist Software, die Ihr Team sofort versteht – ohne Schulungsmarathon.

Für welche Unternehmensgrößen ist das geeignet?

Typische Kunden sind KMU mit 5–100 Mitarbeitenden, die bestimmte Prozesse effizienter gestalten wollen, aber keine eigene IT-Abteilung haben.

DSGVO-konforme Automatisierung: Was beim Hosting in Deutschland wirklich zählt

29. Juni

Verfasst von Dominic Baumann

Wer einen Prozess automatisiert, verschiebt Daten. Eine Anfrage landet in einem Workflow, ein Dokument läuft durch eine Texterkennung, ein Datensatz wird in eine Datenbank geschrieben. An jeder dieser Stationen stellt sich dieselbe Frage: Wo liegen die Daten gerade, und wer könnte darauf zugreifen?

„Der Server steht in Frankfurt" wird gern als Antwort verkauft. Das ist nicht falsch, aber es ist auch nicht die ganze Geschichte. Der Standort ist ein Faktor von mehreren – und selten der, an dem Automatisierungsprojekte tatsächlich scheitern.

Standort ist eine Eigenschaft, kein Gütesiegel

Ein Rechenzentrum in Deutschland erfüllt eine wichtige Bedingung: Die Daten verlassen die EU nicht. Damit fällt die ganze Diskussion um Drittlandtransfers weg, die seit Schrems II so viel Aufwand verursacht.

Das allein macht eine Lösung aber noch nicht DSGVO-konform. Entscheidend ist, was rechtlich und technisch um den Standort herum passiert:

Gibt es einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter?
Welche Subunternehmer setzt dieser Anbieter ein – und sitzen die in der EU?
Wer ist die Muttergesellschaft? Ein deutscher Server unter einem US-Konzern kann über den CLOUD Act in eine andere Rechtslage geraten, unabhängig vom physischen Standort.
Sind die Daten verschlüsselt, und wer hält die Schlüssel?

Ein Anbieter mit Sitz und Eigentümerstruktur in der EU vereinfacht diese Punkte erheblich. Genau deshalb landen viele Projekte bei Hostern wie Hetzner oder IONOS – nicht aus Patriotismus, sondern weil die rechtliche Kette dann kürzer und nachvollziehbarer ist.

Der eigentliche Knackpunkt liegt in den Tools dahinter

Bei klassischem Webhosting ist die Frage überschaubar. Bei Automatisierung wird sie komplizierter, weil ein Workflow fast nie nur aus einem Server besteht.

Ein typischer Ablauf nutzt eine Workflow-Engine, eine Datenbank, vielleicht einen Dienst zur Texterkennung und zunehmend ein Sprachmodell für die inhaltliche Verarbeitung. Jeder dieser Bausteine ist eine eigene Datenstation. Und genau hier entstehen die stillen Lecks.

Der Server steht in Deutschland – aber der KI-Dienst, an den die Texterkennung die Inhalte schickt, läuft über eine US-Cloud. Die Datenbank ist sauber, aber das SaaS-Tool im Workflow speichert Logs in einer anderen Region. Solche Brüche fallen im Alltag nicht auf, weil alles funktioniert. In einer Prüfung fallen sie auf.

Wer Automatisierung DSGVO-konform aufsetzen will, muss deshalb den gesamten Datenfluss kennen, nicht nur den Ort des Hauptservers. Die Leitfrage lautet nicht „Wo steht mein Server?", sondern „Welche Daten verlassen an welcher Stelle mein kontrolliertes Umfeld?".

Die rechtliche Großwetterlage – und warum EU-Hosting sie entschärft

Transfers in die USA laufen aktuell über das EU-US Data Privacy Framework (DPF). Das ist seit der Angemessenheitsentscheidung von 2023 gültiges Recht, und ein erster Anlauf, es vor Gericht zu kippen, ist 2025 gescheitert.

Beruhigend ist die Lage trotzdem nicht. Gegen die Entscheidung läuft eine Revision vor dem Europäischen Gerichtshof, die Mitte 2026 noch unentschieden ist. Der EuGH hat seine beiden Vorgänger – Safe Harbor und Privacy Shield – bereits gekippt. Dass selbst große Cloud-Anbieter inzwischen aktiv vor Gericht für den Erhalt des Rahmens eintreten, zeigt vor allem eines: Sie wissen, wie fragil die Grundlage ist.

Für ein Unternehmen, das gerade einen Prozess automatisiert, ist das eine unbequeme Ausgangslage. Eine Lösung, die heute auf einem US-Transfer aufbaut, kann mit einem einzigen Urteil zum Sanierungsfall werden.

EU- oder Deutschland-Hosting ist hier weniger eine ideologische als eine pragmatische Entscheidung: Es macht das eigene System von dieser Hängepartie unabhängig. Wer die Daten von vornherein in der EU hält, muss kein Urteil abwarten und keine Notfallmigration einplanen.

Worauf es konkret ankommt

Eine knappe Liste, die sich an jedem Automatisierungsprojekt prüfen lässt:

Datenfluss vollständig kartieren. Jede Station, an der personenbezogene Daten verarbeitet werden – inklusive APIs, SaaS-Tools und Sprachmodellen.
Anbieterstruktur prüfen, nicht nur den Standort. Sitz, Eigentümer, Subunternehmer.
AVV abschließen mit jedem Anbieter, der Daten im Auftrag verarbeitet.
KI-Komponenten gesondert betrachten. Hier verlassen Daten am ehesten unbemerkt die EU. EU-Modelle oder europäisches Routing einplanen, wo es geht.
Verschlüsselung und Schlüsselhoheit klären – im Transit und im Ruhezustand.
Löschkonzept mitdenken. Automatisierung erzeugt schnell viele Kopien und Logs.

Was bleibt

„Hosting in Deutschland" ist ein guter Anfang, aber als alleinige Aussage zu kurz gegriffen. Bei Automatisierung entscheidet nicht der Standort eines Servers, sondern der gesamte Weg, den die Daten nehmen.

Der Vorteil dieser Sichtweise: Wer den Datenfluss sauber aufsetzt, baut sich nicht nur Konformität, sondern auch Unabhängigkeit von der nächsten Gerichtsentscheidung. In einem Mittelstand, der bei jedem neuen Werkzeug zuerst nach dem Datenschutz fragt, ist das kein Hindernis – sondern ein Argument.

Dieser Beitrag ist eine allgemeine Einordnung und keine Rechtsberatung. Für die Bewertung eines konkreten Systems empfiehlt sich die Abstimmung mit einem Datenschutzbeauftragten oder einer Fachanwältin.

Dominic Baumann