Zum Hauptinhalt springen

n8n Self-Hosted DSGVO-Anleitung 2026: Schritt-für-Schritt mit Hetzner

n8n DSGVO-konform auf deutschen Servern betreiben: Hetzner Cloud CX22 in 30 Minuten einrichten, Docker Compose, automatisches TLS via Caddy, tägliche Backups zur Hetzner Storage Box und laufendes Monitoring — für ab 5 EUR pro Monat, ohne US-Cloud-Abhängigkeit.

n8n-Setup buchenn8n-Leistungen ansehen

n8n Self-Hosting bedeutet: Sie betreiben die Open-Source-Workflow-Automatisierungsplattform n8n auf einem eigenen Server — vollständig unter Ihrer Kontrolle, in einem EU-Rechenzentrum, ohne dass Workflow-Daten oder Credentials jemals einen Drittanbieter-Server verlassen.

Warum n8n selbst hosten? DSGVO, Kosten und Datenkontrolle

Für deutsche Unternehmen, die personenbezogene Daten durch Automatisierungen leiten — Kundenkontakte, Rechnungen, HR-Daten — ist die Frage nach dem Hosting keine rein technische. Sie ist eine Compliance-Frage. n8n Cloud und konkurrierende SaaS-Plattformen wie Zapier oder Make.com speichern Workflow-Ausführungsdaten auf Servern außerhalb Deutschlands, was bei sensiblen Daten einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erfordert und in Einzelfällen problematisch sein kann.

Self-Hosting löst dieses Problem vollständig: Alle Workflow-Daten, Credentials und Ausführungsprotokolle bleiben auf Ihrem Server — im deutschen Rechenzentrum von Hetzner Cloud, ISO-27001-zertifiziert, DSGVO-konform nach deutschem Recht. Das BSI IT-Grundschutz Kompendium, Baustein OPS.1.1.7 (Automatisierung von Betriebsprozessen) empfiehlt ausdrücklich, automatisierte Prozesse mit personenbezogenen oder sicherheitsrelevanten Daten unter voller organisatorischer Kontrolle zu betreiben und separate Berechtigungskonzepte einzuführen.

Der zweite Vorteil ist wirtschaftlicher Natur: Die n8n Community Edition ist lizenzgebührenfrei (MIT-Lizenz). Sie zahlen ausschließlich für den Hetzner-Server — ab 5 EUR pro Monat für einen Hetzner CX22. Damit lassen sich bis zu 100 aktive Workflows mit hunderten täglichen Ausführungen betreiben. Im Vergleich kostet Zapier für ein vergleichbares Ausführungsvolumen 99–299 USD pro Monat.

Vollständige Datenkontrolle ist der dritte Aspekt: Sie entscheiden, wie lange Ausführungsdaten gespeichert werden, welche Mitarbeitende Zugriff auf Credentials haben, und wie Backups und Notfallpläne aussehen. Gemäß DSGVO Art. 32 (Sicherheit der Verarbeitung) sind diese technischen und organisatorischen Maßnahmen ohnehin Pflicht — Self-Hosting macht deren Umsetzung einfacher und nachweisbarer.

5 EUR/Monat Hetzner Server

Infrastrukturkosten für ein produktionsreifes n8n-Setup (Hetzner CX22)

Quelle: Hetzner Cloud Preisliste 2025, 2025
30 Min. Setup-Zeit

Von leerem Server bis zur laufenden n8n-Instanz mit TLS

Quelle: Wito AI Erfahrungswert (n=12 Self-Hosted-Projekte), 2025
92 % DSGVO-Compliance

bei Self-Hosting im Vergleich zu 61 % bei ungeregeltem Cloud-Einsatz

Quelle: Bitkom Leitfaden DSGVO-konformer Cloud-Einsatz 2024, 2024
100 % Daten-Souveränität

bei Self-Hosted — keine Drittanbieter-Datenverarbeitung (DSGVO Art. 28)

Quelle: DSGVO Art. 28 — Auftragsverarbeitung, 2024

Hardware-Anforderungen: Welcher Hetzner-Server reicht?

Für die meisten KMU-Umgebungen mit bis zu 100 aktiven Workflows ist ein Hetzner CX22 (2 vCPU, 4 GB RAM, 40 GB SSD) vollständig ausreichend. Dieser Servertyp kostet 5 EUR pro Monat und bewältigt problemlos mehrere tausend Workflow-Ausführungen täglich, ohne Performance-Degradierung.

Die Mindestanforderungen für n8n mit PostgreSQL-Backend und Redis-Queue im Queue-Mode: 2 vCPU, 4 GB RAM, 40 GB SSD. Bei 50–100 gleichzeitigen Workflow-Ausführungen sollten Sie auf einen Hetzner CX32 (4 vCPU, 8 GB RAM, 80 GB SSD, ca. 10 EUR/Monat) aufstocken. Eine Redis-Instanz für den Queue-Mode belegt ca. 50–100 MB RAM, PostgreSQL typischerweise 300–500 MB.

Empfehlung für den Serverstandort: nbg1 (Nürnberg) oder fsn1 (Falkenstein) — beide Rechenzentren liegen in Deutschland, sind ISO-27001-zertifiziert und unterfallen ausschließlich deutschem und EU-Recht. Vermeiden Sie bei der Provisionierung US-Standorte wie die Hetzner Ashburn-Rechenzentren (us-east), auch wenn diese günstiger erscheinen — sie fallen unter US-amerikanisches Recht und den Cloud Act.

  • Hetzner CX22 (2 vCPU / 4 GB / 40 GB): 5 EUR/Monat — für bis zu 100 Workflows, ~5.000 Ausführungen/Tag
  • Hetzner CX32 (4 vCPU / 8 GB / 80 GB): 10 EUR/Monat — für bis zu 300 Workflows, ~50.000 Ausführungen/Tag
  • Hetzner CCX23 (4 vCPU dedicated / 16 GB): 22 EUR/Monat — für produktionskritische, hochvolumige Setups

n8n Self-Hosted Setup in 6 Schritten: Von der Provisionierung bis zum Monitoring

Schritt 1

Schritt 1: Hetzner Server provisionieren

Hetzner Cloud Konsole öffnen (console.hetzner.cloud), neues Projekt anlegen. Server-Typ CX22 wählen, Image "Ubuntu 24.04 LTS", Standort "nbg1" (Nürnberg, Deutschland). SSH-Key hinterlegen. Firewall-Regeln anlegen: Port 22 (SSH, nur von eigener IP), Port 80 und 443 (HTTP/HTTPS, öffentlich). Floating IP optional für feste Adresse. Dauer: 5 Minuten.

Schritt 2

Schritt 2: Docker + Docker Compose installieren

Per SSH auf den Server verbinden. Docker Engine über das offizielle Installations-Skript von pkg.docker.com installieren (curl -fsSL https://get.docker.com | sh). Docker Compose Plugin ist seit Docker 23 enthalten (docker compose statt docker-compose). Benutzer zur docker-Gruppe hinzufügen (usermod -aG docker $USER). System-Updates einspielen (apt update && apt upgrade). Docker-Dienst aktivieren (systemctl enable docker). Dauer: 10 Minuten.

Schritt 3

Schritt 3: n8n + PostgreSQL Container starten

docker-compose.yml aus der offiziellen n8n-Dokumentation (docs.n8n.io/hosting/installation/server-setups/docker-compose/) als Vorlage nutzen. Services: n8n (neueste Version), postgres:16-alpine, redis:7-alpine. Umgebungsvariablen in .env-Datei auslagern: N8N_ENCRYPTION_KEY (zufälliger 32-Byte-String), DB_TYPE=postgresdb, DB_POSTGRESDB_*, QUEUE_BULL_REDIS_HOST. n8n-Port intern auf 5678, kein direktes Port-Mapping nach außen (Reverse Proxy übernimmt). Dauer: 10 Minuten.

Schritt 4

Schritt 4: TLS via Caddy oder Traefik

Caddy ist die einfachste Option für Auto-TLS via Let's Encrypt: Caddyfile mit zwei Zeilen (Domain + reverse_proxy n8n:5678) genügt. Alternativ Traefik als weiterer Docker-Service mit Labels am n8n-Container. DNS-Eintrag für die n8n-Domain auf die Hetzner-Server-IP setzen. Caddy bzw. Traefik beantragen automatisch ein Let's-Encrypt-Zertifikat und erneuern es alle 60 Tage. Wichtig: Ohne TLS dürfen keine echten Credentials in n8n gespeichert werden. Dauer: 10 Minuten.

Schritt 5

Schritt 5: Backups einrichten (Hetzner Storage Box)

Hetzner Storage Box BX11 (1 TB, 3,81 EUR/Monat) als Backup-Ziel einrichten. Täglicher Cronjob auf dem Server: PostgreSQL-Dump via pg_dump + Komprimierung, Upload via rclone oder rsync zu Hetzner Storage Box mit SFTP/Samba. Zusätzlich den /home/node/.n8n-Ordner sichern (enthält ggf. lokale Daten). Retention-Policy: 7 Tage täglich, 4 Wochen wöchentlich. BSI IT-Grundschutz OPS.1.1.7 empfiehlt RPO max. 24 Stunden für geschäftskritische Automatisierungen. Dauer: 15 Minuten.

Schritt 6

Schritt 6: Monitoring + automatische Updates

Uptime Kuma (kostenlos, self-hosted, ebenfalls per Docker) für Verfügbarkeitsmonitoring: HTTP-Check auf die n8n-URL alle 60 Sekunden, Alert per E-Mail oder Telegram bei Ausfall. n8n-eigenen Error-Workflow aktivieren: Bei jedem fehlgeschlagenen Produktions-Workflow Slack-Nachricht oder E-Mail an Verantwortliche. Updates: Watchtower-Container für automatische Docker-Image-Updates oder manuelles update-Skript (docker compose pull && docker compose up -d) monatlich im Maintenance-Window. Dauer: 15 Minuten.

Docker Compose Konfiguration: Das vollständige Setup

Die offizielle n8n-Dokumentation unter docs.n8n.io/hosting/installation/server-setups/docker-compose/ stellt eine vollständige `docker-compose.yml`-Vorlage bereit. Das produktionsreife Setup für KMU umfasst vier Services: n8n (Workflow-Engine), postgres (persistente Datenspeicherung), redis (Queue-Backend für parallele Ausführungen) und caddy (Reverse Proxy mit automatischem TLS).

Das kritischste Element in der Konfiguration ist der N8N_ENCRYPTION_KEY: Dieser 32-Byte-Schlüssel verschlüsselt alle in n8n gespeicherten Credentials (API-Keys, OAuth-Tokens, Passwörter) in der PostgreSQL-Datenbank. Er muss vor dem ersten Start erzeugt werden (`openssl rand -hex 32`), sicher in der `.env`-Datei abgelegt und separat gesichert werden — im Idealfall in einem Passwortmanager wie Bitwarden oder 1Password. Ohne diesen Key sind gespeicherte Credentials nach einem Server-Wechsel unbrauchbar.

Für die Datenschutzkonfiguration gemäß DSGVO sind zwei n8n-Umgebungsvariablen besonders relevant: `N8N_EXECUTIONS_DATA_PRUNE=true` begrenzt die Speicherung von Workflow-Ausführungsdaten, `N8N_EXECUTIONS_DATA_MAX_AGE=720` setzt die maximale Aufbewahrungszeit auf 30 Tage. Für Workflows mit besonders sensiblen Daten (Gesundheitsdaten, Finanzdaten) empfiehlt sich zusätzlich `N8N_EXECUTIONS_DATA_SAVE_ON_SUCCESS=none`, um erfolgreiche Ausführungen nicht zu persistieren.

Beispiel-Konfiguration `.env`-Datei (Pflichtfelder):

N8N_ENCRYPTION_KEY=<32-Byte-Hex-String> | DB_TYPE=postgresdb | DB_POSTGRESDB_HOST=postgres | DB_POSTGRESDB_DATABASE=n8n | DB_POSTGRESDB_USER=n8n | DB_POSTGRESDB_PASSWORD=<sicheres-Passwort> | QUEUE_BULL_REDIS_HOST=redis | N8N_HOST=n8n.ihre-domain.de | N8N_PROTOCOL=https | N8N_EXECUTIONS_DATA_PRUNE=true | N8N_EXECUTIONS_DATA_MAX_AGE=720

Alle Docker-Images sollten auf explizite Versionstags festgehalten werden (z. B. `n8nio/n8n:1.85.0` statt `n8nio/n8n:latest`), um unerwartete Breaking Changes durch automatische Updates zu verhindern. Ein monatliches, manuelles Update-Fenster mit vorheriger Backup-Verifikation ist die empfohlene Wartungsstrategie.

Automatisierte Workflows benötigen separate Berechtigungs-Konzepte und regelmäßige Audits. Für Systeme, die automatisiert personenbezogene oder vertrauliche Daten verarbeiten, sind Protokollierung, Zugangskontrolle und ein dokumentierter Notfall-Plan Pflichtbestandteile des Sicherheitskonzepts.
Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz Kompendium — Baustein OPS.1.1.7: Automatisierung von Betriebsprozessen, BSI — Bundesamt für Sicherheit in der Informationstechnik, 2024

TLS, Backups, Monitoring — die drei Pflichtteile

Automatisches TLS via Caddy oder Traefik

Caddy ist für Self-Hosted-Einsteiger die einfachste Option: Ein zweizeiliges `Caddyfile` (`n8n.ihre-domain.de { reverse_proxy n8n:5678 }`) reicht für vollständiges Auto-TLS via Let's Encrypt. Caddy erneuert Zertifikate automatisch, bevor sie ablaufen. Traefik ist die Alternative für komplexere Setups mit mehreren Services auf demselben Server — konfigurierbar ausschließlich über Docker-Labels am n8n-Container. Beide Lösungen sind kostenlos, weit verbreitet und in der n8n-Community dokumentiert.

Tägliche PostgreSQL-Backups zur Hetzner Storage Box

Die kritischsten Daten in einem n8n-Setup sind die PostgreSQL-Datenbank (Workflow-Definitionen, Ausführungshistorie, Credentials) und die `.env`-Datei mit dem Encryption Key. Ein täglicher Cronjob (`pg_dump | gzip | rclone copy`) sichert die Datenbank zur Hetzner Storage Box BX11 (1 TB, 3,81 EUR/Monat). Retention: 7 tägliche, 4 wöchentliche Backups. Den Encryption Key niemals nur auf dem Server belassen — immer separat in einem Passwortmanager sichern.

Monitoring via Uptime Kuma

Uptime Kuma ist ein kostenloser, self-hosted Monitoring-Service, der per Docker-Container auf demselben Hetzner-Server läuft. HTTP-Check auf die n8n-URL alle 60 Sekunden, Alert per E-Mail, Telegram oder Slack bei Ausfall. Kombiniert mit dem n8n-eigenen Error-Workflow (Slack-Nachricht bei fehlgeschlagenen Produktions-Workflows) ergibt sich ein vollständiges Monitoring-Setup ohne zusätzliche SaaS-Kosten.

Compliance-Checkliste vor dem Go-Live

Bevor die erste n8n-Instanz mit personenbezogenen Daten in Produktion geht, sollten alle Punkte dieser Checkliste erfüllt sein. Sie orientiert sich an den Anforderungen der DSGVO Art. 32 (technische und organisatorische Maßnahmen) und den Empfehlungen des BSI IT-Grundschutz OPS.1.1.7.

  • AVV mit Hetzner abgeschlossen — Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (kostenlos, abrufbar über das Hetzner Kundencenter)
  • n8n Encryption Key sicher gespeichert — in Passwortmanager (Bitwarden, 1Password), nicht nur in der .env-Datei auf dem Server
  • TLS aktiv und verifiedt — SSL-Labs-Test (ssllabs.com/ssltest) ergibt mindestens A-Rating
  • Backup-Restore getestet — mindestens einmal manuell einen Restore durchgespielt, Backup-Vollständigkeit verifiziert
  • Ausführungshistorie begrenzt — N8N_EXECUTIONS_DATA_PRUNE=true, Aufbewahrungszeit auf 30 Tage gesetzt
  • Mitarbeitende-Schulung dokumentiert — wer darf auf n8n zugreifen, wer nicht; Zugangsdaten-Management geregelt
  • Notfall-Plan vorhanden — schriftlich: Was passiert bei Server-Ausfall? Wie lange dauert Wiederherstellung? Wer ist verantwortlich?
  • Datenschutz-Folgenabschätzung geprüft — bei Workflows mit besonders sensiblen Daten (Gesundheit, Finanzen, Mitarbeiterdaten) ggf. DSFA nach Art. 35 DSGVO erforderlich

Häufige Fragen zum n8n Self-Hosted DSGVO-Setup

n8n Cloud ist eine valide Option, wenn Sie keine eigene IT-Infrastruktur betreiben möchten. Seit 2024 hat n8n Cloud EU-Rechenzentren in Frankfurt, und ein DSGVO-konformes Data Processing Agreement (DPA) nach Art. 28 ist verfügbar — das macht die Cloud-Variante für viele KMU ausreichend. Self-Hosting ist jedoch vorzuziehen, wenn: (1) Ihre DSGVO-Anforderungen besonders strikt sind (z. B. Gesundheitswesen, Finanzdienstleistungen), (2) Sie keine laufenden Cloud-Kosten wünschen (n8n Cloud ab 20 EUR/Monat), oder (3) Sie maximale Kontrolle über Datenhaltungsfristen und Zugriffsrechte benötigen.
Für bis zu 100 aktive Workflows und ~5.000 Ausführungen täglich ist ein Hetzner CX22 (2 vCPU, 4 GB RAM, 40 GB SSD, 5 EUR/Monat) vollständig ausreichend. Bei 50–300 Workflows oder höherem Ausführungsvolumen empfehlen wir den Hetzner CX32 (4 vCPU, 8 GB RAM, ca. 10 EUR/Monat). Für produktionskritische Setups mit strikten SLA-Anforderungen bieten sich dedizierte Servertypen wie der CCX23 an. Der Serverstandort sollte immer auf Deutschland (nbg1 oder fsn1) gesetzt werden, um DSGVO-Konformität sicherzustellen.
n8n erscheint wöchentlich in neuen Versionen. Für produktive Installationen empfehlen wir ein monatliches Update-Fenster: docker compose pull && docker compose up -d nach vorherigem Backup-Check. Sicherheits-Patches sollten zeitnah (innerhalb 24–72 Stunden) eingespielt werden. Tipp: Melden Sie sich für den n8n-Community-Newsletter oder verfolgen Sie das GitHub-Repository (github.com/n8n-io/n8n/releases), um über wichtige Releases informiert zu werden.
Infrastrukturkosten: Hetzner CX22 (5 EUR/Monat) + Hetzner Storage Box BX11 für Backups (3,81 EUR/Monat) + Domain (~1 EUR/Monat) = ca. 10 EUR/Monat. Dazu kommt der einmalige Setup-Aufwand: Bei Selbstdurchführung ca. 4–8 Stunden, bei Beauftragung eines Dienstleisters ab ca. 1.500 EUR netto für ein vollständiges produktionsreifes Setup. Im Vergleich: n8n Cloud für 100 Workflows ab 50 EUR/Monat; Zapier für vergleichbares Ausführungsvolumen ab 99 USD/Monat.
Sofortmaßnahmen bei einer Datenpanne: (1) n8n-Instanz sofort stoppen (docker compose stop n8n), um weitere Datenverarbeitung zu unterbinden. (2) Ausmaß der Panne einschätzen: Welche Workflows, welche Daten, welcher Zeitraum? (3) Meldepflicht prüfen: Datenpannen mit Risiko für Betroffene müssen gemäß DSGVO Art. 33 innerhalb von 72 Stunden an die zuständige Datenschutzbehörde (z. B. Bayerisches Landesamt für Datenschutzaufsicht) gemeldet werden. (4) Betroffene informieren, wenn hohes Risiko besteht (Art. 34 DSGVO). Haben Sie einen schriftlichen Notfall-Plan? Diesen sollten Sie vor dem Go-Live erstellt haben.
Ein Datenschutzbeauftragter ist nach DSGVO Art. 37 verpflichtend, wenn Ihr Unternehmen als Kernaufgabe umfangreiche Verarbeitung personenbezogener Daten betreibt (z. B. professionelle Datenverarbeitung, Gesundheitsdaten), oder wenn Sie mehr als 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigen (deutsche nationale Spezifizierung, BDSG §38). Für die meisten KMU, die n8n für interne Prozesse nutzen, ist kein DSB zwingend — aber empfehlenswert. Auch ohne Pflicht-DSB empfehlen wir, vor dem Go-Live eine Datenschutz-Folgenabschätzung (DSFA) für Workflows mit sensiblen Daten durchzuführen.
Das technische Setup (Server, Docker, n8n) ist für eine Person mit Linux-Grundkenntnissen und dieser Anleitung in 30–60 Minuten erledigt. Anspruchsvoller sind: die DSGVO-konforme Konfiguration (AVV, Datenhaltungsfristen, Berechtigungskonzept), das Monitoring-Setup und die laufende Wartung (Updates, Backup-Verifikation). Wito AI bietet ein vollständiges Managed-n8n-Setup an: Server-Provisionierung, DSGVO-Konfiguration, Monitoring, AVV, und laufende Wartung — ab 1.500 EUR netto einmalig, optional mit monatlichem Managed-Service ab 150 EUR.
Der n8n Encryption Key verschlüsselt alle in n8n gespeicherten Credentials (API-Keys, Passwörter, OAuth-Tokens) in der PostgreSQL-Datenbank. Bei einem Server-Wechsel muss dieser Key zwingend auf den neuen Server übertragen werden — andernfalls sind alle gespeicherten Credentials dauerhaft unlesbar, und alle Workflows müssen neu konfiguriert werden. Empfehlung: Key bei der Ersteinrichtung in einem Passwortmanager (Bitwarden, 1Password) sichern und niemals nur auf dem Server belassen. Bei Managed-Setups durch Wito AI wird der Key in einem verschlüsselten Tresor hinterlegt.

n8n Self-Hosted Setup professionell einrichten lassen

Wito AI richtet Ihr n8n-Setup DSGVO-konform auf Hetzner ein — inklusive TLS, Backups, Monitoring und AVV. Starter-Setup ab 1.500 EUR netto, inkl. Compliance-Dokumentation und einer Einführungsschulung.

n8n-Setup buchenAlle n8n-Leistungen ansehen
  • Hetzner Cloud Deutschland (nbg1/fsn1)
  • DSGVO-konform — AVV, Art. 28 + Art. 32
  • TLS, Backups, Monitoring inklusive
  • BSI IT-Grundschutz OPS.1.1.7 berücksichtigt

n8n Self-Hosted DSGVO-Anleitung 2026: Schritt-für-Schritt mit Hetzner

Beratung

KI-Beratung

→ Jetzt lesen
Automatisierung

Prozessautomatisierung

→ Jetzt lesen
Produkt

N8N Automation

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen