DSGVO-konformer Tool-Stack 2026 — alle Daten in der EU
Wenn dein Geschäft Mandanten-, Kunden- oder Mitarbeiter-Daten verarbeitet und du keine Drittlandtransfer-DSFA jedes Jahr verteidigen willst: hier ist der EU-Native-Stack 2026. 8 Tools, alle in EU-Rechenzentren, alle AVV-fähig, alle in den letzten 18 Monaten einzeln getestet.
Veröffentlicht 2026-05-05 · Re-test 2026-05-10 — noch aktuell · DSGVO-Modus: maximum (zero Drittlandtransfer)
TL;DR — DSGVO-Native EU-Stack
Wer maximalen DSGVO-Komfort will (kein US-Server, keine DSFA-Übungen, keine Schrems-III-Sorgen), kombiniert:
- Sevdesk oder Lexware Office — Buchhaltung in DE
- CentralStation — DE-only CRM aus Köln
- Brevo — Email-Marketing aus Frankreich
- Hetzner — Hosting in Nürnberg/Falkenstein
- n8n self-hosted — eigene Automation-Plattform
- Mistral AI oder Ollama lokal — KI ohne USA
- Plausible — Cookie-freie Analytics
Total: 50–100 EUR/Monat für Solo, 200–400 EUR für 5-Personen-Team. Marginal teurer als US-Stack, aber rechtlich entspannt + bei B2B- Kunden ein echtes Differenzierungs-Argument.
Der vollständige EU-Native-Stack
Jedes Tool: DSGVO-Status verifiziert (Server-Standort, AVV-Verfügbarkeit, Subprozessoren-Liste). Klick öffnet den Detail-Review.
Buchhaltung (DE-Server)
Sevdesk
100% in Deutschland gehostet, GoBD-Testat, AVV Self-Service. Für Solos + Solo-GmbHs der DSGVO-saubere Standard.
DSGVO-konform · Frankfurt
Detail-Review öffnen →
Buchhaltung (DE) + Lohn
Lexware Office
Haufe-Lexware (DE-Konzern), Server in Deutschland, TÜV-zertifiziert. Wer Lohnbuchhaltung im gleichen Tool will: alternativlos.
DSGVO-konform · Deutschland
Detail-Review öffnen →
CRM (DE-only)
CentralStation CRM
Anbieter aus Köln, ausschließlich deutsche Server, Plan-Pricing (nicht User-Pricing). DSGVO-Maximum-CRM für DACH-Verhältnisse.
DSGVO-konform · Köln
Detail-Review öffnen →
Email-Marketing (EU)
Brevo
Französisches Unternehmen, Server in Frankreich + Deutschland, EU-Default. AVV nativ, Subprozessoren-Liste übersichtlich.
DSGVO-konform · Frankreich + DE
Detail-Review öffnen →
Hosting (DE)
Hetzner
Größter deutscher Hoster, Rechenzentren in Nürnberg + Falkenstein, AVV Self-Service. Performance-Cloud-Marktführer DACH.
DSGVO-konform · Nürnberg + Falkenstein
Detail-Review öffnen →
Workflow-Automation
n8n self-hosted
Open Source, auf eigenem Hetzner-Server installiert. Daten verlassen nie deinen Server. Ersatz für Zapier/Make in DSGVO-strikten Setups.
DSGVO-konform · deine Wahl (EU)
Detail-Review öffnen →KI-Modelle
Mistral AI (oder Ollama)
Mistral (Paris) hostet in der EU mit dokumentierter Compliance. Ollama bietet lokale Modelle (Llama 3, Qwen, Mistral) — radikal DSGVO, weil offline.
DSGVO-konform · Paris / lokal
Detail-Review öffnen →Web-Analytics (Cookie-frei)
Plausible Analytics
EU-Native (Estland-Anbieter mit EU-Hosting), keine Cookies, kein Banner nötig. Google-Analytics-Ersatz, der DSGVO null Aufwand macht.
DSGVO-konform · EU
Was DSGVO-konform nicht bedeutet
Häufige Missverständnisse, die in Sales-Pitches auftauchen:
- "Wir nutzen die EU-Region von HubSpot" ≠ DSGVO-konform. HubSpot EU-Hosting deckt die primären Daten ab, aber Subprozessoren (Email-Versand, Analytics, Logs) hosten weiterhin teilweise in den USA. DSFA bleibt Pflicht.
- "Tool hat AVV" ≠ automatisch unbedenklich. Der AVV ist Voraussetzung, nicht Lösung. Drittlandtransfer braucht zusätzlich SCC + DSFA, und Behörden prüfen vor allem letzteres.
- "Cookie-Banner" ≠ DSGVO-Lösung. Ein Banner ist Symptom, nicht Lösung. Tools wie Plausible (cookie-frei) oder Server-Side-Analytics beseitigen den Anlass für den Banner überhaupt.
- "Daten verschlüsselt" ≠ kein Drittlandtransfer. Verschlüsselung schützt die Daten, ändert aber nicht den Rechtssitz des Anbieters oder Server-Standort.
Drei DSGVO-Stack-Profile
Profil A: Anwaltskanzlei / Steuerberatung (Solo)
Stack: Sevdesk + CentralStation CRM + Brevo (Newsletter opt-in) + Hetzner Webhosting + Ollama lokal (KI für Schriftsatz-Drafts ohne Mandanten-Daten verlassen den Rechner) + Plausible. Kosten: ~60 EUR/Monat. Mandantengeheimnis-tauglich, weil keine US-Provider mit personenbezogenen Daten in Berührung kommen.
Profil B: B2B-Beratung mit regulierten Kunden (5 Personen)
Stack: Lexware Office + Lohn + CentralStation + Brevo Business + Hetzner Cloud + n8n self-hosted + Mistral API für KI-Workflows. Kosten: ~250 EUR/Monat. DSGVO ist Pitch-Argument beim Akquise-Gespräch — zertifizierbar über AVV-Sammlung + Datenschutz- Audit-Doku.
Profil C: Hybrid-Stack (Solo, pragmatisch)
Stack: Sevdesk (DE-Buchhaltung, kompromisslos) + Notion (mit DSFA für unkritische Inhalte) + ChatGPT Plus (DSFA für Brainstorming) + Brevo (Newsletter, EU-Default) + Hetzner. Kosten: ~55 EUR/Monat. Für reale Solo-Selbstständige der praktikable Weg — DSFA-Pflicht für 2-3 Tools, alles andere EU-Native.
Migration: schrittweise von US zu EU
Wenn du bereits einen US-lastigen Stack hast, ist die Migration machbar — aber besser priorisiert als komplett-Big-Bang:
- Phase 1 (Woche 1–2): Buchhaltung migrieren — QuickBooks → Sevdesk. DATEV-Export läuft sofort, alte Daten als CSV importieren.
- Phase 2 (Monat 1–2): Email-Marketing — Mailchimp → Brevo. Listen-Export + neuer Double-Opt-In-Lauf nötig (gute Hygiene).
- Phase 3 (Monat 2–3): CRM — HubSpot → CentralStation. Kontakte als CSV exportieren, Custom-Properties manuell mappen.
- Phase 4 (Monat 3–4): Hosting — von Cloudflare/AWS auf Hetzner. Backups verifizieren bevor du DNS umstellst.
- Phase 5 (laufend): KI-Tools — Mistral / Ollama für sensible Use-Cases, ChatGPT/Claude weiter für unkritische Recherche.