Salesforce, HubSpot, Pipedrive, die bekanntesten CRM-Systeme laufen in der Cloud. Für kleine Vertriebsteams klingt das verlockend: kein Server, kein IT-Aufwand, sofort einsatzbereit. Doch spätestens wenn ein Datenschutzbeauftragter oder ein Unternehmensberater die Frage stellt, wo eigentlich die Kundendaten liegen, wird die Komfort-Rechnung komplizierter.
Dieser Artikel erklärt, was Self-Hosted im CRM-Kontext bedeutet, welche DSGVO-Risiken Cloud-CRMs mit sich bringen und für wen ein selbst gehostetes CRM die bessere Wahl ist.
Was bedeutet Self-Hosted CRM?
Ein self-hosted CRM läuft auf einem Server, den Sie selbst kontrollieren, entweder auf eigener Hardware oder bei einem deutschen Hosting-Anbieter wie IONOS, Hetzner oder Strato. Die Software gehört Ihnen, die Daten verlassen nie Ihren Server, und Sie entscheiden, wer Zugriff hat.
Im Gegensatz dazu läuft ein Cloud-CRM auf den Servern des Anbieters. Sie bezahlen monatlich für den Zugang, die Infrastruktur gehört dem Anbieter, und Ihre Daten liegen, je nach Anbieter, in Rechenzentren in den USA, Irland oder anderswo.
Bei einem Cloud-CRM mieten Sie Zugang zu Ihrer eigenen Kundendatenbank. Bei einem self-hosted CRM gehört sie Ihnen, vollständig und ohne Abhängigkeit.
Die DSGVO-Risiken von Cloud-CRM
Datentransfer in Drittländer
Viele Cloud-CRM-Anbieter sitzen in den USA. Für US-amerikanische Unternehmen gilt der CLOUD Act: US-Behörden können unter bestimmten Bedingungen auf Daten zugreifen, die US-Firmen speichern, auch wenn die Daten in einem europäischen Rechenzentrum liegen. Das EU-US Data Privacy Framework soll das lösen, steht aber weiter unter rechtlichem Druck.
Auftragsverarbeitungsvertrag reicht nicht immer aus
Ein AVV mit dem CRM-Anbieter ist Pflicht, aber er schützt nicht vor dem CLOUD Act und löst das Drittlandproblem nicht automatisch. Unternehmen mit sensiblen B2B-Kontaktdaten (Anwälte, Steuerberater, Pharmaunternehmen, öffentliche Auftraggeber) tragen ein messbares Restrisiko, wenn sie Cloud-CRMs aus den USA verwenden.
Datenlöschung und Auskunftspflichten
Die DSGVO gibt betroffenen Personen das Recht auf Löschung. Bei einem Cloud-CRM sind Sie darauf angewiesen, dass der Anbieter die Löschung vollständig und nachweisbar durchführt, inklusive Backups. Bei einem self-hosted System führen Sie die Löschung selbst durch und können sie lückenlos dokumentieren.
Cloud-CRM vs. Self-Hosted: Direktvergleich
| Kriterium | Cloud-CRM | Self-Hosted CRM |
|---|---|---|
| Datenspeicherort | Rechenzentrum des Anbieters | Ihr Server in Deutschland |
| CLOUD-Act-Risiko | Ja (bei US-Anbietern) | Nein |
| Datenlöschung selbst kontrollierbar | Nein | Ja, vollständig |
| Monatliche Kosten | Dauerhaft (pro User) | Einmalig + Hosting |
| Offline-Betrieb möglich | Nein | Ja |
| Anbieter-Abhängigkeit | Hoch (Preise, AGB, Abkündigung) | Keine |
| IT-Aufwand Initial | Gering | Einmalige Einrichtung |
Für wen lohnt sich ein self-hosted CRM?
Nicht für jedes Unternehmen ist der Umstieg auf Self-Hosted der richtige Schritt. Es lohnt sich besonders für:
- Vertriebsteams mit sensiblen Kundenkontakten (Anwälte, Ärzte, Behörden, Pharma)
- Unternehmen, die von öffentlichen Auftraggebern Datenschutz-Nachweise fordern
- Teams mit 3–15 Agenten, die die Abokosten großer CRMs vermeiden wollen
- Unternehmen mit eigenem IT-Know-how oder einem lokalen IT-Dienstleister
- Firmen, die Daten dauerhaft lokal halten müssen (Compliance, Branchenvorgaben)
Was ein DSGVO-konformes Self-Hosted CRM mitbringen muss
Self-Hosted allein macht ein CRM noch nicht DSGVO-konform. Entscheidend ist, wie die Software aufgebaut ist:
- Rollenbasierte Zugriffsrechte: Wer sieht welche Daten? Agenten sollten nur eigene Leads sehen können.
- Löschfunktion mit Protokollierung: Auskunftsersuchen und Löschanfragen müssen dokumentiert werden.
- Verschlüsselte Datenbankverbindung: Keine Klartext-Übertragung zwischen Client und Server.
- Automatische Backups mit definierten Aufbewahrungsfristen: Backup-Daten müssen genauso gelöscht werden wie Live-Daten.
- Kein Drittanbieter-Tracking im Interface: Kein Google Analytics, keine externen Fonts, die IP-Adressen weiterleiten.
Die Kostenfrage: Abo vs. einmalig
Ein Team mit fünf Vertriebsagenten zahlt bei einem typischen Cloud-CRM zwischen 150 und 500 Euro pro Monat, also 1.800 bis 6.000 Euro pro Jahr. Dauerhaft, ohne Ende, mit Preiserhöhungsrisiko bei jedem Vertragsjahr.
Ein self-hosted CRM hat in der Regel einmalige Einrichtungskosten plus monatliche Serverkosten von 10 bis 30 Euro. Nach einem Jahr ist die Investition amortisiert, danach arbeitet das Team dauerhaft günstiger als mit jedem Abo-Modell.
CRM ohne Cloud: self-hosted für Ihr Vertriebsteam
Unser B2B Sales Tool läuft auf Ihrem eigenen Server, speichert keine Daten bei Drittanbietern und erfüllt die DSGVO-Anforderungen ohne Kompromisse.
Live-Demo ansehen →Fazit
Cloud-CRM ist nicht per se DSGVO-widrig, aber es bringt Risiken mit, die viele Unternehmen unterschätzen. Self-Hosted gibt Ihnen die vollständige Kontrolle über Ihre Kundendaten, eliminiert das Drittlandproblem und ist nach der Einrichtung günstiger als jedes Abo-Modell. Wer sensible B2B-Kontakte verwaltet oder von Kunden auf Datenschutz-Compliance angesprochen wird, sollte den Wechsel ernsthaft prüfen.