Salesforce, HubSpot, Pipedrive — die bekanntesten CRM-Systeme laufen in der Cloud. Für kleine Vertriebsteams klingt das verlockend: kein Server, kein IT-Aufwand, sofort einsatzbereit. Doch spätestens wenn ein Datenschutzbeauftragter oder ein Unternehmensberater die Frage stellt, wo eigentlich die Kundendaten liegen, wird die Komfort-Rechnung komplizierter.
Dieser Artikel erklärt, was Self-Hosted im CRM-Kontext bedeutet, welche DSGVO-Risiken Cloud-CRMs mit sich bringen und für wen ein selbst gehostetes CRM die bessere Wahl ist.
Was bedeutet Self-Hosted CRM?
Ein self-hosted CRM läuft auf einem Server, den Sie selbst kontrollieren — entweder auf eigener Hardware oder bei einem deutschen Hosting-Anbieter wie IONOS, Hetzner oder Strato. Die Software gehört Ihnen, die Daten verlassen nie Ihren Server, und Sie entscheiden, wer Zugriff hat.
Im Gegensatz dazu läuft ein Cloud-CRM auf den Servern des Anbieters. Sie bezahlen monatlich für den Zugang, die Infrastruktur gehört dem Anbieter, und Ihre Daten liegen — je nach Anbieter — in Rechenzentren in den USA, Irland oder anderswo.
Bei einem Cloud-CRM mieten Sie Zugang zu Ihrer eigenen Kundendatenbank. Bei einem self-hosted CRM gehört sie Ihnen — vollständig und ohne Abhängigkeit.
Die DSGVO-Risiken von Cloud-CRM
Datentransfer in Drittländer
Viele Cloud-CRM-Anbieter sitzen in den USA. Für US-amerikanische Unternehmen gilt der CLOUD Act: US-Behörden können unter bestimmten Bedingungen auf Daten zugreifen, die US-Firmen speichern — auch wenn die Daten in einem europäischen Rechenzentrum liegen. Das EU-US Data Privacy Framework soll das lösen, steht aber weiter unter rechtlichem Druck.
Auftragsverarbeitungsvertrag reicht nicht immer aus
Ein AVV mit dem CRM-Anbieter ist Pflicht — aber er schützt nicht vor dem CLOUD Act und löst das Drittlandproblem nicht automatisch. Unternehmen mit sensiblen B2B-Kontaktdaten (Anwälte, Steuerberater, Pharmaunternehmen, öffentliche Auftraggeber) tragen ein messbares Restrisiko, wenn sie Cloud-CRMs aus den USA verwenden.
Datenlöschung und Auskunftspflichten
Die DSGVO gibt betroffenen Personen das Recht auf Löschung. Bei einem Cloud-CRM sind Sie darauf angewiesen, dass der Anbieter die Löschung vollständig und nachweisbar durchführt — inklusive Backups. Bei einem self-hosted System führen Sie die Löschung selbst durch und können sie lückenlos dokumentieren.
Cloud-CRM vs. Self-Hosted: Direktvergleich
| Kriterium | Cloud-CRM | Self-Hosted CRM |
|---|---|---|
| Datenspeicherort | Rechenzentrum des Anbieters | Ihr Server in Deutschland |
| CLOUD-Act-Risiko | Ja (bei US-Anbietern) | Nein |
| Datenlöschung selbst kontrollierbar | Nein | Ja, vollständig |
| Monatliche Kosten | Dauerhaft (pro User) | Einmalig + Hosting |
| Offline-Betrieb möglich | Nein | Ja |
| Anbieter-Abhängigkeit | Hoch (Preise, AGB, Abkündigung) | Keine |
| IT-Aufwand Initial | Gering | Einmalige Einrichtung |
Für wen lohnt sich ein self-hosted CRM?
Nicht für jedes Unternehmen ist der Umstieg auf Self-Hosted der richtige Schritt. Es lohnt sich besonders für:
- Vertriebsteams mit sensiblen Kundenkontakten (Anwälte, Ärzte, Behörden, Pharma)
- Unternehmen, die von öffentlichen Auftraggebern Datenschutz-Nachweise fordern
- Teams mit 3–15 Agenten, die die Abokosten großer CRMs vermeiden wollen
- Unternehmen mit eigenem IT-Know-how oder einem lokalen IT-Dienstleister
- Firmen, die Daten dauerhaft lokal halten müssen (Compliance, Branchenvorgaben)
Was ein DSGVO-konformes Self-Hosted CRM mitbringen muss
Self-Hosted allein macht ein CRM noch nicht DSGVO-konform. Entscheidend ist, wie die Software aufgebaut ist:
- Rollenbasierte Zugriffsrechte — Wer sieht welche Daten? Agenten sollten nur eigene Leads sehen können.
- Löschfunktion mit Protokollierung — Auskunftsersuchen und Löschanfragen müssen dokumentiert werden.
- Verschlüsselte Datenbankverbindung — Keine Klartext-Übertragung zwischen Client und Server.
- Automatische Backups mit definierten Aufbewahrungsfristen — Backup-Daten müssen genauso gelöscht werden wie Live-Daten.
- Kein Drittanbieter-Tracking im Interface — Kein Google Analytics, keine externen Fonts, die IP-Adressen weiterleiten.
Die Kostenfrage: Abo vs. einmalig
Ein Team mit fünf Vertriebsagenten zahlt bei einem typischen Cloud-CRM zwischen 150 und 500 Euro pro Monat — also 1.800 bis 6.000 Euro pro Jahr. Dauerhaft, ohne Ende, mit Preiserhöhungsrisiko bei jedem Vertragsjahr.
Ein self-hosted CRM hat in der Regel einmalige Einrichtungskosten plus monatliche Serverkosten von 10 bis 30 Euro. Nach einem Jahr ist die Investition amortisiert — danach arbeitet das Team dauerhaft günstiger als mit jedem Abo-Modell.
CRM ohne Cloud — self-hosted für Ihr Vertriebsteam
Unser B2B Sales Tool läuft auf Ihrem eigenen Server, speichert keine Daten bei Drittanbietern und erfüllt die DSGVO-Anforderungen ohne Kompromisse.
Live-Demo ansehen →Fazit
Cloud-CRM ist nicht per se DSGVO-widrig — aber es bringt Risiken mit, die viele Unternehmen unterschätzen. Self-Hosted gibt Ihnen die vollständige Kontrolle über Ihre Kundendaten, eliminiert das Drittlandproblem und ist nach der Einrichtung günstiger als jedes Abo-Modell. Wer sensible B2B-Kontakte verwaltet oder von Kunden auf Datenschutz-Compliance angesprochen wird, sollte den Wechsel ernsthaft prüfen.
