Domain crmsoftware.de inkl. dieser Website: 5.000 € zzgl. MwSt. Anfrage senden →
Rechtsstand Mai 2026

CRM-Software DSGVO-konform und in Deutschland gehostet

Sie wollen ein CRM einsetzen, ohne mit den Aufsichtsbehörden in Konflikt zu geraten? Diese Seite ordnet den aktuellen Rechtsrahmen ein - Art. 28 DSGVO, Data Privacy Framework, Schrems II - und listet, welcher Anbieter wo hostet. Mit konkreter Checkliste für die datenschutzkonforme Einführung.

Wer hostet wo? Checkliste Einführung
Rechtsrahmen

Art. 28 DSGVO: Der Auftragsverarbeitungsvertrag

Sobald ein CRM-Anbieter personenbezogene Daten im Auftrag eines deutschen oder europäischen Unternehmens verarbeitet, ist der Verantwortliche nach Art. 28 DSGVO verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Der AVV muss schriftlich oder elektronisch vorliegen, bevor die Datenverarbeitung beginnt.

Der AVV regelt unter anderem:

Quelle: Visioncompliance: Art. 28 DSGVO Auftragsverarbeitung, Windweiss: AVV 2026.

Praktische Konsequenz: Vor Vertragsabschluss mit Salesforce, HubSpot, Pipedrive, Zoho, Microsoft, monday oder Bitrix24 muss der Verantwortliche den jeweiligen AVV prüfen, unterzeichnen und dokumentieren. Die meisten US-Anbieter stellen den AVV über Self-Service oder im Privacy Center bereit.

Server-Rack im Rechenzentrum mit angedeuteten Deutschland-Farben im Hintergrund als Sinnbild für DE-Hosting
Wer DSGVO-Stress aus dem Weg gehen will, hostet in Deutschland - sechs deutsche CRMs liefern das ab Werk.
DPF

EU-US Data Privacy Framework - Stand Mai 2026

Seit Juli 2023 gilt der Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Data Privacy Framework (DPF). Am 3. September 2025 hat das Gericht der Europäischen Union (EuG) die Nichtigkeitsklage T-553/23 (Latombe/Kommission) gegen den DPF-Beschluss abgewiesen und damit den Beschluss bestätigt.

Am 31. Oktober 2025 hat der Kläger Rechtsmittel beim EuGH eingelegt. Das Verfahren läuft als C-703/25 P (Latombe/Kommission) weiter. Das DPF bleibt bis zu einer eventuellen Aufhebung wirksam.

Bedeutung für CRM: Wenn ein US-Anbieter DPF-zertifiziert ist und der Zertifizierungs-Scope die Daten umfasst, sind Datentransfers in die USA ohne EU-Standardvertragsklauseln (SCC) und ohne Transfer Impact Assessment (TIA) möglich. Der AVV nach Art. 28 bleibt weiter Pflicht.

Quellen: Inxmail: Das EU-US DPF, IHK München: EU U.S. Data Privacy Framework, Ailance: EuG bestätigt DPF (04.09.2025).

Den DPF-Zertifizierungsstatus eines US-CRMs können Sie in der offiziellen Data Privacy Framework List prüfen. Salesforce, HubSpot, Microsoft, Pipedrive, Zoho und monday.com sind dort als zertifiziert geführt (Stand Mai 2026 stichprobenartig bestätigt).

Schrems-II-Relevanz heute

Das Schrems-II-Urteil des EuGH (16.07.2020) hat den Privacy Shield als Transfermechanismus für ungültig erklärt. Mit dem DPF (2023) und der EuG-Bestätigung (2025) ist die Lage formal entspannt. Solange das DPF gilt, ist Schrems II für DPF-zertifizierte Anbieter weitgehend entschärft.

Risikolage: Falls der EuGH das DPF im Verfahren C-703/25 P kippen sollte, fällt erneut der Transfermechanismus weg. Verantwortliche brauchen dann wieder SCC plus TIA plus zusätzliche Schutzmaßnahmen (zum Beispiel Verschlüsselung, Pseudonymisierung). Wer dauerhaft Risiko vermeiden will, fährt mit EU- oder DE-Hosting sicherer.

Quellen: BfDI: Auswirkungen Schrems-II-Urteil, CMS Hasche Sigle: Schrems II.

Hosting-Standorte

Wer hostet wo? Alle großen Anbieter im Überblick

Anbieter mit Server ausschließlich in Deutschland

AnbieterStandortQuelle
weclappFrankfurt am Mainweclapp Trustcenter
CentralStationCRM (42he GmbH, Köln)Deutschland (ISO 27001)CentralStationCRM Datenschutz
Hamburger Software (HS)Deutschland (GoBD-konform)HS-Vertrieb
TecArt CRMErfurtTecArt CRM
CAS genesisWorldKarlsruheCAS Software
combit Relationship ManagerKonstanzcombit

Anbieter mit DE-Hosting als Option (Hyperforce, Azure DE)

AnbieterDE-RegionQuelle
Salesforce (Hyperforce)FrankfurtSalesforce Hyperforce
Microsoft Dynamics 365 SalesGermany West Central (Frankfurt), Germany North (Berlin)Azure Regionen
HubSpotFrankfurt (Opt-in)HubSpot EU Data Hosting

Anbieter mit EU-Hosting (Frankfurt, Dublin, Amsterdam)

AnbieterEU-StandortQuelle
PipedriveAWS Frankfurt + DublinPipedrive Security
ZohoAmsterdam + DublinZoho Data Centers
monday.comFrankfurtmonday Security
Bitrix24Frankfurt (Opt-in)Bitrix24 Data Centers
BSI Customer SuiteCH + EU (On-Premise oder BSI-Hosting)BSI Customer Suite

Anbieter mit Standard-Hosting in den USA

DACH-Anbieter

Deutsche CRMs mit "DSGVO-konform"-Positionierung

Folgende Anbieter werben aktiv mit DSGVO- und DACH-Fokus - Hosting ausschließlich in Deutschland, Support in deutscher Sprache, GoBD-Konformität:

weclapp

Frankfurt. ERP plus CRM aus einer Hand. GoBD, ISO 27001, XRechnung.

CentralStationCRM

Köln (42he GmbH). Schlankes CRM ohne KI-Hype, ausschließlich DE-Server.

Hamburger Software

Hamburg. CRM-Modul der HS-Suite (Warenwirtschaft, Lohn, Fibu).

TecArt CRM

Erfurt. Modulares B2B-CRM, On-Premise oder Cloud (DE-Server).

CAS genesisWorld

Karlsruhe. DACH-Mittelstand-Klassiker mit Branchenmodulen.

combit Relationship Manager

Konstanz. Stark in Vereinen, NPO und kleinen Verlagen.

Quelle: Wazzl: Top 10 Cloud-CRM-Systeme für deutsche KMU.

Checkliste

CRM datenschutzkonform einführen - 8 Schritte

  1. AVV prüfen und unterzeichnen vor dem ersten Datenimport. Bei US-Anbietern zusätzlich DPF-Zertifizierung dokumentieren.
  2. Hosting-Standort im AVV festhalten und im Verarbeitungsverzeichnis vermerken.
  3. Sub-Auftragsverarbeiter (zum Beispiel AWS, Microsoft, Twilio) im AVV-Anhang prüfen, gegebenenfalls nachvertragliches Vetorecht ausüben.
  4. TOMs (technisch-organisatorische Maßnahmen) anfordern: Verschlüsselung, Zugriffskontrolle, Backup, Löschkonzept.
  5. Datenschutzfolgenabschätzung (DSFA) bei sensiblen Datenkategorien (Gesundheit, Bonität, Beschäftigtendaten) durchführen.
  6. Betroffenenrechte umsetzen: Auskunft, Berichtigung, Löschung müssen im CRM-Workflow abbildbar sein.
  7. Internes Verarbeitungsverzeichnis nach Art. 30 DSGVO ergänzen.
  8. Löschkonzept definieren - zum Beispiel Löschung nicht reagierender Leads nach 24 Monaten, Löschung von Mitarbeiterdaten bei Austritt.
FAQ

Häufige Fragen

Welche CRMs hosten ausschließlich in Deutschland?
weclapp (Frankfurt), CentralStationCRM (Köln), Hamburger Software (Hamburg), TecArt CRM (Erfurt), CAS genesisWorld (Karlsruhe) und combit Relationship Manager (Konstanz) hosten Daten ausschließlich in deutschen Rechenzentren. Salesforce, HubSpot und Microsoft bieten DE- bzw. EU-Hosting als Option an.
Ist Salesforce DSGVO-konform?
Ja, sofern Hyperforce-Region Deutschland gewählt und der AVV nach Art. 28 DSGVO abgeschlossen ist. Salesforce ist zusätzlich DPF-zertifiziert. Stand des DPF im Mai 2026: vom Gericht der Europäischen Union am 03.09.2025 bestätigt, Rechtsmittel am EuGH anhängig.
Was ist ein AVV und brauche ich den?
Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO regelt die Datenverarbeitung durch den CRM-Anbieter im Auftrag Ihres Unternehmens. Er ist zwingend vorgeschrieben. Bei allen großen Anbietern (Salesforce, HubSpot, Pipedrive, Zoho, Microsoft, monday, Bitrix24) ist ein Self-Service-AVV abrufbar.
Gilt Schrems II 2026 noch?
Schrems II hat 2020 den Privacy Shield gekippt. Seit 2023 ersetzt das Data Privacy Framework den Privacy Shield. Solange das DPF gilt, ist der US-Transfer für DPF-zertifizierte Anbieter rechtssicher. Falls der EuGH das DPF im laufenden Verfahren C-703/25 P kippt, brauchen Verantwortliche wieder Standardvertragsklauseln plus Transfer Impact Assessment.
Weiterlesen

Verwandte Themen

Anbieter im Detail →

Hosting, DSGVO-Status und KI-Funktionen je Anbieter.

Vergleichstabelle →

Anbieter nebeneinander mit Hosting- und DSGVO-Spalte.

Cloud vs On-Premise →

Wann macht On-Premise heute noch Sinn?

CRM einführen →

Komplette Schritte für eine saubere Migration.
Domain-Verkauf

crmsoftware.de zu verkaufen

Diese Domain inkl. der aufgebauten Website ist verfügbar. Wer das Keyword "CRM-Software" im deutschsprachigen Markt belegen will, kann hier einsteigen.

5.000 € zzgl. MwSt.

Domain-Anfrage senden →