Sechs Prinzipien für strategische Software Infrastruktur
Sechs Prinzipien, die unsere Arbeit leiten. Wie wir Software-Infrastruktur aufbauen, und warum.
TLDR;
- Kein Vendor Lock-in
- Open Source Software
- EU Hosting
- DSGVO+ (fairer Umgang mit anderen Akteuren, eigene Reputation wahren)
- AI als Integrationsfenster in traditionelle Software
- AI ist Support Tool, Menschen steuern
1. Entscheidungsfreiheit: Kein Vendor Lock-in
Plattformen verändern sich. Preise steigen, Features verschwinden, Bedingungen werden angepasst, oft nicht zum Vorteil der Nutzer. Das ist nicht immer böse Absicht, aber wenn man sich einmal abhängig gemacht hat, kann man schwer wieder wechseln. Manche Plattformen nutzen das gezielt aus. Daher wollen wir uns den Ausweg immer offen halten, gerade jetzt, wo neue Software überall aus dem Boden sprießt.
Konkret heißt das:
- Datenexport muss möglich sein. Wer Daten hält, muss sie auch wieder hergeben können, in einem brauchbaren Format.
- Self-hosted vor SaaS. Wo es geht, bevorzugen wir Lösungen, die man selbst betreiben kann. Offene Standards, Docker, eigene Server.
- Proprietäre Software nur wo nötig, und auch dann mit Daten-Ausweg.
Der Vorteil ist nicht nur ideell. Wer wechseln kann, kann neu verhandeln. Wer gebunden ist, muss zahlen, was verlangt wird.
Das LinkedIn-Beispiel
LinkedIn ist ein gutes Beispiel für diese Dynamik. Die Plattform ist für B2B relevant, wird aber immer schwerer nutzbar: mehr algorithmischer Noise, sinkende organische Reichweite, hohe Preise für Sales Navigator. Eine Anbindung an die eigene Software-Infrastruktur wird von LinkedIn aktiv verhindert (ToS, Bot Detection).
Die EU hat LinkedIn als “Gatekeeper” unter dem Digital Markets Act eingestuft. Portabilitäts-APIs existieren formal, sind aber laut einer MyData-Global-Studie “clunky, hard to access, and poorly documented”. Die MyData-Studie konnte kein einziges Software-Projekt finden, das sich erfolgreich mit der API verbinden konnte.
Unser Umgang damit: LinkedIn nutzen, aber nicht davon abhängen. Relevante Kontakte ins eigene CRM übernehmen, eigene Kanäle parallel aufbauen. Wenn sich die Plattform ändert, passen wir an, statt in Panik zu geraten.
Quellen
- Microsoft DMA Compliance
- TechCrunch — LinkedIn €310M GDPR Fine
- Digital Markets Act Official
- MyData Global — Interoperability and the DMA in Action (PDF)
- Customer Futures — Data portability is about regulation
- Wikipedia — Platform Decay
2. Open Source Software
Wir empfehlen Open Source als Ausgangspunkt. Es existiert erstaunlich viel qualitativ hochwertige Free & Open Source Software (FOSS) oder Open Core Software.
Wir haben dutzende Tools evaluiert. Das ist der Stack, den wir im Alltag benutzen:
| Bereich | Tool | Lizenz |
|---|---|---|
| Projektmanagement | Plane | Open Core |
| Automation | n8n | Open Core |
| Cloud Storage | Seafile | Open Core |
| Team Chat | Rocket.Chat | Open Core |
| Git + CI/CD | Forgejo | FOSS |
| Office Suite | OnlyOffice | Open Core |
| Passwörter | Vaultwarden | FOSS |
| Video | Jitsi | FOSS |
| VPN | WireGuard | FOSS |
| Analytics | Umami | FOSS |
Der Nachteil: Integration. Open-Source-Projekte haben oft weniger Funding und weniger Druck, Marktanteile zu gewinnen. Strategische Integrationen werden deshalb häufig vernachlässigt, weil sie als Programmieraufgabe wenig reizvoll sind.
Wo SaaS die bessere Wahl ist
Drei Ausnahmen, jeweils mit konkretem Grund:
- Pipedrive (CRM) — Kein Self-Hosted CRM hat vergleichbare Workflow-Integration. Wir haben Twenty, Frappe CRM, Krayin und Erxes evaluiert. Pipedrive hat eine gute API und Export. Der Ausweg existiert.
- Mistral (AI) — Self-Hosting mit Ollama ist möglich, aber Hardware-Kosten sind aktuell zu hoch.
- Claude (AI + Code) — Claude Code ist zur Zeit schwer zu ersetzen. Das beobachten wir.
Das Muster: SaaS wo FOSS nicht mithalten kann, aber immer mit offenem API/Export.
Der Business Case
Ab welcher Teamgröße lohnt sich Self-Hosting? Unsere Erfahrung:
- Solo-Founder: Setup kostet Zeit, Kostenvorteil kommt später
- 5–10 User: Per-Seat-Pricing wird spürbar, Self-Hosted wird attraktiv
- 20+ User: Deutlicher Unterschied. SaaS-Kosten steigen linear, Serverkosten kaum.
Freie Daten gehören dem Kunden
Ein Punkt, der uns wichtig ist: Wenn wir für Kunden öffentlich zugängliche Daten recherchieren, gehören diese Daten dem Kunden. Nicht uns.
Das Geschäftsmodell von Tools wie Apollo, Hunter oder ZoomInfo basiert darauf, das Internet zu scrapen und dieselben Daten immer wieder zu verkaufen. Das finden wir fragwürdig. Wenn wir Daten für einen Kunden sammeln, bekommt der Kunde die Daten. Wir verkaufen sie nicht weiter, wir horten sie nicht. Wir möchten Infrastruktur zur Verfügung stellen, die es jedem ermöglicht, diese Recherche selbst durchzuführen.
Quellen
- Plane, n8n, Seafile, Rocket.Chat, Forgejo, OnlyOffice, Vaultwarden, Jitsi, WireGuard, Umami
- Bardeen — How did Apollo.io get my information?
- European Commission — Call for Evidence on Open-Source Digital Ecosystems
- Johan Linåker — Digital Sovereignty through Open Source
3. Hosting in Deutschland oder EU
Wir empfehlen, Geschäftsdaten in Deutschland zu hosten, weil der Rechtsstandort darüber entscheidet, welche Regeln gelten. Die DSGVO als wichtigstes Datenschutzgesetz ist europaweit implementiert, daher sehen wir kein Problem, solange wir uns innerhalb der EU bewegen.
Unsere eigene Infrastruktur läuft bei Hetzner in Falkenstein: deutsches Recht, DSGVO, keine Anfragen ausländischer Behörden. Wenn Deutschland nicht möglich ist, arbeiten wir mit einer klaren Hierarchie:
- Deutschland — Erste Wahl
- EU — DSGVO gilt
- US-owned, EU-Rechenzentrum — CLOUD Act ist ein problematischer Faktor
- USA — Nur wenn unvermeidbar (z.B. bestimmte AI-APIs)
Warum das mehr als Theorie ist
Ein dokumentiertes Beispiel: Amazon Marketplace. Eine WSJ-Investigativrecherche von 2020 zeigte, wie Amazon Verkäuferdaten nutzte: Umsätze, Preise, Margen, Lagerbestände einzelner Händler. Diese Daten flossen in Entscheidungen für Amazons eigene Produkte. Aus Kunden wurden Wettbewerber.
Die EU-Kommission stellte 2020 formell fest, dass Amazon damit Wettbewerbsregeln verletzt. 2022 gab Amazon Verpflichtungszusagen ab.
Das ist ein Extremfall. Aber er illustriert eine Dynamik, die man im Blick haben sollte: Plattformen mit Zugriff auf Geschäftsdaten haben Optionen, die nicht immer im Interesse ihrer Nutzer liegen. Wer seine Infrastruktur so wählt, dass diese Dynamik nicht greifen kann, schläft besser.
Quellen
- WSJ/CNBC — Amazon uses data from third-party sellers (2020)
- EU Commission — Statement of Objections to Amazon (2020)
- EU Commission — Amazon Commitments Accepted (2022)
- Hetzner — Cloud Made in Germany
- Hetzner Docs — Data Protection FAQ
- Xpert Digital — Warum Serverstandort Deutschland nicht ausreicht
4. DSGVO-Compliance ist das Mindestmaß
DSGVO-Compliance ist selbstverständlich. Aber unser eigentlicher Standard ist ein anderer: Wir arbeiten so, wie wir selbst behandelt werden wollen.
Die ersten drei Prinzipien schaffen dafür die technische Voraussetzung. Lock-in-Vermeidung gibt uns Flexibilität, Open Source gibt uns Kontrolle, deutsche Server geben uns rechtliche Klarheit. Damit kann man bewusst entscheiden, wie man mit Daten umgeht.
Die DSGVO gibt das Mindestmaß vor. Wir möchten weder aus Unachtsamkeit Kundendaten an ausländische Unternehmen verlieren, noch in die Privatsphäre anderer Menschen eindringen und sie algorithmisch belästigen. So verstehe ich den Spirit der DSGVO, und den sollte man nicht nur dem Wortlaut nach einhalten.
Die Spam-Frage
Ein Beispiel: Kürzlich wurde einem unserer Kunden ein Outreach-Tool angeboten: 8.000 E-Mails pro Woche, 5% Antwortrate, 30% davon positiv, 45% davon werden zum Deal. Conversion Rate: 0,675%.
Das bedeutet: 99,3% der Kontaktierten bekommen eine Nachricht, die sie nicht wollten. Technisch eine legale Grauzone, weil B2B. Aber ist das die Art, wie man Geschäftsbeziehungen aufbauen will?
Wir denken nicht. Und die Zahlen bestätigen uns: Reply Rates bei Cold Emails sanken von 6,8% (2023) auf 5,8% (2024), ein Rückgang von 15% im Jahresvergleich. 71% der Entscheider nennen fehlende Relevanz als Hauptgrund für Nicht-Antworten. Die Strategie frisst sich selbst auf.
Wie gezielter Outreach aussieht
Die DSGVO erlaubt Kontaktaufnahme bei “berechtigtem Interesse”. Wir nehmen das ernst: Signale suchen (Stellenausschreibungen, Konferenz-Auftritte, LinkedIn-Aktivität), öffentliche Quellen nutzen, dokumentieren, warum man jemanden kontaktiert.
Quellen
- DSGVO Art. 6 Abs. 1 lit. f — Berechtigtes Interesse
- Belkins — B2B Cold Email Response Rates 2025
- Martal — 2025 Cold Email Statistics
- SerpForge — Why 95% Cold Emails Fail
5. Integration ist der Schlüssel zum AI Zeitalter
Systeme, die nicht miteinander sprechen, erzeugen manuelle Arbeit. Und manuelle Arbeit erzeugt Fehler, Inkonsistenz und Frust. Gute Integration ist die Grundlage für alles andere.
Unsere Empfehlung: Jede Datenart braucht einen klaren Eigentümer, eine Single Source of Truth. Sales-Daten leben im CRM, Dokumente im Cloud Storage, Code in Git. Andere Systeme lesen von dort.
Die Integrations-Hierarchie
Nicht jede Integration braucht Enterprise-Middleware. Unsere Präferenz:
- Native Integration + MCP Server — Echtzeit, bidirektional
- REST API + Webhooks — Programmatisch
- Manueller Export + AI-Reformatierung + Import — Halbautomatisch
- Copy-Paste — Letzter Ausweg
Für einfache Workflows nutzen wir n8n als Orchestration-Layer: Benachrichtigungen, Prototyping, Low-Volume-Automatisierung. Für komplexe AI-Integration arbeiten wir auf Code-Ebene. n8n ist das Schweizer Taschenmesser, nicht die Fabrik.
AI als Integrations-Fenster
Das Spannendste, was gerade in der Integration passiert: Das Model Context Protocol (MCP). Jedes Tool mit MCP-Server kann an einen AI-Chatbot angeschlossen werden. In einer einzigen Konversation kann AI gleichzeitig auf CRM und interne Dokumente zugreifen.
Dieses AI-Fenster in alle Software-Plattformen schafft integrierte Sichtbarkeit. Sobald MCP-Server nicht nur lesen, sondern auch schreiben können, kann der Nutzer seinen gesamten Software-Stack per AI steuern. Aus unserer Sicht ist das die Zukunft der Integration.
Aktuell ist dieser Markt unterversorgt. Make, Zapier und n8n stellen viele Konnektoren bereit, das ist ihre größte Stärke. Aber sie sind nicht AI-first konzipiert: Workflows müssen per Hand gebaut werden, und die Vorteile von AI kommen nicht zum Tragen. Schleifen und Wenn-Dann-Logiken, die als Code wenige Zeilen umfassen, werden zu großen Block-Konstrukten. Das kehrt die Schwierigkeit nur um: Integration ist einfach, Verarbeitung ist schwierig.
Claude Code (und andere) bieten hier eine echte Alternative. Komplexe Logik lässt sich jetzt mit natürlicher Sprache implementieren, und man erzielt schnell Lösungen, die genau den eigenen Workflow abbilden. Aber sobald diese auf die reale Welt treffen, hat man genau die Probleme, die Low/No-Code-Tools gut gelöst haben: Infrastruktur (wo läuft der Code), Integration (wie verbinde ich meine Software) und Authentifizierung (OAuth, Bearer, Tokens müssen gespeichert und verwaltet werden). Diese Dinge bleiben auch im AI-Zeitalter vorerst kompliziert. Eine echte Lösung für Nicht-Entwickler ist aktuell nicht in Sicht.
Quellen
- Anthropic — Introducing the Model Context Protocol
- Model Context Protocol — Official Documentation
- Integrate.io — Data Integration Adoption Rates 2026
- Abbacus — Enterprise API Integration Costs
- PragmaEdge — iPaaS Trends
6. KI für Support, Menschen für Entscheidungen
AI macht Teams produktiver. Wenn noch nicht jetzt, dann in naher Zukunft. Die interessantere Frage ist: Wofür nutzt man diese Produktivität?
AI ist stark darin, Wissen zu strukturieren, Informationen zu kombinieren, Research zu beschleunigen. Was früher Stunden dauerte, dauert Minuten. Das ist ein echter Gewinn.
Aber es gibt eine Grenze, die wir bewusst ziehen: Geschäftsbeziehungen. Partnerschaften, Strategie-Gespräche und wichtige Entscheidungen brauchen Menschen. Vertrauen entsteht durch echte Interaktion, Zeit und Aufmerksamkeit, und das lässt sich nicht skalieren.
AI ist schlecht im Entscheiden, weil es nicht logisch schlussfolgert. Es wählt nach statistischer Häufigkeit in den Trainingsdaten und findet dann eine plausibel klingende Rationalisierung. Das ist gefährlich, denn oft braucht es Experten, um zu erkennen, warum manche Entscheidungen völlig unrealistisch sind. Aber AI ist stark im verwaltenden Teil der Wissensarbeit: Möglichkeitsräume eröffnen, Optionen auffächern, nach Kriterien filtern.
Die Spam-Versuchung
AI macht Massen-Outreach technisch trivial. Tausende “personalisierte” Nachrichten, automatisch versendet. Aber “personalisiert” heißt nicht “persönlich”. Der Empfänger merkt den Unterschied, und die Zahlen zeigen es: 51% aller Spam-E-Mails sind mittlerweile AI-generiert, und das Vertrauen sinkt messbar.
Unser Ansatz: AI für Recherche, Vorbereitung, Analyse. Kommunikation mit Menschen machen wir selbst.
AI-Agents und Sicherheit
Ein Punkt, der in der aktuellen AI-Begeisterung oft untergeht: AI-Agents mit Zugriff auf Systeme sind ein Sicherheitsthema. Prompt Injection ist real: Bösartige Anweisungen können in E-Mails oder Dokumenten versteckt sein. Ein AI-Agent, der diesen Content liest, kann manipuliert werden.
Deshalb empfehlen wir, AI nicht unbeaufsichtigt agieren zu lassen. Supervision ist Teil eines professionellen Setups, nicht Übervorsicht, sondern Sorgfalt.
Die Balance
AI macht uns produktiver. Aber Beziehungen aufbauen, Verantwortung übernehmen und Vertrauen verdienen bleibt menschlich. Das sind keine Ineffizienzen. Das ist der Kern von Geschäft.