DSGVO-konforme Kursplattform: Vergleich nach Compliance-Kriterien
Von Alexander Kaminski Stand: 2026-07-03 Wie wir recherchieren & bewerten Änderungsprotokoll
Kurz beantwortet
Von den 13 verglichenen Kursplattform-Anbietern hosten Memberspot, LearningSuite, Coachy und Reteach nachweislich in Deutschland/der EU. Kajabi, Skool, Teachable und Circle haben ihren Hauptsitz in den USA und machen dazu unterschiedlich klare Aussagen — von "kein EU-Hosting, aber DPA und SOC 2" (Teachable) bis "explizite US-Datenspeicherung über Standardvertragsklauseln" (Circle). Details, Quellen und was das für dich als deutschen Nutzer bedeutet, unten.
Alle 13 Anbieter im DSGVO-Überblick
Die folgende Tabelle fasst Hauptsitz und dokumentierten DSGVO/Hosting-Status jedes Anbieters zusammen. Die Kurzfassung in der letzten Spalte ist eine Zusammenfassung — die vollständige Formulierung inklusive Quellenlage steht in den Detailseiten der jeweiligen Anbieter und in der Quellenliste unten.
| Anbieter | Hauptsitz | DSGVO-Status | Kurzfassung |
|---|---|---|---|
| Memberspot | Ludwigsburg, Deutschland | Ja | Hosting auf deutschen/EU-Servern, DSGVO-Konformität wird durchgängig von Nutzern auf Trustpilot/Capterra bestätigt. |
| ablefy (ehemals elopage) | Berlin, Deutschland | Teilweise | Wirbt mit deutschem Recht/Steuer-Compliance (Impressum, Widerrufsrecht), aber keine explizite öffentliche Aussage zum physischen… |
| Alfima | Hamburg, Deutschland | Behauptet, ungeklärt | Anbieter und Reviewer behaupten deutsche Server/DSGVO-Konformität — keine unabhängige technische Bestätigung (Rechenzentrum,… |
| Circle | New York, USA | Nein | Eigene EU-Datenschutzerklärung nennt explizit Datenspeicherung in den USA über Standard Contractual Clauses — kein EU-Hosting-Angebot. |
| Coachy | Sofia, Bulgarien (rechtlich, Coachy OOD) — vermarktet als deutsches Produkt | Ja | Wirbt mit '100% DSGVO-konform' und ausschließlich EU-Server-Hosting; automatische Datenschutz-/Impressum-Generatoren. |
| Digimember | Münster, Deutschland (Digital Solutions GmbH) | Ja | Läuft als Plugin auf der eigenen WordPress-Instanz des Nutzers — dadurch faktisch DSGVO-neutral, da keine Kundendaten an Digimember selbst… |
| Flenski | Unklar — Vermarktung als Deutschland, Hinweise auf Dubai (Blogbericht) bzw. Island (WHOIS) gefunden | Behauptet, ungeklärt | Anbieter behauptet deutsche Server/DSGVO-Anpassung; Impressum-Seite lieferte bei Prüfung HTTP 403, Rechtssitz nicht zweifelsfrei… |
| Kajabi | Newport Beach, USA | Nein | Keine öffentliche Aussage zu EU-Hosting auf kajabi.com/pricing gefunden. Deutsche Fachquellen benennen US-Server-Speicherung als… |
| LearningSuite | Graz, Österreich | Ja | Vermarktet als DSGVO-konform, Hosting auf EU-/Deutschland-Servern (teils Frankfurt genannt). |
| Moodle | Perth, Australien (Moodle Pty Ltd) | Abhängig vom Hoster | Software bringt DSGVO-Werkzeuge mit (Consent, Datenexport/-löschung), Serverstandort bei Self-Hosting frei wählbar. MoodleCloud nennt… |
| Reteach | Berlin, Deutschland | Ja | 'Made in Germany', 100% DSGVO-konform, Hosting auf deutschen/EU-Servern (AWS-EU-Region referenziert). |
| Skool | Los Angeles, USA | Nein | Keine öffentliche EU-Hosting-Zusage oder AVV für Community-Betreiber gefunden; deutsche Community-Diskussion bestätigt fehlendes DPA. |
| Teachable | New York, USA (im Hotmart-Konzern) | Teilweise | GDPR-konform laut eigener Aussage (DPA vorhanden, SOC 2 Type II), aber Infrastruktur auf AWS ohne explizite EU-only-Hosting-Zusage. |
Status-Kategorien: "Ja" = Anbieter nennt konkretes DE/EU-Hosting mit belegbaren Hinweisen. "Teilweise" = Compliance-Bausteine (z. B. DPA, Zertifizierung) vorhanden, aber keine EU-only-Hosting-Zusage. "Behauptet, ungeklärt" = Aussage existiert, ließ sich in der Recherche aber nicht unabhängig technisch bestätigen. "Abhängig vom Hoster" = Software selbst neutral, Serverstandort hängt von der gewählten Installation ab. "Nein" = keine öffentliche EU-Hosting-Zusage gefunden.
US-gehostete Anbieter: das Drittstaaten-Problem
Vier der 13 verglichenen Anbieter haben ihren Hauptsitz in den USA: Kajabi, Skool, Teachable und Circle. Für deutsche Nutzer, die personenbezogene Daten von Kursteilnehmern verarbeiten, bedeutet das strukturell ein Zusatzthema, das bei EU/DE-gehosteten Anbietern in dieser Form nicht entsteht: Werden Daten in einem Drittstaat gespeichert oder verarbeitet, braucht diese Übermittlung nach der DSGVO eine eigene Rechtsgrundlage — üblicherweise Standardvertragsklauseln der EU-Kommission — und seit dem Schrems-II-Urteil des EuGH zusätzlich eine Einzelfallprüfung, ob ergänzende Schutzmaßnahmen nötig sind. Das ist kein Werturteil über die Produkte selbst, sondern ein struktureller Unterschied in der Ausgangslage.
Was die vier US-Anbieter laut den recherchierten Quellen konkret angeben:
- Kajabi (Newport Beach, USA): Keine öffentliche Aussage zu EU-Hosting auf kajabi.com/pricing gefunden. Deutsche Fachquellen benennen US-Server-Speicherung als DSGVO-Risiko für EU-Kunden.
- Skool (Los Angeles, USA): Keine öffentliche EU-Hosting-Zusage oder AVV für Community-Betreiber gefunden; deutsche Community-Diskussion bestätigt fehlendes DPA.
- Teachable (New York, USA (im Hotmart-Konzern)): GDPR-konform laut eigener Aussage (DPA vorhanden, SOC 2 Type II), aber Infrastruktur auf AWS ohne explizite EU-only-Hosting-Zusage.
- Circle (New York, USA): Eigene EU-Datenschutzerklärung nennt explizit Datenspeicherung in den USA über Standard Contractual Clauses — kein EU-Hosting-Angebot.
Diese vier Fälle sind nicht gleich zu bewerten. Teachable etwa dokumentiert öffentlich ein DPA und eine SOC 2 Type II-Zertifizierung — das sind reale, überprüfbare Compliance-Bausteine, die ein gewisses Sicherheitsniveau belegen. Was fehlt, ist eine explizite Zusage, dass die Infrastruktur ausschließlich in der EU läuft. Das ist ein Unterschied im Umfang der Zusage, keine Verurteilung des Anbieters. Circle dagegen benennt in der eigenen EU-Datenschutzerklärung explizit eine Datenspeicherung in den USA über Standardvertragsklauseln — hier ist die Ausgangslage transparent, aber ebenfalls ohne EU-Hosting-Option. Bei Kajabi und Skool wiederum wurde in der Recherche keine öffentliche Aussage zu EU-Hosting oder einem AVV für Kursanbieter gefunden — das ist zunächst eine Lücke in der öffentlich verfügbaren Dokumentation, kein Beleg dafür, dass es keinen AVV gibt. Wer eines dieser Tools ernsthaft erwägt, sollte AVV und Hosting-Details direkt beim Anbieter anfragen statt sich auf Sekundärquellen zu verlassen.
DE/EU-gehostete Anbieter im Vergleich
Auf der anderen Seite stehen Anbieter, die nach eigener oder recherchierter Angabe in Deutschland oder der EU hosten. Memberspot, LearningSuite, Coachy und Reteach geben laut den zitierten Quellen deutsches bzw. EU-Server-Hosting an. Bei Alfima und Flenski existieren entsprechende Behauptungen von Anbieter oder Reviewern, ohne dass sich das in der Recherche unabhängig technisch bestätigen ließ (etwa über ein Rechenzentrums-Zertifikat) — das ist als Lücke markiert, nicht als Widerlegung. Digimember nimmt eine Sonderstellung ein: Als selbst gehostetes WordPress-Plugin läuft die Software auf der eigenen Serverumgebung des Nutzers, wodurch die Frage des Drittstaaten-Transfers zum Anbieter selbst faktisch entfällt — dafür trägt der Nutzer die Verantwortung für die eigene Serverwahl. Moodle ist ähnlich gelagert: Die Software bringt DSGVO-Werkzeuge mit, der Serverstandort hängt aber von der gewählten Installationsart ab; MoodleCloud selbst nennt keinen garantierten EU-Rechenzentrumsstandort.
Wichtig für die Einordnung: DE/EU-Hosting allein ersetzt keine vollständige Compliance-Prüfung. Ein AVV, eine nachvollziehbare Auftragsverarbeitung und die Dokumentation von Sub-Prozessoren gehören unabhängig vom Serverstandort dazu. Der Serverstandort verändert aber, welche zusätzlichen rechtlichen Hürden (Drittstaaten-Transfer, Schrems-II-Prüfung) überhaupt entstehen.
Wie du das für deine Entscheidung nutzt
Wenn Datenschutz für dich oder deine Kunden ein entscheidendes Kriterium ist, lohnt sich eine strukturierte Prüfung statt einer reinen Marketing-Aussage: Gibt es ein AVV zum Download oder auf Anfrage? Nennt der Anbieter einen konkreten, überprüfbaren Rechenzentrumsstandort? Werden Sub-Prozessoren dokumentiert? Bei US-Anbietern zusätzlich: Auf welcher Rechtsgrundlage laufen Datentransfers, und gibt es über Standardvertragsklauseln hinaus zusätzliche technische Schutzmaßnahmen? Die einzelnen Vergleichsseiten zu jedem Anbieter (siehe Tabelle oben) verlinken die jeweiligen Primärquellen für die eigene Prüfung.
Weiterlesen
- Kursplattform-Vergleich: alle Anbieter im Überblick
- Beste Kursplattform: Kriterien und Einordnung
- Kursplattform für Coaches
- Lernplattform für Unternehmen
- LMS-Vergleich für Unternehmen
- Memberspot-Datenblatt mit Quellen
- Methodik: wie diese Seite recherchiert und aktuell gehalten wird
Häufige Fragen
+ Was ist ein AVV und warum braucht man ihn bei einer Kursplattform?
Ein Auftragsverarbeitungsvertrag (AVV, auch DPA genannt) regelt nach Art. 28 DSGVO, wie ein Anbieter personenbezogene Daten deiner Kursteilnehmer in deinem Auftrag verarbeitet. Ohne AVV fehlt die Rechtsgrundlage für die Auftragsverarbeitung. Seriöse Anbieter stellen ihn zum Download oder auf Anfrage bereit — im Zweifel direkt beim Anbieter nachfragen, statt sich auf Marketing-Aussagen zu verlassen.
+ Warum ist der Serverstandort bei einer Kursplattform überhaupt relevant?
Der physische Serverstandort bestimmt, welchem Rechtsraum die gespeicherten Daten unterliegen. Server in Deutschland oder der EU unterliegen direkt der DSGVO; Server in Drittstaaten wie den USA erfordern zusätzliche Schutzmechanismen (siehe Schrems II unten), damit die Übermittlung überhaupt zulässig ist. Einige Anbieter in dieser Tabelle machen dazu keine öffentliche Aussage — das ist selbst eine relevante Information für die Entscheidung.
+ Was bedeutet 'Drittstaaten-Transfer' konkret?
Ein Drittstaaten-Transfer liegt vor, wenn personenbezogene Daten aus der EU in ein Land außerhalb des EU/EWR-Raums übertragen werden, das kein von der EU-Kommission anerkanntes Angemessenheitsniveau hat — die USA fallen darunter. Solche Transfers sind nicht automatisch verboten, brauchen aber eine zusätzliche Rechtsgrundlage, meist Standardvertragsklauseln (SCCs) der EU-Kommission.
+ Was hat es mit dem Schrems-II-Urteil auf sich?
Der Europäische Gerichtshof hat 2020 im Fall Schrems II entschieden, dass der Datenschutz in den USA aus EU-Sicht kein automatisch angemessenes Schutzniveau bietet, weil US-Behörden unter bestimmten Gesetzen auf Daten von EU-Bürgern zugreifen können. Seitdem müssen Unternehmen bei US-Transfers zusätzlich zu Standardvertragsklauseln prüfen, ob im Einzelfall ergänzende technische und organisatorische Maßnahmen nötig sind. Das ist eine allgemeine rechtliche Einordnung, keine Rechtsberatung für den Einzelfall.
+ Bedeutet 'kein EU-Hosting' automatisch, dass ein Tool nicht nutzbar ist?
Nein. Mehrere US-Anbieter in der Tabelle oben, etwa Teachable, verweisen auf ein DPA und Zertifizierungen wie SOC 2 Type II. Das senkt das Risiko, ersetzt aber keine EU-only-Hosting-Zusage. Ob das im Einzelfall ausreicht, hängt von der eigenen Risikobewertung und den verarbeiteten Datenkategorien ab — pauschale Aussagen sind hier nicht seriös.
+ Welche Kursplattformen hosten nachweislich in Deutschland oder der EU?
Laut den in dieser Tabelle zitierten Quellen geben Memberspot, LearningSuite, Coachy und Reteach EU- bzw. Deutschland-Hosting an. Bei Alfima und Flenski behaupten Anbieter oder Reviewer EU-Server, ohne dass sich das unabhängig technisch bestätigen ließ. Bei Moodle hängt der Serverstandort von der gewählten Hosting-Variante ab.
Quellen (zuletzt geprüft 2026-07-03)
- www.kajabi.com/pricing
- www.trustpilot.com/review/kajabi.com
- www.capterra.com/p/154682/Kajabi/reviews/
- www.onlinekursplattform.com/kajabi-dsgvo/
- verzeichnis.digital-affin.de/software/kajabi-erfahrungen/
- www.skool.com/pricing
- www.trustpilot.com/review/www.skool.com
- katharina-lewald.de/skool-erfahrungen/
- www.skool.com/selbst-mitarbeiter-finden-6455/ist-skool-dsgvo-und-zfu-konform
- www.teachable.com/pricing
- www.trustpilot.com/review/teachable.com
- support.teachable.com/en/articles/11682440-eu-gdpr-and-teachable
- www.capterra.com/p/147019/Teachable/reviews/
- circle.so/pricing
- circle.so/eu-privacy
- www.trustpilot.com/review/circle.so
- www.g2.com/products/circle-so-circle/reviews
- omr.com/en/reviews/product/circle
- memberspot.de
- memberspot.de/preise
- www.memberspot.de/unternehmen
- www.memberspot.de/en/ai-studio
- de.trustpilot.com/review/memberspot.de
- omr.com/en/reviews/product/memberspot
- www.capterra.com/p/202917/Memberspot/reviews/
- www.online-handelsregister.de/handelsregisterauszug/bw/Stuttgart/HRB/774709/Memberspot-GmbH
- www.reteach.com/preise/
- www.reteach.com/memberspot-alternative/
- omr.com/en/reviews/product/reteach
- www.capterra.com/p/210202/reteach/
- learningsuite.io/en
- omr.com/en/reviews/product/learningsuite
- www.provenexpert.com/de-de/learningsuite/
- brutkasten.com/artikel/learningsuite-grazer-startup-erreicht-mit-business-lernplattform-7-mio-euro-arr
- suitapp.de/software/learningsuite
- www.trustpilot.com/review/moodle.com
- moodle.com/products/moodlecloud/
- www.capterra.com/p/80691/Moodle/reviews/
- docs.moodle.org/501/en/GDPR_for_administrators