Zum Inhalt springen
Zurück zum Blog
DSGVO Cursor Datenschutz EU Compliance

Ist Cursor DSGVO-konform? Was EU-Entwickler wissen müssen

Veröffentlicht am 1. Juli 2025 · Aktualisiert 3. April 2025 · 6 Min. Lesezeit · von Lurus Team

Cursor hat sich zu einem der beliebtesten KI-Coding-Tools unter Entwicklern weltweit entwickelt. Seine agentischen Fähigkeiten, der Privacy Mode und die starke Entwicklererfahrung machen es überzeugend. Für Entwickler und Unternehmen in der Europäischen Union stellt sich jedoch eine wichtige Frage: Ist Cursor DSGVO-konform?

Die ehrliche Antwort: Es hängt von Ihren Anforderungen ab — und für viele professionelle EU-Kontexte bestehen ungelöste Compliance-Lücken.

Die kurze Antwort

Cursor, entwickelt von Anysphere, Inc. (einem US-Unternehmen), verarbeitet Ihren Code auf AWS-Servern in den USA — in jedem Fall, auch wenn Sie Ihren eigenen API-Key konfigurieren, auch mit aktiviertem Privacy Mode. Keine EU-Datenresidenz-Option ist für Standard- oder Professional-Pläne verfügbar. Für Enterprise-Kunden steht ein AVV über eine kommerzielle Vereinbarung zur Verfügung, aber es gibt keinen öffentlich verfügbaren Standard-Download.

Für einzelne Entwickler, die an nicht-sensiblen Projekten arbeiten, kann das akzeptabel sein. Für Unternehmen, die Quellcode von Kunden, regulierte Daten oder Code im Geltungsbereich des EU-KI-Gesetzes verarbeiten, ist die rechtliche Lage komplexer.

Was Privacy Mode wirklich leistet (und nicht leistet)

Cursors Privacy Mode ist technisch robust. Bei Aktivierung bietet er:

  • Zero Data Retention bei allen Modell-Subprozessoren (OpenAI, Anthropic, Google Vertex, Fireworks usw.) — Code wird nur im Arbeitsspeicher verarbeitet, nicht nach der Anfrage gespeichert
  • Kein Klartextcode auf Cursors Servern gespeichert — nur verschleierte Dateipfade für die Indizierung
  • Kein Training mit Ihrem Code
  • Dedizierte Server-Replikate — Privacy-Mode-Anfragen werden auf isolierter Infrastruktur geroutet, wo das Logging deaktiviert ist

Dies ist eine echte technische Garantie, keine bloße Richtlinienerklärung. Cursor setzt sie auf Proxy-Ebene durch — bei Team-Konten ist sie standardmäßig aktiviert und kann von einzelnen Nutzern nicht deaktiviert werden.

Was Privacy Mode NICHT leistet:

  • Er verhindert nicht, dass Ihr Code US-basierte AWS-Server durchläuft
  • Er bietet keine EU-Datenresidenz
  • Er macht Cursor nicht von US-Überwachungsgesetzen ausgenommen

Das FISA-702-Problem

Dies ist die Compliance-Lücke, die Standardvertragsklauseln (SCC) nicht vollständig lösen können.

Anysphere, Inc. ist ein US-Unternehmen. Nach FISA Section 702 können US-Geheimdienste US-amerikanische Anbieter elektronischer Kommunikationsdienste zur Herausgabe von Daten verpflichten. Dies gilt für Cursor unabhängig davon:

  • Ob Privacy Mode aktiviert ist
  • Ob Daten nach der Verarbeitung aufbewahrt werden
  • Ob SCC für EWR-Datentransfers vorhanden sind
  • Ob Cursors Server in Frankfurt oder Virginia stehen

Das Schrems-II-Urteil des Europäischen Gerichtshofs (2020) hat dies explizit thematisiert: SCC sind ein gültiger Transfermechanismus, es sei denn, das Recht des Ziellandes hindert den Importeur daran, seinen Verpflichtungen nachzukommen. FISA 702 schafft genau dieses Szenario.

Für den normalen Entwickleralltag ist dieses Risiko theoretischer Natur. Für Unternehmen in regulierten Branchen, die Kundendaten im Quellcode verarbeiten oder den Anforderungen des EU-KI-Gesetzes unterliegen, ist es eine reale rechtliche Exposition, die adressiert werden muss.

AVV: Ist einer verfügbar?

Cursors Datenschutzerklärung erkennt an, dass für kommerzielle Kunden, bei denen Cursor als Datenverarbeiter agiert, die Nutzung durch Kundenvereinbarungen geregelt wird — und ein AVV-Rahmen existiert. Cursors Subprozessorliste ist auf trust.cursor.com veröffentlicht.

Es gibt jedoch keinen öffentlich herunterladbaren Standard-AVV (im Gegensatz zu GitHub, das eine frei verfügbare PDF anbietet). Enterprise-Kunden erhalten vermutlich einen AVV über ihren kommerziellen Vertrag, aber Einzelentwickler und kleine Teams haben keinen Self-Service-AVV.

Für DSGVO-Artikel-28-Compliance benötigen Sie, wenn Ihr Unternehmen Cursor zur Verarbeitung personenbezogener Daten in Quellcode einsetzt, einen unterzeichneten AVV mit Cursor. Der Weg dorthin erfordert eine kommerzielle Enterprise-Vereinbarung.

EU-Datenresidenz: Nicht verfügbar

Cursor bietet keine EU-Datenresidenz-Option auf einem Plan. Alle Anfragen treffen Cursors AWS-Infrastruktur in den USA, auch wenn Cursor europäische Inferenzserver nutzt (wie Fireworks’ EU-Endpunkte) — das sind Performance-Optimierungen, keine Datenresidenz-Garantien.

Praktische Handlungsempfehlungen für EU-Teams

Als einzelner Entwickler:

  • Aktivieren Sie Privacy Mode (Einstellungen → Privacy Mode) — das bietet den stärksten technischen Schutz, den Cursor anbietet
  • Ihre Hauptexposition ist das theoretische Schrems-II-/FISA-702-Risiko, nicht gespeicherte oder für Training genutzte Daten

Als Unternehmen, das Kundencodes verarbeitet:

  • Sie benötigen einen unterzeichneten AVV — was eine kommerzielle Cursor-Enterprise-Vereinbarung erfordert
  • Prüfen Sie, ob die Verträge Ihrer Kunden die Verarbeitung über einen US-amerikanischen Dienstleister erlauben
  • Überlegen Sie, ob EU-KI-Gesetz-Anforderungen für Ihren KI-Tool-Einsatz gelten

In regulierten Branchen (Gesundheit, Finanzen, Recht, öffentlicher Sektor):

  • Das Fehlen von EU-Datenresidenz und einem Self-Service-AVV macht Cursor wahrscheinlich nicht konform mit den Datenverarbeitungsanforderungen Ihrer Organisation
  • Erwägen Sie EU-gehostete Alternativen

Was Cursor gut macht

Fairerweise: Cursors Privacy Mode gehört technisch zu den stärksten Datenschutz-Implementierungen im KI-Coding-Tool-Markt. Die dedizierten Server-Replikate, Subprozessor-Zero-Retention-Vereinbarungen und die Durchsetzung auf Team-Ebene sind echte Verpflichtungen.

Die Compliance-Lücken sind strukturell — sie entstehen durch die Eigenschaft als US-Unternehmen mit US-Cloud-Infrastruktur, nicht durch schwache Sicherheitspraktiken.

Die EU-native Alternative

Lurus Code wird von der Lurus GmbH, einem deutschen Unternehmen, entwickelt. Relevante Unterschiede für die DSGVO:

  • EU-exklusive Datenverarbeitung — Ihr Code verlässt EU-Rechenzentren nie, auf keinem Plan
  • Keine FISA-702-Exposition — die Lurus GmbH unterliegt nicht dem US-Überwachungsrecht
  • AVV für alle Kunden — nicht nur Enterprise
  • Kein Training mit Ihrem Code — auf keinem Plan, unabhängig von Einstellungen

Zusammenfassung

FrageAntwort
Bietet Cursor einen AVV?Ja, für Enterprise-Kunden über kommerzielle Vereinbarung
Ist Cursors Privacy Mode technisch robust?Ja — Zero Retention, dedizierte Infrastruktur
Verarbeitet Cursor Code ausschließlich auf EU-Servern?Nein — alle Anfragen treffen US AWS-Infrastruktur
Unterliegt Cursor FISA 702?Ja — Anysphere, Inc. ist ein US-Unternehmen
Ist EU-Datenresidenz verfügbar?Nein — auf keinem Plan
Trainiert Cursor mit Code bei aktiviertem Privacy Mode?Nein

Quellen: cursor.com/privacy, cursor.com/security, trust.cursor.com — verifiziert April 2025.

Weitere Artikel

DSGVO GDPR

DSGVO & KI-Coding-Tools: Was europäische Entwickler wissen müssen (2025)

Welche KI-Coding-Tools sind DSGVO-konform? Wir erklären Schrems II, FISA 702, Datenresidenz und welche Fragen du deinem KI-Tool-Anbieter stellen solltest – mit praktischer Checkliste.

DSGVO GitHub Copilot

Ist GitHub Copilot DSGVO-konform? Eine Plan-für-Plan-Analyse

Eine detaillierte Aufschlüsselung der DSGVO-Konformität von GitHub Copilot nach Plan: Welche Pläne trainieren mit Ihren Daten, was Zero Retention wirklich bedeutet, AVV-Verfügbarkeit und die FISA-702-Herausforderung.

DSGVO Startup

DSGVO-Checkliste für Startups: KI-Tools rechtskonform einsetzen (2025)

Wie setzen Startups KI-Tools DSGVO-konform ein? Eine praktische Checkliste mit den wichtigsten Fragen zu Hosting, AVV, Training-Opt-out und Datenkategorien.