Freshservice EU Alternative 2026: Freshworks Delaware-ITSM unter US-Jurisdiktion
Post #4 in der sota.io EU IT-Service-Management-Serie
Freshservice ist weltweit eines der meistgenutzten IT-Service-Management-Tools für mittelgroße Organisationen. Die intuitive UI, schnelle Implementierung und Freddy-AI-Features haben Freshservice in vielen europäischen IT-Abteilungen zur Standardlösung gemacht. Was dabei oft übersehen wird: Freshworks, Inc. ist eine Delaware-Corporation mit NASDAQ-Listing — keine indische Technologiefirma mehr, sondern ein vollständig US-jurisdiktionspflichtiges Unternehmen.
Dieser Post analysiert die GDPR- und CLOUD-Act-Risiken von Freshservice für europäische Organisationen und stellt EU-native ITSM-Alternativen mit 0–2/25 CLOUD-Act-Score vor.
Freshworks Corporate Structure: Von Chennai nach Delaware
Freshworks wurde 2010 von Girish Mathrubootham in Chennai, Indien, gegründet. Dieses Gründungsnarrativ — indische Startup-Erfolgsgeschichte — prägt bis heute die Wahrnehmung des Unternehmens. Die rechtliche Realität ist eine andere:
| Merkmal | Details |
|---|---|
| Rechtliche Einheit | Freshworks, Inc. |
| Gründungsstaat | Delaware, USA |
| Börsennotierung | NASDAQ: FRSH (IPO Oktober 2021) |
| Hauptsitz | San Mateo, California, USA |
| Entwicklungszentrum | Chennai, Indien (operativ) |
| Revenue 2024 | ~$672M (gemeldet SEC Form 10-K) |
| US-Regierungskunden | Freshworks Federal — DHS, DoD-Agenturen |
Der NASDAQ-Börsengang 2021 war der entscheidende Schritt: Mit der SEC-Registrierung als US-Public-Company unterliegt Freshworks vollständig dem US-Recht — einschließlich des CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 18 U.S.C. § 2713). Die Tatsache, dass das Unternehmen in Indien gegründet wurde oder Entwicklungsteams in Chennai hat, ändert nichts an der US-Jurisdiktion.
CLOUD-Act-Grundlage
Der CLOUD Act verpflichtet US-amerikanische Unternehmen und ihre ausländischen Tochtergesellschaften auf Anweisung eines US-Gerichts oder der US-Regierung, Daten herauszugeben — unabhängig davon, wo diese Daten physisch gespeichert sind. Für Freshworks bedeutet das: Auch wenn Ihre Freshservice-Daten in einem EU-Rechenzentrum (AWS Frankfurt, Google Cloud europe-west1) liegen, kann die US-Regierung deren Herausgabe erzwingen. Die physische Lokation der Daten entkoppelt sich von der rechtlichen Jurisdiktion.
CLOUD-Act-Score: 18/25
| Kriterium | Punkte | Bewertung |
|---|---|---|
| US-Incorporation (Delaware C-Corp) | 3/3 | Freshworks, Inc. — Delaware |
| Börsennotierung (NASDAQ: FRSH) | 2/2 | SEC-registriert, US-Public-Company |
| Freddy AI auf US-Infrastruktur | 3/3 | Generative AI verarbeitet Ticketdaten in US-Cloud |
| US-Regierungsverträge (Freshworks Federal) | 2/2 | DHS, DoD-Agenturen — kritische US-Gov-Beziehungen |
| Control-Plane US-Jurisdiktion | 2/2 | Admin-Portal, Account-Management, API-Gateway in US |
| Kein EU-Souveränitätsniveau (kein EUCS L3) | 2/2 | Kein zertifiziertes EU-Sovereignty-Angebot |
| Multi-Cloud ohne EU-Isolation | 2/2 | AWS + GCP ohne garantierte EU-Only-Verarbeitung |
| Fehlende CLOUD-Act-Warrant-Policy | 1/2 | Keine öffentliche Transparenz-Richtlinie zu Behördenanfragen |
| Keine vollständige EU-Data-Residency | 1/3 | EU-Regionen verfügbar, aber Management-Plane bleibt US |
Gesamt: 18/25 CLOUD-Act-Score
Zum Vergleich: ServiceNow (Blog #1213) erzielte 19/25, BMC Helix 17/25, Jira Service Management 18/25. Freshservice liegt im gleichen Risikobereich wie JSM.
5 GDPR-Risikovektoren im Detail
Risiko 1: Freddy AI — Generative KI verarbeitet Ticket-Inhalte auf US-Infrastruktur
Freshservice hat in den letzten Jahren massiv in KI-Features investiert. Freddy AI ist die Kernkomponente:
- Freddy Self Service: KI-gestützter Chatbot, der auf Ticket-Inhalte und CMDB-Daten zugreift
- Freddy Copilot: Generative AI für Agenten — fasst Tickets zusammen, schlägt Lösungen vor, generiert Antworten
- Freddy Insights: Trend-Analyse über historische Incident- und Change-Daten
- Auto-Categorization & Auto-Assignment: ML-Modelle klassifizieren eingehende Tickets
Diese Features verarbeiten den vollen Ticket-Inhalt — einschließlich PII (Namen, E-Mail-Adressen, Mitarbeiter-IDs), technischer Details zu IT-Systemen und — im HR-Service-Desk-Kontext — potenziell GDPR-Art.9-Sonderkategorien (Gesundheitsdaten bei Krankheitsmeldungen, Behinderungen bei Accessibility-Requests, religiöse Überzeugungen bei Abwesenheitsanfragen).
Freshworks betreibt Freddy AI auf AWS- und GCP-US-Regionen. Die Large-Language-Model-Infrastruktur für generative Features liegt nicht in der EU. Jeder Ticket-Inhalt, der durch Freddy Copilot verarbeitet wird, verlässt die EU-Datensphäre.
Aus GDPR-Sicht ist das ein Transfer-Problem nach Art. 44–49 DSGVO: Die Standardvertragsklauseln (SCCs) decken technisch den Transfer ab, aber die Transfer Impact Assessment (TIA) muss die CLOUD-Act-Exposition explizit berücksichtigen. Die US-Regierung kann über Freshworks, Inc. Zugang zu diesen KI-verarbeiteten Daten erzwingen.
Risiko 2: Freshworks Federal — US-Regierungsverträge als Risikofaktor
Freshworks Federal ist die dedizierte US-Government-Einheit von Freshworks. Zu den Kunden zählen:
- Department of Homeland Security (DHS)
- Multiple DoD-Agenturen
- US-Bundesbehörden auf State- und Federal-Level
Diese Regierungsbeziehungen haben eine direkte Implikation für europäische Kunden: Unternehmen mit aktiven US-Government-Verträgen stehen unter erhöhter Kooperationspflicht gegenüber US-Behörden. Die Systemarchitektur und Prozesse von Freshworks sind darauf ausgelegt, US-Compliance-Anforderungen (FedRAMP-Readiness, FISMA) zu erfüllen — was strukturell bedeutet, dass US-Behörden-Zugang in der Produktarchitektur mitgedacht ist.
Dies ist nicht zwingend ein böswilliger Akt — aber es ist eine strukturelle GDPR-Inkompatibilität für europäische Organisationen mit hohen Datenschutzanforderungen.
Risiko 3: CMDB-Daten auf US-Infrastruktur — Sicherheitsarchitektur unter US-Jurisdiktion
Die Configuration Management Database (CMDB) in Freshservice ist eine der kritischsten Datenquellen einer IT-Organisation. Sie enthält:
- Vollständiges Inventar aller IT-Assets (Server, Endpoints, Netzwerkgeräte)
- Netzwerktopologie und Konfigurationen
- Kritische Abhängigkeiten zwischen Systemen
- Sicherheitsrelevante Konfigurationsdetails
- Software-Lizenzen und Versionen (inklusive verwundbarer Software-Versionen)
Wenn diese Daten unter US-Jurisdiktion fallen, ist das eine erhebliche Sicherheitsbedrohung: Im Falle einer US-Behördenanfrage könnten Informationen über die IT-Architektur einer europäischen Kritischen Infrastruktur (KRITIS) offengelegt werden. NIS2 Art. 21(2)(a) fordert explizit "Sicherheit in der Lieferkette" — CMDB-Daten bei einem US-jurisdiktionspflichtigen Anbieter sind ein klarer NIS2-Risikoposten.
Risiko 4: HR-Service-Desk — Sonderkategorien nach GDPR Art. 9
Viele Organisationen nutzen Freshservice nicht nur für IT-Tickets, sondern auch als HR-Service-Desk:
- Krankmeldungen und Urlaubsanträge (Gesundheitsdaten → Art. 9)
- Requests für barrierefreie IT-Ausstattung (Behinderung → Art. 9)
- Religionsbedingte Abwesenheitsanfragen (religiöse Überzeugung → Art. 9)
- Gewerkschaftliche Anfragen oder Beschwerden (Gewerkschaftszugehörigkeit → Art. 9)
Diese Daten genießen nach GDPR erhöhten Schutz: Für ihre Verarbeitung ist eine explizite Rechtsgrundlage nach Art. 9(2) DSGVO erforderlich. Wenn sie durch Freddy AI automatisch kategorisiert und auf US-Infrastruktur verarbeitet werden, entsteht ein Art. 9 × Art. 44–49 DSGVO-Doppelrisiko: Besondere Kategorien verlassen die EU-Datensphäre ohne ausreichende Schutzmaßnahmen.
Risiko 5: Change-Management-Records und Audit-Trails unter US-Zugriff
Change-Management ist ein Kernprozess in ITIL-basierten Organisationen. Freshservice speichert:
- Alle Change-Requests mit Genehmigungshistorie
- Post-Implementation-Reviews
- Failed-Change-Analysen
- Emergency-Change-Protokolle
Diese Audit-Trails enthalten sensible Informationen über IT-Entscheidungsprozesse, Genehmigungsverantwortliche und technische Änderungen an kritischen Systemen. Im Kontext von DORA Art. 17 (Änderungsmanagement für Finanzinstitute) sind diese Protokolle besonders schützenswert. Wenn US-Behörden über Freshworks, Inc. Zugang zu diesen Change-Records erzwingen könnten, wäre das ein Compliance-Verstoß gegenüber der europäischen Regulierungsbehörde.
Freshservice vs. Freshdesk: Das Vollständige Freshworks-Ökosystem
Viele Organisationen nutzen neben Freshservice auch andere Freshworks-Produkte:
| Produkt | Zweck | GDPR-Risiko |
|---|---|---|
| Freshservice | ITSM / Internes Service-Management | IT-Assets, CMDB, HR-Requests |
| Freshdesk | Customer Support | Kundendaten, Support-History |
| Freshsales | CRM | Vertriebsdaten, Kundenkontakte |
| Freshchat | Live Chat | Echtzeit-Kommunikation |
| Freshteam | HR-Management | Mitarbeiterdaten |
Die Kombination mehrerer Freshworks-Produkte bedeutet, dass das gesamte Unternehmensdaten-Ökosystem unter einer einzigen US-Jurisdiktion (Delaware / CLOUD Act) konsolidiert wird. Für Organisationen, die auf eine Freshworks-Suite setzen, ist die Exit-Strategie entsprechend komplexer.
EU-Native ITSM-Alternativen (0–2/25 CLOUD-Act-Score)
TOPdesk (TOPdesk BV, Delft, Niederlande) — 2/25
TOPdesk ist eine der bekanntesten ITSM-Lösungen Europas und ein direkter Freshservice-Konkurrent im Midmarket.
| Merkmal | Details |
|---|---|
| Unternehmen | TOPdesk BV |
| Hauptsitz | Delft, Niederlande |
| Gründung | 1993 |
| Eigentümer | Privat (keine US-PE) |
| CLOUD-Act-Score | 2/25 |
| Hosting | EU-Rechenzentren (NL/DE) |
| ITIL-Zertifizierung | ITIL v4 kompatibel |
TOPdesk ist vollständig ITIL v4-konform und bietet eine direkte Freshservice-Alternative für Incident, Problem, Change, CMDB und Service Catalogue. Die SaaS-Version läuft auf europäischen Rechenzentren ohne US-Parent-Exposition. Die 2/25-Punkte reflektieren geringfügige AWS-Sub-Prozessor-Abhängigkeiten bei bestimmten Features.
Besonders für: Öffentliche Verwaltung, Hochschulen, Gesundheitswesen — TOPdesk ist in der Benelux-Region und DACH-Märkten stark vertreten.
OTRS AG (Zülpich, Deutschland) — 0/25
OTRS ist der ITSM-Marktführer im EU-nativen Segment mit über 40.000 Installationen weltweit.
| Merkmal | Details |
|---|---|
| Unternehmen | OTRS AG |
| Hauptsitz | Zülpich, Deutschland |
| CLOUD-Act-Score | 0/25 |
| ITIL-Zertifizierung | ITIL v4-zertifiziert (PinkVERIFY) |
| Hosting | Deutsches Rechenzentrum / On-Premise |
| Deployment | SaaS, Managed, On-Premise |
OTRS bietet einen vollständigen ITIL-v4-Prozess-Stack: Incident, Problem, Change, Release, Service Catalog, CMDB, Knowledge Management. Die Enterprise-Version ist besonders stark im Bereich Compliance-Reporting und Audit-Trail. Als deutsches Unternehmen ohne US-Eigentümer ist OTRS der klarste Freshservice-Ersatz für KRITIS-Organisationen.
Zammad GmbH (Berlin, Deutschland) — 0/25
Zammad fokussiert sich primär auf den Customer-Support/Help-Desk-Bereich, bietet aber auch ITSM-Features.
| Merkmal | Details |
|---|---|
| Unternehmen | Zammad GmbH |
| Hauptsitz | Berlin, Deutschland |
| CLOUD-Act-Score | 0/25 |
| Lizenz | Open Source (AGPL) + Enterprise |
| Stärken | UI/UX, schnelle Implementierung, API-first |
Zammad ist stärker im Support-Ticketing als im vollständigen ITSM-Stack. Für Organisationen, die primär Incident Management und Service Requests brauchen (ohne komplexes Change Management oder CMDB), ist Zammad eine einfache Migration von Freshservice.
iTop / Combodo SAS (Frankreich) — 0/25
iTop ist besonders stark im CMDB-Bereich und wird in europäischen Behörden und Industrieunternehmen eingesetzt.
| Merkmal | Details |
|---|---|
| Unternehmen | Combodo SAS |
| Hauptsitz | Frankreich |
| CLOUD-Act-Score | 0/25 |
| CMDB-Stärke | Klasse-1 CMDB-Funktionalität |
| Lizenz | Open Source (AGPL) + Enterprise |
iTop ist die bevorzugte Wahl für Organisationen mit komplexen CMDB-Anforderungen. Die CMDB-Engine erlaubt tiefe Konfiguration von CI-Klassen und Abhängigkeiten — in diesem Bereich übertrifft iTop viele kommerzielle Alternativen.
GLPI (Teclib' SAS, Frankreich) — 1/25
GLPI ist die meistgenutzte Open-Source-ITSM-Lösung in der EU, insbesondere in Bildungseinrichtungen und der öffentlichen Verwaltung.
| Merkmal | Details |
|---|---|
| Unternehmen | Teclib' SAS |
| Hauptsitz | Frankreich |
| CLOUD-Act-Score | 1/25 |
| Nutzer | 300.000+ aktive Installationen |
| Stärken | Asset-Management, CMDB, Open Source |
GLPI hat eine aktive Entwickler-Community und wird in vielen EU-Behörden eingesetzt. Die 1/25-Punkte reflektieren minimale Cloud-Plugin-Abhängigkeiten in der Hosted-Version.
Znuny GmbH (Berlin, Deutschland) — 0/25
Znuny ist ein Fork von OTRS (Community Edition) und wird von einem Berliner Team aktiv weiterentwickelt.
| Merkmal | Details |
|---|---|
| Unternehmen | Znuny GmbH |
| Hauptsitz | Berlin, Deutschland |
| CLOUD-Act-Score | 0/25 |
| Basis | OTRS-Fork (vollständige ITSM-Funktionalität) |
| Lizenz | Open Source (AGPL) |
Znuny ist die community-getriebene Alternative zu OTRS Enterprise — technisch äquivalent, aber vollständig Open Source.
CLOUD-Act-Vergleich: EU-ITSM-Serie Übersicht
| Anbieter | Jurisdiction | CLOUD-Act-Score | US-Gov-Verträge |
|---|---|---|---|
| ServiceNow (Blog #1213) | NYSE:NOW Delaware | 19/25 | FedRAMP High, DoD IL5 |
| BMC Helix (Blog #1214) | KKR PE Delaware | 17/25 | FedRAMP High, US-Gov |
| Jira Service Management (Blog #1215) | NASDAQ:TEAM Delaware | 18/25 | FedRAMP, Atlassian Government |
| Freshservice (dieser Post) | NASDAQ:FRSH Delaware | 18/25 | Freshworks Federal, DHS, DoD |
| OTRS AG | Deutschland | 0/25 | Keine |
| TOPdesk BV | Niederlande | 2/25 | Keine US-Gov-Verträge |
| Zammad GmbH | Deutschland | 0/25 | Keine |
| iTop/Combodo SAS | Frankreich | 0/25 | Keine |
| GLPI/Teclib' SAS | Frankreich | 1/25 | Keine |
NIS2 Art. 21 und DORA Art. 17: ITSM als Compliance-Objekt
NIS2-Anforderungen für ITSM-Tools
NIS2-betroffene Organisationen (Essential und Important Entities) müssen nach Art. 21(2)(e) "Sicherheit der Lieferkette" sicherstellen. Das ITSM-Tool ist kritische Supply-Chain-Infrastruktur:
Art. 21(2)(e) — Lieferkettensicherheit: Wenn das ITSM-Tool Incident-Daten, Change-Records und CMDB-Informationen speichert, ist der ITSM-Anbieter ein wesentlicher Drittanbieter. Die US-Jurisdiktion von Freshworks stellt ein nicht-kontrollierbares Risiko dar, das im NIS2-Risikomanagement explizit bewertet werden muss.
Art. 21(2)(g) — Kryptographie und Sicherheit: Freshservice speichert Daten über Kryptographie-Implementierungen, Schlüsselverwaltung und Sicherheitskonfigurationen in Change- und Problem-Records. Diese Daten unter US-Jurisdiktion zu halten, ist mit NIS2-Art. 21(2)(g) schwer vereinbar.
DORA-Anforderungen für Finanzinstitute
DORA Art. 17 — IKT-Änderungsmanagement: Finanzinstitute müssen alle IKT-Änderungen dokumentieren, prüfen und genehmigen. Change-Records aus Freshservice sind nach DORA "ICT change management logs" und müssen vor unbefugtem Zugriff geschützt werden. US-Jurisdiktion schafft ein potenzielles Integrity-Problem: Ein US-Behördenzugriff auf Change-Records wäre nicht als "autorisierter Zugriff" im DORA-Sinne klassifiziert.
Migration von Freshservice zu TOPdesk: 8-Wochen-Guide
Woche 1–2: Daten-Export und Mapping
# Freshservice API: Tickets exportieren
curl -X GET "https://[domain].freshservice.com/api/v2/tickets" \
-u "[api_key]:X" \
-H "Content-Type: application/json" \
-G --data-urlencode "per_page=100" \
--data-urlencode "page=1" \
> tickets_export.json
# Assets/CMDB exportieren
curl -X GET "https://[domain].freshservice.com/api/v2/assets" \
-u "[api_key]:X" \
> assets_export.json
Mapping-Tabelle Freshservice → TOPdesk:
| Freshservice | TOPdesk Äquivalent |
|---|---|
| Incidents | Incidents |
| Service Requests | Service Requests |
| Change Requests | Changes |
| Problems | Problems |
| CMDB Assets | Configuration Items (CIs) |
| Knowledge Base | Knowledge Items |
| Service Catalog | Service Catalog |
| SLA Policies | SLAs |
Woche 3–4: TOPdesk-Konfiguration
- Service Catalog aus Freshservice-Kategorien aufbauen
- SLA-Regeln migrieren (Response Time / Resolution Time)
- Agents-Gruppen und Berechtigungen konfigurieren
- Custom Fields mappen (Freshservice Custom Fields → TOPdesk Custom Fields)
- Email-Integration einrichten (Postfächer → automatische Ticket-Erstellung)
Woche 5–6: CMDB-Migration
Die CMDB-Migration ist der aufwändigste Teil:
# CMDB-Konverter: Freshservice-Assets → TOPdesk-CIs
import json
import requests
with open('assets_export.json') as f:
assets = json.load(f)
for asset in assets.get('assets', []):
ci_payload = {
"name": asset['name'],
"type": asset['asset_type']['name'],
"status": map_status(asset['impact']),
"serialNumber": asset.get('serial_number', ''),
"specification": asset.get('description', '')
}
# TOPdesk API CI erstellen
requests.post(
f"{TOPDESK_BASE}/tas/api/assetmgmt/assets",
json=ci_payload,
auth=(TOPDESK_USER, TOPDESK_PASS)
)
Woche 7–8: Parallelbetrieb und Cutover
- 2-Wochen-Parallelbetrieb: Neue Tickets in TOPdesk, historische Tickets in Freshservice read-only
- Agenten-Training (TOPdesk-Zertifizierung verfügbar)
- Self-Service-Portal-Launch
- Freshservice-Account kündigen (30-Tage-Notice beachten)
Daten-Löschung nach Migration
Nach der Migration müssen alle Daten aus Freshservice gelöscht werden. Das Freshservice-Datenlöschungsverfahren:
- Ticket-Daten: Über Admin-Panel → Data Export & Deletion
- CMDB-Daten: Separate Asset-Deletion-Flows
- Freddy-AI-Trainingsdaten: Freshworks muss explizit bestätigen, dass keine Freshservice-Daten für AI-Training verwendet wurden
- Backup-Retention: Freshworks speichert Backups bis zu 90 Tage nach Kündigung — explizites Löschdatum im DPA bestätigen
GDPR Art. 17 (Recht auf Löschung) gilt explizit: Nach Vertragsende müssen alle personenbezogenen Daten gelöscht oder zurückgegeben werden. Das Data Processing Agreement (DPA) mit Freshworks sollte Löschfristen und -bestätigungsverfahren explizit regeln.
Fazit: Freshservice im EU-Compliance-Kontext
Freshservice ist ein exzellentes ITSM-Tool mit starker UX und schneller Time-to-Value. Für viele nicht-regulierte Organisationen ist es eine valide Wahl. Für europäische Organisationen mit erhöhten Datenschutzanforderungen — KRITIS, NIS2-betroffene Einrichtungen, Finanzinstitute unter DORA, Behörden — stellen sich drei Kernfragen:
-
Freddy AI: Welche Ticket-Inhalte werden durch KI-Features verarbeitet? Wer hat Zugriff auf diese Verarbeitungsprozesse auf US-Infrastruktur?
-
Freshworks Federal: Welche strukturellen Compliance-Verpflichtungen gegenüber US-Behörden gehen aus den Regierungsverträgen hervor?
-
CMDB unter US-Jurisdiktion: Ist die IT-Architektur-Dokumentation der Organisation tolerierbar unter US-Jurisdiktion?
Die Antworten auf diese Fragen bestimmen, ob Freshservice eine akzeptable Lösung ist — oder ob der Wechsel zu TOPdesk, OTRS oder iTop notwendig ist.
Die sota.io-Perspektive
sota.io ist eine EU-native Managed-PaaS-Plattform: Kein US-Parent-Unternehmen, keine CLOUD-Act-Exposition, Hosting auf Hetzner-Infrastruktur in Deutschland. Wenn Sie ITSM-Tools für Ihre sota.io-Infrastruktur suchen — oder eine EU-native Deployment-Plattform für Ihr selbstgehostetes ITSM-System brauchen — starten Sie kostenlos.
Angaben zu Firmensitzen, Börsenzulassungen und CLOUD-Act-Scores basieren auf öffentlich zugänglichen Quellen (SEC-Filings, Freshworks-Investor-Relations, US-Federal-Contract-Datenbanken, SAM.gov). Dieser Beitrag stellt keine Rechtsberatung dar.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.