„Always the best, without switching tools.“
Bolt ist ein KI-gestützter Builder für Websites, Web-Apps und mobile Apps. Nutzer beschreiben ihr Vorhaben per Prompt, und Bolt erzeugt daraus in kurzer Zeit ein lauffähiges Projekt.
Zusätzlich bündelt Bolt mit Bolt Cloud Hosting, Datenbanken, Domains, Authentifizierung, File Storage, Analytics und Edge Functions direkt in der Oberfläche.
Bolt.new
Always the best, without switching tools
Standort: USA ⓘ StackBlitz, Inc., 2443 Fillmore St #380-7122, San Fransisco, CA 94115, USA.
Teams Für Teams mit gemeinsamem Arbeiten, höheren Limits und teamorientierter Nutzung. Sonstiges Enterprise Individuelles Angebot für Organisationen mit erweiterten Anforderungen.
bolt.diy Offizielle Open-Source-Version zur lokalen/selbst gehosteten Nutzung mit eigenen LLM-Anbietern wie OpenAI, Anthropic, Ollama, Gemini, Mistral, xAI, DeepSeek, Bedrock und weiteren.
Zielgruppe
Bolt richtet sich an Produktmanager, Gründer, Marketer, Agenturen, Studenten und Builder, die ohne klassischen Setup-Aufwand Websites, Web-Apps oder mobile Apps umsetzen möchten. Offizielle Seiten sprechen außerdem Teams an, die mit Design-Systemen, privaten Registern, Organisationsfreigaben und zentraler Verwaltung arbeiten. Besonders stark ist Bolt für Menschen, die schnell von Idee zu Prototyp, Landingpage oder MVP kommen wollen und dabei Hosting, Datenbank und Deployments direkt im Tool haben möchten.
Herausragende Funktionen
Herausragend sind die Kombination aus Prompt-to-App, Modellwahl innerhalb von Bolt, integrierter Infrastruktur über Bolt Cloud und direkten Integrationen mit Figma, Expo, Stripe, GitHub, Supabase und MCP-Servern. Dazu kommen private und öffentliche Veröffentlichung, Custom Domains, SEO-relevante Hosting-/Publishing-Funktionen, Authentifizierung, File Storage, Edge Functions und eingebaute Analytics. Für Teams relevant sind außerdem Design-System-Wissen, Private NPM Registries und Admin-/Governance-Funktionen.
Wichtigste Anwendungsfelder
Bolt eignet sich besonders für Landingpages, Kampagnenseiten, Prototypen, MVPs, interne Tools, kleinere SaaS-Produkte und mobile App-Prototypen. Die Startseite adressiert explizit Produktteams, Unternehmer, Marketer, Agenturen sowie Lern- und Side-Project-Szenarien. Weil Bolt Hosting, Domains und Datenbanken mitliefert und Stripe anbinden kann, ist es auch für erste produktive Web-Produkte interessant.
Nutzung & Hinweise
Die Bedienung erfolgt primär per Chat/Prompt, ergänzt um Code View, Publish-/Share-Funktionen und Projekt-/Cloud-Einstellungen. Für mobile Apps muss man den mobilen Use Case im Prompt klar benennen; Bolt nutzt dafür Expo. Wichtig ist, die technischen Grenzen zu kennen: empfohlen sind Chromium-Desktop-Browser, mobile Browser sind noch nicht vollständig unterstützt, und bei Backends ist Bolt laut Doku auf JavaScript-basierte Technologien beschränkt. Für Datenschutz und Enterprise-Beschaffung sollte man vor produktivem Einsatz die rechtlichen Unterlagen individuell prüfen, weil die öffentliche Rechts-/Compliance-Lage nicht so ausgereift dokumentiert ist wie bei etablierten Enterprise-SaaS-Anbietern.
| Zielgruppe | Einschätzung |
|---|---|
| Privatpersonen / Maker | Sehr geeignet – für schnelle Web-Apps, Websites, Prototypen und Experimente per Prompt. |
| Selbstständige / Freelancer | Sehr geeignet – für Landingpages, MVPs, Kundenprototypen und einfache Apps ohne vollständiges Entwicklerteam. |
| Startups / Gründer | Sehr geeignet – besonders für schnelle Produktvalidierung, Prototyping und frühe App-Versionen. |
| Agenturen / Webdesigner | Geeignet bis sehr geeignet – für schnelle Entwürfe, Websites, Frontends und Kunden-Demos. |
| KMU / Teams | Geeignet – für interne Tools und schnelle App-Ideen, sofern Datenschutz, Codequalität und Hosting geprüft werden. |
| Großunternehmen | Bedingt geeignet – Enterprise-/Team-Kontext prüfen; für sensible Daten und komplexe Architektur nur mit Governance und Code Review. |
Hosting & Daten
1) On-Prem / lokales Hosting
Bedeutung: Die Firma betreibt die Lösung auf eigener Hardware oder in der eigenen Infrastruktur. Im strengsten Sinn läuft dabei nicht nur die Anwendung, sondern idealerweise auch das Modell lokal.
2) Private Cloud / RZ
Bedeutung: Die Lösung läuft in einer dedizierten oder stärker abgegrenzten Cloud-Umgebung, oft bei einem Hosting-Anbieter oder Hyperscaler, aber in einem deutschen Rechenzentrum oder in einer besonders kontrollierten Umgebung.
3) EU-SaaS / Managed
Bedeutung: Der Anbieter betreibt die Lösung selbst als Dienst. Die Firma nutzt das Tool als fertigen Cloud-Service, idealerweise mit EU-Datenresidenz.
4) Hybrid
Bedeutung: Ein Teil der Verarbeitung bleibt intern / lokal / in privater Cloud, ein anderer Teil läuft in einer externen Cloud oder EU-SaaS.
5) AVV / DPA
Bedeutung: Das ist der Auftragsverarbeitungsvertrag bzw. Data Processing Addendum.
Er regelt, dass der Anbieter personenbezogene Daten im Auftrag verarbeitet und an die Weisungen des Kunden gebunden ist.
6) Kein Training
Bedeutung: Der Anbieter nutzt deine Prompts, Uploads, Anhänge, Chatverläufe oder Outputs nicht zum Training oder zur Verbesserung des allgemeinen Modells — idealerweise vertraglich ausgeschlossen.
7) Open-Source-/Transparenz-Pfad
Bedeutung: Es gibt einen Weg zu mehr technischer Transparenz und Souveränität, etwa durch:
- offene Modelle
- dokumentierte Komponenten
- self-hostbare Teile
- nachvollziehbare Architektur
- Export-/Wechselmöglichkeiten
| On-prem / local hosting | ⚠️ |
| Private cloud / data center | ✅ |
| EU SaaS / Managed | ⚠️ |
| Hybrid | ❓ |
| DPA / AVV | ❓ |
| No training on customer data | ⚠️ |
| Open source / transparency path | ⚠️ |
On-Prem / lokales Hosting: teilweise
Kein klassisches lokales On-Prem auf eigener Hardware explizit gefunden. Es gibt aber eine dokumentierte Enterprise-/BYOK-Option zum Deployment in den eigenen AWS-/Azure-Tenant mit voller Isolation; das ist naeher an kundeneigener Cloud als an lokalem Rechenzentrum.
Private Cloud / RZ: abgedeckt
Auf der Website wird ein Deployment in den eigenen AWS-/Azure-Tenant mit 'full infrastructure isolation and no shared compute' beschrieben. Das deckt eine abgegrenzte private Cloud-/Tenant-Variante ab.
EU-SaaS / Managed: teilweise
Ein gemanagter SaaS-/Cloud-Dienst ist klar vorhanden. Eine ausdrueckliche EU-/EWR-Datenresidenz oder EU-Rechenzentrumsbindung fuer diesen Standarddienst ist auf der Website jedoch nicht angegeben.
Hybrid: indirekt / nicht verfuegbar
Ein ausdrueckliches Hybrid-Betriebsmodell aus intern/lokal plus externem SaaS wurde auf der Website nicht beschrieben. Es gibt zwar Integrationen und BYOK-Deployment, aber kein klar dokumentiertes Hybrid-Angebot im geforderten Sinn.
AVV / DPA: unklar
Ein AVV/DPA wurde auf der Website nicht gefunden. Auch auf den gefundenen Trust-/Support-Seiten ist kein konkreter Auftragsverarbeitungsvertrag oder Data Processing Agreement verlinkt bzw. beschrieben.
Kein Training: teilweise
Auf der Enterprise-Seite steht, dass Code und Prompts 'never leave your tenant' bzw. bei BYOK 'never leave your infrastructure'. Eine allgemeine, vertraglich ausgefuehrte No-Training-Regel oder ein explizites Opt-out fuer die Standard-SaaS-Nutzung wurde auf der Website nicht gefunden.
Open-Source / Transparenz-Pfad: teilweise
Es gibt einen Transparenz-/Souveraenitaetspfad ueber Projekt-Download, GitHub-Integration, alternative Nutzung eigener Supabase-Projekte und Hinweise auf Open-Source-Komponenten in Blog-Inhalten. Eine klar dokumentierte Open-Source-Produktbasis oder self-hostbare Hauptloesung wurde jedoch nicht gefunden.
Datenverarbeitung
Die gefundenen Seiten beschreiben zwei wesentliche Betriebswege: Erstens Bolt Cloud als vom Anbieter gemanagter Dienst fuer Hosting, Datenbanken, Domains, File Storage und Edge Functions. Dabei nennt die Website Netlify und Supabase als zugrunde liegende Plattformen, ohne EU-/EWR-Datenresidenz oder genaue Serverstandorte zu spezifizieren. Zweitens eine Enterprise-/BYOK-Variante, bei der in den eigenen AWS-/Azure-Tenant deployt wird, mit voller Isolation und der Aussage, dass Code und Prompts die eigene Infrastruktur nicht verlassen. Fuer EU/EWR-Nutzer ist die zweite Variante datenschutzrechtlich deutlich besser dokumentiert.
Fazit
Fuer ein EU-/EWR-Verzeichnis ist Bolt.new nicht als klar vollstaendig belegte Standard-SaaS mit EU-Datenresidenz dokumentiert. Am ehesten tragfaehig ist die Enterprise-/BYOK-Nutzung, insbesondere wenn der Kunde selbst einen EU-/EWR-Standort in AWS oder Azure waehlt und die vertraglichen Datenschutzdokumente separat im Verkaufsprozess erhaelt. Ohne diese Zusatzvoraussetzungen bleibt die DSGVO-Lage fuer die Standard-Cloud auf Basis der Website zu lueckenhaft.
Quellen
| On-prem / local hosting | ⚠️ |
| Private cloud / data center | ✅ |
| EU SaaS / Managed | ⚠️ |
| Hybrid | ❓ |
| DPA / AVV | ❓ |
| No training on customer data | ⚠️ |
| Open source / transparency path | ⚠️ |
On-Prem / lokales Hosting: teilweise
Kein klassisches lokales On-Prem auf eigener Hardware explizit gefunden. Es gibt aber eine dokumentierte Enterprise-/BYOK-Option zum Deployment in den eigenen AWS-/Azure-Tenant mit voller Isolation; das ist naeher an kundeneigener Cloud als an lokalem Rechenzentrum.
Private Cloud / RZ: abgedeckt
Auf der Website wird ein Deployment in den eigenen AWS-/Azure-Tenant mit 'full infrastructure isolation and no shared compute' beschrieben. Das deckt eine abgegrenzte private Cloud-/Tenant-Variante ab.
EU-SaaS / Managed: teilweise
Ein gemanagter SaaS-/Cloud-Dienst ist klar vorhanden. Eine ausdrueckliche EU-/EWR-Datenresidenz oder EU-Rechenzentrumsbindung fuer diesen Standarddienst ist auf der Website jedoch nicht angegeben.
Hybrid: indirekt / nicht verfuegbar
Ein ausdrueckliches Hybrid-Betriebsmodell aus intern/lokal plus externem SaaS wurde auf der Website nicht beschrieben. Es gibt zwar Integrationen und BYOK-Deployment, aber kein klar dokumentiertes Hybrid-Angebot im geforderten Sinn.
AVV / DPA: unklar
Ein AVV/DPA wurde auf der Website nicht gefunden. Auch auf den gefundenen Trust-/Support-Seiten ist kein konkreter Auftragsverarbeitungsvertrag oder Data Processing Agreement verlinkt bzw. beschrieben.
Kein Training: teilweise
Auf der Enterprise-Seite steht, dass Code und Prompts 'never leave your tenant' bzw. bei BYOK 'never leave your infrastructure'. Eine allgemeine, vertraglich ausgefuehrte No-Training-Regel oder ein explizites Opt-out fuer die Standard-SaaS-Nutzung wurde auf der Website nicht gefunden.
Open-Source / Transparenz-Pfad: teilweise
Es gibt einen Transparenz-/Souveraenitaetspfad ueber Projekt-Download, GitHub-Integration, alternative Nutzung eigener Supabase-Projekte und Hinweise auf Open-Source-Komponenten in Blog-Inhalten. Eine klar dokumentierte Open-Source-Produktbasis oder self-hostbare Hauptloesung wurde jedoch nicht gefunden.
Datenverarbeitung
Die gefundenen Seiten beschreiben zwei wesentliche Betriebswege: Erstens Bolt Cloud als vom Anbieter gemanagter Dienst fuer Hosting, Datenbanken, Domains, File Storage und Edge Functions. Dabei nennt die Website Netlify und Supabase als zugrunde liegende Plattformen, ohne EU-/EWR-Datenresidenz oder genaue Serverstandorte zu spezifizieren. Zweitens eine Enterprise-/BYOK-Variante, bei der in den eigenen AWS-/Azure-Tenant deployt wird, mit voller Isolation und der Aussage, dass Code und Prompts die eigene Infrastruktur nicht verlassen. Fuer EU/EWR-Nutzer ist die zweite Variante datenschutzrechtlich deutlich besser dokumentiert.
Fazit
Fuer ein EU-/EWR-Verzeichnis ist Bolt.new nicht als klar vollstaendig belegte Standard-SaaS mit EU-Datenresidenz dokumentiert. Am ehesten tragfaehig ist die Enterprise-/BYOK-Nutzung, insbesondere wenn der Kunde selbst einen EU-/EWR-Standort in AWS oder Azure waehlt und die vertraglichen Datenschutzdokumente separat im Verkaufsprozess erhaelt. Ohne diese Zusatzvoraussetzungen bleibt die DSGVO-Lage fuer die Standard-Cloud auf Basis der Website zu lueckenhaft.
Quellen
Stärken & Schwächen im Überblick
| Stärken | Schwächen |
|---|---|
| • Sehr schneller Weg von Idee zu funktionierendem Prototyp oder MVP. | • Öffentliche Datenschutz-/Compliance-Dokumentation wirkt aus EU-Sicht dünn; die öffentlich gefundene StackBlitz-Privacy-Policy ist sehr alt und verweist auf US-Hosting/-Transfers. |
| • Integrierte Cloud-Funktionen statt Tool-Zoo: Hosting, DB, Domains, Auth, File Storage, Analytics, Edge Functions. | • Keine gesicherten öffentlichen Informationen verfügbar zu einer frei abrufbaren AVV/DPA-Seite speziell für Bolt – Stand 27. April 2026. |
| • Gute Integrationen für Figma, Expo, GitHub, Stripe, Supabase und MCP. | • Bolt unterstützt laut offizieller Doku nur JavaScript-basierte Backends; PHP oder Python sind dort ausdrücklich als nicht kompatibel genannt. |
| • Auch für kommerzielle Nutzung geeignet; laut offizieller Doku gehört der mit Bolt/StackBlitz erzeugte Code dem Nutzer. | • Mobile Browser werden noch nicht voll unterstützt; empfohlen sind Desktop und Chromium-basierte Browser. |
| • Private Veröffentlichung und Team-/Admin-Funktionen für kollaborative Workflows. | • Token-Verbrauch steigt mit Projektgröße, weil viel Verbrauch durch das Lesen und Synchronisieren der Projektdateien entsteht. |
Bewertungen
0 Bewertungen insgesamt
Für dieses Tool liegen noch keine bestätigten Bewertungen vor.
Bewertung absenden
Deine Bewertung wird erst nach der Bestätigung per E-Mail sichtbar. Damit schützen wir das Portal vor Missbrauch.
Bewertung melden
Bitte wähle den Grund aus, warum diese Bewertung geprüft werden soll.
DSGVO-konforme Nutzung möglich?
Fuer den EU/EWR-Raum ist eine DSGVO-konforme Nutzung nur unter Bedingungen plausibel. Positiv sind die auf der Website genannten Enterprise-Optionen fuer ein Deployment im eigenen AWS-/Azure-Tenant mit voller Infrastruktur-Isolation sowie die Aussage, dass Code und Prompts dabei die eigene Infrastruktur nicht verlassen. Fuer die Standard-SaaS-/Bolt-Cloud-Nutzung fehlen auf der Website jedoch wesentliche belastbare Angaben zu EU-Datenresidenz, konkreten Serverstandorten im EU/EWR, AVV/DPA und Subprozessoren. Deshalb ist keine vollumfaenglich klare DSGVO-Freigabe fuer die Standardnutzung belegbar; der beste dokumentierte Weg ist die Enterprise-/BYOK-Variante.
Positiv
Auf der Website werden BYOK Deployment bzw. Deployment in den eigenen AWS-/Azure-Tenant, volle Infrastruktur-Isolation ohne Shared Compute, die Aussage 'Your code and prompts never leave your infrastructure' sowie SOC-2-Angaben genannt. Zudem beschreibt die Trust-Seite clientseitige Ausfuehrung als Sicherheitsmerkmal.
Negativ
Auf der Website sind keine konkreten EU-/EWR-Serverstandorte fuer den Standarddienst angegeben. Ebenfalls nicht auffindbar sind Datenschutzerklaerung, AVV/DPA, Subprozessorenliste, eine ausdrueckliche EU-Datenresidenz fuer Bolt Cloud und eine klare, vertraglich dokumentierte No-Training-/Opt-out-Regel fuer die Standardnutzung. Die Support-Doku nennt zudem externe Plattformen wie Netlify und Supabase als Grundlage von Bolt Cloud.
Serverstandort
Auf der Website nicht angegeben. Fuer Bolt Cloud werden nur 'secure, high-performance servers' sowie Partnerplattformen wie Netlify und Supabase genannt. Ein konkreter EU-/EWR-Rechenzentrumsstandort oder eine verbindliche EU-Datenresidenz wird auf den gefundenen Seiten nicht genannt. Fuer Enterprise wird ein Deployment in den eigenen AWS-/Azure-Tenant beschrieben; der konkrete Standort haengt dort offenbar von der eigenen Zielumgebung ab.