„Built to make you extraordinarily productive, Cursor is the best way to code with AI.“
Cursor ist eine KI-gestützte Entwicklungsumgebung für Softwareentwicklung mit Agenten, Autocomplete, CLI, Cloud-Agents und Code-Review-Funktionen.
Offiziell positioniert sich Cursor als Werkzeug, mit dem Entwickler Aufgaben an Agenten delegieren, Code schneller schreiben und in mehreren Umgebungen parallel arbeiten können. Neuere Releases ergänzen u. a. eine agentenzentrierte Oberfläche, paralleles Multitasking mit Subagents, Canvases und Automations.
Cursor – Anysphere
Built to make you extraordinarily productive, Cursor is the best way to code with AI
Standort: USA ⓘ Anysphere, Inc., 2261 Market Street STE 86466, San Francisco, CA 94114, USA.
Pro+ Alles aus Pro plus deutlich mehr Nutzung für OpenAI-, Claude- und Gemini-Modelle.
Ultra Alles aus Pro plus sehr hohe Nutzung und Priority Access auf neue Features.
Teams Alles aus Pro plus geteilte Chats, Commands und Rules, zentrale Abrechnung, Usage Analytics, orgweiter Privacy Mode, RBAC und SAML/OIDC SSO. Sonstiges Enterprise Pooled Usage, Invoice/PO Billing, SCIM, AI-Code-Tracking-API, Audit Logs, granulare Admin-/Modellkontrollen, Priority Support und Account Management.
Bugbot Separates Code-Review-/Bug-Detection-Angebot mit Pro-, Teams- und Enterprise-Optionen.
Zielgruppe
Cursor richtet sich primär an Softwareentwickler, technische Freelancer, Start-up-Teams, Produkt- und Plattform-Engineering-Teams sowie größere Entwicklungsorganisationen. Das Produkt ist klar auf Coding-Workflows ausgerichtet, nicht auf allgemeine Office- oder Marketing-Nutzung. Besonders passend ist Cursor für Teams, die aktiv mit Agenten, Cloud-Ausführung, PR-Review und paralleler Entwicklung über mehrere Repositories oder Umgebungen hinweg arbeiten wollen.
Herausragende Funktionen
Herausragend sind vor allem die Agentenfunktionen: Cursor kann Aufgaben an Agenten delegieren, die laut Produktdarstellung eigenständig bauen, testen und Ergebnisse demonstrieren. Hinzu kommen das Tab-Autocomplete-Modell, Cloud Agents, die CLI, Bugbot für automatisiertes Code Review sowie neue Funktionen wie Agents Window, /multitask mit asynchronen Subagents, Canvases und Automations für geplante oder eventgetriggerte Cloud-Agenten. Das ist deutlich mehr als ein klassischer Chat-im-Editor-Ansatz.
Wichtigste Anwendungsfelder
Typische Einsatzfelder sind Feature-Implementierung, Refactoring, Debugging, Codebase-Navigation, PR-Review, UI-/Frontend-Anpassungen, Cross-Repo-Änderungen und automatisierte Entwicklungsworkflows. Offizielle Beispiele und Releases nennen u. a. das parallele Arbeiten in Worktrees, Multi-Root-Workspaces für repo-übergreifende Änderungen, direktes Arbeiten an Browser-/UI-Elementen im Agents Window sowie ereignisgesteuerte Automations und Bugbot-Autofix für Pull Requests.
Nutzung & Hinweise
Für datensensible Nutzung ist Privacy Mode zentral: Laut Cursor werden dann Modellanbieter mit Zero Data Retention betrieben und Code nicht zu Trainingszwecken verwendet; ohne Privacy Mode kann Cursor Code-/Prompt-/Editor-Daten zur Verbesserung und zum Training nutzen. Wichtig ist auch: Selbst bei Nutzung eigener API-Keys laufen Requests laut Cursor weiter über das Cursor-Backend. Außerdem weist Cursor darauf hin, dass Codebase-Indexing unter Last mehrfaches Hochladen verursachen kann. Für gute Ergebnisse empfiehlt Cursor in seinen Best Practices, mit klaren Zielen, Tests, Lintern und verifizierbaren Signalen zu arbeiten.
| Zielgruppe | Einschätzung |
|---|---|
| Entwickler / Softwareteams | Sehr geeignet – für KI-gestütztes Coding, Refactoring, Debugging, Codebase-Fragen und Agenten-Workflows. |
| Freelancer / Solo-Developer | Sehr geeignet – beschleunigt Feature-Entwicklung, Bugfixing und Code-Erklärung. |
| Startups / Produktteams | Sehr geeignet – für schnelles Prototyping, MVPs und produktive Softwareentwicklung. |
| KMU / Enterprise-Teams | Geeignet bis sehr geeignet – besonders mit Teams/Enterprise wegen SSO, RBAC, zentraler Abrechnung, Privacy Mode und Admin-Kontrollen. |
| Nicht-Entwickler | Eher nicht geeignet – Cursor ist primär eine KI-IDE für Softwareentwicklung. |
Hosting & Daten
1) On-Prem / lokales Hosting
Bedeutung: Die Firma betreibt die Lösung auf eigener Hardware oder in der eigenen Infrastruktur. Im strengsten Sinn läuft dabei nicht nur die Anwendung, sondern idealerweise auch das Modell lokal.
2) Private Cloud / RZ
Bedeutung: Die Lösung läuft in einer dedizierten oder stärker abgegrenzten Cloud-Umgebung, oft bei einem Hosting-Anbieter oder Hyperscaler, aber in einem deutschen Rechenzentrum oder in einer besonders kontrollierten Umgebung.
3) EU-SaaS / Managed
Bedeutung: Der Anbieter betreibt die Lösung selbst als Dienst. Die Firma nutzt das Tool als fertigen Cloud-Service, idealerweise mit EU-Datenresidenz.
4) Hybrid
Bedeutung: Ein Teil der Verarbeitung bleibt intern / lokal / in privater Cloud, ein anderer Teil läuft in einer externen Cloud oder EU-SaaS.
5) AVV / DPA
Bedeutung: Das ist der Auftragsverarbeitungsvertrag bzw. Data Processing Addendum.
Er regelt, dass der Anbieter personenbezogene Daten im Auftrag verarbeitet und an die Weisungen des Kunden gebunden ist.
6) Kein Training
Bedeutung: Der Anbieter nutzt deine Prompts, Uploads, Anhänge, Chatverläufe oder Outputs nicht zum Training oder zur Verbesserung des allgemeinen Modells — idealerweise vertraglich ausgeschlossen.
7) Open-Source-/Transparenz-Pfad
Bedeutung: Es gibt einen Weg zu mehr technischer Transparenz und Souveränität, etwa durch:
- offene Modelle
- dokumentierte Komponenten
- self-hostbare Teile
- nachvollziehbare Architektur
- Export-/Wechselmöglichkeiten
| On-prem / local hosting | ⚠️ |
| Private cloud / data center | ⚠️ |
| EU SaaS / Managed | ❓ |
| Hybrid | ✅ |
| DPA / AVV | ✅ |
| No training on customer data | ⚠️ |
| Open source / transparency path | ❓ |
On-Prem / lokales Hosting: teilweise
Es gibt eine dokumentierte Option fuer 'self-hosted cloud agents' in eigener Infrastruktur. Diese betrifft aber nicht die komplette Loesung lokal/on-prem, weil laut Beschreibung die Cursor-Agent-Harness Inferenz und Planung ueber Cursor-Cloud abwickelt und nur Tool-Ausfuehrung auf der eigenen Maschine stattfindet.
Private Cloud / RZ: teilweise
Die Website beschreibt, dass Agent-Workloads in der eigenen Infrastruktur bzw. eigenen Cloud-Umgebung laufen koennen. Das ist ein Private-Cloud-Pfad fuer einen Teil des Produkts, aber keine vollstaendige private Bereitstellung der gesamten Loesung.
EU-SaaS / Managed: indirekt / nicht verfuegbar
Eine vom Anbieter betriebene EU-SaaS mit ausdruecklicher EU-/EWR-Datenresidenz ist auf der Website nicht angegeben. Die Privacy Policy nennt vielmehr Verarbeitung in verschiedenen Jurisdiktionen einschliesslich USA und Transfers fuer EEA-Nutzer ausserhalb EEA/UK.
Hybrid: abgedeckt
Die Self-Hosted-Cloud-Agents sind explizit als Mischmodell dokumentiert: Worker/Code/Tool-Ausfuehrung laufen in der eigenen Infrastruktur, waehrend Inferenz und Planung ueber Cursor-Cloud erfolgen.
AVV / DPA: abgedeckt
Ein Data Processing Addendum unter /terms/dpa ist auf der Website veroeffentlicht. Darin werden Subprozessoren, Benachrichtigungen bei Wechseln und Schutzpflichten beschrieben.
Kein Training: teilweise
Abgedeckt ist ein klarer Opt-out-/No-Training-Pfad ueber 'Privacy Mode': Kundendaten werden dann nicht fuer Training durch Cursor genutzt, es gelten ZDR-Vereinbarungen mit Providern. Allerdings weist die Website auch darauf hin, dass bei deaktiviertem 'Privacy Mode' Daten zur Verbesserung und zum Training genutzt werden koennen und dass Missbrauchs-/Risikopruefungen Daten voruebergehend speichern koennen.
Open-Source / Transparenz-Pfad: indirekt / nicht verfuegbar
Ein echter Open-Source-, offene-Modelle- oder self-hostbarer Gesamtpfad ist auf der Website nicht angegeben. Es gibt zwar Transparenz ueber Security, DPA und Subprozessoren sowie einen Infrastrukturpfad fuer self-hosted Agents, aber keine klare Open-Source-Dokumentation fuer das Gesamtprodukt.
Datenverarbeitung
Die dokumentierte Standardverarbeitung erfolgt als Cloud-Dienst von Cursor/Anysphere mit Verarbeitung in verschiedenen Jurisdiktionen. Auch bei Nutzung eines eigenen API-Keys laufen Requests laut Data-Use-Seite weiterhin ueber das Cursor-Backend. Bei aktiviertem 'Privacy Mode' sagt die Website zu, dass Kundendaten nicht fuer Training genutzt werden und dass bei Providern Zero Data Retention gilt; zugleich bleiben Missbrauchs-/Risikopruefungen vorbehalten. Fuer Cloud Agents gibt es einen hybriden self-hosted Pfad, bei dem Code, Tool-Ausfuehrung und Build-Artefakte in der eigenen Umgebung bleiben koennen, waehrend Planung/Inferenz ueber Cursor-Cloud laeuft.
Fazit
Fuer EU/EWR-Nutzer ist Cursor nach Website-Dokumentation nicht als eindeutig EU-residentes Standard-SaaS einzuordnen. Positiv sind DPA, Subprozessoren-Hinweis, SOC 2 Type II und ein dokumentierter No-Training-Pfad via 'Privacy Mode'. Gleichzeitig fehlen ein klar benanntes EU-/EWR-Rechenzentrum, verbindliche EU-Datenresidenz und ein vollstaendiger On-Prem-/Self-Hosting-Pfad fuer das Gesamtprodukt. Deshalb ist die DSGVO-Nutzung am ehesten bedingt vertretbar, insbesondere mit DPA und 'Privacy Mode'; fuer besonders sensible EU/EWR-Anforderungen bleibt die Dokumentation lueckenhaft.
Quellen
| On-prem / local hosting | ⚠️ |
| Private cloud / data center | ⚠️ |
| EU SaaS / Managed | ❓ |
| Hybrid | ✅ |
| DPA / AVV | ✅ |
| No training on customer data | ⚠️ |
| Open source / transparency path | ❓ |
On-Prem / lokales Hosting: teilweise
Es gibt eine dokumentierte Option fuer 'self-hosted cloud agents' in eigener Infrastruktur. Diese betrifft aber nicht die komplette Loesung lokal/on-prem, weil laut Beschreibung die Cursor-Agent-Harness Inferenz und Planung ueber Cursor-Cloud abwickelt und nur Tool-Ausfuehrung auf der eigenen Maschine stattfindet.
Private Cloud / RZ: teilweise
Die Website beschreibt, dass Agent-Workloads in der eigenen Infrastruktur bzw. eigenen Cloud-Umgebung laufen koennen. Das ist ein Private-Cloud-Pfad fuer einen Teil des Produkts, aber keine vollstaendige private Bereitstellung der gesamten Loesung.
EU-SaaS / Managed: indirekt / nicht verfuegbar
Eine vom Anbieter betriebene EU-SaaS mit ausdruecklicher EU-/EWR-Datenresidenz ist auf der Website nicht angegeben. Die Privacy Policy nennt vielmehr Verarbeitung in verschiedenen Jurisdiktionen einschliesslich USA und Transfers fuer EEA-Nutzer ausserhalb EEA/UK.
Hybrid: abgedeckt
Die Self-Hosted-Cloud-Agents sind explizit als Mischmodell dokumentiert: Worker/Code/Tool-Ausfuehrung laufen in der eigenen Infrastruktur, waehrend Inferenz und Planung ueber Cursor-Cloud erfolgen.
AVV / DPA: abgedeckt
Ein Data Processing Addendum unter /terms/dpa ist auf der Website veroeffentlicht. Darin werden Subprozessoren, Benachrichtigungen bei Wechseln und Schutzpflichten beschrieben.
Kein Training: teilweise
Abgedeckt ist ein klarer Opt-out-/No-Training-Pfad ueber 'Privacy Mode': Kundendaten werden dann nicht fuer Training durch Cursor genutzt, es gelten ZDR-Vereinbarungen mit Providern. Allerdings weist die Website auch darauf hin, dass bei deaktiviertem 'Privacy Mode' Daten zur Verbesserung und zum Training genutzt werden koennen und dass Missbrauchs-/Risikopruefungen Daten voruebergehend speichern koennen.
Open-Source / Transparenz-Pfad: indirekt / nicht verfuegbar
Ein echter Open-Source-, offene-Modelle- oder self-hostbarer Gesamtpfad ist auf der Website nicht angegeben. Es gibt zwar Transparenz ueber Security, DPA und Subprozessoren sowie einen Infrastrukturpfad fuer self-hosted Agents, aber keine klare Open-Source-Dokumentation fuer das Gesamtprodukt.
Datenverarbeitung
Die dokumentierte Standardverarbeitung erfolgt als Cloud-Dienst von Cursor/Anysphere mit Verarbeitung in verschiedenen Jurisdiktionen. Auch bei Nutzung eines eigenen API-Keys laufen Requests laut Data-Use-Seite weiterhin ueber das Cursor-Backend. Bei aktiviertem 'Privacy Mode' sagt die Website zu, dass Kundendaten nicht fuer Training genutzt werden und dass bei Providern Zero Data Retention gilt; zugleich bleiben Missbrauchs-/Risikopruefungen vorbehalten. Fuer Cloud Agents gibt es einen hybriden self-hosted Pfad, bei dem Code, Tool-Ausfuehrung und Build-Artefakte in der eigenen Umgebung bleiben koennen, waehrend Planung/Inferenz ueber Cursor-Cloud laeuft.
Fazit
Fuer EU/EWR-Nutzer ist Cursor nach Website-Dokumentation nicht als eindeutig EU-residentes Standard-SaaS einzuordnen. Positiv sind DPA, Subprozessoren-Hinweis, SOC 2 Type II und ein dokumentierter No-Training-Pfad via 'Privacy Mode'. Gleichzeitig fehlen ein klar benanntes EU-/EWR-Rechenzentrum, verbindliche EU-Datenresidenz und ein vollstaendiger On-Prem-/Self-Hosting-Pfad fuer das Gesamtprodukt. Deshalb ist die DSGVO-Nutzung am ehesten bedingt vertretbar, insbesondere mit DPA und 'Privacy Mode'; fuer besonders sensible EU/EWR-Anforderungen bleibt die Dokumentation lueckenhaft.
Quellen
Stärken & Schwächen im Überblick
| Stärken | Schwächen |
|---|---|
| - Sehr starker Fokus auf agentische Softwareentwicklung statt nur Chat im Editor. | - Kein öffentlich dokumentiertes On-Prem-/Self-Hosted-Modell für den kompletten Dienst; die KI-Funktionen laufen über Cursor-Infrastruktur und Modellanbieter. |
| - Parallelisierung: Agenten können lokal, in Worktrees, in der Cloud und per Remote SSH arbeiten. | - Primäre Server stehen in den USA; damit ist Datenschutz für EU-Organisationen nicht „automatisch“ unkritisch. |
| - Spezialisiertes Tab-Modell für sehr schnelle Autovervollständigung. | - Bei deaktiviertem Privacy Mode darf Cursor Code-/Prompt-/Editor-Daten zur Verbesserung der KI-Funktionen und zum Modelltraining verwenden. |
| - Pro enthält Frontier-Modelle, MCPs, Skills, Hooks und Cloud Agents. | - Selbst bei Nutzung eines eigenen API-Keys laufen Requests laut Cursor weiterhin über das Cursor-Backend. |
| - SOC 2 Type II und öffentlich dokumentierte Security-/Privacy-Unterlagen. | - Der Free-Plan ist funktional begrenzt; Mehrverbrauch ist usage-basiert abrechenbar. |
Bewertungen
0 Bewertungen insgesamt
Für dieses Tool liegen noch keine bestätigten Bewertungen vor.
Bewertung absenden
Deine Bewertung wird erst nach der Bestätigung per E-Mail sichtbar. Damit schützen wir das Portal vor Missbrauch.
Bewertung melden
Bitte wähle den Grund aus, warum diese Bewertung geprüft werden soll.
DSGVO-konforme Nutzung möglich?
Fuer Nutzer im EU/EWR ist eine bedingt DSGVO-konforme Nutzung dokumentiert, aber nicht als einfache Standard-SaaS mit EU-Datenresidenz. Positiv sind eine veroeffentlichte Datenschutzerklaerung, ein Data Processing Addendum, eine veroeffentlichte Subprozessoren-Liste im Trust-Portal, dokumentierte Betroffenenrechte sowie ein klarer No-Training-/Zero-Data-Retention-Pfad ueber den 'Privacy Mode'. Negativ ist, dass Anysphere laut Datenschutzerklaerung personenbezogene Daten auf Servern in verschiedenen Jurisdiktionen verarbeitet, einschliesslich der USA, und fuer EEA-Nutzer Daten an US-Server oder andere Staaten ausserhalb von EEA/UK uebertragen werden koennen. Eine ausdrueckliche EU-Datenresidenz oder ein EU/EWR-Rechenzentrum fuer die SaaS-Hauptumgebung ist auf der Website nicht angegeben. Der beste dokumentierte Weg fuer mehr DSGVO-Naehe ist daher die Nutzung mit 'Privacy Mode' plus DPA; fuer Cloud Agents existiert zusaetzlich eine self-hosted Infrastruktur-Option, sie ersetzt aber nicht die gesamte Cursor-Cloud, da Inferenz und Planung weiter ueber Cursor-Cloud laufen.
Positiv
Datenschutzerklaerung vorhanden; DPA/AVV vorhanden; Subprozessoren werden ueber trust.cursor.com/subprocessors referenziert; Betroffenenrechte fuer Nutzer werden beschrieben; 'Privacy Mode' dokumentiert, inklusive 'zero data retention' bei Providern und Aussage, dass Kundendaten dann nicht fuer Training durch Cursor genutzt werden; SOC 2 Type II wird auf der Sicherheitsseite genannt; fuer Cloud Agents gibt es eine self-hosted Option in eigener Infrastruktur.
Negativ
Die Website nennt keine zugesicherte EU-/EWR-Datenresidenz fuer die Standard-SaaS. Laut Privacy Policy erfolgt Verarbeitung auf Servern in verschiedenen Jurisdiktionen, einschliesslich der USA; fuer EEA-Nutzer koennen Daten an US-Server oder andere Laender ausserhalb von EEA/UK uebertragen werden. Ein konkreter Serverstandort in der EU/im EWR, ein dediziertes EU-Rechenzentrum oder ISO-27001-Zertifizierung sind auf der Website nicht angegeben. Die Self-Hosted-Agent-Option ist nur ein Teilpfad, weil Planung/Inferenz weiterhin ueber Cursor-Cloud laeuft.
Serverstandort
Auf der Website wird kein konkreter EU-/EWR-Serverstandort genannt. In der Privacy Policy steht nur, dass personenbezogene Daten auf Servern in verschiedenen Jurisdiktionen verarbeitet werden, einschliesslich der USA, und dass fuer Nutzer im EEA Daten an US-Server oder andere Laender ausserhalb von EEA/UK uebertragen werden koennen. Eine EU-Datenresidenz ist auf der Website nicht angegeben.