„Build something Lovable“
Lovable ist ein KI-gestützter App- und Website-Builder, mit dem Nutzer per Chat Apps, Websites, Prototypen und digitale Produkte erstellen, iterieren und veröffentlichen können. Die Plattform kombiniert Prompting, visuelle Bearbeitung, Code-Modus, GitHub-Sync, Hosting/Deployment sowie Backend-Optionen über Lovable Cloud oder Supabase.
Lovable
Create apps and websites by chatting with AI
Standort: Schweden ⓘ Schweden / USA, je nach Betrachtung. Lovable beschreibt sich offiziell als Stockholm-basiertes Unternehmen; Vertragspartner im DPA ist Lovable Labs Incorporated, registriert in Dover, Delaware, USA. Lovable Labs Incorporated, 1111b South Governors Avenue, Dover, DE 19904, USA laut DPA. Zusätzlich existiert LOVABLE LABS UK LTD, Registered office: Lovable, Second Home, 68 Hanbury Street, London, England, E1 5JL
Business Team-orientierter Plan mit Teamfunktionen, erweiterten Kontrollen und DPA-Nutzung; geeignet für professionelle Nutzung in Organisationen. Sonstiges Enterprise Individuelles Enterprise-Angebot mit erweiterten Sicherheits-, Governance-, Support- und Datenkontrollanforderungen.
Credits / Cloud Credits Lovable nutzt Credits für KI-Agent-Prompts; Cloud-Infrastruktur wie Datenbank, Functions und Storage nutzt separate Cloud Credits.
Zielgruppe
Lovable richtet sich an Gründer, Solopreneure, Produktmanager, Designer, Marketer, Operations-Teams, Entwickler, Agenturen, Studierende und Unternehmen, die digitale Produkte schneller erstellen wollen. Besonders stark ist das Tool für Nutzer, die eine Idee, einen Workflow oder ein Interface beschreiben können, aber nicht jede technische Umsetzung selbst programmieren möchten. Gleichzeitig ist Lovable nicht nur ein reines No-Code-Tool: Durch Code Mode, GitHub-Sync, API-Integrationen, Supabase und Lovable Cloud ist es auch für technische Teams interessant, die Prototyping und Produktentwicklung beschleunigen wollen.
Herausragende Funktionen
Die zentrale Stärke liegt in der Erstellung von Apps und Websites über natürliche Sprache: Nutzer beschreiben, was gebaut werden soll, Lovable erzeugt daraus eine funktionierende Anwendung, die anschließend per Chat, Visual Edits oder Code Mode verändert werden kann. Herausragend sind außerdem die Fullstack-Fähigkeiten: Lovable kann Frontend, Backend, Authentifizierung, Datenbank, Storage und Serverless-Funktionen über Lovable Cloud oder Supabase verbinden. GitHub-Sync, Custom Domains, Publishing, Versionierung, MCP-/Tool-Connectors, API-Anbindungen und automatisierte Security Scans machen die Plattform deutlich breiter als einfache Landingpage-Builder.
Wichtigste Anwendungsfelder
Lovable eignet sich vor allem für MVPs, SaaS-Prototypen, interne Tools, Dashboards, Landingpages, Portfolio-Websites, Event-Plattformen, einfache CRM-Systeme, Webshops, Produktvalidierung, Kundenportale, Admin-Interfaces und workflow-nahe Business-Apps. Durch Integrationen mit Stripe, Shopify, GitLab, Firecrawl, Lovable Cloud, Supabase und beliebigen APIs lassen sich auch produktionsnähere Anwendungen bauen. Für stark regulierte Anwendungen, sensible personenbezogene Daten, medizinische Daten, Finanzdaten oder sicherheitskritische Systeme ist Lovable nur nach sorgfältiger Datenschutz-, Sicherheits- und Architekturprüfung geeignet.
Nutzung & Hinweise
Die typische Nutzung beginnt mit einer Beschreibung der gewünschten App oder Website. Danach erstellt Lovable einen ersten lauffähigen Entwurf, der per Chat verfeinert, visuell editiert, versioniert und veröffentlicht werden kann. Für Backend-Funktionen können Lovable Cloud oder Supabase genutzt werden; für produktive Apps sind Custom Domains, Auth, Datenhaltung, Secrets, API-Schlüssel und Rollen/Rechte sauber zu konfigurieren. Wichtig: Keine sensiblen Daten direkt in Prompts oder Projekte eingeben, API-Keys über Secrets verwalten, KI-generierten Code testen, öffentliche Projektfreigaben prüfen und Cloud-/AI-Kosten überwachen.
| Zielgruppe | Einschätzung |
|---|---|
| Privatpersonen | Geeignet – für einfache App-Ideen, Prototypen, Landingpages und erste Web-Apps ohne klassisches Coding. |
| Selbstständige / Freelancer | Sehr geeignet – für MVPs, Kundenprototypen, interne Tools, einfache SaaS-Ideen, Dashboards und schnell umsetzbare Webprojekte. |
| Startups / Gründer | Sehr geeignet – besonders für schnelle Produktvalidierung, klickbare Prototypen, MVPs und frühe App-Versionen. |
| KMU / Fachabteilungen | Geeignet bis sehr geeignet – für interne Tools, Automatisierungen, Datenbank-Apps und schnelle digitale Workflows. |
| Großunternehmen | Bedingt bis geeignet – mit Business/Enterprise wegen DPA, SSO, Rollen, Freigaben, Datenresidenz und Admin-Kontrollen besser nutzbar. |
| Entwicklerteams | Geeignet – gut für Vibe-Coding, Prototyping und Beschleunigung; für komplexe Produktionssoftware bleiben Code Review, Architektur und Security wichtig. |
Hosting & Daten
1) On-Prem / lokales Hosting
Bedeutung: Die Firma betreibt die Lösung auf eigener Hardware oder in der eigenen Infrastruktur. Im strengsten Sinn läuft dabei nicht nur die Anwendung, sondern idealerweise auch das Modell lokal.
2) Private Cloud / RZ
Bedeutung: Die Lösung läuft in einer dedizierten oder stärker abgegrenzten Cloud-Umgebung, oft bei einem Hosting-Anbieter oder Hyperscaler, aber in einem deutschen Rechenzentrum oder in einer besonders kontrollierten Umgebung.
3) EU-SaaS / Managed
Bedeutung: Der Anbieter betreibt die Lösung selbst als Dienst. Die Firma nutzt das Tool als fertigen Cloud-Service, idealerweise mit EU-Datenresidenz.
4) Hybrid
Bedeutung: Ein Teil der Verarbeitung bleibt intern / lokal / in privater Cloud, ein anderer Teil läuft in einer externen Cloud oder EU-SaaS.
5) AVV / DPA
Bedeutung: Das ist der Auftragsverarbeitungsvertrag bzw. Data Processing Addendum.
Er regelt, dass der Anbieter personenbezogene Daten im Auftrag verarbeitet und an die Weisungen des Kunden gebunden ist.
6) Kein Training
Bedeutung: Der Anbieter nutzt deine Prompts, Uploads, Anhänge, Chatverläufe oder Outputs nicht zum Training oder zur Verbesserung des allgemeinen Modells — idealerweise vertraglich ausgeschlossen.
7) Open-Source-/Transparenz-Pfad
Bedeutung: Es gibt einen Weg zu mehr technischer Transparenz und Souveränität, etwa durch:
- offene Modelle
- dokumentierte Komponenten
- self-hostbare Teile
- nachvollziehbare Architektur
- Export-/Wechselmöglichkeiten
| On-prem / local hosting | ⚠️ |
| Private cloud / data center | ⚠️ |
| EU SaaS / Managed | ✅ |
| Hybrid | ✅ |
| DPA / AVV | ✅ |
| No training on customer data | ⚠️ |
| Open source / transparency path | ⚠️ |
On-Prem / lokales Hosting: teilweise
Ein echtes On-Prem fuer die gesamte Lovable-Plattform ist auf der Website nicht angegeben. Es gibt aber einen dokumentierten Pfad, Backend und Daten ausserhalb von Lovable Cloud bzw. auf eigener Infrastruktur zu betreiben, insbesondere ueber self-hosted Supabase; die Website sagt zugleich, dass das Produktions-Frontend auf Lovable Cloud oder anderswo laufen kann.
Private Cloud / RZ: teilweise
Die Website nennt regionale Datenhaltung und Enterprise-Sicherheitsdokumentation, aber keine dedizierte private Cloud, kein kundenspezifisch abgegrenztes EU-RZ-Modell und keine explizite Single-Tenant-/Private-Cloud-Beschreibung. Daher nur teilweise.
EU-SaaS / Managed: abgedeckt
Lovable betreibt mit Lovable Cloud einen gemanagten SaaS-Dienst und nennt auf der Security-Seite EU-Regionen fuer Datenhaltung. Dort steht, dass Kundendaten in der gewaehlten Region verbleiben und nicht standardmaessig ueber Regionen verschoben werden.
Hybrid: abgedeckt
Die Dokumentation beschreibt explizit Hosting ausserhalb von Lovable Cloud fuer Teams mit Compliance- oder Data-Residency-Anforderungen. Dabei koennen Backend und Daten selbst betrieben werden, waehrend Entwicklung oder Frontend weiter ueber Lovable/GitHub/andere Deployments laufen kann. Das ist ein klarer Hybrid-Pfad.
AVV / DPA: abgedeckt
Ein DPA/AVV ist auf der Website vorhanden. Laut DPA ist er in Business- oder Enterprise-Nutzung enthalten; Lovable verarbeitet Kundendaten 'solely on behalf of and under the instructions of the Customer'.
Kein Training: teilweise
Es gibt einen dokumentierten Opt-out-Pfad. Die Security-Seite formuliert stark, dass Kundendaten nicht zum Training verwendet werden; andere Seiten praezisieren jedoch, dass Kundendaten standardmaessig fuer Modelltraining/Modellverbesserung genutzt werden koennen, bis ein Opt-out gesetzt oder angefragt wird. Fuer Business/Enterprise gibt es eine Workspace-Einstellung; fuer Free/Pro nur Support-Anfrage. Daher nicht vollstaendig, sondern teilweise.
Open-Source / Transparenz-Pfad: teilweise
Die Website bietet einen Transparenz-/Souveraenitaetspfad ueber GitHub-Sync, Code-Export, alternative Deployments und self-hosted Supabase. Zudem wird Supabase als Open-Source-Basis genannt. Open-Source-Komponenten der gesamten Lovable-Plattform oder ein vollstaendig selbst hostbares Lovable selbst sind auf den gefundenen Seiten aber nicht angegeben.
Datenverarbeitung
Die gefundene Website-Dokumentation beschreibt Lovable als gemanagte Plattform mit Lovable Cloud und regionaler Datenhaltung, einschliesslich EU-Region. Fuer strengere EU/EWR-Anforderungen gibt es einen dokumentierten Ausweichpfad: Code kann zu GitHub synchronisiert/exportiert und das Backend ueber self-hosted Supabase oder andere Infrastruktur betrieben werden. Der AVV/DPA sowie SCC-Regelungen fuer ex-EEA-Transfers sind dokumentiert. Subprozessoren werden ueber eine Subprozessoren-/Trust-Center-Struktur verwaltet. Fuer Trainingsnutzung ist die Datenlage innerhalb der Website nicht ganz spannungsfrei: Ein Opt-out ist klar dokumentiert, aber nicht jede Planstufe hat denselben Komfort.
Fazit
Aus EU/EWR-Sicht ist Lovable nach Website-Lage nicht pauschal automatisch als rundum unkomplizierte DSGVO-Standard-SaaS einzustufen, aber es gibt einen belastbaren Compliance-Pfad: EU-Region fuer Lovable Cloud, AVV/DPA, SCCs, dokumentierte Subprozessoren und ein trainingsbezogenes Opt-out. Fuer hoehere Anforderungen ist ein Hybrid-/Self-Hosting-Pfad ueber exportierten Code und self-hosted Supabase dokumentiert. Deshalb insgesamt 'bedingt'.
Quellen
- https://lovable.dev/data-processing-agreement
- https://lovable.dev/security
- https://lovable.dev/faq/account/privacy
- https://docs.lovable.dev/features/business/data-opt-out
- https://docs.lovable.dev/tips-tricks/external-deployment-hosting
- https://docs.lovable.dev/integrations/supabase
- https://docs.lovable.dev/integrations/git-integration
- https://docs.lovable.dev/features/cloud
- https://docs.lovable.dev/introduction/faq
- https://lovable.dev/es/subprocessors
| On-prem / local hosting | ⚠️ |
| Private cloud / data center | ⚠️ |
| EU SaaS / Managed | ✅ |
| Hybrid | ✅ |
| DPA / AVV | ✅ |
| No training on customer data | ⚠️ |
| Open source / transparency path | ⚠️ |
On-Prem / lokales Hosting: teilweise
Ein echtes On-Prem fuer die gesamte Lovable-Plattform ist auf der Website nicht angegeben. Es gibt aber einen dokumentierten Pfad, Backend und Daten ausserhalb von Lovable Cloud bzw. auf eigener Infrastruktur zu betreiben, insbesondere ueber self-hosted Supabase; die Website sagt zugleich, dass das Produktions-Frontend auf Lovable Cloud oder anderswo laufen kann.
Private Cloud / RZ: teilweise
Die Website nennt regionale Datenhaltung und Enterprise-Sicherheitsdokumentation, aber keine dedizierte private Cloud, kein kundenspezifisch abgegrenztes EU-RZ-Modell und keine explizite Single-Tenant-/Private-Cloud-Beschreibung. Daher nur teilweise.
EU-SaaS / Managed: abgedeckt
Lovable betreibt mit Lovable Cloud einen gemanagten SaaS-Dienst und nennt auf der Security-Seite EU-Regionen fuer Datenhaltung. Dort steht, dass Kundendaten in der gewaehlten Region verbleiben und nicht standardmaessig ueber Regionen verschoben werden.
Hybrid: abgedeckt
Die Dokumentation beschreibt explizit Hosting ausserhalb von Lovable Cloud fuer Teams mit Compliance- oder Data-Residency-Anforderungen. Dabei koennen Backend und Daten selbst betrieben werden, waehrend Entwicklung oder Frontend weiter ueber Lovable/GitHub/andere Deployments laufen kann. Das ist ein klarer Hybrid-Pfad.
AVV / DPA: abgedeckt
Ein DPA/AVV ist auf der Website vorhanden. Laut DPA ist er in Business- oder Enterprise-Nutzung enthalten; Lovable verarbeitet Kundendaten 'solely on behalf of and under the instructions of the Customer'.
Kein Training: teilweise
Es gibt einen dokumentierten Opt-out-Pfad. Die Security-Seite formuliert stark, dass Kundendaten nicht zum Training verwendet werden; andere Seiten praezisieren jedoch, dass Kundendaten standardmaessig fuer Modelltraining/Modellverbesserung genutzt werden koennen, bis ein Opt-out gesetzt oder angefragt wird. Fuer Business/Enterprise gibt es eine Workspace-Einstellung; fuer Free/Pro nur Support-Anfrage. Daher nicht vollstaendig, sondern teilweise.
Open-Source / Transparenz-Pfad: teilweise
Die Website bietet einen Transparenz-/Souveraenitaetspfad ueber GitHub-Sync, Code-Export, alternative Deployments und self-hosted Supabase. Zudem wird Supabase als Open-Source-Basis genannt. Open-Source-Komponenten der gesamten Lovable-Plattform oder ein vollstaendig selbst hostbares Lovable selbst sind auf den gefundenen Seiten aber nicht angegeben.
Datenverarbeitung
Die gefundene Website-Dokumentation beschreibt Lovable als gemanagte Plattform mit Lovable Cloud und regionaler Datenhaltung, einschliesslich EU-Region. Fuer strengere EU/EWR-Anforderungen gibt es einen dokumentierten Ausweichpfad: Code kann zu GitHub synchronisiert/exportiert und das Backend ueber self-hosted Supabase oder andere Infrastruktur betrieben werden. Der AVV/DPA sowie SCC-Regelungen fuer ex-EEA-Transfers sind dokumentiert. Subprozessoren werden ueber eine Subprozessoren-/Trust-Center-Struktur verwaltet. Fuer Trainingsnutzung ist die Datenlage innerhalb der Website nicht ganz spannungsfrei: Ein Opt-out ist klar dokumentiert, aber nicht jede Planstufe hat denselben Komfort.
Fazit
Aus EU/EWR-Sicht ist Lovable nach Website-Lage nicht pauschal automatisch als rundum unkomplizierte DSGVO-Standard-SaaS einzustufen, aber es gibt einen belastbaren Compliance-Pfad: EU-Region fuer Lovable Cloud, AVV/DPA, SCCs, dokumentierte Subprozessoren und ein trainingsbezogenes Opt-out. Fuer hoehere Anforderungen ist ein Hybrid-/Self-Hosting-Pfad ueber exportierten Code und self-hosted Supabase dokumentiert. Deshalb insgesamt 'bedingt'.
Quellen
- https://lovable.dev/data-processing-agreement
- https://lovable.dev/security
- https://lovable.dev/faq/account/privacy
- https://docs.lovable.dev/features/business/data-opt-out
- https://docs.lovable.dev/tips-tricks/external-deployment-hosting
- https://docs.lovable.dev/integrations/supabase
- https://docs.lovable.dev/integrations/git-integration
- https://docs.lovable.dev/features/cloud
- https://docs.lovable.dev/introduction/faq
- https://lovable.dev/es/subprocessors
Stärken & Schwächen im Überblick
| Stärken | Schwächen |
|---|---|
| • Sehr schneller Weg von Idee zu klickbarem Prototyp oder produktionsnaher App. | • KI-generierter Code/Output muss geprüft und getestet werden; Lovable weist selbst darauf hin, dass AI Output Fehler enthalten kann. |
| • Für Nicht-Entwickler nutzbar, aber mit Code Mode/GitHub auch für Entwickler anschlussfähig. | • Preislogik ist komplex: Workspace-Credits, Cloud-Kosten und AI-Laufzeitkosten sind getrennt. |
| • Fullstack-Funktionen über Lovable Cloud oder Supabase inklusive Auth, Datenbank, Storage und Edge Functions. | • Cloud/AI-Nutzung kann zusätzlich zum Abo anfallen; wenn Cloud-Guthaben leer ist, kann die App stoppen. |
| • App-, Chat- und API-Connectors, u. a. Stripe, Shopify, GitLab, Firecrawl, Linear, Notion, Jira/Atlassian und Miro. | • Bestehende externe Codebases können laut FAQ nicht direkt als Startpunkt importiert werden. |
| • Custom Domains, Publishing, Visual Edits, Versionierung und Security Scanning. | • Sensible Daten, insbesondere PHI/HIPAA und andere sensible Kategorien, sollen nicht hochgeladen werden. |
| • Datenschutz/Compliance hängt stark von Konfiguration, Drittanbietern, Modellnutzung und Datenarten ab. |
Bewertungen
0 Bewertungen insgesamt
Für dieses Tool liegen noch keine bestätigten Bewertungen vor.
Bewertung absenden
Deine Bewertung wird erst nach der Bestätigung per E-Mail sichtbar. Damit schützen wir das Portal vor Missbrauch.
Bewertung melden
Bitte wähle den Grund aus, warum diese Bewertung geprüft werden soll.
DSGVO-konforme Nutzung möglich?
Fuer den EU/EWR-Raum gibt es auf der Website mehrere klar positive Signale: Lovable stellt einen AVV/DPA bereit, verweist ausdruecklich auf EU GDPR/UK GDPR, nennt SCCs fuer Drittlandtransfers, bietet laut Security-Seite regionale Datenhaltung in der EU an und dokumentiert einen Opt-out-Pfad fuer KI-Training. Gleichzeitig ist die DSGVO-konforme Nutzung nicht in jeder Standardkonfiguration automatisch eindeutig: Die Website beschreibt, dass Kundendaten standardmaessig fuer Modellverbesserung genutzt werden koennen, solange kein Opt-out gesetzt bzw. angefragt wird; zudem bleiben internationale Transfers und der Einsatz von Subprozessoren relevant. Daher ist eine DSGVO-konforme Nutzung im EU/EWR nach Website-Lage moeglich, aber nur unter bestimmten Voraussetzungen und sauberer Konfiguration.
Positiv
Positiv belegt sind: AVV/DPA fuer Business- und Enterprise-Kunden; ausdrueckliche Bezugnahme auf EU GDPR, UK GDPR und SCCs; EU-Datenresidenz in Lovable Cloud mit regionaler Datenhaltung in EU, USA und Australien; dokumentierte Subprozessoren-Verwaltung; Zertifizierungen bzw. Nachweise zu ISO 27001:2022 und SOC 2 Type II; sowie ein dokumentierter Opt-out fuer trainingsbezogene Datennutzung.
Negativ
Einschraenkend ist, dass die Website auch festhaelt, dass Kundendaten fuer Modelltraining bzw. Modellverbesserung genutzt werden koennen, sofern kein Opt-out greift. Der einfache, vertraglich klar eingebundene Weg ist vor allem fuer Business/Enterprise dokumentiert; fuer Free/Pro ist laut Dokumentation ein Opt-out nur per Support-Anfrage beschrieben. Zudem sind internationale Datentransfers nicht ausgeschlossen, sondern ueber SCCs und weitere Mechanismen abgesichert. Ein vollstaendig lokaler Betrieb der gesamten Lovable-Plattform auf eigener Infrastruktur ist auf der Website nicht als natives Produktmodell beschrieben.
Serverstandort
Auf der Website wird fuer Lovable Cloud 'regional data hosting in the EU, US, and Australia' genannt; Kundendaten sollen in der gewaehlten Region verbleiben. Konkrete EU-Land- oder Rechenzentrumsstandorte werden auf den gefundenen Seiten nicht angegeben.