# Was ist ein Webhook?
Ein Webhook kann einem KMU mehrere Stunden manuelle Datenpflege pro Woche sparen, indem er Systeme automatisch synchron hält — ohne dass jemand etwas anklicken muss. Statt regelmäßig selbst nachzuschauen, ob es Neues gibt, benachrichtigt der Webhook-Dienst deine andere Anwendung sofort, sobald etwas passiert. Das ist wie der Unterschied zwischen selbst ständig eine Website zu checken (API-Abfrage) oder automatisch eine Benachrichtigung zu bekommen (Webhook).
Kurze Antwort
Ein Webhook ist ein Mechanismus, bei dem ein Service automatisch Daten zu einer vordefinierten URL (deinem Endpoint) sendet, sobald ein bestimmtes Ereignis eintritt. Beispiel: Ein Zahlungsanbieter sendet nahezu in Echtzeit nach erfolgreichem Zahlungseingang ein Signal an dein Buchhaltungssystem. Der Webhook arbeitet innerhalb weniger Sekunden — Queue-Systeme können in Ausnahmefällen kurze Verzögerungen verursachen.
| Aspekt | Webhook | API-Abfrage |
|---|---|---|
| Wer fragt? | Der Dienst schickt aktiv (Push) | Du fragst regelmäßig (Pull) |
| Zeitnähe | Sofort/Echtzeit | Mit Verzögerung je nach Abfrage-Rhythmus |
| Rechenaufwand | Minimal (nur bei echtem Event) | Höher (ständiges Polling) |
| Komplexität | Muss einen Empfänger-Endpoint bereitstellen | Einfacher zu testen |
Definition
Ein Webhook ist ein automatisiertes HTTP-Ereignis. Sobald etwas in der Quelle-Anwendung passiert (z.B. neuer Kunde erstellt, Zahlung eingegangen, Formular abgesendet), versendet diese Anwendung sofort eine HTTP-POST-Anfrage an eine von dir definierte URL mit strukturierten Daten. Diese URL ist dein Webhook-Endpoint — sozusagen ein Briefkasten, in den der externe Dienst eine Nachricht einwirft, und deine Anwendung liest ihn und reagiert darauf.
Technisch besteht ein Webhook aus: dem Trigger (das auslösende Ereignis), der Ziel-URL (dein Endpoint), dem Payload (Daten im JSON-Format) und optional einer Authentifizierung (HMAC-Signatur für Sicherheit).
Beispiel aus der Praxis
Ein KMU nutzt HubSpot als CRM und GetResponse als E-Mail-Tool. Bisher musste ein Mitarbeiter jede neue Kontakt-Eintragung im CRM manuell auch in GetResponse duplizieren — täglich 10–15 Minuten Handarbeit.
Mit Webhook: Im HubSpot-Dashboard wird ein Webhook konfiguriert mit der Ziel-URL von GetResponse. Sobald jemand einen neuen Kontakt in HubSpot anlegt, schickt HubSpot automatisch eine POST-Anfrage an GetResponse mit Name, E-Mail, Telefon. GetResponse empfängt das Signal und erstellt den Kontakt automatisch. Der Mitarbeiter muss nichts mehr machen. Je nach Prozessvolumen können so viele Stunden manueller Datenpflege pro Jahr entfallen.
Das Gleiche funktioniert mit einem KI-Chatbot-Tool: Sobald der Chatbot eine komplexe Anfrage erhält, sendet er via Webhook eine Benachrichtigung an das CRM, damit der Sales-Manager sofort reagieren kann.
Typische Anwendungsfälle
- E-Commerce und Zahlungen: Zahlung eingegangen → automatisch Bestellbestätigung versenden und Lager aktualisieren
- CRM und Marketing: Neuer Kontakt in CRM → automatisch zu E-Mail-Liste hinzufügen und Willkommens-Automation starten
- Support und Ticketing: Neues Ticket in Helpdesk → automatisch Slack-Benachrichtigung und Eskalation
- KI-Tools und Workflows: KI-Analyse abgeschlossen → Ergebnis automatisch ins Projektmanagement-Tool
- Formulare und Lead-Generierung: Formular auf Website abgesendet → sofort ins CRM
- Zeiterfassung und Buchhaltung: Stunden eingegeben → automatisch in Rechnungssystem übernommen
- Social Media: Neue Kampagne geplant → Webhook triggert automatisch die Veröffentlichung
Webhook vs. API: Was ist der Unterschied?
Webhook und API beschreiben zwei unterschiedliche Kommunikationswege zwischen Softwaresystemen. Eine API wird aktiv angefragt — dein System fragt in regelmäßigen Abständen: “Gibt es Neuigkeiten?” Das kostet Rechenleistung, auch wenn keine Antwort kommt. Ein Webhook dreht das um: Der externe Dienst meldet sich selbst, sobald ein Ereignis passiert.
In der Praxis bedeutet das: Bei einer API-Abfrage alle 5 Minuten verpasst du Ereignisse, die dazwischen passieren — oder du fragst so oft, dass unnötige Last entsteht. Ein Webhook reagiert genau dann, wenn etwas passiert — nicht früher, nicht später.
Für KMU ist der entscheidende Unterschied der Aufwand: Viele Tools bieten Webhooks ohne eigene Programmierung an. Die Konfiguration dauert wenige Minuten.
Wann lohnt sich ein Webhook?
Lohnt sich:
- Daten müssen zwischen mehreren Tools regelmäßig synchron bleiben
- Das System erzeugt oft Änderungen (mehr als 5 pro Stunde)
- Die Verzögerung darf maximal Minuten betragen
- Manuelle Synchronisation kostet kontinuierlich Zeit
- Weniger Server-Ressourcen für Polling gewünscht
Lohnt sich nicht:
- Daten ändern sich selten (weniger als 1 pro Tag)
- Verzögerungen von mehreren Stunden sind akzeptabel
- Ein einfaches manuelles Export/Import reicht aus
- Die Zielanwendung unterstützt keine Webhooks
DSGVO-Relevanz
Webhooks übertragen oft personenbezogene Daten zwischen Systemen — Kundennamen, E-Mail-Adressen, Bestelldaten, Telefonnummern. Das hat DSGVO-Konsequenzen.
HTTPS-Verschlüsselung ist Pflicht: Webhooks müssen immer über verschlüsselte Verbindungen laufen, sonst können Dritte die Daten abfangen. Ein Webhook ohne HTTPS ist datenschutzrechtlich nicht vertretbar.
Auftragsverarbeiter-Kette prüfen: Wenn du einen Webhook zwischen zwei Cloud-Tools nutzt (z.B. HubSpot → GetResponse), musst du prüfen, ob beide Anbieter einen gültigen Auftragsverarbeitungsvertrag (AVV) mit dir haben. Falls eines der Tools US-Hosting nutzt, greifen zusätzlich das EU-US Data Privacy Framework (DPF) oder Standardvertragsklauseln (SCCs).
Datenminimierung: Schicke nur die Felder, die wirklich nötig sind. Wenn du nur eine E-Mail brauchst, sende nicht die komplette Kundenhistorie.
Signatur-Verifikation: Nutze Webhook-Signaturen (HMAC-SHA256), um sicherzustellen, dass die eingehenden Daten wirklich vom erwarteten Service kommen und nicht von einem Angreifer.
Betroffenenrechte: Die Datenübermittlung per Webhook sollte in der Datenschutzerklärung transparent beschrieben werden. Das sollte in der Datenschutzerklärung erwähnt sein.
Verwandte Begriffe
- API: Schnittstelle für die Kommunikation zwischen zwei Systemen. Webhooks und APIs nutzen meist dieselben HTTP-Technologien, arbeiten aber unterschiedlich: APIs werden aktiv abgefragt (Pull), Webhooks senden Ereignisse automatisch (Push).
- AVV (Auftragsverarbeitungsvertrag): DSGVO-Pflicht wenn der Webhook-Partner Kundendaten verarbeitet.
- Model Context Protocol (MCP): Ähnliches Konzept für KI-Tool-Integration.
- Personenbezogene Daten: Was Webhooks häufig übertragen.
- Payload: Die Daten, die der Webhook mit sich trägt (z.B. Name, E-Mail des neuen Kontakts).
- Endpoint: Die Ziel-URL, an die der Webhook Daten sendet.
- HMAC-Signatur: Sicherheitsmerkmal, das verifiziert, dass der Webhook wirklich vom erwarteten Absender kommt.
Häufige Missverständnisse
“Ein Webhook ist dasselbe wie eine API.” Falsch. Eine API ist bidirektional — du kannst fragen und Antworten bekommen. Ein Webhook ist einseitig — der Service schickt aktiv Daten, sobald ein Ereignis eintritt.
“Webhooks sind immer in Echtzeit.” Nicht ganz. Webhooks sind quasi-zeitnah, können aber je nach Netzwerk und Server um Sekunden bis Minuten verzögert sein.
“Webhooks sind schwierig abzusichern.” Nein, mit ein paar einfachen Maßnahmen (HTTPS, Signature-Verifikation, Input-Validierung) sind sie gut zu sichern.
“Webhooks ersetzen eine Integration-Plattform wie Zapier.” Webhooks sind ein Baustein. Für komplexe Multi-Step-Workflows bleiben Plattformen wie Zapier oder Make sinnvoll, da sie Fehlerbehandlung und Logging mitbringen.
Häufig gestellte Fragen
Muss ich Webhooks selbst programmieren? Nein, oft nicht. Viele Cloud-Tools (HubSpot, Zapier, Make, GetResponse) haben graphische Webhook-Konfiguration ohne Code. Nur wenn du einen eigenen Empfänger bauen willst, brauchst du etwas Programmierung.
Was passiert, wenn der Webhook-Endpoint nicht antwortet? Das variiert je nach Dienst. Manche Services warten und versuchen es später erneut (Retry-Logik), andere geben auf. Gute Webhook-Implementierungen haben eine Retry-Strategie mit exponentieller Verzögerung.
Können Angreifer Fake-Webhooks senden? Ja, wenn du keine Signatur-Verifikation nutzt. Deshalb ist HMAC-Verifikation wichtig: Der Service signiert jede Nachricht, sodass du prüfen kannst, ob sie echt ist.
Wie überwache ich Webhooks? Viele Tools haben Webhook-Logs im Dashboard mit Erfolg/Fehler-Status und Zeitstempel. Für Tests eignen sich Tools wie webhook.site.
Was kostet ein Webhook? Meist nichts extra. Die meisten SaaS-Tools wie HubSpot, Zapier oder GetResponse include Webhooks im Standard-Plan.
Brauche ich für einen Webhook eine öffentliche URL? In den meisten Fällen ja. Der sendende Dienst muss deinen Endpoint über das Internet erreichen können. Bei lokalen Entwicklungsumgebungen ohne öffentliche IP lässt sich das mit Tools wie ngrok oder einem Staging-Server lösen. Viele No-Code-Plattformen (Zapier, Make) stellen fertige Endpoints zur Verfügung — dort entfällt die Frage nach eigener URL.
Fazit
Webhooks sind eine elegante Lösung, um Systeme automatisch synchron zu halten und manuelle Datenpflege zu eliminieren. Für KMUs, die mehrere Tools nutzen, sparen Webhooks oft Stunden pro Monat. Die Einrichtung ist heute meist ohne Code möglich, und mit ein paar Sicherheits-Best-Practices (HTTPS, Signatur, AVV-Check) sind Webhooks auch datenschutzkonform. Falls deine Tools Webhooks unterstützen, lohnt sich der Blick — der ROI ist schnell erreicht.
Passende Tooltests
Weiterführende Begriffe
- Was ist eine API?
- Was ist ein AVV?
- Was sind personenbezogene Daten?
- Was ist das Model Context Protocol (MCP)?