Adobe Firefly Datenschutz: DSGVO-Konformität für deutsche Unternehmen
Ist Adobe Firefly DSGVO-konform für Unternehmen in Deutschland?
Adobe Firefly ist DSGVO-konform nutzbar mit Enterprise-AVV, SCCs fuer US-Datentransfers und internen Regeln fuer Prompt- und Upload-Inhalte. Ohne vertragliche Grundlage ist Firefly fuer professionelle Workflows mit personenbezogenen Daten nicht geeignet.
- Adobe stellt einen AVV als Bestandteil von Creative Cloud fuer Enterprise bereit — er muss vor der Verarbeitung personenbezogener Daten aktiviert sein.
- Adobe erklaert, dass Enterprise-Kundeninhalte nicht fuer Firefly-KI-Training verwendet werden — dies sollte planspezifisch verifiziert werden.
- Daten werden primaer auf US-Servern verarbeitet und durch SCCs abgesichert — bei strikten EU-Anforderungen Datenspeicherung schriftlich bestaetigen.
Adobe Firefly ist für deutsche Unternehmen DSGVO-konform nutzbar — aber nur mit einem gültigen Auftragsverarbeitungsvertrag (AVV), angemessenen Datentransfermechanismen und klaren internen Regeln dafür, welche Daten in Firefly-Prompts und -Uploads einfliessen dürfen. Für die Praxis bedeutet das: Vor dem Einsatz von Firefly in Workflows, die personenbezogene Daten verarbeiten, muss ein Enterprise-Vertrag mit AVV vorliegen. Fehlt diese vertragliche Grundlage, ist Adobe Firefly für den professionellen Einsatz unter der DSGVO nicht geeignet. Eine Übersicht zu KI-Tools für den deutschen Markt finden Sie in unserem KI-Tools-Guide.
Gibt es einen AVV für Adobe Firefly?
Ja. Adobe stellt einen Auftragsverarbeitungsvertrag (AVV) — den nach Art. 28 DSGVO erforderlichen Vertrag zwischen Verantwortlichem und Auftragsverarbeiter — als Bestandteil von Creative Cloud für Enterprise sowie bestimmten Business-Plänen bereit.
Der AVV regelt:
- Gegenstand und Dauer der Verarbeitung,
- Art und Zweck der Verarbeitung durch Adobe Firefly und verbundene Creative-Cloud-Dienste,
- die Kategorien personenbezogener Daten,
- Pflichten und Rechte des Verantwortlichen (Ihres Unternehmens),
- sowie Adobes Pflichten einschliesslich technischer und organisatorischer Massnahmen, Unterauftragsverarbeiterverwaltung und Meldepflichten bei Datenpannen.
Deutsche Unternehmen sollten prüfen:
- ob der AVV für das konkrete Adobe-Konto und den genutzten Plan aktiv akzeptiert oder abgeschlossen wurde,
- ob der AVV Adobe-Firefly-Funktionen und KI-Features von Creative Cloud ausdrücklich abdeckt,
- ob unternehmensspezifische Zusatzdokumente — z. B. für Datenspeicherung oder erweiterte Sicherheitsstandards — ebenfalls vorliegen,
- und ob der AVV zu den Kategorien personenbezogener Daten passt, die tatsächlich durch Firefly verarbeitet werden.
Kostenlose und individuelle Adobe-Accounts werden von einem Enterprise-AVV nicht erfasst. Nutzen Mitarbeiter private Adobe-Konten für arbeitsbezogene Aufgaben mit personenbezogenen Daten, stellt das eine Compliance-Lücke dar, die im Rahmen der IT- und Datenschutzrichtlinie geschlossen werden sollte.
Einen Vergleich der AVV-Verfügbarkeit bei KI-Design-Tools finden Sie in unseren Guides zu Canva Datenschutz und KI-Bildgenerierung Compliance.
Welche Daten verarbeitet Adobe Firefly?
Um das DSGVO-Risiko richtig einzuschätzen, müssen Unternehmen verstehen, welche Daten in Firefly einfliessen und unter welchen Bedingungen.
Adobe Firefly verarbeitet:
- Textprompts der Nutzer, die personenbezogene Daten, vertrauliche Geschäftsinformationen oder sensible Inhalte enthalten können,
- Referenzbilder und hochgeladene Dateien, die für Stilübertragungen, Inpainting oder Generative-Fill-Vorgänge verwendet werden,
- In Adobe Express, Photoshop, Illustrator und weiteren Creative-Cloud-Anwendungen erstellte Inhalte, die Firefly im Hintergrund nutzen,
- Konto- und Nutzungsmetadaten, die mit der Adobe-Nutzeridentität verknüpft sind.
Die zentrale Compliance-Frage lautet: Welche personenbezogenen Daten gelangen über diese Eingaben in Firefly? Typische Risikoszenarien sind:
- Marketing-Teams, die Kundenfotografien oder Porträtbilder als Referenzbilder hochladen,
- HR-Teams, die Firefly für die Verarbeitung von Mitarbeiterfotos oder Abbildungen identifizierbarer Personen nutzen,
- Prompts, die Namen, Personenbeschreibungen oder andere personenbezogene Identifikatoren enthalten,
- Design-Workflows, die Firefly mit CRM-, DAM- oder PIM-Systemen verknüpfen, in denen personenbezogene Daten gespeichert sind.
In all diesen Szenarien handelt es sich bei den in Firefly eingespeisten Daten um personenbezogene Daten im Sinne von Art. 4 DSGVO. Der AVV muss diese Verarbeitung abdecken, und interne Richtlinien müssen definieren, welche Datenkategorien in Prompts und Uploads zulässig sind.
Datenspeicherung und EU-Hosting
Adobes Infrastruktur ist primär in den USA angesiedelt. Für die meisten Enterprise- und Business-Accounts werden personenbezogene Daten, die durch Adobe Firefly verarbeitet werden — einschliesslich Prompt-Eingaben und generierter Outputs — auf Adobes US-Infrastruktur verarbeitet.
Internationale Datentransfers aus der EU in die USA sind durch Standardvertragsklauseln (SCCs) abgedeckt, die im Adobe-AVV enthalten sind. SCCs sind ein nach DSGVO anerkannter Transfermechanismus, aber Unternehmen sollten zusätzlich ein Transfer Impact Assessment (TIA) durchführen oder bestätigen, da US-basierte Datenverarbeitung rechtlich weiterhin im Fokus der Datenschutzbehörden steht — insbesondere aus Sicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
| Konfiguration | Verarbeitungsort | Transfermechanismus |
|---|---|---|
| Standard Enterprise | USA (primär) | Standardvertragsklauseln (SCCs) |
| Enterprise mit Residency-Option | EU-basiert (wenn konfiguriert) | SCCs für verbleibende US-Transfers |
EU-Datenspeicherung ist kein Standardmerkmal aller Enterprise-Kunden. Unternehmen mit strengen Anforderungen, dass Daten ausschliesslich im EWR verbleiben — häufig in regulierten Branchen wie Finanzdienstleistungen oder Gesundheitswesen — sollten:
- prüfen, ob ihr Adobe-Plan EU-Datenspeicherung unterstützt,
- eine schriftliche Bestätigung der Datenspeicherkonfiguration von Adobe einholen,
- sicherstellen, dass Firefly-spezifische Verarbeitung durch eine eventuelle Residency-Option abgedeckt ist,
- und überprüfen, ob Unterauftragsverarbeiter für KI-Inferenz im EU-Raum oder andernorts tätig sind.
Adobe Firefly und Art. 28 DSGVO
Art. 28 DSGVO verlangt, dass bei der Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter ein verbindlicher Vertrag abgeschlossen wird. Adobes AVV ist darauf ausgelegt, diese Anforderung zu erfüllen.
Für deutsche Unternehmen sollte die Art.-28-Prüfung insbesondere folgende Punkte umfassen:
- Gegenstand und Dauer: Legt der AVV fest, was Firefly mit personenbezogenen Daten macht und für wie lange?
- Weisungsgebundenheit: Ist sichergestellt, dass Adobe Daten nur auf dokumentierte Weisungen des Verantwortlichen verarbeitet?
- Sicherheit: Welche technischen und organisatorischen Massnahmen setzt Adobe um? Sind diese für die Sensibilität der verarbeiteten Daten angemessen?
- Unterauftragsverarbeiter: Wie informiert Adobe über Änderungen der Unterauftragsverarbeiterliste, und besteht ein Widerspruchsmechanismus?
- Unterstützung bei Betroffenenrechten: Verpflichtet sich Adobe, Auskunfts-, Löschungs- und Portabilitätsanfragen zu unterstützen?
- Rückgabe und Löschung: Was passiert mit personenbezogenen Daten nach Vertragsende — wird die Löschung schriftlich bestätigt?
Können diese Fragen nicht aus dem AVV-Text beantwortet werden, besteht eine Compliance-Lücke, die vor dem Einsatz von Firefly für Workflows mit personenbezogenen Daten geschlossen werden muss.
Besondere Risiken generativer KI-Tools
Neben dem klassischen AVV-Rahmen bringt Adobe Firefly als generatives KI-Tool spezifische Risiken mit sich, die eine gesonderte Prüfung erfordern.
KI-Trainingsdaten und Content-Nutzung
Adobe erklärt öffentlich, dass Adobe Firefly ausschliesslich mit lizenzierten Inhalten, Adobe-Stock-Materialien und gemeinfreien Werken trainiert wurde — nicht mit von Nutzern hochgeladenen Inhalten. Für Enterprise-Kunden erklärt Adobe zusätzlich, dass Kundeninhalte nicht für das Training von Firefly KI-Modellen verwendet werden.
Für deutsche Unternehmen bedeutet das:
- das Risiko sinkt, dass Prompts oder Outputs in ein gemeinsames Trainingskorpus einfliessen,
- vertrauliche Design-Briefings, Marken-Assets und personenbezogene Daten in Firefly sollten nicht in Adobes KI-Entwicklung einfliessen,
- Unternehmen sollten dennoch überprüfen, ob diese Einstellung für ihren konkreten Plan und Account aktiv ist, da Adobes Konditionen sich je nach Produktstufe unterscheiden können.
Betriebsrat und Mitbestimmung
Deutsche Unternehmen, die Adobe Firefly unternehmensweit einsetzen, können Mitbestimmungspflichten nach § 87 Abs. 1 Nr. 6 BetrVG auslösen. Wenn Firefly Nutzungsanalysen erstellt, individuelle Nutzeraktivitäten erfasst oder in leistungsrelevante Workflows integriert wird, kann eine Betriebsratsanhörung vor dem Rollout erforderlich sein.
Konkret: Wenn die Unternehmensanalyse-Funktionen von Adobe Creative Cloud individuelle Mitarbeiteraktivitäten offenlegen — etwa Kreativzeiten, generierte Dateien oder Tool-Nutzung — müssen diese Funktionen auf arbeitsrechtliche Pflichten geprüft werden, bevor der flächendeckende Einsatz erfolgt.
EU AI Act
Adobe Firefly als KI-Modell mit allgemeinem Verwendungszweck für kreative Inhalte fällt für die meisten Standardanwendungen nicht in die Hochrisikokategorien des EU AI Acts. Deutsche Unternehmen, die Firefly für automatisierte Produktgestaltung, grosskalibrierte Werbeinhaltsgenerierung oder synthetische Bildproduktion in regulierten Branchen nutzen, sollten den konkreten Use Case in ihrem internen KI-Governance-Register dokumentieren und prüfen, ob nachgelagerte Anwendungen Hochrisiko-KI-Systempflichten begründen.
Weitere Informationen zu generativer KI und dem EU AI Act finden Sie in unserem AI-Act-Hub.
Checkliste: Adobe Firefly Datenschutz-Prüfung
Eine praxistaugliche DSGVO-Prüfung für Adobe Firefly sollte folgende Punkte umfassen:
- AVV-Deckung bestätigen. Prüfen Sie, ob Ihr Adobe-Enterprise-Vertrag einen signierten AVV enthält, der Creative-Cloud-KI-Funktionen ausdrücklich abdeckt.
- Datenflüsse kartieren. Identifizieren Sie alle Workflows, in denen Firefly personenbezogene Daten erhält — über Prompts, Uploads oder verknüpfte Integrationen.
- Transfermechanismen prüfen. Bestätigen Sie, dass SCCs für US-Datentransfers vorliegen. Erwägen Sie ein Transfer Impact Assessment für sensible Datenkategorien.
- KI-Trainingseinstellungen verifizieren. Stellen Sie sicher, dass Enterprise-Inhalte für Ihren Plan vom Firefly-Modelltraining ausgeschlossen sind.
- Unterauftragsverarbeiter prüfen. Überprüfen Sie Adobes Unterauftragsverarbeiterliste auf KI-Inferenz- und Cloud-Infrastruktur-Anbieter.
- Datenspeicherort klären. Falls eine EU-exklusive Datenspeicherung erforderlich ist, verifizieren Sie, ob und wie diese aktiviert ist.
- Art.-30-Verzeichnis aktualisieren. Dokumentieren Sie Adobe Firefly als Verarbeitungstätigkeit in Ihrem Verarbeitungsverzeichnis nach Art. 30 DSGVO.
- DSFA prüfen. Falls Firefly sensible Datenkategorien verarbeitet oder in risikoreichen kreativen Kontexten eingesetzt wird, kann eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein.
- Prompt-Richtlinien festlegen. Definieren Sie, welche personenbezogenen Daten in Firefly-Prompts und -Referenz-Uploads zulässig oder unzulässig sind.
- BetrVG-Pflichten prüfen. Wenn der Firefly-Einsatz individuelle Nutzungsanalysen ermöglicht, ist der Betriebsrat vor dem Rollout einzubeziehen.
FAQ
Ist Adobe Firefly DSGVO-konform?
Adobe Firefly kann für deutsche Unternehmen DSGVO-konform eingesetzt werden, wenn ein Enterprise-AVV, SCCs für US-Datentransfers und Kontrollen für Prompt-Inhalte vorliegen. Ohne einen Enterprise-Vertrag mit AVV ist Firefly nicht für professionelle Verarbeitungen personenbezogener Daten geeignet.
Gibt es einen AVV (Auftragsverarbeitungsvertrag) für Adobe Firefly?
Ja. Adobe stellt einen AVV als Bestandteil von Creative Cloud für Enterprise bereit. Er regelt Adobes Rolle als Auftragsverarbeiter nach Art. 28 DSGVO. Kostenlose und individuelle Accounts sind nicht durch einen AVV abgedeckt.
Ist Adobe Firefly DSGVO-konform für Unternehmen in Deutschland?
Ja, sofern ein gültiger Enterprise-AVV, SCCs für US-Transfers, eine Prüfung der Unterauftragsverarbeiter und interne Prompt-Richtlinien vorliegen. Eine automatische DSGVO-Konformität besteht nicht — die vertraglichen und organisatorischen Massnahmen müssen aktiv umgesetzt werden.
Nutzt Adobe meine Inhalte zum Training der KI?
Für Enterprise- und Business-Kunden erklärt Adobe, dass Kundeninhalte nicht für das Training von Adobe Firefly verwendet werden. Für kostenlose Accounts können andere Bedingungen gelten. Es empfiehlt sich, die aktuellen planbezogenen Konditionen zu überprüfen.
Wo werden Daten bei Adobe Firefly gespeichert?
Die Verarbeitung erfolgt primär auf US-Infrastruktur, die durch Standardvertragsklauseln (SCCs) im Adobe-AVV abgesichert ist. EU-Datenspeicherungsoptionen sind für bestimmte Enterprise-Konfigurationen verfügbar, müssen aber aktiv beantragt und bestätigt werden.
Rechtliche Beratung zu Adobe Firefly
Compound Law unterstützt Unternehmen in Deutschland bei der DSGVO-Prüfung von KI-Tools wie Adobe Firefly — von der AVV-Prüfung und Datentransferabsicherung bis hin zu internen Prompt-Richtlinien und Betriebsratsfragen. Diese Seite gibt allgemeine Informationen und ersetzt keine Rechtsberatung im Einzelfall. Kontaktieren Sie uns, um Ihre konkrete Situation zu besprechen.
