Kostenlos beraten
Airtable DSGVO und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Airtable DSGVO: Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Ja, Airtable stellt einen Auftragsverarbeitungsvertrag (AVV) bereit — dieser ist jedoch ausschließlich für den Airtable Enterprise-Plan verfügbar. Für deutsche Unternehmen, die Airtable unter der DSGVO einsetzen möchten, reicht die bloße Existenz eines AVV nicht aus: Datenspeicherorte, KI-Datenflüsse und Betriebsratsrechte müssen ebenfalls geprüft werden.

Was ist Airtable AI?

Airtable ist eine cloudbasierte Datenbank- und Projektmanagement-Plattform mit Hauptsitz in den USA. Sie verbindet tabellenbasiertes Datenmanagement mit relationalen Datenbankfunktionen und wurde um Airtable AI erweitert — eine Reihe KI-gestützter Funktionen, die direkt in die Plattform integriert sind. Dazu gehören feldbasierte KI-Aktionen wie Textzusammenfassungen, Datensatzklassifizierung, Sentimentanalyse und die Extraktion von Informationen aus unstrukturierten Inhalten.

Da Airtable Geschäfts- und Betriebsdaten — darunter häufig Mitarbeiterinformationen, Kundendaten und Projektdaten — im Auftrag von Unternehmen verarbeitet, ist es als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO einzustufen. Vor jeder beruflichen Nutzung, bei der personenbezogene Daten verarbeitet werden, ist der Abschluss eines Auftragsverarbeitungsvertrags zwingend erforderlich.

Ist Airtable DSGVO-konform?

Airtable kann auf dem Enterprise-Plan mit der richtigen vertraglichen und technischen Absicherung DSGVO-konform betrieben werden. Nutzerinnen und Nutzer der Business-, Pro- und Free-Pläne sind nicht durch einen AVV abgedeckt und sollten Airtable nicht für die berufliche Verarbeitung personenbezogener Daten einsetzen.

Wesentliche Punkte für deutsche Unternehmen:

  • AVV-Verfügbarkeit: Airtable stellt einen Auftragsverarbeitungsvertrag für Enterprise-Kunden bereit. Günstigere Pläne (Business, Pro, Free) beinhalten keine AVV-Abdeckung.
  • KI-Trainingsdaten: Airtable erklärt, dass Kundendaten nicht für das Training eigener KI-Modelle verwendet werden. Da sich KI-Trainingspolicys bei Produktupdates ändern können, sollten die aktuellen Bedingungen regelmäßig geprüft werden.
  • Datenspeicherort: Airtable verarbeitet Daten auf Infrastruktur in den USA. Enterprise-Kunden können spezifische Datenschutzvereinbarungen mit Airtable verhandeln — Details sollten direkt mit dem Airtable-Vertrieb abgeklärt werden.
  • Unterauftragsverarbeiter: Airtable führt eine veröffentlichte Liste von Unterauftragsverarbeitern, die Infrastrukturanbieter und KI-Modell-APIs für Airtable-AI-Funktionen umfasst.
  • Standardvertragsklauseln: Der AVV enthält Standardvertragsklauseln (SCC) für Datentransfers aus der EU/dem EWR in die USA.
  • EU-US-Datenschutzrahmen: Airtable nimmt am EU-US Data Privacy Framework (DPF) teil, das als zusätzlicher Transfermechanismus für Datentransfers in die USA dient.

Hat Airtable einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Airtable stellt für Enterprise-Kunden einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO bereit. Dieser deckt die Verarbeitung personenbezogener Daten durch Airtable im Auftrag des Unternehmens ab — einschließlich der Verarbeitung über Airtable-AI-Funktionen.

Für deutsche Unternehmen ist der AVV ein notwendiger, aber nicht ausreichender Ausgangspunkt. Darüber hinaus sind folgende Schritte erforderlich:

  1. Sicherstellen, dass Standardvertragsklauseln für Datentransfers an Airtable (USA) und an US-amerikanische Unterauftragsverarbeiter vorliegen.
  2. Das Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO um Airtable und seine Unterauftragsverarbeiter ergänzen.
  3. Eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn Airtable für die Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO) oder einer großen Anzahl von betroffenen Personen eingesetzt wird.
  4. Änderungsbenachrichtigungen zu Unterauftragsverarbeitern im Blick behalten — Enterprise-AVVs umfassen in der Regel Benachrichtigungsrechte bei der Hinzufügung neuer Unterauftragsverarbeiter.

Zum Vergleich: Monday.com und DSGVO bietet einen ähnlichen Ansatz für Projektmanagement-Tools mit Enterprise-AVV-Abdeckung; Notion und DSGVO behandelt datenbankähnliche Kollaborationstools.

Airtable-AI-Funktionen und DSGVO

Die KI-Funktionen von Airtable stellen datenschutzrechtliche Anforderungen, die über den normalen Datenbankbetrieb hinausgehen:

Feldbasierte KI-Aktionen (Zusammenfassung, Klassifizierung, Extraktion) verarbeiten den Inhalt von Datensätzen — darunter möglicherweise Namen, Kontaktdaten, Projektbeschreibungen oder andere personenbezogene Daten — über die KI-Infrastruktur von Airtable. Für Enterprise-Konten bestätigt Airtable, dass diese Inhalte nicht für das Modelltraining verwendet werden.

KI-generierte Inhalte auf Basis von Nutzereingaben können auch Drittanbieter-Modell-APIs als Unterauftragsverarbeiter einbeziehen. Prüfen Sie die aktuelle Unterauftragsverarbeiter-Liste von Airtable, um zu ermitteln, welche KI-Anbieter bei aktivierten AI-Funktionen involviert sind.

Automatisierte Datensatzverarbeitung: Airtable ermöglicht es, KI-Aktionen über Automatisierungen auszulösen. Wenn diese Automatisierungen personenbezogene Daten ohne menschliche Überprüfung verarbeiten, ist zu prüfen, ob dies eine automatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO darstellt und welche Rechte der betroffenen Personen dabei zu berücksichtigen sind.

Wo speichert Airtable Daten?

Airtable verarbeitet und speichert Daten auf Infrastruktur, die sich primär in den USA befindet. Eine standardmäßige EU-Datenlokalisierung ist nicht verfügbar — anders als bei einigen Anbietern wie Microsoft 365 oder Salesforce, die EU-Datenzentren als Standard- oder Enterprise-Option bereitstellen.

Enterprise-Kunden können spezifische Datenverarbeitungsvereinbarungen direkt mit Airtable verhandeln. Die Konditionen und Verfügbarkeit solcher Vereinbarungen sollten im Rahmen der Beschaffungsphase mit dem Airtable-Vertrieb abgeklärt werden.

Für den Transfer personenbezogener Daten aus der EU an Airtables US-Infrastruktur stehen zwei Transfermechanismen zur Verfügung:

TransfermechanismusBeschreibungAirtable-Status
Standardvertragsklauseln (SCC)EU-genehmigte Vertragsklauseln für Drittlandtransfers gemäß Kapitel V DSGVOIm Enterprise-AVV enthalten
EU-US-Datenschutzrahmen (DPF)Angemessenheitsbasierter Transferrahmen für zertifizierte US-AuftragsverarbeiterAirtable nimmt teil

Unternehmen in regulierten Branchen — Finanzdienstleistungen, Gesundheitswesen, öffentlicher Sektor — sollten prüfen, ob sektorspezifische Anforderungen an die Datenlokalisierung über die DSGVO-Standardanforderungen hinausgehen und ob Airtables Infrastrukturmodell damit vereinbar ist.

Airtable AI: Welche Unterauftragsverarbeiter sind beteiligt?

Wenn Airtable-AI-Funktionen aktiviert sind, können personenbezogene Daten aus Datensatzeingaben an Drittanbieter-KI-Modell-APIs weitergegeben werden. Airtable führt eine öffentlich zugängliche Liste seiner Unterauftragsverarbeiter. Zu den typischen Kategorien gehören:

  • KI-Modell-APIs: Externe KI-Anbieter (darunter OpenAI) für feldbasierte KI-Aktionen wie Textzusammenfassung, Klassifizierung und Sentimentanalyse
  • Cloud-Infrastruktur: AWS und Google Cloud Platform für Speicher- und Recheninfrastruktur

Für den Einsatz in deutschen Unternehmen bedeutet dies:

  1. Die aktuelle Unterauftragsverarbeiter-Liste von Airtable vor der Einführung prüfen.
  2. Änderungsbenachrichtigungen über das Enterprise-Konto aktivieren.
  3. Alle relevanten Unterauftragsverarbeiter in das Verarbeitungsverzeichnis aufnehmen.
  4. Sicherstellen, dass die SCC-Ketten auch die Unterauftragsverarbeiter abdecken — nicht nur Airtable selbst.

Da sich die Liste der KI-Unterauftragsverarbeiter mit der Produktentwicklung ändern kann, empfiehlt sich eine jährliche Überprüfung.

Brauche ich eine Datenschutz-Folgenabschätzung (DSFA) für Airtable?

Eine Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DSGVO ist erforderlich, wenn die geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Für Airtable-Deployments ist eine DSFA in folgenden Szenarien wahrscheinlich erforderlich:

  • KI-Verarbeitung personenbezogener Daten: Einsatz von Airtable-AI-Funktionen auf Datensätzen mit personenbezogenen Daten
  • Großangelegte HR-Datenverarbeitung: Nutzung von Airtable für unternehmensweite Mitarbeiterdaten, Gehaltsabrechnung oder Personalakten
  • Verarbeitung besonderer Kategorien: Datensätze mit Gesundheitsdaten, Gewerkschaftszugehörigkeit oder anderen Kategorien nach Artikel 9 DSGVO
  • US-Datentransfer mit sensiblen Daten: Kombination aus Drittlandtransfer und besonders risikobehafteter Verarbeitungsart

Für Standard-Betriebsdatenbanken ohne sensible Datenkategorien ist eine DSFA typischerweise nicht zwingend erforderlich. Es empfiehlt sich jedoch, die Entscheidung über die DSFA-Pflicht schriftlich zu dokumentieren — unabhängig davon, ob eine DSFA durchgeführt wird oder nicht. Die Prüfung sollte vor dem Go-live erfolgen, nicht danach.

Airtable und Betriebsrat: Was muss beachtet werden?

In Deutschland hat der Betriebsrat nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) ein Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmerinnen und Arbeitnehmer zu überwachen — auch wenn die Überwachung nicht der Hauptzweck des Systems ist.

Airtable wird häufig für Zwecke eingesetzt, die dieses Mitbestimmungsrecht auslösen können:

  • Aufgabenverwaltung: Erfassung, welcher Mitarbeitende welche Aufgabe wann abgeschlossen hat
  • Projekttracking: Verknüpfung von Arbeitsleistung und Fertigstellungsraten mit einzelnen Teammitgliedern
  • HR-Prozesse: Onboarding-Checklisten, Abwesenheitserfassung oder Rollenentwicklung in Airtable-Bases
  • Leistungsreporting: Dashboards oder Views, die mitarbeiterbezogene Kennzahlen aggregieren

Entscheidend ist dabei nicht, ob das Unternehmen eine Überwachung beabsichtigt, sondern ob das System technisch dazu in der Lage ist, Einblicke in das Verhalten oder die Leistung einzelner Mitarbeitender zu ermöglichen. Airtables flexible Base- und View-Struktur erfüllt diese technische Schwelle in vielen betrieblichen Einsatzszenarien.

Eine frühzeitige Einbindung des Betriebsrats — idealerweise vor der Lieferantenauswahl — ist empfehlenswert. Als Ergebnis dieses Prozesses ist häufig eine Betriebsvereinbarung abzuschließen, die zulässige Anwendungsfälle, Zugriffsberechtigungen, Aufbewahrungsfristen und verbotene Einsatzszenarien regelt.

Fazit und Handlungsempfehlungen

Für deutsche Betriebs- und Projektteams ist Airtable Enterprise mit der richtigen Vorbereitung DSGVO-konform einsetzbar. Der AVV ist verfügbar, der Ausschluss von KI-Trainingsdaten gilt für Enterprise-Konten, und Unterauftragsverarbeiter sind dokumentiert. Die wesentlichen Compliance-Schritte entsprechen denen anderer US-amerikanischer Cloud-Dienste mit KI-Funktionen.

Günstigere Airtable-Pläne (Business, Pro, Free) sind für keine berufliche Nutzung mit personenbezogenen Daten geeignet — ein AVV fehlt und kann nicht durch interne Maßnahmen ersetzt werden.

Handlungsempfehlungen für Enterprise-Kunden:

  1. AVV abschließen und Standardvertragsklauseln für US-Datentransfers sicherstellen
  2. Unterauftragsverarbeiter-Liste prüfen und Änderungsbenachrichtigungen aktivieren
  3. Verarbeitungsverzeichnis gemäß Artikel 30 DSGVO aktualisieren
  4. DSFA-Pflicht prüfen und Entscheidung dokumentieren
  5. Betriebsrat frühzeitig einbinden, wenn Mitarbeiterdaten verarbeitet werden
  6. Betriebsvereinbarung abschließen, falls Mitbestimmungsrechte nach § 87 BetrVG greifen

Zum Vergleich mit ähnlichen KI-Tools: Claude und DSGVO sowie Notion und DSGVO bieten vergleichbare Enterprise-AVV-Strukturen mit ähnlichen Compliance-Anforderungen.

Compound Law unterstützt Sie bei der AVV-Prüfung, der Implementierung von Standardvertragsklauseln, der Erstellung von Datenschutz-Folgenabschätzungen und der Betriebsratsberatung für Airtable-Rollouts. Individuelle Beratung für Ihre spezifische Verarbeitungssituation erhalten Sie auf Anfrage.

Häufig gestellte Fragen

Hat Airtable einen AVV (Auftragsverarbeitungsvertrag)?

Ja, Airtable stellt für Enterprise-Kunden einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO bereit. Günstigere Pläne — Business, Pro und Free — beinhalten keine AVV-Abdeckung und sind daher für die berufliche Nutzung mit personenbezogenen Daten nicht geeignet.

Ist Airtable für den Einsatz in deutschen Unternehmen geeignet?

Airtable kann auf dem Enterprise-Plan DSGVO-konform eingesetzt werden, wenn ein AVV abgeschlossen, Standardvertragsklauseln für US-Datentransfers vorliegen und das Verarbeitungsverzeichnis aktualisiert wurde. Für Business-, Pro- und Free-Pläne empfehlen wir keinen Einsatz mit personenbezogenen Daten.

Wo werden Airtable-Daten gespeichert?

Airtable verarbeitet und speichert Daten auf US-amerikanischer Infrastruktur. Eine standardmäßige EU-Datenlokalisierung ist nicht verfügbar. Enterprise-Kunden können individuelle Datenverarbeitungsvereinbarungen verhandeln. Standardvertragsklauseln und die Teilnahme am EU-US-Datenschutzrahmen (DPF) bilden die rechtliche Grundlage für den EU-US-Datentransfer.

Brauche ich eine DSFA für den Einsatz von Airtable?

Eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO ist erforderlich, wenn Airtable für die Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO), umfangreiche Mitarbeiterdaten oder KI-gestützte automatisierte Verarbeitungen eingesetzt wird. Für Standard-Betriebsdatenbanken ohne sensible Datenkategorien ist eine DSFA typischerweise nicht zwingend notwendig — die Entscheidung sollte jedoch dokumentiert werden.

Nutzt Airtable Kundendaten für das KI-Training?

Airtable erklärt, dass Kundendaten nicht für das Training eigener KI-Modelle verwendet werden. Da sich KI-Trainingsrichtlinien mit Produktupdates ändern können, sollten die aktuellen Bedingungen im AVV und in den Datenschutzhinweisen regelmäßig geprüft werden.

Welche Unterauftragsverarbeiter setzt Airtable für KI-Funktionen ein?

Airtable führt eine veröffentlichte Liste von Unterauftragsverarbeitern, die Infrastrukturanbieter (AWS, Google Cloud Platform) und KI-Modell-APIs (darunter OpenAI) für Airtable AI umfasst. Da sich diese Liste mit der Weiterentwicklung der KI-Funktionen ändern kann, sollte sie regelmäßig auf der Airtable-Website geprüft werden.

Muss der Betriebsrat bei Airtable eingebunden werden?

Wenn Airtable teamübergreifend eingesetzt wird und dabei Nutzungsdaten oder Aktivitätsprotokolle zu einzelnen Mitarbeitenden erhoben werden, bestehen Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG. Eine frühzeitige Einbindung des Betriebsrats und der Abschluss einer Betriebsvereinbarung sind empfehlenswert.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot DSGVO: AVV mit Microsoft, EU Data Boundary, Betriebsrat und Compliance-Checkliste für Unternehmen in Deutschland.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.

Mehr KI-Tools durchsuchen

Häufige Fragen

Hat Airtable einen AVV (Auftragsverarbeitungsvertrag)?

Ja, Airtable stellt für Enterprise-Kunden einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO bereit. Günstigere Pläne — Business, Pro und Free — beinhalten keine AVV-Abdeckung und sind daher für die berufliche Nutzung mit personenbezogenen Daten nicht geeignet.

Ist Airtable für den Einsatz in deutschen Unternehmen geeignet?

Airtable kann auf dem Enterprise-Plan DSGVO-konform eingesetzt werden, wenn ein AVV abgeschlossen, Standardvertragsklauseln für US-Datentransfers vorliegen und das Verarbeitungsverzeichnis aktualisiert wurde. Für Business-, Pro- und Free-Pläne empfehlen wir keinen Einsatz mit personenbezogenen Daten.

Wo werden Airtable-Daten gespeichert?

Airtable verarbeitet und speichert Daten auf US-amerikanischer Infrastruktur. Eine standardmäßige EU-Datenlokalisierung ist nicht verfügbar. Enterprise-Kunden können individuelle Datenverarbeitungsvereinbarungen verhandeln. Standardvertragsklauseln und die Teilnahme am EU-US-Datenschutzrahmen (DPF) bilden die rechtliche Grundlage für den EU-US-Datentransfer.

Brauche ich eine DSFA für den Einsatz von Airtable?

Eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO ist erforderlich, wenn Airtable für die Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO), umfangreiche Mitarbeiterdaten oder KI-gestützte automatisierte Verarbeitungen eingesetzt wird. Für Standard-Betriebsdatenbanken ohne sensible Datenkategorien ist eine DSFA typischerweise nicht zwingend notwendig — die Entscheidung sollte jedoch dokumentiert werden.

Nutzt Airtable Kundendaten für das KI-Training?

Airtable erklärt, dass Kundendaten nicht für das Training eigener KI-Modelle verwendet werden. Da sich KI-Trainingsrichtlinien mit Produktupdates ändern können, sollten die aktuellen Bedingungen im AVV und in den Datenschutzhinweisen regelmäßig geprüft werden.

Welche Unterauftragsverarbeiter setzt Airtable für KI-Funktionen ein?

Airtable führt eine veröffentlichte Liste von Unterauftragsverarbeitern, die Infrastrukturanbieter (AWS, Google Cloud Platform) und KI-Modell-APIs (darunter OpenAI) für Airtable AI umfasst. Da sich diese Liste mit der Weiterentwicklung der KI-Funktionen ändern kann, sollte sie regelmäßig auf der Airtable-Website geprüft werden.

Muss der Betriebsrat bei Airtable eingebunden werden?

Wenn Airtable teamübergreifend eingesetzt wird und dabei Nutzungsdaten oder Aktivitätsprotokolle zu einzelnen Mitarbeitenden erhoben werden, bestehen Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG. Eine frühzeitige Einbindung des Betriebsrats und der Abschluss einer Betriebsvereinbarung sind empfehlenswert.

Kostenlos beraten