Kostenlos beraten
Airtable DSGVO Ratgeber für deutsche Unternehmen
tools

Airtable DSGVO: AVV, Datenspeicherung und Compliance in Deutschland

Kurzantwort

Airtable ist auf dem Enterprise-Plan DSGVO-konform – mit abgeschlossenem AVV, Standardvertragsklauseln und korrekter Unterauftragsverarbeiter-Absicherung. Business-, Pro- und Free-Pläne haben keinen AVV und sind für die berufliche Verarbeitung personenbezogener Daten ungeeignet. Deutsche Unternehmen müssen außerdem.

  • AVV ist nur auf dem Enterprise-Plan verfügbar – günstigere Tarife sind nicht für personenbezogene Daten geeignet.
  • Daten werden in den USA verarbeitet; Standardvertragsklauseln und EU-US-Datenschutzrahmen bilden die Transfergrundlage.
  • Bei Einsatz für Aufgabenmanagement, HR oder Leistungsauswertung ist Betriebsratsbeteiligung zu prüfen.

Airtable ist auf dem Enterprise-Plan DSGVO-konform – allerdings nur dann, wenn ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen wurde. Für Business-, Pro- und Free-Kunden existiert kein AVV; diese Pläne sind für die berufliche Verarbeitung personenbezogener Daten nach der Datenschutz-Grundverordnung ungeeignet. Deutsche Unternehmen, die Airtable als Tabellenkalkulationswerkzeug, relationale Datenbank oder Betriebsdaten-Plattform einsetzen, müssen AVV, US-Datentransfer, Unterauftragsverarbeiter und Betriebsratspflichten prüfen, bevor personenbezogene Daten in Airtable verarbeitet werden. Eine Übersicht weiterer geprüfter Tools finden Sie auf der Compound Law Tool-Übersicht.

Wer die KI-Funktionen von Airtable einsetzt oder evaluiert – insbesondere feldbasierte KI-Aktionen und KI-gestützte Automatisierungen – findet die datenschutzrechtliche Bewertung dieser Datenflüsse im separaten Leitfaden Airtable KI und DSGVO. Diese Seite konzentriert sich auf das Kernprodukt von Airtable: Bases, Datensätze und Standardautomatisierungen ohne KI-Funktionen.

Ist Airtable DSGVO-konform?

Ja, unter bestimmten Voraussetzungen. Airtable kann DSGVO-konform betrieben werden, wenn folgende Bedingungen erfüllt sind:

  1. Das Unternehmen nutzt den Airtable-Enterprise-Plan mit abgeschlossenem Auftragsverarbeitungsvertrag.
  2. Standardvertragsklauseln (SCC) für die Übermittlung personenbezogener Daten aus der EU in die US-amerikanische Infrastruktur von Airtable liegen vor.
  3. Das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO wurde um Airtable ergänzt.
  4. Unterauftragsverarbeiter und Änderungsmitteilungen wurden geprüft und dokumentiert.

Ohne Enterprise-AVV ist Airtable für die berufliche Verarbeitung personenbezogener Daten im DSGVO-Anwendungsbereich nicht geeignet. Für Business-, Pro- und Free-Pläne ist kein AVV vorgesehen – eine Lücke, die sich durch interne Regelungen oder ergänzende Vereinbarungen nicht schließen lässt.

Die datenschutzrechtliche Prüfung für deutsche Unternehmen dreht sich um vier praktische Fragen:

  • Liegt ein AVV vor? Nur auf Enterprise-Ebene möglich.
  • Wo werden Daten verarbeitet? Primär in den USA, ohne standardmäßige EU-Datenspeicherung.
  • Welcher Transfermechanismus gilt? Standardvertragsklauseln und Teilnahme am EU-US-Datenschutzrahmen (DPF).
  • Bestehen Mitarbeiterdatenbezüge? Möglicherweise – wenn Airtable für Aufgabenverwaltung, Anwesenheit oder Projektleistung genutzt wird.

Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Ja. Airtable stellt für Enterprise-Kunden einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO bereit. Ein AVV ist immer dann verpflichtend, wenn ein Anbieter personenbezogene Daten im Auftrag eines Unternehmens verarbeitet und dabei als Auftragsverarbeiter handelt. Ohne AVV fehlt die vertragliche Grundlage für diese Verarbeitung.

Der Airtable-Enterprise-AVV enthält unter anderem:

  • Verarbeitungsweisungen und Zweckbindung
  • Offenlegung und Änderungsmitteilung bei Unterauftragsverarbeitern
  • Standardvertragsklauseln für EU-US-Datentransfers
  • Sicherheits- und Vertraulichkeitszusagen
  • Regelungen zur Datenlöschung und -rückgabe nach Vertragsende

Der AVV ist ein notwendiger Ausgangspunkt, keine abschließende Compliance-Maßnahme. Über den Abschluss des AVV hinaus müssen deutsche Unternehmen:

  • Das Verarbeitungsverzeichnis nach Art. 30 DSGVO um Airtable und seine Unterauftragsverarbeiter ergänzen
  • Änderungsbenachrichtigungen zu Unterauftragsverarbeitern einrichten und Ergänzungen verfolgen
  • Prüfen, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich ist – abhängig von den verarbeiteten Datenkategorien und dem Verarbeitungsumfang
  • Sicherstellen, dass die im AVV enthaltenen Standardvertragsklauseln alle tatsächlichen Datenflüsse – einschließlich etwaiger Drittanbieter-Integrationen – abdecken

Zum Vergleich: Monday.com und DSGVO bietet einen ähnlichen Prüfungsansatz für Projekt- und Betriebsplattformen mit Enterprise-AVV. Notion und DSGVO behandelt datenbankähnliche Workspace-Lösungen.

Datenspeicherung und US-Datentransfer bei Airtable

Airtables Infrastruktur ist primär in den USA angesiedelt. Auf Standardplänen gibt es keine EU- oder EWR-seitige Datenspeicherung. Enterprise-Kunden können unter Umständen spezifische Datenschutzvereinbarungen verhandeln – das sollte im Beschaffungsprozess direkt mit dem Airtable-Vertrieb geklärt werden.

Für die Übermittlung personenbezogener Daten aus der EU in die US-amerikanische Infrastruktur von Airtable greifen zwei Transfermechanismen:

TransfermechanismusInhaltStatus bei Airtable
Standardvertragsklauseln (SCC)EU-geprüfte Vertragsklauseln für Drittlandübermittlungen gemäß Kapitel V DSGVOIm Enterprise-AVV enthalten
EU-US-Datenschutzrahmen (DPF)Angemessenheitsbasierter Rahmen für zertifizierte US-AuftragsverarbeiterAirtable ist zertifiziert

Für die meisten deutschen Unternehmen bieten Standardvertragsklauseln und DPF-Teilnahme zusammen eine tragfähige Transfergrundlage nach aktuellem DSGVO-Stand. Einige weiterführende Aspekte sind dabei zu beachten:

  • Der EU-US-Datenschutzrahmen ist ein politisches und rechtliches Instrument, das angefochten oder überarbeitet werden kann – Standardvertragsklauseln bleiben der robustere vertragliche Rückfallmechanismus
  • Unternehmen in regulierten Branchen (Finanzdienstleistungen, Gesundheitswesen, öffentlicher Sektor) können branchenspezifischen Zusatzanforderungen unterliegen, die über den allgemeinen DSGVO-Standard hinausgehen
  • Wer aufgrund interner Vorgaben, Kundenverträgen oder aufsichtsrechtlicher Anforderungen EU-seitige Datenspeicherung benötigt, sollte vor Vertragsabschluss verbindlich klären, ob Airtable diese Anforderung auf Enterprise-Ebene erfüllen kann

Was deutsche Unternehmen vor dem Einsatz von Airtable prüfen müssen

Eine praktische Checkliste für die DSGVO-Compliance vor dem Rollout:

  1. Enterprise-Plan bestätigen – Airtables AVV ist nur auf Enterprise-Ebene verfügbar. Business-, Pro- und Free-Pläne sind für die berufliche Verarbeitung personenbezogener Daten nicht geeignet.
  2. AVV abschließen und prüfen – Vertragspartei, Unterauftragsverarbeiter, Transfermechanismus und Löschregelungen für den geplanten Einsatz verifizieren.
  3. Verarbeitungsverzeichnis nach Art. 30 DSGVO aktualisieren – Airtable als Auftragsverarbeiter eintragen, Datenkategorien, Zweck, Transfermechanismus und Speicherdauer angeben.
  4. Unterauftragsverarbeiter-Liste prüfen – Infrastruktur- und Dienstleister von Airtable identifizieren und Änderungsbenachrichtigungen einrichten.
  5. DSFA-Erforderlichkeit prüfen – Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist erforderlich, wenn Airtable für besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), umfangreiche Mitarbeiterdaten oder systematische Überwachung eingesetzt wird.
  6. Kundenverträge prüfen – Manche Kundenverträge beschränken grenzüberschreitende Verarbeitung oder die Weitergabe von Kundendaten an Unterauftragsverarbeiter. Der Airtable-Einsatz muss mit den eigenen Kundenverpflichtungen vereinbar sein.
  7. Erlaubte und eingeschränkte Anwendungsfälle festlegen – Klären, welche Bases und Datensätze personenbezogene Daten enthalten dürfen und welche Bereiche ausgeschlossen bleiben.
  8. Betriebsratspflichten prüfen – Dazu mehr im folgenden Abschnitt.

Airtable und der Betriebsrat

In Deutschland hat der Betriebsrat nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) Mitbestimmungsrechte, wenn ein technisches System eingeführt wird, das geeignet ist, Verhalten oder Leistung der Beschäftigten zu überwachen – unabhängig davon, ob Überwachung das primäre Einsatzziel ist.

Airtable wird häufig für Anwendungsfälle genutzt, die dieses Kriterium erfüllen können:

  • Mitarbeiteraufgaben-Management – Erfassung, welcher Mitarbeiter welche Aufgabe wann erledigt hat, mit Zeitstempeln und Status-Feldern
  • Projekttracking und Arbeitsfortschritt – Verknüpfung von Arbeitsergebnissen und Erledigungsquoten mit einzelnen Teammitgliedern
  • HR-Workflows und Onboarding-Prozesse – Speicherung von Onboarding-Checklisten, Rollenverläufen oder Abwesenheitserfassungen
  • Leistungsreporting und Dashboards – Ansichten, die mitarbeiterbezogene Daten auf Einzelebene aggregieren

Die entscheidende Rechtsfrage nach BetrVG ist nicht, ob eine Überwachung beabsichtigt ist, sondern ob das System technisch geeignet ist, Sichtbarkeit über individuelles Mitarbeiterverhalten oder Leistung herzustellen. Die flexible Base- und View-Architektur von Airtable führt dazu, dass viele operative Deployments diese technische Schwelle erfüllen können.

Deutsche Unternehmen sollten Betriebsratspflichten frühzeitig prüfen – idealerweise vor dem Abschluss des Vendor-Beschaffungsprozesses. Eine Betriebsvereinbarung mit klar geregelten Anwendungsfällen, Zugriffsbeschränkungen, Speicherfristen und verbotenen Nutzungsformen ist in vielen Fällen das richtige Ergebnis dieser Prüfung.

Ausführlichere Orientierung zur Schnittstelle zwischen digitalen Werkzeugen und dem deutschen Mitbestimmungsrecht bietet unser Leitfaden zur Compliance bei KI-Mitarbeiterüberwachung.

Unsere Einschätzung

Airtable Enterprise ist mit der richtigen vertraglichen und technischen Vorbereitung DSGVO-konform einsetzbar. AVV und Standardvertragsklauseln liegen vor, die Unterauftragsverarbeiter sind dokumentiert. Die erforderlichen Compliance-Schritte entsprechen denen anderer US-amerikanischer SaaS-Plattformen: AVV abschließen, Transfermechanismus sichern, das Verarbeitungsverzeichnis nach Art. 30 DSGVO aktualisieren und den Betriebsrat einbinden, wenn Airtable Aufgaben- oder Leistungsdaten von Beschäftigten verarbeitet.

Für Business- und günstigere Pläne ist der Einsatz mit personenbezogenen Daten in keinem Fall empfehlenswert. Ein fehlender AVV lässt sich nicht durch interne Datenschutzregeln oder ergänzende Vereinbarungen ersetzen.

Für Teams, die auch Airtables KI-Funktionen nutzen oder evaluieren – darunter feldbasierte KI-Aktionen, automatische Klassifizierung und KI-generierte Inhalte – behandelt der separate Guide Airtable KI und DSGVO die spezifischen Datenflüsse und Unterauftragsverarbeiter gesondert.

Compound Law unterstützt Unternehmen in Deutschland und der DACH-Region bei der Prüfung des Airtable-AVV, der Bewertung von Standardvertragsklauseln und Transfergrundlagen, der Erstellung von Datenschutz-Folgenabschätzungen sowie bei der Betriebsratsstrategie für Airtable-Rollouts mit Mitarbeiter- oder Betriebsdaten. Spezifische Sachverhalte erfordern individuelle Rechtsberatung – dieser Leitfaden strukturiert die Prüfung, ersetzt aber keine einzelfallbezogene Bewertung Ihrer Datenflüsse, Verträge und organisatorischen Situation.

Häufige Fragen

Ist Airtable DSGVO-konform?

Ja, auf dem Enterprise-Plan mit abgeschlossenem Auftragsverarbeitungsvertrag. Für Business-, Pro- und Free-Pläne gibt es keinen AVV – diese Pläne sind für die berufliche Verarbeitung personenbezogener Daten nach DSGVO nicht geeignet.

Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Ja. Airtable stellt für Enterprise-Kunden einen AVV nach Art. 28 DSGVO bereit, der Unterauftragsverarbeiter, Standardvertragsklauseln für EU-US-Datentransfers sowie Lösch- und Rückgaberegelungen umfasst. Günstigere Pläne sind nicht durch einen AVV abgedeckt.

Wo speichert Airtable die Daten?

Airtable verarbeitet und speichert Daten auf Infrastruktur in den USA. Auf Standardplänen gibt es keine EU-seitige Datenspeicherung. Enterprise-Kunden können unter Umständen spezifische Vereinbarungen aushandeln. Standardvertragsklauseln und die Teilnahme am EU-US-Datenschutzrahmen bilden die rechtliche Grundlage für den Datentransfer in die USA.

Muss der Betriebsrat vor dem Einsatz von Airtable eingebunden werden?

Unter Umständen ja. Wenn Airtable zur Aufgabenverfolgung, Projektarbeit, Anwesenheitserfassung oder Leistungsauswertung von Beschäftigten eingesetzt wird, können Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG greifen. Diese Prüfung sollte vor dem Rollout stattfinden, nicht erst danach.

Ist eine Datenschutz-Folgenabschätzung (DSFA) für Airtable erforderlich?

Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn Airtable für besondere Kategorien personenbezogener Daten oder zur systematischen Überwachung von Mitarbeitern genutzt wird. Beim Einsatz als allgemeine Betriebsdatenbank ohne sensible Datenkategorien ist eine DSFA in der Regel nicht erforderlich – die Prüfungsentscheidung sollte aber dokumentiert werden.

Weitere Tool-Guides

KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit fuer.

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.
HubSpot Breeze AI DSGVO-konform nutzen: Leitfaden für deutsche Unternehmen
tools

HubSpot Breeze AI und DSGVO: Was deutsche Unternehmen wissen müssen

HubSpot KI-Funktionen (Breeze AI) können DSGVO-konform genutzt werden — wenn automatisierte Entscheidungen nach Art. 22, Datenanreicherung und.
Claude DSGVO-Pruefung — Rechtsgrundlage, AVV und technische Massnahmen fuer Unternehmen
tools

Claude DSGVO: Rechtssicherer Einsatz von Claude in Deutschland

Claude DSGVO-konform einsetzen: Rechtsgrundlage, AVV, DSFA-Pflicht, TOMs und praktische Checkliste fuer Unternehmen in Deutschland.
Asana DSGVO Ratgeber für deutsche Unternehmen
tools

Asana DSGVO: AVV, EU-Datenspeicherung und Datenschutz für deutsche.

Asana bietet einen AVV für alle kostenpflichtigen Pläne und EU-Datenspeicherung auf Enterprise-Plänen. Was deutsche Unternehmen vor dem Einsatz von Asana.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist Airtable DSGVO-konform?

Ja, auf dem Enterprise-Plan mit abgeschlossenem Auftragsverarbeitungsvertrag. Für Business-, Pro- und Free-Pläne gibt es keinen AVV – diese Pläne sind für die berufliche Verarbeitung personenbezogener Daten nach DSGVO nicht geeignet.

Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Ja. Airtable stellt für Enterprise-Kunden einen AVV nach Art. 28 DSGVO bereit, der Unterauftragsverarbeiter, Standardvertragsklauseln und Löschregelungen umfasst. Günstigere Pläne sind nicht durch einen AVV abgedeckt.

Wo speichert Airtable die Daten?

Airtable verarbeitet und speichert Daten auf US-amerikanischer Infrastruktur. Auf Standardplänen gibt es keine EU-seitige Datenspeicherung. Enterprise-Kunden können unter Umständen spezifische Vereinbarungen aushandeln. Standardvertragsklauseln und der EU-US-Datenschutzrahmen bilden die rechtliche Grundlage für den Datentransfer.

Muss der Betriebsrat vor dem Einsatz von Airtable eingebunden werden?

Unter Umständen ja. Wenn Airtable zur Aufgabenverfolgung, Projektarbeit, Anwesenheitserfassung oder Leistungsauswertung von Beschäftigten eingesetzt wird, können Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG greifen. Die Prüfung sollte vor dem Rollout erfolgen.

Ist eine Datenschutz-Folgenabschätzung (DSFA) für Airtable erforderlich?

Eine DSFA ist erforderlich, wenn Airtable für besondere Datenkategorien nach Art. 9 DSGVO oder zur systematischen Überwachung von Mitarbeitern eingesetzt wird. Bei einer operationalen Datenbank ohne sensible Daten ist eine DSFA in der Regel nicht erforderlich – die Prüfungsentscheidung sollte aber dokumentiert werden.

Kostenlos beraten