Kostenlos beraten
Canva DSGVO und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Canva AVV: Ja, fuer Teams und Enterprise verfuegbar

Ja, Canva stellt einen Auftragsverarbeitungsvertrag (AVV) bereit — dieser ist jedoch ausschließlich für Canva Teams und Canva Enterprise verfügbar. Für deutsche Unternehmen, die Canva unter der DSGVO einsetzen möchten, reicht die bloße Existenz eines AVV nicht aus: KI-Trainingsdaten-Praktiken, Datenspeicherorte und Betriebsratsrechte müssen ebenfalls geprüft werden.

Was ist Canva?

Canva ist eine cloudbasierte Designplattform mit Hauptsitz in Australien. Das Angebot umfasst Vorlagen, Bildbearbeitung, Präsentationstools und eine wachsende Suite an KI-Funktionen: Magic Write (KI-gestützte Textgenerierung), Magic Media (Text-zu-Bild und Text-zu-Video) sowie Magic Design (KI-gestützte Layoutvorschläge). Diese KI-Funktionen verarbeiten Nutzerdaten über die Canva-Infrastruktur und in einigen Fällen über Drittsoftware-Anbieter.

Da Canva Designinhalte, Texte und möglicherweise personenbezogene Daten im Auftrag von Unternehmen verarbeitet, ist Canva als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO einzustufen. Vor jeder beruflichen Nutzung, bei der personenbezogene Daten verarbeitet werden, ist ein gültiger Auftragsverarbeitungsvertrag abzuschließen.

Ist Canva DSGVO-konform?

Canva kann mit dem richtigen Abonnement und den richtigen vertraglichen Voraussetzungen DSGVO-konform eingesetzt werden. Der kostenlose Canva-Plan enthält keinen AVV und ist daher für die berufliche Verarbeitung personenbezogener Daten unter der DSGVO nicht geeignet.

Wesentliche Punkte für deutsche Unternehmen:

  • AVV-Verfügbarkeit: Verfügbar für Canva Teams und Canva Enterprise. Nutzer des kostenlosen Plans sind nicht durch einen AVV abgedeckt.
  • KI-Trainingsdaten: Canva erklärt, dass Inhalte aus Teams- und Enterprise-Konten nicht für das Training von KI-Modellen verwendet werden. Für kostenlose Konten können Inhalte zur Modellverbesserung genutzt werden — aktuelle AGB prüfen.
  • Datenspeicherort: Enterprise-Kunden können Datenspeicherorte festlegen. Bei Teams-Konten werden Daten über Canvas globale Infrastruktur einschließlich US-amerikanischer Server verarbeitet.
  • Unterauftragsverarbeiter: Canva führt eine veröffentlichte Liste von Unterauftragsverarbeitern. Bei Nutzung der KI-Funktionen sind auch Anbieter von KI-Modellen aufgeführt.
  • Standardvertragsklauseln: Canva integriert Standardvertragsklauseln (SCC) in seinen AVV für Datentransfers aus der EU/dem EWR nach Australien und in die USA.

Hat Canva einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Canva stellt für Teams- und Enterprise-Kunden einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO bereit. Der AVV deckt die Verarbeitung personenbezogener Daten durch Canva im Auftrag des Unternehmens ab — einschließlich der Verarbeitung über Canvas KI-Funktionen.

Für deutsche Unternehmen ist der AVV ein Ausgangspunkt, kein Abschluss. Darüber hinaus sind folgende Schritte erforderlich:

  1. Sicherstellen, dass Standardvertragsklauseln für Transfers an Canva (Australien) und US-amerikanische Unterauftragsverarbeiter vorliegen.
  2. Das Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO um Canva ergänzen.
  3. Eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn Canva für die Verarbeitung besonderer Kategorien personenbezogener Daten oder in risikoreichen Kontexten eingesetzt wird.
  4. Benachrichtigungen über Änderungen bei Unterauftragsverarbeitern im Blick behalten — Canva informiert Kunden über solche Änderungen; stellen Sie sicher, dass diese in Ihrem Prozess erfasst werden.

Canva-KI-Funktionen und DSGVO

Canvas KI-Funktionen stellen über die Standarddatenverarbeitung hinaus zusätzliche datenschutzrechtliche Anforderungen:

Magic Write generiert Texte auf Basis von Nutzereingaben. Die Eingaben — die personenbezogene Daten oder vertrauliche Geschäftsinformationen enthalten können — werden über Canvas KI-Infrastruktur verarbeitet. Für Teams- und Enterprise-Konten bestätigt Canva, dass diese Inhalte nicht für das Modelltraining verwendet werden.

Magic Media (Text-zu-Bild und Text-zu-Video) verarbeitet ebenfalls Texteingaben. Die erzeugten Bilder und Videos werden im Canva-Konto des Nutzers gespeichert und unterliegen den Standardaufbewahrungsfristen von Canva.

Magic Design analysiert vorhandene Design-Assets und schlägt Layouts vor. Dabei werden hochgeladene Bilder verarbeitet, die personenbezogene Daten enthalten können — etwa Fotografien von Personen in Marketingmaterialien.

Was deutsche Marketing-Teams wissen müssen

Für deutsche Unternehmen — insbesondere Marketing- und Designteams — ergeben sich spezifische DSGVO-Anforderungen:

Mitbestimmung des Betriebsrats: Gemäß §87 BetrVG hat der Betriebsrat Mitbestimmungsrechte bei der Einführung technischer Systeme zur Überwachung des Verhaltens oder der Leistung von Arbeitnehmern. Wenn Canva teamübergreifend eingesetzt wird und Nutzungsstatistiken oder Aktivitätsprotokolle erzeugt, kann die Beteiligung des Betriebsrats vor dem Rollout erforderlich sein.

Kostenloser Plan vs. kostenpflichtige Pläne: Der Datenschutzunterschied zwischen dem kostenlosen Canva-Plan und Canva Teams/Enterprise ist erheblich. Die AGB des kostenlosen Plans sind für die berufliche Nutzung mit personenbezogenen Daten nicht geeignet. Wenn Mitarbeiter Canva-Free-Konten für berufliche Zwecke nutzen, sollte dies in der IT- und Datenschutzrichtlinie des Unternehmens geregelt werden.

Kundenbezogene Designarbeit: Agenturen und professionelle Dienstleister, die Designs mit Kundendaten erstellen — etwa Kundennamen, Fotografien oder sensible Informationen — müssen Canva für diese personenbezogenen Daten als Auftragsverarbeiter behandeln. Ein AVV ist zwingend erforderlich.

KI-Funktionen deaktivieren: Bestimmte KI-Funktionen können bei Teams- und Enterprise-Plänen auf Kontoebene deaktiviert werden. Wenn Ihre Datenschutzprüfung ergibt, dass bestimmte KI-Funktionen für Ihren Anwendungsfall nicht geeignet sind, prüfen Sie die Deaktivierungsmöglichkeiten und dokumentieren Sie diese Entscheidung.

Unsere Einschätzung

Für deutsche Marketing-Teams und Designer ist Canva Teams mit der richtigen Vorbereitung einsetzbar. Der AVV ist verfügbar, der Ausschluss von KI-Trainingsdaten gilt für kostenpflichtige Pläne, und Unterauftragsverarbeiter sind dokumentiert. Die wesentlichen Compliance-Schritte entsprechen denen anderer Cloud-Tools mit KI-Funktionen: AVV abschließen, SCC einbinden, Unterauftragsverarbeiter prüfen und den Betriebsrat einbinden, wenn das Tool teamübergreifend eingesetzt wird.

Den kostenlosen Canva-Plan empfehlen wir für keine berufliche Nutzung mit personenbezogenen Daten — es fehlt ein AVV, und die KI-Trainingsdaten-Bedingungen sind für den geschäftlichen Einsatz nicht geeignet.

Compound Law unterstützt Sie bei der AVV-Prüfung, der Implementierung von Standardvertragsklauseln, der Erstellung von Datenschutz-Folgenabschätzungen und der Betriebsratsberatung für Canva-Rollouts.

Häufig gestellte Fragen

Hat Canva einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Canva stellt für Teams- und Enterprise-Kunden einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO bereit. Dieser muss abgeschlossen sein, bevor Canva in einem Kontext eingesetzt wird, in dem personenbezogene Daten verarbeitet werden.

Ist Canva DSGVO-konform für deutsche Unternehmen?

Canva kann mit einem abgeschlossenen AVV (Teams- oder Enterprise-Plan), Standardvertragsklauseln für internationale Datentransfers und einem aktualisierten Verarbeitungsverzeichnis DSGVO-konform eingesetzt werden. Der kostenlose Plan enthält keinen AVV und ist für die berufliche Nutzung mit personenbezogenen Daten nicht geeignet.

Nutzt Canva Designs für das KI-Training?

Für Teams- und Enterprise-Konten erklärt Canva, dass Kundendaten nicht für das Training von KI-Modellen verwendet werden. Für kostenlose Konten können Inhalte zur Modellverbesserung genutzt werden. Prüfen Sie die aktuellen Canva-AGB und Datenschutzrichtlinien, da sich diese Bedingungen ändern können.

Kann ich Canva für sensible Geschäftsdokumente unter der DSGVO nutzen?

Mit einem abgeschlossenen AVV (Teams- oder Enterprise-Plan), Standardvertragsklauseln und einer durchgeführten DSFA, sofern erforderlich, kann Canva für Dokumente mit personenbezogenen Daten genutzt werden. Bei Dokumenten mit besonderen Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO oder bei vertraulichen Berufsdaten sind zusätzliche Schutzmaßnahmen und rechtliche Beratung empfehlenswert.

Wo werden Canva-Daten gespeichert?

Enterprise-Kunden können Datenspeicherorte festlegen (Data Residency). Bei Teams-Konten werden Daten über Canvas globale Infrastruktur einschließlich US-amerikanischer Rechenzentren verarbeitet. Die Standardvertragsklauseln im AVV decken diesen internationalen Datentransfer ab.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot DSGVO: AVV mit Microsoft, EU Data Boundary, Betriebsrat und Compliance-Checkliste für Unternehmen in Deutschland.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.

Mehr KI-Tools durchsuchen

Häufige Fragen

Hat Canva einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Canva stellt für Teams- und Enterprise-Kunden einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO bereit. Dieser muss abgeschlossen sein, bevor Canva in einem Kontext eingesetzt wird, in dem personenbezogene Daten verarbeitet werden.

Ist Canva DSGVO-konform für deutsche Unternehmen?

Canva kann mit einem abgeschlossenen AVV (Teams- oder Enterprise-Plan), Standardvertragsklauseln für internationale Datentransfers und einem aktualisierten Verarbeitungsverzeichnis DSGVO-konform eingesetzt werden. Der kostenlose Plan enthält keinen AVV und ist für die berufliche Nutzung mit personenbezogenen Daten nicht geeignet.

Nutzt Canva Designs für das KI-Training?

Für Teams- und Enterprise-Konten erklärt Canva, dass Kundendaten nicht für das Training von KI-Modellen verwendet werden. Für kostenlose Konten können Inhalte zur Modellverbesserung genutzt werden. Prüfen Sie die aktuellen Canva-AGB und Datenschutzrichtlinien, da sich diese Bedingungen ändern können.

Kann ich Canva für sensible Geschäftsdokumente unter der DSGVO nutzen?

Mit einem abgeschlossenen AVV (Teams- oder Enterprise-Plan), Standardvertragsklauseln und einer durchgeführten DSFA, sofern erforderlich, kann Canva für Dokumente mit personenbezogenen Daten genutzt werden. Bei Dokumenten mit besonderen Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO oder bei vertraulichen Berufsdaten sind zusätzliche Schutzmaßnahmen und rechtliche Beratung empfehlenswert.

Wo werden Canva-Daten gespeichert?

Enterprise-Kunden können Datenspeicherorte festlegen (Data Residency). Bei Teams-Konten werden Daten über Canvas globale Infrastruktur einschließlich US-amerikanischer Rechenzentren verarbeitet. Die Standardvertragsklauseln im AVV decken diesen internationalen Datentransfer ab.

Kostenlos beraten