Kostenlos beraten
Figma AVV und DSGVO-Compliance für Unternehmen in Deutschland
tools

Figma AVV: Auftragsverarbeitungsvertrag für die DSGVO

Hat Figma einen Auftragsverarbeitungsvertrag für die DSGVO?

Ja — Figma stellt einen Auftragsverarbeitungsvertrag (AVV) bereit, jedoch nur für Kunden des Organization- und Enterprise-Tarifs. Deutsche Unternehmen auf Starter- oder Professional-Tarifen haben keine AVV-Abdeckung und müssen ihren Tarif upgraden, bevor sie personenbezogene Daten über Figma verarbeiten.

  • Figmas AVV gilt nur für Organization- und Enterprise-Tarife. Starter- und Professional-Nutzer sind nicht abgedeckt.
  • Figma AI-Features verwenden keine Kundeninhalte fuer KI-Training, aber Daten werden ueber US-amerikanische Infrastruktur verarbeitet.
  • Design-Dateien enthalten haeufig personenbezogene Daten — Fotos, Research-Material, Mockups. Ein AVV nach Art. 28 DSGVO ist daher erforderlich.
  • Kein EU-exklusiver Datenspeicher für Nicht-Enterprise-Kunden. Standardvertragsklauseln decken internationale Transfers ab.

Ja, Figma verfügt über einen Auftragsverarbeitungsvertrag (AVV) — aber dieser steht nur für Figma Organization- und Figma Enterprise-Tarife zur Verfügung. Deutsche Unternehmen, die Figma unter der DSGVO evaluieren, müssen über die reine AVV-Verfügbarkeit hinausschauen: KI-Feature-Datenflüsse, das Fehlen einer EU-exklusiven Datenspeicherung bei günstigeren Tarifen und Betriebsratsanforderungen müssen vor dem Einsatz geprüft werden.

Was ist Figma?

Figma ist eine cloudbasierte kollaborative Design-Plattform mit Hauptsitz in San Francisco, Kalifornien. Sie bietet Vektor-Design-Tools, Prototyping und Echtzeit-Zusammenarbeit für Produkt- und Marketing-Teams. Im Jahr 2024 führte Figma Figma AI ein — eine Suite KI-gestützter Features, darunter KI-unterstützte Layout-Generierung, Content-Entwürfe, Design-Vorschläge und Hintergrundentfernung. FigJam, Figmas Online-Whiteboard-Produkt, bietet ebenfalls KI-gestützte Features für Brainstorming und Diagrammerstellung.

Da Figma Design-Inhalte — die routinemäßig Fotos, User-Research-Daten und Mockups mit personenbezogenen Daten umfassen — im Auftrag von Geschäftskunden verarbeitet, ist das Unternehmen ein Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Vor der Verarbeitung personenbezogener Daten über die Plattform in einem professionellen Kontext ist ein wirksamer Auftragsverarbeitungsvertrag rechtlich zwingend erforderlich.

Ist Figma DSGVO-konform nutzbar?

Figma kann mit der richtigen Tarifstufe und vertraglichen Grundlage DSGVO-konform eingesetzt werden. Der kostenfreie Starter-Tarif und der Professional-Tarif beinhalten keinen AVV und sind nicht für die Verarbeitung personenbezogener Daten in einem geschäftlichen Kontext unter der DSGVO geeignet.

Wesentliche Punkte für deutsche Unternehmen:

  • AVV-Verfügbarkeit: Verfügbar für Figma Organization und Figma Enterprise. Starter- und Professional-Nutzer haben keine AVV-Abdeckung.
  • KI-Trainingsdaten: Figma erklärt, keine Kundeninhalte — Design-Dateien, Prototypen oder FigJam-Boards — für das Training von KI-Modellen zu verwenden. Dies gilt für alle kostenpflichtigen Tarife.
  • Datenspeicherung: Figma nutzt AWS als primäre Infrastruktur. Eine EU-exklusive Datenspeicherung ist als Standardfeature nicht verfügbar. Enterprise-Kunden sollten Datenspeicherungskonditionen direkt mit Figma verhandeln.
  • Unterauftragsverarbeiter: Figma veröffentlicht eine Unterauftragsverarbeiterliste, einschließlich AWS für Hosting und verschiedener Anbieter für Analytics und Support. Bei Nutzung von Figma AI-Features sind KI-Infrastrukturanbieter als Unterauftragsverarbeiter aufgeführt.
  • Standardvertragsklauseln: Figma enthält im AVV Standardvertragsklauseln (SCCs) für Transfers personenbezogener Daten aus der EU/dem EWR in die USA.

Hat Figma einen AVV nach Art. 28 DSGVO?

Ja. Figma stellt für Organization- und Enterprise-Kunden einen Auftragsverarbeitungsvertrag bereit. Der AVV umfasst die Verarbeitung personenbezogener Daten durch Figma im Auftrag des Geschäftskunden, einschließlich der über Figma AI-Features verarbeiteten Daten.

Für deutsche Unternehmen ist der AVV der Ausgangspunkt, nicht der Abschluss der Compliance-Arbeit. Zusätzlich erforderlich:

  1. Bestätigung, dass Standardvertragsklauseln für Transfers zu Figma (USA) und AWS-Unterauftragsverarbeitern vorliegen.
  2. Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) um Figma.
  3. Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, wenn Figma für die Verarbeitung besonderer Kategorien personenbezogener Daten genutzt wird — etwa User-Research mit sensiblen Daten oder Design-Dateien mit Fotos identifizierbarer Personen.
  4. Überwachung der Unterauftragsverarbeiter-Benachrichtigungen — Figma informiert Kunden über Änderungen; der interne Prozess muss diese Aktualisierungen erfassen.

Als Vergleich: Canva bietet ebenfalls AVV-Abdeckung nur für kostenpflichtige Tarife (Teams und Enterprise) und nutzt SCCs für EU-US-Datentransfers. Für Adobe-Design-Tools verweisen wir auf unseren Adobe Firefly Compliance-Leitfaden.

Figma AI-Features und Datenverarbeitung

Figma AI, eingeführt auf der Config 2024, ergänzt den Design-Editor um KI-gestützte Funktionen. Diese Features schaffen datenschutzrechtliche Anforderungen, die über die reine Dateispeicherung hinausgehen:

KI-Design-Tools (Layout-Vorschläge, Content-Befüllung, Design-Generierung) verarbeiten den Inhalt von Design-Frames — einschließlich Bilder, Texte und Struktur — zur Erzeugung von KI-Ausgaben. Dieser Inhalt wird an Figmas KI-Infrastruktur übermittelt.

KI-Content-Entwürfe generieren Textentwürfe auf Basis des Design-Kontexts. Texte, Beschriftungen und Platzhalterinhalte in einem Design-Frame können als Prompt-Kontext an die KI-Modelle von Figma übermittelt werden.

FigJam AI bietet KI-gestützte Cluster-Bildung, Zusammenfassungen und Diagrammerstellung. FigJam-Boards können Meeting-Notizen, User-Research-Material, Strategie-Dokumente und andere Inhalte enthalten, die personenbezogene Daten umfassen können.

Wesentlicher Datenschutzpunkt: Figma erklärt, keine Kundeninhalte für das Training von KI-Modellen zu verwenden. Einzelne KI-Features können in der Regel auf Organisationsebene in Organization- und Enterprise-Tarifen deaktiviert werden. Falls bestimmte KI-Features für den konkreten Einsatzfall nicht geeignet sind, sollte ihre Deaktivierung verifiziert und im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden.

Datenspeicherung und internationale Datentransfers

Figma hat seinen Hauptsitz in San Francisco und betreibt seine Infrastruktur primär über Amazon Web Services (AWS). Daten europäischer Kunden werden auf AWS-Infrastruktur verarbeitet — auch auf Infrastruktur in den USA. Damit unterliegen über Figma verarbeitete personenbezogene Daten internationalen Transfers nach Kapitel V DSGVO.

Unterauftragsverarbeiter (repräsentativ):

UnternehmenRolleStandort
Figma, Inc.Auftragsverarbeiter (Design-Plattform)USA
Amazon Web ServicesUnterauftragsverarbeiter (Cloud-Hosting)USA / Global
Figma AI-InfrastrukturUnterauftragsverarbeiter (KI-Feature-Verarbeitung)USA

Alle Transfers aus der EU/dem EWR basieren auf Standardvertragsklauseln. Die deutschen Datenschutzbehörden haben SCCs als wirksamen Transfermechanismus anerkannt, sofern angemessene Schutzmaßnahmen getroffen werden — insbesondere Verschlüsselung bei der Übertragung und Speicherung sowie Datensparsamkeit.

Enterprise-Kunden können Datenspeicherungsvereinbarungen direkt mit dem Figma-Vertrieb verhandeln. Für alle anderen Tarife sind SCCs der primäre rechtliche Mechanismus für internationale Datentransfers.

Was deutsche Design-Teams wissen müssen

Deutsche Unternehmen — insbesondere Produkt-Design-, UX- und Marketing-Teams — sehen sich bei der Nutzung von Figma spezifischen DSGVO-Anforderungen gegenüber:

Betriebsrat-Beteiligung: Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat Mitbestimmungsrechte bei der Einführung technischer Einrichtungen, die das Verhalten oder die Leistung von Arbeitnehmern überwachen können. Figma erzeugt Nutzungsanalysen, Aktivitätsprotokolle und Kollaborationsdaten, die das Verhalten einzelner Designer nachvollziehbar machen. Wird Figma teamübergreifend eingeführt, kann eine Betriebsratsbeteiligung vor dem Rollout erforderlich sein — insbesondere wenn Nutzungsdaten für Leistungsbewertungen herangezogen werden könnten.

Design-Dateien mit personenbezogenen Daten: Dies ist das datenschutzrechtlich am häufigsten übersehene Thema. Figma-Dateien enthalten regelmäßig personenbezogene Daten:

  • Fotos erkennbarer Personen in Marketing-Mockups oder Produkt-Prototypen
  • User-Research-Daten — Screenshots, Interview-Notizen, Usability-Test-Aufzeichnungen in FigJam
  • Kundendaten in UI-Prototypen (Namen, E-Mail-Adressen, Kontonummern in Formular-Mockups)

Jeder dieser Fälle macht Figma zum Auftragsverarbeiter für die betreffenden Daten. Ein unterzeichneter AVV muss vorliegen, bevor diese Daten in die Plattform eingebracht werden.

Starter- und Professional-Tarif-Lücke: Viele Designer starten mit dem kostenlosen Starter-Tarif von Figma. Für Starter- oder Professional-Nutzer gibt es keinen AVV — diese Tarife sind für jede berufliche Tätigkeit mit personenbezogenen Daten ungeeignet. Nutzen Mitarbeiter private Figma-Konten für berufliche Arbeit mit Kundendaten oder User-Research-Material, muss dies unmittelbar in der IT- und Datenschutzrichtlinie des Unternehmens adressiert werden.

Agenturen und Auftragsarbeiten: Design-Agenturen, die Dateien erstellen, die Kundendaten enthalten, müssen Figma als Auftragsverarbeiter für die darin enthaltenen personenbezogenen Daten behandeln. Die AVV-Abdeckung muss sichergestellt sein, und Kundenverträge sollten Datenverarbeitungspflichten adressieren.

EU AI Act-Anforderungen

Figma AI-Features — Layout-Unterstützung, Content-Entwürfe, Design-Generierung — sind kreative Assistenztools. Nach dem EU AI Act werden diese in der Regel als KI-Systeme mit geringem Risiko oder minimalem Risiko eingestuft. Sie unterstützen menschliche Designer, anstatt autonome Entscheidungen zu treffen, die Einzelpersonen erheblich betreffen.

Eine Transparenzpflicht nach dem AI Act greift erst, wenn Figma AI Inhalte erzeugt, die direkt Endnutzern präsentiert werden, die möglicherweise glauben, mit einem Menschen zu interagieren. Die meisten internen Design-Workflows lösen diese Pflicht nicht aus.

Einen umfassenden Überblick über KI-Compliance-Pflichten für Unternehmen bietet unser EU AI Act Compliance-Leitfaden.

Unsere Einschätzung

Für deutsche Produkt- und Design-Teams ist Figma Organization oder Enterprise der Mindest-Tarif, der für eine DSGVO-konforme Nutzung erforderlich ist, wenn Design-Dateien personenbezogene Daten enthalten. Der AVV ist verfügbar, Figma trainiert keine Modelle mit Kundeninhalten, und die Unterauftragsverarbeiter sind dokumentiert. Die Compliance-Schritte entsprechen denen jeder US-amerikanischen SaaS-Plattform: AVV unterzeichnen, SCCs implementieren, Unterauftragsverarbeiter prüfen und den Betriebsrat einbinden, wenn Figma teamübergreifend eingesetzt wird.

Die Nutzung des Starter- oder Professional-Tarifs für berufliche Tätigkeiten mit personenbezogenen Daten empfehlen wir ausdrücklich nicht — es besteht keine AVV-Abdeckung, was ein direktes Risiko nach Art. 28 DSGVO begründet.

Compound Law unterstützt bei AVV-Prüfung, SCC-Implementierung, DSFA-Erstellung und Betriebsratsverhandlungen für Figma-Deployments. Erfahren Sie mehr über unsere rechtliche Expertise.

Häufig gestellte Fragen

Hat Figma einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Figma stellt für Organization- und Enterprise-Kunden einen Auftragsverarbeitungsvertrag bereit. Starter- und Professional-Nutzer sind nicht durch einen AVV abgedeckt und dürfen in einem professionellen Kontext unter der DSGVO keine personenbezogenen Daten über Figma verarbeiten. Der AVV muss unterzeichnet vorliegen, bevor Design-Dateien mit personenbezogenen Daten in die Plattform eingebracht werden.

Ist Figma DSGVO-konform für deutsche Unternehmen?

Figma kann auf Organization- oder Enterprise-Tarifen DSGVO-konform genutzt werden: mit unterzeichnetem AVV, Standardvertragsklauseln für US-Datentransfers und einem aktualisierten Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Starter- und Professional-Nutzer haben keine AVV-Abdeckung und müssen ihren Tarif upgraden, bevor personenbezogene Daten verarbeitet werden.

Trainiert Figma KI-Modelle mit Design-Dateien?

Figma erklärt, keine Kundeninhalte — einschließlich Design-Dateien und FigJam-Boards — für das Training von KI-Modellen zu verwenden. Dies gilt für alle kostenpflichtigen Tarife. Die aktuellen Figma-Datenschutzbestimmungen und Nutzungsbedingungen sollten regelmäßig geprüft werden, da sich KI-Trainingsdatenrichtlinien ändern können.

Wo werden Figma-Daten gespeichert?

Figma nutzt Amazon Web Services (AWS) als primäre Cloud-Infrastruktur. Daten europäischer Kunden werden auf AWS-Infrastruktur verarbeitet, einschließlich Infrastruktur in den USA. Die Standardvertragsklauseln im Figma-AVV decken diesen internationalen Transfer nach Art. 46 DSGVO ab. Figma bietet keine EU-exklusive Datenspeicherung als Standardfeature außerhalb von Enterprise-Verhandlungen.

Braucht der Betriebsrat bei Figma ein Mitbestimmungsrecht?

Möglicherweise. Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat Mitbestimmungsrechte bei der Einführung technischer Einrichtungen, die das Verhalten oder die Leistung von Arbeitnehmern überwachen können. Wenn Figma teamübergreifend eingesetzt wird und Nutzungsanalysen oder Aktivitätsdaten erzeugt, die Rückschlüsse auf individuelle Leistung ermöglichen, sollte der Betriebsrat vor dem Rollout eingebunden werden.

Weitere Tool-Guides

HubSpot DSGVO-Konformitaet fuer Unternehmen in Deutschland
tools

Ist HubSpot DSGVO-konform? AVV, SCC und Betriebsrat in Deutschland

HubSpot kann DSGVO-konform genutzt werden, aber nur mit AVV, SCC-Pruefung, EU-Datenspeicherung-Bewertung und Betriebsratspruefung in Deutschland.
Claude Enterprise Preise Plan und DSGVO fuer Unternehmen in Deutschland
tools

Claude Enterprise: Preise, Plan und DSGVO fuer Deutschland

Claude Enterprise fuer deutsche Unternehmen: Preise, Planlogik, AVV, EU-Hosting-Grenzen und Enterprise-Beschaffung.
Claude DSGVO-Pruefung fuer Deutschland mit AVV, Tarifen und Datenschutzkontrollen
tools

Claude DSGVO: Welche Claude-Tarife fuer Unternehmen zulaessig sind

Claude DSGVO-konform einsetzen: Tarif, AVV, Transfer und Governance entscheiden. Dieser Leitfaden trennt Consumer-Tarife von Business-Optionen.
Anthropic Standardvertragsklauseln SCC Modul 2 Modul 3 DSGVO Datenübermittlung
tools

Anthropic Standardvertragsklauseln (SCC): DSGVO-Leitfaden Modul 2 und 3

Anthropics EU-SCCs (Modul 2 und 3) sind automatisch im AVV enthalten. Welches Modul gilt für Ihr Unternehmen und was ist zusätzlich erforderlich?
Zoom AI Companion DSGVO-Konformität für deutsche Unternehmen
tools

Zoom AI Companion DSGVO-Konformität für deutsche Unternehmen

Ist Zoom AI Companion in Deutschland DSGVO-konform? Prüfen Sie AVV, KI-Verarbeitung, EU-Datenspeicherung und die Checkliste für Unternehmen.
Airtable DSGVO und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Airtable DSGVO: Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Airtable AI und DSGVO: AVV nur für Enterprise. Datentransfer, KI-Funktionen 2025, Unterauftragsverarbeiter und Betriebsratspflichten im Überblick.

Tool Library

Mehr KI-Tools nach Thema durchsuchen

Vergleichen Sie weitere Tools, Datenschutzfragen und Einsatzszenarien in unserer vollständigen KI-Tool-Bibliothek.

Alle KI-Tools ansehen

Häufige Fragen

Ja. Figma stellt für Organization- und Enterprise-Kunden einen Auftragsverarbeitungsvertrag bereit. Starter- und Professional-Kunden sind nicht durch einen AVV abgedeckt und dürfen unter der DSGVO in einem professionellen Kontext keine personenbezogenen Daten über Figma verarbeiten.

Figma kann auf Organization- oder Enterprise-Tarifen DSGVO-konform genutzt werden: mit unterzeichnetem AVV, Standardvertragsklauseln für US-Datentransfers und aktualisierten Verzeichnissen von Verarbeitungstätigkeiten. Starter- und Professional-Nutzer haben keine AVV-Abdeckung.

Figma erklärt, keine Kundeninhalte — einschließlich Design-Dateien und FigJam-Boards — für das Training von KI-Modellen zu verwenden. Dies gilt für alle kostenpflichtigen Tarife. Die aktuellen Figma-Nutzungsbedingungen sollten regelmäßig geprüft werden, da sich KI-Trainingsdatenrichtlinien ändern können.

Figma nutzt Amazon Web Services (AWS) als primäre Cloud-Infrastruktur. Daten europäischer Kunden werden auf AWS-Infrastruktur verarbeitet, einschließlich Infrastruktur in den USA. Standardvertragsklauseln im Figma-AVV decken diesen internationalen Transfer ab. Figma bietet kein EU-exklusives Datenspeichermodell für Standard-Tarife.

Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn Figma fuer besondere Kategorien personenbezogener Daten genutzt wird — z. B. Gesundheitsdaten oder Fotos erkennbarer Personen in User-Research. Bei internen Design-Workflows ohne besondere Datenkategorien ist eine DSFA in der Regel nicht verpflichtend.

Kostenlos beraten