Kostenlos beraten
Figma AVV und DSGVO-Compliance für Unternehmen in Deutschland
tools

Figma AVV: Auftragsverarbeitungsvertrag für die DSGVO

Hat Figma einen Auftragsverarbeitungsvertrag für die DSGVO?

Ja — Figma stellt einen Auftragsverarbeitungsvertrag (AVV) bereit, jedoch nur für Kunden des Organization- und Enterprise-Tarifs. Deutsche Unternehmen auf Starter- oder Professional-Tarifen haben keine AVV-Abdeckung und müssen ihren Tarif upgraden, bevor sie personenbezogene Daten über Figma verarbeiten.

  • Figmas AVV gilt nur für Organization- und Enterprise-Tarife. Starter- und Professional-Nutzer sind nicht abgedeckt.
  • Figma AI-Features verwenden keine Kundeninhalte fuer KI-Training, aber Daten werden ueber US-amerikanische Infrastruktur verarbeitet.
  • Design-Dateien enthalten haeufig personenbezogene Daten — Fotos, Research-Material, Mockups. Ein AVV nach Art. 28 DSGVO ist daher erforderlich.
  • Kein EU-exklusiver Datenspeicher für Nicht-Enterprise-Kunden. Standardvertragsklauseln decken internationale Transfers ab.

Ja, Figma verfügt über einen Auftragsverarbeitungsvertrag (AVV) — aber dieser steht nur für Figma Organization- und Figma Enterprise-Tarife zur Verfügung. Deutsche Unternehmen, die Figma unter der DSGVO evaluieren, müssen über die reine AVV-Verfügbarkeit hinausschauen: KI-Feature-Datenflüsse, das Fehlen einer EU-exklusiven Datenspeicherung bei günstigeren Tarifen und Betriebsratsanforderungen müssen vor dem Einsatz geprüft werden.

Was ist Figma?

Figma ist eine cloudbasierte kollaborative Design-Plattform mit Hauptsitz in San Francisco, Kalifornien. Sie bietet Vektor-Design-Tools, Prototyping und Echtzeit-Zusammenarbeit für Produkt- und Marketing-Teams. Im Jahr 2024 führte Figma Figma AI ein — eine Suite KI-gestützter Features, darunter KI-unterstützte Layout-Generierung, Content-Entwürfe, Design-Vorschläge und Hintergrundentfernung. FigJam, Figmas Online-Whiteboard-Produkt, bietet ebenfalls KI-gestützte Features für Brainstorming und Diagrammerstellung.

Da Figma Design-Inhalte — die routinemäßig Fotos, User-Research-Daten und Mockups mit personenbezogenen Daten umfassen — im Auftrag von Geschäftskunden verarbeitet, ist das Unternehmen ein Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Vor der Verarbeitung personenbezogener Daten über die Plattform in einem professionellen Kontext ist ein wirksamer Auftragsverarbeitungsvertrag rechtlich zwingend erforderlich.

Ist Figma DSGVO-konform nutzbar?

Figma kann mit der richtigen Tarifstufe und vertraglichen Grundlage DSGVO-konform eingesetzt werden. Der kostenfreie Starter-Tarif und der Professional-Tarif beinhalten keinen AVV und sind nicht für die Verarbeitung personenbezogener Daten in einem geschäftlichen Kontext unter der DSGVO geeignet.

Wesentliche Punkte für deutsche Unternehmen:

  • AVV-Verfügbarkeit: Verfügbar für Figma Organization und Figma Enterprise. Starter- und Professional-Nutzer haben keine AVV-Abdeckung.
  • KI-Trainingsdaten: Figma erklärt, keine Kundeninhalte — Design-Dateien, Prototypen oder FigJam-Boards — für das Training von KI-Modellen zu verwenden. Dies gilt für alle kostenpflichtigen Tarife.
  • Datenspeicherung: Figma nutzt AWS als primäre Infrastruktur. Eine EU-exklusive Datenspeicherung ist als Standardfeature nicht verfügbar. Enterprise-Kunden sollten Datenspeicherungskonditionen direkt mit Figma verhandeln.
  • Unterauftragsverarbeiter: Figma veröffentlicht eine Unterauftragsverarbeiterliste, einschließlich AWS für Hosting und verschiedener Anbieter für Analytics und Support. Bei Nutzung von Figma AI-Features sind KI-Infrastrukturanbieter als Unterauftragsverarbeiter aufgeführt.
  • Standardvertragsklauseln: Figma enthält im AVV Standardvertragsklauseln (SCCs) für Transfers personenbezogener Daten aus der EU/dem EWR in die USA.

Hat Figma einen AVV nach Art. 28 DSGVO?

Ja. Figma stellt für Organization- und Enterprise-Kunden einen Auftragsverarbeitungsvertrag bereit. Der AVV umfasst die Verarbeitung personenbezogener Daten durch Figma im Auftrag des Geschäftskunden, einschließlich der über Figma AI-Features verarbeiteten Daten.

Für deutsche Unternehmen ist der AVV der Ausgangspunkt, nicht der Abschluss der Compliance-Arbeit. Zusätzlich erforderlich:

  1. Bestätigung, dass Standardvertragsklauseln für Transfers zu Figma (USA) und AWS-Unterauftragsverarbeitern vorliegen.
  2. Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) um Figma.
  3. Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, wenn Figma für die Verarbeitung besonderer Kategorien personenbezogener Daten genutzt wird — etwa User-Research mit sensiblen Daten oder Design-Dateien mit Fotos identifizierbarer Personen.
  4. Überwachung der Unterauftragsverarbeiter-Benachrichtigungen — Figma informiert Kunden über Änderungen; der interne Prozess muss diese Aktualisierungen erfassen.

Als Vergleich: Canva bietet ebenfalls AVV-Abdeckung nur für kostenpflichtige Tarife (Teams und Enterprise) und nutzt SCCs für EU-US-Datentransfers. Für Adobe-Design-Tools verweisen wir auf unseren Adobe Firefly Compliance-Leitfaden.

Figma AI-Features und Datenverarbeitung

Figma AI, eingeführt auf der Config 2024, ergänzt den Design-Editor um KI-gestützte Funktionen. Diese Features schaffen datenschutzrechtliche Anforderungen, die über die reine Dateispeicherung hinausgehen:

KI-Design-Tools (Layout-Vorschläge, Content-Befüllung, Design-Generierung) verarbeiten den Inhalt von Design-Frames — einschließlich Bilder, Texte und Struktur — zur Erzeugung von KI-Ausgaben. Dieser Inhalt wird an Figmas KI-Infrastruktur übermittelt.

KI-Content-Entwürfe generieren Textentwürfe auf Basis des Design-Kontexts. Texte, Beschriftungen und Platzhalterinhalte in einem Design-Frame können als Prompt-Kontext an die KI-Modelle von Figma übermittelt werden.

FigJam AI bietet KI-gestützte Cluster-Bildung, Zusammenfassungen und Diagrammerstellung. FigJam-Boards können Meeting-Notizen, User-Research-Material, Strategie-Dokumente und andere Inhalte enthalten, die personenbezogene Daten umfassen können.

Wesentlicher Datenschutzpunkt: Figma erklärt, keine Kundeninhalte für das Training von KI-Modellen zu verwenden. Einzelne KI-Features können in der Regel auf Organisationsebene in Organization- und Enterprise-Tarifen deaktiviert werden. Falls bestimmte KI-Features für den konkreten Einsatzfall nicht geeignet sind, sollte ihre Deaktivierung verifiziert und im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden.

Datenspeicherung und internationale Datentransfers

Figma hat seinen Hauptsitz in San Francisco und betreibt seine Infrastruktur primär über Amazon Web Services (AWS). Daten europäischer Kunden werden auf AWS-Infrastruktur verarbeitet — auch auf Infrastruktur in den USA. Damit unterliegen über Figma verarbeitete personenbezogene Daten internationalen Transfers nach Kapitel V DSGVO.

Unterauftragsverarbeiter (repräsentativ):

UnternehmenRolleStandort
Figma, Inc.Auftragsverarbeiter (Design-Plattform)USA
Amazon Web ServicesUnterauftragsverarbeiter (Cloud-Hosting)USA / Global
Figma AI-InfrastrukturUnterauftragsverarbeiter (KI-Feature-Verarbeitung)USA

Alle Transfers aus der EU/dem EWR basieren auf Standardvertragsklauseln. Die deutschen Datenschutzbehörden haben SCCs als wirksamen Transfermechanismus anerkannt, sofern angemessene Schutzmaßnahmen getroffen werden — insbesondere Verschlüsselung bei der Übertragung und Speicherung sowie Datensparsamkeit.

Enterprise-Kunden können Datenspeicherungsvereinbarungen direkt mit dem Figma-Vertrieb verhandeln. Für alle anderen Tarife sind SCCs der primäre rechtliche Mechanismus für internationale Datentransfers.

Was deutsche Design-Teams wissen müssen

Deutsche Unternehmen — insbesondere Produkt-Design-, UX- und Marketing-Teams — sehen sich bei der Nutzung von Figma spezifischen DSGVO-Anforderungen gegenüber:

Betriebsrat-Beteiligung: Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat Mitbestimmungsrechte bei der Einführung technischer Einrichtungen, die das Verhalten oder die Leistung von Arbeitnehmern überwachen können. Figma erzeugt Nutzungsanalysen, Aktivitätsprotokolle und Kollaborationsdaten, die das Verhalten einzelner Designer nachvollziehbar machen. Wird Figma teamübergreifend eingeführt, kann eine Betriebsratsbeteiligung vor dem Rollout erforderlich sein — insbesondere wenn Nutzungsdaten für Leistungsbewertungen herangezogen werden könnten.

Design-Dateien mit personenbezogenen Daten: Dies ist das datenschutzrechtlich am häufigsten übersehene Thema. Figma-Dateien enthalten regelmäßig personenbezogene Daten:

  • Fotos erkennbarer Personen in Marketing-Mockups oder Produkt-Prototypen
  • User-Research-Daten — Screenshots, Interview-Notizen, Usability-Test-Aufzeichnungen in FigJam
  • Kundendaten in UI-Prototypen (Namen, E-Mail-Adressen, Kontonummern in Formular-Mockups)

Jeder dieser Fälle macht Figma zum Auftragsverarbeiter für die betreffenden Daten. Ein unterzeichneter AVV muss vorliegen, bevor diese Daten in die Plattform eingebracht werden.

Starter- und Professional-Tarif-Lücke: Viele Designer starten mit dem kostenlosen Starter-Tarif von Figma. Für Starter- oder Professional-Nutzer gibt es keinen AVV — diese Tarife sind für jede berufliche Tätigkeit mit personenbezogenen Daten ungeeignet. Nutzen Mitarbeiter private Figma-Konten für berufliche Arbeit mit Kundendaten oder User-Research-Material, muss dies unmittelbar in der IT- und Datenschutzrichtlinie des Unternehmens adressiert werden.

Agenturen und Auftragsarbeiten: Design-Agenturen, die Dateien erstellen, die Kundendaten enthalten, müssen Figma als Auftragsverarbeiter für die darin enthaltenen personenbezogenen Daten behandeln. Die AVV-Abdeckung muss sichergestellt sein, und Kundenverträge sollten Datenverarbeitungspflichten adressieren.

EU AI Act-Anforderungen

Figma AI-Features — Layout-Unterstützung, Content-Entwürfe, Design-Generierung — sind kreative Assistenztools. Nach dem EU AI Act werden diese in der Regel als KI-Systeme mit geringem Risiko oder minimalem Risiko eingestuft. Sie unterstützen menschliche Designer, anstatt autonome Entscheidungen zu treffen, die Einzelpersonen erheblich betreffen.

Eine Transparenzpflicht nach dem AI Act greift erst, wenn Figma AI Inhalte erzeugt, die direkt Endnutzern präsentiert werden, die möglicherweise glauben, mit einem Menschen zu interagieren. Die meisten internen Design-Workflows lösen diese Pflicht nicht aus.

Einen umfassenden Überblick über KI-Compliance-Pflichten für Unternehmen bietet unser EU AI Act Compliance-Leitfaden.

Unsere Einschätzung

Für deutsche Produkt- und Design-Teams ist Figma Organization oder Enterprise der Mindest-Tarif, der für eine DSGVO-konforme Nutzung erforderlich ist, wenn Design-Dateien personenbezogene Daten enthalten. Der AVV ist verfügbar, Figma trainiert keine Modelle mit Kundeninhalten, und die Unterauftragsverarbeiter sind dokumentiert. Die Compliance-Schritte entsprechen denen jeder US-amerikanischen SaaS-Plattform: AVV unterzeichnen, SCCs implementieren, Unterauftragsverarbeiter prüfen und den Betriebsrat einbinden, wenn Figma teamübergreifend eingesetzt wird.

Die Nutzung des Starter- oder Professional-Tarifs für berufliche Tätigkeiten mit personenbezogenen Daten empfehlen wir ausdrücklich nicht — es besteht keine AVV-Abdeckung, was ein direktes Risiko nach Art. 28 DSGVO begründet.

Compound Law unterstützt bei AVV-Prüfung, SCC-Implementierung, DSFA-Erstellung und Betriebsratsverhandlungen für Figma-Deployments. Erfahren Sie mehr über unsere rechtliche Expertise.

Häufig gestellte Fragen

Hat Figma einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Figma stellt für Organization- und Enterprise-Kunden einen Auftragsverarbeitungsvertrag bereit. Starter- und Professional-Nutzer sind nicht durch einen AVV abgedeckt und dürfen in einem professionellen Kontext unter der DSGVO keine personenbezogenen Daten über Figma verarbeiten. Der AVV muss unterzeichnet vorliegen, bevor Design-Dateien mit personenbezogenen Daten in die Plattform eingebracht werden.

Ist Figma DSGVO-konform für deutsche Unternehmen?

Figma kann auf Organization- oder Enterprise-Tarifen DSGVO-konform genutzt werden: mit unterzeichnetem AVV, Standardvertragsklauseln für US-Datentransfers und einem aktualisierten Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Starter- und Professional-Nutzer haben keine AVV-Abdeckung und müssen ihren Tarif upgraden, bevor personenbezogene Daten verarbeitet werden.

Trainiert Figma KI-Modelle mit Design-Dateien?

Figma erklärt, keine Kundeninhalte — einschließlich Design-Dateien und FigJam-Boards — für das Training von KI-Modellen zu verwenden. Dies gilt für alle kostenpflichtigen Tarife. Die aktuellen Figma-Datenschutzbestimmungen und Nutzungsbedingungen sollten regelmäßig geprüft werden, da sich KI-Trainingsdatenrichtlinien ändern können.

Wo werden Figma-Daten gespeichert?

Figma nutzt Amazon Web Services (AWS) als primäre Cloud-Infrastruktur. Daten europäischer Kunden werden auf AWS-Infrastruktur verarbeitet, einschließlich Infrastruktur in den USA. Die Standardvertragsklauseln im Figma-AVV decken diesen internationalen Transfer nach Art. 46 DSGVO ab. Figma bietet keine EU-exklusive Datenspeicherung als Standardfeature außerhalb von Enterprise-Verhandlungen.

Braucht der Betriebsrat bei Figma ein Mitbestimmungsrecht?

Möglicherweise. Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat Mitbestimmungsrechte bei der Einführung technischer Einrichtungen, die das Verhalten oder die Leistung von Arbeitnehmern überwachen können. Wenn Figma teamübergreifend eingesetzt wird und Nutzungsanalysen oder Aktivitätsdaten erzeugt, die Rückschlüsse auf individuelle Leistung ermöglichen, sollte der Betriebsrat vor dem Rollout eingebunden werden.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot DSGVO: AVV mit Microsoft, EU Data Boundary, Betriebsrat und Compliance-Checkliste für Unternehmen in Deutschland.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.

Mehr KI-Tools durchsuchen

Häufige Fragen

Hat Figma einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Figma stellt für Organization- und Enterprise-Kunden einen Auftragsverarbeitungsvertrag bereit. Starter- und Professional-Kunden sind nicht durch einen AVV abgedeckt und dürfen unter der DSGVO in einem professionellen Kontext keine personenbezogenen Daten über Figma verarbeiten.

Ist Figma DSGVO-konform für deutsche Unternehmen?

Figma kann auf Organization- oder Enterprise-Tarifen DSGVO-konform genutzt werden: mit unterzeichnetem AVV, Standardvertragsklauseln für US-Datentransfers und aktualisierten Verzeichnissen von Verarbeitungstätigkeiten. Starter- und Professional-Nutzer haben keine AVV-Abdeckung.

Trainiert Figma KI-Modelle mit Design-Dateien?

Figma erklärt, keine Kundeninhalte — einschließlich Design-Dateien und FigJam-Boards — für das Training von KI-Modellen zu verwenden. Dies gilt für alle kostenpflichtigen Tarife. Die aktuellen Figma-Nutzungsbedingungen sollten regelmäßig geprüft werden, da sich KI-Trainingsdatenrichtlinien ändern können.

Wo werden Figma-Daten gespeichert?

Figma nutzt Amazon Web Services (AWS) als primäre Cloud-Infrastruktur. Daten europäischer Kunden werden auf AWS-Infrastruktur verarbeitet, einschließlich Infrastruktur in den USA. Standardvertragsklauseln im Figma-AVV decken diesen internationalen Transfer ab. Figma bietet kein EU-exklusives Datenspeichermodell für Standard-Tarife.

Brauche ich für Figma eine DSFA?

Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn Figma fuer besondere Kategorien personenbezogener Daten genutzt wird — z. B. Gesundheitsdaten oder Fotos erkennbarer Personen in User-Research. Bei internen Design-Workflows ohne besondere Datenkategorien ist eine DSFA in der Regel nicht verpflichtend.

Kostenlos beraten