Kostenlos beraten
Grammarly DSGVO-konform einsetzen: AVV und Datenschutz für deutsche Unternehmen
tools

Grammarly DSGVO-konform nutzen: AVV und Beschäftigtendatenschutz

Grammarly stellt Enterprise-Kunden einen Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 DSGVO zur Verfügung. Deutsche Unternehmen müssen vor dem Einsatz von Grammarly prüfen, welche Mitarbeiterdaten das Tool verarbeitet, den AVV abschließen und beurteilen, ob der Betriebsrat einzubinden ist. Da Grammarly Texte analysiert, die Beschäftigte verfassen — darunter E-Mails, Verträge und interne Dokumente — ergeben sich spezifische Anforderungen aus dem Beschäftigtendatenschutz nach § 26 BDSG und der DSGVO.

Hat Grammarly einen Auftragsverarbeitungsvertrag (AVV)?

Grammarly stellt einen Auftragsverarbeitungsvertrag bereit, jedoch abhängig vom gebuchten Tarif:

  • Grammarly Enterprise: Vollständiger AVV verfügbar, einschließlich Sub-Auftragsverarbeiterliste, Datenlöschfristen und Standardvertragsklauseln für EU-US-Transfers.
  • Grammarly Business: AVV auf Anfrage über das Kontomanagement erhältlich.
  • Grammarly Free und Premium: Kein AVV verfügbar. Diese Tarife sind für die Verarbeitung personenbezogener Daten von Beschäftigten oder Kunden nicht geeignet.

Diese tarifabhängige Einschränkung unterscheidet Grammarly grundlegend von Tools wie HubSpot oder Zendesk, die allen zahlenden Kunden einen AVV anbieten. Deutsche Unternehmen, die Grammarly in Free- oder Premium-Tarifen für Mitarbeitende einsetzen, verstoßen mit hoher Wahrscheinlichkeit gegen Artikel 28 DSGVO.

Der Grammarly-AVV regelt:

  • Verarbeitungsumfang: Kategorien personenbezogener Daten (von Beschäftigten verfasste Texte, Metadaten zu Korrekturen und Vorschlägen)
  • Sub-Auftragsverarbeiter: Drittanbieter, die Grammarly zur Leistungserbringung einsetzt, einschließlich Cloud-Infrastrukturanbieter
  • Datenübermittlungsmechanismen: Standardvertragsklauseln (SCC) für Übermittlungen personenbezogener Daten aus der EU/dem EWR in die USA
  • Datenspeicherung: Speicherdauer von Textausschnitten und Nutzerdaten
  • Technische und organisatorische Maßnahmen: Sicherheitsstandards, die Grammarly zum Schutz der Daten einhält

Grammarly AVV abschließen: So gehen deutsche Unternehmen vor

Der AVV ist keine optionale Zusatzvereinbarung, sondern rechtliche Voraussetzung für die DSGVO-konforme Nutzung von Grammarly. Folgende Schritte sind erforderlich:

  1. Tarifberechtigung prüfen: Vor dem Einsatz sicherstellen, dass der gebuchte Grammarly-Tarif den Abschluss eines AVV ermöglicht.
  2. AVV abschließen: Den Auftragsverarbeitungsvertrag über den Grammarly-Kundenbetreuer oder das Kundenportal anfordern und unterzeichnen.
  3. Verarbeitungsverzeichnis aktualisieren: Grammarly als Auftragsverarbeiter für Beschäftigtenkommunikationsdaten in das Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO aufnehmen.
  4. Standardvertragsklauseln bestätigen: Sicherstellen, dass die aktuellen EU-SCCs (Durchführungsbeschluss 2021/914 der Kommission) im AVV für EU-US-Datentransfers enthalten sind.
  5. Sub-Auftragsverarbeiterliste prüfen: Die veröffentlichte Liste von Grammarly einsehen und Datenschutzhinweise für Beschäftigte entsprechend aktualisieren.

Wer Grammarly ohne gültigen AVV einsetzt, während Beschäftigte personenbezogene Daten darüber verarbeiten, verstößt gegen die DSGVO. Datenschutzaufsichtsbehörden können in solchen Fällen Bußgelder verhängen.

Welche Daten verarbeitet Grammarly von Ihren Mitarbeitenden?

Dies ist die zentrale DSGVO-Frage beim Grammarly-Einsatz. Die Browser-Erweiterung und Desktop-App von Grammarly analysieren Texte in Echtzeit während des Schreibens. Je nach Konfiguration und Tarif kann Grammarly folgende Inhalte verarbeiten:

  • E-Mail-Inhalte: Texte, die in Gmail, Outlook und anderen E-Mail-Clients verfasst werden
  • Dokumenteninhalte: Texte in Google Docs, Microsoft Word und anderen Editoren
  • Interne Kommunikation: Nachrichten in Slack, Teams und ähnlichen Plattformen
  • Vertrauliche Geschäftsinhalte: Vertragsentwürfe, Angebote, HR-Korrespondenz und rechtliche Dokumente

Für deutsche Unternehmen ergeben sich daraus zwei datenschutzrechtliche Problemkreise:

  • Beschäftigtenpersonaldaten: Grammarly verarbeitet Daten, die Beschäftigten bei ihrer Arbeit zugeordnet werden können. Die Rechtsgrundlage für diese Verarbeitung muss festgestellt werden (in der Regel Art. 6 Abs. 1 lit. b DSGVO i.V.m. § 26 Abs. 1 BDSG — Verarbeitung zur Durchführung des Beschäftigungsverhältnisses).
  • Personenbezogene Daten Dritter: Beschäftigte schreiben über oder an Dritte (Kunden, Bewerbende, Patienten). Grammarly wird damit auch zum Auftragsverarbeiter dieser Drittpartei-Daten.

Grammarly ermöglicht Administratoren die Konfiguration der Textausschnitt-Speicherung — mit der Option, die serverseitige Speicherung von Textinhalten zu reduzieren oder zu deaktivieren. Für sensible Branchen (Recht, Medizin, Finanzen) wird die Deaktivierung der Textspeicherung dringend empfohlen und sollte als technische Maßnahme in der Datenschutz-Folgenabschätzung dokumentiert werden.

DSGVO-Konformität: Wo Grammarly Daten speichert

Grammarlys Infrastruktur ist primär in den USA angesiedelt. Anders als einige Enterprise-Softwareanbieter bietet Grammarly derzeit keine EU-Datenspeicheroption, die eine vollständige Verarbeitung auf EU-Servern sicherstellt.

Wesentliche Fakten zu Datentransfers:

  • Standardvertragsklauseln: Für jeden EU-US-Datentransfer erforderlich. Grammarly integriert SCCs in seinen Enterprise-AVV als Transfermechanismus nach Kapitel V DSGVO.
  • Keine EU-Rechenzentrum-Option: Stand 2026 bietet Grammarly keine Möglichkeit, ausschließlich EU-basierte Verarbeitung zu wählen. Alle Nutzertexte werden über US-Infrastruktur verarbeitet.
  • Sub-Auftragsverarbeiter: Grammarly setzt Cloud-Infrastrukturanbieter ein (darunter AWS und Google Cloud). Die Sub-Auftragsverarbeiterliste steht Enterprise-Kunden zur Verfügung und sollte im Rahmen einer Datenschutz-Folgenabschätzung geprüft werden.

Für deutsche Unternehmen mit strengen Anforderungen an die Datenlokalisierung — insbesondere im Gesundheitswesen, bei Finanzdienstleistungen und im öffentlichen Sektor — ist das Fehlen einer EU-Datenspeicheroption ein gewichtiges Beschaffungskriterium. Bei der Einführung in diesen Sektoren ist ein Transfer Impact Assessment (TIA) im Rahmen der Datenschutz-Folgenabschätzung durchzuführen.

Grammarly Enterprise vs. Business — DSGVO-Unterschiede im Vergleich

MerkmalGrammarly EnterpriseGrammarly BusinessFree/Premium
AVV verfügbarJaAuf AnfrageNein
Angepasste DatenspeicherungJaEingeschränktNein
Admin-Kontrolle (Textspeicherung)JaTeilweiseNein
SSO / zentrale BenutzerverwaltungJaJaNein
Sub-AuftragsverarbeiterlisteJaAuf AnfrageNein
DSGVO-konformer MitarbeitereinsatzJa (mit AVV)Mit AVV + PrüfungNein

Für deutsche Unternehmen mit mehr als 20 Beschäftigten ist Grammarly Enterprise der einzige Tarif, der den vollständigen Kontrollumfang für eine DSGVO-konforme Einführung bietet.

Betriebsrat und Mitbestimmung beim Grammarly-Einsatz

Grammarly berührt spezifische Mitbestimmungsfragen nach deutschem Arbeitsrecht. Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein zwingendes Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Grammarly erfüllt die Kriterien einer solchen Einrichtung, weil es:

  • Jeden von Beschäftigten verfassten Text in Echtzeit analysiert
  • Korrekturstatistiken und Schreibqualitätskennzahlen pro Nutzer erfasst
  • Protokolle der Schreibaktivitäten über alle integrierten Anwendungen hinweg speichert
  • Rückschlüsse auf Kommunikationsmuster, Reaktionszeiten und Schreibvolumen einzelner Beschäftigter ermöglicht

Vor der Einführung von Grammarly in Unternehmen mit Betriebsrat sind folgende Schritte zwingend:

  1. Betriebsrat informieren: Den Betriebsrat frühzeitig über die geplante Einführung von Grammarly, die zu aktivierenden Funktionen und die erhobenen Daten unterrichten.
  2. Betriebsvereinbarung abschließen: Eine Betriebsvereinbarung verhandeln, die zulässige Anwendungsfälle, Datenzugriff durch Administratoren und Speicherfristen regelt.
  3. Vereinbarung dokumentieren: Die Betriebsvereinbarung muss vor dem Go-live abgeschlossen sein — die Einführung ohne Beteiligung des Betriebsrats kann zur Untersagung des Systembetriebs führen.

Die Betriebsvereinbarung sollte ausdrücklich regeln, ob Administratoren Zugriff auf individuelle Schreibstatistiken einzelner Beschäftigter erhalten oder nur auf aggregierte Teamauswertungen, da dies die Überwachungsqualität im Sinne des BetrVG bestimmt.

DSGVO-Checkliste für Grammarly in Deutschland

Vor dem Go-live mit Grammarly im deutschen Unternehmenskontext sollten folgende Punkte abgehakt sein:

  • Tarifberechtigung geprüft: Enterprise- oder Business-Tarif mit AVV-Zugang bestätigt
  • AVV abgeschlossen: Auftragsverarbeitungsvertrag mit Grammarly-Kundenbetreuer unterzeichnet
  • SCC bestätigt: Standardvertragsklauseln für EU-US-Datentransfers im AVV enthalten
  • Sub-Auftragsverarbeiterliste geprüft: Aktuelle Liste eingesehen, Datenschutzhinweise aktualisiert
  • Verarbeitungsverzeichnis aktualisiert: Grammarly in das Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO aufgenommen
  • Datenschutzhinweise für Beschäftigte angepasst: Grammarly-Verarbeitung in internen Datenschutzerklärungen offengelegt
  • Textspeicherung konfiguriert: Snippet-Speicherung in den Grammarly-Admineinstellungen deaktiviert oder minimiert
  • DSFA durchgeführt: Bei großangelegter Verarbeitung von Beschäftigtentextdaten — Transferrisiken und Maßnahmen dokumentiert
  • Transfer Impact Assessment: Für EU-US-Datentransfers ohne EU-Datenspeicheroption abgeschlossen
  • Betriebsrat informiert: Mitbestimmungsverfahren vor dem Go-live eingeleitet
  • Betriebsvereinbarung abgeschlossen: Nutzungsvereinbarung mit dem Betriebsrat zu zulässigen Funktionen und Datenzugriff unterzeichnet

Compound Law unterstützt Sie bei der AVV-Prüfung, SCC-Analyse, Datenschutz-Folgenabschätzung, Transfer Impact Assessments und Betriebsratsverhandlungen für Grammarly-Einführungen in Deutschland und im DACH-Raum. Weitere Informationen finden Sie unter unseren Compliance-Leistungen.

Zum Vergleich: Cursor und Copilot für Microsoft 365 verarbeiten ebenfalls von Beschäftigten erstellten Code oder Text und stellen vergleichbare Anforderungen an den Beschäftigtendatenschutz und die Betriebsratsbeteiligung.

Häufig gestellte Fragen

Ist Grammarly DSGVO-konform?

Grammarly kann DSGVO-konform genutzt werden, jedoch ausschließlich mit einem Enterprise- oder Business-Tarif, der den Abschluss eines AVV ermöglicht. Free- und Premium-Tarife ohne AVV sind für die Verarbeitung personenbezogener Daten von Beschäftigten oder Kunden nicht geeignet. Zur DSGVO-Konformität gehören außerdem Standardvertragsklauseln für EU-US-Datentransfers, ein aktualisiertes Verarbeitungsverzeichnis und — in Unternehmen mit Betriebsrat — eine abgeschlossene Betriebsvereinbarung vor dem Einsatz.

Hat Grammarly einen AVV (Auftragsverarbeitungsvertrag)?

Ja, jedoch ausschließlich für Enterprise-Kunden und auf Anfrage für Business-Kunden. Grammarlys Data Processing Agreement fungiert als Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO. Free- und Premium-Tarife schließen keinen AVV ein. Organisationen, die Grammarly ohne Enterprise- oder Business-Abonnement einsetzen, können personenbezogene Daten von Beschäftigten nicht rechtmäßig über das Tool verarbeiten.

Darf ich Grammarly für vertrauliche rechtliche Dokumente nutzen?

Nur mit Vorsicht. Grammarly analysiert Texte beim Schreiben in Echtzeit, was bedeutet, dass vertrauliche Inhalte — darunter Rechtsdokumente, HR-Korrespondenz und Verträge — Grammarlys Server durchlaufen. Im Enterprise-Tarif kann die Textspeicherung durch Administratoren deaktiviert werden. Für hochsensible Inhalte sollten Rechts- und Compliance-Teams die Textspeicherung konfigurieren oder bestimmte Anwendungen vom Wirkungsbereich der Browser-Erweiterung ausschließen.

Speichert Grammarly die Texte meiner Mitarbeitenden?

Standardmäßig speichert Grammarly Textausschnitte zur Verbesserung seiner Vorschläge. Im Enterprise-Tarif können Administratoren die Snippet-Speicherung reduzieren oder deaktivieren. Diese Einstellung sollte als Maßnahme zur Datensparsamkeit gemäß Artikel 5 Abs. 1 lit. c DSGVO überprüft und dokumentiert werden. Klären Sie die aktuelle Speicherkonfiguration in den Grammarly-Admineinstellungen und mit Ihrem Kundenbetreuer.

Brauche ich eine Betriebsvereinbarung für Grammarly?

Wenn Ihr Unternehmen einen Betriebsrat hat und Grammarly für Beschäftigte eingeführt werden soll, sind Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG mit hoher Wahrscheinlichkeit betroffen. Grammarly überwacht Schreibaktivitäten von Beschäftigten in Echtzeit und erfüllt damit die Kriterien einer technischen Überwachungseinrichtung nach deutschem Arbeitsrecht. Eine Betriebsvereinbarung muss vor dem Go-live verhandelt und abgeschlossen werden. Die Einführung ohne Beteiligung des Betriebsrats riskiert eine Untersagung des Systembetriebs.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot DSGVO: AVV mit Microsoft, EU Data Boundary, Betriebsrat und Compliance-Checkliste für Unternehmen in Deutschland.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist Grammarly DSGVO-konform?

Grammarly kann DSGVO-konform genutzt werden, jedoch ausschließlich mit einem Enterprise- oder Business-Tarif, der den Abschluss eines AVV ermöglicht. Free- und Premium-Tarife ohne AVV sind für die Verarbeitung personenbezogener Daten von Beschäftigten oder Kunden nicht geeignet. Zur DSGVO-Konformität gehören außerdem Standardvertragsklauseln für EU-US-Datentransfers, ein aktualisiertes Verarbeitungsverzeichnis und — in Unternehmen mit Betriebsrat — eine abgeschlossene Betriebsvereinbarung vor dem Einsatz.

Hat Grammarly einen AVV (Auftragsverarbeitungsvertrag)?

Ja, jedoch ausschließlich für Enterprise-Kunden und auf Anfrage für Business-Kunden. Grammarlys Data Processing Agreement fungiert als Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO. Free- und Premium-Tarife schließen keinen AVV ein. Organisationen, die Grammarly ohne Enterprise- oder Business-Abonnement einsetzen, können personenbezogene Daten von Beschäftigten nicht rechtmäßig über das Tool verarbeiten.

Darf ich Grammarly für vertrauliche rechtliche Dokumente nutzen?

Nur mit Vorsicht. Grammarly analysiert Texte beim Schreiben in Echtzeit, was bedeutet, dass vertrauliche Inhalte — darunter Rechtsdokumente, HR-Korrespondenz und Verträge — Grammarlys Server durchlaufen. Im Enterprise-Tarif kann die Textspeicherung durch Administratoren deaktiviert werden. Für hochsensible Inhalte sollten Rechts- und Compliance-Teams die Textspeicherung konfigurieren oder bestimmte Anwendungen vom Wirkungsbereich der Browser-Erweiterung ausschließen.

Speichert Grammarly die Texte meiner Mitarbeitenden?

Standardmäßig speichert Grammarly Textausschnitte zur Verbesserung seiner Vorschläge. Im Enterprise-Tarif können Administratoren die Snippet-Speicherung reduzieren oder deaktivieren. Diese Einstellung sollte als Maßnahme zur Datensparsamkeit gemäß Artikel 5 Abs. 1 lit. c DSGVO überprüft und dokumentiert werden. Klären Sie die aktuelle Speicherkonfiguration in den Grammarly-Admineinstellungen und mit Ihrem Kundenbetreuer.

Brauche ich eine Betriebsvereinbarung für Grammarly?

Wenn Ihr Unternehmen einen Betriebsrat hat und Grammarly für Beschäftigte eingeführt werden soll, sind Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG mit hoher Wahrscheinlichkeit betroffen. Grammarly überwacht Schreibaktivitäten von Beschäftigten in Echtzeit und erfüllt damit die Kriterien einer technischen Überwachungseinrichtung nach deutschem Arbeitsrecht. Eine Betriebsvereinbarung muss vor dem Go-live verhandelt und abgeschlossen werden. Die Einführung ohne Beteiligung des Betriebsrats riskiert eine Untersagung des Systembetriebs.

Kostenlos beraten