Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?
Hat Make.com einen Auftragsverarbeitungsvertrag (AVV)?
Ja. Make.com stellt einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO für kostenpflichtige Plan-Kunden ab dem Team-Tarif zur Verfügung. Free-Plan-Nutzer sind nicht abgedeckt. Deutsche Unternehmen müssen Tarif-Berechtigung, EU-Datenspeicherung, Unterauftragsverarbeiter und Betriebsratspflichten klären.
- Der Make.com AVV gilt ab dem Team-Tarif — Free-Plan-Nutzer haben keinen AVV-Schutz und dürfen keine personenbezogenen Daten geschäftlich über Make verarbeiten.
- EU-Datenspeicherung ist verfügbar — Make bietet EU-basierte Datenverarbeitung über AWS EU-Regionen. Aktivieren Sie diese Option in den Account-Einstellungen.
- Make-Workflows, die KI-APIs aufrufen, begründen EU-AI-Act-Betreiberpflichten — prüfen Sie die Risikoeinstufung vor dem Rollout.
- Der Betriebsrat ist nach §87 BetrVG einzubinden, wenn Make-Workflows Mitarbeiterprozesse berühren oder Verhaltensüberwachung ermöglichen könnten.
Make.com stellt einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO für kostenpflichtige Plan-Kunden zur Verfügung. Stand April 2026 ist der AVV über die Trust-Dokumentation von Make unter trust.make.com zugänglich. Er gilt ab dem Team-Tarif — Free-Plan-Nutzer sind nicht abgedeckt. Deutsche Unternehmen, die Make für die Workflow-Automatisierung einsetzen möchten, müssen neben dem Vorliegen eines AVV auch die EU-Datenspeicherung konfigurieren, Unterauftragsverarbeiter bewerten, EU-AI-Act-Betreiberpflichten prüfen und betriebliche Mitbestimmungsrechte klären. Eine Übersicht geprüfter Automatisierungs- und KI-Tools für den deutschen Markt finden Sie in unserer KI-Tools-Übersicht.
Hat Make.com einen AVV?
Ja. Make.com stellt einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO für kostenpflichtige Plan-Kunden zur Verfügung. Der AVV begründet die Auftragsverarbeiterstellung von Make, legt Pflichten gegenüber Unterauftragsverarbeitern, technische und organisatorische Maßnahmen (TOMs) und Standardvertragsklauseln (SCC) für internationale Datenübermittlungen fest.
So erhalten Sie den Make.com AVV:
- Tarif prüfen. Der AVV gilt ab dem Team-Tarif. Free-Plan-Nutzer sind nicht abgedeckt und dürfen personenbezogene Daten nicht geschäftlich über Make verarbeiten.
- Dokumentation unter trust.make.com einsehen. Make veröffentlicht AVV, Unterauftragsverarbeiterliste und Trust-Dokumentation im zentralen Trust-Portal.
- AVV abschließen. Bei den meisten Business-Tarifen ist die AVV-Annahme Bestandteil der Abonnementbedingungen. Wenn Ihr Unternehmen einen gesondert unterzeichneten AVV benötigt, wenden Sie sich an den Rechts- oder Vertriebsbereich von Make.
Prüfpunkte für die AVV-Due-Diligence:
| Prüfpunkt | Was zu klären ist |
|---|---|
| Tarif-Berechtigung | Handelt es sich um Team-Tarif oder höher? |
| Unterauftragsverarbeiter | Welche Anbieter setzt Make für Infrastruktur und Integrationen ein? |
| Übermittlungsmechanismus | Sind aktuelle SCC vorhanden, die alle Datenflüsse abdecken? |
| EU-Datenspeicherung | Ist EU-Datenhaltung im Account aktiviert? |
| Löschpflichten | Welche Standardlöschfristen gelten für Workflow-Logs und Verarbeitungsdaten? |
| Qualität der Art.-28-Klauseln | Erfüllen Weisungen, Vertraulichkeit, Audit- und Löschpflichten die DSGVO-Anforderungen? |
Eine ausführliche Darstellung der AVV-Anforderungen nach deutschem Datenschutzrecht finden Sie in unserem Leitfaden zum Auftragsverarbeitungsvertrag.
Was deckt der Make.com AVV ab?
Der Make.com AVV deckt die Kernpflichten nach Art. 28 DSGVO ab:
- Auftragsverarbeiterverhältnis. Make handelt als Auftragsverarbeiter im Auftrag des Verantwortlichen (Ihres Unternehmens). Der AVV legt Gegenstand, Zweck und Dauer der Verarbeitung fest.
- Unterauftragsverarbeiter. Make setzt Drittanbieter für Infrastruktur und Integrationen ein. Die aktuelle Liste ist unter trust.make.com einsehbar — prüfen Sie sie vor dem Deployment und erneut bei jeder Änderungsmitteilung von Make.
- Datenübermittlung. Für Übermittlungen personenbezogener Daten aus der EU/dem EWR in Drittstaaten gelten Standardvertragsklauseln.
- Datenlöschung. Der AVV regelt Löschpflichten nach Beendigung des Auftragsverhältnisses. Prüfen Sie die Standardlöschfristen für Workflow-Logs, Ein- und Ausgabedaten sowie Integrations-Payloads.
- TOMs. Make verpflichtet sich zu technischen und organisatorischen Maßnahmen. Gleichen Sie die aktuellen TOMs mit Ihren eigenen Datenschutzanforderungen und der Sensitivität der verarbeiteten Daten ab.
Unterauftragsverarbeiterkette (indikativ):
| Anbieter | Funktion | Hinweis |
|---|---|---|
| Make.com | Auftragsverarbeiter (Plattform) | EU-Datenspeicherung verfügbar |
| AWS | Cloud-Infrastruktur | EU-Regionen verfügbar |
| Weitere Unterauftragsverarbeiter | Verschiedene Infrastrukturdienste | Vollständige Liste unter trust.make.com |
Prüfen Sie stets die aktuelle, vollständige Unterauftragsverarbeiterliste unter trust.make.com vor dem Deployment. Unterauftragsverarbeiter können sich ändern, und mit der Erweiterung des Make-Funktionsumfangs können KI-bezogene Anbieter hinzukommen.
Ist Make.com DSGVO-konform?
Make.com kann mit dem richtigen Tarif und der richtigen Konfiguration DSGVO-konform genutzt werden. Das Vorliegen eines AVV ist eine notwendige, aber keine hinreichende Voraussetzung. Ob Ihre konkrete Make-Implementierung rechtmäßig ist, hängt davon ab, welche Workflows Sie aktivieren, welche personenbezogenen Daten in das System gelangen und ob Ihre vertragliche und technische Konfiguration Ihre tatsächlichen Datenflüsse abdeckt.
DSGVO-Checkliste für Make.com:
- AVV abgeschlossen. Ab Team-Tarif erforderlich, bevor personenbezogene Daten über Make verarbeitet werden.
- EU-Datenspeicherung aktiviert. Make bietet EU-basierte Datenverarbeitung über AWS EU-Regionen. Aktivieren Sie EU-Datenhaltung in den Account-Einstellungen, um die Abhängigkeit von SCC für infrastrukturseitige Übermittlungen zu reduzieren.
- SCC für verbleibende Übermittlungen. Auch bei aktivierter EU-Datenspeicherung können Unterauftragsverarbeiter und KI-API-Aufrufe innerhalb von Workflows Datenflüsse außerhalb des EWR umfassen. Prüfen Sie die SCC-Abdeckung für alle aktiven Unterauftragsverarbeiter.
- Verzeichnis von Verarbeitungstätigkeiten. Aktualisieren Sie Ihr Verzeichnis nach Art. 30 DSGVO und nehmen Sie Make.com sowie aktive Unterauftragsverarbeiter auf.
- Datenschutz-Folgenabschätzung (DSFA). Wenn Make-Workflows besondere Datenkategorien nach Art. 9 DSGVO verarbeiten, automatisierte Entscheidungen mit erheblichen Auswirkungen auf Einzelpersonen treffen oder umfangreiche personenbezogene Daten verarbeiten, kann eine DSFA nach Art. 35 DSGVO erforderlich sein.
Der Free-Plan ist für professionelle Zwecke mit Personenbezug nicht geeignet — auf diesem Tarif existiert kein AVV.
EU AI Act: Betreiberpflichten bei Make-Workflows mit KI-Integration
Make.com ist eine allgemeine Automatisierungsplattform und selbst kein KI-System im Sinne des EU AI Act. Viele Make-Workflows verbinden sich jedoch mit KI-APIs — etwa OpenAI, Anthropic oder anderen KI-Diensten. In diesem Fall entstehen EU-AI-Act-Betreiberpflichten für das Unternehmen, das den Workflow betreibt.
Betreiberpflichten nach dem EU AI Act:
Unternehmen, die KI-Systeme in ihrem Betrieb einsetzen, gelten nach dem EU AI Act als Betreiber (Deployer). Ruft ein Make-Workflow eine KI-API auf, um Inhalte zu verarbeiten, zu klassifizieren oder Empfehlungen zu erzeugen, die in Geschäftsentscheidungen einfließen, ist das Unternehmen Betreiber dieses KI-Systems — nicht nur Nutzer von Make.
Praktische Auswirkungen:
- Risikoeinstufung. Die meisten KI-gestützten Automatisierungsworkflows fallen unter minimales oder begrenztes Risiko. Workflows, die rechtlich oder ähnlich bedeutsame automatisierte Entscheidungen treffen — automatisierte Bewerbungsauswahl, Kreditscoring-Trigger, Zugangskontrolle — können eine höhere Risikoeinstufung erfordern.
- Transparenzpflichten. Wenn ein Make-Workflow KI-generierte Ausgaben erzeugt, die Einzelpersonen (Kunden, Mitarbeitenden) präsentiert werden, können Transparenzpflichten nach Art. 50 EU AI Act gelten.
- GPAI-Modelldokumentation. Wenn Ihr Make-Workflow ein Allzweck-KI-Modell (GPT-4, Claude, Gemini) integriert, prüfen Sie, ob die Dokumentation des Anbieters die EU-AI-Act-Betreiberpflichten erfüllt, einschließlich technischer Dokumentation und Nutzungshinweise.
Weitere Hinweise zu KI-Workflow-Compliance und automatisierten Planungsprozessen in Deutschland finden Sie in unserem Leitfaden zur KI-Planungsoptimierung Compliance.
Betriebsrat und BetrVG: Was deutsche Unternehmen beachten müssen
Deutsche Unternehmen, die Make in einer Weise einsetzen, die Mitarbeitende betrifft, müssen die Mitbestimmungsrechte nach dem Betriebsverfassungsgesetz (BetrVG) beachten.
Gemäß §87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat Mitbestimmungsrechte bei der Einführung und Anwendung technischer Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmerinnen und Arbeitnehmer zu überwachen. Make-Workflows können diese Pflicht in verschiedenen Szenarien auslösen:
- HR-Automatisierung. Make-Workflows, die Urlaubsanträge, Onboarding-Schritte oder Dienstplanung automatisieren, verarbeiten Mitarbeiterdaten unmittelbar und können einer Betriebsvereinbarung bedürfen, bevor sie produktiv eingesetzt werden.
- Aktivitätsprotokollierung. Wenn ein Make-Workflow Mitarbeiteraktionen protokolliert — Support-Ticket-Bearbeitungen, Auftragsverarbeitung, Zeiterfassungseingaben — und diese Daten zur Bewertung oder zum Vergleich individueller Leistung herangezogen werden könnten, ist der Betriebsrat einzubinden.
- E-Mail- und Kommunikationsautomatisierung. Automatisierte Workflows, die Mitarbeiterkommunikation verarbeiten oder weiterleiten, können sowohl der Mitbestimmung nach §87 BetrVG als auch dem Beschäftigtendatenschutz nach §26 BDSG unterliegen.
Empfohlenes Vorgehen:
Binden Sie Ihren Betriebsrat frühzeitig ein, bevor Make in einem Kontext eingesetzt wird, der Mitarbeiterdaten umfasst oder Arbeitsprozesse beeinflusst. Beschreiben Sie transparent, welche Daten der jeweilige Workflow erhebt und verarbeitet, und vereinbaren Sie eine Betriebsvereinbarung, die die zulässige Datennutzung regelt und unzulässige Leistungsüberwachung aus Workflow-Daten ausdrücklich untersagt.
Unsere Einschätzung
Make.com ist für deutsche Unternehmen mit entsprechender Vorbereitung einsetzbar. Der AVV ist vorhanden, EU-Datenspeicherung ist verfügbar und die Unterauftragsverarbeiterliste ist öffentlich dokumentiert — das sind die grundlegenden Anforderungen nach Art. 28 DSGVO.
Folgende Punkte erfordern vor dem Deployment aktives Handeln:
- Tarif-Berechtigung prüfen — sicherstellen, dass das Abonnement dem Team-Tarif oder höher entspricht, bevor personenbezogene Daten verarbeitet werden.
- EU-Datenspeicherung aktivieren — EU-Datenhaltung in den Account-Einstellungen konfigurieren und bestätigen, dass alle relevanten Workflows EU-basiert verarbeitet werden.
- Unterauftragsverarbeiter prüfen — trust.make.com auf aktuelle Unterauftragsverarbeiter prüfen, insbesondere für KI-API-Integrationen, die Ihre Workflows aktivieren.
- Betriebsrat einbinden — bei Workflows, die Mitarbeitende betreffen, Betriebsratspflichten klären und ggf. Betriebsvereinbarung abschließen.
- EU AI Act bewerten — bei KI-API-Aufrufen in Make-Workflows Betreiberpflichten nach dem EU AI Act prüfen und dokumentieren.
Compound Law berät Unternehmen in Deutschland zu DSGVO, KI-Beschaffung, AVV-Prüfung und EU-AI-Act-Compliance für Make.com-Deployments. Kontaktieren Sie uns für eine AVV-Prüfung oder eine auf Ihre Make-Konfiguration zugeschnittene Compliance-Checkliste.
Häufig gestellte Fragen
Hat Make.com einen AVV?
Ja. Make.com stellt einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO für kostenpflichtige Plan-Kunden (ab Team-Tarif) zur Verfügung. Der AVV deckt die Auftragsverarbeiterrolle von Make, Unterauftragsverarbeiter, Standardvertragsklauseln für internationale Datenübermittlungen und Löschpflichten ab. Free-Plan-Nutzer sind nicht abgedeckt und dürfen keine personenbezogenen Daten geschäftlich über Make verarbeiten. Den aktuellen AVV finden Sie unter trust.make.com.
Ist Make.com DSGVO-konform?
Make.com kann mit dem richtigen Setup DSGVO-konform genutzt werden: gültiger AVV (ab Team-Tarif), aktivierte EU-Datenspeicherung in den Account-Einstellungen, Standardvertragsklauseln für verbleibende internationale Übermittlungen und aktualisiertes Verzeichnis nach Art. 30 DSGVO. DSGVO-Konformität ist immer deployment-spezifisch — das Vorliegen eines AVV beim Anbieter ist notwendig, aber nicht hinreichend.
Wo verarbeitet Make.com Daten?
Make.com bietet EU-Datenspeicherung über AWS EU-Regionen. Bestimmte Tarife oder Funktionen können standardmäßig US-Infrastruktur nutzen. Aktivieren Sie EU-Datenspeicherung in den Account-Einstellungen und überprüfen Sie die aktuellen Optionen und Sub-Processor-Hosting-Standorte unter trust.make.com.
Ab welchem Tarif gilt der Make.com AVV?
Der AVV von Make.com gilt ab dem Team-Tarif. Free-Plan-Nutzer verfügen über keinen AVV und dürfen personenbezogene Daten nicht geschäftlich über Make verarbeiten.
Was sind Standardvertragsklauseln (SCC) und warum sind sie bei Make relevant?
Standardvertragsklauseln (SCC) sind von der EU-Kommission genehmigte Mustervertragsklauseln, die eine rechtskonforme Übermittlung personenbezogener Daten aus der EU/dem EWR in Drittstaaten ermöglichen. Da Make und einige seiner Unterauftragsverarbeiter in den USA ansässig sind, bilden SCC die zentrale Rechtsgrundlage für Drittlandübermittlungen. Der Make.com AVV schließt SCC ein — prüfen Sie, ob diese alle Ihre aktiven Datenflüsse und Unterauftragsverarbeiter abdecken, insbesondere KI-API-Integrationen.
Welche BetrVG-Pflichten gelten beim Einsatz von Make.com in deutschen Unternehmen?
Nach §87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat Mitbestimmungsrechte bei technischen Einrichtungen, die das Verhalten oder die Leistung von Arbeitnehmern überwachen können. Make-Workflows, die Mitarbeiteraktionen protokollieren, HR-Prozesse automatisieren oder leistungsbezogene Daten erzeugen, können diese Pflicht auslösen. Binden Sie Ihren Betriebsrat frühzeitig ein und schließen Sie eine Betriebsvereinbarung ab, die die zulässige Datennutzung regelt.
