Miro DSGVO: AVV und Datenschutz für deutsche Unternehmen

Kurzantwort

Miro bietet einen Auftragsverarbeitungsvertrag (AVV) und kann DSGVO-konform eingesetzt werden — entscheidend sind jedoch die AVV-Prüfung, die Bewertung des Datentransfers in die USA, die KI-Einstellungen und die Mitbestimmung des Betriebsrats.

• Miro stellt einen AVV gemäß Art. 28 DSGVO bereit — Unterauftragsverarbeiter und Transfermechanismus prüfen.
• Miro KI-Funktionen erlauben den Opt-out aus dem KI-Training — aktuelle Einstellungen im Enterprise-Konto überprüfen.
• Deutsche Unternehmen sollten Standardvertragsklauseln, BDSG und Betriebsratsbeteiligung vor dem Roll-out bewerten.

Ja, Miro bietet einen Auftragsverarbeitungsvertrag (AVV) und kann in Deutschland DSGVO-konform genutzt werden — aber nicht automatisch. Das rechtliche Ergebnis hängt davon ab, ob Ihr Unternehmen den Miro-AVV geprüft hat, den Transfermechanismus für Datenflüsse in die USA bewertet hat, die KI-Einstellungen korrekt konfiguriert und die Betriebsratsbeteiligung nach deutschem Recht berücksichtigt hat. Für die meisten deutschen Unternehmen lautet die eigentliche Frage nicht „Ist Miro erlaubt?”, sondern „Ist unser konkreter Einsatz rechtssicher ausgestaltet?”

Miro wird von vielen deutschen Produkt-, Design- und Strategieteams genutzt. Die kollaborative Whiteboard-Umgebung bedeutet, dass Boards ein breites Spektrum an Geschäftsinhalten ansammeln können — von strategischen Planungen über Kundenprojekte bis hin zu Workshop-Ergebnissen und mitarbeiterbezogenen Inhalten. Dieser Umfang macht die DSGVO-Prüfung wichtiger als er auf den ersten Blick erscheint.

Ist Miro DSGVO-konform?

Miro ist DSGVO-bereit in dem Sinne, dass das Unternehmen relevante Vertragsdokumente bereitstellt und technische Maßnahmen für EU-Kunden implementiert hat. Bereitschaft auf Anbieterseite ist jedoch nicht dasselbe wie Konformität auf Kundenseite.

Deutsche Unternehmen können Miro rechtmäßig nutzen, wenn sie:

1. den Miro-Auftragsverarbeitungsvertrag (AVV) unterzeichnen und prüfen,
2. die Kategorien personenbezogener Daten in den Boards erfassen,
3. den Transfermechanismus für Verarbeitungen außerhalb der EU bewerten,
4. festlegen, welche Einsatzszenarien zulässig oder eingeschränkt sind,
5. die KI-Einstellungen angemessen konfigurieren und
6. den Roll-out im Rahmen des unternehmensinternen KI- und Lieferantenmanagements dokumentieren.

Der relevante Rechtsrahmen umfasst Art. 28 DSGVO (Auftragsverarbeitungspflichten), Art. 5 und 32 DSGVO (Datensparsamkeit und Sicherheit), Kapitel V DSGVO (internationaler Datentransfer) sowie — je nach Einsatzbereich — § 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung des Betriebsrats).

Wenn Sie gerade mehrere KI-Tools bewerten, finden Sie vergleichbare Prüfpunkte auf unseren Seiten zu Notion DSGVO und AVV, Figma KI und Canva KI.

Miro AVV: Was rechtlich zu prüfen ist

Miro stellt einen Auftragsverarbeitungsvertrag bereit, der die Anforderungen des Art. 28 DSGVO dokumentiert — einschließlich der Rechtsgrundlage der Verarbeitung, der Unterauftragsverarbeiter und der Löschverpflichtungen.

Bei der Prüfung des Miro-AVV sollten Rechts- und Datenschutzteams insbesondere prüfen:

• ob die richtige Miro-Gesellschaft benannt ist und ob dies dem kommerziellen Vertrag entspricht,
• welche Unterauftragsverarbeiter aufgelistet sind und wie Änderungen mitgeteilt werden,
• welcher Transfermechanismus für EU-US-Datenflüsse gilt — Standardvertragsklauseln (SCC) sind der übliche Weg,
• wie Löschung, Rückgabe und Aufbewahrung nach Vertragsende geregelt sind,
• und ob der AVV die konkreten Miro-Funktionen abdeckt, die das Unternehmen nutzen möchte, einschließlich KI-gestützter Funktionen.

Enterprise-Kunden können den Miro-AVV in der Regel online über Miros Rechts- und Datenschutzdokumentation unterzeichnen — ohne gesondert ausgehandelten Nachtrag. Das vereinfacht den Beschaffungsprozess für die meisten deutschen Unternehmen erheblich.

Das Vorhandensein eines AVV löst jedoch nicht alle Compliance-Fragen. Die eigentliche Herausforderung besteht darin, ob die tatsächliche Board-Nutzung innerhalb der Grenzen bleibt, die der AVV und die internen Richtlinien vorgeben.

Miro KI-Funktionen und DSGVO

Die KI-Funktionen von Miro — darunter KI-gestützte Diagrammerstellung, Zusammenfassung von Sticky Notes und generative Inhaltswerkzeuge — bringen über die Kernplattform hinaus zusätzliche datenschutzrechtliche Überlegungen mit sich.

Die zentralen Fragen für deutsche Rechts- und Datenschutzteams sind:

• KI-Training: Verwendet Miro Board-Inhalte zum Training von KI-Modellen? Die Enterprise-Bedingungen von Miro haben Opt-out-Mechanismen vorgesehen, durch die Board-Inhalte nicht für das KI-Training genutzt werden. Prüfen Sie den aktuellen Umfang dieses Opt-outs im Vertrag und in den Kontoeinstellungen, bevor Sie KI-Funktionen aktivieren.
• Verarbeitungsort: Wo werden KI-Prompts und -Ausgaben verarbeitet? KI-Inferenz kann zusätzliche Infrastruktur betreffen, die nicht unter Standardzusagen zur Datenspeicherung fällt.
• Zweckbindung: Wenn Mitarbeitende Miro KI auf Boards mit Kundendaten, personenbezogenen Daten oder vertraulichen Geschäftsinformationen nutzen, muss diese Verarbeitung auf einer festgelegten Rechtsgrundlage beruhen.
• Transparenz: Wenn Miro KI mit Kunden oder Dritten interagiert und dies nicht offensichtlich ist, können Offenlegungspflichten nach DSGVO und gegebenenfalls dem EU-KI-Gesetz (AI Act) gelten.

Für die meisten internen Produktivitätszwecke — Brainstorming, Planung, Workshop-Moderation — kann Miro KI mit angemessenen Opt-out-Einstellungen und einer klaren internen Richtlinie eingesetzt werden, die festlegt, welche Inhalte in KI-fähige Boards eingegeben werden dürfen.

Miro und deutsches Datenschutzrecht

Über die DSGVO-Grundlage hinaus gibt es spezifisch deutsche Anforderungen, die den Einsatz von Miro betreffen.

Standardvertragsklauseln (SCC) und Transfer Impact Assessment. Da Miro Daten in der Standardkonfiguration in die USA überträgt, sind SCCs der primäre Transfermechanismus für EU-Kunden. Die deutschen Datenschutzbehörden legen seit dem Schrems-II-Urteil strenge Maßstäbe an SCCs an. Ein Transfer Impact Assessment ist empfehlenswert — und kann erforderlich sein — bevor Miro für Abläufe mit erheblichen personenbezogenen Daten eingesetzt wird.

Bundesdatenschutzgesetz (BDSG). Das BDSG ergänzt die DSGVO um zusätzliche Anforderungen, insbesondere beim Beschäftigtendatenschutz. Wenn Miro-Boards mitarbeiterbezogene Informationen enthalten — Leistungsnotizen, Organigramme mit persönlichem Kontext, HR-Workshop-Ergebnisse — gelten die strengeren Anforderungen des BDSG zum Beschäftigtendatenschutz nach § 26 BDSG.

Betriebsratsbeteiligung (§ 87 Abs. 1 Nr. 6 BetrVG). Der Betriebsrat hat Mitbestimmungsrechte bei der Einführung und Nutzung technischer Überwachungseinrichtungen. Miro ist primär kein Überwachungswerkzeug, seine Einführung kann dieses Recht jedoch auslösen, wenn sie die Arbeitsorganisation verändert oder Potenzial für die Erfassung von Mitarbeiteraktivitäten schafft. Unternehmen sollten prüfen, ob eine Betriebsratskonsultation vor dem Roll-out erforderlich ist — insbesondere bei unternehmensweiten Enterprise-Einführungen.

Eine frühzeitige Einbindung des Betriebsrats mit einer klaren Beschreibung des Tools, der verarbeiteten Daten und der geplanten Kontrollen ist fast immer schneller als eine spätere Auseinandersetzung.

Miro datenschutzkonform einsetzen

Der rechtssicherste Miro-Roll-out beginnt mit Governance vor der Aktivierung — nicht umgekehrt.

Konkrete Einstellungen und Kontrollen:

• Opt-out für KI-Training in den Miro-Enterprise-Kontoeinstellungen aktivieren.
• Board-Freigabeeinstellungen, externen Zugriff und Gastzugänge prüfen und konfigurieren.
• Festlegen, welche Boards oder Teams KI-Funktionen anfangs nutzen dürfen.
• Verbotene Inhaltskategorien definieren — etwa Mitarbeiterleistungsdaten, personenbezogene Kundendaten oder vertrauliches Rechtsmaterial — die nicht auf KI-fähigen Boards erscheinen dürfen.
• Mitarbeiterschulungen zu zulässiger Nutzung und Datenhygiene in Miro durchführen.
• Miro in das Verarbeitungsverzeichnis und das Lieferantenmanagement des Unternehmens aufnehmen.

Typische Risikostufen nach Einsatzbereich:

Einsatzbereich	Typische Daten	Risikostufe	Was zu prüfen ist
Produkt-Roadmap und Planungs-Boards	Interne Strategie, geringe personenbezogene Daten	Niedrig	AVV, Zugriffsberechtigungen
Workshop-Moderation (interne Teams)	Allgemeine Geschäftsinhalte	Niedrig	Board-Freigabeeinstellungen
Customer-Journey-Mapping oder UX-Research	Kundennamen, Verhaltensdaten	Mittel	Rechtsgrundlage, Datensparsamkeit
HR- und Organisationsarbeit	Personaldaten, Rollenbeschreibungen	Hoch	BDSG, Betriebsrat, enge Zugriffsrechte
KI-Zusammenfassung auf gemischten Boards	Variierend — abhängig von Board-Inhalten	Mittel bis hoch	KI-Opt-out, Datenkategorienprüfung

Für Hochrisiko-Einsatzbereiche mit Beschäftigten- oder Kundendaten ist zu prüfen, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich ist.

So unterstützt Compound Law

Compound Law unterstützt deutsche und DACH-Unternehmen bei der AVV-Prüfung für Miro, der DSGVO-Transferbewertung, der Betriebsratsstrategie sowie der KI-Governance-Dokumentation für Rechts-, Datenschutz-, IT- und Betriebsteams.

Typische Unterstützungsleistungen umfassen:

• Prüfung des Miro-AVV und Identifikation von Lücken,
• Bewertung von Standardvertragsklauseln und Transfer Impact Assessment,
• DSGVO-Mapping der Einsatzszenarien für Beschäftigten- und Kundendaten,
• interne KI- und Lieferanten-Governance-Richtlinien,
• Strategie und Dokumentation für die Betriebsratskonsultation,
• sowie Roll-out-Begleitung unter Berücksichtigung von BDSG und BetrVG.

Konkrete Compliance-Situationen erfordern individuelle Rechtsberatung. Dieser Leitfaden strukturiert die Prüfung, ersetzt jedoch keine einzelfallbezogene Bewertung der Datenflüsse, Verträge und Board-Inhalte Ihres Unternehmens.

Häufige Fragen

Ist Miro DSGVO-konform?

Miro stellt DSGVO-kompatible Vertragsdokumente einschließlich eines Auftragsverarbeitungsvertrags bereit. Die Datenschutzkonformität des eigenen Einsatzes hängt von der AVV-Prüfung, dem Transfermechanismus, den verarbeiteten Datenkategorien und den internen Kontrollen ab. Konformität entsteht nicht automatisch und muss aktiv gesichert werden.

Bietet Miro einen Auftragsverarbeitungsvertrag (AVV)?

Ja. Miro stellt einen AVV bereit, der die Anforderungen des Art. 28 DSGVO abdeckt. Enterprise-Kunden können ihn in der Regel online unterzeichnen. Rechtsteams sollten Unterauftragsverarbeiter, Transferbedingungen, Löschverpflichtungen und die Abdeckung der geplanten KI-Funktionen prüfen.

Wo speichert Miro Daten?

Miro verarbeitet Daten in der Standardkonfiguration in den USA. Enterprise-Pläne können EU-Datenspeicheroptionen umfassen, der Standard-Transfermechanismus sind jedoch Standardvertragsklauseln (SCC). Ein Transfer Impact Assessment ist vor erheblichen personenbezogenen Datenflüssen durch Miro empfehlenswert.

Können deutsche Unternehmen Miro KI-Funktionen unter der DSGVO nutzen?

Ja, mit den richtigen Kontrollmaßnahmen. Enterprise-Kunden können einen Opt-out aktivieren, damit Board-Inhalte nicht für das KI-Training genutzt werden. Interne Richtlinien sollten festlegen, welche Board-Inhalte durch KI-Funktionen verarbeitet werden dürfen, und die Opt-out-Einstellung sollte verifiziert werden, bevor KI-Tools für Teams mit personenbezogenen oder vertraulichen Daten aktiviert werden.

Benötigen deutsche Unternehmen eine Betriebsratsvereinbarung für Miro?

Das hängt vom Umfang des Roll-outs und der konkreten Nutzung ab. Wenn die Einführung die Arbeitsorganisation verändert oder den Eindruck einer Überwachung von Mitarbeiteraktivitäten erzeugt, kann § 87 Abs. 1 Nr. 6 BetrVG dem Betriebsrat Mitbestimmungsrechte einräumen. Eine frühzeitige Konsultation vermeidet Verzögerungen und verringert rechtliche Risiken.