Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Kurzantwort

Ja, Notion kann von deutschen Unternehmen DSGVO-konform genutzt werden — vorausgesetzt, der AVV ist abgeschlossen, die US-Datenspeicherung ist über Standardvertragsklauseln abgesichert, und für Notion AI gelten zusätzliche Anforderungen wegen OpenAI als Unterauftragsverarbeiter.

• Notion AVV vor dem Rollout abschließen — er deckt DSGVO Art. 28, Standardvertragsklauseln und Unterauftragsverarbeiter ab.
• Notion speichert alle Daten in den USA ohne EU-Region — Rechtsgrundlage für den Transfer sind Standardvertragsklauseln.
• Notion AI erfordert zusätzliche Prüfung: OpenAI ist Unterauftragsverarbeiter, dafür gilt ein separates AI-Addendum.

Ja, Notion kann von deutschen Unternehmen DSGVO-konform genutzt werden — vorausgesetzt, der Auftragsverarbeitungsvertrag (AVV) ist abgeschlossen, die Datenspeicherung in den USA ohne EU-Region ist über Standardvertragsklauseln rechtlich abgesichert, und für Notion AI gelten wegen der OpenAI-Unterauftragsverarbeitung zusätzliche Anforderungen. Die datenschutzrechtliche Frage ist für die meisten deutschen Unternehmen nicht, ob Notion abstrakt „DSGVO-konform” ist, sondern ob der konkrete Rollout — einschließlich der im Workspace enthaltenen Datenkategorien, der Transferdokumentation und der KI-Feature-Governance — vor deutschen Datenschutzbehörden standhält.

Dieser Leitfaden behandelt, was Legal-, Datenschutz- und IT-Teams prüfen müssen, bevor Notion und Notion AI in einem deutschen Unternehmen eingesetzt werden. Hintergründe zum Auftragsverarbeitungsvertrag nach DSGVO Art. 28 finden Sie in unserem separaten Leitfaden.

Hat Notion einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Notion stellt einen Auftragsverarbeitungsvertrag bereit, der DSGVO Art. 28, Standardvertragsklauseln (SVK) für den EU-US-Datentransfer, Unterauftragsverarbeiter-Offenlegungen sowie Lösch- und Rückgabeverpflichtungen abdeckt. Enterprise-Kunden können den AVV direkt mit Notion verhandeln.

Was Legal-Teams beim Notion AVV konkret prüfen sollten:

• Korrekte Vertragspartei: Die zuständige Notion-Gesellschaft und die passende AVV-Version für den gebuchten Tarif bestätigen.
• Unterauftragsverarbeiter-Liste: Notion legt seine Infrastruktur- und KI-Unterauftragsverarbeiter offen. Aktuelle Liste und den Prozess für Änderungen prüfen.
• Notion-AI-Addendum: Notion AI unterliegt gesonderten Datenverarbeitungsbedingungen jenseits des Standard-AVV. Wenn Notion-AI-Funktionen genutzt werden, muss dieses Addendum eigenständig geprüft und akzeptiert werden — es ist nicht vom Standard-AVV erfasst.
• SVK-Modul und Anhang: Notion verwendet Modul 2 (Verantwortlicher zu Auftragsverarbeiter) der Standardvertragsklauseln für den EU-US-Transfer. Das einschlägige Anhang II (technische und organisatorische Maßnahmen) auf die tatsächliche Implementierung prüfen.
• Löschung und Rückgabe: Aufbewahrungsfristen nach Vertragsende und die Dokumentation der Datenlöschung klären.

Der AVV ist die vertragliche Grundlage. Er löst jedoch nicht automatisch die Frage, ob der konkrete Workspace, die Berechtigungsstruktur und die KI-Use-Cases in ein vertretbares DSGVO-Konzept passen — das ist eine eigenständige Governance-Frage.

EU-Datenhaltung und Datenspeicherstandort

Notion bietet keine EU-Region an. Stand Anfang 2026 werden alle Notion-Daten — Workspace-Inhalte, KI-generierte Ergebnisse und Nutzungsdaten — in den Vereinigten Staaten auf Amazon-Web-Services-Infrastruktur (AWS) gespeichert.

Das ist für deutsche Unternehmen ein wesentlicher Umstand:

• Keine EU-Datenspeicheroption. Anders als Microsoft 365 oder Google Workspace kann Notion Daten derzeit nicht innerhalb der EU halten. Jedes Unternehmen, das Notion einsetzt, ist zwingend auf eine Drittland-Transfergrundlage angewiesen.
• Standardvertragsklauseln als Transfermechanismus. Notion verwendet Standardvertragsklauseln (EU-Kommissionsbeschluss 2021/914) als Rechtsgrundlage für den EU-US-Datentransfer. Unternehmen sollten das anwendbare SVK-Modul bestätigen und bei sensiblen Datenkategorien prüfen, ob ein Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) sinnvoll ist.
• Position der deutschen Aufsichtsbehörden: Die Datenschutzkonferenz (DSK) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) haben US-Cloud-Dienste nach Schrems II wiederholt kritisch bewertet. Das EU-US-Datenschutzrahmenwerk (Data Privacy Framework, DPF, seit Juli 2023) bietet einen zusätzlichen Transfermechanismus, sofern Notion entsprechend zertifiziert ist — der aktuelle Zertifizierungsstatus sollte eigenständig geprüft werden.
• Branchenregulierte Unternehmen: Unternehmen mit strengeren Datenspeicheranforderungen — etwa Verarbeiter von Gesundheitsdaten nach § 22 BDSG oder regulierte Finanzdienstleister — sollten zusätzlich prüfen, ob US-basierte Speicherung mit sektorspezifischen Anforderungen vereinbar ist.

Für die meisten deutschen Unternehmen ist US-Speicherung über SVK eine praktikable Lösung. Sie muss jedoch ausdrücklich im Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert werden und darf nicht als selbstverständlich vorausgesetzt werden.

Notion AI — Zusätzliche DSGVO-Anforderungen

Notion AI — die KI-gestützten Schreib-, Such- und Zusammenfassungsfunktionen im Notion-Workspace — schafft eine eigenständige DSGVO-Prüfungsebene jenseits des Basis-Produkts.

OpenAI ist Unterauftragsverarbeiter bei Notion AI. Wenn Mitarbeitende Notion-AI-Funktionen nutzen — Entwürfe, Suche, Q&A, Zusammenfassungen — können Inhalte über die Unterauftragsverarbeitungsvereinbarung zwischen Notion und OpenAI verarbeitet werden. Das hat praktische Konsequenzen:

1. Gesondertes Addendum prüfen. Der Notion-Standard-AVV erfasst die Notion-AI-Verarbeitung nicht vollständig. Das Notion-AI-Datenaddendum ist eigenständig zu prüfen und zu akzeptieren. Die Unterauftrags-Kette (Notion → OpenAI) und die konkret erfassten Verarbeitungstätigkeiten müssen verstanden sein, bevor KI-Funktionen freigeschaltet werden.
2. Kein Training mit Kundendaten — eine Zusage, keine rechtliche Garantie. Notion erklärt öffentlich, dass Workspace-Daten der Kunden nicht zum Training von KI-Modellen verwendet werden. Das ist ein hilfreicher Procurement-Punkt. Er sollte beim Vertragsabschluss und bei Verlängerungen anhand aktueller Vendor-Unterlagen verifiziert werden.
3. DSFA-Pflicht nach DSGVO Art. 35. Wenn der Notion-AI-Einsatz eine systematische Verarbeitung von Mitarbeiterdaten, umfangreiche personenbezogene Datenverarbeitung oder Datenkategorien mit hohem Datenschutzrisiko umfasst, kann eine Datenschutz-Folgenabschätzung (DSFA) nach DSGVO Art. 35 erforderlich sein. Das gilt insbesondere für Use Cases mit HR-Unterlagen, Kundendaten oder vertraulichen Rechtsdokumenten.
4. Workspace-weite KI-Steuerung. Enterprise-Tarife bei Notion ermöglichen die Aktivierung oder Deaktivierung von KI-Funktionen auf Workspace- oder Team-Ebene. Vor dem Rollout klären, welche Steuerungsmöglichkeiten tatsächlich verfügbar sind, und dokumentieren, für welche Teams Notion AI freigegeben wird.

Das Risiko bei Notion AI liegt für deutsche Unternehmen weniger in der KI-Funktion selbst als in der Breite der personenbezogenen Daten, auf die KI-Suche und Zusammenfassungen in einem zu weit geöffneten Workspace zugreifen können. Notion AI zunächst nur auf Bereiche mit geringem Personendatenbezug zu beschränken ist meist die datenschutzrechtlich defensibelste Startkonfiguration.

Wie vergleichbare Tools mit diesen Fragen umgehen, zeigen auch unsere Guides zu Slack AI, Microsoft Teams Copilot und HubSpot Breeze AI.

BetrVG und Betriebsrat

In Deutschland löst die Einführung von Workplace-Tools, die beeinflussen, wie Mitarbeiterarbeit überwacht, organisiert oder bewertet wird, Mitbestimmungsrechte nach dem Betriebsverfassungsgesetz (BetrVG) aus.

§ 87 Abs. 1 Nr. 6 BetrVG räumt dem Betriebsrat das Recht ein, bei technischen Einrichtungen mitzubestimmen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Diese Vorschrift gilt weit. Tool-Einführungen unterliegen regelmäßig der Betriebsrats-Konsultation oder -Mitbestimmung, auch wenn der primäre Zweck Produktivitätssteigerung ist.

Für Notion sollte die Betriebsratsprüfung folgende Punkte adressieren:

• Workspace-Aktivitätsdaten: Notion erzeugt Aktivitäts-Metadaten — wer welche Seiten angesehen, bearbeitet oder erstellt hat. Wenn Führungskräfte oder HR diese Daten einsehen können, entstehen Mitbestimmungsfragen.
• Notion-AI-Nutzungsmuster: KI-Feature-Nutzungsprotokolle können auf Administrationsebene indirekte Einblicke in Arbeitsgewohnheiten und Inhaltsentscheidungen der Mitarbeitenden ermöglichen.
• Veränderung der Arbeitsorganisation: Die Einführung von Notion AI als zentrales Wissensmanagement- oder Planungswerkzeug verändert die Arbeitsorganisation — ein klassischer Auslösetatbestand nach § 87 Abs. 1 Nr. 6 BetrVG.

Praktische Empfehlung: Den Betriebsrat frühzeitig einbinden, bevor ein unternehmensweiter Rollout startet. Je früher die Mitbestimmungsfrage geklärt wird, desto geringer das Verzögerungsrisiko. Wenn eine Betriebsvereinbarung erforderlich ist, sollte diese regeln: erlaubte Use Cases, welche Analytics für Führungskräfte sichtbar sind, Aufbewahrungsfristen für Aktivitätsdaten und verbotene Prompt-Inhaltskategorien.

Zum Zusammenspiel von deutschem Arbeitsrecht und KI-Tools im Unternehmen siehe auch unseren Leitfaden zur KI-Arbeitnehmerüberwachung.

Rechtsgrundlage nach DSGVO Art. 6

Vor dem Rollout von Notion und Notion AI muss Ihr Unternehmen für jede Datenkategorie, die in den Workspace gelangt, die Rechtsgrundlage der Verarbeitung nach DSGVO Art. 6 bestimmen.

Verarbeitungstätigkeit	Betroffene Daten	Wahrscheinliche Rechtsgrundlage
Interne Dokumentation und Projektkollaboration	Allgemeine Unternehmensdaten, kaum Personendaten	Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
Mitarbeiter-Workspace und Wissensmanagement	Mitarbeiternamen, Rollen, Arbeitsergebnisse	Art. 6 Abs. 1 lit. b oder lit. f DSGVO
Kundendaten im Workspace (Accounts, Support)	Kundennamen, Kontakte, Geschäftsdaten	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder lit. f
HR-Daten (Onboarding, Bewertungen, Abwesenheiten)	Personenbezogene Beschäftigtendaten	Art. 6 Abs. 1 lit. b + § 26 BDSG
Besondere Kategorien (Gesundheit, Gewerkschaft)	Sensible Daten nach DSGVO Art. 9	Art. 9 Abs. 2 DSGVO — gesetzliche Ausnahme erforderlich

Datenminimierungspflicht: Auch wenn eine Rechtsgrundlage besteht, verlangt DSGVO Art. 5 Abs. 1 lit. c, dass personenbezogene Daten dem Zweck angemessen und auf das notwendige Maß beschränkt sind. Unternehmen sollten HR-Akten, medizinische Unterlagen oder umfassende Kunden-PII nicht einfach in einen breit zugänglichen Notion-Workspace übernehmen, nur weil ein AVV vorliegt. Rechtsgrundlage und Datenminimierung müssen zusammen bewertet werden.

Für deutsche Unternehmen regelt § 26 BDSG die Verarbeitung von Beschäftigtendaten. Die Anforderungen an eine zulässige Beschäftigtendatenverarbeitung sind nach deutschem Recht in der Regel strenger als eine reine Abwägung nach Art. 6 Abs. 1 lit. f DSGVO ergeben würde. Wie diese Prüfrahmen in der Praxis verbunden werden, zeigt die Expertise-Übersicht von Compound Law.

Risikoniveau nach Use Case

Use Case	Typische Daten	Risikoniveau	Erforderliche Prüfung
Interne Meeting-Notizen entwerfen	Allgemeine Unternehmensinformationen	Niedrig	Standard-AVV- und Richtlinienprüfung
Produktdokumentation zusammenfassen	Interne Fachinformationen	Niedrig	Berechtigungskonzept und Nutzerhinweise
Allgemeines Unternehmens-Wiki durchsuchen	Gemischtes Wissen, mögliche Personendaten	Mittel	Rechteprüfung und Datenminimierung
Vertriebs- oder Customer-Success-Workspace	Kundennamen, Account-Kontext, Supportdetails	Mittel bis hoch	Vertragsprüfung, Datenkategorien, Transferprüfung
HR-Onboarding und People-Ops	Mitarbeiterdaten, Bewerbungsunterlagen, Bewertungen	Hoch	Enge Berechtigungen, HR-Prüfung, Betriebsrat, ggf. DSFA
Vertragsprüfung oder interne Untersuchungen	Vertrauliche Rechtsdaten, Streitfälle	Hoch	Einzelfallfreigabe durch Legal; kein breiter Rollout empfohlen

Praktische DSGVO-Checkliste vor dem Rollout

Vor der unternehmensweiten Freischaltung von Notion — insbesondere von Notion AI — sollten Legal, Datenschutz, IT und Operations folgende Schritte gemeinsam abarbeiten:

1. Notion AVV abschließen und Vertragspartei, Unterauftragsverarbeiter-Liste sowie SVK-Modul bestätigen.
2. Notion-AI-Addendum prüfen und akzeptieren — dieses Addendum ist vom Standard-AVV getrennt zu behandeln.
3. Transferbasis im VVT dokumentieren (SVK); bei sensiblen Datenkategorien TIA prüfen.
4. Datenkategorien im Workspace erfassen — welche personenbezogenen Daten (Mitarbeiter-, Kunden-, HR-, besondere Kategorien) sind bereits enthalten oder werden eingebracht?
5. Datenminimierungsregeln aufstellen — was darf und was darf nicht in Notion eingetragen werden?
6. Berechtigungen prüfen — Gastzugänge, externe Freigaben und teamübergreifende Sichtbarkeit einschränken.
7. DSFA-Pflicht prüfen nach DSGVO Art. 35 für Notion AI bei sensiblen Verarbeitungen.
8. Betriebsrat frühzeitig einbinden; Betriebsvereinbarung vorbereiten, falls Mitbestimmung erforderlich ist.
9. Erlaubte, eingeschränkte und verbotene KI-Use-Cases teamspezifisch festlegen.
10. Mitarbeiterschulungen — was darf unter keinen Umständen in Notion-AI-Prompts eingegeben werden.

Wobei Compound Law unterstützt

Compound Law begleitet Unternehmen in Deutschland und der DACH-Region bei der Notion-AVV-Prüfung, Transfer-Folgenabschätzungen, DSFA-Analysen für Notion-AI-Use-Cases, der Betriebsvereinbarungsstrategie für Betriebsräte sowie der Rollout-Dokumentation für Legal-, Datenschutz- und Operations-Teams.

Typische Mandate umfassen:

• Notion-AVV- und KI-Addendum-Prüfung,
• DSGVO-Transferdokumentation und Transfer Impact Assessment,
• DSFA für risikoreiche Notion-AI-Verarbeitungsszenarien,
• Betriebsratsstrategie und Betriebsvereinbarungsentwurf,
• Interne KI-Governance-Richtlinien und Use-Case-Matrizen,
• Rollout-Begleitung für Legal, Datenschutz und Operations.

Spezifische Fälle erfordern individuelle Rechtsberatung. Dieser Leitfaden strukturiert die Prüfung, ersetzt aber keine einzelfallbezogene Bewertung Ihres Workspace, Ihrer Verträge und Ihrer tatsächlichen Datenflüsse.

Häufig gestellte Fragen

Ist Notion DSGVO-konform für deutsche Unternehmen?

Ja, Notion kann DSGVO-konform in Deutschland eingesetzt werden. Voraussetzung ist der Abschluss des Notion AVV, die Dokumentation der US-Datenspeicherung über Standardvertragsklauseln, die Prüfung der OpenAI-Unterauftragsverarbeitung bei Notion AI sowie eine angemessene Workspace-Governance für personenbezogene Daten.

Hat Notion einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Notion stellt einen AVV bereit, der DSGVO Art. 28, Standardvertragsklauseln für den EU-US-Transfer und Unterauftragsverarbeiter-Offenlegungen abdeckt. Für Notion-AI-Funktionen gilt ein gesondertes KI-Addendum, das eigenständig geprüft werden muss.

Speichert Notion Daten in der EU?

Nein. Stand Anfang 2026 bietet Notion keine EU-Region an. Alle Workspace-Daten werden in den Vereinigten Staaten auf AWS-Infrastruktur gespeichert. EU-Unternehmen nutzen Standardvertragsklauseln (SVK) als Rechtsgrundlage für den EU-US-Datentransfer.

Darf ich Notion AI trotz DSGVO-Pflichten nutzen?

Ja, aber mit erhöhter Sorgfalt. Notion AI nutzt OpenAI als Unterauftragsverarbeiter. Das Notion-AI-Addendum muss geprüft werden. Für riskante Use Cases mit Mitarbeiter- oder Kundendaten kann eine Datenschutz-Folgenabschätzung (DSFA) nach DSGVO Art. 35 erforderlich sein. Enterprise-Tarife erlauben eine workspace-weite Steuerung der KI-Funktionen.

Was muss ich prüfen, bevor ich Notion unternehmensweit in Deutschland einführe?

AVV und KI-Addendum abschließen, Workspace-Datenkategorien erfassen, SVK als Transferbasis dokumentieren, DSFA-Erforderlichkeit prüfen, Betriebsrat frühzeitig einbinden, erlaubte und verbotene KI-Use-Cases festlegen und Mitarbeitende schulen, was nicht in Notion-AI-Prompts gehört.

Benötige ich eine Betriebsvereinbarung für Notion in Deutschland?

Nicht zwingend, aber eine frühzeitige Mitbestimmungsprüfung wird dringend empfohlen. Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat Mitbestimmungsrechte bei technischen Einrichtungen, die Mitarbeiterverhalten oder Leistung erfassen oder auswerten können. Notion-Aktivitätsdaten und Notion-AI-Nutzungsprotokolle können mitbestimmungsrelevante Szenarien schaffen, die vor dem unternehmensweiten Rollout zu klären sind.