Kostenlos beraten
Airtable DSGVO und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Airtable DSGVO: Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Ja, Airtable stellt einen Auftragsverarbeitungsvertrag (AVV) bereit — dieser ist jedoch ausschließlich für den Airtable Enterprise-Plan verfügbar. Für deutsche Unternehmen, die Airtable unter der DSGVO einsetzen möchten, reicht die bloße Existenz eines AVV nicht aus: Datenspeicherorte, KI-Datenflüsse und Betriebsratsrechte müssen ebenfalls geprüft werden.

Was ist Airtable AI?

Airtable ist eine cloudbasierte Datenbank- und Projektmanagement-Plattform mit Hauptsitz in den USA. Sie verbindet tabellenbasiertes Datenmanagement mit relationalen Datenbankfunktionen und wurde um Airtable AI erweitert — eine Reihe KI-gestützter Funktionen, die direkt in die Plattform integriert sind. Dazu gehören feldbasierte KI-Aktionen wie Textzusammenfassungen, Datensatzklassifizierung, Sentimentanalyse und die Extraktion von Informationen aus unstrukturierten Inhalten.

Da Airtable Geschäfts- und Betriebsdaten — darunter häufig Mitarbeiterinformationen, Kundendaten und Projektdaten — im Auftrag von Unternehmen verarbeitet, ist es als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO einzustufen. Vor jeder beruflichen Nutzung, bei der personenbezogene Daten verarbeitet werden, ist der Abschluss eines Auftragsverarbeitungsvertrags zwingend erforderlich.

Ist Airtable DSGVO-konform?

Airtable kann auf dem Enterprise-Plan mit der richtigen vertraglichen und technischen Absicherung DSGVO-konform betrieben werden. Nutzerinnen und Nutzer der Business-, Pro- und Free-Pläne sind nicht durch einen AVV abgedeckt und sollten Airtable nicht für die berufliche Verarbeitung personenbezogener Daten einsetzen.

Wesentliche Punkte für deutsche Unternehmen:

  • AVV-Verfügbarkeit: Airtable stellt einen Auftragsverarbeitungsvertrag für Enterprise-Kunden bereit. Günstigere Pläne (Business, Pro, Free) beinhalten keine AVV-Abdeckung.
  • KI-Trainingsdaten: Airtable erklärt, dass Kundendaten nicht für das Training eigener KI-Modelle verwendet werden. Da sich KI-Trainingspolicys bei Produktupdates ändern können, sollten die aktuellen Bedingungen regelmäßig geprüft werden.
  • Datenspeicherort: Airtable verarbeitet Daten auf Infrastruktur in den USA. Enterprise-Kunden können spezifische Datenschutzvereinbarungen mit Airtable verhandeln — Details sollten direkt mit dem Airtable-Vertrieb abgeklärt werden.
  • Unterauftragsverarbeiter: Airtable führt eine veröffentlichte Liste von Unterauftragsverarbeitern, die Infrastrukturanbieter und KI-Modell-APIs für Airtable-AI-Funktionen umfasst.
  • Standardvertragsklauseln: Der AVV enthält Standardvertragsklauseln (SCC) für Datentransfers aus der EU/dem EWR in die USA.
  • EU-US-Datenschutzrahmen: Airtable nimmt am EU-US Data Privacy Framework (DPF) teil, das als zusätzlicher Transfermechanismus für Datentransfers in die USA dient.

Hat Airtable einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Airtable stellt für Enterprise-Kunden einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO bereit. Dieser deckt die Verarbeitung personenbezogener Daten durch Airtable im Auftrag des Unternehmens ab — einschließlich der Verarbeitung über Airtable-AI-Funktionen.

Für deutsche Unternehmen ist der AVV ein notwendiger, aber nicht ausreichender Ausgangspunkt. Darüber hinaus sind folgende Schritte erforderlich:

  1. Sicherstellen, dass Standardvertragsklauseln für Datentransfers an Airtable (USA) und an US-amerikanische Unterauftragsverarbeiter vorliegen.
  2. Das Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO um Airtable und seine Unterauftragsverarbeiter ergänzen.
  3. Eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn Airtable für die Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO) oder einer großen Anzahl von betroffenen Personen eingesetzt wird.
  4. Änderungsbenachrichtigungen zu Unterauftragsverarbeitern im Blick behalten — Enterprise-AVVs umfassen in der Regel Benachrichtigungsrechte bei der Hinzufügung neuer Unterauftragsverarbeiter.

Zum Vergleich: Monday.com und DSGVO bietet einen ähnlichen Ansatz für Projektmanagement-Tools mit Enterprise-AVV-Abdeckung; Notion und DSGVO behandelt datenbankähnliche Kollaborationstools.

Airtable-AI-Funktionen und DSGVO

Die KI-Funktionen von Airtable stellen datenschutzrechtliche Anforderungen, die über den normalen Datenbankbetrieb hinausgehen:

Feldbasierte KI-Aktionen (Zusammenfassung, Klassifizierung, Extraktion) verarbeiten den Inhalt von Datensätzen — darunter möglicherweise Namen, Kontaktdaten, Projektbeschreibungen oder andere personenbezogene Daten — über die KI-Infrastruktur von Airtable. Für Enterprise-Konten bestätigt Airtable, dass diese Inhalte nicht für das Modelltraining verwendet werden.

KI-generierte Inhalte auf Basis von Nutzereingaben können auch Drittanbieter-Modell-APIs als Unterauftragsverarbeiter einbeziehen. Prüfen Sie die aktuelle Unterauftragsverarbeiter-Liste von Airtable, um zu ermitteln, welche KI-Anbieter bei aktivierten AI-Funktionen involviert sind.

Automatisierte Datensatzverarbeitung: Airtable ermöglicht es, KI-Aktionen über Automatisierungen auszulösen. Wenn diese Automatisierungen personenbezogene Daten ohne menschliche Überprüfung verarbeiten, ist zu prüfen, ob dies eine automatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO darstellt und welche Rechte der betroffenen Personen dabei zu berücksichtigen sind.

Airtable AI 2025: Neue Funktionen und DSGVO-Anforderungen

Airtable hat seinen KI-Funktionsumfang seit 2024 erheblich ausgebaut. Für deutsche Datenschutzbeauftragte und IT-Verantwortliche ergeben sich daraus neue Prüfpunkte:

Airtable Cobuilder ermöglicht die KI-gestützte Erstellung neuer Bases per natürlicher Spracheingabe. Die Beschreibungen der Nutzerinnen und Nutzer — die Hinweise auf Geschäftsprozesse und Datenkategorien enthalten können — werden dabei über die KI-Infrastruktur von Airtable verarbeitet. Für Enterprise-Konten gilt auch hier der Ausschluss vom KI-Training.

AI Field Types erweitern die ursprünglichen feldbasierten KI-Aktionen: Statt einmaliger Auslösung werden KI-Felder zu dauerhaften Bestandteilen der Base-Struktur, die bei jeder Datensatzänderung automatisch aktualisiert werden. Dies erhöht das Volumen der über KI-APIs verarbeiteten personenbezogenen Daten und sollte in der Risikobeurteilung — insbesondere bei einer DSFA-Prüfung — berücksichtigt werden.

KI-gestützte Automatisierungen lassen sich nun per natürlichsprachlichem Befehl erstellen und konfigurieren. Wenn solche Automatisierungen personenbezogene Daten verarbeiten, gelten die DSGVO-Anforderungen an automatisierte Verarbeitung vollumfänglich — einschließlich der Informationspflichten nach Artikel 13/14 DSGVO gegenüber betroffenen Personen.

Interface AI unterstützt die Erstellung von Benutzeroberflächen innerhalb von Airtable. Auch Konfigurations- und Beschreibungsinputs werden über KI-Infrastruktur geleitet. Die aktuelle Unterauftragsverarbeiter-Liste von Airtable sollte regelmäßig auf neue KI-API-Anbieter geprüft werden, da sich der Funktionsumfang laufend weiterentwickelt.

Wo speichert Airtable Daten?

Airtable verarbeitet und speichert Daten auf Infrastruktur, die sich primär in den USA befindet. Eine standardmäßige EU-Datenlokalisierung ist nicht verfügbar — anders als bei einigen Anbietern wie Microsoft 365 oder Salesforce, die EU-Datenzentren als Standard- oder Enterprise-Option bereitstellen.

Enterprise-Kunden können spezifische Datenverarbeitungsvereinbarungen direkt mit Airtable verhandeln. Die Konditionen und Verfügbarkeit solcher Vereinbarungen sollten im Rahmen der Beschaffungsphase mit dem Airtable-Vertrieb abgeklärt werden.

Für den Transfer personenbezogener Daten aus der EU an Airtables US-Infrastruktur stehen zwei Transfermechanismen zur Verfügung:

TransfermechanismusBeschreibungAirtable-Status
Standardvertragsklauseln (SCC)EU-genehmigte Vertragsklauseln für Drittlandtransfers gemäß Kapitel V DSGVOIm Enterprise-AVV enthalten
EU-US-Datenschutzrahmen (DPF)Angemessenheitsbasierter Transferrahmen für zertifizierte US-AuftragsverarbeiterAirtable nimmt teil

Unternehmen in regulierten Branchen — Finanzdienstleistungen, Gesundheitswesen, öffentlicher Sektor — sollten prüfen, ob sektorspezifische Anforderungen an die Datenlokalisierung über die DSGVO-Standardanforderungen hinausgehen und ob Airtables Infrastrukturmodell damit vereinbar ist.

Airtable AI: Welche Unterauftragsverarbeiter sind beteiligt?

Wenn Airtable-AI-Funktionen aktiviert sind, können personenbezogene Daten aus Datensatzeingaben an Drittanbieter-KI-Modell-APIs weitergegeben werden. Airtable führt eine öffentlich zugängliche Liste seiner Unterauftragsverarbeiter. Zu den typischen Kategorien gehören:

  • KI-Modell-APIs: Externe KI-Anbieter (darunter OpenAI) für feldbasierte KI-Aktionen wie Textzusammenfassung, Klassifizierung und Sentimentanalyse
  • Cloud-Infrastruktur: AWS und Google Cloud Platform für Speicher- und Recheninfrastruktur

Für den Einsatz in deutschen Unternehmen bedeutet dies:

  1. Die aktuelle Unterauftragsverarbeiter-Liste von Airtable vor der Einführung prüfen.
  2. Änderungsbenachrichtigungen über das Enterprise-Konto aktivieren.
  3. Alle relevanten Unterauftragsverarbeiter in das Verarbeitungsverzeichnis aufnehmen.
  4. Sicherstellen, dass die SCC-Ketten auch die Unterauftragsverarbeiter abdecken — nicht nur Airtable selbst.

Da sich die Liste der KI-Unterauftragsverarbeiter mit der Produktentwicklung ändern kann, empfiehlt sich eine jährliche Überprüfung.

Brauche ich eine Datenschutz-Folgenabschätzung (DSFA) für Airtable?

Eine Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DSGVO ist erforderlich, wenn die geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Für Airtable-Deployments ist eine DSFA in folgenden Szenarien wahrscheinlich erforderlich:

  • KI-Verarbeitung personenbezogener Daten: Einsatz von Airtable-AI-Funktionen auf Datensätzen mit personenbezogenen Daten
  • Großangelegte HR-Datenverarbeitung: Nutzung von Airtable für unternehmensweite Mitarbeiterdaten, Gehaltsabrechnung oder Personalakten
  • Verarbeitung besonderer Kategorien: Datensätze mit Gesundheitsdaten, Gewerkschaftszugehörigkeit oder anderen Kategorien nach Artikel 9 DSGVO
  • US-Datentransfer mit sensiblen Daten: Kombination aus Drittlandtransfer und besonders risikobehafteter Verarbeitungsart

Für Standard-Betriebsdatenbanken ohne sensible Datenkategorien ist eine DSFA typischerweise nicht zwingend erforderlich. Es empfiehlt sich jedoch, die Entscheidung über die DSFA-Pflicht schriftlich zu dokumentieren — unabhängig davon, ob eine DSFA durchgeführt wird oder nicht. Die Prüfung sollte vor dem Go-live erfolgen, nicht danach.

Airtable und Betriebsrat: Was muss beachtet werden?

In Deutschland hat der Betriebsrat nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) ein Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmerinnen und Arbeitnehmer zu überwachen — auch wenn die Überwachung nicht der Hauptzweck des Systems ist.

Airtable wird häufig für Zwecke eingesetzt, die dieses Mitbestimmungsrecht auslösen können:

  • Aufgabenverwaltung: Erfassung, welcher Mitarbeitende welche Aufgabe wann abgeschlossen hat
  • Projekttracking: Verknüpfung von Arbeitsleistung und Fertigstellungsraten mit einzelnen Teammitgliedern
  • HR-Prozesse: Onboarding-Checklisten, Abwesenheitserfassung oder Rollenentwicklung in Airtable-Bases
  • Leistungsreporting: Dashboards oder Views, die mitarbeiterbezogene Kennzahlen aggregieren

Entscheidend ist dabei nicht, ob das Unternehmen eine Überwachung beabsichtigt, sondern ob das System technisch dazu in der Lage ist, Einblicke in das Verhalten oder die Leistung einzelner Mitarbeitender zu ermöglichen. Airtables flexible Base- und View-Struktur erfüllt diese technische Schwelle in vielen betrieblichen Einsatzszenarien.

Eine frühzeitige Einbindung des Betriebsrats — idealerweise vor der Lieferantenauswahl — ist empfehlenswert. Als Ergebnis dieses Prozesses ist häufig eine Betriebsvereinbarung abzuschließen, die zulässige Anwendungsfälle, Zugriffsberechtigungen, Aufbewahrungsfristen und verbotene Einsatzszenarien regelt.

Fazit und Handlungsempfehlungen

Für deutsche Betriebs- und Projektteams ist Airtable Enterprise mit der richtigen Vorbereitung DSGVO-konform einsetzbar. Der AVV ist verfügbar, der Ausschluss von KI-Trainingsdaten gilt für Enterprise-Konten, und Unterauftragsverarbeiter sind dokumentiert. Mit dem Ausbau der KI-Funktionen in 2024 und 2025 — Cobuilder, AI Field Types, KI-Automatisierungen — hat sich der Umfang der potenziellen Datenverarbeitung erweitert: Eine Aktualisierung des Verarbeitungsverzeichnisses und eine Prüfung der aktuellen Unterauftragsverarbeiter-Liste sind für bestehende Airtable-Enterprise-Deployments empfehlenswert.

Günstigere Airtable-Pläne (Business, Pro, Free) sind für keine berufliche Nutzung mit personenbezogenen Daten geeignet — ein AVV fehlt und kann nicht durch interne Maßnahmen ersetzt werden.

Handlungsempfehlungen für Enterprise-Kunden:

  1. AVV abschließen und Standardvertragsklauseln für US-Datentransfers sicherstellen
  2. Unterauftragsverarbeiter-Liste prüfen und Änderungsbenachrichtigungen aktivieren
  3. Verarbeitungsverzeichnis gemäß Artikel 30 DSGVO aktualisieren
  4. DSFA-Pflicht prüfen und Entscheidung dokumentieren
  5. Betriebsrat frühzeitig einbinden, wenn Mitarbeiterdaten verarbeitet werden
  6. Betriebsvereinbarung abschließen, falls Mitbestimmungsrechte nach § 87 BetrVG greifen

Zum Vergleich mit ähnlichen KI-Tools: Claude und DSGVO sowie Notion und DSGVO bieten vergleichbare Enterprise-AVV-Strukturen mit ähnlichen Compliance-Anforderungen.

Compound Law unterstützt Sie bei der AVV-Prüfung, der Implementierung von Standardvertragsklauseln, der Erstellung von Datenschutz-Folgenabschätzungen und der Betriebsratsberatung für Airtable-Rollouts. Individuelle Beratung für Ihre spezifische Verarbeitungssituation erhalten Sie auf Anfrage.

Häufig gestellte Fragen

Hat Airtable einen AVV (Auftragsverarbeitungsvertrag)?

Ja, Airtable stellt für Enterprise-Kunden einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO bereit. Günstigere Pläne — Business, Pro und Free — beinhalten keine AVV-Abdeckung und sind daher für die berufliche Nutzung mit personenbezogenen Daten nicht geeignet.

Ist Airtable für den Einsatz in deutschen Unternehmen geeignet?

Airtable kann auf dem Enterprise-Plan DSGVO-konform eingesetzt werden, wenn ein AVV abgeschlossen, Standardvertragsklauseln für US-Datentransfers vorliegen und das Verarbeitungsverzeichnis aktualisiert wurde. Für Business-, Pro- und Free-Pläne empfehlen wir keinen Einsatz mit personenbezogenen Daten.

Wo werden Airtable-Daten gespeichert?

Airtable verarbeitet und speichert Daten auf US-amerikanischer Infrastruktur. Eine standardmäßige EU-Datenlokalisierung ist nicht verfügbar. Enterprise-Kunden können individuelle Datenverarbeitungsvereinbarungen verhandeln. Standardvertragsklauseln und die Teilnahme am EU-US-Datenschutzrahmen (DPF) bilden die rechtliche Grundlage für den EU-US-Datentransfer.

Brauche ich eine DSFA für den Einsatz von Airtable?

Eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO ist erforderlich, wenn Airtable für die Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO), umfangreiche Mitarbeiterdaten oder KI-gestützte automatisierte Verarbeitungen eingesetzt wird. Für Standard-Betriebsdatenbanken ohne sensible Datenkategorien ist eine DSFA typischerweise nicht zwingend notwendig — die Entscheidung sollte jedoch dokumentiert werden.

Nutzt Airtable Kundendaten für das KI-Training?

Airtable erklärt, dass Kundendaten nicht für das Training eigener KI-Modelle verwendet werden. Da sich KI-Trainingsrichtlinien mit Produktupdates ändern können, sollten die aktuellen Bedingungen im AVV und in den Datenschutzhinweisen regelmäßig geprüft werden.

Welche Unterauftragsverarbeiter setzt Airtable für KI-Funktionen ein?

Airtable führt eine veröffentlichte Liste von Unterauftragsverarbeitern, die Infrastrukturanbieter (AWS, Google Cloud Platform) und KI-Modell-APIs (darunter OpenAI) für Airtable AI umfasst. Da sich diese Liste mit der Weiterentwicklung der KI-Funktionen ändern kann, sollte sie regelmäßig auf der Airtable-Website geprüft werden.

Muss der Betriebsrat bei Airtable eingebunden werden?

Wenn Airtable teamübergreifend eingesetzt wird und dabei Nutzungsdaten oder Aktivitätsprotokolle zu einzelnen Mitarbeitenden erhoben werden, bestehen Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG. Eine frühzeitige Einbindung des Betriebsrats und der Abschluss einer Betriebsvereinbarung sind empfehlenswert.

Was ist Airtable Cobuilder und ist er DSGVO-konform?

Airtable Cobuilder ist eine KI-gestützte Funktion zur Erstellung neuer Datenbanken (Bases) per natürlicher Spracheingabe. Die eingegebenen Beschreibungen werden über Airtables KI-Infrastruktur verarbeitet. Für Enterprise-Kunden gilt auch hier der Ausschluss der Kundendaten vom KI-Training. Cobuilder sollte wie alle anderen KI-Funktionen im Verarbeitungsverzeichnis erfasst werden, wenn dabei Beschreibungen personenbezogener Verarbeitungsprozesse eingegeben werden.

Welche neuen KI-Funktionen hat Airtable 2025 eingeführt?

Airtable hat 2024 und 2025 den KI-Funktionsumfang erweitert: AI Field Types (dauerhaft aktive KI-Felder), KI-gestützte Automatisierungen per natürlicher Sprache, Cobuilder (KI-Baseerstellung) und Interface AI. Diese Funktionen erhöhen das Volumen der über externe KI-APIs verarbeiteten Daten. Die Unterauftragsverarbeiter-Liste von Airtable und der Enterprise-AVV sollten auf aktuellem Stand gehalten werden.

Weitere Tool-Guides

Claude Team vs. Enterprise Tarifvergleich für deutsche Unternehmen
tools

Claude Team vs. Enterprise: Tarifvergleich für Unternehmen in Deutschland

Claude Team (~25 €/Nutzer/Monat) vs. Claude Enterprise: Funktionen, DSGVO-Unterschiede und welcher Tarif für Ihr Unternehmen geeignet ist.
Anthropic Standardvertragsklauseln SCC Modul 2 Modul 3 DSGVO Datenübermittlung
tools

Anthropic Standardvertragsklauseln (SCC): DSGVO-Leitfaden Modul 2 und 3

Anthropics EU-SCCs (Modul 2 und 3) sind automatisch im AVV enthalten. Welches Modul gilt für Ihr Unternehmen und was ist zusätzlich erforderlich?
Claude Zero Data Retention ZDR Leitfaden DSGVO-Datensparsamkeit für Unternehmen in Deutschland
tools

Claude Zero Data Retention (ZDR): Leitfaden für Unternehmen

Anthropics Zero Data Retention (ZDR): Eingaben und Ausgaben werden nach der API-Antwort nicht gespeichert. Berechtigte, Ausnahmen und DSGVO-Datensparsamkeit.
Claude Enterprise für Kanzleien und juristische Rechtsabteilungen
tools

Claude Enterprise für Kanzleien und Rechtsabteilungen

Claude Enterprise für Kanzleien: Vertragsanalyse, Due Diligence und Compliance-Dokumentation DSGVO-konform einsetzen — Leitfaden für Juristen.
Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform? AVV nach Art. 28, SCCs, EU-Datenhaltung und Datentransfer 2026 — aktueller Compliance-Leitfaden fuer Deutschland.
Anthropic Auftragsverarbeitungsvertrag AVV Art. 28 DSGVO Prüfleitfaden
tools

Anthropic Auftragsverarbeitungsvertrag — DSGVO-Leitfaden

Was der Anthropic AVV nach Art. 28 DSGVO enthält, welche SCCs einbezogen sind und was vor dem Claude-Einsatz in Deutschland zu prüfen ist.

Mehr KI-Tools durchsuchen

Häufige Fragen

Hat Airtable einen AVV (Auftragsverarbeitungsvertrag)?

Ja, Airtable stellt für Enterprise-Kunden einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO bereit. Günstigere Pläne — Business, Pro und Free — beinhalten keine AVV-Abdeckung und sind daher für die berufliche Nutzung mit personenbezogenen Daten nicht geeignet.

Ist Airtable für den Einsatz in deutschen Unternehmen geeignet?

Airtable kann auf dem Enterprise-Plan DSGVO-konform eingesetzt werden, wenn ein AVV abgeschlossen, Standardvertragsklauseln für US-Datentransfers vorliegen und das Verarbeitungsverzeichnis aktualisiert wurde. Für Business-, Pro- und Free-Pläne empfehlen wir keinen Einsatz mit personenbezogenen Daten.

Wo werden Airtable-Daten gespeichert?

Airtable verarbeitet und speichert Daten auf US-amerikanischer Infrastruktur. Eine standardmäßige EU-Datenlokalisierung ist nicht verfügbar. Enterprise-Kunden können individuelle Datenverarbeitungsvereinbarungen verhandeln. Standardvertragsklauseln und die Teilnahme am EU-US-Datenschutzrahmen (DPF) bilden die rechtliche Grundlage für den EU-US-Datentransfer.

Brauche ich eine DSFA für den Einsatz von Airtable?

Eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO ist erforderlich, wenn Airtable für die Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO), umfangreiche Mitarbeiterdaten oder KI-gestützte automatisierte Verarbeitungen eingesetzt wird. Für Standard-Betriebsdatenbanken ohne sensible Datenkategorien ist eine DSFA typischerweise nicht zwingend notwendig — die Entscheidung sollte jedoch dokumentiert werden.

Nutzt Airtable Kundendaten für das KI-Training?

Airtable erklärt, dass Kundendaten nicht für das Training eigener KI-Modelle verwendet werden. Da sich KI-Trainingsrichtlinien mit Produktupdates ändern können, sollten die aktuellen Bedingungen im AVV und in den Datenschutzhinweisen regelmäßig geprüft werden.

Welche Unterauftragsverarbeiter setzt Airtable für KI-Funktionen ein?

Airtable führt eine veröffentlichte Liste von Unterauftragsverarbeitern, die Infrastrukturanbieter (AWS, Google Cloud Platform) und KI-Modell-APIs (darunter OpenAI) für Airtable AI umfasst. Da sich diese Liste mit der Weiterentwicklung der KI-Funktionen ändern kann, sollte sie regelmäßig auf der Airtable-Website geprüft werden.

Muss der Betriebsrat bei Airtable eingebunden werden?

Wenn Airtable teamübergreifend eingesetzt wird und dabei Nutzungsdaten oder Aktivitätsprotokolle zu einzelnen Mitarbeitenden erhoben werden, bestehen Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG. Eine frühzeitige Einbindung des Betriebsrats und der Abschluss einer Betriebsvereinbarung sind empfehlenswert.

Was ist Airtable Cobuilder und ist er DSGVO-konform?

Airtable Cobuilder ist eine KI-gestützte Funktion zur Erstellung neuer Datenbanken (Bases) per natürlicher Spracheingabe. Die eingegebenen Beschreibungen werden über Airtables KI-Infrastruktur verarbeitet. Für Enterprise-Kunden gilt auch hier der Ausschluss der Kundendaten vom KI-Training. Cobuilder sollte wie alle anderen KI-Funktionen im Verarbeitungsverzeichnis erfasst werden, wenn dabei Beschreibungen personenbezogener Verarbeitungsprozesse eingegeben werden.

Welche neuen KI-Funktionen hat Airtable 2025 eingeführt?

Airtable hat 2024 und 2025 den KI-Funktionsumfang erweitert: AI Field Types (dauerhaft aktive KI-Felder), KI-gestützte Automatisierungen per natürlicher Sprache, Cobuilder (KI-Baseerstellung) und Interface AI. Diese Funktionen erhöhen das Volumen der über externe KI-APIs verarbeiteten Daten. Die Unterauftragsverarbeiter-Liste von Airtable und der Enterprise-AVV sollten auf aktuellem Stand gehalten werden.

Kostenlos beraten