DeepL AVV und DSGVO in Deutschland: Freigabeleitfaden
Duerfen Unternehmen DeepL fuer personenbezogene Daten freigeben?
Im Regelfall ja, aber nur mit bezahltem DeepL-Business-Tarif, abgeschlossenem AVV und dokumentierter Pruefung der aktivierten Funktionen. DeepL Free ist fuer personenbezogene Daten und vertrauliche Unternehmensdokumente nicht der richtige Freigabepfad.
- DeepL verlangt in den bezahlten Business-Bedingungen bei Uebermittlung personenbezogener Daten den Abschluss eines AVV beziehungsweise DPA nach Art. 28 DSGVO.
- DeepL Free sollte nicht fuer Kunden-, HR-, Vertrags- oder sonstige vertrauliche Unternehmensdaten freigegeben werden.
- Vor Freigabe sollten gespeicherte Uebersetzungen, Debugging-Retention, Subprozessoren, Supportzugriffe und interne Schutzstufen geprueft werden.
Ja, Unternehmen in Deutschland koennen DeepL fuer personenbezogene Daten meist nur dann freigeben, wenn ein bezahlter Business-Tarif genutzt wird, ein AVV abgeschlossen ist und die konkret aktivierten Funktionen dokumentiert geprueft wurden. DeepL Free ist nicht der richtige Freigabepfad. Das ist die einkaufs- und datenschutzreife Kurzantwort auf die aktuelle Suchanfrage nach DeepL AVV, DeepL DSGVO und DeepL Auftragsverarbeitungsvertrag mit Stand 30. Juni 2026. Viele Suchende wollen keine abstrakte Datenschutzabhandlung, sondern eine belastbare Freigabeentscheidung fuer Einkauf, Datenschutz und Fachbereich.
Deshalb fuehrt diese Seite mit dem Freigabeurteil und erklaert erst danach die juristische Begruendung aus Art. 28 DSGVO, den aktuellen DeepL-Business-Bedingungen und den praktischen Pruefpunkten rund um gespeicherte Uebersetzungen, Debugging-Retention, Subprozessoren und Supportzugriffe. Fuer den groesseren Beschaffungsrahmen empfehlen wir auch unsere Leitfaeden zu KI-Uebersetzung, KI-Beschaffung unter DSGVO und AI Act, datenschutzkonformer KI, und unserer Expertise fuer Datenschutz und KI.
Duerfen Unternehmen DeepL fuer personenbezogene Daten freigeben?
Im Regelfall ja, aber nur unter klaren Bedingungen, die vor dem Rollout dokumentiert werden sollten.
Freigabeurteil
- Bezahlter DeepL-Business-Tarif mit abgeschlossenem AVV: Meist ja, mit Bedingungen.
- DeepL Free fuer personenbezogene Daten: Meist nein.
- Hochvertrauliche oder regulierte Dokumente: Fuer gesonderte rechtliche oder datenschutzrechtliche Pruefung eskalieren.
- Zentrale Freigabepunkte: Exakter Tarif, aktivierte Funktionen, Retention, Supportzugriffe, Subprozessoren und Dokumentensensitivitaet.
Die Grundlage fuer diese Einschaetzung ist einfach: In den bezahlten Business-Bedingungen verlangt DeepL bei der Uebermittlung personenbezogener Daten den Abschluss des von DeepL bereitgestellten AVV / DPA. Das ist der richtige vertragliche Startpunkt fuer eine Auftragsverarbeitung nach Art. 28 DSGVO. Gleichzeitig machen dieselben Unterlagen deutlich, dass Unternehmen ihre reale Produktnutzung verstehen muessen und nicht nur eine Marketingaussage abzeichnen sollten.
Wenn Mitarbeitende Kunden-E-Mails, Vertraege, HR-Unterlagen, Bewerbungen, Supporttickets oder interne Rechtsentwuerfe ueber DeepL uebersetzen, geht es nicht mehr um die allgemeine Frage “Ist DeepL DSGVO-konform?” Dann geht es um eine konkrete interne Freigabeentscheidung fuer einen bestimmten Vendor-Setup. Diese Entscheidung sollte DeepL Free sofort von bezahlten DeepL-Business-Tarifen trennen.
DeepL-Freigabematrix fuer Einkauf und Datenschutz
Einkauf und Datenschutz brauchen meist zuerst eine belastbare Entscheidungstabelle und erst danach die Detailbegruendung.
| Workflow oder Setup | Typische Freigabe | Warum |
|---|---|---|
| DeepL Free fuer Geschaeftsnutzer | Meist nein | Kein belastbarer AVV-basierter Freigabepfad fuer normale Business-Workflows mit Personenbezug |
| Bezahlter DeepL-Business-Tarif mit abgeschlossenem AVV | Meist ja, mit Bedingungen | Art.-28-Pfad vorhanden, aber Funktionsumfang und Dokumentklassen muessen geprueft werden |
| Vertraege, HR-Dateien, Supporttickets, normale Unternehmenskorrespondenz | Meist ja, mit Bedingungen | Auf bezahltem Tarif oft vertretbar, wenn AVV und interne Nutzungsregeln dokumentiert sind |
| Gespeicherte Uebersetzungen, glossary-lastige oder supportnahe Workflows | Genau pruefen | Optionale Funktionen und Supportmodell koennen Retention oder Zugriffe veraendern |
| Privilegierte, geheimnisschutzrelevante oder stark regulierte Dokumente | Eskalieren | Ein AVV loest nicht automatisch Berufsgeheimnis, Sonderregeln oder interne Schutzstufen |
Das ist die Kernbotschaft fuer Kauf- oder Verlaengerungsentscheidungen: Nicht DeepL Free, sondern ein bezahlter DeepL-Tarif mit abgeschlossenem AVV und definierten Nutzungsregeln ist der belastbare Freigabepfad.
Was Einkauf vor einer DeepL-Freigabe pruefen sollte
Vor jeder internen Freigabe sollte die Pruefung auf den exakten Produktumfang und nicht nur auf den Produktnamen gerichtet sein.
-
Exakten Tarif bestaetigen. Geben Sie nicht abstrakt “DeepL” frei. Klaeren Sie, ob DeepL Pro, ein Team- oder Business-Tarif, DeepL API oder ein Enterprise-Vertrag genutzt wird. Der Vendor-Ordner muss zum realen Produkt passen.
-
AVV vor Uebermittlung personenbezogener Daten abschliessen. Die bezahlten DeepL-Bedingungen sagen, dass bei Uebermittlung personenbezogener Daten der AVV abzuschliessen ist. Dieser Schritt muss vor Freigabe erledigt und dokumentiert sein.
-
Aktivierte Funktionen konkret pruefen. Uebersetzungseingaben, API-Nutzung, gespeicherte Uebersetzungen, Glossare, Browser-Erweiterungen und Integrationen koennen unterschiedliche Risikobilder erzeugen. Unternehmen sollten nicht unterstellen, dass alle Teams nur den einfachsten Transient-Use-Case nutzen.
-
Retention- und Debugging-Sprache lesen. Die DeepL-Bedingungen sprechen zwar von nur technisch erforderlicher Speicherung, nennen aber auch verschluesselte Debugging-Retention von bis zu 72 Stunden und kundenseitig angeforderte Speicherfunktionen. Das gehoert in jeden Freigabevermerk.
-
Subprozessoren und Supportzugriffe pruefen. Die Enterprise-Unterlagen erwaehnen global erbrachten Premium Support, einschliesslich Personal ausserhalb des EWR. Das macht DeepL nicht unbrauchbar, bedeutet aber, dass die Supportpraxis verstanden werden muss.
-
Erlaubte und ausgeschlossene Dokumentklassen definieren. Normale Unternehmensdokumente koennen freigegeben werden. Hochvertrauliche, privilegierte oder branchenspezifisch regulierte Inhalte koennen ausgeschlossen oder nur mit Eskalation zulaessig sein.
-
Freigabeeigner und Re-Review definieren. Das Freigabememo sollte festhalten, wer den Vendor fachlich verantwortet, wann eine Nachpruefung noetig ist und wie Funktionsaenderungen erneut bewertet werden.
Unser Leitfaden zur KI-Beschaffung unter DSGVO und AI Act zeigt, wie eine DeepL-Freigabe in einen groesseren Vendor-Review-Prozess eingebettet werden sollte.
Was der DeepL AVV loest und was er nicht loest
Genau an dieser Stelle werden interne Freigaben haeufig zu pauschal.
Was der AVV loest
Der AVV deckt die typischen Vertragsfragen der Auftragsverarbeitung nach Art. 28 DSGVO ab:
- dokumentierte Weisungen
- Vertraulichkeits- und Sicherheitszusagen
- Subprozessoren-Struktur
- Loeschung und Rueckgabe
- Unterstuetzung der Verantwortlichenpflichten
Fuer viele normale Unternehmens-Workflows ist das die notwendige vertragliche Basis, bevor ein Anbieter personenbezogene Daten verarbeiten darf.
Was der AVV nicht loest
Ein AVV ist keine vollstaendige Geheimhaltungs- oder Sektorfreigabe. Er loest nicht automatisch:
- anwaltliches Berufsgeheimnis
- medizinische Schweigepflichten
- bank- und versicherungsaufsichtsrechtliche Erwartungen
- exportkontroll- oder oeffentlich-rechtliche Sonderregeln
- interne Geheimhaltungs- und Schutzstufensysteme
Die belastbare Botschaft fuer Einkauf und Datenschutz lautet deshalb nicht: “DeepL hat einen AVV und ist damit fuer alles frei.” Sondern: DeepL bietet auf bezahlten Tarifen den vertraglichen Art.-28-Startpunkt, aber bestimmte Dokumentklassen koennen trotzdem ausgeschlossen oder eskalationspflichtig bleiben.
DeepL bezahlt vs. kostenlos: die eigentliche Freigabetrennung
Diese Unterscheidung sollte im oberen Teil jedes internen DeepL-Freigabevermerks auftauchen.
| Frage | DeepL Free | Bezahlte DeepL-Business-Tarife |
|---|---|---|
| AVV-Pfad vorhanden? | Meist nein | Ja |
| Fuer personenbezogene Daten geeignet? | Meist nein | Oft ja, nach Pruefung |
| Fuer vertrauliche Unternehmensdokumente geeignet? | Meist nein | Haeufig ja, je nach Sensitivitaet |
| Interne Freigabe realistisch? | Nein | Ja, mit Bedingungen |
| Grundhaltung | Nicht freigegebene Consumer-Nutzung | Vertraglich eingebundene Business-Nutzung |
Die bezahlten DeepL-Bedingungen machen diesen Unterschied besonders klar. Der Anbieter verknuepft die Uebermittlung personenbezogener Daten ausdruecklich mit dem Abschluss des AVV. Genau deshalb sollten Unternehmen DeepL Free fuer normale Business-Workflows mit Personenbezug nicht freigeben, sondern auf den bezahlten Vertragsweg umstellen.
So erhalten und dokumentieren Sie den DeepL AVV
Der genaue Account- oder Sales-Prozess kann sich aendern, die Unternehmensschritte bleiben aber stabil.
-
Team auf bezahlten Business-Tarif umstellen. Wenn Mitarbeitende noch den Gratistarif verwenden, endet die Freigabebewertung an dieser Stelle. Fuer Personenbezug ist das nicht der richtige Pfad.
-
Aktuellen DeepL AVV anfordern, akzeptieren oder unterzeichnen. Die bezahlten Business-Bedingungen sagen, dass DeepL den AVV bereitstellt, wenn Kunden personenbezogene Daten uebermitteln wollen.
-
AVV mit dem Vertragsset abgleichen. Speichern Sie AVV, Business Terms, etwaige Service Specification, Sicherheitsunterlagen und aktuelle Subprozessoren-Referenzen gemeinsam im Vendor-Ordner.
-
Freigegebenen Use Case festhalten. Dokumentieren Sie, welche Teams DeepL nutzen duerfen, welche Datenkategorien erlaubt sind, was ausgeschlossen ist und ob Speicherfunktionen wie gespeicherte Uebersetzungen freigegeben sind.
-
Re-Review-Trigger definieren. Neue Funktionen, Tarifwechsel, neue Support-Module oder sensiblere Dokumentklassen sollten automatisch eine erneute juristische oder datenschutzrechtliche Pruefung ausloesen.
Der praktischste Output ist meist ein einseitiges Freigabememo mit:
- Tarif und kommerziellem Owner
- AVV-Status und Datum
- erlaubten Datenkategorien
- ausgeschlossenen oder eskalationspflichtigen Dokumentklassen
- Beobachtungen zu Speicherung und Retention
- Beobachtungen zu Support und Subprozessoren
- Review-Owner und naechstem Pruefzeitpunkt
Gespeicherte Uebersetzungen, Training und Supportzugriffe: die Details, die oft fehlen
Gerade hier wirkt DeepL fuer viele Unternehmen attraktiv. Gleichzeitig passieren hier die typischen Verkuerzungen in internen Vermerken.
Gespeicherte Uebersetzungen und Retention
Die aktuellen Business-Bedingungen von DeepL sagen, dass Inhalte nur in dem Umfang gespeichert werden, der technisch fuer die Leistungserbringung erforderlich ist. Dieselben Bedingungen enthalten aber zwei wichtige Praezisierungen:
- In engen Ausnahmefaellen darf DeepL Inhalte verschluesselt fuer bis zu 72 Stunden speichern, wenn bestimmte Fehlerbilder fuer Debugging auftreten.
- Wenn der Kunde Speicherung ueber Funktionen wie gespeicherte Uebersetzungen anfordert, koennen diese Inhalte bis zu 90 Tage nach Vertragsende gespeichert bleiben, bevor sie geloescht werden.
Das bedeutet nicht, dass DeepL unueblich riskant waere. Es bedeutet nur, dass ein gutes Freigabememo mehr sagen sollte als “DeepL speichert nie Texte”. Die treffendere Aussage lautet: Standardmaessig ist die Verarbeitung auf fluechtige Nutzung ausgelegt, waehrend bestimmte Funktionen und enge Debugging-Ausnahmen zusaetzliche Speicherpunkte schaffen.
Aussagen zum Training
Die Security-Unterlagen von DeepL sagen, dass Texte ohne Einwilligung nicht fuer Modelltraining genutzt werden. Das ist ein starkes Signal fuer Datenschutz und Einkauf und einer der Gruende, warum DeepL oft leichter freigegeben wird als generische Consumer-KI-Tools. Verantwortlich ist aber nur die Freigabe, die diese Aussage auf den konkreten Vertrag und den konkret aktivierten Funktionsumfang zurueckspiegelt.
Support ausserhalb des EWR
Viele Teams nehmen an, ein deutscher Anbieter beseitige automatisch alle Transfer- und Zugriffsthemen. Das waere zu einfach. Die Enterprise-Unterlagen von DeepL sprechen von global erbrachtem Premium Support, einschliesslich Personal ausserhalb des EWR. Fuer viele normale Business-Workflows muss das kein K.-o.-Kriterium sein. Fuer vertrauliche oder regulierte Dokumente gehoert dieser Punkt aber in die Freigabebewertung.
Kann DeepL fuer vertrauliche Dokumente genutzt werden?
Haeufig ja fuer normale Unternehmensdokumente, aber nicht pauschal fuer jede Dokumentklasse.
Typischerweise vertretbar auf bezahlten Tarifen
Diese Dokumentarten sind auf bezahltem Tarif mit abgeschlossenem AVV und definierter Nutzungsregel haeufig vertretbar:
- gewoehnliche Kundenkommunikation
- Standard-Commercial-Contracts
- Einkaufs- und Vendor-Unterlagen
- interne Richtlinien
- nicht besonders sensible Supportinhalte
Hoehere Sensitivitaet gesondert pruefen
Vorsichtiger ist die Lage bei:
- privilegierter Rechtsberatung und Litigation-Material
- Gesundheitsdaten und sonstigen besonderen Kategorien personenbezogener Daten
- Bank-, Versicherungs- und anderen Finanzunterlagen
- sicherheitskritischer technischer Dokumentation
- Inhalten, die internen Geheimhaltungs- oder Schutzstufensystemen unterliegen
Hier lautet die praktische Frage nicht nur, ob DeepL einen AVV hat. Sondern ob Ihr Unternehmen diese konkrete Dokumentklasse ueberhaupt in einen Cloud-Uebersetzungsdienst geben will. Das ist regelmaessig eine Eskalationsfrage fuer Recht, Datenschutz oder die Fachaufsicht.
Wenn Sie DeepL in einen groesseren KI-Tool-Stack einordnen wollen, lesen Sie auch unseren Leitfaden zu KI-Uebersetzung.
Wann DeepL erneut geprueft werden sollte
Eine einmalige Freigabe reicht nicht, wenn sich der operative Zuschnitt aendert. Eine erneute Pruefung ist sinnvoll, wenn:
- ein neuer Tarif, API-Zugang oder Enterprise-Support hinzukommt
- gespeicherte Uebersetzungen oder andere speicherrelevante Funktionen aktiviert werden
- die Fachbereiche sensiblere HR-, Rechts- oder regulierte Inhalte uebersetzen wollen
- neue Integrationen Daten automatisiert in DeepL einspeisen
- Datenschutz, Einkauf oder Recht aktuelle Subprozessoren oder Supportbedingungen neu bewerten muessen
Die richtige Haltung ist kontrollierte Freigabe, nicht einmaliger Optimismus.
Compound Law beraet Unternehmen, Gruender und In-house-Teams in Deutschland zu AVV-Pruefung, KI-Beschaffung, vertraulichkeitssensiblen Workflows und DSGVO-Umsetzung. Wenn Sie einen DeepL-Freigabevermerk, eine AVV-Pruefung oder einen groesseren KI-Beschaffungsprozess aufsetzen wollen, kontaktieren Sie uns.
FAQ: DeepL AVV und DSGVO-Freigabefragen
Hat DeepL einen AVV fuer Art. 28 DSGVO?
Ja. DeepL erklaert in seinen bezahlten Business-Bedingungen, dass Kunden bei Uebermittlung personenbezogener Daten den von DeepL bereitgestellten AVV beziehungsweise DPA abschliessen muessen. Fuer deutsche Unternehmen ist das der richtige Art.-28-Vertragspfad. Einkauf und Datenschutz sollten trotzdem pruefen, ob der unterschriebene Vertrag exakt zum genutzten Produkt und Funktionsumfang passt.
Duerfen Unternehmen DeepL Free fuer personenbezogene Daten nutzen?
Im Regelfall nein. Wenn Mitarbeitende Kundeninformationen, HR-Unterlagen, Vertraege oder andere Inhalte mit Personenbezug uebersetzen, ist der Gratistarif nicht der richtige Freigabepfad. Der belastbare Weg fuehrt ueber einen bezahlten Business-Tarif mit abgeschlossenem AVV und klarer interner Nutzungsregel.
Was ist der wichtigste Unterschied zwischen DeepL Free und bezahlt?
Entscheidend ist, dass nur der bezahlte Business-Tarif den vertraglichen Rahmen fuer die Auftragsverarbeitung im Unternehmenskontext schafft. Genau deshalb blocken viele Organisationen DeepL Free fuer Business-Nutzung und geben nur die bezahlte, dokumentierte Umgebung frei. Dieser Unterschied sollte explizit im Rollout und in Nutzungsrichtlinien stehen.
Loest der DeepL AVV jede Vertraulichkeitsfrage?
Nein. Der AVV loest die Auftragsverarbeitung nach Art. 28 DSGVO, aber nicht automatisch Berufsgeheimnis, Geschaeftsgeheimnisse, medizinische Schweigepflichten oder interne Schutzstufen. Bestimmte hochsensible Dokumente koennen daher trotz AVV ausgeschlossen oder zumindest eskalationspflichtig bleiben.
Speichert DeepL Texte oder nutzt es sie fuer Training?
DeepL sagt, dass Texte ohne Einwilligung nicht fuer Modelltraining genutzt werden und dass nur technisch erforderliche Speicherung erfolgt. Gleichzeitig beschreiben die Bedingungen Debugging-Retention von bis zu 72 Stunden in Ausnahmefaellen und vom Kunden angeforderte Speicherung ueber Funktionen wie gespeicherte Uebersetzungen, mit Loeschung bis zu 90 Tage nach Vertragsende. Genau deshalb sollte die Freigabe immer an den realen Funktionsumfang gekoppelt werden.
Muessen deutsche Unternehmen Support und Subprozessoren pruefen?
Ja. Auch bei einem deutschen Anbieter sollten aktuelle Subprozessoren, transferrelevante Zugriffe und das Supportmodell geprueft werden. Besonders wichtig wird das bei vertraulichen oder regulierten Workflows. Der Unternehmenssitz ersetzt keine operative Vendor-Due-Diligence.
Kann DeepL fuer vertrauliche Unternehmensdokumente freigegeben werden?
Haeufig ja fuer normale Unternehmensdokumente auf bezahltem Tarif mit AVV und sauberer Nutzungsregel. Deutlich vorsichtiger ist die Bewertung fuer privilegierte Rechtsdokumente, Gesundheitsdaten, Finanzdaten oder sonstige stark regulierte Inhalte. Diese Kategorien sollten separat eskaliert werden.
Wie sollte eine interne DeepL-Freigabe dokumentiert werden?
Am sinnvollsten ist ein kurzes Memo mit Tarif, AVV-Status, aktivierten Funktionen, Speicher- und Retention-Punkten, Support- und Subprozessorenpruefung sowie erlaubten und ausgeschlossenen Dokumentklassen. So arbeiten Einkauf, Datenschutz und Fachbereich mit derselben Freigabelogik. Zugleich sinkt das Risiko von Schattennutzung ausserhalb des genehmigten Setups.
Dieser Beitrag enthaelt allgemeine Informationen und keine Rechtsberatung fuer den Einzelfall. Konkrete DeepL-Rollouts mit regulierten, geheimnisschutzrelevanten oder anderweitig besonders risikobehafteten Daten sollten individuell geprueft werden.