Kostenlos beraten
Miro DSGVO und AVV Compliance für deutsche Unternehmen
tools

Miro DSGVO: AVV und Datenschutz für deutsche Unternehmen

Kurzantwort

Miro bietet einen Auftragsverarbeitungsvertrag (AVV) und kann DSGVO-konform eingesetzt werden — entscheidend sind jedoch die AVV-Prüfung, die Bewertung des Datentransfers in die USA, die KI-Einstellungen und die Mitbestimmung des Betriebsrats.

  • Miro stellt einen AVV gemäß Art. 28 DSGVO bereit — Unterauftragsverarbeiter und Transfermechanismus prüfen.
  • Miro KI-Funktionen erlauben den Opt-out aus dem KI-Training — aktuelle Einstellungen im Enterprise-Konto überprüfen.
  • Deutsche Unternehmen sollten Standardvertragsklauseln, BDSG und Betriebsratsbeteiligung vor dem Roll-out bewerten.

Ja, Miro bietet einen Auftragsverarbeitungsvertrag (AVV) und kann in Deutschland DSGVO-konform genutzt werden — aber nicht automatisch. Das rechtliche Ergebnis hängt davon ab, ob Ihr Unternehmen den Miro-AVV geprüft hat, den Transfermechanismus für Datenflüsse in die USA bewertet hat, die KI-Einstellungen korrekt konfiguriert und die Betriebsratsbeteiligung nach deutschem Recht berücksichtigt hat. Für die meisten deutschen Unternehmen lautet die eigentliche Frage nicht „Ist Miro erlaubt?”, sondern „Ist unser konkreter Einsatz rechtssicher ausgestaltet?”

Miro wird von vielen deutschen Produkt-, Design- und Strategieteams genutzt. Die kollaborative Whiteboard-Umgebung bedeutet, dass Boards ein breites Spektrum an Geschäftsinhalten ansammeln können — von strategischen Planungen über Kundenprojekte bis hin zu Workshop-Ergebnissen und mitarbeiterbezogenen Inhalten. Dieser Umfang macht die DSGVO-Prüfung wichtiger als er auf den ersten Blick erscheint.

Ist Miro DSGVO-konform?

Miro ist DSGVO-bereit in dem Sinne, dass das Unternehmen relevante Vertragsdokumente bereitstellt und technische Maßnahmen für EU-Kunden implementiert hat. Bereitschaft auf Anbieterseite ist jedoch nicht dasselbe wie Konformität auf Kundenseite.

Deutsche Unternehmen können Miro rechtmäßig nutzen, wenn sie:

  1. den Miro-Auftragsverarbeitungsvertrag (AVV) unterzeichnen und prüfen,
  2. die Kategorien personenbezogener Daten in den Boards erfassen,
  3. den Transfermechanismus für Verarbeitungen außerhalb der EU bewerten,
  4. festlegen, welche Einsatzszenarien zulässig oder eingeschränkt sind,
  5. die KI-Einstellungen angemessen konfigurieren und
  6. den Roll-out im Rahmen des unternehmensinternen KI- und Lieferantenmanagements dokumentieren.

Der relevante Rechtsrahmen umfasst Art. 28 DSGVO (Auftragsverarbeitungspflichten), Art. 5 und 32 DSGVO (Datensparsamkeit und Sicherheit), Kapitel V DSGVO (internationaler Datentransfer) sowie — je nach Einsatzbereich — § 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung des Betriebsrats).

Wenn Sie gerade mehrere KI-Tools bewerten, finden Sie vergleichbare Prüfpunkte auf unseren Seiten zu Notion DSGVO und AVV, Figma KI und Canva KI.

Miro AVV: Was rechtlich zu prüfen ist

Miro stellt einen Auftragsverarbeitungsvertrag bereit, der die Anforderungen des Art. 28 DSGVO dokumentiert — einschließlich der Rechtsgrundlage der Verarbeitung, der Unterauftragsverarbeiter und der Löschverpflichtungen.

Bei der Prüfung des Miro-AVV sollten Rechts- und Datenschutzteams insbesondere prüfen:

  • ob die richtige Miro-Gesellschaft benannt ist und ob dies dem kommerziellen Vertrag entspricht,
  • welche Unterauftragsverarbeiter aufgelistet sind und wie Änderungen mitgeteilt werden,
  • welcher Transfermechanismus für EU-US-Datenflüsse gilt — Standardvertragsklauseln (SCC) sind der übliche Weg,
  • wie Löschung, Rückgabe und Aufbewahrung nach Vertragsende geregelt sind,
  • und ob der AVV die konkreten Miro-Funktionen abdeckt, die das Unternehmen nutzen möchte, einschließlich KI-gestützter Funktionen.

Enterprise-Kunden können den Miro-AVV in der Regel online über Miros Rechts- und Datenschutzdokumentation unterzeichnen — ohne gesondert ausgehandelten Nachtrag. Das vereinfacht den Beschaffungsprozess für die meisten deutschen Unternehmen erheblich.

Das Vorhandensein eines AVV löst jedoch nicht alle Compliance-Fragen. Die eigentliche Herausforderung besteht darin, ob die tatsächliche Board-Nutzung innerhalb der Grenzen bleibt, die der AVV und die internen Richtlinien vorgeben.

Miro KI-Funktionen und DSGVO

Die KI-Funktionen von Miro — darunter KI-gestützte Diagrammerstellung, Zusammenfassung von Sticky Notes und generative Inhaltswerkzeuge — bringen über die Kernplattform hinaus zusätzliche datenschutzrechtliche Überlegungen mit sich.

Die zentralen Fragen für deutsche Rechts- und Datenschutzteams sind:

  • KI-Training: Verwendet Miro Board-Inhalte zum Training von KI-Modellen? Die Enterprise-Bedingungen von Miro haben Opt-out-Mechanismen vorgesehen, durch die Board-Inhalte nicht für das KI-Training genutzt werden. Prüfen Sie den aktuellen Umfang dieses Opt-outs im Vertrag und in den Kontoeinstellungen, bevor Sie KI-Funktionen aktivieren.
  • Verarbeitungsort: Wo werden KI-Prompts und -Ausgaben verarbeitet? KI-Inferenz kann zusätzliche Infrastruktur betreffen, die nicht unter Standardzusagen zur Datenspeicherung fällt.
  • Zweckbindung: Wenn Mitarbeitende Miro KI auf Boards mit Kundendaten, personenbezogenen Daten oder vertraulichen Geschäftsinformationen nutzen, muss diese Verarbeitung auf einer festgelegten Rechtsgrundlage beruhen.
  • Transparenz: Wenn Miro KI mit Kunden oder Dritten interagiert und dies nicht offensichtlich ist, können Offenlegungspflichten nach DSGVO und gegebenenfalls dem EU-KI-Gesetz (AI Act) gelten.

Für die meisten internen Produktivitätszwecke — Brainstorming, Planung, Workshop-Moderation — kann Miro KI mit angemessenen Opt-out-Einstellungen und einer klaren internen Richtlinie eingesetzt werden, die festlegt, welche Inhalte in KI-fähige Boards eingegeben werden dürfen.

Miro und deutsches Datenschutzrecht

Über die DSGVO-Grundlage hinaus gibt es spezifisch deutsche Anforderungen, die den Einsatz von Miro betreffen.

Standardvertragsklauseln (SCC) und Transfer Impact Assessment. Da Miro Daten in der Standardkonfiguration in die USA überträgt, sind SCCs der primäre Transfermechanismus für EU-Kunden. Die deutschen Datenschutzbehörden legen seit dem Schrems-II-Urteil strenge Maßstäbe an SCCs an. Ein Transfer Impact Assessment ist empfehlenswert — und kann erforderlich sein — bevor Miro für Abläufe mit erheblichen personenbezogenen Daten eingesetzt wird.

Bundesdatenschutzgesetz (BDSG). Das BDSG ergänzt die DSGVO um zusätzliche Anforderungen, insbesondere beim Beschäftigtendatenschutz. Wenn Miro-Boards mitarbeiterbezogene Informationen enthalten — Leistungsnotizen, Organigramme mit persönlichem Kontext, HR-Workshop-Ergebnisse — gelten die strengeren Anforderungen des BDSG zum Beschäftigtendatenschutz nach § 26 BDSG.

Betriebsratsbeteiligung (§ 87 Abs. 1 Nr. 6 BetrVG). Der Betriebsrat hat Mitbestimmungsrechte bei der Einführung und Nutzung technischer Überwachungseinrichtungen. Miro ist primär kein Überwachungswerkzeug, seine Einführung kann dieses Recht jedoch auslösen, wenn sie die Arbeitsorganisation verändert oder Potenzial für die Erfassung von Mitarbeiteraktivitäten schafft. Unternehmen sollten prüfen, ob eine Betriebsratskonsultation vor dem Roll-out erforderlich ist — insbesondere bei unternehmensweiten Enterprise-Einführungen.

Eine frühzeitige Einbindung des Betriebsrats mit einer klaren Beschreibung des Tools, der verarbeiteten Daten und der geplanten Kontrollen ist fast immer schneller als eine spätere Auseinandersetzung.

Miro datenschutzkonform einsetzen

Der rechtssicherste Miro-Roll-out beginnt mit Governance vor der Aktivierung — nicht umgekehrt.

Konkrete Einstellungen und Kontrollen:

  • Opt-out für KI-Training in den Miro-Enterprise-Kontoeinstellungen aktivieren.
  • Board-Freigabeeinstellungen, externen Zugriff und Gastzugänge prüfen und konfigurieren.
  • Festlegen, welche Boards oder Teams KI-Funktionen anfangs nutzen dürfen.
  • Verbotene Inhaltskategorien definieren — etwa Mitarbeiterleistungsdaten, personenbezogene Kundendaten oder vertrauliches Rechtsmaterial — die nicht auf KI-fähigen Boards erscheinen dürfen.
  • Mitarbeiterschulungen zu zulässiger Nutzung und Datenhygiene in Miro durchführen.
  • Miro in das Verarbeitungsverzeichnis und das Lieferantenmanagement des Unternehmens aufnehmen.

Typische Risikostufen nach Einsatzbereich:

EinsatzbereichTypische DatenRisikostufeWas zu prüfen ist
Produkt-Roadmap und Planungs-BoardsInterne Strategie, geringe personenbezogene DatenNiedrigAVV, Zugriffsberechtigungen
Workshop-Moderation (interne Teams)Allgemeine GeschäftsinhalteNiedrigBoard-Freigabeeinstellungen
Customer-Journey-Mapping oder UX-ResearchKundennamen, VerhaltensdatenMittelRechtsgrundlage, Datensparsamkeit
HR- und OrganisationsarbeitPersonaldaten, RollenbeschreibungenHochBDSG, Betriebsrat, enge Zugriffsrechte
KI-Zusammenfassung auf gemischten BoardsVariierend — abhängig von Board-InhaltenMittel bis hochKI-Opt-out, Datenkategorienprüfung

Für Hochrisiko-Einsatzbereiche mit Beschäftigten- oder Kundendaten ist zu prüfen, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich ist.

So unterstützt Compound Law

Compound Law unterstützt deutsche und DACH-Unternehmen bei der AVV-Prüfung für Miro, der DSGVO-Transferbewertung, der Betriebsratsstrategie sowie der KI-Governance-Dokumentation für Rechts-, Datenschutz-, IT- und Betriebsteams.

Typische Unterstützungsleistungen umfassen:

  • Prüfung des Miro-AVV und Identifikation von Lücken,
  • Bewertung von Standardvertragsklauseln und Transfer Impact Assessment,
  • DSGVO-Mapping der Einsatzszenarien für Beschäftigten- und Kundendaten,
  • interne KI- und Lieferanten-Governance-Richtlinien,
  • Strategie und Dokumentation für die Betriebsratskonsultation,
  • sowie Roll-out-Begleitung unter Berücksichtigung von BDSG und BetrVG.

Konkrete Compliance-Situationen erfordern individuelle Rechtsberatung. Dieser Leitfaden strukturiert die Prüfung, ersetzt jedoch keine einzelfallbezogene Bewertung der Datenflüsse, Verträge und Board-Inhalte Ihres Unternehmens.

Häufige Fragen

Ist Miro DSGVO-konform?

Miro stellt DSGVO-kompatible Vertragsdokumente einschließlich eines Auftragsverarbeitungsvertrags bereit. Die Datenschutzkonformität des eigenen Einsatzes hängt von der AVV-Prüfung, dem Transfermechanismus, den verarbeiteten Datenkategorien und den internen Kontrollen ab. Konformität entsteht nicht automatisch und muss aktiv gesichert werden.

Bietet Miro einen Auftragsverarbeitungsvertrag (AVV)?

Ja. Miro stellt einen AVV bereit, der die Anforderungen des Art. 28 DSGVO abdeckt. Enterprise-Kunden können ihn in der Regel online unterzeichnen. Rechtsteams sollten Unterauftragsverarbeiter, Transferbedingungen, Löschverpflichtungen und die Abdeckung der geplanten KI-Funktionen prüfen.

Wo speichert Miro Daten?

Miro verarbeitet Daten in der Standardkonfiguration in den USA. Enterprise-Pläne können EU-Datenspeicheroptionen umfassen, der Standard-Transfermechanismus sind jedoch Standardvertragsklauseln (SCC). Ein Transfer Impact Assessment ist vor erheblichen personenbezogenen Datenflüssen durch Miro empfehlenswert.

Können deutsche Unternehmen Miro KI-Funktionen unter der DSGVO nutzen?

Ja, mit den richtigen Kontrollmaßnahmen. Enterprise-Kunden können einen Opt-out aktivieren, damit Board-Inhalte nicht für das KI-Training genutzt werden. Interne Richtlinien sollten festlegen, welche Board-Inhalte durch KI-Funktionen verarbeitet werden dürfen, und die Opt-out-Einstellung sollte verifiziert werden, bevor KI-Tools für Teams mit personenbezogenen oder vertraulichen Daten aktiviert werden.

Benötigen deutsche Unternehmen eine Betriebsratsvereinbarung für Miro?

Das hängt vom Umfang des Roll-outs und der konkreten Nutzung ab. Wenn die Einführung die Arbeitsorganisation verändert oder den Eindruck einer Überwachung von Mitarbeiteraktivitäten erzeugt, kann § 87 Abs. 1 Nr. 6 BetrVG dem Betriebsrat Mitbestimmungsrechte einräumen. Eine frühzeitige Konsultation vermeidet Verzögerungen und verringert rechtliche Risiken.

Weitere Tool-Guides

Airtable DSGVO und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Airtable DSGVO: Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Airtable AI und DSGVO: AVV nur für Enterprise. Datentransfer, KI-Funktionen 2025, Unterauftragsverarbeiter und Betriebsratspflichten im Überblick.
Claude Team vs. Enterprise Tarifvergleich für deutsche Unternehmen
tools

Claude Team vs. Enterprise: Tarifvergleich für Unternehmen in Deutschland

Claude Team (~25 €/Nutzer/Monat) vs. Claude Enterprise: Funktionen, DSGVO-Unterschiede und welcher Tarif für Ihr Unternehmen geeignet ist.
Anthropic Standardvertragsklauseln SCC Modul 2 Modul 3 DSGVO Datenübermittlung
tools

Anthropic Standardvertragsklauseln (SCC): DSGVO-Leitfaden Modul 2 und 3

Anthropics EU-SCCs (Modul 2 und 3) sind automatisch im AVV enthalten. Welches Modul gilt für Ihr Unternehmen und was ist zusätzlich erforderlich?
Claude Zero Data Retention ZDR Leitfaden DSGVO-Datensparsamkeit für Unternehmen in Deutschland
tools

Claude Zero Data Retention (ZDR): Leitfaden für Unternehmen

Anthropics Zero Data Retention (ZDR): Eingaben und Ausgaben werden nach der API-Antwort nicht gespeichert. Berechtigte, Ausnahmen und DSGVO-Datensparsamkeit.
Claude Enterprise für Kanzleien und juristische Rechtsabteilungen
tools

Claude Enterprise für Kanzleien und Rechtsabteilungen

Claude Enterprise für Kanzleien: Vertragsanalyse, Due Diligence und Compliance-Dokumentation DSGVO-konform einsetzen — Leitfaden für Juristen.
Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform? AVV nach Art. 28, SCCs, EU-Datenhaltung und Datentransfer 2026 — aktueller Compliance-Leitfaden fuer Deutschland.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist Miro DSGVO-konform?

Miro bietet DSGVO-kompatible Vertragsdokumente einschließlich eines AVV. Die Konformität des eigenen Einsatzes hängt jedoch von der AVV-Prüfung, dem Transfermechanismus für US-Datenflüsse, den verarbeiteten Datenkategorien und den internen Kontrollen ab. Datenschutzkonformität entsteht nicht automatisch durch die Nutzung.

Bietet Miro einen Auftragsverarbeitungsvertrag (AVV)?

Ja. Miro stellt einen AVV bereit, der die Anforderungen des Art. 28 DSGVO abdeckt. Enterprise-Kunden können ihn in der Regel online über Miros Rechts- und Datenschutzdokumentation unterzeichnen. Zu prüfen sind: Unterauftragsverarbeiter, Transfermechanismus, Löschverpflichtungen und Abdeckung der genutzten KI-Funktionen.

Wo speichert Miro Daten?

Miro verarbeitet Daten in der Standardkonfiguration in den USA. Enterprise-Pläne können EU-Datenspeicheroptionen umfassen, der Standard-Transfermechanismus für EU-Kunden sind jedoch Standardvertragsklauseln (SCC). Ein Transfer Impact Assessment ist vor dem Roll-out empfehlenswert.

Können deutsche Unternehmen Miro KI-Funktionen unter der DSGVO nutzen?

Ja, mit den richtigen Kontrollmaßnahmen. Miro ermöglicht Enterprise-Kunden den Opt-out, sodass Board-Inhalte nicht für das KI-Training verwendet werden. Der Umfang dieses Opt-outs sollte im Vertrag und in den Kontoeinstellungen geprüft werden, bevor KI-Funktionen für Teams mit personenbezogenen Daten aktiviert werden.

Kostenlos beraten