Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform fuer Unternehmen in Deutschland?

Zapier ist fuer gewoehnliche Business-Workflows in Deutschland nutzbar, wenn AVV, Drittlandtransfer und Datenminimierung dokumentiert sind. Fuer besondere Kategorien, Mitarbeiterueberwachung oder mandatsvertrauliche Inhalte ist Zapier ohne vertiefte Pruefung meist nicht die richtige Standardarchitektur.

  • Jeden Workflow einzeln bewerten: Trigger, Action, angebundene App, Logs, Speicherfrist und Datenkategorie.
  • Der AVV ist nur die erste Ebene. Geprueft werden muessen auch Unterauftragsverarbeiter, Drittlandtransfer und alle Zielsysteme hinter Zapier.
  • Risikoreiche Workflows mit Mitarbeiterdaten, besonderen Kategorien oder KI-Entscheidungslogik brauchen DSFA und meist weitergehende Governance vor dem Rollout.

Deutsche Unternehmen koennen Zapier unter der DSGVO fuer gewoehnliche Business-Workflows nutzen, aber nicht als pauschale Freigabe fuer jede Automation. Die praktisch relevante Frage lautet enger: Wann ist Zapier vertretbar, und wann sollten Sie den Workflow anders bauen? Stand 29. Juni 2026 ist die belastbare Antwort: Zapier ist fuer viele niedrig- bis mittelriskante Automationen nutzbar, wenn Sie den AVV nach Art. 28 DSGVO abschliessen, den US-Transfer dokumentieren, die uebermittelten Felder strikt minimieren und die gesamte App-Kette statt nur Zapier beurteilen. Fuer besondere Kategorien, Mitarbeiterueberwachung, mandatsvertrauliche Inhalte oder KI-gestuetzte Entscheidungsablaeufe ist Zapier oft nicht die richtige Standardarchitektur ohne vertiefte Vorpruefung. Fuer den weiteren Freigabekontext siehe DSGVO-KI-Beschaffung, die DSGVO-Checkliste fuer KI-Tools, und unsere Make.com-Seite.

Kurze Antwort: Ist Zapier DSGVO-konform?

Kurzantwort

Zapier ist in Deutschland einsetzbar, wenn folgende Punkte sauber geprueft sind:

  • AVV abschliessen und auf Art. 28 Abs. 3 DSGVO-Pflichtinhalte pruefen.
  • Transfermechanismus schriftlich festhalten und eine Transferfolgenabschaetzung fuer die realen Datenkategorien fuehren.
  • Die gesamte Vendor-Kette pruefen: Quellsystem, Zapier, Zielsysteme sowie etwaige KI- oder Support-Dienste.
  • Logs, Task-Historien und Replay-Daten als Teil des Personenbezugs behandeln.
  • Bei Mitarbeiterdaten, Gesundheitsdaten, Mandatsdaten oder umfangreichem Kundenprofiling DSFA und Mitbestimmung vorab klaeren.
  • KI-Komponenten in Workflows getrennt auf EU-AI-Act-Pflichten pruefen.

Dieser Beitrag bietet allgemeine rechtliche Informationen und ersetzt keine Rechtsberatung fuer einen konkreten Einsatz. Fuer angrenzende Fragestellungen lesen Sie auch unsere Seiten zu AI Customer Service Compliance, Zendesk, HubSpot, Make.com und Notion AI.

DSGVO-Anforderungen fuer Ihren Zapier-Einsatz

Die entscheidende Frage lautet nicht, ob Zapier als Plattform abstrakt “DSGVO-konform” ist, sondern ob Ihre konkrete Zapier-Nutzung DSGVO-konform ausgestaltet ist. Das setzt voraus:

  • eine klare Rechtsgrundlage nach Art. 6 DSGVO (bei besonderen Kategorien zusaetzlich Art. 9 DSGVO)
  • einen wirksam einbezogenen AVV nach Art. 28 DSGVO
  • einen tragfaehigen Drittlandtransfer-Mechanismus nach Kapitel V DSGVO — in der Regel SCCs
  • angemessene technische und organisatorische Massnahmen (TOMs) nach Art. 32 DSGVO
  • eine Datenschutz-Folgenabschaetzung (DSFA) nach Art. 35 DSGVO, soweit erforderlich

Fuer deutsche Unternehmen kommen weitere Rahmenbedingungen hinzu:

  • § 87 Abs. 1 Nr. 6 BetrVG bei mitarbeiterbezogenen Automationen mit Ueberwachungspotenzial
  • § 26 BDSG bei der Verarbeitung von Beschaeftigtendaten
  • Durchsetzungspraxis der deutschen Datenschutzbehoerden (u. a. Baden-Wuerttemberg, Hamburg, Berlin) mit Schwerpunkt auf Auftragsverarbeitung und US-Transfer

Das praktische Ergebnis: Risikoarme interne Automationen sind fuer die meisten Unternehmen vertretbar. Kundendaten-Workflows benoetigen ein sorgfaeltiges Design. Mitarbeiter-, Gesundheits- und Finanzdaten verlangen vor dem Einsatz eine formale Pruefung.

Der Zapier-AVV nach Art. 28 DSGVO: Pflichtinhalte und Pruefpunkte

Zapier bietet ein Data Processing Addendum (DPA) beziehungsweise AVV-Template als Teil seiner Rechtsunterlagen an. Entscheidend ist nicht nur, ob ein Dokument existiert, sondern ob sein Inhalt jeden der sieben Pflichtpunkte nach Art. 28 Abs. 3 DSGVO abdeckt.

Art. 28 Abs. 3 DSGVO — Checkliste fuer den Zapier-AVV

Pflichtinhalt (Art. 28 Abs. 3)Was im Zapier-AVV zu pruefen ist
lit. a Verarbeitung nur auf dokumentierte WeisungBestätigt der AVV explizit die Weisungsgebundenheit? Sind Anweisungsformen und -wege geregelt?
lit. b VertraulichkeitsverpflichtungSind Zapier-Mitarbeiter mit Datenzugriff zur Vertraulichkeit verpflichtet? Gibt es Nachweise?
lit. c TOMs nach Art. 32 DSGVOVerweist der AVV auf konkrete Sicherheitsmassnahmen? Ist ein aktuelles Security-Whitepaper beigefuegt oder verlinkt?
lit. d SubprozessorenRegelt der AVV die Einschaltung von Subprozessoren? Gibt es ein Widerspruchsrecht und eine aktuelle Liste?
lit. e Unterstuetzungspflichten (Art. 32–36)Verpflichtet sich Zapier zur Mitwirkung bei DSFA, Betroffenenrechten, Datenpannenmeldung?
lit. f Loeschung oder RueckgabeSind Fristen zur Loeschung oder Rueckgabe nach Vertragsende konkret geregelt — inkl. Task-Historien und Logs?
lit. g AuditrechteHaben Sie das Recht, Zapier zu pruefen oder von externen Pruefern pruefen zu lassen?

Die blosse Existenz eines AVV-Dokuments genuegt nicht — jeder dieser sieben Punkte muss inhaltlich geprueft werden.

Auftragsverarbeitungs- versus Verantwortlichkeitsverhaeltnis

Bei den meisten Zapier-Deployments sind Sie der Verantwortliche (Art. 4 Nr. 7 DSGVO) und Zapier der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Das bedeutet: Zapier darf nur auf Ihre Weisung handeln, und Sie bleiben fuer die Rechtmaessigkeit des Verarbeitungszwecks verantwortlich.

Diese Trennung ist in der Praxis jedoch nicht immer trennscharf. Zapier erhebt operative Telemetrie ueber Workflow-Laeufe, setzt Unterauftragsverarbeiter ein und stellt in der DPA-Systematik klar, dass die AVV-Regeln nicht automatisch fuer Drittdienste gelten, an die Daten auf Ihre Weisung weitergeleitet werden. Genau deshalb darf der Zapier-AVV nicht mit einer Freigabe der gesamten Integrationskette verwechselt werden.

Warum Zapier die Vendor-Kette vergroessert

Das eigentliche DSGVO-Risiko bei Zapier ist oft nicht nur der US-SaaS-Aspekt, sondern die Integrationskette. Ein einzelner Workflow kann umfassen:

  • das Quellsystem, in dem die Daten erhoben wurden
  • Zapier als Automatisierungsschicht
  • mehrere Zielsysteme, die die Daten weiterverarbeiten
  • Logs, Replay-Funktionen, Supportzugriffe und Unterauftragsverarbeiter rund um den Workflow
  • optionale KI-Endpunkte, die Inhalte klassifizieren, zusammenfassen oder umschreiben

Die Freigabe muss deshalb vier Fragen beantworten:

  1. Ist die Uebermittlung aus dem Quellsystem an Zapier ueberhaupt erforderlich und zulaessig?
  2. Braucht Zapier wirklich jedes Feld, das das Team schicken moechte?
  3. Sind die Zielsysteme ihrerseits rechtlich und vertraglich sauber eingebunden?
  4. Erzeugt die Gesamtkette ein groesseres Transfer-, Profiling- oder Speicherungsrisiko als intern angenommen?

Viele Beschaffungspruefungen scheitern genau daran, dass nur der Zapier-AVV abgelegt wird und die restliche Kette unbewertet bleibt.

Subprozessoren und Risikoeinschaetzung

Zapier fuehrt eine oeffentlich zugaengliche Subprozessorenliste. Praktische Schritte bei der Pruefung:

  • Liste zum Zeitpunkt Ihrer Bewertung herunterladen oder dokumentieren.
  • Notieren, welche Subprozessoren welche Datenkategorien aus Ihren Workflows erhalten.
  • Pruefen, ob Subprozessoren in Drittlaendern ohne Angemessenheitsbeschluss sitzen und ob SCCs oder verbindliche interne Datenschutzvorschriften diesen Transfer absichern.
  • Aenderungsmechanismus beachten: Zapier muss Sie ueber neue Subprozessoren informieren. Richten Sie intern einen Prozess ein, um diese Meldungen zu pruefen und bei Bedarf Widerspruch einzulegen.

Loeschverpflichtungen

Der AVV muss regeln, was mit Daten nach Vertragsende geschieht: wann Task-Historien geloescht werden, ob Logs bereinigt werden und in welchem Zeitraum. Zapier-Task-Historien, Fehler-Payloads und Replay-Daten koennen personenbezogene Daten enthalten, die den eigentlichen Zweck ueberleben. Stellen Sie sicher, dass die Loeschfristen des AVV mit Ihrer Aufbewahrungspolitik uebereinstimmen und dass nachgelagerte Kopien in verbundenen Systemen ebenfalls geregelt sind.

Datentransfers in die USA: Verarbeitet Zapier Daten noch in den USA?

Fuer deutsche Unternehmen, die Fragen zu Zapier AVV DSGVO, Zapier Schrems II oder Zapier Datentransfer USA stellen, lautet die kurze Antwort: Ja, Zapier kann Daten in den USA verarbeiten, und Sie muessen pruefen, ob das fuer Ihre konkreten Workflows akzeptabel ist.

Standardvertragsklauseln (SCCs) im Detail

Zapier setzt die von der Europaeischen Kommission im Juni 2021 verabschiedeten EU-Standardvertragsklauseln (SCCs) fuer die Uebermittlung personenbezogener EWR-Daten in die USA und andere Drittlaender ein. Nach Schrems II genuegen SCCs allein nicht mehr — sie muessen durch eine Transferfolgenabschaetzung (TFA) erganzt werden, die das rechtliche Zugriffsrisiko im Zielland bewertet.

Fuer US-amerikanische SaaS-Anbieter relevante Risikofaktoren:

  • US-Ueberwachungsrecht, insbesondere FISA Section 702 und die Schutzmassnahmen unter Executive Order 14086
  • Ob Zapier-Mitarbeiter mit US-Standort auf unverschluesselte personenbezogene Daten zugreifen koennen
  • Wahrscheinlichkeit, dass Ihre spezifischen Datenkategorien von nachrichtendienstlichem Interesse sind

Bei routinemaessiger Geschaeftsautomation nicht sensibler Daten kommt die Mehrzahl der TFAs zu dem Ergebnis, dass das Restrisiko mit angemessenen Zusatzmassnahmen akzeptabel ist. Bei Workflows mit umfangreichen Kundendatenbanken, Finanzdaten oder behoerdennahen Informationen erfordert die TFA eine tiefere Analyse.

EU-Datenhaltung bei Zapier

Zapier bietet fuer bestimmte kostenpflichtige Business-Setups eine EU-Datenhaltungsoption an. Damit laesst sich fuer einzelne Datenarten die Transferreichweite reduzieren. EU-Datenhaltung ist jedoch kein Ausschluss jeglicher US-Verarbeitung:

  • Supportzugriffe koennen weiterhin aus Laendern ausserhalb des EWR erfolgen
  • Bestimmte Infrastrukturkomponenten und Subprozessoren koennen weiterhin US-seitig verarbeiten
  • Metadaten und Telemetriedaten sind moeglicherweise nicht durch die Datenhaltungsoption abgedeckt
  • Der Umfang der Abdeckung kann je nach Tarifebene variieren

Bevor Sie Zapiers EU-Datenhaltung als Compliance-Argument nutzen, pruefen Sie, welche Datenkategorien in Ihrem Tarif tatsaechlich in der EU verbleiben, welche Subprozessoren nicht neutralisiert werden und ob verbundene Zielsysteme die gleichen Daten unmittelbar wieder ausserhalb der EU verarbeiten.

Post-Schrems-II-Analyse und DPF-Status zum 29. Juni 2026

Das EuGH-Urteil Schrems II vom Juli 2020 hat den Privacy Shield fuer unguelig erklaert und Zusatzmassnahmen fuer US-Transfers verbindlich gemacht. Das EU-US Data Privacy Framework (DPF) von Juli 2023 adressiert dies fuer zertifizierte US-Unternehmen — Zapier ist DPF-zertifiziert.

Aktueller Stand zum 29. Juni 2026: Das DPF ist weiterhin in Kraft. Fuer eine belastbare deutsche Beschaffungsakte sollte es aber nicht als alleinige Grundlage behandelt werden. Deutschen Unternehmen wird daher empfohlen:

  1. Den Transfermechanismus doppelt absichern: DPF-Zertifizierung und SCCs als Fallback dokumentieren.
  2. Eine TFA erstellen, die das US-Ueberwachungsrechtsrisiko fuer Ihre Datenkategorien adressiert.
  3. Zusatzmassnahmen (Verschluesselung, Zugriffskontrollen, Minimierung) umsetzen und dokumentieren.
  4. Einen Ueberpruefungsrhythmus festlegen — DPF-Rechtslage und Zapier-Subprozessoren koennen sich aendern.

EU AI Act und Zapier-Automationen (2026)

Seit dem vollstaendigen Wirksamwerden des EU AI Acts muessen Unternehmen, die Zapier fuer KI-gestuetzte Automationen einsetzen, zusaetzliche Compliance-Ebenen beruecksichtigen. Der EU AI Act gilt neben der DSGVO — beide Rechtsrahmen greifen ineinander, schliessen sich aber nicht gegenseitig aus.

Zapier AI Actions und GPAI-Schnittstellen

Zapier bietet AI Actions an, die eine Verbindung zu Sprachmodellen wie OpenAI oder Anthropic herstellen. Wer diese Funktionen nutzt, setzt ein KI-System im Sinne des EU AI Act ein und uebernimmt die Rolle eines Deployers (Betreibers). Deployer-Pflichten umfassen:

  • Grundlegende Rechte-Folgenabschaetzung bei Hochrisiko-KI-Systemen (Art. 27 EU AI Act)
  • Menschliche Aufsicht sicherstellen — kein vollautomatischer Output ohne Ueberpruefungsoption
  • Nutzerinformation wenn KI-generierte Inhalte nicht erkennbar als solche gekennzeichnet sind
  • Aufzeichnung und Monitoring des KI-System-Einsatzes

Hochrisikoklassifikation bei Zapier-Workflows

Zapier-Automationen koennen als Hochrisiko-KI-Systeme eingestuft werden, wenn sie in Bereichen eingesetzt werden, die Anhang III EU AI Act nennt:

AnwendungsbereichTypischer Zapier-WorkflowHochrisiko?
PersonalentscheidungenAutomatisierte Bewerbervorauswahl, LeistungsbewertungJa — Art. 6 Abs. 2 i.V.m. Anh. III Nr. 4
KreditwuerdigkeitspruefungLead-Scoring mit Finanz- oder VerhaltensdatenJa — Anh. III Nr. 5
Wesentliche DiensteAutomatisiertes Routing in sozialen/gesundheitlichen DienstenGgf. — Anh. III Nr. 6
Interne Tools, MarketingCRM-Sync, Newsletter-Trigger, KalenderautomationIn der Regel nein

Hochrisiko-KI-Systeme erfordern eine technische Dokumentation, ein Qualitaetsmanagementsystem und menschliche Aufsichtsmechanismen.

Verbotene KI-Praktiken nach Art. 5 EU AI Act

Bestimmte Automatisierungsmuster sind unabhaengig vom eingesetzten Tool verboten. Zapier-Workflows, die folgende Funktionen implementieren, sind rechtswidrig:

  • Soziales Scoring auf Basis personenbezogener Merkmale oder Verhaltensweisen
  • Biometrische Kategorisierung zur Ableitung sensibler Attribute (Religion, politische Meinung, Sexualitaet)
  • Subliminale Manipulation zur Umgehung bewusster Entscheidungen
  • Echtzeit-Biometrie-Fernidentifikation in oeffentlichen Raeumen (mit engen Ausnahmen)

Diese Verbote gelten auch dann, wenn die Automation technisch und datenschutzrechtlich sonst zulaessig waere.

Fuer einen umfassenden Ueberblick ueber KI-Compliance-Anforderungen lesen Sie unsere EU AI Act Compliance-Leitfaeden und die Beitraege zum AI Act nach Branchen.

Workflow-Risikobewertung nach der DSGVO

Entscheidend ist nicht eine pauschale Plattformbewertung, sondern die Einordnung jedes Workflows nach den Daten, die er tatsaechlich verarbeitet.

Geringes Risiko: Interne Tool-Integrationen

Diese Workflows verarbeiten in der Regel begrenzte personenbezogene Daten — haeufig nur interne Kennzeichen oder Metadaten. Beispiele:

  • Notion-zu-Slack-Benachrichtigungen bei Projektstatus-Aenderungen (nicht sensible Metadaten)
  • CRM-Deduplizierungen auf Basis von Unternehmens-E-Mail-Domaenen
  • Kalender- und Terminsyncs fuer interne Meetings
  • Supply-Chain-Benachrichtigungen auf Basis von Bestands- oder Logistiktriggern (ohne Personenbezug)
  • Automatische Erinnerungen fuer Vertrags- oder Aufgabenfristen ohne Personaldaten im Payload

Diese Faelle sind typischerweise auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) stuetzbar, sofern Datenminimierung, Transparenz und AVV vorliegen.

Mittleres Risiko: Kundendaten-Automationen

Diese Workflows beruehren personenbezogene Daten von Kunden oder Interessenten, was hohere Anforderungen an Minimierung, Speicherfristen und Transfer-Risiko mit sich bringt. Beispiele:

  • Formulareinreichungs-Routing in ein CRM (Name, E-Mail, Geschaeftskontext)
  • Support-Ticket-Kategorisierung und -Routing (kann Freitexte von Kunden enthalten)
  • E-Mail-Marketing-Workflow-Trigger (Verhaltens- und Interaktionssignale)
  • Lead-Scoring-Automationen, die Daten aus mehreren Quellen zusammenfuehren

Bei mittlerem Risiko sind gezielte Massnahmen relevant: Freitexte moeglichst entfernen, Kennzeichen statt vollstaendiger Datensaetze uebergeben, kurze Aufbewahrung in der Zapier-Task-Historie einstellen und sicherstellen, dass die AVVs der verbundenen Apps konsistent sind. Lesen Sie auch die Leitfaeden zu HubSpot DSGVO und Zendesk DSGVO fuer integrierte Kundendaten-Stacks.

Hohes Risiko: Mitarbeiterdaten, Gesundheitsdaten, Finanzdaten und umfangreiches Kundenprofiling

Diese Kategorien erfordern eine formale Pruefung vor dem Einsatz:

DatenkategorieWarum hohes RisikoWichtigste Anforderungen
Mitarbeiterdaten§ 26 BDSG, § 87 Abs. 1 Nr. 6 BetrVG, UeberwachungsrisikoBetriebsratsbeteiligung, klare Rechtsgrundlage, strenge Minimierung
Gesundheits-/biometrische DatenArt. 9 DSGVO (besondere Kategorien)Explizite Einwilligung oder andere Art.-9-Abs.-2-Grundlage, DSFA
FinanzdatenVertraulichkeitspflichten, ggf. BankgeheimnisZugriffsrestriktion, Logeinsicht begrenzen, formale Vendor-Pruefung
Umfangreiches KundenprofilingArt.-22-DSGVO-Regeln, TransparenzpflichtMehrstufige Datenschutzerklarung, Widerspruchsrecht, ggf. DSFA

Bei diesen Kategorien reicht ein generischer Hinweis “Zapier ist DSGVO-konform” als Compliance-Grundlage nicht aus.

DSFA: Wann benoetigt Zapier-Nutzung eine Datenschutz-Folgenabschaetzung?

Nach Art. 35 DSGVO ist eine DSFA erforderlich, bevor eine Verarbeitung mit voraussichtlich hohem Risiko fuer Rechte und Freiheiten natuerlicher Personen aufgenommen wird. Deutsche Datenschutzbehoerden haben klargestellt, dass folgende Zapier-Workflow-Muster typischerweise diese Anforderung ausloesen:

  • Systematische Mitarbeiterueberwachung — jeder Workflow, der Mitarbeiterverhaltens-Daten aus mehreren Systemen zusammenfuehrt, Produktivitaetsmetriken erzeugt oder Alarme zu individueller Mitarbeitertaetigkeit ausloest
  • Grossmassstabliche Verarbeitung besonderer Datenkategorien — Gesundheits-, biometrische oder Gewerkschaftsdaten in automatisierten Workflows
  • Automatisierte Entscheidungen mit erheblichen Auswirkungen — Workflows, die automatisierte Ausgaben fuer Personen ohne menschliche Pruefung ausloesen
  • Umfangreiches Kundenprofiling — Zusammenfuehren von Verhaltens-, Transaktions- und Kommunikationsdaten fuer Targeting, Segmentierung oder kreditscoring-aehnliche Zwecke

Die DSFA muss die Verarbeitung beschreiben, Erforderlichkeit und Verhaeltnismaessigkeit bewerten, Risiken benennen und dokumentieren, welche Massnahmen ergriffen werden. Sie muss vor dem Start des Workflows abgeschlossen sein.

Betriebsrat und Mitarbeiterueberwachung nach § 87 BetrVG

Das Betriebsverfassungsgesetz (BetrVG) gilt fuer deutsche Betriebe mit Betriebsrat. § 87 Abs. 1 Nr. 6 BetrVG raumt dem Betriebsrat ein Mitbestimmungsrecht bei der Einfuehrung und Anwendung technischer Einrichtungen ein, die zur Ueberwachung des Verhaltens oder der Leistung der Arbeitnehmer bestimmt sind oder geeignet sind.

Zapier-Workflows koennen § 87 BetrVG ausloesen, auch wenn Ueberwachung nicht der ausgewiesene Zweck ist. Massgeblich ist, ob das Tool Ueberwachung ermoeglicht, nicht ob sie beabsichtigt ist. Typische Ausloser:

  • Automationen, die Reaktionszeiten von Mitarbeitern protokollieren (z. B. Zeit von Ticketzuweisung bis Erstveantwortung)
  • Workflows, die Aktivitaetsdaten aus Slack, E-Mail oder CRM in ein Fuehrungskrafte-Dashboard zusammenfuehren
  • Alert-Logiken basierend auf individueller Inaktivitaet oder SLA-Verstoessen
  • Integrationen in HR-Tools, die Anwesenheit, Schichtwechsel oder Fehlzeiten tracken

Wo § 87 Abs. 1 Nr. 6 BetrVG greift, muss der Betriebsrat vor der Einfuehrung konsultiert werden und eine Einigung erzielt sein. Der Betrieb ohne dieses Einvernehmen setzt den Arbeitgeber Unterlassungsanspruchen und arbeitsrechtlicher Haftung aus.

Empfehlung: HR, Legal, Privacy und den Betriebsrat fruehzeitig in die Workflow-Konzeption einbinden — bevor ein Workflow gebaut oder ausgerollt wird.

Zapier in bestimmten Branchen

Bestimmte Branchen unterliegen erhoehten Standards, unabhaengig von der allgemeinen Workflow-Risikostufe.

Gesundheitswesen und medizinische Dienstleistungen

Workflows, die Patientendaten, Terminunterlagen, Ueberweisung oder gesundheitsbezogene Inhalte beruehren, fallen unter Art. 9 DSGVO (besondere Kategorien) und teils unter spezifisches deutsches Gesundheitsdatenrecht. Ein Standard-No-Code-Ansatz mit einem US-nahen SaaS-Anbieter ist in diesem Kontext in der Regel kein unproblematischer Ausgangspunkt. Mindestanforderungen: explizite Einwilligung oder gesetzliche Grundlage nach Art. 9 Abs. 2, DSFA, sowie eine Sicherheitspruefung mit verschluesselten Payloads, eingeschraenktem Log-Zugriff und begrenzter Subprozessor-Exposition.

HR und Recruiting

Das deutsche Beschaeftigtendatenschutzrecht nach § 26 BDSG stellt strenge Anforderungen an die Verarbeitung von Arbeitnehmer- und Bewerberdaten. Die Automatisierung von Recruiting-, Onboarding- oder Leistungsdaten-Workflows erfordert eine dokumentierte Rechtsgrundlage fuer jedes Datenelement, konsequente Minimierung und Betriebsratsbeteiligung. Bewerberdaten muessen aktiv geloescht werden — bestehende Loeschfristen muessen auch fuer Daten gelten, die durch Zapier in nachgelagerte Systeme geflossen sind.

Rechts- und Berufsberatung

Anwaltskanzleien und Berufsgeheimnistraeger unterliegen zusaetzlichen Vertraulichkeitspflichten. Die Weiterleitung von Mandatsinformationen, Vertragsinhhalten oder fallbezogenen Daten ueber Drittanbieter-Automation wirft Datenschutzfragen jenseits der DSGVO auf. Pruefen Sie Berufsordnungen, anwaltliches Berufsgeheimnis und ob Mandanteneinwilligung oder besondere Vereinbarungen erforderlich sind, bevor mandantenbezogene Daten ueber Zapier laufen.

Zapier-Alternativen mit besserem EU-Compliance-Profil

Wenn US-Transfer-Risiken, Subprozessor-Reichweite oder EU-Datenhaltungsgrenzen fuer Ihren Anwendungsfall problematisch sind, bieten folgende Alternativen unterschiedliche Compliance-Profile:

ToolZentraler Compliance-VorteilEinschraenkungen
Make.comEU-Hauptsitz (Tschechien), EU-RechenzentrumsoptionKleinere Template-Bibliothek, steilere Lernkurve
n8nSelf-Hosting moeglich, offener Quellcode, volle DatenkontrolleErfordert technisches Setup und Wartung
PipedreamQuelloffen, Self-Hosting verfuegbarWeniger ausgereifte Enterprise-Dokumentation
Zapier EU Data ResidencyTask-Daten bleiben in EU-InfrastrukturEliminiert nicht alle US-Subprozessor-Exponierungen

Keine dieser Alternativen macht AVV, Transferfolgenabschaetzung oder Workflow-Risikobewertung obsolet. Der Vorteil EU-ansaessiger oder selbst gehosteter Tools liegt in der Reduzierung der Transfer-Risikoflaeche, was TFA und DSFA vereinfachen kann.

Checkliste: Zapier DSGVO-Readiness fuer deutsche Unternehmen (Juni 2026)

Nutzen Sie diese Liste vor dem Einsatz jedes produktiven Zapier-Workflows, der personenbezogene Daten verarbeitet.

Vertrag und Rechtsgrundlage:

  • Zapier AVV abgeschlossen oder akzeptiert
  • AVV auf alle Art. 28 Abs. 3 DSGVO-Pflichtinhalte (lit. a–g) geprueft
  • Rechtsgrundlage nach Art. 6 DSGVO fuer jeden Workflow dokumentiert
  • Bei besonderen Kategorien: Grundlage nach Art. 9 Abs. 2 DSGVO dokumentiert
  • Transfermechanismus bestaetigt (SCCs, DPF-Zertifizierung oder beides)
  • Transferfolgenabschaetzung (TFA) fuer US-uebertragene Daten erstellt

Workflow-Gestaltung:

  • Workflow vollstaendig dokumentiert: Trigger, Actions, verbundene Apps, Felder, Logs, Speicherfristen
  • Datenminimierung umgesetzt — nur notwendige Felder werden uebertragen
  • Freitextinhalte soweit moeglich unterdrueckt oder entfernt
  • Task-History-Aufbewahrungsfristen konfiguriert und Loeschung getestet
  • AVVs der verbundenen Apps auf Konsistenz geprueft

Risikobewertung:

  • Workflow als geringes, mittleres oder hohes Risiko eingestuft
  • Bei hohem Risiko: DSFA nach Art. 35 DSGVO erstellt
  • Bei Mitarbeiterdaten oder Ueberwachungspotenzial: Betriebsratsbeteiligung eingeleitet
  • Branchenspezifische Anforderungen geprueft (Gesundheit, HR, Rechtsberatung)

EU AI Act (soweit KI-Komponenten eingesetzt werden):

  • Zapier AI Actions oder KI-Drittanbieter-Integrationen als KI-System identifiziert
  • Deployer-Rolle erkannt und Hochrisikoklassifikation nach Anhang III geprueft
  • Menschliche Aufsicht ueber KI-Outputs sichergestellt
  • Verbotene KI-Praktiken nach Art. 5 EU AI Act ausgeschlossen

Dokumentation:

  • Genehmigter Use Case ins Verzeichnis der Verarbeitungstaetigkeiten (Art. 30 DSGVO) aufgenommen
  • Beschraenkungen, Datenkategorien, Rechtsgrundlage und Pruef-Datum dokumentiert
  • Subprozessorenliste geprueft und in internem Vendor-Register erfasst

FAQ

Ist Zapier DSGVO-konform?

Zapier kann DSGVO-konform genutzt werden, aber nur nach einer workflow-bezogenen Pruefung. Der AVV, die Transferdokumentation, die Unterauftragsverarbeiter, die Speicherfristen und die gesamte App-Kette muessen zusammen bewertet werden. Eine Ein-Zeilen-Freigabe fuer alle Zaps ist nicht belastbar.

Hat Zapier einen AVV (Auftragsverarbeitungsvertrag)?

Ja. Zapier bietet ein DPA, das fuer Art. 28 DSGVO gedacht ist. Geprueft werden sollten aber nicht nur die Pflichtinhalte aus Art. 28 Abs. 3, sondern auch der praktische Punkt, dass nachgelagerte Drittdienste im Workflow nicht automatisch mitfreigegeben sind.

Werden Daten bei Zapier in die USA uebermittelt?

Ja. Zapier weist darauf hin, dass servicebezogene Daten in den USA verarbeitet werden koennen. Deutsche Unternehmen sollten deshalb SCCs, den DPF-Status am Prueftag und eine Transferfolgenabschaetzung fuer die konkreten Datenkategorien dokumentieren.

Speichert Zapier Daten in der EU?

Teilweise. Zapier bietet fuer bestimmte bezahlte Setups EU-Datenhaltung an, aber das deckt nicht automatisch Metadaten, Supportzugriffe, Unterauftragsverarbeiter oder Zielsysteme ab. Der konkrete Tarifumfang muss vor Freigabe schriftlich geprueft werden.

Warum sind Zapier-Integrationen ein eigenes Datenschutzproblem?

Weil Zapier die Vendor-Kette erweitert. Eine einzige Automation kann dieselben personenbezogenen Daten durch mehrere Systeme schicken, die jeweils eigene Vertragslagen, Speicherfristen, Unterauftragsverarbeiter und Drittlandtransfers mitbringen. Das Risiko liegt oft in dieser Gesamtkette.

Sind Task-Historien und Logs datenschutzrechtlich relevant?

Ja. Task-History, Debug-Logs, Payload-Vorschauen und Replay-Funktionen koennen personenbezogene Daten laenger speichern als fachlich erwartet. Speicherfristen, Loeschtests und Feldminimierung gehoeren deshalb in jede Freigabe.

Wann benoetigt eine Zapier-Nutzung eine DSFA?

Regelmaessig dann, wenn ein Workflow Mitarbeiter systematisch ueberwacht, besondere Kategorien im grossen Umfang verarbeitet, automatisierte Entscheidungen ueber Personen vorbereitet oder umfassendes Profiling aus mehreren Datenquellen erzeugt.

Kann Zapier fuer sensible oder Mitarbeiterdaten genutzt werden?

Teilweise, aber hier ist meist ein strengerer Pruefpfad noetig. Beschaeftigtendaten loesen BDSG- und oft Mitbestimmungsfragen aus. Gesundheitsdaten, Mandatsinhalte und vergleichbar sensible Informationen brauchen haeufig eine engere Architektur und staerkere Kontrollen als ein allgemeiner Automatisierungshub standardmaessig bietet.


Dieser Beitrag bietet allgemeine rechtliche Informationen fuer deutsche Unternehmen, die Zapier bewerten. Er ersetzt keine Rechtsberatung fuer einen konkreten Einsatz. Compound Law beraet Unternehmen und Gruender in Deutschland zu DSGVO, Commercial Contracts, Arbeitsrecht und AI-Compliance. Wenn Sie einen Zapier-Einsatz, einen AVV oder einen sensiblen Workflow pruefen moechten, kontaktieren Sie uns.

Weitere Tool-Guides

Claude ZDR Zero Data Retention Leitfaden fuer Anthropic API und Claude Code Enterprise
tools

Claude ZDR: Zero Data Retention fuer Enterprise und Claude Code

Claude ZDR gilt nur auf qualifizierten Anthropic-API- und Claude-Code-Enterprise-Pfaden. Erfahren Sie Scope, Ausschluesse, Retention-Ausnahmen und AVV-Bezug.

DeepL AVV und DSGVO Freigabeleitfaden fuer Unternehmen
tools

DeepL AVV und DSGVO in Deutschland: Freigabeleitfaden

DeepL ist in Deutschland meist nur mit bezahltem Business-Tarif, AVV und dokumentierter Funktionspruefung freigabefaehig. DeepL Free ist nicht freigegeben.

DeepSeek DSGVO-Analyse fuer deutsche Unternehmen
tools

DeepSeek DSGVO-konform? Was deutsche Unternehmen wissen müssen

Hosted DeepSeek bleibt fuer deutsche Unternehmen datenschutz- und beschaffungsrechtlich riskant. Self-Hosting auf EU-Infrastruktur ist gesondert zu bewerten.

Cursor AVV und DSGVO-Prüfung für Teams in Deutschland
tools

Cursor AVV 2026: Wo Sie ihn finden und was er regelt

Der Cursor-AVV steht unter cursor.com/terms/dpa. Für deutsche Teams braucht es trotzdem den richtigen Tarif, Privacy Mode und eine Transferprüfung.

Claude Code DSGVO-Konformität — AVV, Datenspeicherung und EU-Hosting
tools

Ist Claude Code DSGVO-konform? AVV, Datenspeicherung und Hosting

Claude Code ist per Anthropic-API-AVV DSGVO-konform. AVV, Datenspeicherung, Zero Data Retention, EU-Hosting und Compliance-Checkliste für Unternehmen.

HubSpot Datenschutz und DSGVO fuer Unternehmen in Deutschland
tools

HubSpot Datenschutz: DSGVO, AVV und Betriebsrat in Deutschland

HubSpot Datenschutz in Deutschland gelingt nur mit AVV, SCC-Pruefung, EU-Datenspeicherung-Bewertung und sauberer Betriebsratspruefung.

Tool Library

Mehr KI-Tools nach Thema durchsuchen

Vergleichen Sie weitere Tools, Datenschutzfragen und Einsatzszenarien in unserer vollständigen KI-Tool-Bibliothek.

Alle KI-Tools ansehen

Häufige Fragen

Zapier kann in Deutschland datenschutzkonform eingesetzt werden, aber nur workflow-bezogen. Entscheidend sind der konkrete Use Case, der AVV, der Drittlandtransfer, die angebundenen Apps, die in Zapier verbleibenden Logs und die betroffenen Datenkategorien. Eine pauschale Plattform-Freigabe gibt es nicht.

Ja. Zapier stellt ein oeffentliches Data Processing Addendum bereit. Deutsche Unternehmen sollten trotzdem die Pflichtinhalte aus Art. 28 Abs. 3 DSGVO, den Unterauftragsverarbeiter-Mechanismus, Loeschpflichten, Auditrechte und die Frage pruefen, was nach der Weitergabe an Drittdienste im Workflow rechtlich passiert.

Ja. Zapier weist darauf hin, dass servicebezogene Daten in den USA verarbeitet werden koennen, und verweist auf SCCs sowie die Zertifizierung nach dem EU-US Data Privacy Framework. Stand 29. Juni 2026 sollten deutsche Unternehmen trotzdem eine Transferfolgenabschaetzung dokumentieren und die SCCs im Vendor-File mitfuehren.

Teilweise. Zapier bietet fuer bestimmte Business-Setups EU-Datenhaltung an, aber das ist keine EU-only-Verarbeitung. Support, Metadaten, Unterauftragsverarbeiter und Zielsysteme koennen weiterhin ausserhalb des EWR liegen. Deshalb muss der konkrete Tarif schriftlich geprueft werden.

Weil Zapier selten das Ende der Verarbeitungskette ist. Ein Workflow kann Daten aus dem Quellsystem nach Zapier und von dort weiter in CRM, Helpdesk, Tabellen, KI-APIs oder Benachrichtigungstools schicken. Jede Station veraendert Rollenverteilung, Speicherfristen, Unterauftragsverarbeiter und Drittlandtransfer.

Ja. Task-History, Fehlerprotokolle, Payload-Vorschauen und Replay-Funktionen koennen mehr personenbezogene Daten speichern als das Fachteam erwartet. Deshalb sind Speicherfristen, Feldminimierung und Loeschtests zentrale Freigabepunkte.

Eine DSFA ist regelmaessig erforderlich, wenn ein Workflow Mitarbeiter systematisch ueberwacht, besondere Kategorien im grossen Umfang verarbeitet, automatisierte Entscheidungen ueber Personen vorbereitet oder umfangreiches Profiling aus mehreren Datenquellen erzeugt.

Teilweise, aber hier sollten viele Unternehmen bewusst bremsen. Gesundheitsdaten, Leistungsdaten von Mitarbeitenden, Mandatsinhalte oder andere hochsensible Informationen brauchen oft eine engere Architektur, strengere Vertragspruefung und mitunter die Entscheidung, diese Daten gar nicht erst durch einen breiten Automatisierungshub zu leiten.

Kostenlos beraten