Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Airtable

Was macht Airtable?

Airtable ist eine US Cloud Plattform, die Tabellenkalkulation und relationale Datenbank kombiniert, mit kollaborativen Bases, Automatisierungen und eingebetteten Formularen. Airtable Formulare lassen sich auf Drittwebsites einbinden, um Befragtendaten zu erfassen, die an Airtable, Inc. in den USA uebertragen werden.

Was Airtable ist und wie die Plattform personenbezogene Daten verarbeitet

Airtable ist ein US SaaS, das die Flexibilitaet einer Tabellenkalkulation mit relationalen Datenbankfunktionen verbindet. Kunden erstellen Bases fuer Projekte, CRM, Redaktionsplaene, HR Pipelines und viele weitere Anwendungsfaelle. Airtable bietet zudem Forms, Interfaces, Automations und einen KI Assistenten. Personenbezogene Daten gelangen auf zwei Wegen in Airtable: ueber Datensaetze, die von authentifizierten Nutzern (Mitarbeitende, Dienstleister) eingegeben oder importiert werden, oder ueber Antwortdaten, die ueber ein eingebettetes Airtable Formular auf einer oeffentlichen Website uebermittelt werden. Jeder Pfad hat andere DSGVO Implikationen.

Cookies und Tracking auf airtable.com und in eingebetteten Formularen

Die Web App airtable.com setzt First Party Session Cookies wie brw, AWSALB und _airtable_session sowie Produktanalyse Cookies via Segment, Mixpanel, Google Analytics und Hotjar. Eingebettete Airtable Formulare laden in einem iframe und setzen diese airtable.com Cookies im Drittkontext, wenn das Formular auf einer Publisher Seite angezeigt wird. Aus ePrivacy Sicht erfordern diese nicht erforderlichen Cookies eine vorherige, freiwillige, spezifische, informierte und unmissverstaendliche Einwilligung, bevor sie gelesen oder geschrieben werden.

DSGVO Implikationen des EU/US Datentransfers

Airtable, Inc. verarbeitet Daten ueberwiegend in AWS US Regionen. Selbst wenn EU Mitarbeitende an einer Base zusammenarbeiten, fliessen Speicherung und Plattform Telemetrie ueber US Infrastruktur. Airtable ist unter dem EU US Data Privacy Framework selbstzertifiziert und unterzeichnet die EU Standardvertragsklauseln im Rahmen seines Data Processing Addendum. Verantwortliche muessen eine Transfer Impact Assessment fuer regelmaessige Transfers durchfuehren, insbesondere bei sensiblen Datenkategorien oder hohen Fallzahlen. EU Datenresidenz auf AWS Frankfurt ist nur im Enterprise Scale Tarif verfuegbar.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Einwilligungspflichten fuer Publisher mit eingebetteten Airtable Formularen

Bindet ein Publisher ein Airtable Formular ein, laedt das iframe airtable.com und setzt Cookies, bevor der Besucher interagiert. Nach Art. 5(3) ePrivacy Richtlinie, umgesetzt in nationales Recht (TTDSG in Deutschland, article 82 Loi Informatique et Libertes in Frankreich, article 22.2 LSSI in Spanien), muss der Publisher vorab eine Einwilligung fuer nicht erforderliche Cookies einholen und den Drittempfaenger offenlegen. Die sauberste Umsetzung verzoegert das iframe Laden bis zur Einwilligung oder ersetzt das Formular bei Ablehnung durch eine selbst gehostete Alternative.

Praktische Compliance Schritte fuer den Airtable Einsatz

Unterzeichnen Sie das Airtable Data Processing Addendum und legen Sie es im Auftragsverarbeiterverzeichnis ab. Erfassen Sie, welche Bases personenbezogene Daten enthalten, und klassifizieren Sie die Kategorien betroffener Personen. Aktivieren Sie Single Sign On, Zwei Faktor Authentifizierung und granulare Berechtigungen. Fuer eingebettete Airtable Formulare auf EU bezogenen Properties verschieben Sie das Laden bis zur Einwilligung, benennen Airtable im Cookie Banner und in der Datenschutzerklaerung und verlinken auf die Airtable Datenschutzhinweise. Deaktivieren Sie Airtable AI Funktionen auf Bases mit personenbezogenen Daten, solange die zusaetzliche Verarbeitung nicht bewertet wurde. Pruefen Sie regelmaessig Aenderungen der Unterauftragsverarbeiter.

GDPR consent category

Analytik

Websites using Airtable must obtain user consent under GDPR regulations.

Legal basisStrictly necessary session cookies on airtable.com (login, CSRF, load balancing) do not require consent. Embedded Airtable Forms collecting respondent data on a publisher website rely on Art. 6(1)(b) GDPR (contract) or Art. 6(1)(a) (consent) depending on context. Analytics and product telemetry cookies (Segment, Mixpanel, Hotjar) require prior consent under Art. 6(1)(a) GDPR and Art. 5(3) ePrivacy.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive (Cookie Law), CCPA, EU US Data Privacy Framework

DPIA considerations

Airtable ist ein allgemeines SaaS und die meisten Bases verarbeiten interne Geschaeftsdaten. Veroeffentlichte Airtable Formulare zur Erfassung von Besucherdaten veraendern das Risikoprofil. Eine DSFA ist angezeigt, wenn Formulare besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) erfassen, wenn Bases im grossen Stil als CRM oder HR System dienen, oder wenn Airtable AI Funktionen personenbezogene Daten verarbeiten. Airtable im Verarbeitungsverzeichnis als Auftragsverarbeiter fuehren, den Airtable Data Processing Addendum unterzeichnen, das EU/US Transfermechanismus (DPF Selbstzertifizierung und Standardvertragsklauseln) dokumentieren und eine Transfer Impact Assessment im Licht der US Ueberwachungsgesetze (FISA 702, EO 14086) durchfuehren.

Sample consent text

Diese Seite bindet ein Airtable Formular der Airtable, Inc. (USA) ein. Beim Absenden werden Ihre Antworten, Ihre IP Adresse und technische Metadaten in unserem Auftrag an Airtable uebertragen. Klicken Sie auf Akzeptieren, um das Formular zu laden und abzusenden.

Technical details

Tracking methodCloud database/spreadsheet hybrid SaaS accessed via web app and APIs. Sets first party session cookies (brw, AWSALB, _airtable_session) on airtable.com, plus analytics cookies (Segment, Mixpanel, Google Analytics, Hotjar) for product telemetry. Embedded Airtable Forms collect respondent data directly through airtable.com

Server locationUnited States. Airtable, Inc. is headquartered in San Francisco and operates primarily on AWS US regions (us-west-2, us-east-1). Enterprise Scale customers can request data residency in the EU on AWS Frankfurt (eu-central-1), but this is gated to the top tier plan.

Data transferred outside the EUAirtable, Inc. is a US controller. Default storage and processing happen in the US, with subprocessors including AWS, Stripe, Segment, Mixpanel, Cloudflare and Datadog. Airtable relies on Standard Contractual Clauses and self certifies under the EU US Data Privacy Framework. EU customers using Airtable Forms to collect personal data trigger a controller to processor transfer to the United States unless EU data residency is enabled on the Enterprise Scale plan.

Third-party domains contacted

airtable.comairtableusercontent.comapi.segment.ioapi.mixpanel.comstatic.hotjar.com

Cookies placed

Name	Type	Duration	Purpose
brw	First party (airtable.com browser identifier)	Persistent (1 year)	Identifies the browser across visits to the Airtable web app, used to fingerprint sessions and bind to authenticated users
AWSALB	Strictly necessary (AWS load balancer)	Persistent (7 days)	Routes the visitor to a consistent AWS Application Load Balancer target for the Airtable web app
_airtable_session	Strictly necessary (authentication)	Session	Maintains the authenticated user session in the Airtable web app and embedded forms
ajs_anonymous_id	Analytics (Segment)	Persistent (1 year)	Anonymous identifier set by Segment to stitch product telemetry events across pageviews
mp_*	Analytics (Mixpanel)	Persistent (1 year)	Mixpanel distinct id used to attribute product analytics events to a recurring browser

Airtable erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Airtable auf meiner Website?

Beim Einbetten eines Airtable Formulars laedt das iframe airtable.com und setzt First Party Cookies auf dieser Domain, darunter brw, AWSALB und _airtable_session. Die Web App airtable.com bindet zudem Segment, Mixpanel, Google Analytics und Hotjar ein, die eigene Analyse Cookies setzen. Aus Publisher Sicht erscheinen sie als Drittanbieter Cookies und sind offenzulegen.

Brauche ich Einwilligung vor dem Laden eines Airtable Formulars?

Ja. Eingebettete Airtable Formulare setzen nicht erforderliche Cookies und laden Drittanbieter Skripte vor jeder Interaktion. TTDSG und DSGVO verlangen eine vorherige Einwilligung. Verzoegern Sie das iframe Laden bis zur Einwilligung und zeigen Sie einen Platzhalter, der den Drittanbietertransfer erlaeutert.

Welche Rechtsgrundlage gilt fuer Airtable Formulardaten?

Fuer die Formularuebermittlung gilt in der Regel Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung oder vorvertragliche Massnahmen), wenn das Formular zu einer Serviceanfrage gehoert, oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bei Marketing oder Forschungszwecken. Analyse und Telemetrie Cookies stuetzen sich stets auf die Einwilligung.

Sind Airtable Datentransfers in die USA konform?

Airtable, Inc. ist unter dem EU US Data Privacy Framework selbstzertifiziert und unterzeichnet die EU Standardvertragsklauseln im Data Processing Addendum. EU Verantwortliche muessen eine Transfer Impact Assessment durchfuehren und zusaetzliche Massnahmen wie Verschluesselung in Transit und at Rest dokumentieren. EU Datenresidenz auf AWS Frankfurt ist nur im Enterprise Scale Tarif verfuegbar.

Wann ist eine DSFA fuer Airtable noetig?

Eine DSFA empfiehlt sich, wenn Airtable Bases besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) enthalten, im grossen Stil als CRM oder HR System dienen, wenn Airtable AI Funktionen personenbezogene Daten verarbeiten oder Formulare sensible Aufnahmen verarbeiten. Dokumentieren Sie Airtable als Auftragsverarbeiter, die DPF und SCC Transfermechanismen, Aufbewahrungsfristen und den Betroffenenrechte Prozess.

Wie setze ich Airtable DSGVO konform ein?

Unterzeichnen Sie das Airtable Data Processing Addendum, erfassen Sie Bases mit personenbezogenen Daten, aktivieren Sie SSO, Zwei Faktor Authentifizierung und granulare Berechtigungen. Fuer eingebettete Formulare verschieben Sie das iframe Laden bis zur Einwilligung und nennen den US Transfer in Cookie Banner und Datenschutzerklaerung. Deaktivieren Sie Airtable AI auf sensiblen Bases und pruefen Sie regelmaessig Aenderungen der Unterauftragsverarbeiter.

Welche EU basierten Alternativen zu Airtable Forms gibt es?

Fuer reine Formularerfassung kommen EU gehostete Alternativen wie Tally (Belgien), Formbricks (Deutschland, selbst gehostet), Framaforms (Frankreich) oder selbst gehostetes NoCoDB auf EU Infrastruktur in Frage. Diese Optionen reduzieren oder vermeiden Transfers in die USA, bieten aber nicht das gesamte Airtable Ecosystem.

Wie aktualisiere ich Cookie Richtlinie und Verarbeitungsverzeichnis fuer Airtable?

In der Cookie Richtlinie listen Sie die airtable.com Cookies des eingebetteten Formulars sowie die Analyse Cookies, die airtable.com laedt (Segment, Mixpanel, Hotjar). Im Verarbeitungsverzeichnis fuehren Sie Airtable als Auftragsverarbeiter fuer die jeweilige Base oder das Formular, benennen Airtable, Inc. als Datenimporteur, verweisen auf DPF und SCC und dokumentieren Aufbewahrungsfristen und Zugriffskontrollen.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note