Kostenlos beraten
Salesforce Einstein DSGVO-Compliance für deutsche Unternehmen
tools

Salesforce Einstein DSGVO-Compliance für deutsche Unternehmen

Salesforce Einstein ist DSGVO-konform für deutsche Unternehmen — vorausgesetzt, Sie schließen den Auftragsverarbeitungsvertrag (AVV) mit Salesforce ab und konfigurieren die EU-Datenspeicherung für Ihre Salesforce-Instanz. Ohne diese Maßnahmen entsteht bei der Verarbeitung personenbezogener Daten von EU-Bürgerinnen und Bürgern ein erhebliches Haftungsrisiko nach der DSGVO (Verordnung (EU) 2016/679). Dieser Leitfaden erläutert die wesentlichen Compliance-Anforderungen, den AVV-Prozess, KI-spezifische Datenschutzaspekte der Einstein-Funktionen und eine Checkliste für mittelständische Unternehmen in Deutschland.

Ist Salesforce Einstein DSGVO-konform?

Ja — mit Bedingungen. Salesforce handelt als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, wenn das Unternehmen personenbezogene Daten im Auftrag Ihres Unternehmens verarbeitet. Als Verantwortliche sind Sie verpflichtet:

  • Den Auftragsverarbeitungsvertrag (AVV) mit Salesforce abzuschließen, um die Anforderungen des Art. 28 DSGVO zu erfüllen
  • Die EU-Datenspeicherung für Ihre Salesforce-Instanz zu konfigurieren, sofern in Ihrem Abonnement verfügbar
  • Die Auflistung der Unterauftragsverarbeiter von Salesforce zu prüfen und Drittlandübermittlungen zu bewerten
  • Eine geeignete Rechtsgrundlage — in der Regel berechtigtes Interesse oder Vertragserfüllung — für die CRM-Datenverarbeitung festzulegen

Salesforce betreibt Rechenzentren in der EU und bietet Optionen zur Datenspeicherung, die primäre personenbezogene Daten innerhalb des Europäischen Wirtschaftsraums (EWR) halten. Einzelne Einstein-KI-Funktionen können jedoch zusätzliche Infrastruktur nutzen — prüfen Sie daher stets die aktuelle Auflistung der Unterauftragsverarbeiter, bevor Sie neue Funktionen in Ihrer Organisation aktivieren.

Salesforce Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO muss jedes Unternehmen, das einen Drittanbieter zur Verarbeitung personenbezogener Daten einsetzt, einen schriftlichen Auftragsverarbeitungsvertrag abgeschlossen haben. In Deutschland wird dieser Vertrag als Auftragsverarbeitungsvertrag (AVV) oder — in der Terminologie einiger Datenschutzbehörden wie dem LfDI und dem BayLDA — als ADV (Auftragsdatenverarbeitungsvertrag) bezeichnet.

So schließen Sie den Salesforce-AVV ab:

  1. Melden Sie sich bei Salesforce Trust (trust.salesforce.com) oder Ihrem Salesforce-Konto an
  2. Navigieren Sie zum Abschnitt „Datenschutzaddendum” in Ihren Vertragsunterlagen
  3. Akzeptieren Sie den Standard-AVV von Salesforce — dieser ist für die meisten Salesforce-Produkte als vorab unterzeichnete Online-Vereinbarung verfügbar und erfordert keine individuelle Verhandlung
  4. Laden Sie den unterzeichneten AVV herunter und archivieren Sie ihn für Ihre Compliance-Dokumentation

Der Salesforce-AVV enthält alle Pflichtangaben nach Art. 28 DSGVO: Beschreibung der Verarbeitungstätigkeit, Kategorien betroffener Personen, technische und organisatorische Maßnahmen (TOMs), Regelungen zu Unterauftragsverarbeitern sowie Unterstützung bei der Erfüllung von Betroffenenrechten.

Anforderungen an einen DSGVO-konformen AVV:

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen
  • Vertraulichkeitspflichten für alle zur Verarbeitung befugten Personen
  • Implementierung angemessener technischer und organisatorischer Sicherheitsmaßnahmen gemäß Art. 32 DSGVO
  • Beauftragung von Unterauftragsverarbeitern nur mit gleichwertigen Datenschutzverpflichtungen
  • Unterstützung des Verantwortlichen bei der Beantwortung von Betroffenenanfragen
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Vertragsende
  • Bereitstellung aller zur Nachweisführung der Compliance erforderlichen Informationen

Für deutsche Unternehmen empfiehlt es sich, im AVV auch die Einhaltung des Bundesdatenschutzgesetzes (BDSG) zu berücksichtigen — insbesondere bei der Verarbeitung von Beschäftigtendaten nach §26 BDSG.

Salesforce Einstein KI-Funktionen — Spezifische DSGVO-Aspekte

Salesforce Einstein bringt KI-gestützte Funktionen mit — Predictive Lead Scoring, Einstein GPT, Conversation Intelligence, Empfehlungssysteme — die über die Standard-CRM-Nutzung hinaus spezifische Datenschutzanforderungen auslösen.

Predictive Lead Scoring und automatisierte Entscheidungen: Einstein Lead Scoring verarbeitet persönliche und Verhaltensdaten zu Interessenten und Kunden, um Vorhersagen zu generieren. Sofern diese Scores wesentliche kommerzielle Entscheidungen beeinflussen, sind die Anforderungen des Art. 22 DSGVO zu automatisierten Einzelentscheidungen zu beachten — und menschliche Überprüfung der Ergebnisse ist sicherzustellen.

Einstein GPT und Datenspeicherung: Einstein-GPT-Funktionen können Kundendaten als Eingabe zur Inhaltsgenerierung nutzen. Prüfen Sie die aktuellen Datenspeicherungs- und Modelltrainingsrichtlinien von Salesforce — insbesondere ob Ihre Kundendaten für das Training gemeinsam genutzter Salesforce-Modelle verwendet werden oder auf Ihre Instanz beschränkt bleiben. Holen Sie dazu eine schriftliche Bestätigung Ihres Salesforce-Account-Teams ein.

Datenschutz-Folgenabschätzung (DSFA/DPIA): Bei umfangreicher Profilierung von Kunden, der systematischen Überwachung von Beschäftigten oder automatisierten Entscheidungen mit erheblichen Auswirkungen ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich. Auch wenn Sie zu dem Ergebnis kommen, dass keine DSFA zwingend erforderlich ist, dokumentieren Sie Ihre Einschätzung schriftlich und halten Sie diese für eine eventuelle Prüfung durch die Datenschutzbehörde bereit.

Empfohlene DSGVO-konforme Einstein-Konfiguration:

  • „Datenschutz als Standard”-Einstellungen in Ihrer Salesforce-Organisation aktivieren
  • Nicht aktiv genutzte Einstein-Funktionen deaktivieren
  • Feldbezogene Zugriffsrechte (Field-Level Security) einschränken, um den Zugriff auf personenbezogene Daten zu begrenzen
  • Datenspeicherfristen in den Einstein-Konfigurationseinstellungen überprüfen und festlegen
  • Regelmäßig auditieren, welche Einstein-Funktionen aktiv sind, und deren Erforderlichkeit neu bewerten

Salesforce in Deutschland — Zertifizierungen und Compliance

Salesforce verfügt über wichtige Compliance-Zertifizierungen, die für Beschaffungsprozesse in Deutschland und der EU relevant sind:

  • ISO 27001: Salesforce ist nach ISO 27001 für seine Cloud-Dienste zertifiziert — dem international anerkannten Standard für Informationssicherheitsmanagementsysteme
  • SOC 2 Typ II: Jährliche SOC 2-Typ-II-Berichte sind über Ihr Salesforce-Account-Team unter NDA erhältlich und bestätigen Konzeption und operative Wirksamkeit der Sicherheitskontrollen
  • EU-Standardvertragsklauseln (SCC): Der Salesforce-AVV enthält die aktualisierten EU-SCC (2021) für Übermittlungen in Drittländer einschließlich der USA — in Übereinstimmung mit den Anforderungen nach dem Schrems-II-Urteil des EuGH und den EDSA-Empfehlungen
  • EU-US Data Privacy Framework: Salesforce ist unter dem EU-US Data Privacy Framework zertifiziert und stellt damit einen zusätzlichen Übermittlungsmechanismus für personenbezogene Daten in die USA bereit

BDSG-Aspekte für deutsche Unternehmen: Prüfen Sie, ob Salesforce Einstein Beschäftigtendaten verarbeitet — etwa durch Conversation Analytics, die das Verhalten von Vertriebsmitarbeitenden analysieren. Die Verarbeitung von Beschäftigtendaten unterliegt den erhöhten Anforderungen des §26 BDSG und erfordert bei mitbestimmungsrelevanten Maßnahmen die Beteiligung des Betriebsrats nach §87 BetrVG. Binden Sie den Betriebsrat frühzeitig ein, wenn Einstein-Funktionen Einfluss auf Arbeitsprozesse oder die Leistungsbewertung von Mitarbeitenden haben könnten.

Checkliste: Salesforce Einstein DSGVO-konform einsetzen

  1. Salesforce AVV abschließen — Zugang über Salesforce Trust oder den Vertragsbereich Ihres Kontos; unterzeichnete Fassung archivieren
  2. EU-Datenspeicherung konfigurieren — EU-Datenspeicherungsoption aktivieren, sofern in Ihrem Abonnement enthalten; Umfang schriftlich bestätigen lassen
  3. Auflistung der Unterauftragsverarbeiter prüfen — Unterauftragsverarbeiter identifizieren, Drittlandübermittlungen bewerten und Ihre Beurteilung dokumentieren
  4. Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren — Salesforce als Auftragsverarbeiter nach Art. 30 DSGVO mit Verarbeitungszwecken, Datenkategorien, Betroffenengruppen und Speicherfristen eintragen
  5. Art. 22 DSGVO prüfen — einschätzen, ob Einstein-gestützte Entscheidungen als vollautomatisierte Entscheidungen mit erheblichen Auswirkungen auf Betroffene einzustufen sind, und bei Bedarf menschliche Überprüfung sicherstellen

Häufig gestellte Fragen

Speichert Salesforce CRM-Daten in der EU?

Salesforce bietet EU-Datenspeicherung als Bestandteil bestimmter Abonnementtarife an, die primäre personenbezogene Daten in EU-Rechenzentren halten. Ohne diese Option können Daten weltweit in Salesforce-Infrastruktur gespeichert werden. Prüfen Sie, ob Ihr Abonnement EU-Datenspeicherung umfasst, aktivieren Sie die entsprechende Einstellung und lassen Sie sich den Datenspeicherort für Ihre Instanz schriftlich bestätigen.

Ist eine Datenschutz-Folgenabschätzung (DSFA) für Salesforce Einstein in Deutschland erforderlich?

Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn die Verarbeitung „voraussichtlich ein hohes Risiko” für betroffene Personen mit sich bringt. Typische Auslöser bei Salesforce Einstein: umfangreiche Profilierung von Kunden, systematische Überwachung von Beschäftigten oder vollautomatisierte Entscheidungen mit erheblichen Auswirkungen. Bei Standard-CRM-Nutzung ohne risikoreiche KI-Funktionen ist eine DSFA möglicherweise nicht zwingend erforderlich — dokumentieren Sie Ihre Einschätzung jedoch stets schriftlich.

Können mittelständische Unternehmen Salesforce ohne eigenen AVV nutzen?

Nein. Jedes Unternehmen — unabhängig von Größe und Branche — das Salesforce zur Verarbeitung personenbezogener Daten von EU-Bürgerinnen und Bürgern einsetzt, muss vor Verarbeitungsbeginn den Salesforce-AVV abgeschlossen haben. Salesforce stellt einen standardisierten Online-AVV bereit, der keine individuelle Verhandlung erfordert und auch für kleine und mittelständische Unternehmen unkompliziert abzuschließen ist.

Welche Unterauftragsverarbeiter setzt Salesforce ein?

Salesforce pflegt eine aktuelle Auflistung der Unterauftragsverarbeiter auf seinen Datenschutz- und Sicherheits-Trust-Seiten. Wesentliche Unterauftragsverarbeiter sind Cloud-Infrastrukturanbieter (AWS, Google Cloud, Microsoft Azure) sowie spezialisierte Dienste, die Einstein und andere Salesforce-Funktionen unterstützen. Prüfen Sie diese Liste mindestens jährlich im Rahmen Ihres Lieferanten-Compliance-Programms und dokumentieren Sie Ihre Bewertung.

Die Informationen auf dieser Seite sind allgemeine Orientierungshilfen zur DSGVO-Compliance beim Einsatz von Salesforce Einstein und stellen keine Rechtsberatung dar. Ihre spezifische Situation kann eine individuelle rechtliche Beratung erfordern. Kontaktieren Sie Compound Law für eine maßgeschneiderte Salesforce-Compliance-Prüfung.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot DSGVO: AVV mit Microsoft, EU Data Boundary, Betriebsrat und Compliance-Checkliste für Unternehmen in Deutschland.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.

Mehr KI-Tools durchsuchen

Häufige Fragen

Speichert Salesforce CRM-Daten in der EU?

Salesforce bietet EU-Datenspeicherung als Bestandteil bestimmter Abonnementtarife an, die primäre personenbezogene Daten in EU-Rechenzentren halten. Ohne diese Option können Daten weltweit in Salesforce-Infrastruktur gespeichert werden. Prüfen Sie, ob Ihr Abonnement EU-Datenspeicherung umfasst, aktivieren Sie die entsprechende Einstellung und lassen Sie sich den Datenspeicherort für Ihre Instanz schriftlich bestätigen.

Ist eine Datenschutz-Folgenabschätzung (DSFA) für Salesforce Einstein in Deutschland erforderlich?

Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn die Verarbeitung „voraussichtlich ein hohes Risiko" für betroffene Personen mit sich bringt. Typische Auslöser bei Salesforce Einstein: umfangreiche Profilierung von Kunden, systematische Überwachung von Beschäftigten oder vollautomatisierte Entscheidungen mit erheblichen Auswirkungen. Bei Standard-CRM-Nutzung ohne risikoreiche KI-Funktionen ist eine DSFA möglicherweise nicht zwingend erforderlich — dokumentieren Sie Ihre Einschätzung jedoch stets schriftlich.

Können mittelständische Unternehmen Salesforce ohne eigenen AVV nutzen?

Nein. Jedes Unternehmen — unabhängig von Größe und Branche — das Salesforce zur Verarbeitung personenbezogener Daten von EU-Bürgerinnen und Bürgern einsetzt, muss vor Verarbeitungsbeginn den Salesforce-AVV abgeschlossen haben. Salesforce stellt einen standardisierten Online-AVV bereit, der keine individuelle Verhandlung erfordert und auch für kleine und mittelständische Unternehmen unkompliziert abzuschließen ist.

Welche Unterauftragsverarbeiter setzt Salesforce ein?

Salesforce pflegt eine aktuelle Auflistung der Unterauftragsverarbeiter auf seinen Datenschutz- und Sicherheits-Trust-Seiten. Wesentliche Unterauftragsverarbeiter sind Cloud-Infrastrukturanbieter (AWS, Google Cloud, Microsoft Azure) sowie spezialisierte Dienste, die Einstein und andere Salesforce-Funktionen unterstützen. Prüfen Sie diese Liste mindestens jährlich im Rahmen Ihres Lieferanten-Compliance-Programms und dokumentieren Sie Ihre Bewertung. --- *Die Informationen auf dieser Seite sind allgemeine Orientierungshilfen zur DSGVO-Compliance beim Einsatz von Salesforce Einstein und stellen keine Rechtsberatung dar. Ihre spezifische Situation kann eine individuelle rechtliche Beratung erfordern. [Kontaktieren Sie Compound Law](/de-DE/#booking) für eine maßgeschneiderte Salesforce-Compliance-Prüfung.*

Kostenlos beraten