Kostenlos beraten
Salesforce DSGVO-Compliance für deutsche Unternehmen
tools

Salesforce DSGVO-konform nutzen: AVV, Datenresidenz und Betriebsrat 2026

Ja, Salesforce lässt sich in Deutschland DSGVO-konform betreiben. Salesforce stellt einen Auftragsverarbeitungsvertrag (AVV) bereit, betreibt Rechenzentren in Frankfurt am Main und verfügt über eine BSI C5-Testatierung — doch diese Schutzmaßnahmen greifen nicht automatisch: Sie müssen den AVV abschließen, die EU-Datenspeicherung aktivieren und Betriebsratsanforderungen vor der Einführung klären. Dieser Leitfaden erläutert die aktuelle Compliance-Lage für Salesforce Sales Cloud, Service Cloud und Marketing Cloud unter der DSGVO und dem deutschen Datenschutzrecht. Zu den spezifischen KI-Funktionen von Salesforce Einstein finden Sie auf unserer gesonderten Seite Salesforce Einstein DSGVO-Leitfaden weitere Informationen.

Ist Salesforce DSGVO-konform für deutsche Unternehmen?

Ja — mit Bedingungen. Salesforce handelt als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, wenn personenbezogene Daten im Auftrag Ihres Unternehmens verarbeitet werden. Als Verantwortliche sind Sie verpflichtet, vier Kernvoraussetzungen zu erfüllen, bevor Sie Salesforce zur Verarbeitung personenbezogener Daten einsetzen:

  • Den Salesforce AVV abschließen, um die Anforderungen des Art. 28 DSGVO zu erfüllen
  • Die EU-Datenspeicherung konfigurieren, damit personenbezogene Daten im Europäischen Wirtschaftsraum (EWR) verbleiben
  • Die Unterauftragsverarbeiterliste von Salesforce prüfen und Drittlandübermittlungen bewerten
  • Eine Rechtsgrundlage festlegen — in der Regel Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — für die CRM-Datenverarbeitung

Salesforce ist eine der datenschutzrechtlich ausgereiftesten Unternehmensplattformen auf dem deutschen Markt. Das im März 2026 aktualisierte Datenschutzaddendum stärkt die Compliance-Dokumentation weiter und macht Salesforce zu einer gut vertretbaren Wahl — vorausgesetzt, die erforderlichen Einrichtungsschritte werden konsequent umgesetzt.

Salesforce AVV: Inhalt und Abschluss

Gemäß Art. 28 DSGVO muss jedes Unternehmen, das einen Drittanbieter zur Verarbeitung personenbezogener Daten einsetzt, einen schriftlichen Auftragsverarbeitungsvertrag abgeschlossen haben. In Deutschland wird dieser Vertrag als Auftragsverarbeitungsvertrag (AVV) bezeichnet; einzelne Landesdatenschutzbehörden (z. B. LfDI, BayLDA) verwenden auch den Begriff ADV (Auftragsdatenverarbeitungsvertrag).

Salesforce hat sein Datenschutzaddendum im März 2026 umfassend aktualisiert. Das aktuelle Addendum enthält:

  • Eine präzise Beschreibung aller Verarbeitungstätigkeiten über Salesforce-Produkte hinweg
  • Kategorien betroffener Personen und verarbeiteter personenbezogener Daten
  • Technische und organisatorische Maßnahmen (TOMs) nach ISO 27001 und BSI C5
  • Regelungen zu Unterauftragsverarbeitern mit Benachrichtigungs- und Genehmigungspflichten
  • Unterstützung bei der Erfüllung von Betroffenenrechten gemäß Art. 15–22 DSGVO
  • Verfahren zur Datenlöschung oder -rückgabe nach Vertragsende
  • Aktualisierte Standardvertragsklauseln für Drittlandübermittlungen

So schließen Sie den Salesforce-AVV ab:

  1. Melden Sie sich bei Salesforce Trust (trust.salesforce.com) oder in Ihrem Salesforce-Konto an
  2. Navigieren Sie zum Abschnitt „Rechtsvereinbarungen” oder „Datenschutz”
  3. Akzeptieren Sie den Standard-AVV von Salesforce — für die meisten Salesforce-Produkte ist dieser als vorab unterzeichnete Online-Vereinbarung verfügbar und erfordert keine individuelle Verhandlung
  4. Laden Sie den unterzeichneten AVV herunter und archivieren Sie ihn für Ihre Compliance-Dokumentation und Ihr Lieferantenmanagement

Für deutsche Unternehmen sollte der AVV zudem die Einhaltung des Bundesdatenschutzgesetzes (BDSG) abdecken — insbesondere §26 BDSG, wenn in Salesforce Beschäftigtendaten verarbeitet werden (z. B. Leistungsdaten von Vertriebsmitarbeitenden).

EU-Datenspeicherung: Das Frankfurter Rechenzentrum

Salesforce betreibt Rechenzentren in Frankfurt am Main als Teil seiner EU-Infrastruktur. Für deutsche Unternehmen mit aktivierter EU-Datenspeicherung werden primäre personenbezogene Daten — CRM-Datensätze, Kontaktinformationen, Kundeninteraktionshistorie — innerhalb des Europäischen Wirtschaftsraums (EWR) gespeichert und verarbeitet.

Wichtige Hinweise für deutsche Unternehmen:

  • EU-Datenspeicherung ist ein Zusatzfeature oder an Abonnementstufen gebunden — keine Standardeinstellung. Prüfen Sie, ob Ihr Salesforce-Vertrag diese Option umfasst, und lassen Sie den Datenspeicherort schriftlich bestätigen
  • Metadaten und Betriebsdaten (Logs, Backup-Infrastruktur, Support-Prozesse) können weiterhin Datenflüsse außerhalb des EWR beinhalten — diese sind durch Standardvertragsklauseln im Salesforce-AVV abgedeckt
  • Marketing Cloud verfügte historisch über eine separate Datenspeicherinfrastruktur; klären Sie den EU-Datenspeicherungsumfang für Marketing Cloud gesondert, falls Sie dieses Produkt einsetzen
  • Service-Cloud-Contact-Center-Funktionen und Telefonieintegrationen können Daten über zusätzliche Unterauftragsverarbeiter leiten — prüfen Sie stets die aktuelle Unterauftragsverarbeiterliste, bevor Sie diese Funktionen aktivieren

Dokumentieren Sie die bestätigte EU-Datenspeicherungskonfiguration in Ihrem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO.

Standardvertragsklauseln und EU-US-Datenschutzrahmen

Salesforce ist ein US-amerikanisches Unternehmen und verarbeitet bestimmte Daten in den Vereinigten Staaten. Der rechtliche Rahmen für diese Übermittlungen stützt sich auf zwei Mechanismen:

Standardvertragsklauseln (SCC): Das Salesforce-AVV enthält die aktualisierten EU-Standardvertragsklauseln der Europäischen Kommission vom Juni 2021 (Beschluss 2021/914). Diese Klauseln regeln alle EU-US-Datenübermittlungen und wurden in Reaktion auf das Schrems-II-Urteil des EuGH (Data Protection Commissioner v. Facebook Ireland und Maximillian Schrems, C-311/18) aktualisiert.

EU-US-Datenschutzrahmen (Data Privacy Framework, DPF): Salesforce ist nach dem EU-US-Datenschutzrahmen zertifiziert, der im Juli 2023 in Kraft trat und im Juli 2024 vom EuGH bestätigt wurde. Die DPF-Zertifizierung bietet einen zusätzlichen rechtlichen Mechanismus für transatlantische Datenübermittlungen.

Für deutsche Unternehmen gilt: Beide Mechanismen zusammen schaffen eine solide rechtliche Grundlage für transatlantische Salesforce-Datenübermittlungen. Erstellen Sie dennoch eine Datentransfer-Folgenabschätzung (Transfer Impact Assessment, TIA), um Ihre Sorgfaltspflicht nachzuweisen — die deutschen Datenschutzaufsichtsbehörden (insbesondere LfDI, BayLDA und die Berliner Beauftragte für Datenschutz) prüfen US-Cloud-Dienste weiterhin kritisch.

BSI C5-Testatierung und weitere Sicherheitszertifizierungen

BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist der Sicherheitsstandard des Bundesamts für Sicherheit in der Informationstechnik (BSI) für Cloud-Dienste. Salesforce verfügt über eine BSI C5-Testatierung — ein wesentliches Differenzierungsmerkmal bei deutschen Unternehmensausschreibungen, Behördenverträgen und Einsätzen in regulierten Branchen.

Aktuelles Zertifizierungsportfolio von Salesforce für den deutschen Markt:

ZertifizierungRelevanz
BSI C5Deutscher Cloud-Sicherheitsstandard — bei vielen öffentlichen Ausschreibungen und regulierten Branchen vorausgesetzt
ISO 27001Internationaler Standard für Informationssicherheitsmanagementsysteme
SOC 2 Typ IIJährlicher Betriebssicherheitsnachweis — unter NDA vom Salesforce-Account-Team erhältlich
ISO 27017Cloud-spezifische Sicherheitskontrollen
ISO 27018Schutz personenbezogener Daten in Cloud-Umgebungen

Fordern Sie für deutsche Ausschreibungen die aktuelle BSI C5-Testatierungsdokumentation direkt von Ihrem Salesforce-Account-Team an. Aktuelle Testatierungen gelten für bestimmte Salesforce-Dienste; prüfen Sie, ob die von Ihnen beschafften Produkte im zertifizierten Geltungsbereich enthalten sind.

Betriebsrat: Mitbestimmungsrechte bei Salesforce-Einführungen

Salesforce-Einführungen lösen häufig Mitbestimmungsrechte nach §87 Abs. 1 Nr. 6 BetrVG aus, da die Plattform die technische Überwachung von Mitarbeiterverhalten und -leistung ermöglicht.

Typische Szenarien, bei denen eine Betriebsratsbeteiligung erforderlich ist:

  • Salesforce Sales Cloud: Pipeline-Management, Aktivitätsverfolgung, Anrufprotokollierung und Verkaufsperformance-Dashboards ermöglichen die Überwachung der individuellen Leistung und Produktivität von Vertriebsmitarbeitenden
  • Salesforce Service Cloud: Warteschlangenmanagement im Callcenter, Fallbearbeitungszeiten, kundenbezogene Zufriedenheitsbewertungen einzelner Mitarbeitender sowie SLA-Compliance-Tracking sind klassische §87-BetrVG-Anwendungsfälle
  • Salesforce Marketing Cloud: Kampagnenattributionsdaten und E-Mail-Engagement-Metriken, die einzelnen Teammitgliedern zugeordnet werden können

Empfohlenes Vorgehen:

  1. Führen Sie vor der Einführung eine Bewertung aller Salesforce-Funktionen durch, die eine Mitarbeiterüberwachung ermöglichen könnten
  2. Binden Sie den Betriebsrat vor dem Rollout ein — nicht danach
  3. Verhandeln Sie eine Betriebsvereinbarung, die zulässige Nutzungsarten, Datenspeicherfristen, Zugriffskontrollen und Mitarbeiterrechte definiert
  4. Nutzen Sie Salesforces Admin-Einstellungen, um nicht durch die Betriebsvereinbarung abgedeckte Überwachungsfunktionen zu deaktivieren oder einzuschränken
  5. Dokumentieren Sie die Betriebsvereinbarung in Ihrem VVT

Die Verhandlung von Betriebsvereinbarungen für Salesforce-Einführungen ist ein zentraler Tätigkeitsschwerpunkt von Compound Law. Den vollständigen rechtlichen Rahmen für die Überwachung von Beschäftigtendaten finden Sie in unserem Leitfaden zur KI-Mitarbeiterüberwachung.

Salesforce Einstein und KI-Funktionen: Eine zusätzliche Compliance-Ebene

Salesforce Einstein — Einstein Lead Scoring, Einstein GPT, Conversation Intelligence und weitere KI-gestützte Funktionen — begründet zusätzliche DSGVO-Pflichten über die Basis-CRM-Plattform hinaus. Wesentliche Aspekte umfassen die Anforderungen des Art. 22 DSGVO zu automatisierten Einzelentscheidungen, DSFA-Pflichten bei umfangreicher Profilierung sowie KI-Act-Compliance für Hochrisikoanwendungen in Professional Services und kundenseitigen Deployments.

Den Salesforce-Einstein-Compliance-Rahmen behandeln wir ausführlich auf einer gesonderten Seite. Lesen Sie unseren Salesforce Einstein DSGVO-Leitfaden, bevor Sie KI-Funktionen in Ihrer Salesforce-Instanz aktivieren. Für KI-gestützten Kundenservice über Salesforce Service Cloud empfehlen wir zudem unseren Leitfaden zur KI-Kundenservice-Compliance.

Unsere Einschätzung

Salesforce ist eine der datenschutzrechtlich ausgereiftesten CRM-Plattformen auf dem deutschen Markt. Das aktualisierte AVV vom März 2026, die BSI C5-Testatierung, das Frankfurter Rechenzentrum und die Zertifizierung nach dem EU-US-Datenschutzrahmen schaffen gemeinsam eine solide rechtliche Grundlage für den Salesforce-Einsatz in Deutschland.

Die wesentlichen Compliance-Risiken liegen nicht in der Plattform selbst, sondern in Konfigurations- und Prozesslücken: kein AVV-Abschluss vor dem Go-live, Rollout ohne Betriebsratsbeteiligung oder Aktivierung von Einstein-KI-Funktionen ohne Prüfung der Art.-22-DSGVO-Pflichten.

Vor dem Go-live mit Salesforce sollten Sie folgende Schritte abschließen:

  1. Salesforce AVV abschließen und unterzeichnete Ausfertigung archivieren
  2. EU-Datenspeicherungskonfiguration schriftlich bestätigen und dokumentieren
  3. Salesforce-Unterauftragsverarbeiterliste prüfen und TIA erstellen
  4. Salesforce im VVT nach Art. 30 DSGVO mit allen erforderlichen Angaben erfassen
  5. Betriebsrat einbinden und Betriebsvereinbarung verhandeln, wo erforderlich
  6. Einstein-KI-Funktionen gesondert nach unserem Einstein-Leitfaden prüfen

Kontaktieren Sie Compound Law für eine auf Ihre Organisation zugeschnittene Salesforce-DSGVO-Readiness-Prüfung.

Häufig gestellte Fragen

Ist Salesforce DSGVO-konform?

Ja. Salesforce stellt einen umfassenden Auftragsverarbeitungsvertrag (aktualisiert März 2026) bereit, betreibt Rechenzentren in Frankfurt am Main, verfügt über BSI C5- und ISO-27001-Zertifizierungen und ist nach dem EU-US-Datenschutzrahmen zertifiziert. DSGVO-Konformität setzt voraus, dass Sie als Verantwortliche den AVV abschließen, die EU-Datenspeicherung konfigurieren und geeignete Rechtsgrundlagen für die Verarbeitung festlegen, bevor Sie die Plattform produktiv einsetzen.

Hat Salesforce einen AVV für Deutschland?

Ja. Salesforce stellt ein Standard-Datenschutzaddendum bereit, das über Salesforce Trust (trust.salesforce.com) und das Salesforce-Vertragsportal zugänglich ist. Dieser AVV erfüllt die Anforderungen des Art. 28 DSGVO und enthält die nach deutschem Datenschutzrecht erforderlichen Bestimmungen. Er erfordert keine individuelle Verhandlung und kann online akzeptiert werden.

Wo speichert Salesforce Daten von EU-Kunden?

Salesforce betreibt Rechenzentren in Frankfurt am Main und weiteren EU-Standorten. Die EU-Datenspeicherung — Verbleib primärer personenbezogener Daten im EWR — ist als Abonnementfunktion verfügbar. Prüfen Sie, ob Ihr Vertrag EU-Datenspeicherung umfasst, aktivieren Sie die entsprechende Einstellung in Ihrer Salesforce-Instanz und lassen Sie den Datenspeicherungsumfang für Ihre spezifische Instanz schriftlich bestätigen.

Ist Salesforce BSI C5 zertifiziert?

Ja. Salesforce verfügt über eine BSI C5-Testatierung für seine Cloud-Dienste. BSI C5 ist der Cloud-Sicherheitsstandard des Bundesamts für Sicherheit in der Informationstechnik und ist bei vielen öffentlichen Ausschreibungen sowie Einsätzen in regulierten Branchen in Deutschland erforderlich. Fordern Sie die aktuelle Testatierungsdokumentation direkt von Ihrem Salesforce-Account-Team an.

Muss ich den Betriebsrat bei der Salesforce-Einführung einbeziehen?

In der Regel ja, wenn Ihre Salesforce-Einführung Funktionen umfasst, die die Überwachung von Mitarbeiterleistung, -verhalten oder -produktivität ermöglichen. Gemäß §87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat bei der Einführung technischer Überwachungssysteme zwingende Mitbestimmungsrechte. Binden Sie den Betriebsrat vor dem Rollout ein und verhandeln Sie eine Betriebsvereinbarung zur Regelung des Salesforce-Einsatzes.

Die Informationen auf dieser Seite sind allgemeine Orientierungshilfen zur DSGVO-Compliance beim Einsatz von Salesforce und stellen keine Rechtsberatung dar. Ihre spezifische Situation kann eine individuelle rechtliche Beratung erfordern. Kontaktieren Sie Compound Law für eine maßgeschneiderte Salesforce-DSGVO-Compliance-Prüfung.

Weitere Tool-Guides

Claude Enterprise für Kanzleien und juristische Rechtsabteilungen
tools

Claude Enterprise für Kanzleien und Rechtsabteilungen

Claude Enterprise für Kanzleien: Vertragsanalyse, Due Diligence und Compliance-Dokumentation DSGVO-konform einsetzen — Leitfaden für Juristen.
Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform? AVV nach Art. 28, SCCs, EU-Datenhaltung und Datentransfer 2026 — aktueller Compliance-Leitfaden fuer Deutschland.
Anthropic Auftragsverarbeitungsvertrag AVV Art. 28 DSGVO Prüfleitfaden
tools

Anthropic Auftragsverarbeitungsvertrag — DSGVO-Leitfaden

Was der Anthropic AVV nach Art. 28 DSGVO enthält, welche SCCs einbezogen sind und was vor dem Claude-Einsatz in Deutschland zu prüfen ist.
Claude Enterprise DSGVO-Compliance für Unternehmen in Deutschland
tools

Claude Enterprise für Deutschland — DSGVO-konform & sicher

Claude Enterprise bietet deutschen Unternehmen eine DSGVO-konforme KI-Plattform mit AVV, ohne Modelltraining und mit EU-Datenschutzstandards.
Anthropic DPA Auftragsverarbeitung nach Art. 28 DSGVO für Claude Enterprise
tools

Anthropic DPA & DSGVO-Compliance für Deutschland

Ja – Anthropic stellt für Claude Enterprise und die Claude API eine DPA bereit. Was die DPA abdeckt und wann sie für Deutschland ausreicht.
Claude Code DSGVO-Konformität — AVV, Datenspeicherung und EU-Hosting
tools

Ist Claude Code DSGVO-konform? AVV, Datenspeicherung und Hosting

Claude Code ist per Anthropic-API-AVV DSGVO-konform. AVV, Datenspeicherung, Zero Data Retention, EU-Hosting und Compliance-Checkliste für Unternehmen.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist Salesforce DSGVO-konform?

Ja. Salesforce stellt einen umfassenden Auftragsverarbeitungsvertrag (aktualisiert März 2026) bereit, betreibt Rechenzentren in Frankfurt am Main, verfügt über BSI C5- und ISO-27001-Zertifizierungen und ist nach dem EU-US-Datenschutzrahmen zertifiziert. DSGVO-Konformität setzt voraus, dass Sie als Verantwortliche den AVV abschließen, die EU-Datenspeicherung konfigurieren und geeignete Rechtsgrundlagen für die Verarbeitung festlegen, bevor Sie die Plattform produktiv einsetzen.

Hat Salesforce einen AVV für Deutschland?

Ja. Salesforce stellt ein Standard-Datenschutzaddendum bereit, das über Salesforce Trust (trust.salesforce.com) und das Salesforce-Vertragsportal zugänglich ist. Dieser AVV erfüllt die Anforderungen des Art. 28 DSGVO und enthält die nach deutschem Datenschutzrecht erforderlichen Bestimmungen. Er erfordert keine individuelle Verhandlung und kann online akzeptiert werden.

Wo speichert Salesforce Daten von EU-Kunden?

Salesforce betreibt Rechenzentren in Frankfurt am Main und weiteren EU-Standorten. Die EU-Datenspeicherung — Verbleib primärer personenbezogener Daten im EWR — ist als Abonnementfunktion verfügbar. Prüfen Sie, ob Ihr Vertrag EU-Datenspeicherung umfasst, aktivieren Sie die entsprechende Einstellung in Ihrer Salesforce-Instanz und lassen Sie den Datenspeicherungsumfang für Ihre spezifische Instanz schriftlich bestätigen.

Ist Salesforce BSI C5 zertifiziert?

Ja. Salesforce verfügt über eine BSI C5-Testatierung für seine Cloud-Dienste. BSI C5 ist der Cloud-Sicherheitsstandard des Bundesamts für Sicherheit in der Informationstechnik und ist bei vielen öffentlichen Ausschreibungen sowie Einsätzen in regulierten Branchen in Deutschland erforderlich. Fordern Sie die aktuelle Testatierungsdokumentation direkt von Ihrem Salesforce-Account-Team an.

Muss ich den Betriebsrat bei der Salesforce-Einführung einbeziehen?

In der Regel ja, wenn Ihre Salesforce-Einführung Funktionen umfasst, die die Überwachung von Mitarbeiterleistung, -verhalten oder -produktivität ermöglichen. Gemäß §87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat bei der Einführung technischer Überwachungssysteme zwingende Mitbestimmungsrechte. Binden Sie den Betriebsrat vor dem Rollout ein und verhandeln Sie eine Betriebsvereinbarung zur Regelung des Salesforce-Einsatzes. --- *Die Informationen auf dieser Seite sind allgemeine Orientierungshilfen zur DSGVO-Compliance beim Einsatz von Salesforce und stellen keine Rechtsberatung dar. Ihre spezifische Situation kann eine individuelle rechtliche Beratung erfordern. [Kontaktieren Sie Compound Law](/de-DE/#booking) für eine maßgeschneiderte Salesforce-DSGVO-Compliance-Prüfung.*

Kostenlos beraten