Kostenlos beraten
Slack DSGVO und AVV Compliance fuer Unternehmen in Deutschland
tools

Slack DSGVO & AVV: Was Unternehmen in Deutschland wissen muessen

Ist Slack DSGVO-konform fuer Unternehmen in Deutschland?

Slack kann in Deutschland DSGVO-konform genutzt werden, erfordert aber AVV, EU-Datenspeicherort-Pruefung, Transferbewertung und Betriebsratseinbindung wegen Ueberwachungspotenzial. Standardtarife verarbeiten in den USA; EU-Datenspeicherung erfordert Enterprise Grid.

  • Slack bietet einen Auftragsverarbeitungsvertrag (AVV) an — schliessen Sie ihn ab und pruefen Sie Subprozessoren, Transferklauseln und Loeschfristen.
  • EU-Datenspeicherung fuer Nachrichteninhalte erfordert Slack Enterprise Grid mit aktivierter EU-Residency-Option; Standardtarife verarbeiten Daten in den USA.
  • Einsaetze mit Mitarbeiter-Nachrichtendaten, Zugriffslogs oder Nutzungsmetriken erfordern in Deutschland eine Betriebsrats-Pruefung.

Slack DSGVO ist fuer Unternehmen in Deutschland kein Selbstlaeufer. Slack kann rechtmaessig eingesetzt werden, erfordert aber mehr als die Zustimmung zum Data Processing Addendum. Deutsche Unternehmen muessen Datenspeicherort, internationale Datentransfers, Subprozessoren und — in Deutschland besonders kritisch — die arbeitsrechtlichen Implikationen einer Messaging-Plattform prufen, die Mitarbeiteraktivitaetsdaten erzeugen kann. Einen Ueberblick ueber weitere KI- und Produktivitaetstools fuer den deutschen Markt bietet die KI-Tools-Uebersicht.

Kurzantwort

Ja, aber mit erheblichen Voraussetzungen.

  • Schliessen Sie den Slack AVV ab und pruefen Sie, ob er Ihre Datenkategorien und Transfers abdeckt.
  • EU-Datenspeicherung fuer Nachrichteninhalte erfordert Enterprise Grid — Standardtarife verarbeiten in den USA.
  • Eine Betriebsratseinbindung ist vor dem Einsatz oder der Erweiterung von Slack in Deutschland regelmaessig erforderlich.

Dieser Beitrag bietet allgemeine Informationen und ersetzt keine Rechtsberatung fuer einen konkreten Einsatz. Fuer angrenzende Anwendungsfaelle sind auch unsere Beitraege zu AI Customer Service Compliance und Notion AI DSGVO relevant.

Hat Slack einen AVV nach Art. 28 DSGVO?

Ja. Slack stellt ein Data Processing Addendum (AVV) bereit, das die Anforderungen von Art. 28 DSGVO abdecken soll. Slack (ein Salesforce-Unternehmen) veroeffentlicht den AVV und Unternehmen koennen ihn je nach Tarif im Rahmen der Servicebedingungen akzeptieren oder als gesondertes Dokument abschliessen.

Der AVV ist ein Mindesterfordernis, aber kein Abschluss der DSGVO-Pruefung. Deutsche Unternehmen sollten insbesondere verifizieren:

  • dass der AVV wirksam einbezogen ist und die tatsaechlich genutzten Datenkategorien abdeckt
  • wie Slack seine Subprozessoren offenlegt und verwaltet — einschliesslich Cloud-Infrastruktur, Support-Tools und Analytics-Dienste
  • welche Loeschfristen fuer Nachrichtendaten, Dateidaten und Zugriffslogs nach Vertragsende gelten
  • ob die Transferklauseln die grenzueberschreitenden Datenfluesse Ihrer Slack-Konfiguration erfassen
  • wie Slack bei Sicherheitsvorfaellen benachrichtigt und welche Pflichten Ihnen als Verantwortlichem verbleiben

Slack gehoert zu Salesforce, was die Konzernstruktur, den AVV-Aufbau und die Subprozessorenliste beeinflussen kann. Unternehmen, die bereits Salesforce CRM nutzen, sollten die Auftragsverarbeiter-Beziehungen ueber den gesamten Vendor-Stack auf Konsistenz pruefen.

Wo speichert Slack Daten? EU-Datenspeicherort-Optionen

Das ist die meistgestellte DSGVO-Frage fuer deutsche Unternehmen, die Slack evaluieren — und die Antwort haengt stark vom Tarif ab:

TarifebeneNachrichteninhalt-SpeicherortStandard
Slack Pro / Business+USA (AWS US-Regionen)US-basiert
Slack Enterprise GridEU-Datenspeicherort-Option verfuegbarUS-Standard, EU optional

Standardtarife (Pro, Business+): Nachrichteninhalte, Dateien und Metadaten werden in den USA verarbeitet. Internationale Transfers sind durch Standardvertragsklauseln (SCC) im Rahmen des Slack-AVV abgedeckt, aber Daten bleiben nicht standardmaessig im EWR.

Slack Enterprise Grid mit EU-Datenspeicherung: Slack bietet fuer Enterprise-Grid-Kunden eine dedizierte EU-Datenspeicherort-Option an. Wenn aktiviert, werden Nachrichteninhalte und Dateien in der EU (spezifisch EU-basierten AWS-Regionen) gespeichert und verarbeitet. Das ist die Konfiguration, die die meisten deutschen Unternehmen mit strikten Datenspeicheranforderungen benoetigen.

Fuer die Mehrheit der deutschen Unternehmen auf Standardtarifen lautet die ehrliche Antwort: Nachrichteninhalte gehen in die USA, abgesichert durch SCCs. Ob das akzeptabel ist, haengt von Ihrer internen Risikotoleranz, der Sensitivitaet der ueber Slack fliessenden Daten und Ihrem Transfer-Impact-Assessment ab.

Slack und DSGVO: Zentrale Compliance-Anforderungen fuer deutsche Unternehmen

Rechtsgrundlage und Datenkategorien

Slack verarbeitet mehrere Datenkategorien, die unterschiedliche Rechtsgrundlagen erfordern koennen:

  • Mitarbeiterkommunikationsdaten (Nachrichten, Dateien, Channels) — typischerweise auf Basis des Arbeitsvertrags oder berechtigter Interessen verarbeitet, wobei sensible Kommunikation eine sorgfaeltige Analyse erfordert
  • Kunden- oder Interessentendaten in Slack-Channels — koennen Einwilligung oder Vertragsdurchfuehrung als Grundlage erfordern
  • Nutzungs- und Zugriffslogs — koennen Profiling- oder Ueberwachungsrisiken beinhalten

Jede Kategorie benoetigt eine eigene Rechtsgrundlage nach Art. 6 DSGVO und bei besonderen Kategorien personenbezogener Daten (Gesundheit, Gewerkschaftszugehoerigkeit usw.) in Slack-Channels auch eine Grundlage nach Art. 9 DSGVO.

Datenminimierung und Channel-Design

Eine praktische DSGVO-Massnahme fuer Slack ist das Workflow-Design — nicht nur die rechtliche Dokumentation. Teams sollten beruecksichtigen:

  • welche Channels Kundendaten oder personenbezogene Daten enthalten
  • wer Zugriff auf den Export oder die Suche in historischen Nachrichten hat
  • ob Slack Connect (externer Gastzugang) neue Auftragsverarbeiter- oder Verantwortlichen-Beziehungen schafft
  • wie lange Nachrichten und Dateien aufbewahrt werden und ob Retention-Policies konfiguriert sind

Nachrichten-Exporte und eDiscovery-Funktionen in Slack koennen erhebliche Mengen personenbezogener Daten offenlegen, wenn sie nicht kontrolliert werden. Pruefen Sie Ihre Retention-Richtlinien und Exportberechtigungen als Teil jedes DSGVO-Compliance-Setups.

Slack Enterprise Grid und erweiterte Datenschutzkontrollen

Fuer groessere deutsche Unternehmen bietet Slack Enterprise Grid erweiterte administrative und datenschutzrelevante Kontrollen:

  • EU-Datenspeicherort fuer Nachrichteninhalte (bei Aktivierung)
  • DLP-Integrationsoptionen (Data Loss Prevention)
  • Zentralisierte Verwaltung ueber mehrere Workspaces
  • Granulare Exportkontrollen — Einschraenkung, wer Nachrichtenverlauf exportieren kann
  • Audit-Logs — die selbst als Datenverarbeitungsaktivitaet verwaltet werden muessen

Diese Kontrollen machen Enterprise Grid aus DSGVO-Sicht deutlich einfacher zu rechtfertigen — insbesondere fuer Unternehmen in regulierten Branchen oder mit grossen Mengen an Mitarbeiterkommunikationsdaten.

Die Audit-Log-Funktion ist selbst eine Datenverarbeitungsaktivitaet, die eine Rechtsgrundlage, angemessene Transparenz und in Deutschland wahrscheinlich eine Betriebsrats-Einbindung erfordert.

Slack DSGVO-konform einrichten: Schritt fuer Schritt

Bevor Sie Slack einfuehren oder auf neue Teams oder Datenkategorien ausweiten, arbeiten Sie diese Checkliste durch:

  1. Slack AVV abschliessen. Akzeptieren Sie das Data Processing Addendum und bestaetigen Sie, dass es Ihren Tarif, Ihre Datenkategorien und Ihre Konfiguration abdeckt.

  2. Datenspeicherort-Anforderungen bewerten. Wenn EU-Datenspeicherung erforderlich ist, bestaetigen Sie, ob Enterprise Grid mit EU-Residency aktiviert ist. Bei Standardtarifen: Transferbasis (SCCs) und Transfer-Impact-Assessment dokumentieren.

  3. Datafluesse durch Slack kartieren. Identifizieren Sie, welche Channels Kundendaten, Mitarbeiterdaten, Finanzdaten oder andere personenbezogene Daten enthalten. Bewerten Sie, wer Zugriff hat und ob dieser verhaeltnismaessig ist.

  4. Retention-Policies konfigurieren. Stellen Sie Nachrichten- und Datei-Retention auf das fuer Ihren Anwendungsfall notwendige Minimum ein. Vermeiden Sie unbefristete Standard-Aufbewahrungen.

  5. Export- und Admin-Berechtigungen ueberpruefen. Schraenken Sie Nachrichten-Exportrechte auf autorisierte Rollen ein. Pruefen Sie Slack-Connect-Einstellungen und externen Workspace-Zugang.

  6. Betriebsrat einbinden. In Deutschland erfordert die Einfuehrung von Slack als Kommunikationstool mit Monitoring-Potenzial eine Betriebsrats-Konsultation nach § 87 Abs. 1 Nr. 6 BetrVG. Das gilt insbesondere, wenn Audit-Logs, Nachrichten-Suche oder Analytics-Funktionen aktiviert werden.

  7. DSFA bei Bedarf durchfuehren. Eine Datenschutz-Folgenabschaetzung (DSFA) nach Art. 35 DSGVO kann erforderlich sein, wenn Slack in grossem Massstab, fuer sensible Daten oder in einer Weise eingesetzt wird, die eine systematische Ueberwachung von Mitarbeiterkommunikation ermoeglichen wuerde.

  8. Verarbeitungsverzeichnis aktualisieren. Dokumentieren Sie Slack als Auftragsverarbeitung in Ihrem Verzeichnis der Verarbeitungstaetigkeiten (VVT) nach Art. 30 DSGVO mit Datenkategorien, Transferbasis und Auftragsverarbeiter-Beziehung.

Wenn Sie Slack mit Automatisierungstools wie Make.com oder Zapier verbinden, erzeugen diese Integrationen zusaetzliche Datenfluesse, die gemeinsam mit dem Haupt-Slack-Deployment bewertet werden muessen — vergleichen Sie hierzu unsere Beitraege zu KI-Lieferkettenmanagement Compliance und KI-Planungsoptimierung Compliance.

Betriebsrat und Mitarbeiterueberwachungsrisiken

Das ist die in deutschen Unternehmen am haeufigsten unterschaetzte Compliance-Dimension bei Slack.

Warum Slack ein Mitbestimmungsthema ist: Slack erzeugt systembedingt Protokolle darueber, wann Mitarbeiter Nachrichten senden, wie haeufig sie kommunizieren, welche Channels sie nutzen und welche Dateien sie teilen. Selbst wenn niemand diese Daten aktiv auswertet, begruendet die technische Moeglichkeit zur Ueberwachung individuellen Mitarbeiterverhaltens Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG.

Typische Slack-Funktionen, die eine Betriebsrats-Pruefung erfordern:

  • Nachrichten-Export und -Suche durch Administratoren
  • Audit-Logs mit individuellem Nutzeraktivitaetsnachweis
  • Slack Analytics mit Metriken auf Nutzer- oder Channel-Ebene
  • KI-Funktionen (Slack AI), die Channels zusammenfassen oder Konversationen durchsuchen
  • eDiscovery und Legal-Hold-Funktionen

Das bedeutet nicht, dass Slack in Deutschland unzulaessig ist. Es bedeutet, dass ein deutsches Unternehmen, das Slack einsetzt — insbesondere mit Admin-Zugang zu Exporten oder Analyse-Funktionen — den Betriebsrat einbinden, die Moeglichkeiten des Tools erklaeren, akzeptable Nutzungsregeln vereinbaren und diese Konsultation dokumentieren sollte.

Wann rechtliche Beratung sinnvoll ist

Allgemeine Hinweise reichen regelmaessig nicht mehr aus, wenn Ihr Slack-Einsatz:

  • Nachrichten-Export oder Audit-Log-Auswertung zu HR-Zwecken umfasst
  • Slack-KI-Funktionen verwendet, die Mitarbeiterkommunikation verarbeiten oder zusammenfassen
  • Daten aus regulierten Branchen (Gesundheit, Finanzen, Versicherung) durch Slack-Channels leitet
  • Slack Connect mit externen Parteien fuer Kundendaten-Verarbeitung nutzt
  • in Legal-Hold-, eDiscovery- oder Compliance-Monitoring-Kontexten eingesetzt wird

Dann lautet die eigentliche Frage nicht mehr, ob Slack die DSGVO unterstuetzt. Sondern ob Ihre konkrete Konfiguration, Ihre Betriebsvereinbarung, Ihr AVV und Ihr Transfer-Setup einer Pruefung durch die zustaendige Datenschutzbehoerde oder ein Arbeitsgericht standhalten. Das Bundesdatenschutzgesetz (BDSG) und insbesondere § 26 BDSG fuer Beschaeftigtendaten sind dabei neben der DSGVO stets zu beachten.

Compound Law beraet Unternehmen und Gruender in Deutschland zu DSGVO, Arbeitsrecht, Commercial Contracts und KI-Compliance. Wenn Sie einen Slack-Einsatz prufen, eine Betriebsvereinbarung fuer Kommunikationstools verhandeln oder einen AVV bewerten moechten, kontaktieren Sie uns.

FAQ: Slack und deutsches Datenschutzrecht

Ist Slack DSGVO-konform fuer Unternehmen in Deutschland?

Slack kann DSGVO-konform genutzt werden, aber die Plattform macht Ihren Einsatz nicht automatisch rechtskonform. AVV, Datenspeicherort-Konfiguration, Transfermechanismus, Subprozessoren und der Umgang mit Mitarbeiter- und Kundendaten muessen fuer Ihre konkrete Situation geprueft werden.

Hat Slack einen AVV nach DSGVO?

Ja, Slack stellt ein Data Processing Addendum bereit, das Art.-28-DSGVO-Anforderungen abdecken soll. Unternehmen sollten es abschliessen und Subprozessoren, Transferklauseln, Sicherheitszusagen und Loeschfristen pruefen.

Speichert Slack Daten in der EU?

Nur bei Enterprise Grid mit explizit aktivierter EU-Datenspeicherung. Standardtarife (Pro, Business+) verarbeiten Nachrichteninhalte in den USA, abgesichert durch Standardvertragsklauseln.

Brauchen wir eine Betriebsvereinbarung fuer Slack in Deutschland?

In den meisten deutschen Unternehmen ja. Die Admin-Funktionen von Slack — einschliesslich Nachrichten-Export, Audit-Logs und Analytics — koennen technisch eine Mitarbeiterueberwachung ermoeglichen, was Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG ausloest. Eine fruehzeitige Betriebsratseinbindung ist dringend zu empfehlen.

Kann Slack fuer Kundendaten oder regulierte Informationen genutzt werden?

Das haengt von der Datenkategorie und dem Channel-Design ab. Operative Kunden-Metadaten sind oft handhabbar, aber die grosse Weitergabe von Kundenkommunikation, Gesundheitsinformationen oder Finanzdaten ueber Slack wirft erheblichere DSGVO- und branchenspezifische Compliance-Fragen auf.

Weitere Tool-Guides

ChatGPT Enterprise Compliance Deutschland DSGVO AI Act
tools

ChatGPT Enterprise in Deutschland: DSGVO, AI Act und Betriebsrat 2025

ChatGPT Enterprise DSGVO-konform in Deutschland einsetzen: AVV, EU-Datenresidenz, AI Act, Betriebsrat. Aktueller Compliance-Leitfaden 2025.
Claude AVV Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
tools

Claude AVV: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Claude AVV pruefen: Bietet Anthropic einen Auftragsverarbeitungsvertrag? Was muss der Claude AVV enthalten und wann reicht er fuer deutsche Unternehmen?
Miro DSGVO und AVV Compliance für deutsche Unternehmen
tools

Miro DSGVO: AVV und Datenschutz für deutsche Unternehmen

Miro DSGVO-konform einsetzen: AVV prüfen, Datentransfers bewerten und Miro rechtssicher in Deutschland nutzen.
Grammarly DSGVO-konform einsetzen: AVV und Datenschutz für deutsche Unternehmen
tools

Grammarly DSGVO-konform nutzen: AVV und Beschäftigtendatenschutz

Grammarly bietet einen AVV für Enterprise-Kunden. Was deutsche Unternehmen vor dem Einsatz von Grammarly unter der DSGVO prüfen müssen.
HubSpot DSGVO-konform nutzen: AVV und Datenschutz für deutsche Unternehmen
tools

HubSpot AVV und DSGVO: Was deutsche Unternehmen wissen müssen

HubSpot bietet einen Auftragsverarbeitungsvertrag für alle Kunden. Was deutsche Unternehmen vor dem Einsatz prüfen und unterzeichnen müssen.
OpenAI API DSGVO-Compliance und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

OpenAI API DSGVO-Compliance: AVV und Datenschutz für Unternehmen

OpenAI bietet einen AVV für API-Kunden. Deutsche Unternehmen müssen ihn abschließen und eine Rechtsgrundlage dokumentieren.

Mehr KI-Tools durchsuchen

Häufige Fragen

Hat Slack einen Auftragsverarbeitungsvertrag (AVV) nach DSGVO?

Ja, Slack stellt einen Data Processing Addendum bereit, der die Anforderungen von Art. 28 DSGVO abdecken soll. Unternehmen sollten den AVV abschliessen und Subprozessoren, Transferklauseln, Sicherheitszusagen und Loeschregeln im Detail pruefen.

Ist Slack DSGVO-konform fuer Unternehmen in Deutschland?

Slack kann DSGVO-konform genutzt werden, aber die Bewertung haengt vom konkreten Einsatz, dem AVV, der Tarif- und Datenspeicherort-Konfiguration, den Transfermechanismen und dem Umgang mit Mitarbeiter- und Kundendaten ab.

Wo speichert Slack Daten fuer EU-Kunden?

Standardtarife verarbeiten Nachrichteninhalte in den USA. EU-Datenspeicherung — bei der Nachrichteninhalte in der EU gespeichert und verarbeitet werden — erfordert den Slack-Enterprise-Grid-Tarif mit explizit aktivierter EU-Residency-Option.

Brauchen Unternehmen in Deutschland eine Betriebsvereinbarung fuer Slack?

In der Regel ja. Slack verarbeitet Mitarbeiterkommunikation und kann Zugriffslogs und Aktivitaetsdaten erzeugen. Wenn Slack auf eine Weise genutzt wird, die Mitarbeiterverhalten ueberwachbar macht — auch unbeabsichtigt — greifen Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG, und eine fruehzeitige Betriebsrats-Einbindung ist dringend zu empfehlen.

Kostenlos beraten