Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Salesforce

Was macht Salesforce?

Salesforce ist die weltweit führende CRM-Plattform mit Sales Cloud, Marketing Cloud, Service Cloud, Commerce Cloud, Pardot (jetzt Marketing Cloud Account Engagement) und Einstein Analytics. Die DSGVO-Konformität für Salesforce ist komplex, da verschiedene Produkte unterschiedliche Rechtsgrundlagen und Compliance-Ansätze erfordern. EU-Datenresidenzoptionen sind in Deutschland verfügbar. Salesforce bietet umfassende DSGVO-Auftragsverarbeitungsverträge für seine gesamte Produktpalette und DSGVO-spezifische Funktionen einschließlich der Verwaltung von Betroffenenanfragen.

Was ist Salesforce?

Salesforce ist die weltweit führende CRM-Plattform (Customer Relationship Management) mit einer breiten Suite von Cloud-basierten Produkten: Sales Cloud für Vertriebsmanagement, Marketing Cloud und Pardot für E-Mail-Marketing und Marketing-Automatisierung, Service Cloud für Kundensupport, Commerce Cloud für E-Commerce sowie Einstein Analytics für KI-gestützte Geschäftseinblicke. Salesforce wird von Zehntausenden europäischer Unternehmen eingesetzt und ist damit eines der bedeutendsten Datenverarbeitungstools aus DSGVO-Perspektive.

DSGVO-Rechtsgrundlagen für Salesforce-Daten

Die DSGVO-Konformität für Salesforce ist komplex, da verschiedene Produkte unterschiedliche Rechtsgrundlagen erfordern. Bestehende Kunden und Vertragspartner: Vertragserfüllung oder berechtigte Interessen. Marketing-Einwilligungsaufzeichnungen: Einwilligung. B2B-Interessenten: berechtigte Interessen mit dokumentierter Interessenabwägung und Widerspruchsmöglichkeit. Salesforce bietet benutzerdefinierte Compliance-Felder zur Dokumentation der Rechtsgrundlage je Kontakt. Pardots Website-Tracking-Cookie (visitor_id) erfordert eine Einwilligung gemäß der ePrivacy-Richtlinie.

EU-Datenresidenz und US-Datentransfers

Salesforce bietet EU-Datenresidenz für bestimmte Produkte auf spezifischen Plänen (Deutschland). Sales Cloud und Service Cloud-Daten können für EU-Residenz konfiguriert werden. Marketing Cloud EU-Hosting ist separat erhältlich. Ohne EU-Residenz werden Daten in die USA übertragen und erfordern Standardvertragsklauseln (SCCs). Sprechen Sie Ihren Salesforce Account Executive an, um die EU-Datenresidenz für Ihr Unternehmen zu konfigurieren.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

DSGVO-Funktionen und Betroffenenrechte

Salesforce stellt das Privacy Center-Add-on zur Verwaltung von Betroffenenanfragen bereit. Für Auskunftsanfragen: Nutzung der Datenexport-Tools. Für Löschanfragen: Kontakt- und Lead-Datensätze löschen, aus Marketing-Cloud-Abonnentenlisten entfernen. Sicherstellen, dass die Löschung sich auf alle verbundenen Salesforce-Produkte auswirkt. Salesforce bietet außerdem DSGVO-spezifische Felder für die Einwilligungsverwaltung und ein vollständiges Audit-Log aller Datenänderungen.

AV-Vertrag und Datenschutz-Folgenabschätzung

Abschließen des Salesforce-Auftragsverarbeitungsvertrags (AVV), der alle verwendeten Salesforce-Produkte abdeckt. Der AVV ist über die Salesforce-Trust-Website oder den Account-Manager erhältlich. Eine DSFA wird für groß angelegte Deployments dringend empfohlen, die mehrere Salesforce-Clouds umfassen und umfassende EU-Kundenprofile verarbeiten. Die Kombination aus CRM-Profilerstellung, Marketing-Automatisierung und KI-gestütztem Lead-Scoring für viele EU-Kontakte erfordert eine gründliche dokumentierte Bewertung.

GDPR consent category

Marketing

Websites using Salesforce must obtain user consent under GDPR regulations.

Legal basisMultiple legal bases across Salesforce products. CRM contact management: legitimate interest or contract performance. Marketing Cloud email campaigns: consent. Pardot tracking and lead scoring: consent for cookies, legitimate interest assessment for B2B prospect data. Analytics and reporting: varies by data category.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive, SCCs for US transfers. Salesforce spans many products each requiring individual GDPR assessment.

DPIA considerations

Eine DSFA wird für groß angelegte Salesforce-Deployments dringend empfohlen, die mehrere Clouds umfassen und umfassende EU-Kundenprofile verarbeiten. Die Breite und Tiefe der auf der Salesforce-Plattform verarbeiteten personenbezogenen Daten erfordern eine gründliche dokumentierte Bewertung.

Sample consent text

Ihre Kontaktdaten werden in unserem Salesforce-CRM-System verwaltet. Wir verarbeiten diese Daten zur Pflege unserer Beziehung mit Ihnen, zur Erbringung von Dienstleistungen und, sofern Sie zugestimmt haben, zum Versand von Marketing-Kommunikation. Details und Ausübung Ihrer Rechte finden Sie in unserer Datenschutzerklärung.

Technical details

Tracking methodCRM platform, Marketing Cloud tracking pixels, Pardot forms and cookies, Einstein Analytics, Sales Cloud data processing, Service Cloud communications

Server locationUnited States with EU data residency options (Germany)

Data transferred outside the EUSalesforce is a US-based CRM platform. EU data residency options are available in Germany for certain Salesforce products. Standard deployments transfer EU personal data to US infrastructure requiring SCCs. Salesforce provides comprehensive GDPR DPAs across its product suite.

Third-party domains contacted

salesforce.compardot.comexacttarget.com

Cookies placed

Name	Type	Duration	Purpose
visitor_id	persistent	2 years	Salesforce Pardot visitor identifier for website behaviour tracking and lead scoring
_mkto_trk	persistent	2 years	Salesforce Marketing Cloud / Marketo visitor tracking cookie for email and web analytics

Salesforce setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Ist Salesforce DSGVO-konform?

Ja. Salesforce stellt umfassende DSGVO-AVVs für seine gesamte Produktpalette, EU-Datenresidenzoptionen und DSGVO-spezifische Funktionen einschließlich der Betroffenenrechtsverwaltung bereit. Konformität erfordert eine ordnungsgemäße Konfiguration und die Dokumentation der Rechtsgrundlage für jedes genutzte Salesforce-Produkt.

Welche Rechtsgrundlage gilt für Salesforce CRM-Kontakte?

Abhängig von der Kontaktbeziehung. Bestehende Kunden und Vertragspartner: Vertragserfüllung oder berechtigte Interessen. Marketing-Einwilligungsaufzeichnungen: Einwilligung. B2B-Interessenten: berechtigte Interessen mit dokumentierter Interessenabwägung und Widerspruchsmöglichkeit. Verwenden Sie Salesforces Lead-Source- und benutzerdefinierte Compliance-Felder zur Dokumentation der Rechtsgrundlage je Kontakt.

Bietet Salesforce EU-Datenresidenz an?

Ja, für bestimmte Produkte auf spezifischen Plänen (Deutschland). Sales Cloud und Service Cloud-Daten können für EU-Residenz konfiguriert werden. Marketing Cloud EU-Hosting ist separat erhältlich. Sprechen Sie Ihren Salesforce Account Executive an, um EU-Datenresidenz zu konfigurieren.

Erfordert Pardot eine Einwilligung?

Ja. Pardots Website-Tracking-Cookie (visitor_id) erfordert eine Einwilligung gemäß der ePrivacy-Richtlinie. Blockieren Sie den Pardot-Tracking-Code über Ihre CMP, bis eine Analyse-Einwilligung erteilt wurde. Formularübermittlungen und getrackte E-Mail-Klicks stellen ebenfalls eine Verarbeitung personenbezogener Daten dar, die offengelegt werden muss.

Benötige ich eine DSFA für Salesforce?

Wird für groß angelegte Deployments dringend empfohlen, die mehrere Salesforce-Clouds umfassen. Die Kombination aus CRM-Profilerstellung, Marketing-Automatisierung und KI-gestütztem Lead-Scoring für viele EU-Kontakte erfordert eine gründliche dokumentierte Bewertung.

Wie bearbeite ich Betroffenenanfragen in Salesforce?

Salesforce bietet das Privacy Center-Add-on zur Verwaltung von Betroffenenanfragen. Für Auskunftsanfragen: Nutzung der Datenexport-Tools. Für Löschanfragen: Kontakt- und Lead-Datensätze löschen, aus Marketing-Cloud-Abonnentenlisten entfernen. Sicherstellen, dass die Löschung sich auf alle verbundenen Salesforce-Produkte auswirkt.

Benötige ich einen AV-Vertrag mit Salesforce?

Ja. Abschließen des Salesforce-Auftragsverarbeitungsvertrags (AVV) für alle verwendeten Salesforce-Produkte. Der AVV ist über die Salesforce-Trust-Website oder den Account-Manager erhältlich. Sicherstellen, dass der AVV sowohl das primäre CRM als auch jede Marketing Cloud, Commerce Cloud oder andere verwendete Produkte abdeckt.

Gibt es eine DSGVO-konforme Alternative zu Salesforce CRM?

EU-basierte CRM-Alternativen umfassen HubSpot mit EU-Hosting (US-Unternehmen, EU-Hosting verfügbar), Brevo CRM (Frankreich) und Zoho CRM (EU-Rechenzentrumsoptionen). Für Enterprise-Maßstab bieten SAP CRM und Microsoft Dynamics 365 (mit EU-Datenresidenz) Alternativen mit soliden DSGVO-Rahmenwerken.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note