Datenschutzerklärung für Salesforce Chatbot

(3 Bewertungen, 5.00 von 5)

Was macht Salesforce Chatbot?

Der Salesforce Chatbot „Einstein“ unterstützt Unternehmen bei der Kundenkommunikation. Sie können mit „Einstein“ automatisiert Kundenanfragen beantworten. Der Bot ist mit der KI von Salesforce verbunden. Auf diese Weise lernt er stetig dazu – und kann mit der Zeit immer mehr Kundenprobleme allein lösen. Was müssen Unternehmen datenschutzrechtlich beachten, wenn sie den Salesforce Chatbot verwenden?

Der Punkt "Salesforce Chatbot" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

  

Warum ist der Salesforce Chatbot datenschutzrechtlich relevant?

Kommunizieren Unternehmen über den Salesforce Chatbot mit Kunden, erheben sie – je nach Anliegen der Kunden – Daten von ihnen. Das können beispielsweise

  • Namen,
  • E-Mail-Adressen und
  • Telefonnummern

sein. Diese Daten sind durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) besonders geschützt. Denn: Es handelt sich dabei um personenbezogene Daten. Unternehmen müssen daher verschiedene Pflichten beachten.

Salesforce Chatbot datenschutzkonform verwenden

Um den Salesforce Chatbot „Einstein“ datenschutzkonform einzusetzen, müssen Unternehmen diese Vorgaben berücksichtigen:

Einwilligung in Datenerhebung einholen

Wollen Unternehmen über „Einstein“ personenbezogene Daten sammeln, benötigen sie dafür eine Erlaubnis der Nutzer. Sie müssen diese per Opt-in einholen. In diesem Kontext müssen sie aufführen, welche Daten sie über den Chatbot erheben und verarbeiten wollen. Dabei sollten sie auch einen Datenschutzhinweis bereitstellen, der Kunden im Detail erklärt, wie sie die Daten sammeln und speichern. Unternehmen können diese datenschutzrechtlichen Vorgaben mit einem Cookie-Banner umsetzen. Damit der Banner den Vorgaben der DSGVO entspricht, können sie ein Cookie Consent Tool verwenden. Dies erstellt einen datenschutzkonformen Cookie-Banner und passt die Datenströme auf der Webseite nach den Vorgaben der User an.

Vertrag zur Auftragsverarbeitung schließen

Daten, die Unternehmen über „Einstein“ sammeln, geben sie automatisch an Salesforce weiter. Salesforce verarbeitet die Daten dann weisungsgebunden. Unternehmen müssen daher mit Salesforce einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Dieser Vertrag definiert, wie Salesforce die Kundendaten schützen muss. Unternehmen sollten überprüfen, ob der Vertrag festhält,

  • welche Userdaten Salesforce speichert,
  • wie lange Salesforce die Daten speichert,
  • warum Salesforce die Daten speichert und
  • welche Rechte und Pflichten beide Seiten haben.

Datenschutzerklärung aktualisieren

Sammeln Unternehmen über „Einstein“ personenbezogene Daten, müssen sie das in ihrer Datenschutzerklärung erwähnen. Im Detail müssen sie darauf hinweisen,

  • welche Nutzerdaten sie an Salesforce weitergeben,
  • warum sie die Daten weitergeben,
  • dass sie mit dem hinter „Einstein“ stehenden Anbieter Salesforce für die Datenweitergabe einen AV-Vertrag geschlossen haben,
  • wie Salesforce die Daten verwendet und
  • dass Kunden der Datenerhebung und Datenweitergabe jederzeit widersprechen können.

Unternehmen müssen ihren Nutzern diese Punkte in einer einfach verständlichen Sprache erklären.

Standardvertragsklauseln abschließen

Der Salesforce Chatbot übermittelt erhobene Userdaten an seine Server in den USA. Als rechtliche Grundlage nutzt Salesforce dafür sogenannte Binding Corporate Rules (BCR). Dabei handelt es sich um von Salesforce selbst aufgestellte, interne Datenschutzvorschriften, an die sich der Anbieter hält. Die BCR geben strenge Voraussetzungen vor, wenn Salesforce Daten aus einem Drittland wie Deutschland erhalten will. So müssen EU-Datenschutzbehörden den Datentransfer in die USA beispielsweise zunächst genehmigen. Und: Salesforce muss den Datenschutzbehörden regelmäßig über den Datentransfer berichterstatten. Dieses Vorgehen genügt den Vorgaben der DSGVO, die das Gesetz in Art. 46 Abs. 2 lit. b sowie in Art. 47 macht.

Um den Datentransfer zusätzlich abzusichern, sollten Unternehmen mit Salesforce Standardvertragsklauseln abschließen. Sie kommen dem automatisch nach, wenn sie die Auftragsverarbeitung durch Salesforce bestätigen. Zudem müssen Unternehmen eine Risikoabschätzung vornehmen. Diese soll offenlegen, welches Risiko die Datenübermittlung in die USA aufweist. Dafür müssen sie dokumentieren,

  • welche Art von Daten sie an Salesforce weitergeben,
  • welche Datenschutzgesetze in den USA gelten und
  • welche weiteren Maßnahmen Salesforce nutzt, um die Userdaten zusätzlich zu schützen (wie z.B. die BCR).

Datensparsamkeit beachten

Die DSGVO gibt einen Grundsatz der Datensparsamkeit vor. Für Unternehmen bedeutet das: Sie dürfen über den Salesforce Chatbot nur die Daten erheben, die sie für ihren angestrebten Zweck tatsächlich benötigen. Um eine Kundenanfrage zu beantworten, kann das beispielsweise ein Name oder eine E-Mail-Adresse sein.

Datenauskunft gewähren

Nutzer haben das Recht, ihre von Unternehmen erhobenen Daten einzusehen. Unternehmen müssen diese daher bereitstellen, wenn User das verlangen.

Nutzerdaten regelmäßig löschen

Unternehmen müssen Nutzerdaten, die sie über den Salesforce Chatbot „Einstein“ erheben, regelmäßig löschen. Denn: Sie dürfen die erhobenen Daten nur so lange behalten, wie sie diese für den angestrebten Zweck tatsächlich benötigen.

Rechtsprechung zum Salesforce Chatbot

Zu Salesforce liegt diese Rechtsprechung vor:

Bezirksgericht Amsterdam zum Missbrauch von Userdaten

Die Non-Profit-Organisation „The Privacy Collective” warf Salesforce vor, Nutzerdaten für Echtzeit-Auktionen in der Werbung zu verwenden – ohne Einwilligung der User. Sie reichte daher Mitte 2020 Klage gegen Salesforce in den Niederlanden ein. Für das Verfahren sammelte die Organisation 75.000 Unterschriften in Form von Likes. Diese gehörten laut Salesforce den Nutzern, deren Daten missbraucht wurden. Ende 2021 wies das Bezirksgericht Amsterdam die Klage ab. Der Vorwurf: Die Klage erfüllt nicht die notwendigen rechtlichen Anforderungen. „The Privacy Collective” gab an, Berufung einzulegen.

Datenschutzbehörde Hamburg zum AV-Vertrag

Die DSGVO gibt vor: Schließen Unternehmen keinen AV-Vertrag, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Das erlaubt Art. 83 Abs. 4 lit. a DSGVO. Ein deutsches Versandunternehmen musste daher am 17.12.2018 ein Bußgeld in Höhe von 5.000 Euro zahlen. Das Unternehmen hatte es versäumt, einen AV-Vertrag mit einem Dienstleister zu schließen.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Im März 2021 kam die Datenschutzbehörde Baden-Württemberg zu dem Schluss: Der Fußball-Bundesligist VfB Stuttgart hat gegen die DSGVO verstoßen. Denn: Er hat zwar Dienstleister beauftragt, um Mitgliederdaten verarbeiten zu lassen. Er hat dafür mit den Dienstleistern jedoch keine AV-Verträge geschlossen. Die Datenschutzbehörde sprach daher ein Bußgeld in Höhe von 300.000 Euro aus.

Europäischer Gerichtshof zum Privacy Shield

Der Privacy Shield eignet sich nicht als rechtliche Grundlage, um personenbezogene Daten in die USA zu übermitteln. Das erklärte der Europäische Gerichtshof (EuGH) im Juli 2020. Die Richter gaben an, dass die USA Überwachungsprogramme verwenden, die nicht auf das zwingend notwendige Maß beschränkt sind. Zudem können deutsche Nutzer nicht gegen US-amerikanische Behörden oder Unternehmen klagen, wenn diese ihre Daten missbräuchlich verwenden (Az. C-311/18).

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6531 Bewertungen, 4.37 von 5)