Datenschutzerklärung für Salesforce Cloud

(2 Bewertungen, 5.00 von 5)

Was macht Salesforce Cloud?

Unternehmen können über die Salesforce Cloud Prozesse wie Marketing, Vertrieb, Service und Commerce vernetzen. Dabei verfügen sie in der Cloud über Analytics-Funktionen, Prognose-Tools und ein Lead Management, die sie ihre Daten besser verstehen und neue Erkenntnisse gewinnen lassen. Auf diese Weise können Unternehmen Beziehungen zu ihren Kunden vertiefen und neue Aufträge generieren. Hinter der Salesforce Cloud steht das US-amerikanische Unternehmen Salesforce. Die Cloud ist Teil einer gesamtheitlichen CRM-Lösung. Über 150.000 Unternehmen nutzen die Software. Was müssen Unternehmen datenschutzrechtlich berücksichtigen, wenn sie die Salesforce Cloud nutzen?

Der Punkt "Salesforce Cloud" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

 

Warum ist die Salesforce Cloud datenschutzrechtlich relevant?

Salesforce erhält vollen Zugriff auf die Daten, die Unternehmen in der Cloud speichern. Der Software-Anbieter kann so unter anderem personenbezogene Daten von Kunden wie

  • Namen,
  • E-Mail-Adressen,
  • Anschriften und
  • Telefonnummern

einsehen. Personenbezogene Daten sind nach der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) jedoch besonders geschützt. Unternehmen müssen daher verschiedene Maßnahmen ergreifen, um ihre Kundendaten datenschutzkonform in der Cloud von Salesforce ablegen zu können.

So können Unternehmen die Salesforce Cloud datenschutzkonform nutzen

Um nicht gegen den Datenschutz zu verstoßen, müssen Unternehmen bei der Verwendung der Salesforce Cloud diesen Pflichten nachkommen:

Nutzer-Einwilligung in Cookies einholen

Die Salesforce Cloud verwendet Cookies, um Daten zu sammeln. Es ist nicht eindeutig geklärt, ob es sich dabei nur um für den Seitenbetrieb essenzielle Cookies oder um Tracking Cookies handelt. Unternehmen sollten daher sicher gehen und eine Einwilligung für die Cookies einholen. Um Nutzer ihr Einverständnis geben zu lassen, können sie zum Beispiel einen Cookie Banner auf ihrer Seite einblenden. Damit dieser rechtlich wasserdicht ist, sollten Unternehmen auf ein Cookie Consent Tool setzen. Dies erstellt automatisch einen Cookie Banner, der die Datenpräferenzen von Usern abfragt und dann den Datenfluss auf der Webseite anpasst.

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen speichern personenbezogene Daten in der Cloud von Salesforce. Auf diese Weise erhält ein Dritter Zugriff auf diese Daten und verarbeitet sie weisungsgebunden. Artikel 28 DSGVO schreibt dafür einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) vor. Der Vertrag sollte aufführen,

  • welche personenbezogenen Daten sie an Salesforce weitergeben,
  • wie lange Salesforce diese speichern will,
  • warum Salesforce die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Sobald Unternehmen personenbezogene Daten verarbeiten und an einen Dritten weitergeben, müssen sie in ihrer Datenschutzerklärung darauf hinweisen. Unternehmen müssen daher in ihre Datenschutzerklärung aufnehmen, dass sie durch die Verwendung der Salesforce Cloud Daten an den dahinterstehenden Anbieter weiterreichen. Dabei sollten sie erwähnen, dass sie dafür mit Salesforce einen AV-Vertrag geschlossen haben. In diesem Kontext müssen sie auch angeben,

  • warum sie über die Salesforce Cloud personenbezogene Daten erheben,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. a DSGVO) und
  • dass Nutzer der Datenspeicherung jederzeit widersprechen können.

Damit sich Nutzer selbst einen Eindruck verschaffen können, was mit ihren Daten bei Salesforce passiert, können Unternehmen in ihrer Datenschutzerklärung auf die Nutzungsbedingungen und Datenschutzbestimmungen von Salesforce verweisen.

Standardvertragsklauseln prüfen

Je nachdem, wie Unternehmen die Salesforce Cloud nutzen, kann es sein, dass der Anbieter die hinterlegten Daten aus der Cloud in die USA übermittelt. Dabei stützt sich Salesforce sowohl auf Standardvertragsklauseln als auch auf die sogenannten Binding Corporate Rules (BCR).

Die BCR sind verbindliche, interne Datenschutzvorschriften von Salesforce. Sie schreiben strenge Voraussetzungen vor, wenn Salesforce personenbezogene Daten aus einem Drittland erhalten will. So geben die BCR unter anderem vor, dass die Datenschutzbehörden einen Datentransfer genehmigen müssen. Und: Sie geben vor, dass Salesforce kontinuierlich eine Berichterstattung an die EU-Datenschutzbehörden abgeben muss. Die DSGVO erklärt in Art. 46 Abs. 2 lit. b sowie in Art. 47, dass diese Art von Datenschutz den Ansprüchen der DSGVO genügt.

Unternehmen müssen die Standardvertragsklauseln mit Salesforce abschließen. Und: Sie müssen eine Risikoabschätzung vornehmen. Diese soll zeigen, welches Risiko der Datentransfer in die USA mitbringt. Dafür müssen sie unter anderem festhalten,

  • welche Art von Daten sie an Salesforce weitergeben,
  • welche Datenschutzgesetze in den USA gelten und
  • welche weiteren Maßnahmen Salesforce ergreift, um die Nutzerdaten zusätzlich zu schützen (wie z.B. die BCR von Salesforce).

Rechtsprechung zur Salesforce Cloud

Zu Salesforce Cloud liegt diese Rechtsprechung vor:

Bezirksgericht Amsterdam zum Missbrauch von Userdaten

Mitte 2020 legte die Non-Profit-Organisation „The Privacy Collective” in den Niederlanden eine Klage gegen Salesforce ein. Sie warf dem Unternehmen vor, Userdaten für Echtzeit-Auktionen in der Werbung zu nutzen, ohne dafür über eine rechtskräftige Einwilligung der Nutzer zu verfügen. Dafür sammelte die Organisation 75.000 Unterschriften in Form von Likes. Diese sollten zu den Nutzern gehören, deren Daten missbraucht wurden. Das Bezirksgericht Amsterdam wies die Klage jedoch Ende 2021 ab. Laut der Richter erfüllte die Klage nicht die notwendigen rechtlichen Anforderungen. Die Non-Profit-Organisation gab an, Berufung einzulegen.

Europäischer Gerichtshof zum Privacy Shield

Der Europäische Gerichtshof (EuGH) erklärte im Juli 2020: Der Privacy Shield eignet sich nicht als rechtliche Basis, um personenbezogene Daten in die USA zu versenden. Denn: Die USA verwendet Überwachungsprogramme, die nicht auf das zwingend erforderliche Maß beschränkt sind. Darüber hinaus haben deutsche User keine Möglichkeit, gegen US-amerikanische Unternehmen oder Behörden zu klagen, sollten diese ihre Daten missbrauchen (Az. C-311/18).

Datenschutzbehörde Hamburg zum AV-Vertrag

Das Versandunternehmen Kolibri Image musste im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren bezahlen. Es hatte mit einem spanischen Dienstleister keinen AV-Vertrag geschlossen. Zu diesem Ergebnis kam die Datenschutzbehörde Hamburg.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Der Fußballverein VfB Stuttgart musste im März 2021 eine Strafe in Höhe von 300.000 Euro bezahlen. Er hatte mit beauftragten Dienstleistern, die für den Verein Mitgliederdaten verarbeiteten, keine AV-Verträge geschlossen. Zu diesem Schluss kam die Datenschutzbehörde Baden-Württemberg.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6431 Bewertungen, 4.38 von 5)