Unternehmen können über die Salesforce Cloud Prozesse wie Marketing, Vertrieb, Service und Commerce vernetzen. Dabei verfügen sie in der Cloud über Analytics-Funktionen, Prognose-Tools und ein Lead Management, die sie ihre Daten besser verstehen und neue Erkenntnisse gewinnen lassen. Auf diese Weise können Unternehmen Beziehungen zu ihren Kunden vertiefen und neue Aufträge generieren. Hinter der Salesforce Cloud steht das US-amerikanische Unternehmen Salesforce. Die Cloud ist Teil einer gesamtheitlichen CRM-Lösung. Über 150.000 Unternehmen nutzen die Software.
Für Salesforce Cloud benötigen Sie einen Passus in Ihrer Datenschutzerklärung
Datenschutzerklärung kostenlos erstellen
Warum ist die Salesforce Cloud datenschutzrechtlich relevant?
Salesforce erhält vollen Zugriff auf die Daten, die Unternehmen in der Cloud speichern. Der Software-Anbieter kann so unter anderem personenbezogene Daten von Kunden wie
- Namen,
- E-Mail-Adressen,
- Anschriften und
- Telefonnummern
einsehen. Personenbezogene Daten sind nach der Datenschutz-Grundverordnung (DSGVO) jedoch besonders geschützt. Unternehmen müssen daher verschiedene Maßnahmen ergreifen, um ihre Kundendaten datenschutzkonform in der Cloud von Salesforce ablegen zu können.
So können Unternehmen die Salesforce Cloud DSGVO-konform nutzen
Um nicht gegen den Datenschutz zu verstoßen, müssen Unternehmen bei der Verwendung der Salesforce Cloud diesen Pflichten nachkommen:
Vertrag zur Auftragsverarbeitung abschließen
Unternehmen speichern personenbezogene Daten in der Cloud von Salesforce. Auf diese Weise erhält ein Dritter Zugriff auf diese Daten. Artikel 28 DSGVO schreibt vor: Immer, wenn Dritte Zugriff auf personenbezogene Daten erhalten und diese verarbeiten, müssen Unternehmen mit dem Dritten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Der Vertrag sollte dabei aufführen,
- welche personenbezogenen Daten sie an Salesforce weitergeben,
- wie lange Salesforce diese speichern will,
- warum Salesforce die Daten speichert und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Sobald Unternehmen personenbezogene Daten verarbeiten und an einen Dritten weitergeben, müssen sie in ihrer Datenschutzerklärung darauf hinweisen. Business-Inhaber müssen daher in ihre Datenschutzerklärung aufnehmen, dass sie durch die Verwendung der Salesforce Cloud Daten an den dahinterstehenden Anbieter weiterreichen. Dabei sollten sie erwähnen, dass sie mit Salesforce einen AV-Vertrag geschlossen haben. In diesem Kontext sollten sie auch angeben,
- warum sie über die Salesforce Cloud personenbezogene Daten erheben,
- wie lange sie die Daten speichern wollen,
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 DSGVO) und
- dass Nutzer der Datenspeicherung jederzeit widersprechen können.
Damit sich Nutzer selbst einen Eindruck verschaffen können, was mit ihren Daten bei Salesforce passiert, können Unternehmen in ihrer Datenschutzerklärung auf die Nutzungsbedingungen und Datenschutzbestimmungen von Salesforce verweisen.
Einen Hinweis auf den Privacy Shield sollten Unternehmen in ihrer Datenschutzerklärung nicht mehr führen. Der Europäische Gerichthof (EuGH) hat diesen im Sommer 2020 für unwirksam erklärt, um darüber Daten in die USA zu versenden.
Standardvertragsklauseln prüfen
Je nachdem, wie Unternehmen die Salesforce Cloud nutzen, kann es sein, dass der Anbieter die hinterlegten Daten aus der Cloud in die USA übermittelt. Dabei stützt sich Salesforce sowohl auf Standardvertragsklauseln als auch auf die sogenannten Binding Corporate Rules (BCR).
Deutsche Unternehmen dürfen personenbezogene Daten auf Basis von Standardvertragsklauseln nur an Dritte übermitteln, wenn in dem entsprechenden Land ein ähnliches Datenschutzniveau herrscht wie in der EU. In den USA liegt dieses Datenschutzniveau aktuell nicht vor. Es ist daher unklar, ob Unternehmen gegen die DSGVO verstoßen, wenn sie eine Cloud von Salesforce nutzen.
Die BCR sind verbindliche, interne Datenschutzvorschriften von Salesforce. Sie schreiben strenge Voraussetzungen vor, wenn Salesforce personenbezogene Daten aus einem Drittland erhalten will. So geben die BCR unter anderem vor, dass die Datenschutzbehörden einen Datentransfer genehmigen müssen. Und: Sie geben vor, dass Salesforce kontinuierlich eine Berichterstattung an die EU-Datenschutzbehörden abgeben muss. Die DSGVO erklärt in Art. 46 Abs. 2 lit. b sowie in Art. 47, dass diese Art von Datenschutz den Ansprüchen der DSGVO genügt.
Rechtsprechung zur Salesforce Cloud
Die Non-Profit-Organisation „The Privacy Collective” hat in den Niederlanden eine Klage gegen Salesforce eingereicht. Sie wirft dem Unternehmen vor, Userdaten für Echtzeit-Auktionen in der Werbung zu nutzen, ohne dafür über eine rechtskräftige Einwilligung der Nutzer zu verfügen. Das Verfahren steht noch aus.
Der EuGH erklärte im Juli 2020: Der Privacy Shield eignet sich nicht als rechtliche Basis, um personenbezogene Daten in die USA zu versenden. Denn: Die USA verwendet Überwachungsprogramme, die nicht auf das zwingend erforderliche Maß beschränkt sind. Darüber hinaus haben deutsche User keine Möglichkeit, gegen US-amerikanische Unternehmen oder Behörden zu klagen, sollten diese ihre Daten missbrauchen (Az. C-311/18).
Das Versandunternehmen Kolibri Image musste im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren bezahlen. Es hatte mit einem spanischen Dienstleister keinen AV-Vertrag geschlossen. Zu diesem Ergebnis kam die Datenschutzbehörde Hamburg.
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
