Um es ganz kurz zu machen: Ja, Sie dürfen Produkte von Salesforce entsprechend der DSGVO legal in Deutschland nutzen. Im Einzelfall sollten Sie sich natürlich trotzdem nur auf eine echte Rechtsberatung verlassen, aber das soll uns nicht daran hindern, die gesetzlichen Grundlagen hier einmal leicht verständlich zu erläutern. Wichtig ist in erster Linie, dass der physische Ort der Datenspeicherung eigentlich keine Rolle spielt.

Bleiben die Daten in der Europäischen Union, dann fordert das europäische Recht einen strengen Umgang mit personenbezogenen Daten. Werden die Daten außerhalb der EU gespeichert oder verlassen sie kurzfristig die EU, müssen sich die entsprechenden Software-Unternehmen verpflichten so zu handeln, als würde die DSGVO auch im Ausland gelten - andernfalls fällt der europäische Kundenstamm komplett weg. Beide Wege sind laut DSGVO legal und es ist dabei ebenfalls irrelevant, ob es sich um Cloud Lösungen oder On-Premise Software handelt. Mehr dazu auch in unserem Blog.

Rechtliche Vorgaben der DSGVO / GDPR

Die Datenschutzgrundverordnung, kurz DSGVO (in anderen Ländern GDPR genannt), sieht insgesamt drei Fälle vor, in denen ausländische Software nach europäischem Recht genutzt werden darf und eigentlich nur einen, in dem die Verwendung illegal wäre. Wir haben alle Varianten für Sie in einer praktischen Tabelle zusammengetragen.

Salesforce hostet seine Produkte auf unterschiedlichen Instanzen weltweit, unter anderem auch in der EU und sogar in einem Rechenzentrum in Frankfurt am Main. Da das Unternehmen aus den USA jedoch viele verschiedene Produkte anbietet, die häufig sogar verknüpft werden können, sollten Sie sich vorab informieren, wo die jeweiligen Daten gehostet werden bzw. ob sie in Einzelfällen die EU verlassen.

Wie bereits geschildert, müssen die Daten rechtlich gesehen nicht unbedingt in der EU bleiben. Der Server-Standort entscheidet jedoch über die rechtlich notwendigen Zusatzmaßnahmen.

Viele Produkte werden in der EU gehostet

Standard-Lösungen wie die Sales-, Service-, oder Marketing-Cloud werden für europäische Kunden im Regelfall in der EU gehostet. Salesforce ist damit für die meisten Anwender in Deutschland bedenkenlos mit der DSGVO vereinbar. Salesforce selbst macht anhand der Instanzbezeichnung kenntlich, wo die Daten jeweils abliegen. Sie müssen also nur noch herausfinden, welche Instanz Sie belegen. Im Regelfall können Sie Ihre Salesforce Instanz ganz einfach über die Adresszeile Ihres Browsers einsehen. Beispiel: https://eu12.salesforce.com/home/home.jsp. Diese Instanz wird in der EU gehostet.

Standardvertragsklauseln (DPA) für Daten im Ausland

Verlassen Ihre Daten bzw die Ihrer Kunden in einem Salesforce Produkt die EU, dann greifen hierbei die sogenannten Standardvertragsklauseln oder auch Standarddatenschutzklauseln, die garantieren, dass die Daten europäischer Kunden nach europäischem Recht behandelt werden. Geläufige Bezeichnung dazu sind auch DPA (Data Processing Agreement) oder BCR (Binding Corporate Rules). Damit ist die ganze Angelegenheit ebenfalls DSGVO konform. Die DPA von Salesforce finden Sie hier.

Das Thema Datenschutz rund um Salesforce geht noch weit über die DSGVO hinaus. Hier finden Sie zusätzliche wichtige Aspekte.

Privacy Shield existiert nicht mehr

Bei der Recherche zum Verhältnis zwischen Salesforce und der DSGVO sollten Sie immer auf das Datum der jeweiligen Veröffentlichungen achten. Das sogenannte Privacy Shield existiert zum Beispiel schon längst nicht mehr und ist daher für die Nutzung von US-amerikanischer Software bedeutungslos.

Im Ernstfall haben US-Behörden legalen Zugriff

Die DSGVO verfolgt zwar viele gute Ansätze, vermittelt jedoch auch eine trügerische Sicherheit, die darüber hinwegtäuscht, dass der Server-Standort in der Praxis irrelevant für Hacker ist. Wer genügend Ressourcen und kriminelle Energie aufbringt, kann in nahezu jedes System (online oder offline) eindringen. Der Standort entscheidet letztendlich nur, in welchem Umfang so eine Straftat im Falle der Aufklärung geahndet wird.

Abgesehen davon existiert den USA der sogenannte Cloud Act, der es den US-Behörden im Ernstfall ganz legal erlaubt, auf die Daten amerikanischer Firmen zuzugreifen - egal wo diese gespeichert sind. Überschätzen sollte man diese Gefahr jedoch auch nicht, weil durchaus einige rechtliche Hürden überwunden werden müssen, bevor der Cloud Act durchgesetzt werden darf. Zudem ist die Anwendung des Cloud Acts auf EU-Daten immer ein direkter Verstoß gegen europäisches Recht, der sicherlich auch nicht ohne Folgen bleibt.

Salesforce ist hinsichtlich Datenschutz, DSGVO und Cloud Act kein einfacher Fall. Rein rechtlich dürfen Sie Ihre Daten und die Ihrer Kunden bedenkenlos in Produkten von Salesforce speichern. Aufgrund der Größe und Erfahrung des Unternehmens ist es zudem relativ unwahrscheinlich, dass gravierende Sicherheitslücken bei der Cloud-Speicherung auftreten - „Cloud“ ist immerhin das Steckenpferd von Salesforce. Geht es um wirklich heikle Daten wie Zahlungsinformationen, dann empfiehlt sich jedoch ein deutscher Anbieter, der in die übrigen Anwendungen von Salesforce integriert wird (die komplette Auswahl finden Sie bei AppExchange).