Salesforce und die DSGVO in 2022
Seit die DSGVO in 2018 europaweit in Kraft getreten ist, sind viele Unternehmen sehr verunsichert, ob etwa Software aus den USA wie von Salesforce überhaupt noch legal eingesetzt werden darf. Wir zeigen an einfachen Beispielen was erlaubt ist und welche Grundlagen dafür gegeben sein müssen.
Ja, Sie dürfen Salesforce in Deutschland nutzen
Um es ganz kurz zu machen: Ja, Sie dürfen Produkte von Salesforce entsprechend der DSGVO legal in Deutschland nutzen. Im Einzelfall sollten Sie sich natürlich trotzdem nur auf eine echte Rechtsberatung verlassen, aber das soll uns nicht daran hindern, die gesetzlichen Grundlagen hier einmal leicht verständlich zu erläutern. Wichtig ist in erster Linie, dass der physische Ort der Datenspeicherung eigentlich keine Rolle spielt.
Bleiben die Daten in der Europäischen Union, dann fordert das europäische Recht einen strengen Umgang mit personenbezogenen Daten. Werden die Daten außerhalb der EU gespeichert oder verlassen sie kurzfristig die EU, müssen sich die entsprechenden Software-Unternehmen verpflichten so zu handeln, als würde die DSGVO auch im Ausland gelten - andernfalls fällt der europäische Kundenstamm komplett weg. Beide Wege sind laut DSGVO legal und es ist dabei ebenfalls irrelevant, ob es sich um Cloud Lösungen oder On-Premise Software handelt. Mehr dazu auch in unserem Blog.
Rechtliche Vorgaben der DSGVO / GDPR
Die Datenschutzgrundverordnung, kurz DSGVO (in anderen Ländern GDPR genannt), sieht insgesamt drei Fälle vor, in denen ausländische Software nach europäischem Recht genutzt werden darf und eigentlich nur einen, in dem die Verwendung illegal wäre. Wir haben alle Varianten für Sie in einer praktischen Tabelle zusammengetragen.
Herkunft der Software | Server-Standort | DSGVO konform? |
---|---|---|
Europa | Europa | ja |
Sicheres Drittland (z. B. Kanada) | z. B. Kanada | ja |
Unsicheres Drittland (z. B. USA) | z. B. USA | ja, mit Binding Corporate Rules über Standarddatenschutzklauseln |
z. B. USA | z. B. USA | Nein, wenn keine Sonderregelungen getroffen werden |
Wo stehen die Server von Salesforce?
Salesforce hostet seine Produkte auf unterschiedlichen Instanzen weltweit, unter anderem auch in der EU und sogar in einem Rechenzentrum in Frankfurt am Main. Da das Unternehmen aus den USA jedoch viele verschiedene Produkte anbietet, die häufig sogar verknüpft werden können, sollten Sie sich vorab informieren, wo die jeweiligen Daten gehostet werden bzw. ob sie in Einzelfällen die EU verlassen.
Wie bereits geschildert, müssen die Daten rechtlich gesehen nicht unbedingt in der EU bleiben. Der Server-Standort entscheidet jedoch über die rechtlich notwendigen Zusatzmaßnahmen.
Salesforce Produkte | DSGVO konform |
---|---|
Hosting in der EU | Absolut unproblematisch, wenn die Daten nicht die EU verlassen. |
Hosting außerhalb der EU | Datenschutz wird vertraglich zugesichert und entspricht damit auch der DSGVO. |
Viele Produkte werden in der EU gehostet
Standard-Lösungen wie die Sales-, Service-, oder Marketing-Cloud werden für europäische Kunden im Regelfall in der EU gehostet. Salesforce ist damit für die meisten Anwender in Deutschland bedenkenlos mit der DSGVO vereinbar. Salesforce selbst macht anhand der Instanzbezeichnung kenntlich, wo die Daten jeweils abliegen. Sie müssen also nur noch herausfinden, welche Instanz Sie belegen. Im Regelfall können Sie Ihre Salesforce Instanz ganz einfach über die Adresszeile Ihres Browsers einsehen. Beispiel: https://eu12.salesforce.com/home/home.jsp. Diese Instanz wird in der EU gehostet.
Standardvertragsklauseln (DPA) für Daten im Ausland
Verlassen Ihre Daten bzw die Ihrer Kunden in einem Salesforce Produkt die EU, dann greifen hierbei die sogenannten Standardvertragsklauseln oder auch Standarddatenschutzklauseln, die garantieren, dass die Daten europäischer Kunden nach europäischem Recht behandelt werden. Geläufige Bezeichnung dazu sind auch DPA (Data Processing Agreement) oder BCR (Binding Corporate Rules). Damit ist die ganze Angelegenheit ebenfalls DSGVO konform. Die DPA von Salesforce finden Sie hier.
Weitere Themen zum Datenschutz
Das Thema Datenschutz rund um Salesforce geht noch weit über die DSGVO hinaus. Hier finden Sie zusätzliche wichtige Aspekte.
Privacy Shield existiert nicht mehr
Bei der Recherche zum Verhältnis zwischen Salesforce und der DSGVO sollten Sie immer auf das Datum der jeweiligen Veröffentlichungen achten. Das sogenannte Privacy Shield existiert zum Beispiel schon längst nicht mehr und ist daher für die Nutzung von US-amerikanischer Software bedeutungslos.
Im Ernstfall haben US-Behörden legalen Zugriff
Die DSGVO verfolgt zwar viele gute Ansätze, vermittelt jedoch auch eine trügerische Sicherheit, die darüber hinwegtäuscht, dass der Server-Standort in der Praxis irrelevant für Hacker ist. Wer genügend Ressourcen und kriminelle Energie aufbringt, kann in nahezu jedes System (online oder offline) eindringen. Der Standort entscheidet letztendlich nur, in welchem Umfang so eine Straftat im Falle der Aufklärung geahndet wird.
Abgesehen davon existiert den USA der sogenannte Cloud Act, der es den US-Behörden im Ernstfall ganz legal erlaubt, auf die Daten amerikanischer Firmen zuzugreifen - egal wo diese gespeichert sind. Überschätzen sollte man diese Gefahr jedoch auch nicht, weil durchaus einige rechtliche Hürden überwunden werden müssen, bevor der Cloud Act durchgesetzt werden darf. Zudem ist die Anwendung des Cloud Acts auf EU-Daten immer ein direkter Verstoß gegen europäisches Recht, der sicherlich auch nicht ohne Folgen bleibt.
Unser Fazit - wie sicher ist Salesforce?
Salesforce ist hinsichtlich Datenschutz, DSGVO und Cloud Act kein einfacher Fall. Rein rechtlich dürfen Sie Ihre Daten und die Ihrer Kunden bedenkenlos in Produkten von Salesforce speichern. Aufgrund der Größe und Erfahrung des Unternehmens ist es zudem relativ unwahrscheinlich, dass gravierende Sicherheitslücken bei der Cloud-Speicherung auftreten - „Cloud“ ist immerhin das Steckenpferd von Salesforce. Geht es um wirklich heikle Daten wie Zahlungsinformationen, dann empfiehlt sich jedoch ein deutscher Anbieter, der in die übrigen Anwendungen von Salesforce integriert wird (die komplette Auswahl finden Sie bei AppExchange).