Salesforce Marketing Cloud und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Salesforce Marketing Cloud ein, verarbeitet er regelmäßig Kontaktdaten (insbesondere E-Mail-Adressen) sowie Interaktionsdaten von Newsletter-Empfängern und Webseitenbesuchern zu den Zwecken Newsletter-Versand, Kampagnen-Steuerung und Marketing-Automation auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und ergänzender berechtigter Interessen. Diese Seite gibt Webseitenbetreibern in Deutschland einen kompakten Überblick darüber, welche Daten Salesforce Marketing Cloud verarbeitet und welche Pflichtangaben dazu in den Datenschutzhinweisen einer Webseite erscheinen sollten.

A. Zweck und Funktionsweise von Salesforce Marketing Cloud

Salesforce Marketing Cloud (heute auch unter dem Namen Marketing Cloud Engagement vermarktet) ist eine cloudbasierte Marketing-Plattform der Salesforce-Gruppe für E-Mail-Marketing, Marketing-Automation, Customer-Journey-Steuerung, Push- und Mobile-Messaging sowie kanalübergreifende Kampagnen.

Webseitenbetreiber binden typischerweise nur einzelne Funktionen in die eigene Webseite ein. Diese Tool-Einstiegsseite fokussiert sich auf die für Webseitenbetreiber gängigsten Integrationen: das Anmeldeformular für E-Mail-Newsletter (CloudPages bzw. eingebettetes Formular), den Newsletter-Versand selbst (mit Öffnungs- und Klick-Tracking) sowie das Web-Tracking-Skript (Collect Tracking Code/Beacon), das Verhaltensdaten von Webseitenbesuchern an die Plattform übermittelt und diese mit Profilen in Marketing Cloud verknüpft. Andere Funktionen der Plattform – etwa Mobile Studio (SMS/Push), Advertising Studio oder Datorama – sind nicht Gegenstand dieser Seite.

Bei der Marketing Cloud handelt es sich um eine Software-as-a-Service-Lösung; die Datenhaltung erfolgt in Rechenzentren der Salesforce-Gruppe (je nach gewählter Instanz in der EU oder in den USA).

B. Pflichtangaben für die Datenschutzerklärung beim Einsatz von Salesforce Marketing Cloud

Die DSGVO schreibt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf den Einsatz konkreter Tools wie Salesforce Marketing Cloud bestimmte spezifische Pflichtangaben vor. Dazu gehören insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt beim Betroffenen erhobenen Daten zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben sind nachfolgend für Salesforce Marketing Cloud aufgeschlüsselt.

In der Praxis ist es nicht erforderlich, jedes einzelne Tool – auch nicht Salesforce Marketing Cloud – mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen, auch wenn sich genau diese Praxis weithin eingebürgert hat. Der "Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er führt zu langen, anwaltlich vorformulierten Texten, die sich inhaltlich wiederholen, die Datenschutzerklärung schwer pflegbar machen und dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegenstehen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Newsletter, Tracking, Marketing-Automation …) beschreibt und die konkret eingesetzten Dienstleister – darunter Salesforce Marketing Cloud – lediglich in einem Anhang Empfänger benennt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Salesforce Marketing Cloud

Vertragspartner für Kunden im EWR und in Deutschland ist nach den öffentlich zugänglichen Angaben des Anbieters regelmäßig die EU-Gesellschaft der Salesforce-Gruppe – typischerweise SFDC Ireland Limited, Salesforce Tower, 60 North Dock, Dublin 1, D01 W2Y3, Irland. Konzernmuttergesellschaft ist die Salesforce, Inc., Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA. Welche Konzerngesellschaft im Einzelfall Vertragspartner ist, ist von dem Webseitenbetreiber anhand seiner vertraglichen Unterlagen zu prüfen.

Die Salesforce, Inc. ist nach den Angaben unter der DPF-Liste EU-US Data Privacy Framework (DPF)-zertifiziert (vgl. Teilnehmer-Eintrag im DPF-Verzeichnis). Zusätzlich greift die Salesforce-Gruppe auf EU-Standardvertragsklauseln (SCC) und unternehmensinterne Datenschutzvorschriften (Binding Corporate Rules) zurück, soweit Daten in Drittländer ohne Angemessenheitsbeschluss übermittelt werden.

Die Datenschutzhinweise des Anbieters sind abrufbar unter https://www.salesforce.com/company/privacy/. Der Data Processing Addendum (DPA) ist abrufbar unter https://www.salesforce.com/company/legal/agreements/.

D. Datenverarbeitung durch Salesforce Marketing Cloud – Ablauf in Schritten

E. Erhobene Daten bei Salesforce Marketing Cloud

Im Zusammenhang mit dem Newsletter-Versand und dem Web-Tracking verarbeitet Salesforce Marketing Cloud nach den Angaben des Anbieters typischerweise die E-Mail-Adresse, ggf. Anrede, Vor- und Nachname, weitere im Anmeldeformular erfasste Profilangaben, die IP-Adresse, Zeitstempel der Anmeldung sowie der Bestätigung im Double-Opt-In-Verfahren, Versand-, Öffnungs- und Klickereignisse, Bounce- und Abmelde-Ereignisse sowie über das Collect-Tracking-Skript Verhaltensdaten auf der Webseite (etwa aufgerufene Seiten, Scrollen, Warenkorbereignisse).

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Zeitstempel, URL, User-Agent-Informationen, Statuscode bei Aufruf des Anmeldeformulars und beim Aufruf der Tracking-Endpunkte.
• Klickpfade: aufgerufene Seiten der Webseite, angeklickte Links und Schaltflächen, Aufruf des Newsletter-Bestellformulars, Klicks in versendeten E-Mails.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmgröße, soweit über das Tracking-Skript erfasst.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: über die IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Nutzerprofile: vom Webseitenbetreiber zu einem Empfänger ermittelte Interessen, Segmentzuordnungen, Engagement-Scores, Customer-Journey-Status.
• Conversion-Ereignisse: Newsletter-Anmeldung, Double-Opt-In-Bestätigung, Klick auf Kaufvorgänge, Aufruf von Danke-Seiten.
• Interaktionsdaten: Öffnen einer E-Mail, Klick auf Links und Schaltflächen, Scrollverhalten auf Webseiten.

F. Nutzungszwecke beim Einsatz von Salesforce Marketing Cloud

Webseitenbetreiber nutzen Salesforce Marketing Cloud typischerweise dazu, Newsletter und sonstige Marketing-E-Mails an interessierte Empfänger zu versenden, Anmeldungen über das Double-Opt-In-Verfahren rechtssicher abzuwickeln, Reaktionen auf Kampagnen zu messen, Empfänger anhand von Verhaltens- und Profildaten zu segmentieren, individuelle Customer Journeys auszulösen und kanalübergreifende Kampagnen zu steuern.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Auslieferung des Anmeldeformulars, Versand von Bestätigungs- und Service-Mails, Bereitstellung der Newsletter-Funktion.
• Sicherheit und Missbrauchsschutz: Schutz vor Bots in Anmeldeformularen, Erkennung unzulässiger Anmeldungen.
• Allgemeine Produktverbesserung: Auswertung aggregierter Kennzahlen wie Öffnungs- und Klickraten zur Optimierung künftiger Kampagnen.
• Allgemeines Marketing: Reichweitenanalyse, Erfolgsmessung von Kampagnen, allgemeine Kampagnensteuerung.
• Nutzerprofil-Erstellung: Erstellung von Empfängerprofilen, Zuordnung zu Segmenten und Zielgruppen.
• Nutzerindividuelle Produktverbesserung: Anpassung der versendeten Inhalte an Interessen und bisheriges Verhalten.
• Nutzerindividuelles Marketing: personalisierte E-Mail-Inhalte, Trigger-Kampagnen, Abandoned-Cart-Mails.
• Rechtsdurchsetzung: Nachweis erteilter Einwilligungen (Double-Opt-In, Anmeldedaten).
• Kommunikation: Beantwortung serviceseitiger Anfragen aus Newsletter-Antworten.

G. Rechtsgrundlagen beim Einsatz von Salesforce Marketing Cloud

In einem ersten Schritt ist zu bestimmen, in welche Tool-Kategorie Salesforce Marketing Cloud primär fällt. Bei der hier beschriebenen Nutzung handelt es sich im Schwerpunkt um ein Tool aus der Kategorie Newsletter und – soweit das Collect-Tracking-Skript eingesetzt wird – zusätzlich um ein Tool aus der Kategorie Tracking (Marketing).

In einem zweiten Schritt ist nach den jeweils einschlägigen Rechtsgrundlagen zu fragen:

• Für den Versand von Newslettern und werblichen E-Mails kommt regelmäßig die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Betracht, im Bestandskundenkontext flankiert durch § 7 Abs. 3 UWG i.V.m. berechtigten Interessen an Werbung (Art. 6 Abs. 1 lit. f DSGVO).
• Für die Speicherung der Anmelde- und Double-Opt-In-Nachweise kommt eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 7 DSGVO und § 7 Abs. 2 Nr. 2 UWG sowie ein berechtigtes Interesse an Rechtsausübung in Betracht.
• Für das Setzen von Cookies und das Auslesen von Endgeräteinformationen durch das Collect-Tracking-Skript ist regelmäßig eine Einwilligung nach § 25 Abs. 1 TDDDG erforderlich, ergänzt durch die Marketing-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO für die anschließende Profilbildung.
• Für Öffnungs- und Klick-Tracking in versendeten E-Mails kommt typischerweise die Einwilligung in Betracht; eine Stützung allein auf berechtigte Interessen ist umstritten.

Welche Rechtsgrundlage konkret einschlägig ist, hängt von den Umständen des Einzelfalls (Bestellprozess, Einbindung im Consent-Banner, Bestandskundenbeziehung) ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Salesforce Marketing Cloud

• Auftragsverarbeitung: Salesforce stellt für die Marketing Cloud nach den öffentlich zugänglichen Angaben einen Data Processing Addendum (DPA) bereit; der Abschluss eines AVV nach Art. 28 DSGVO ist für den Einsatz durch deutsche Webseitenbetreiber zwingend.
• Drittlandtransfer / DPF: Soweit Daten in die USA übermittelt werden, kommt die DPF-Zertifizierung der Salesforce, Inc. als Transfermechanismus in Betracht; ergänzend werden EU-Standardvertragsklauseln und Binding Corporate Rules eingesetzt. Der konkrete Hostingstandort (EU- oder US-Instanz) ist Sache der Vertragsgestaltung mit Salesforce.
• Subprozessoren: Eine aktuelle Subprozessoren-Liste ist über das Salesforce Compliance Portal abrufbar (https://compliance.salesforce.com) und sollte bei der Pflege der Empfängerliste in der Datenschutzerklärung berücksichtigt werden.
• Opt-Out für Empfänger: Jede über die Marketing Cloud versendete Werbemail muss einen funktionsfähigen Abmelde-Link enthalten (vgl. § 7 Abs. 2 Nr. 4 UWG, Art. 21 Abs. 2 DSGVO).
• Einstellungen für den Webseitenbetreiber: Konfigurierbar sind insbesondere das verpflichtende Double-Opt-In, IP-Speicherung bei Anmeldung, Aktivierung/Deaktivierung des Öffnungs- und Klick-Trackings, Einsatz des Collect-Tracking-Skripts sowie Data-Retention-Regeln in Data Extensions.
• Quellenhinweis: Die vorstehenden Angaben beruhen auf den öffentlich zugänglichen Veröffentlichungen des Anbieters und ersetzen keine Einzelfallprüfung.

I. Häufige Fragen zu Salesforce Marketing Cloud und Datenschutz

J. Fazit zu Salesforce Marketing Cloud

Beim Einsatz von Salesforce Marketing Cloud verarbeiten Webseitenbetreiber Kontakt- und Verhaltensdaten von Newsletter-Empfängern und Webseitenbesuchern zu Zwecken des E-Mail-Marketings, der Marketing-Automation und der Kampagnensteuerung. Vertragspartner ist regelmäßig die EU-Konzerngesellschaft der Salesforce-Gruppe; die Konzernmuttergesellschaft Salesforce, Inc. ist DPF-zertifiziert. Zentrale Pflichten sind der Abschluss eines Auftragsverarbeitungsvertrags, eine sauber dokumentierte Einwilligung für Newsletter und Web-Tracking sowie funktionsfähige Abmelde- und Widerspruchswege.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für Salesforce Marketing Cloud einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich, schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Newsletter, Tracking, Verkauf …) übergreifend erklärt und nur im Anhang Empfänger die einzelnen Dienstleister wie Salesforce Marketing Cloud benennt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com