Salesforce Pardot und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Salesforce Pardot ein, verarbeitet er regelmäßig Webseiten-Verhaltensdaten, Formulareingaben und Kontaktdaten von Besuchern und Leads zu den Zwecken der B2B-Lead-Generierung, des Lead-Nurturings und der Marketing-Automation auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und ergänzender berechtigter Interessen. Diese Seite gibt Webseitenbetreibern in Deutschland einen kompakten Überblick darüber, welche Daten Salesforce Pardot verarbeitet und welche Pflichtangaben dazu in den Datenschutzhinweisen einer Webseite erscheinen sollten.

A. Zweck und Funktionsweise von Salesforce Pardot

Salesforce Pardot – seit 2022 unter dem Namen Marketing Cloud Account Engagement vermarktet – ist eine B2B-Marketing-Automation-Plattform der Salesforce-Gruppe. Das Tool dient der Erfassung, Qualifizierung und Pflege von Geschäftskontakten (Leads), der Steuerung automatisierter E-Mail- und Kampagnen-Strecken sowie der Anbindung an das Salesforce-CRM.

Webseitenbetreiber binden typischerweise zwei für die Datenschutzerklärung besonders relevante Funktionen ein: das Pardot-Tracking-Skript (auch "Pardot Tracking Code" oder "piAId/piCId-Code") sowie Pardot-Formulare und Landingpages. Das Tracking-Skript setzt einen Cookie (heute regelmäßig als First-Party-Cookie über eine getrackte Subdomain) und protokolliert besuchte Seiten, Verweildauer und Interaktionen. Sobald ein anonymer Besucher ein Pardot-Formular absendet, wird der bisherige anonyme Besuchsverlauf mit dem dabei erstellten Lead-Profil verknüpft. Weitere Funktionen wie E-Mail-Versand, Engagement Studio, Lead Scoring und Salesforce-Integration finden auf Server-Seite statt und werden hier nur am Rande betrachtet.

B. Pflichtangaben für die Datenschutzerklärung beim Einsatz von Salesforce Pardot

Die DSGVO schreibt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf den Einsatz konkreter Tools wie Salesforce Pardot bestimmte spezifische Pflichtangaben vor. Dazu gehören insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt beim Betroffenen erhobenen Daten zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben sind nachfolgend für Salesforce Pardot aufgeschlüsselt.

In der Praxis ist es nicht erforderlich, jedes einzelne Tool – auch nicht Salesforce Pardot – mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen, auch wenn sich genau diese Praxis weithin eingebürgert hat. Der "Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er führt zu langen, anwaltlich vorformulierten Texten, die sich inhaltlich wiederholen, die Datenschutzerklärung schwer pflegbar machen und dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegenstehen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Tracking, Newsletter, Marketing-Automation …) beschreibt und die konkret eingesetzten Dienstleister – darunter Salesforce Pardot – lediglich in einem Anhang Empfänger benennt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Salesforce Pardot

Vertragspartner für Kunden im EWR und in Deutschland ist nach den öffentlich zugänglichen Angaben des Anbieters regelmäßig die EU-Gesellschaft der Salesforce-Gruppe – typischerweise SFDC Ireland Limited, Salesforce Tower, 60 North Dock, Dublin 1, D01 W2Y3, Irland. Konzernmuttergesellschaft ist die Salesforce, Inc., Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA. Welche Konzerngesellschaft im Einzelfall Vertragspartner ist, ist von dem Webseitenbetreiber anhand seiner vertraglichen Unterlagen zu prüfen.

Die Salesforce, Inc. ist nach den Angaben unter der DPF-Liste EU-US Data Privacy Framework (DPF)-zertifiziert (vgl. Teilnehmer-Eintrag im DPF-Verzeichnis). Ergänzend kommen EU-Standardvertragsklauseln (SCC) und Binding Corporate Rules zum Einsatz.

Die Datenschutzhinweise des Anbieters sind abrufbar unter https://www.salesforce.com/company/privacy/. Der Data Processing Addendum (DPA) ist abrufbar unter https://www.salesforce.com/company/legal/agreements/.

D. Datenverarbeitung durch Salesforce Pardot – Ablauf in Schritten

E. Erhobene Daten bei Salesforce Pardot

Im Zusammenhang mit dem Einsatz von Salesforce Pardot verarbeitet das Tool nach den Angaben des Anbieters typischerweise eine pseudonyme Cookie-ID (Tracking-Cookie), die IP-Adresse, Zeitstempel, aufgerufene URLs und Referrer, Klick- und Formular-Ereignisse, vom Besucher in Pardot-Formulare eingegebene Daten (Name, geschäftliche E-Mail, Telefonnummer, Unternehmen, Position, sonstige Formularfelder) sowie die Verknüpfung früherer anonymer Besuchsverläufe mit dem so entstandenen Lead-Datensatz.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Zeitstempel, URL, Referrer, User-Agent, Statuscode bei Aufruf der Tracking-Endpunkte und Pardot-Landingpages.
• Klickpfade: aufgerufene Seiten, Klicks auf Schaltflächen, Aufrufe von Pardot-Formularen und Landingpages, Klicks in Pardot-Marketing-E-Mails.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung soweit aus User-Agent ableitbar.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: über die IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Nutzerprofile: vom Webseitenbetreiber zu einem Lead ermittelte Score- und Grade-Werte, Segmentzuordnungen, Engagement-Historien.
• Conversion-Ereignisse: Aufrufe definierter Zielseiten, Formular-Submits, Anmeldungen für Webinare oder Whitepaper-Downloads, Klicks auf bestimmte Links in E-Mails.
• Interaktionsdaten: Scrollen, Verweildauer auf einer Seite, Öffnen von E-Mails, Klick auf Links und Schaltflächen.

F. Nutzungszwecke beim Einsatz von Salesforce Pardot

Webseitenbetreiber nutzen Salesforce Pardot typischerweise dazu, das Verhalten von Webseitenbesuchern für die B2B-Lead-Generierung auszuwerten, anonyme Besucher nach einem Formular-Submit als identifizierte Leads weiterzuverfolgen, Leads über automatisierte Customer Journeys zu pflegen, Lead-Qualifizierung über Scoring und Grading zu steuern und qualifizierte Leads an das Vertriebsteam im Salesforce-CRM zu übergeben.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Ausspielen von Pardot-Formularen und Landingpages, Versand der Bestätigungs- und Follow-up-Mails.
• Sicherheit und Missbrauchsschutz: Bot- und Spam-Abwehr in Formularen.
• Allgemeine Produktverbesserung: Auswertung aggregierter Kennzahlen (Conversion-Raten, Engagement-Verläufe) zur Optimierung von Inhalten und Kampagnen.
• Allgemeines Marketing: Reichweiten- und Kampagnenanalyse.
• Nutzerprofil-Erstellung: Erstellung von Lead-Profilen, Score-/Grade-Berechnung, Segmentierung nach Unternehmen, Branche, Funktion.
• Nutzerindividuelle Produktverbesserung: Personalisierung von Inhalten in nachfolgenden Kommunikationsstrecken.
• Nutzerindividuelles Marketing: personalisierte Marketing-E-Mails, Trigger-Strecken, Account-Based-Marketing-Maßnahmen.
• Vertragsdurchführung: Verarbeitung der Formulareingaben zur Beantwortung konkret angefragter Vertriebsanfragen.
• Kommunikation: Beantwortung von Anfragen, Bereitstellung angeforderter Inhalte (z.B. Whitepaper).

G. Rechtsgrundlagen beim Einsatz von Salesforce Pardot

In einem ersten Schritt ist zu bestimmen, in welche Tool-Kategorie Salesforce Pardot primär fällt. Bei der hier beschriebenen Nutzung handelt es sich im Schwerpunkt um ein Tool aus der Kategorie Tracking (Marketing), ergänzt um Funktionen der Kategorie Newsletter sowie – bei der Übermittlung von Leadkontakt-Anfragen – um Funktionen der Kategorie Kontaktformular.

In einem zweiten Schritt ist nach den jeweils einschlägigen Rechtsgrundlagen zu fragen:

• Für das Setzen und Auslesen des Tracking-Cookies und die anschließende Bildung von Besucherprofilen ist regelmäßig eine Einwilligung nach § 25 Abs. 1 TDDDG sowie eine Marketing-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO einzuholen.
• Für die Verarbeitung der Formulareingaben zur Beantwortung einer Vertriebsanfrage kommen Vertragsdurchführung bzw. vorvertragliche Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO sowie berechtigte Interessen an Effizienz nach Art. 6 Abs. 1 lit. f DSGVO in Betracht.
• Für werbliche Folgekommunikation per E-Mail kommt regelmäßig die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Betracht; im Bestandskundenkontext flankiert durch § 7 Abs. 3 UWG i.V.m. berechtigtem Interesse an Werbung.
• Für die Speicherung von Anmelde- und Einwilligungsnachweisen kommt eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 7 Abs. 2 Nr. 2 UWG sowie ein berechtigtes Interesse an Rechtsausübung in Betracht.

Welche Rechtsgrundlage konkret einschlägig ist, hängt von den Umständen des Einzelfalls (Einbindung im Consent-Banner, Bestandskundenbeziehung, Cookie-Lebensdauer) ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Salesforce Pardot

• Auftragsverarbeitung: Salesforce stellt für Pardot/Marketing Cloud Account Engagement nach den öffentlich zugänglichen Angaben einen Data Processing Addendum (DPA) bereit; der Abschluss eines AVV nach Art. 28 DSGVO ist für den Einsatz durch deutsche Webseitenbetreiber zwingend.
• First-Party- statt Third-Party-Tracking: Pardot unterstützt die Auslieferung des Tracking-Skripts über eine vom Webseitenbetreiber kontrollierte Subdomain (First-Party-Modus). Diese Konfiguration kommt im Hinblick auf Browserschutzmaßnahmen und Aussagekraft der Daten regelmäßig in Betracht; sie ändert jedoch nichts an der Pflicht zur vorherigen Einwilligung nach § 25 Abs. 1 TDDDG.
• Tracking-Opt-In / Consent-Mode: Pardot stellt eine "Tracking & Consent JavaScript API" bereit, mit der das Setzen des Cookies und das Tracking abhängig von der Einwilligung des Besuchers gesteuert werden kann. Eine Anbindung an das Consent-Management des Webseitenbetreibers wird vom Anbieter empfohlen.
• Cookie-Lebensdauer: Die Default-Lebensdauer des Pardot-Tracking-Cookies beträgt nach den Angaben des Anbieters 3650 Tage. Eine Reduktion auf eine angemessene Frist ist regelmäßig zu prüfen.
• Drittlandtransfer / DPF: Soweit Daten in die USA übermittelt werden, kommt die DPF-Zertifizierung der Salesforce, Inc. als Transfermechanismus in Betracht; ergänzend werden EU-Standardvertragsklauseln und Binding Corporate Rules eingesetzt.
• Subprozessoren: Eine aktuelle Subprozessoren-Liste ist über das Salesforce Compliance Portal abrufbar (https://compliance.salesforce.com).
• Quellenhinweis: Die vorstehenden Angaben beruhen auf den öffentlich zugänglichen Veröffentlichungen des Anbieters und ersetzen keine Einzelfallprüfung.

I. Häufige Fragen zu Salesforce Pardot und Datenschutz

J. Fazit zu Salesforce Pardot

Beim Einsatz von Salesforce Pardot verarbeiten Webseitenbetreiber Verhaltens- und Kontaktdaten von Besuchern und Leads zu Zwecken der B2B-Lead-Generierung, der Marketing-Automation und der Anbindung an das Vertriebs-CRM. Vertragspartner ist regelmäßig die EU-Konzerngesellschaft der Salesforce-Gruppe; die Konzernmuttergesellschaft Salesforce, Inc. ist DPF-zertifiziert. Zentrale Pflichten sind der Abschluss eines Auftragsverarbeitungsvertrags, eine Anbindung des Tracking-Skripts an ein wirksames Consent-Management sowie eine kritische Festlegung der Cookie-Lebensdauer.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für Salesforce Pardot einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich, schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Tracking, Newsletter, Kontaktformular …) übergreifend erklärt und nur im Anhang Empfänger die einzelnen Dienstleister wie Salesforce Pardot benennt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com