Salesforce Sales Cloud und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Salesforce Sales Cloud ein, verarbeitet er regelmäßig Kontaktdaten potenzieller und bestehender Kunden (z.B. Name, E-Mail-Adresse, Telefonnummer, Unternehmen, Funktion) zum Zweck der Kundenakquise, Kundenpflege und Vertriebssteuerung – häufig auf Grundlage von Vertragsdurchführung und berechtigten Interessen, in bestimmten Konstellationen auch auf Grundlage einer Einwilligung. Dieser Beitrag fasst zusammen, welche Daten Salesforce Sales Cloud im Webseitenkontext typischerweise berührt und welche Pflichtangaben dazu in eine Datenschutzerklärung gehören.

Die folgenden Ausführungen beruhen auf öffentlich zugänglichen Angaben des Anbieters und auf öffentlich recherchierbaren Quellen; sie ersetzen keine Einzelfallprüfung durch den Webseitenbetreiber.

A. Zweck und Funktionsweise von Salesforce Sales Cloud

Salesforce Sales Cloud ist eine cloudbasierte Customer-Relationship-Management-Plattform (CRM) der Salesforce-Gruppe. Sie dient Vertriebsteams als zentrale Anwendung zur Verwaltung von Leads, Kontakten, Accounts, Opportunities (Verkaufschancen), Aktivitäten (Calls, E-Mails, Meetings), Vertriebs-Pipelines und Forecasts. Über zahlreiche Erweiterungen lassen sich auch Marketing-Automatisierung, Service-Vorgänge, Analysen und KI-gestützte Funktionen (Einstein) in dieselbe Datenbasis integrieren.

Im Webseitenkontext sind vor allem zwei Integrations-Funktionen relevant: Erstens die Web-to-Lead-/Web-to-Case-Funktion, bei der Kontaktformulare, Demo-Anfragen oder Newsletter-Anmeldungen auf der Webseite des Webseitenbetreibers eingebunden werden und die übermittelten Daten direkt in der Sales Cloud als Datensatz angelegt werden. Zweitens die Anbindung an Webseiten-Tracking und Marketing-Automation (z.B. Account Engagement / Pardot, Marketing Cloud), bei der Verhaltensdaten von Webseitenbesuchern in Sales-Cloud-Datensätze einfließen können. Andere Komponenten der Salesforce-Plattform (z.B. Service Cloud, Commerce Cloud, Data Cloud, Marketing Cloud) werden in dieser Übersicht nicht behandelt.

Diese Seite konzentriert sich auf die direkte Integrations-Funktion zwischen Webseite und Salesforce Sales Cloud, also den Datenfluss von der Webseite des Webseitenbetreibers in das CRM des Webseitenbetreibers.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Salesforce Sales Cloud

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben (Verantwortlicher, Datenschutzbeauftragter, Betroffenenrechte, Aufsichtsbehörde) im Hinblick auf den Einsatz konkreter Tools spezifische Pflichtangaben. Diese ergeben sich insbesondere aus Art. 13 und Art. 14 DSGVO.

Pflichtangaben sind unter anderem:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitungen auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO),
• ob eine Übermittlung in ein unsicheres Drittland außerhalb EU/EWR stattfindet und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zur Festlegung der Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO),
• bei Daten, die nicht unmittelbar beim Betroffenen erhoben werden, zusätzlich die Kategorien personenbezogener Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden nachfolgend für Salesforce Sales Cloud aufgeschlüsselt.

In der Praxis hat sich vielfach eingebürgert, in der Datenschutzerklärung pro eingesetztem Tool einen eigenen, von Kanzleien vorformulierten Textbaustein einzufügen. Diese Praxis ist keine zwingende Vorgabe der DSGVO und führt regelmäßig zu langen, redundanten und schwer pflegbaren Datenschutzerklärungen, die dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegenstehen. Sachgerechter ist ein themenorientierter Ansatz, bei dem Verarbeitungen übergreifend nach Themen (z.B. Kontaktformular, Newsletter, Tracking, CRM-Pflege) beschrieben werden und konkrete Dienstleister wie Salesforce in einer Empfängerliste im Anhang ausgewiesen werden. Dieser Ansatz liegt dem Generator von matterius zugrunde.

C. Anbieter von Salesforce Sales Cloud

Vertragspartner für Kunden im Europäischen Wirtschaftsraum ist nach den öffentlich zugänglichen Angaben regelmäßig die Salesforce-Gesellschaft mit Sitz in Irland. Die genaue Gesellschaft (z.B. SFDC Ireland Limited) und die zugehörige Anschrift sind dem konkreten Vertrag bzw. den aktuellen Angaben unter https://www.salesforce.com/eu/company/locations/ zu entnehmen und vom Webseitenbetreiber zu verifizieren. Konzernmutter ist Salesforce, Inc. mit Sitz in San Francisco, USA.

Im Konzernverbund wird Datenverarbeitung auch in den USA durchgeführt. Salesforce, Inc. ist nach den öffentlich abrufbaren Angaben des US-Handelsministeriums (https://www.dataprivacyframework.gov/s/participant-search) als Teilnehmer am EU-US Data Privacy Framework (DPF) gelistet; Salesforce verweist zudem auf genehmigte Binding Corporate Rules. Der DPF-Status sowie der Abschluss der EU-Standardvertragsklauseln (SCC) sind vom Webseitenbetreiber im Einzelfall zu prüfen.

Die zentrale Datenschutzinformation der Salesforce-Gruppe ist abrufbar unter https://www.salesforce.com/company/legal/privacy/. Die produktbezogenen Sicherheits-, Subprozessoren- und Compliance-Informationen finden sich unter https://compliance.salesforce.com/.

D. Datenverarbeitung durch Salesforce Sales Cloud – Ablauf in Schritten

1. Erhebung: Daten gelangen typischerweise über Web-to-Lead/Web-to-Case-Formulare auf der Webseite des Webseitenbetreibers, durch manuelle Eingabe von Vertriebsmitarbeitenden, durch Importe (z.B. Listen) oder über angebundene Marketing- und Service-Tools in die Sales Cloud.
2. Speicherung: Die Daten werden in den von Salesforce betriebenen Cloud-Rechenzentren gespeichert. Salesforce stellt nach eigenen Angaben EU-Hyperforce-Regionen bereit; die konkrete Region ist in den Vertragsunterlagen festgelegt. Subprozessoren können auch außerhalb des EWR sitzen.
3. Nutzung: Der Webseitenbetreiber nutzt Sales Cloud zur Vertriebsbearbeitung (Lead-Qualifizierung, Aktivitätenverwaltung, Forecasting). Salesforce verarbeitet die Daten nach Anbieterangaben weisungsgebunden zur Bereitstellung der Plattform.
4. Weitergabe: Salesforce kann Subprozessoren einsetzen (z.B. Hosting-Anbieter, Support-Dienstleister); eine Liste ist Teil der Vertragsunterlagen. Der Webseitenbetreiber kann Daten zudem an angebundene Drittsysteme (z.B. ERP, Marketing-Automation) weiterleiten.
5. Löschung: Der Webseitenbetreiber legt Lösch- und Aufbewahrungsregeln in der Sales Cloud selbst fest (z.B. über Aufbewahrungsrichtlinien, manuelle Löschung, API-gesteuerte Löschroutinen). Salesforce löscht Daten nach Vertragsende gemäß den vereinbarten Fristen.

E. Erhobene Daten in Salesforce Sales Cloud

Im Salesforce-Sales-Cloud-Kontext werden typischerweise folgende Daten erfasst: Vor- und Nachname, geschäftliche E-Mail-Adresse, Telefonnummer, Funktion und Abteilung, Unternehmensname und Anschrift, Daten zur Verkaufschance (Phase, geschätzter Wert, Abschlussdatum), Aktivitäten (Calls, E-Mails, Meetings, Notizen), Korrespondenzhistorie sowie ggf. mit dem Datensatz verknüpfte Tracking- und Verhaltensdaten aus angebundenen Systemen. Beim Web-to-Lead-Formular werden die im Formular ausgefüllten Felder sowie ergänzende technische Metadaten erhoben.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Webserver des Webseitenbetreibers bei jeder Anfrage erhält, z.B. IP-Adresse, Datum und Uhrzeit, URL des angefragten Formulars, Referrer, Informationen zu Browser, Betriebssystem und Gerät.
• Klickpfade: Aufgerufene Formulare, abgeschickte Web-to-Lead-Formulare, geklickte Links jeweils mit Zeitstempel.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung des Endgeräts beim Formularaufruf.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter grober Standort auf Stadt- oder Gemeindeebene.
• Nutzungskonto-Daten: Bei eingeloggten Salesforce-Anwendern (Vertriebsmitarbeitende des Webseitenbetreibers) Benutzerkennung, E-Mail, Rollen und Berechtigungen, Login-Verläufe.
• Nutzer-Inhalte: Inhalte, die ein Webseitenbesucher in Web-to-Lead-/Web-to-Case-Formulare einträgt, z.B. Anfragen, Nachrichten, hochgeladene Dateien.
• Nutzerprofile: Vom Webseitenbetreiber zu einem Lead oder Kontakt geführte Interessen, Segmentzuordnungen, Lead-Scores und Aktivitätshistorien.
• Conversion-Ereignisse: Im CRM festgehaltene relevante Vertriebsereignisse, z.B. Lead-Erstellung, Demo-Buchung, Angebotsanfrage, Abschluss.

F. Nutzungszwecke beim Einsatz von Salesforce Sales Cloud

Der Webseitenbetreiber nutzt Salesforce Sales Cloud regelmäßig dazu, eingehende Anfragen zentral zu erfassen, Leads zu qualifizieren, den Vertriebsprozess zu strukturieren, Aktivitäten zu dokumentieren, Forecasts zu erstellen und Vertragsbeziehungen zu Kunden zu pflegen. Daneben dient das System der internen Steuerung des Vertriebs sowie der Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung der Web-to-Lead-/Web-to-Case-Funktion auf der Webseite und der CRM-Funktionalität, einschließlich Fehlererkennung und -behebung.
• Vertragsdurchführung: Vorbereitung und Durchführung von Vertragsverhältnissen mit Interessenten und Kunden, z.B. Angebotsphase, Vertragsabschluss, Vertragsabwicklung.
• Sicherheit und Missbrauchsschutz: Authentifizierung der Salesforce-Nutzer, Zugriffskontrolle, Spam- und Botabwehr bei Web-to-Lead-Formularen, Betrugsprävention.
• Allgemeine Produktverbesserung: Auswertung aggregierter CRM-Kennzahlen zur Optimierung von Vertriebsabläufen.
• Nutzerprofil-Erstellung: Anlage und Pflege von Lead- und Kontakt-Profilen einschließlich Segmentzuordnungen.
• Nutzerindividuelle Produktverbesserung: Bedarfsgerechte Ansprache einzelner Leads und Kontakte auf Basis bisheriger Interaktionen.
• Nutzerindividuelles Marketing: Ausrichtung individueller Vertriebs- und Marketingmaßnahmen, soweit eine entsprechende Einwilligung vorliegt.
• Erfüllung von Aufbewahrungspflichten: Aufbewahrung vertrags- und steuerrelevanter Daten gemäß § 147 AO, § 257 HGB.
• Compliance: Einhaltung gesetzlicher Vorgaben und Nachweis dieser Einhaltung.
• Rechtsdurchsetzung: Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen.
• Kommunikation: Bearbeitung von Anfragen, Kundenservice, Support.

G. Rechtsgrundlagen beim Einsatz von Salesforce Sales Cloud

Salesforce Sales Cloud fällt im Webseitenkontext primär in die Tool-Kategorie CRM/Vertriebssystem mit angebundenem Webformular, mit Berührungspunkten zu Kontaktformular, Newsletter (sofern angebunden) und – bei aktivem Tracking – Tracking (Statistik/Marketing).

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) für die Bearbeitung konkreter Anfragen, Angebote und Verträge.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) für die allgemeine CRM-Pflege, das Lead-Management und die interne Vertriebssteuerung; einschlägige berechtigte Interessen sind regelmäßig Effizienz, Geschäftssteuerung, Werbung (im Rahmen des § 7 UWG), Sicherheit, Missbrauchsschutz und Rechtsausübung.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, ggf. i.V.m. § 25 Abs. 1 TDDDG) für werbliche Ansprachen per E-Mail, für die Verknüpfung mit Tracking-/Marketing-Daten und – soweit Cookies oder ähnliche Speicherzugriffe genutzt werden – für die zugehörigen Speicherzugriffe.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) für die Aufbewahrung vertrags- und steuerrelevanter Daten.

Welche Rechtsgrundlage einschlägig ist, ist fallabhängig und im Einzelfall vom Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Salesforce Sales Cloud

• AVV/DPA: Salesforce stellt nach eigenen Angaben einen Auftragsverarbeitungsvertrag (Data Processing Addendum) bereit. Vertragsdokumente und Compliance-Unterlagen sind unter https://compliance.salesforce.com/ abrufbar; der Abschluss eines AVV ist beim Einsatz für eigene Verarbeitungen regelmäßig erforderlich.
• Subprozessoren: Salesforce veröffentlicht eine Liste eingesetzter Unterauftragsverarbeiter. Der Webseitenbetreiber sollte die Liste vor Vertragsschluss und im laufenden Betrieb prüfen.
• Drittlandtransfer: Eine Verarbeitung in den USA ist möglich. Salesforce, Inc. ist nach öffentlich abrufbaren Angaben DPF-zertifiziert; ergänzend kommen SCC und Binding Corporate Rules in Betracht. Der konkrete Transfermechanismus ergibt sich aus den Vertragsunterlagen.
• Hyperforce/Region: Die Wahl der Speicherregion (z.B. EU) wirkt sich auf das Drittlandsthema aus und ist vom Webseitenbetreiber bewusst zu konfigurieren.
• Web-to-Lead/Web-to-Case-Konfiguration: Vor produktivem Einsatz sollten Pflichtfelder, Datensparsamkeit, Bot-Schutz (z.B. reCAPTCHA), Einwilligungs-Checkboxen und die Verknüpfung mit Marketing-Automation datenschutzgerecht konfiguriert sein.
• Aufbewahrung und Löschung: Sales Cloud bietet konfigurierbare Aufbewahrungsrichtlinien sowie API-Schnittstellen für Lösch- und Auskunftsersuchen; entsprechende Prozesse sind beim Webseitenbetreiber zu etablieren.
• Rolle: Im Webseitenkontext tritt Salesforce nach Anbieterangaben für die Plattformbereitstellung als Auftragsverarbeiter des Webseitenbetreibers auf. Ob im Einzelfall davon abweichende Konstellationen bestehen, ist vom Webseitenbetreiber zu prüfen.

I. FAQ zu Salesforce Sales Cloud und Datenschutz

J. Fazit zu Salesforce Sales Cloud und Call-to-Action

Salesforce Sales Cloud ist ein klassisches CRM-Backend mit hoher Datenrelevanz: Im Mittelpunkt stehen Kontakt- und Vertragsdaten von Interessenten und Kunden, ergänzt um Aktivitäts- und ggf. Tracking-Daten. Datenschutzrechtlich relevant sind insbesondere die Web-to-Lead-Anbindung, der Drittlandbezug zur US-Konzernmutter, der Abschluss eines AVV, die Wahl der Speicherregion sowie die Konfiguration von Aufbewahrungs- und Löschregeln.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für Salesforce Sales Cloud einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Solche tool-individuellen Bausteine machen die Datenschutzerklärung lang, redundant und schwer pflegbar und stehen eher im Spannungsverhältnis zum Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Empfehlenswert ist ein strukturierter, themenorientierter Ansatz: Die Datenschutzerklärung beschreibt Verarbeitungen nach Themen (z.B. Kontaktformular, CRM-Pflege, Newsletter, Tracking, Vertragsabwicklung) und verweist im Anhang auf konkret eingesetzte Empfänger wie Salesforce. Genau diese Methodik verfolgt der Generator von matterius.

K. Kurator