Salesforce Einstein DSGVO: AVV, Hyperforce & KI-Verordnung
Salesforce Einstein ist DSGVO-konform für deutsche Unternehmen — vorausgesetzt, der Auftragsverarbeitungsvertrag (AVV) mit Salesforce ist abgeschlossen, die EU-Datenspeicherung über Salesforce Hyperforce ist konfiguriert und die Einstein-KI-Funktionen werden einzeln im Rahmen der KI-Verordnung bewertet. Ohne diese Maßnahmen entsteht bei der Verarbeitung personenbezogener Daten von EU-Bürgerinnen und Bürgern ein erhebliches Haftungsrisiko nach der DSGVO (Verordnung (EU) 2016/679). Dieser Leitfaden behandelt den Salesforce AVV, Hyperforce-Datenspeicherung, Unterauftragsverarbeiter, die KI-Verordnung, anwendungsfallbezogene DSGVO-Analyse, BetrVG-Anforderungen und eine aktualisierte Compliance-Checkliste für Unternehmen in Deutschland und der DACH-Region. Einen Überblick über weitere KI-Tools finden Sie in unserem Überblick über KI-Tools-Compliance.
Ist Salesforce Einstein DSGVO-konform?
Ja — mit Bedingungen. Salesforce agiert als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, wenn das Unternehmen personenbezogene Daten im Auftrag Ihres Unternehmens verarbeitet. Als Verantwortlicher sind Sie verpflichtet:
- Den Auftragsverarbeitungsvertrag (AVV) mit Salesforce abzuschließen, um die Anforderungen des Art. 28 DSGVO zu erfüllen
- Die EU-Datenspeicherung für Ihre Salesforce-Instanz über Hyperforce zu konfigurieren, sofern in Ihrem Abonnement verfügbar
- Die Unterauftragsverarbeiter-Liste von Salesforce gemäß Art. 28 Abs. 4 DSGVO zu prüfen und Drittlandübermittlungen zu bewerten
- Eine geeignete Rechtsgrundlage — in der Regel berechtigtes Interesse oder Vertragserfüllung — für die CRM-Datenverarbeitung festzulegen
- Jede Einstein-KI-Funktion im Rahmen der KI-Verordnung zu bewerten, sofern automatisierte Verarbeitungen in größerem Umfang stattfinden
Salesforce betreibt Rechenzentren in der EU und bietet Optionen zur Datenspeicherung, die primäre personenbezogene Daten innerhalb des Europäischen Wirtschaftsraums (EWR) halten. Einzelne Einstein-Funktionen können jedoch zusätzliche Infrastruktur nutzen — prüfen Sie daher stets die aktuelle Unterauftragsverarbeiter-Liste, bevor Sie neue Funktionen aktivieren.
Salesforce AVV nach Art. 28 DSGVO
Gemäß Art. 28 DSGVO muss jedes Unternehmen, das einen Drittanbieter zur Verarbeitung personenbezogener Daten einsetzt, einen schriftlichen Auftragsverarbeitungsvertrag abgeschlossen haben. In der Terminologie verschiedener Landesdatenschutzbehörden — darunter das BayLDA und der LfDI Baden-Württemberg — wird auch der Begriff Auftragsdatenverarbeitungsvertrag (ADV) verwendet.
So schließen Sie den Salesforce AVV ab:
- Melden Sie sich bei Salesforce Trust (trust.salesforce.com) oder Ihrem Salesforce-Konto an
- Navigieren Sie zum Abschnitt „Datenschutzaddendum” in Ihren Vertragsunterlagen
- Akzeptieren Sie den Standard-AVV von Salesforce — dieser ist als vorab unterzeichnete Online-Vereinbarung verfügbar und erfordert keine individuelle Verhandlung
- Laden Sie den unterzeichneten AVV herunter und archivieren Sie ihn für Ihre Compliance-Dokumentation
Der Salesforce-AVV enthält alle Pflichtangaben nach Art. 28 DSGVO: Beschreibung der Verarbeitungstätigkeit, Kategorien betroffener Personen, technische und organisatorische Maßnahmen (TOMs), Regelungen zu Unterauftragsverarbeitern sowie Unterstützung bei der Erfüllung von Betroffenenrechten.
Für deutsche Unternehmen empfiehlt es sich, im AVV auch die Einhaltung des Bundesdatenschutzgesetzes (BDSG) zu berücksichtigen — insbesondere bei der Verarbeitung von Beschäftigtendaten nach §26 BDSG.
Salesforce verfügt über relevante Compliance-Zertifizierungen: ISO 27001, SOC 2 Typ II, EU-Standardvertragsklauseln (SCC) sowie Zertifizierung unter dem EU-US Data Privacy Framework.
EU-Datenspeicherung: Salesforce Hyperforce
Salesforce Hyperforce ist Salesforces neu konzipierte globale Infrastrukturplattform, die es ermöglicht, Kundendaten innerhalb bestimmter geografischer Regionen — einschließlich der Europäischen Union — zu speichern und zu verarbeiten. Für deutsche Unternehmen ist Hyperforce EU der entscheidende Mechanismus zur DSGVO-konformen Datenlokalisierung.
Was Hyperforce EU bietet:
- Primäre Datenspeicherung in EU-Rechenzentren
- Verarbeitung von Einstein-KI-Workloads innerhalb des EWR bei konfigurierter Hyperforce-EU-Einstellung
- Vertragliche Bestätigung der Datenspeicherung in Ihren Salesforce-Bestellunterlagen
- Übereinstimmung mit den Anforderungen der Art. 44–49 DSGVO für internationale Datenübermittlungen
Nicht alle Salesforce-Abonnements enthalten Hyperforce EU standardmäßig. Holen Sie sich von Ihrem Salesforce-Account-Team eine schriftliche Bestätigung, dass Ihre Instanz EU-resident ist und Einstein-KI-Workloads vom EU-Scope abgedeckt werden. Dokumentieren Sie diese Bestätigung in Ihrem Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO.
Wo Salesforce-Unterauftragsverarbeiter außerhalb des EWR ansässig sind, enthält der Salesforce-AVV die aktualisierten EU-Standardvertragsklauseln (SCC) von 2021. Führen Sie mindestens jährlich eine Prüfung der Unterauftragsverarbeiter durch und erstellen Sie eine Transferfolgenabschätzung, wenn Übermittlungen in risikoreiche Drittländer identifiziert werden.
Salesforce Einstein Unterauftragsverarbeiter — Wer verarbeitet Ihre KI-Daten?
Nach Art. 28 Abs. 4 DSGVO muss Salesforce bei der Beauftragung von Unterauftragsverarbeitern gleichwertige Datenschutzverpflichtungen auferlegen. Für Ihre DSGVO-Compliance ist es unerlässlich zu wissen, wer diese Unterauftragsverarbeiter sind und wo sie tätig sind.
Wichtige Kategorien von Einstein-Unterauftragsverarbeitern:
- Cloud-Infrastrukturanbieter: Salesforce nutzt AWS, Google Cloud und Microsoft Azure für Teile seiner Infrastruktur — einschließlich bestimmter Einstein-KI-Workloads. Einige dieser Anbieter befinden sich außerhalb des EWR und stützen sich auf SCC oder das EU-US Data Privacy Framework.
- KI-Modellanbieter: Bestimmte Einstein-GPT-Funktionen basieren auf Large-Language-Model-Infrastruktur. Prüfen Sie, ob Ihre Konfiguration Salesforce-eigene Modelle oder Drittanbieter-KI nutzt — und ob diese EU-resident sind.
- Analyse- und Datenverarbeitungsanbieter: Einstein Analytics und CRM Intelligence können weitere spezialisierte Datenverarbeitungs-Unterauftragsverarbeiter einbeziehen.
So finden und überwachen Sie die Salesforce-Unterauftragsverarbeiter-Liste:
- Rufen Sie die aktuelle Unterauftragsverarbeiter-Liste unter trust.salesforce.com im Bereich Datenschutz ab
- Abonnieren Sie Benachrichtigungen über Änderungen — nach Art. 28 Abs. 4 DSGVO müssen Sie vorab über wesentliche Änderungen informiert werden
- Erfassen Sie jeden Unterauftragsverarbeiter in Ihrem VVT und dokumentieren Sie den Übermittlungsmechanismus (SCC, DPF oder EU-Residenz)
- Prüfen Sie die Liste mindestens jährlich und nach bedeutenden Produktaktualisierungen
Warnsignale:
- Einstein-Funktionen, die ausdrücklich als „US only” dokumentiert sind oder für die keine EU-Datenspeicherung bestätigt ist
- Unterauftragsverarbeiter in Drittländern ohne Angemessenheitsbeschluss, für die weder SCC noch DPF-Deckung dokumentiert ist
- Neue Unterauftragsverarbeiter ohne vorherige Ankündigung — dies kann einen wesentlichen Vertragsverstoß unter Ihrem AVV nach Art. 28 Abs. 4 DSGVO darstellen
Deutsche Landesdatenschutzbehörden haben Bußgelder gegen Verantwortliche verhängt, die sich auf veraltete Unterauftragsverarbeiter-Dokumentation gestützt haben.
Salesforce Einstein im CRM-Alltag — DSGVO-Analyse nach Anwendungsfall
Verschiedene Salesforce-Einstein-Module verarbeiten unterschiedliche Kategorien personenbezogener Daten. Für jeden Anwendungsfall ist eine separate Rechtsgrundlage, Aufbewahrungsfrist und Risikobeurteilung erforderlich.
Sales Cloud Einstein — Interessenten und Kontakte:
Einstein Lead Scoring bewertet und priorisiert Interessenten auf Basis von Verhaltens- und demografischen Daten. Die Rechtsgrundlage ist in der Regel berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) bei der B2B-Ansprache oder Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bei bestehenden Kundenkontakten. Salesforce erzwingt DSGVO-Löschfristen nicht automatisch — definieren Sie Aufbewahrungsfristen und implementieren Sie automatisierte Löschworkflows für inaktive Datensätze.
Service Cloud Einstein — KI-gestützter Kundensupport:
Einstein Bots und Case Classification in der Service Cloud verarbeiten Kundeninteraktionsdaten — potenziell einschließlich sensibler Informationen aus Support-Anfragen. Prüfen Sie, ob Support-Fälle besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO enthalten — etwa Gesundheitsdaten oder Finanzdaten von Verbrauchern. Für regulierte Branchen ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO in der Regel erforderlich.
Marketing Cloud AI — Profiling und Einwilligung:
Einstein-basierte Personalisierung und Sendezeitoptimierung in der Marketing Cloud stellen Profiling nach Art. 4 Nr. 4 DSGVO dar. Bei direkter elektronischer Werbeansprache von Verbraucherinnen und Verbrauchern ist die Rechtsgrundlage in der Regel Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); das UWG gilt für Direktwerbung per E-Mail zusätzlich. Einwilligungsnachweise müssen spezifisch für Einstein-basiertes Profiling sein, und ein Widerruf muss ohne Qualitätseinbußen möglich sein.
HR und Recruiting — KI-Verordnung im Zusammenspiel:
Wenn Salesforce oder Einstein-Funktionen zur Bewerberselektion, -bewertung oder Leistungsbeurteilung von Beschäftigten eingesetzt werden, gelten sowohl §26 BDSG als auch der Hochrisiko-Schwellenwert der KI-Verordnung für Beschäftigungssysteme. Jede Einstein-Funktion, die für Personalentscheidungen eingesetzt wird, muss nach Anhang III Nr. 4 der Verordnung (EU) 2024/1689 bewertet werden, bevor sie produktiv geht.
Salesforce Einstein und die KI-Verordnung — Risikoklassifizierung
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) gilt ab August 2026. Als Betreiber müssen Sie jede aktivierte Einstein-Funktion vor diesem Datum gegen den Risikoklassifizierungsrahmen prüfen.
Ist Salesforce Einstein ein Hochrisiko-KI-System?
Die meisten Standard-Einstein-Funktionen — Predictive Lead Scoring, Produktempfehlungen, Marketing-Personalisierung und Einstein GPT zur Inhaltserstellung — sind nicht als Hochrisiko nach Anhang III eingestuft. Sie beeinflussen nicht unmittelbar Beschäftigungs-, Kredit- oder Strafverfolgungsentscheidungen in einem rechtserheblichen Sinne.
Bestimmte Anwendungsfälle können jedoch den Hochrisiko-Schwellenwert erreichen:
| Einstein-Funktion | Möglicher Hochrisiko-Auslöser | Anhang III Punkt |
|---|---|---|
| Conversation Intelligence (Gesprächsanalyse) | Überwachung individueller Mitarbeiterleistung | 4(a) Beschäftigung |
| Einstein Lead Scoring in Finanzdienstleistungen | Kreditwürdigkeits- oder Versicherungsbewertung | 5(b) Kreditwürdigkeit |
| Bewerberselektion mit Einstein-Funktionen | HR-Filterung oder Kandidatenranking | 4(a) Beschäftigung |
| Automatisierte Betrugserkennung | Strafverfolgungsangrenzende Profilierung | 6 Strafverfolgung |
Was die Frist August 2026 für Salesforce-Kunden bedeutet:
Ab August 2026 müssen Betreiber von Hochrisiko-KI-Systemen technische Dokumentation vorhalten, menschliche Aufsichtsmechanismen implementieren, Grundrechte-Folgenabschätzungen durchführen und Hochrisikosysteme in der EU-KI-Datenbank registrieren. Salesforce trägt als Anbieter die primären GPAI-Pflichten — als Betreiber müssen Sie jedoch den Verwendungszweck dokumentieren, Aufsichtsmaßnahmen bestätigen und betroffene Personen informieren, wenn KI-gestützte Ergebnisse wesentliche Auswirkungen auf sie haben.
Für Einstein-Funktionen im Bereich Finanzdienstleistungen oder Versicherung finden Sie weiterführende Informationen in unseren Leitfäden zur KI-Verordnung für Finanzdienstleister und zur KI-Verordnung in der Versicherungsbranche.
Betriebsrat und BetrVG bei Salesforce Einstein
Für Unternehmen in Deutschland gibt §87 Abs. 1 Nr. 6 BetrVG dem Betriebsrat ein Mitbestimmungsrecht bei technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmerinnen und Arbeitnehmer zu überwachen. Einstein-Funktionen, die Beschäftigtendaten berühren, lösen diese Pflicht aus.
Einstein-Funktionen mit Mitbestimmungsrelevanz:
- Conversation Intelligence: Zeichnet Verkaufsgespräche auf, transkribiert und bewertet sie — und überwacht damit unmittelbar die individuelle Mitarbeiterleistung
- Einstein Activity Capture: Protokolliert E-Mails und Kalendereinträge und erstellt damit ein systematisches Bild der Arbeitsmuster von Beschäftigten
- Sales Analytics Dashboards: Soweit diese zur Verfolgung individueller Vertriebsmitarbeiter-Kennzahlen aus Einstein-Scoring genutzt werden — im Unterschied zur aggregierten Teambetrachtung
Was Mitbestimmung in der Praxis bedeutet:
- Informieren Sie Ihren Betriebsrat über geplante Einstein-Einsätze, bevor Sie produktiv gehen
- Stellen Sie eine technische Beschreibung der von Einstein erfassten, verarbeiteten und gespeicherten Beschäftigtendaten bereit
- Verhandeln Sie eine Betriebsvereinbarung (BV), die den zulässigen Einsatz von Einstein-Analysen zur Leistungsbewertung regelt und Auswertungsgrenzen definiert
- Beschränken Sie den Zugriff auf individuelle Leistungsdaten in Einstein-Dashboards auf vertraglich vereinbarte Personenkreise
Zusätzlich zu §87 BetrVG gilt für Beschäftigtendaten §26 BDSG, der eine spezifische Rechtsgrundlage und einen strengen Verhältnismäßigkeitstest erfordert. Binden Sie Ihren Datenschutzbeauftragten (DSB) und den Betriebsrat frühzeitig und parallel ein.
Vergleich: Salesforce Einstein vs. Microsoft 365 Copilot vs. HubSpot Breeze AI
| Kriterium | Salesforce Einstein | Microsoft 365 Copilot | HubSpot Breeze AI |
|---|---|---|---|
| DSGVO-AVV verfügbar | Ja — Standard-Online-AVV | Ja — Microsoft Produktvereinbarung | Ja — Datenverarbeitungsvertrag |
| EU-Datenspeicherung | Ja — über Hyperforce (geeignete Abonnements) | Ja — EU Data Boundary | Eingeschränkt — überwiegend US-Infrastruktur |
| KI-Verordnung (Standardeinsatz) | Gering bis mittel | Gering bis mittel | Gering |
| Hochrisiko-Konfigurationen | Conversation Intelligence, HR-Scoring | Copilot im HR-Bereich, Kreditanalyse | Begrenzt |
| Unterauftragsverarbeiter-Transparenz | Veröffentlichte Liste auf Trust-Seite | Dokumentiert in der MPA-Dokumentation | Weniger granular |
| BetrVG-Relevanz | Hoch — Conversation Intelligence | Hoch — M365-Nutzungsanalysen | Geringer |
Microsoft 365 Copilot und Salesforce Einstein sind in ihrer DSGVO-Compliance-Positionierung weitgehend vergleichbar — beide bieten EU-Datenspeicherung und veröffentlichte AVV. HubSpot Breeze AI bleibt bei der EU-Datenspeicherung weniger transparent. Für das deutsche Enterprise-Beschaffungswesen bieten sowohl Salesforce Hyperforce EU als auch Microsoft EU Data Boundary vertragliche Datenlokalisierungszusagen — die BetrVG-Pflicht gilt für beide gleichermaßen, sobald beschäftigtenbezogene Funktionen aktiviert werden.
Checkliste: Salesforce Einstein DSGVO-konform einsetzen
- Salesforce AVV abschließen — über Salesforce Trust oder den Vertragsbereich Ihres Kontos; unterzeichnete Fassung archivieren; Abdeckung aller geplanten Einstein-Produkte bestätigen
- EU-Datenspeicherung via Hyperforce konfigurieren — schriftliche Bestätigung des Rechenzentrumsstandorts und des EU-Scopes der Einstein-Workloads von Ihrem Salesforce-Account-Team einholen
- Unterauftragsverarbeiter-Liste prüfen — Unterauftragsverarbeiter der Einstein-Funktionen identifizieren, Übermittlungsmechanismen dokumentieren, Transferfolgenabschätzung (TFA) bei Drittlandübermittlungen erstellen
- Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren — jede Einstein-Funktion nach Art. 30 DSGVO erfassen: Verarbeitungszwecke, Datenkategorien, Betroffenengruppen, Aufbewahrungsfristen
- Art. 22 DSGVO prüfen — vollautomatisierte Entscheidungen mit erheblichen Auswirkungen identifizieren und menschliche Überprüfungsprozesse implementieren
- Jede Einstein-Funktion nach der KI-Verordnung klassifizieren — Hochrisiko-Schwellenwerte prüfen, Verwendungszweck und Aufsichtsmaßnahmen dokumentieren, Grundrechte-Folgenabschätzung vor August 2026 durchführen
- Betriebsrat einbinden — vor Aktivierung von Conversation Intelligence, Activity Capture oder leistungsbezogenen Analysen informieren und ggf. Betriebsvereinbarung verhandeln
- DSFA durchführen, wenn erforderlich — umfangreiche Kundenprofilierung, systematische Mitarbeiterüberwachung oder automatisierte Entscheidungen mit erheblichen Auswirkungen lösen die DSFA-Pflicht nach Art. 35 DSGVO aus
- Unterauftragsverarbeiter-Monitoring einrichten — Änderungsbenachrichtigungen für die Salesforce-Liste abonnieren und diese mindestens jährlich prüfen
Häufig gestellte Fragen
Ist Salesforce Einstein DSGVO-konform?
Ja — mit Bedingungen. Salesforce Einstein ist DSGVO-konform, wenn der AVV abgeschlossen, die EU-Datenspeicherung via Hyperforce konfiguriert und Einstein-Funktionen individuell auf Art. 22 DSGVO und die KI-Verordnung geprüft wurden. Jede aktivierte Funktion erfordert eine eigene Compliance-Prüfung, nicht nur eine einmalige Freigabe auf Kontoebene.
Was ist Salesforce Hyperforce und speichert es Daten in der EU?
Salesforce Hyperforce ist die Infrastrukturplattform, die Datenspeicherung in bestimmten geografischen Regionen ermöglicht. Bei geeignetem Abonnement werden primäre personenbezogene Daten in EU-Rechenzentren gespeichert. Nicht alle Einstein-KI-Workloads sind automatisch abgedeckt — fordern Sie eine schriftliche Bestätigung von Ihrem Salesforce-Account-Team an, die Ihren Rechenzentrumsstandort und den Umfang der Einstein-Abdeckung spezifiziert.
Ist Salesforce Einstein ein Hochrisiko-KI-System nach der KI-Verordnung?
Die meisten Standard-Einstein-Funktionen sind kein Hochrisikosystem nach Anhang III. Allerdings kann Conversation Intelligence zur Leistungsüberwachung von Beschäftigten, Einstein Scoring bei Kreditentscheidungen in Finanzdienstleistungen und jede Einstein-Funktion im Recruiting-Kontext den Hochrisiko-Schwellenwert erreichen. Bewerten Sie jede eingesetzte Funktion vor August 2026.
Welche Unterauftragsverarbeiter setzt Salesforce für Einstein ein?
Salesforce nutzt AWS, Google Cloud und Microsoft Azure als Unterauftragsverarbeiter für Teile der Einstein-Infrastruktur. Die aktuelle Liste finden Sie unter trust.salesforce.com. Prüfen Sie diese mindestens jährlich und dokumentieren Sie alle Drittlandübermittlungen sowie deren Rechtsgrundlage in Ihrem VVT.
Brauche ich eine Betriebsvereinbarung für Salesforce Einstein?
Ja — wenn Sie Einstein-Funktionen aktivieren, die Verhalten oder Leistung von Beschäftigten überwachen, ist nach §87 Abs. 1 Nr. 6 BetrVG Mitbestimmung erforderlich. Dies gilt für Conversation Intelligence, Einstein Activity Capture und Dashboards zur Bewertung individueller Mitarbeiterleistung. Schließen Sie die Betriebsvereinbarung ab, bevor Sie produktiv gehen.
Muss ich eine DSFA für Salesforce Einstein durchführen?
Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist bei voraussichtlich hohem Risiko für betroffene Personen erforderlich. Typische Auslöser: umfangreiche Kundenprofilierung, systematische Beschäftigtenüberwachung via Conversation Intelligence oder vollautomatisierte Entscheidungen mit erheblichen Auswirkungen. Auch wenn keine DSFA-Pflicht besteht, sollten Sie Ihre Einschätzung schriftlich dokumentieren und für Datenschutzbehörden bereithalten.
Können mittelständische Unternehmen Salesforce ohne AVV nutzen?
Nein. Jedes Unternehmen — unabhängig von Größe und Branche — das Salesforce zur Verarbeitung personenbezogener Daten von EU-Bürgerinnen und Bürgern einsetzt, muss vor Verarbeitungsbeginn den Salesforce-AVV abgeschlossen haben. Salesforce stellt einen standardisierten Online-AVV bereit, der keine individuelle Verhandlung erfordert und auch für kleinere Unternehmen unkompliziert zugänglich ist.
Die Informationen auf dieser Seite sind allgemeine Orientierungshilfen zur DSGVO-Compliance beim Einsatz von Salesforce Einstein und stellen keine Rechtsberatung dar. Ihre spezifische Situation kann eine individuelle rechtliche Beratung erfordern. Kontaktieren Sie Compound Law für eine maßgeschneiderte Salesforce-Compliance-Prüfung.
