Erstgespräch buchen
Salesfuchs Logo Salesfuchs
Erstgespräch buchen

Salesforce DSGVO-konform aufsetzen: Praxis-Leitfaden

Was die DSGVO bei Salesforce verlangt, wie Field-Level Security, AV-Vertrag und Löschketten zusammenspielen und welche Audit-Findings 90 Prozent der Orgs übersehen.

· · 5 min Lesezeit
Salesforce DSGVO-konform aufsetzen: Praxis-Leitfaden
DSGVO-konform aufsetzen ist kein nachträglicher Anbau, sondern Architekturentscheidung von Tag eins.

Der Datenschutzbeauftragte ruft drei Jahre nach dem Go-Live an. Er hat einen externen Audit. Er möchte wissen, welche Mitarbeiter Zugriff auf welche personenbezogenen Felder haben, wie lange Daten gespeichert werden und wo der AV-Vertrag liegt. Drei Tage später ist klar: Salesforce ist sauber konfiguriert, aber nichts ist dokumentiert. Die Audit-Frage ist nicht "Können Sie es?", sondern "Können Sie es belegen?".

Genau hier scheitern die meisten DSGVO-Aufstellungen in Salesforce. Nicht an der Technik. An der Rechenschaftspflicht aus Artikel 5 DSGVO. Ich habe in den letzten Jahren mehrere Orgs DSGVO-fest aufgesetzt, von der Privacy-by-Design-Architektur bis zum Audit-Bericht. Dieser Leitfaden zeigt, was die DSGVO bei Salesforce wirklich verlangt, welche Konfigurationen Sie brauchen und welche Punkte 90 Prozent der Orgs übersehen.

Was die DSGVO bei Salesforce wirklich verlangt

Die DSGVO kennt keine Tool-spezifischen Regeln. Sie verlangt von Ihnen, dem Verantwortlichen, dass Sie sechs Prinzipien einhalten und das auch belegen können.

  • Rechtmäßigkeit, Treu und Glauben. Sie brauchen eine Rechtsgrundlage pro Verarbeitung, meist berechtigtes Interesse oder Vertrag.
  • Zweckbindung. Wofür wurde der Datensatz angelegt, und wird er nur dafür genutzt? Salesforce verbindet alles mit allem, das ist DSGVO-relevant.
  • Datenminimierung. Sie brauchen nur die Felder, die Sie wirklich verwenden. Ein Custom Field "Geburtsdatum" ohne Use Case ist ein Befund.
  • Richtigkeit. Veraltete Kontaktdaten sind nicht nur unsauber, sondern ein DSGVO-Verstoß. Datenpflege ist Pflicht, nicht Komfort.
  • Speicherbegrenzung. Sie brauchen eine Löschkette mit definierter Aufbewahrungsfrist pro Objekt-Typ.
  • Integrität und Vertraulichkeit. Das ist die technische Seite, Field-Level Security, Login-Beschränkungen, Verschlüsselung.

Über allem steht die Rechenschaftspflicht: Sie müssen alle sechs Punkte belegen können. Die meisten Orgs erfüllen die Prinzipien faktisch, aber dokumentieren nichts. Im Audit zählt nur, was dokumentiert ist.

💡
Praxistipp: Bauen Sie die DSGVO-Dokumentation NICHT als Word-Datei neben Salesforce, sondern direkt in die Org. Verarbeitungsverzeichnis als Custom Object, Aufbewahrungsfristen als Custom Setting, Rechtsgrundlagen als Picklist-Werte auf den betreffenden Objekten. So altert die Doku nicht.

Field-Level Security als technisches Rückgrat

Field-Level Security (FLS) ist Ihre wichtigste technische Maßnahme. Sie steuert pro Profile oder Permission Set, welche User welche Felder lesen und schreiben dürfen. Sensible Felder, etwa Bankverbindung, Gehalt, Gesundheitsangaben, gehören nie auf "alle Profile sehen alles".

Im DSGVO-Audit dokumentiere ich systematisch, welcher User-Kreis welche Felder sieht. Das ist Teil der Rechenschaft. Ohne diese Tabelle hat die Aufsichtsbehörde sofort einen Befund. Ich exportiere die Permission-Matrix per SOQL und hänge sie an das Verarbeitungsverzeichnis.

Wenn Sie noch kein sauberes Berechtigungskonzept haben, ist das der erste Schritt. Wie ich Permission Sets aufbaue, beschreibe ich in Salesforce Permission Sets richtig verwalten.

Audit-Logs und Setup Audit Trail

Salesforce liefert zwei Logs, die Sie für DSGVO-Audits brauchen. Der Setup Audit Trail protokolliert alle Konfigurationsänderungen der letzten sechs Monate. Field Audit Trail (kostenpflichtig, Teil von Shield) protokolliert Feldänderungen auf Records.

Für die meisten Mittelständler reicht der Standard-Audit-Trail plus aktivierte Field History auf den fünf bis zehn wirklich kritischen Feldern. Field History speichert 18 Monate, danach archiviert per Big Object oder externer Ablage. Diese Konfiguration kostet nichts und ist im Audit Gold wert.

Im DSGVO-Audit zählt nicht, was Sie tun, sondern was Sie belegen können.

Löschketten richtig bauen

Die Speicherbegrenzung ist die unterschätzte Pflicht. Jedes Objekt braucht eine Aufbewahrungsfrist und einen Löschmechanismus. Ein Lead, der seit fünf Jahren nicht mehr angefasst wurde, gehört entweder konvertiert, anonymisiert oder gelöscht.

Ich baue Löschketten als geplante Apex-Jobs oder Scheduled Flows mit drei Stufen: Markierung nach Frist, Anonymisierung des Hauptdatensatzes (Name auf "anonymisiert", E-Mail auf null), endgültige Löschung der Aktivitäten nach weiterer Frist. Die Konfiguration dauert zwei Tage, danach läuft sie selbständig und produziert ein Audit-Log.

Wichtig: Löschung in Salesforce reicht nicht. Backups, Sandboxen, exportierte Reports, alles muss in die Löschkette. Sonst ist der Datensatz formal gelöscht, faktisch aber noch im System.

📬
Dieser Artikel gefällt Ihnen? Jeden Dienstag teile ich Praxiswissen zu Salesforce, CRM und Automatisierung. Kostenlos per Newsletter.

Der AV-Vertrag mit Salesforce

Salesforce stellt einen AV-Vertrag (Data Processing Addendum, DPA) bereit. Den müssen Sie aktiv anfordern und gegenzeichnen, sonst fehlt die Auftragsverarbeitungs-Grundlage komplett. Das DPA enthält die EU-Standardvertragsklauseln und regelt Sub-Auftragsverarbeiter.

Zwei Punkte werden oft übersehen. Erstens: Salesforce darf Sub-Auftragsverarbeiter wechseln, Sie müssen über diese Änderungen informiert sein und Widerspruch einlegen können. Prüfen Sie, wer die Salesforce-Sub-Liste in Ihrem Unternehmen tatsächlich überwacht. Zweitens: Das Audit-Recht im DPA ist eingeschränkt auf Berichte (SOC 2, ISO 27001), nicht auf physische Audits. Das ist marktüblich, aber muss Ihr Datenschutzbeauftragter wissen.

🔒
DSGVO-Hinweis: Wenn Sie Hyperforce in der EU-Region nutzen (Frankfurt), reduziert das den Drittlandtransfer erheblich, ersetzt aber nicht den AV-Vertrag. Die Standortwahl und der DPA sind zwei verschiedene Pflichten.

CRM-Checkliste für den Mittelstand Kostenlos

7 Punkte, die Sie vor jeder CRM-Entscheidung prüfen sollten. Kompakt, praxisnah, sofort anwendbar.

Kein Spam. Jederzeit abmeldbar.

Die häufigsten Audit-Findings

Aus den DSGVO-Audits, die ich begleitet habe, kommen immer dieselben Punkte:

  • Kein Verarbeitungsverzeichnis für die Salesforce-Verarbeitungen, oder eines aus 2020, das nie aktualisiert wurde.
  • Über-permissionierte Profile, jeder Sales User sieht alles. Verstößt gegen Datenminimierung.
  • Keine Löschkette für Leads, Kontakte und Aktivitäten. Daten liegen seit Jahren ohne Zweck.
  • AV-Vertrag nicht unterzeichnet oder nicht auffindbar. Aktivitäten ohne Rechtsgrundlage.
  • Externe Reports und Exporte in Slack, E-Mail, persönlichen Cloud-Ordnern. Schatten-Datenbestand außerhalb der Salesforce-Kontrolle.

Jeder dieser Punkte ist mit überschaubarem Aufwand behebbar. Aber alle gemeinsam, nach Jahren des Wegschauens, werden zum Großprojekt.

Ihre Checkliste für die nächsten 30 Tage

  • AV-Vertrag mit Salesforce prüfen, gegebenenfalls anfordern und gegenzeichnen.
  • Verarbeitungsverzeichnis-Eintrag für jede Salesforce-Verarbeitung schreiben oder aktualisieren.
  • Permission-Matrix exportieren und mit dem Datenschutzbeauftragten durchgehen. Sensible Felder identifizieren.
  • Setup Audit Trail dauerhaft aktivieren, Field History auf den kritischen fünf bis zehn Feldern.
  • Aufbewahrungsfristen pro Objekt definieren, mindestens als Word-Dokument. Löschkette als Folge-Aufgabe.
  • Hyperforce-Region prüfen. Falls noch US, Migrationspfad zur EU-Region klären.

Häufige Fragen

Ist Salesforce DSGVO-konform nutzbar?

Ja, technisch und vertraglich. Die DSGVO-Konformität liegt aber nicht bei Salesforce, sondern bei Ihnen als Verantwortlichem. Salesforce stellt die Werkzeuge, Sie müssen konfigurieren und dokumentieren.

Brauche ich einen AV-Vertrag mit Salesforce?

Zwingend. Ohne unterzeichneten AV-Vertrag verarbeiten Sie personenbezogene Daten ohne Rechtsgrundlage. Salesforce stellt den AV-Vertrag bereit, Sie müssen ihn aktiv anfordern und gegenzeichnen.

Wer haftet bei einem Datenschutzverstoß in Salesforce?

Der Verantwortliche, also Sie. Salesforce als Auftragsverarbeiter haftet nur für eigene Pflichtverletzungen aus dem AV-Vertrag. Für Konfiguration, Berechtigungen, Datenpflege und Löschkette sind Sie zuständig.

Was kostet ein DSGVO-Audit für Salesforce?

Für eine mittelgroße Org rechne ich mit drei bis fünf Beratertagen für die Inventur und das Verarbeitungsverzeichnis, also 4.500 bis 7.500 EUR netto. Die Umsetzung der Maßnahmen kommt obendrauf, hängt aber stark vom Ausgangszustand ab.

Reicht die Hyperforce-EU-Region für DSGVO?

Sie reduziert den Drittlandtransfer und damit das Risiko, ersetzt aber weder den AV-Vertrag noch das Verarbeitungsverzeichnis. EU-Region ist eine notwendige, keine hinreichende Bedingung.

Wenn Sie unsicher sind, wie DSGVO-fest Ihre Salesforce-Org wirklich ist, mache ich Ihnen einen strukturierten Datenschutz-Check. Pauschal-Festpreis, Ergebnis in drei Wochen. Sie bekommen ein Verarbeitungsverzeichnis, eine dokumentierte Permission-Matrix, eine Risiko-Liste mit priorisierten Maßnahmen und eine Vorlage für die Löschkette. Im Audit dann wissen Sie, was Sie sagen können.

Lassen Sie uns Ihren nächsten Salesforce-Schritt planen

Kostenloses Erstgespräch buchen
Salesforce Strategie & Planung
Teilen:
Julian Schiemann

Geschrieben von

Julian Schiemann

Senior IT-Berater mit über 10 Jahren Praxis-Erfahrung mit CRM Systemen. Mein Steckenfuchs: Klares & funktionales Design, effiziente Workflows und Beratung auf Augenhöhe.

11x Salesforce zertifiziert 10+ Jahre CRM-Erfahrung 50+ Projekte
Mehr über mich LinkedIn