Salesfuchs Logo Salesfuchs
Erstgespräch buchen

Salesforce-Daten in der EU: Hyperforce, AV und Audit

Was Hyperforce-EU wirklich bedeutet, wo der AV-Vertrag Lücken lässt und wie ein belastbares EU-Daten-Konzept für Ihre Salesforce-Org aussieht.

· · 4 min Lesezeit
Salesforce-Daten in der EU: Hyperforce, AV und Audit
Salesforce-Daten in der EU: Hyperforce, AV-Vertrag und Audit sind kein optionales Beiwerk.

Der Datenschutzbeauftragte stellt im jährlichen Compliance-Check eine einfache Frage: Wo genau liegen unsere Salesforce-Daten? In welcher Region, mit welchen Sub-Auftragsverarbeitern, und für welchen Fall haben wir das Audit-Recht durchgesetzt? Drei Fragen, drei Wochen Recherche, am Ende keine klaren Antworten. Genau diese Lage haben die meisten Mittelständler 2026.

Salesforce hat mit Hyperforce eine EU-Region in Frankfurt aufgebaut. Das löst viele Probleme. Aber es löst nicht alle, und genau dort steckt der relevante Compliance-Aufwand. Dieser Artikel zeigt, was Hyperforce in der EU wirklich bedeutet, welche vertraglichen Lücken bleiben, was ein AV-Vertrag tatsächlich abdeckt und wie ein belastbares EU-Daten-Konzept für Ihre Salesforce-Org aussieht.

Hyperforce in der EU: Was wirklich in Frankfurt liegt

Hyperforce ist die neue Infrastruktur-Architektur von Salesforce, in der die Org-Datenbank, die Anwendungs-Server und der primäre Speicher in einer wählbaren AWS-Region liegen. Die EU-Region ist Frankfurt. Wenn Ihre Org auf Hyperforce-EU migriert ist, liegen die Standard-Daten (Konten, Kontakte, Opportunities, Aktivitäten, Cases) in Frankfurt.

Drei Einschränkungen muss man kennen. Erstens: Nicht jede Zusatzfunktion ist EU-lokalisiert. Marketing Cloud, bestimmte Einstein-Funktionen und Drittanbieter-Apps aus dem AppExchange können andere Regionen nutzen. Zweitens: Backups und Disaster Recovery liegen in der Regel in einer zweiten EU-Region (Paris oder Dublin), nicht außerhalb der EU. Drittens: Telemetrie- und Diagnose-Daten fließen für den Salesforce-Support teilweise zu globalen Teams.

Wenn Ihre Org noch nicht auf Hyperforce migriert ist, ist 2026 der richtige Zeitpunkt für die Planung. Mehr zum technischen Hintergrund habe ich in Salesforce Hyperforce: Was Admins und Nutzer wissen müssen beschrieben.

💡
Praxistipp: Lassen Sie sich von Salesforce schriftlich bestätigen, in welcher Region Ihre konkrete Org liegt. Diese Bestätigung gehört in Ihre DSGVO-Dokumentation. Eine generische "wir betreiben Hyperforce-EU"-Aussage reicht im Audit nicht.

Was der AV-Vertrag mit Salesforce abdeckt, und was nicht

Salesforce stellt einen aktuellen AV-Vertrag (Data Processing Addendum, DPA) bereit, der die EU-Standardvertragsklauseln enthält und Sub-Auftragsverarbeiter regelt. Den müssen Sie anfordern und gegenzeichnen, sonst fehlt die Auftragsverarbeitungsgrundlage komplett.

Drei Punkte werden in der Praxis übersehen:

  • Das Audit-Recht ist auf Berichte beschränkt (SOC 2 Type II, ISO 27001). Ein physisches Audit Ihrer Wahl wird in der Regel nicht gewährt, das ist marktüblich.
  • Sub-Auftragsverarbeiter dürfen wechseln. Salesforce informiert über Änderungen, aber Sie müssen aktiv prüfen und gegebenenfalls Widerspruch einlegen. In der Praxis macht das niemand, was im Audit problematisch wird.
  • Drittland-Transfers werden über Standardvertragsklauseln (SCC) abgesichert, ergänzt um ein Transfer Impact Assessment für Daten, die EU-Region verlassen können (Telemetrie, Marketing-Cloud-Nutzung außerhalb EU, Sub-Auftragsverarbeiter in den USA).
Hyperforce-EU senkt das Risiko. Es ersetzt nicht den AV-Vertrag, das Verarbeitungsverzeichnis und das Transfer Impact Assessment.

Transfer Impact Assessment, wann es Pflicht ist

Nach den Schrems-II-Vorgaben des EuGH ist bei jedem Drittland-Transfer ein Transfer Impact Assessment (TIA) zu erstellen. Wenn Ihre Salesforce-Daten ausschließlich in Hyperforce-EU liegen und auch keine Sub-Auftragsverarbeiter außerhalb der EU eingesetzt werden, könnte das theoretisch entfallen. In der Praxis treffen aber drei Bedingungen fast nie alle gleichzeitig zu:

  • Hyperforce-EU für die Standard-Org.
  • Keine Marketing Cloud, Einstein-Services oder AppExchange-Apps, die globale Regionen nutzen.
  • Salesforce-Support ohne Eskalation an Teams außerhalb der EU.

Realistisch ist immer mindestens eine Bedingung verletzt. Daher gilt: TIA dokumentieren, auch wenn das Restrisiko niedrig ist. Die Aufsichtsbehörde fragt im Audit gezielt danach.

📬
Dieser Artikel gefällt Ihnen? Jeden Dienstag teile ich Praxiswissen zu Salesforce, CRM und Automatisierung. Kostenlos per Newsletter.

Backups, Sandboxen, Exporte: Die unterschätzten Speicherorte

Salesforce-Daten verlassen die Hauptdatenbank an mehreren Stellen. Sandbox-Refreshes kopieren Produktivdaten in Test-Umgebungen, oft anonymisiert, oft aber auch nicht. Wöchentliche Daten-Exporte landen in OneDrive, Google Drive oder lokalen Ordnern. Reports werden per E-Mail verschickt. Diese "Daten-Schatten" sind in vielen Audits der dickste Befund.

Das Saubermachen ist nicht kompliziert, aber arbeitsintensiv. Pseudonymisierte Sandbox-Refreshes konfigurieren, Daten-Exporte als Audit-relevanten Prozess dokumentieren, E-Mail-Reports auf Aggregat-Niveau beschränken. Wer das einmal macht, hat im nächsten Audit weniger Erklärungsbedarf als 90 Prozent vergleichbarer Orgs.

CRM-Checkliste für den Mittelstand Kostenlos

7 Punkte, die Sie vor jeder CRM-Entscheidung prüfen sollten. Kompakt, praxisnah, sofort anwendbar.

Kein Spam. Jederzeit abmeldbar.

Setup Audit Trail als Rechenschafts-Werkzeug

Der Setup Audit Trail protokolliert alle Konfigurationsänderungen der letzten sechs Monate. Für DSGVO-Rechenschaft ist das eines der nützlichsten Werkzeuge. Sie können belegen, wann welche Rolle, welche Profile, welche Field-Level-Security verändert wurde, und durch wen.

Standard sind sechs Monate. Mit Shield Event Monitoring erweitern Sie das auf mindestens ein Jahr. Für hochregulierte Branchen lohnt Shield, für klassischen Mittelstand reichen die Standard-Logs plus ein vierteljährlicher Export in Ihre Audit-Dokumentation. Diese Exporte zu archivieren ist die kleinste sinnvolle Maßnahme.

Ihre EU-Compliance-Checkliste

  • Region der eigenen Org schriftlich bestätigen lassen und in der Doku ablegen.
  • AV-Vertrag mit Salesforce gegengezeichnet und auffindbar archiviert.
  • Transfer Impact Assessment für die tatsächlich genutzten Salesforce-Funktionen erstellen.
  • Sub-Auftragsverarbeiter-Liste prüfen, Änderungsbenachrichtigungen einrichten.
  • Sandbox-Refreshes pseudonymisieren oder auf reduzierte Datensätze beschränken.
  • Audit Trail vierteljährlich exportieren und in der DSGVO-Doku archivieren.

Häufige Fragen

Ist meine Salesforce-Org automatisch auf Hyperforce-EU?

Nein. Salesforce migriert Orgs in Wellen, abhängig von Region, Vertrag und Zustimmung. Lassen Sie sich aktiv bestätigen, ob Ihre Org bereits migriert ist und wenn nicht, wann das geplant ist.

Ist Schrems II noch relevant, wenn ich Hyperforce-EU nutze?

Ja, mindestens für die Funktionen, die EU-Region verlassen können (Support, Marketing Cloud, Einstein, AppExchange-Apps). Ohne Transfer Impact Assessment hat die Aufsichtsbehörde im Audit den ersten Hebel.

Was ist mit Sub-Auftragsverarbeitern in den USA?

Bleiben in vielen Konstellationen relevant, vor allem im Salesforce-Support-Kontext. Sie müssen das im AV-Vertrag und im TIA dokumentieren, plus die Standardvertragsklauseln nutzen.

Wer ist Verantwortlicher, ich oder Salesforce?

Für Ihre Salesforce-Daten sind Sie Verantwortlicher, Salesforce ist Auftragsverarbeiter. Diese Rollenverteilung bleibt unabhängig von der Region. Die Pflichten zur Rechenschaft liegen bei Ihnen.

Was kostet ein EU-Compliance-Check?

Für eine mittelgroße Org rechne ich mit zwei bis vier Beratertagen für den reinen Compliance-Check, plus optional Umsetzung. Der Check liefert die Doku, die Sie für das nächste Audit brauchen, plus eine priorisierte Maßnahmenliste.


Wenn Sie Ihre Salesforce-Daten EU-konform aufstellen wollen oder einen anstehenden DSGVO-Audit vorbereiten, mache ich Ihnen den Compliance-Check. Pauschal-Festpreis, Ergebnis in drei Wochen. Sie bekommen eine schriftliche Region-Bestätigung, einen geprüften AV-Vertrags-Status, ein Transfer Impact Assessment und eine priorisierte Maßnahmenliste. Im Audit sitzen Sie dann mit den Antworten, nicht mit den Fragen.

Lassen Sie uns Ihren nächsten Salesforce-Schritt planen

Kostenloses Erstgespräch buchen