Kann Salesforce für Non-Profits trotz US-Herkunft datenschutzkonform und souverän betrieben werden?

Viele Non-Profit-Organisationen in der DACH-Region stellen sich vor einer CRM-Entscheidung dieselbe Frage: Können wir eine US-amerikanische Plattform wie Salesforce überhaupt verantwortungsvoll einsetzen? Diese Sorge ist nachvollziehbar, denn DSGVO, CLOUD Act, internationale Datentransfers, KI-Nutzung und sensible Spender:innendaten sind keine Nebenthemen. Gerade Non-Profits arbeiten mit hohem Vertrauen und oft mit besonders sensiblen Beziehungen, weshalb Datenschutz über eine rechtliche Anforderung hinausgeht und zur Glaubwürdigkeit einer Organisation beiträgt. Gleichzeitig greift die pauschale Aussage „Nur EU-Software ist wirklich sicher“ aus unserer Sicht zu kurz. Für digitale Souveränität ist die Art, wie eine Plattform betrieben, konfiguriert, abgesichert und organisatorisch eingebettet wird wichtiger als der Firmensitz eines Anbieters. Deswegen lohnt sich ein differenzierter Blick auf Salesforce.

Souveränität ist mehr als Datenstandort

Natürlich ist die Datenresidenz wichtig, da Organisationen wissen möchten, wo ihre Daten gespeichert und verarbeitet werden. Mit Hyperforce und der EU Operating Zone bietet Salesforce Möglichkeiten, Kundendaten in der EU zu speichern und zu verarbeiten, ein wichtiger Baustein, aber nicht der einzige. Es sollte auch darauf geachtet werden, wer Zugriff auf die Daten hat, wie diese verschlüsselt werden, welche Prozesse bei Supportfällen greifen und wie Auskunfts-, Lösch- und Aufbewahrungspflichten im Alltag umgesetzt werden.

Kontrolle über Schlüssel und Zugriffe

Wie eben genannt ist die Datenverschlüsselung ein zentraler Punkt für digitale Souveränität. Mit Salesforce “Shield Platform Encryption” und “Bring Your Own Key” können Organisationen eigenes Schlüsselmaterial einbringen und verwalten. Dadurch können Schlüssel rotiert und über Key-Management-Funktionen gesteuert werden. Für Non-Profits ist dies relevant, weil sich die Diskussion damit verschiebt. Weg vom Datenspeicherort hin zur Frage, welcher Anbieter technisch in der Lage ist, Daten zu entschlüsseln und unter welchen Bedingungen ein Zugriff darauf möglich ist. Das macht Salesforce nicht automatisch für jede Organisation zur richtigen Lösung aber verdeutlicht, dass eine US-Herkunft nicht automatisch Kontrollverlust bedeutet.

Transparenz statt Black Box

Ein häufiges Argument gegen US-Plattformen betrifft Behördenanfragen und ist eine Sorge, die ernstgenommen werden sollte. Um diese Sorge aufzulösen, bedarf es klarer Governance, Transparenz und dokumentierte Prozesse. Salesforce veröffentlicht Transparenzberichte zu behördlichen Anfragen und beschreibt eigene Prinzipien für den Umgang mit solchen Anfragen. Dazu gehört unter anderem, Kund:innen zu benachrichtigen, sofern dies rechtlich zulässig ist, und überzogene Anfragen anzufechten.

Für Organisationen bedeutet das, darauf zu achten, dass solche Themen nicht abstrakt diskutiert werden und in die Governance zu schauen: Wer wird informiert? Wer bewertet Risiken? Wie werden Anfragen dokumentiert? Welche Eskalationswege gelten? Und wie werden diese Prozesse in den technischen und organisatorischen Maßnahmen abgebildet? Souveränität entsteht, wenn Risiken bekannt, bewertet und steuerbar gemacht werden.

DSGVO im Alltag: nicht nur auf dem Papier

Ein weiterer wichtiger Punkt ist die praktische Datenschutzarbeit, denn DSGVO-Konformität entscheidet sich nicht nur im Vertrag sondern ebenso im Betrieb. Salesforce verweist auf die Einhaltung des EU “Cloud Code of Conduct”. Dieser Code soll Cloud-Anbietern helfen, ihre DSGVO-Konformität nachzuweisen und ist ein anerkannter Mechanismus im Kontext von Artikel 40 DSGVO. Zusätzlich bietet Salesforce mit dem Privacy Center Funktionen für Datenschutzprozesse im Alltag. Dazu gehören unter anderem das Verwalten von Einwilligungen, das Löschen überschüssiger Daten, die Unterstützung von Auskunftsersuchen und Prozesse rund um das Recht auf Vergessenwerden.

Gerade für Non-Profits ist das ein relevanter Faktor, denn viele Organisationen stehen sowohl vor technischen als auch organisatorischen Herausforderungen: Daten liegen in verschiedenen Systemen, Einwilligungen sind historisch gewachsen, Löschfristen sind nicht einheitlich dokumentiert oder Auskunftsanfragen erfordern viel manuelle Arbeit. Zwar kann eine Plattform diese Verantwortung nicht abnehmen, dafür aber dabei helfen, Datenschutzprozesse besser zu strukturieren.

KI sicher nutzen

Ebenso wächst der Druck beim Thema KI. Während viele Organisationen künstliche Intelligenz für sich nutzen möchten bestehen Sorgen vor Datenabflüssen oder unkontrollierter Verarbeitung sensibler Informationen. Als Sicherheitsarchitektur für generative KI positioniert den “Einstein Trust Layer”. In dieser Architektur inbegriffen sind unter anderem Datenmaskierung, Null-Datenaufbewahrung und Kontrollmechanismen, damit Organisationen KI nutzen können, ohne ihre Sicherheitsstandards aufzugeben.

Auch bei diesem Thema gilt: KI wird nicht automatisch sicher, nur weil eine Plattform entsprechende Funktionen anbietet. Entscheidende Faktoren sind Rollen, Berechtigungen, Datenklassifizierung, Freigabeprozesse und Monitoring. Genau dafür bringt Salesforce die Bausteine mit, die eine verantwortungsvolle Nutzung unterstützen können.

© ANT-Informatik AG

Internationale Datentransfers bleiben ein Prüfungsthema

Der rechtliche Rahmen für internationalen Datentransfers wird durch das EU-US Data Privacy Framework gesetzt. Zusätzlich verweist Salesforce auf weitere Transfermechanismen wie Standardvertragsklauseln und Binding Corporate Rules und doch sollten Organisation Anbieter genau prüfen. Gerade im Non-Profit-Bereich muss darauf geachtet werden, dass Datenflüsse, Subdienstleister, Supportprozesse, Transfer Impact Assessments und vertragliche Grundlagen sauber dokumentiert werden. Unsere Empfehlung an NPOs ist deshalb prüffähig statt pauschal zu entscheiden.

Was das für Non-Profits bedeutet

Aus Sicht der ANT ist Salesforce für viele Non-Profit-Organisationen eine ernstzunehmende Option, auch mit Blick auf Datenschutz und digitale Souveränität, eben weil sich viele zentrale Anforderungen durch Architektur, Verschlüsselung, EU-Betriebsoptionen, Governance und Datenschutzwerkzeuge systematisch adressieren lassen.

Für ein souveränes Setup sollten aus unserer Sicht mindestens diese Punkte berücksichtig werden:

• EU-Datenresidenz über Hyperforce und EU Operating Zone
• klare Verschlüsselungsstrategie mit Shield Platform Encryption und BYOK
• dokumentierte Datenflüsse und Supportprozesse
• Privacy Center für Einwilligungen, Aufbewahrung, Löschung und Auskunftsanfragen
• Rollen- und Berechtigungskonzepte
• Audit-Trails und Monitoring
• saubere Einbindung in Verarbeitungsverzeichnis, TOMs und Risikodokumentation
• rechtliche Prüfung von Transfers, Verträgen und Subdienstleistern

Unser Fazit

Salesforce ist nicht automatisch die richtige Wahl für jede Non-Profit-Organisation aber auch nicht automatisch ungeeignet, nur weil das Unternehmen aus den USA kommt. Wie schon betont ist der Standort des Anbieters weniger relevant als die Frage, ob die Plattform so betrieben werden kann, dass Datenresidenz, Zugriffskontrolle, Verschlüsselung, Governance, Transparenz und Datenschutzprozesse zu den Anforderungen der eigenen Organisation passen. Wenn diese Fragen sauber beantwortet werden, kann Salesforce auch für Organisationen in der DACH-Region eine tragfähige und souveräne Plattform sein. Aus Sicht der ANT ist der einzig richtige Weg eine Architektur zu schaffen, die fachlich stark, rechtlich prüffähig und organisatorisch tragfähig ist und nicht zu versuchen, einfache Antworten auf komplexe Datenschutz Fragen zu geben.

Hinweis: Dieser Beitrag ersetzt keine Rechtsberatung. Für eine verbindliche Bewertung sollten Organisationen ihre Datenschutzbeauftragten, Rechtsabteilungen oder externe Kanzleien einbeziehen.