Slack DSGVO-konform nutzen – AVV & Datenschutz
Slack DSGVO-konform im Unternehmen nutzen: AVV-Pflicht, EU-Datenresidenz, Betriebsrat und eine Checkliste mit den wichtigsten Einstellungen.
Weiterlesen
Im CRM steckt das Gedächtnis des Vertriebs: Namen, E-Mail-Adressen, Telefonnummern, Angebote, Gesprächsnotizen, Kaufhistorie. Alles personenbezogene Daten – und häufig mehr, als den Beteiligten bewusst ist.
Genau deshalb schaut die Aufsichtsbehörde bei einem CRM besonders genau hin. Ein falsch konfiguriertes System, fehlende Löschfunktionen oder eine unsaubere Marketing-Einwilligung sind schnell teuer. Die gute Nachricht: Die gängigen CRM-Systeme lassen sich DSGVO-konform betreiben – wenn drei Dinge stimmen.
Ein CRM verbindet mehrere kritische Themen in einem System:
Ob ein CRM DSGVO-konform ist, hängt an drei Punkten: (1) ein gültiger AVV nach Art. 28 DSGVO, (2) ein EU-Serverstandort und (3) zuverlässige Löschfunktionen nach Art. 17 DSGVO. Fehlt einer davon, ist der Rest zweitrangig.
Alle drei Wege sind gangbar – sie unterscheiden sich im Aufwand und im Serverstandort:
| Anbieter | Serverstandort (EU-Option) | Besonderheit |
|---|---|---|
| HubSpot | Frankfurt & Dublin | EU-Region muss bei Kontoerstellung gewählt werden |
| Salesforce | Frankfurt (AWS) | BSI C5 & ISO 27001, DPF-zertifiziert |
| Pipedrive | Frankfurt (AWS) | EU-Hosting, schlanker für kleine Teams |
| weclapp | Deutschland | Deutsche Server, ISO 27001, kein USA-Transfer |
| CentralStationCRM | Deutschland (Köln) | Bewusst DSGVO-fokussiert, deutscher Anbieter |
Auch mit EU-Rechenzentrum bleibt nicht jeder Datenfluss automatisch in Europa. Support, Betrieb, Sicherheitsanalysen oder Subprozessoren können weiterhin Drittlandbezug haben. Die US-Anbieter stützen den Transfer auf das EU-US Data Privacy Framework – eine Rechtsgrundlage, die 2026 unter Druck steht. Wer das vermeiden will, wählt einen deutschen Anbieter.
Behalten Sie den Überblick über alle Auftragsverarbeiter. Unser kostenloser AVV-Check zeigt in wenigen Minuten, ob Ihre wichtigsten Verträge DSGVO-konform sind.
Für jedes CRM brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). HubSpot und Salesforce stellen ihn bereit – prüfen Sie Subprozessoren, Transferklauseln und Löschfristen.
Genauso wichtig: ein Löschkonzept. Ihr CRM muss Kontakte samt Historie löschen können, wenn ein Betroffener das verlangt – im Rahmen der gesetzlichen Aufbewahrungsfristen. Halten Sie fest, welche Daten wann gelöscht werden, und dokumentieren Sie das im Verzeichnis von Verarbeitungstätigkeiten.
Der häufigste CRM-Fehler ist nicht der Serverstandort – es ist die Werbung. Wer Newsletter oder Kampagnen aus dem CRM verschickt, braucht eine wirksame Einwilligung oder eine andere Rechtsgrundlage. Und jeder Kontakt darf der Werbung jederzeit widersprechen (Art. 21 DSGVO).
Praktisch heißt das: Einwilligungen im CRM revisionssicher dokumentieren, Abmeldungen sofort umsetzen und keine gekauften Adresslisten einspielen. Ein CRM, das Werbeeinwilligungen sauber verwaltet, erspart Ihnen die teuersten Abmahnungen.
Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff.
In einem CRM liegen genau die Daten, die solche Angriffe erst wertvoll machen: wer mit wem worüber spricht. Umso wichtiger sind Zugriffsrechte, Zwei-Faktor-Authentifizierung und ein Bewusstsein dafür, welche Informationen dort wirklich hingehören.
Das Wichtigste auf einen Blick:
Ihr CRM wirklich DSGVO-konform?
Wir prüfen Serverstandort, AVV, Löschkonzept und Einwilligungen – und machen Ihren Vertrieb rechtssicher.
Kostenloses Erstgespräch buchen →HubSpot ist DSGVO-konform nutzbar. Sie brauchen einen AVV, müssen bei der Kontoerstellung die EU-Datenregion wählen (Frankfurt/Dublin) und Löschfunktionen nach Art. 17 DSGVO einrichten. Nicht jeder Datenfluss (Support, Subprozessoren) bleibt automatisch in der EU.
Ja, bei richtiger Konfiguration. Salesforce betreibt ein Rechenzentrum in Frankfurt, ist unter dem EU-US Data Privacy Framework zertifiziert und stellt einen AVV bereit. Serverstandort, AVV und Löschkonzept müssen aktiv gesetzt werden.
Auf drei Dinge: einen gültigen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, einen EU-Serverstandort und funktionierende Löschfunktionen nach Art. 17 DSGVO. Dazu kommen saubere Marketing-Einwilligungen und ein Berechtigungskonzept.
Ja. Anbieter wie weclapp oder CentralStationCRM betreiben ihre Server in Deutschland und vermeiden so den USA-Transfer. Auch Pipedrive und HubSpot bieten EU-Hosting in Frankfurt. Entscheidend bleibt die konkrete Konfiguration.
Ja. Nach Art. 17 DSGVO haben Betroffene ein Recht auf Löschung. Ihr CRM muss Kontakte samt Historie zuverlässig löschen können – im Rahmen gesetzlicher Aufbewahrungsfristen. Ein dokumentiertes Löschkonzept ist Pflicht.
Das CRM ist nur ein Baustein Ihrer Datenschutz-Compliance.
Mit Hugo DSB managen Sie AVV, Löschkonzepte, technische und organisatorische Maßnahmen (TOMs) und Schulungen für Ihren gesamten Software-Stack — DSGVO-konform und nachweisbar.
Hugo DSB ab 79 €/Monat ansehen →Inhaltsverzeichnis
Slack DSGVO-konform im Unternehmen nutzen: AVV-Pflicht, EU-Datenresidenz, Betriebsrat und eine Checkliste mit den wichtigsten Einstellungen.
Weiterlesen
Zoom DSGVO-konform nutzen: AVV-Pflicht, EU-Datenspeicherung, kritische Funktionen und eine Checkliste mit den wichtigsten Einstellungen für Unternehmen.
Weiterlesen
AVV nach DSGVO Art. 28 richtig erstellen: Pflichtinhalte, häufige Fehler und Praxistipps für KMU – mit Muster-Übersicht.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular