Direkt zum Artikeltext springen

Inhalt in Kürze

  • Slack lässt sich DSGVO-konform betreiben – aber nicht ohne Vorbereitung. Es braucht einen AVV, die Prüfung der Datenresidenz und klare Regeln für Inhalte.
  • Der AVV ist Pflicht: Slack (Teil von Salesforce) ist Auftragsverarbeiter nach Art. 28 DSGVO. Schließen Sie den Vertrag ab und prüfen Sie Subprozessoren und Transferklauseln.
  • EU-Datenresidenz nur mit Enterprise Grid: Eine echte Speicherung von Nachrichteninhalten in der EU (Frankfurt) gibt es erst im Enterprise-Tarif. Standardtarife verarbeiten auch in den USA.
  • Betriebsrat einbinden: Weil Slack Nutzungsdaten auswerten kann, greift die Mitbestimmung nach § 87 BetrVG – vor der Einführung, nicht danach.

Slack ist in vielen Unternehmen das digitale Büro: Nachrichten, Dateien, Kundeninfos, halbe Projektentscheidungen laufen durch die Kanäle. Genau das macht das Tool datenschutzrechtlich heikel – denn in diesen Nachrichten stecken jede Menge personenbezogene Daten.

Slack ist ein US-Anbieter und gehört zu Salesforce. Damit gelten die üblichen Fragen: Wo liegen die Daten? Wer hat Zugriff? Und was ist mit den Beschäftigten? Die gute Nachricht: Slack ist DSGVO-konform nutzbar – mit den richtigen Einstellungen, einem sauberen AVV und der Einbindung des Betriebsrats.

Art. 28DSGVO – AVV mit Slack ist Pflicht
FrankfurtEU-Datenresidenz – nur mit Enterprise Grid
§ 87BetrVG – Mitbestimmung des Betriebsrats

Warum ist Slack datenschutzrechtlich sensibel?

Drei Punkte stehen bei Slack im Vordergrund:

  • Datentransfer in die USA: Ohne Enterprise-Datenresidenz werden Inhalte auch in US-Rechenzentren verarbeitet. Slack nutzt dafür das EU-US Data Privacy Framework, unter dem Salesforce zertifiziert ist – eine Rechtsgrundlage, die 2026 unter Druck steht.
  • Sehr viele personenbezogene Inhalte: Anders als ein reines Videotool sammelt Slack dauerhaft Text, Dateien und Verläufe. Ohne Aufbewahrungsregeln wächst dieser Datenberg unbegrenzt.
  • Auswertbarkeit: Slack liefert Nutzungsstatistiken und Zugriffslogs. Das ist praktisch fürs Admin – aber es macht Verhalten und Leistung der Beschäftigten auswertbar. Deshalb ist der Betriebsrat im Spiel.
Achtung – EU-Datenresidenz ist eine Tariffrage:

Viele glauben, ihre Slack-Daten lägen automatisch in der EU. Das stimmt nur mit Enterprise Grid und aktivierter Data-Residency-Option (etwa Frankfurt). In den Standardtarifen werden Nachrichteninhalte auch in den USA verarbeitet. Prüfen Sie vor dem Rollout, welchen Tarif Sie tatsächlich haben.

AVV mit Slack: Was Sie beachten müssen

Tipp:

Behalten Sie den Überblick über alle Ihre Auftragsverarbeiter. Unser kostenloser AVV-Check zeigt in wenigen Minuten, ob Ihre wichtigsten Verträge DSGVO-konform sind.

Ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht, sobald Sie Slack geschäftlich einsetzen. Slack stellt einen AVV bereit – schließen Sie ihn aktiv ab und prüfen Sie:

  • Subprozessoren: Welche Dienstleister setzt Slack ein, und in welchen Regionen sitzen sie?
  • Transferklauseln: Sind Standardvertragsklauseln (SCC) und das DPF-Zertifikat als Grundlage benannt?
  • Löschfristen: Wie lange bleiben Nachrichten, Dateien und gelöschte Konten erhalten?
  • Dokumentation: Ist die Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten festgehalten?

Welche Slack-Funktionen sind datenschutzrelevant?

FunktionDatenschutz-RisikoHandlungsbedarf
Nachrichten & DateienHochAufbewahrungsrichtlinie mit Löschfrist setzen
Slack AI (Zusammenfassungen)HochBewusst freigeben, Zweck und Datenflüsse prüfen
Nutzungsstatistiken / AnalyticsHochZweckbindung, Betriebsrat einbinden
Externe Kanäle (Slack Connect)HochFreigabe einschränken, AVV der Gegenseite klären
Drittanbieter-AppsHochWhitelist, je App eigenen AVV prüfen
Gäste- und externe ZugängeMittelNur bei Bedarf, Rechte begrenzen
Öffentliche KanäleNiedrigRegeln, welche Daten dort nichts zu suchen haben

Checkliste: die wichtigsten Slack-Einstellungen

  • Datenresidenz prüfen. Bei sensiblen Daten Enterprise Grid mit EU-Residency (Frankfurt) wählen.
  • Aufbewahrungsrichtlinie setzen. Nachrichten und Dateien nach fester Frist automatisch löschen – nicht alles ewig behalten.
  • Slack AI bewusst steuern und nur mit geklärter Rechtsgrundlage aktivieren.
  • Drittanbieter-Apps einschränken und nur geprüfte Integrationen zulassen.
  • Slack Connect und Gastzugänge begrenzen, damit keine Daten unkontrolliert nach außen fließen.
  • Zwei-Faktor-Authentifizierung für alle Mitglieder verpflichtend machen.
  • Nutzungsregeln kommunizieren: Welche personenbezogenen und vertraulichen Daten gehören nicht in Slack?

Betriebsrat: der oft vergessene Schritt

Slack kann Zugriffs- und Nutzungsdaten auswerten – und ist damit ein System, das Verhalten und Leistung überwachen könnte. Genau daran knüpft die Mitbestimmung an. Nach § 87 Abs. 1 Nr. 6 BetrVG muss der Betriebsrat vor der Einführung solcher Systeme beteiligt werden.

In der Praxis regelt man das über eine Betriebsvereinbarung: Welche Auswertungen sind erlaubt, welche nicht? Wer wird darüber informiert? Das schützt beide Seiten – und verhindert, dass ein an sich gutes Tool zum arbeitsrechtlichen Streitpunkt wird.

Aus der Praxis

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern – die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

Gerade bei Messaging-Tools zeigt sich das schnell: Wer für einen Konzern arbeitet, wird gefragt, wo die Kommunikation liegt. Dieselben Fragen stellen sich bei WhatsApp im Unternehmen und bei Microsoft Teams – nur die Schalter heißen anders.

Zusammenfassung: Slack DSGVO-konform einsetzen

Das Wichtigste auf einen Blick:

  • Slack ist DSGVO-konform nutzbar – aber nicht ohne AVV und Konfiguration.
  • Echte EU-Datenresidenz gibt es nur mit Enterprise Grid – prüfen Sie Ihren Tarif.
  • Setzen Sie Aufbewahrungsfristen und steuern Sie Slack AI, Apps und externe Kanäle bewusst.
  • Binden Sie den Betriebsrat nach § 87 BetrVG vor der Einführung ein.
  • Dokumentieren Sie alles im Verarbeitungsverzeichnis und in Ihren TOM.

Slack, Teams & Co. sauber aufgesetzt?

Wir prüfen Ihre Kollaborationstools und begleiten die Betriebsvereinbarung – DSGVO-konform und praxistauglich.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Ist Slack DSGVO-konform nutzbar?

Ja, aber nicht automatisch. Nötig sind ein Auftragsverarbeitungsvertrag (AVV), die Prüfung der Datenresidenz, ein bewusster Umgang mit personenbezogenen Inhalten und – bei Beschäftigtendaten – die Einbindung des Betriebsrats.

Brauche ich einen AVV mit Slack?

Ja. Slack ist Auftragsverarbeiter nach Art. 28 DSGVO. Slack (Teil von Salesforce) stellt einen AVV bereit, den Sie abschließen, dokumentieren und auf Subprozessoren und Transferklauseln prüfen sollten.

Werden Slack-Daten in der EU gespeichert?

Nur eingeschränkt. Eine echte EU-Datenresidenz für Nachrichteninhalte bietet Slack erst mit dem Tarif Enterprise Grid und aktivierter Residency-Option (z. B. Frankfurt). Standardtarife verarbeiten Daten auch in den USA.

Muss der Betriebsrat der Slack-Einführung zustimmen?

In der Regel ja. Slack kann Verhalten und Leistung von Beschäftigten auswerten (Nutzungsstatistiken, Zugriffslogs). Damit greift die Mitbestimmung nach § 87 BetrVG – der Betriebsrat ist vor der Einführung einzubinden.

Ist Slack AI datenschutzrechtlich unbedenklich?

Nein, nicht automatisch. Slack AI verarbeitet Nachrichteninhalte, um Zusammenfassungen und Antworten zu erzeugen. Prüfen Sie Zweck, Rechtsgrundlage und Datenflüsse und geben Sie die Funktion nur bewusst frei.

Slack ist nur ein Baustein Ihrer Tool-Compliance.

Mit Hugo DSB managen Sie AVV, technische und organisatorische Maßnahmen (TOMs), Betriebsvereinbarungen und Schulungen für Ihren gesamten Software-Stack — DSGVO-konform und nachweisbar.

Hugo DSB ab 79 €/Monat ansehen →

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.

TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Lieber erstmal schreiben? Kontaktformular