CRM DSGVO-konform nutzen – HubSpot, Salesforce & Co.
CRM DSGVO-konform nutzen: AVV, EU-Serverstandort, Löschkonzept und Marketing-Einwilligung – mit Vergleich von HubSpot, Salesforce und deutschen Alternativen.
Weiterlesen
Slack ist in vielen Unternehmen das digitale Büro: Nachrichten, Dateien, Kundeninfos, halbe Projektentscheidungen laufen durch die Kanäle. Genau das macht das Tool datenschutzrechtlich heikel – denn in diesen Nachrichten stecken jede Menge personenbezogene Daten.
Slack ist ein US-Anbieter und gehört zu Salesforce. Damit gelten die üblichen Fragen: Wo liegen die Daten? Wer hat Zugriff? Und was ist mit den Beschäftigten? Die gute Nachricht: Slack ist DSGVO-konform nutzbar – mit den richtigen Einstellungen, einem sauberen AVV und der Einbindung des Betriebsrats.
Drei Punkte stehen bei Slack im Vordergrund:
Viele glauben, ihre Slack-Daten lägen automatisch in der EU. Das stimmt nur mit Enterprise Grid und aktivierter Data-Residency-Option (etwa Frankfurt). In den Standardtarifen werden Nachrichteninhalte auch in den USA verarbeitet. Prüfen Sie vor dem Rollout, welchen Tarif Sie tatsächlich haben.
Behalten Sie den Überblick über alle Ihre Auftragsverarbeiter. Unser kostenloser AVV-Check zeigt in wenigen Minuten, ob Ihre wichtigsten Verträge DSGVO-konform sind.
Ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht, sobald Sie Slack geschäftlich einsetzen. Slack stellt einen AVV bereit – schließen Sie ihn aktiv ab und prüfen Sie:
| Funktion | Datenschutz-Risiko | Handlungsbedarf |
|---|---|---|
| Nachrichten & Dateien | Hoch | Aufbewahrungsrichtlinie mit Löschfrist setzen |
| Slack AI (Zusammenfassungen) | Hoch | Bewusst freigeben, Zweck und Datenflüsse prüfen |
| Nutzungsstatistiken / Analytics | Hoch | Zweckbindung, Betriebsrat einbinden |
| Externe Kanäle (Slack Connect) | Hoch | Freigabe einschränken, AVV der Gegenseite klären |
| Drittanbieter-Apps | Hoch | Whitelist, je App eigenen AVV prüfen |
| Gäste- und externe Zugänge | Mittel | Nur bei Bedarf, Rechte begrenzen |
| Öffentliche Kanäle | Niedrig | Regeln, welche Daten dort nichts zu suchen haben |
Slack kann Zugriffs- und Nutzungsdaten auswerten – und ist damit ein System, das Verhalten und Leistung überwachen könnte. Genau daran knüpft die Mitbestimmung an. Nach § 87 Abs. 1 Nr. 6 BetrVG muss der Betriebsrat vor der Einführung solcher Systeme beteiligt werden.
In der Praxis regelt man das über eine Betriebsvereinbarung: Welche Auswertungen sind erlaubt, welche nicht? Wer wird darüber informiert? Das schützt beide Seiten – und verhindert, dass ein an sich gutes Tool zum arbeitsrechtlichen Streitpunkt wird.
Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern – die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz.
Gerade bei Messaging-Tools zeigt sich das schnell: Wer für einen Konzern arbeitet, wird gefragt, wo die Kommunikation liegt. Dieselben Fragen stellen sich bei WhatsApp im Unternehmen und bei Microsoft Teams – nur die Schalter heißen anders.
Das Wichtigste auf einen Blick:
Slack, Teams & Co. sauber aufgesetzt?
Wir prüfen Ihre Kollaborationstools und begleiten die Betriebsvereinbarung – DSGVO-konform und praxistauglich.
Kostenloses Erstgespräch buchen →Ja, aber nicht automatisch. Nötig sind ein Auftragsverarbeitungsvertrag (AVV), die Prüfung der Datenresidenz, ein bewusster Umgang mit personenbezogenen Inhalten und – bei Beschäftigtendaten – die Einbindung des Betriebsrats.
Ja. Slack ist Auftragsverarbeiter nach Art. 28 DSGVO. Slack (Teil von Salesforce) stellt einen AVV bereit, den Sie abschließen, dokumentieren und auf Subprozessoren und Transferklauseln prüfen sollten.
Nur eingeschränkt. Eine echte EU-Datenresidenz für Nachrichteninhalte bietet Slack erst mit dem Tarif Enterprise Grid und aktivierter Residency-Option (z. B. Frankfurt). Standardtarife verarbeiten Daten auch in den USA.
In der Regel ja. Slack kann Verhalten und Leistung von Beschäftigten auswerten (Nutzungsstatistiken, Zugriffslogs). Damit greift die Mitbestimmung nach § 87 BetrVG – der Betriebsrat ist vor der Einführung einzubinden.
Nein, nicht automatisch. Slack AI verarbeitet Nachrichteninhalte, um Zusammenfassungen und Antworten zu erzeugen. Prüfen Sie Zweck, Rechtsgrundlage und Datenflüsse und geben Sie die Funktion nur bewusst frei.
Slack ist nur ein Baustein Ihrer Tool-Compliance.
Mit Hugo DSB managen Sie AVV, technische und organisatorische Maßnahmen (TOMs), Betriebsvereinbarungen und Schulungen für Ihren gesamten Software-Stack — DSGVO-konform und nachweisbar.
Hugo DSB ab 79 €/Monat ansehen →Inhaltsverzeichnis
CRM DSGVO-konform nutzen: AVV, EU-Serverstandort, Löschkonzept und Marketing-Einwilligung – mit Vergleich von HubSpot, Salesforce und deutschen Alternativen.
Weiterlesen
Zoom DSGVO-konform nutzen: AVV-Pflicht, EU-Datenspeicherung, kritische Funktionen und eine Checkliste mit den wichtigsten Einstellungen für Unternehmen.
Weiterlesen
AVV nach DSGVO Art. 28 richtig erstellen: Pflichtinhalte, häufige Fehler und Praxistipps für KMU – mit Muster-Übersicht.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular