Ist Slack DSGVO-konform?
Die kurze Antwort vorweg: Slack kann DSGVO-konform eingesetzt werden, wobei das aber nicht automatisch passiert. Als Auftragsverarbeiter (Art. 28 DSGVO) schafft Slack die technischen Voraussetzungen, doch die Verantwortung liegt bei deinem Unternehmen. Entscheidend hierbei sind drei Dinge: Dein Unternehmen unterzeichnet den AVV/DPA, konfiguriert die Datenschutzoptionen passend zu dem gebuchten Plan und bindet, falls erforderlich, den Betriebsrat ein. Klingt doch machbar, oder? Ist es auch, wenn man weiß, worauf es ankommt. Was das konkret bedeutet, erklären wir dir in diesem Artikel Schritt für Schritt.
Rechtsgrundlagen: Was Unternehmen über Slack und die DSGVO wissen müssen
Folgende drei rechtliche Grundpfeiler ermöglichen den Einsatz von Slack in Deutschland und machen ihn, wenn sie sauber umgesetzt sind, nachvollziehbar und sicher:
Das Data Processing Agreement (DPA), auf Deutsch der Auftragsverarbeitungsvertrag (AVV), schließt ein Unternehmen mit einem externen Dienstleister ab, wenn es ihn veranlasst, personenbezogene Daten zu verarbeiten. Die EU-Datenschutz-Grundverordnung (DSGVO) legt diese rechtlichen Vorschriften fest. Die Vereinbarungen im DPA bestimmen, was mit den Daten passieren darf und was nicht. Nach Art. 28 DSGVO dürfen Unternehmen nur mit Auftragsverarbeitern zusammenarbeiten, die auch genügend Garantien für den Datenschutz bieten. Diese Garantien müssen schriftlich (oder elektronisch) im AVV geregelt sein. Das AVV von Slack kannst du über das Slack-Admin-Panel einsehen.
Das EU-US Data Privacy Framework (in Kraft seit Juli 2023 als Nachfolger des Privacy Shield) ermöglicht die Übermittlung von personenbezogenen Daten aus der EU an am Programm teilnehmende und zertifizierte Unternehmen, die ihren Sitz in den USA haben. Ergänzend kommen die Standard Contractual Clauses (SCCs) zum Einsatz, die als vertragliches Sicherheitsnetz gelten, falls das Framework künftig rechtlich angefochten oder für ungültig erklärt wird. In der Praxis kombinieren viele Unternehmen beide Instrumente, um langfristig stabil aufgestellt zu sein.
Darüber hinaus gibt es das Transfer Impact Assessment (TIA): Deutsche Unternehmen müssen dokumentieren, ob und wie das Datenschutzniveau im Empfängerland gewahrt bleibt. Dabei spielt insbesondere der CLOUD Act eine Rolle, der unter bestimmten Voraussetzungen den Zugriff von US-Behörden ermöglichen kann. Ein TIA bewertet diese Risiken und hält fest, welche technischen und organisatorischen Maßnahmen ihnen entgegenwirken.
Diese Bausteine reduzieren Risiken erheblich, ersetzen aber nicht die eigene Sorgfalt. Richtig umgesetzt schaffen sie jedoch eine Grundlage für den datenschutzkonformen Einsatz. Ein zusätzliches Signal für den deutschen Markt ist die Ausrichtung an Standards wie der BSI-C5-Zertifizierung, die besonders Transparenz und geprüfte Sicherheitsprozesse in den Fokus rückt.
AVV, SCCs, DPF und TIA: Die vier Bausteine der Rechtskonformität
Es geht in puncto Rechtskonformität allerdings nicht nur um Theorie, sondern um klare, umsetzbare Schritte. Hier ist ein Mini-Glossar, das dich zielgerichtet weiterbringt:
- AVV / DPA: Der AVV ist der Vertrag, der regelt, wie Slack deine Unternehmensdaten in deinem Auftrag verarbeitet. Konkret heißt das für dich: im Admin-Panel den AVV aktiv bestätigen und dokumentieren. Du findest ihn direkt in den Workspace- und Organisationseinstellungen, wo du deine Compliance-Einstellungen verwaltest.
- DPF (EU-US Data Privacy Framework): Das EU-US Data Privacy Framework ermöglicht Datentransfers an zertifizierte US-Anbieter auf Basis eines Angemessenheitsbeschlusses. Praktisch bedeutet das: Du prüfst, ob der Anbieter (wie Slack) entsprechend zertifiziert ist, und hältst diese Grundlage in deiner Datenschutzdokumentation fest.
- SCCs (Standard Contractual Clauses): Die SCCs sind standardisierte Vertragsklauseln, die die EU-Kommission für internationale Datentransfers festgelegt hat. Konkret für dich heißt das: Prüfe, ob dein AVV mit Slack entsprechende SCC-Klauseln enthält, und halte diese als vertragliches Sicherheitsnetz in deiner Datenschutzdokumentation fest. Die SCCs sind besonders wichtig für den Fall, dass das EU-US DPF künftig rechtlich angefochten oder für ungültig erklärt wird.
- TIA (Transfer Impact Assessment): Das TIA ist die dokumentierte Prüfung, ob das Schutzniveau bei einer Datenübermittlung in ein Drittland tatsächlich gewahrt bleibt. Bewerte und halte schriftlich fest, welche rechtlichen Risiken bestehen, etwa mit Blick auf mögliche Zugriffe durch US-Behörden. Dokumentiere zudem, welche technischen und organisatorischen Maßnahmen dem entgegenwirken. Das TIA ist Teil deiner internen Datenschutz- und Compliance-Dokumentation.
| Mechanismus | Bedeutung für Unternehmen |
|---|---|
| DPF | Ermöglicht Datenübermittlungen in die USA auf Basis eines Angemessenheitsbeschlusses |
| SCCs | Sie dienen als vertragliche Absicherung und als zusätzliches Sicherheitsnetz |
| AVV/DPA | Regelt verbindlich die Auftragsverarbeitung und ist gesetzlich erforderlich |
| TIA | Dokumentiert, ob das Datenschutzniveau bei internationalen Transfers im Ergebnis gewahrt bleibt |
Welcher Plan ist wirklich DSGVO-konform? Ein Vergleich
Die wichtigste Erkenntnis vorweg: Die DSGVO-Konformität von Slack hängt nicht nur davon ab, was du konfigurierst, sondern auch davon, welchen Plan du nutzt. Bestimmte Sicherheits- und Compliance-Funktionen sind schlicht nicht in allen Varianten verfügbar. Wer hier bewusst auswählt, spart später einiges an Aufwand.
| Funktion | Free/Pro | Business+ | Enterprise Grid |
|---|---|---|---|
| SAML SSO | ✕ | ✓ | ✓ |
| Datenresidenz EU (Frankfurt) | ✕ | ✓ | ✓ |
| Enterprise Key Management | ✕ | ✕ | ✓ |
| Vollständiger Nachrichtenexport | Eingeschränkt | ✓ | ✓ |
| Audit Logs API | ✕ | ✓ | ✓ |
| Nativer DLP | ✕ | Eingeschränkt | ✓ |
Was bedeutet das konkret? Für deutsche Unternehmen, die mit personenbezogenen Daten von Mitarbeitenden oder Kund:innen arbeiten, ist Business+ das empfohlene Minimum. Hier sind zentrale Funktionen wie SSO, Audit Logs und Datenresidenz verfügbar, also genau die Bausteine, die du für eine belastbare Datenschutzstrategie brauchst.
Enterprise Grid wird dann relevant, wenn du weitergehende Kontrolle brauchst: etwa durch Enterprise Key Management oder umfassende Audit- und Integrationsmöglichkeiten bei größeren Unternehmen.
Die kostenlose Version kann für erste Tests sinnvoll sein. Für echte Compliance reicht sie jedoch nicht aus. Viele grundlegende Funktionen gibt es nur in den kostenpflichtigen Plänen oder sie sind nur eingeschränkt vorhanden.
Ein letzter Punkt, der oft übersehen wird: Slack entwickelt seine Pläne laufend weiter. Prüfe diese Übersicht daher immer gegen die offizielle Preisseite, bevor du sie als Entscheidungsgrundlage nutzt.
Slack DSGVO-konform einrichten: 8 Schritte für deutsche Unternehmen
Hier aber die gute Nachricht vorweg: DSGVO-Konformität mit Slack ist kein Projekt, das nur für Großkonzerne relevant ist. Mit der richtigen Struktur lässt sich das auch in kleinen und mittleren Unternehmen gut umsetzen. Slack stellt die Werkzeuge dafür schon bereit; die Konfiguration liegt in der Verantwortung der Administrator:innen (Shared Responsibility Model). Dieses Setup zeigt dir Schritt für Schritt, wie du dabei vorgehen kannst:
- AVV mit Slack abschließen
Schließe den AVV (DPA) direkt im Admin-Panel ab und dokumentiere ihn intern. Ohne diesen Vertrag fehlt die rechtliche Grundlage für die Nutzung.
- Datenresidenz auf Frankfurt (EU) konfigurieren
Stelle die Datenresidenz auf Frankfurt (EU), um die Datenverarbeitung geografisch näher an den europäischen Rechtsrahmen zu bringen.
- Betriebsrat einbinden
In Deutschland ist es nach § 87 Nr. 6 BetrVG eine gesetzliche Anforderung, bei technischen Systemen, die potenziell Verhalten oder Leistung von Mitarbeitenden überwachen können, den Betriebsrat mitbestimmen zu lassen. Zu diesen Tools gehört auch eine Kollaborations-App wie Slack. Konkret bedeutet das also, dass du, bevor Slack eingeführt oder wesentlich konfiguriert wird (z. B. bei Logging, Exporten oder Integrationen), eine Betriebsvereinbarung ausarbeiten solltest. Denn diese legt fest, was erlaubt ist und was nicht.
Es geht nicht darum, Innovation zu bremsen, sondern Vertrauen zu schaffen. Eine saubere Abstimmung reduziert spätere Konflikte erheblich und gibt allen Beteiligten Klarheit im Umgang mit dem Tool.
- DSFA prüfen und ggf. durchführen
Überprüfe, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO erforderlich ist. Dies ist insbesondere bei umfangreicher Verarbeitung personenbezogener Daten nötig.
- Datenschutzerklärung aktualisieren
Nenne Slack transparent in deiner Datenschutzerklärung gemäß Art. 13/14 DSGVO.
- VVT ergänzen
Nimm Slack in dein Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO auf.
- Aufbewahrungsrichtlinien festlegen
Definiere klare Löschfristen, etwa die automatische Löschung von Nachrichten nach 90 Tagen, abgestimmt auf deine Compliance-Anforderungen.
- Mitarbeitende schulen
Kommuniziere klare Nutzungsrichtlinien und sensibilisiere deine Teams für den Umgang mit personenbezogenen Daten im Arbeitsalltag.
Wenn du diese Schritte strukturiert umsetzt, entsteht kein bürokratisches Monster, sondern ein tragfähiges Setup, das pragmatisch, nachvollziehbar und rechtlich belastbar ist.
Slack KI und Datenschutz: Was 2024 passiert ist und was du jetzt tun solltest
Im Mai 2024 diskutierte die Öffentlichkeit, wie Slack Kundendaten für Machine-Learning-Modelle nutzte. Konkret ging es darum, dass Slack Kundendaten, darunter Nachrichten und Dateien, für das Training von ML-Modellen (z. B. für Suche, Vorschläge oder Emojis) nutzte. Das Problem: Benutzer:innen waren dabei standardmäßig eingeschlossen. Ein Opt-out war zwar möglich, wurde aber nicht automatisch aktiviert. Wer seine Daten schützen wollte, musste aktiv eine Anfrage stellen. Genau das war vielen nicht bekannt, was bei Benutzer:innen und in der Presse zu massiver Kritik führte.
Slack reagierte darauf und schärfte seine Datenschutzprinzipien nach. Heute findet eine klare Unterscheidung statt: Nicht-generative ML-Funktionen (wie Suche oder Autovervollständigung) nutzen weiterhin aggregierte, de-identifizierte Daten. Generative Funktionen unter Slack AI hingegen basieren auf Drittanbieter-LLMs, werden aber nicht mit Kundendaten trainiert. Diese Trennung gilt als ein wichtiger Schritt hin zu mehr Transparenz und Kontrolle.
Was heißt das für dich in der Praxis? Der Opt-out für die Nutzung von Daten in ML-Modellen erfolgt nicht automatisch. Administrator:innen müssen selbst aktiv werden und eine entsprechende Anfrage über die offiziellen Slack-Channels stellen. Da Slack seine Datenschutzprozesse kontinuierlich weiterentwickelt, empfehlen wir, den genauen Ablauf und die aktuellen Kontaktpunkte direkt in der offiziellen Slack-Dokumentation nachzuschlagen. Dort findest du immer den neuesten Stand.
Aus DSGVO-Sicht bleibt ein Punkt zentral: das Prinzip der Datenminimierung nach Artikel 5 DSGVO. Auch de-identifizierte Daten können, je nach Kontext und Sensibilität, kritisch sein, insbesondere für Unternehmen mit hohen Vertraulichkeitsanforderungen.
Die gute Nachricht ist aber, dass KI in Slack mit einer Architektur arbeitet, die Datenzugriffe klar trennt (z. B. über Retrieval-Mechanismen statt Modelltraining). Trotzdem gilt: Wer letzten Endes sichergehen will, sollte den Opt-out aktiv setzen und die eigene Konfiguration regelmäßig überprüfen.
Fazit
Slack ist eine tragfähige Option für deutsche Unternehmen, vorausgesetzt, die richtigen Einstellungen und Prozesse sind sauber umgesetzt. Entscheidend ist, Compliance nicht als einmalige Aufgabe zu sehen, sondern als fortlaufenden Prozess, der mit den rechtlichen und technologischen Entwicklungen Schritt hält, und das insbesondere im Bereich von KI. Falls du tiefer einsteigen möchtest, schau dir die FAQ an oder besuche die offizielle Compliance-Seite für aktuelle Updates.
Super!
Vielen Dank für dein Feedback!
Okay!
Vielen Dank für dein Feedback.
Hoppla! Wir haben gerade Schwierigkeiten. Bitte versuche es später noch einmal!