Salesforce Marketing Cloud EU Alternative 2026: CLOUD Act & GDPR für Marketing Automation
Post #3 in der sota.io EU MarTech Serie — Marketing Automation & CLOUD Act Exposure
Salesforce Marketing Cloud ist die dominante Enterprise-Marketing-Automation-Plattform. Aber Salesforce Inc. ist eine Delaware Corporation mit Hauptsitz in San Francisco, CA — und das hat weitreichende GDPR-Konsequenzen für europäische Unternehmen, die personenbezogene Marketing-Daten verarbeiten.
Salesforce Inc.: Rechtliche Struktur und CLOUD Act Exposure
Salesforce, Inc.
- Rechtsform: Delaware Corporation (gegründet 1999)
- Hauptsitz: Salesforce Tower, 415 Mission St, San Francisco, CA 94105
- Marketing Cloud: Basiert auf der ExactTarget-Akquisition 2013 (Kaufpreis: 2,5 Mrd. USD)
- EU-Niederlassungen: Salesforce.com EMEA Ltd. (Dublin, IE) + Salesforce.com GmbH (München, DE) — aber reine Vertriebsgesellschaften, nicht der Datenverarbeiter
Das CLOUD Act Problem für Salesforce-Kunden
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 18 U.S.C. §2713) verpflichtet US-Unternehmen, Strafverfolgungsbehörden Zugang zu gespeicherten Kommunikationen und Daten zu gewähren — unabhängig davon, wo die Daten physisch gespeichert sind.
Salesforce hat EU-Rechenzentren in Frankfurt und Paris. Trotzdem gilt:
CLOUD Act §2713(a): "A provider of electronic communication service or
remote computing service shall comply with the obligations of this chapter
to preserve, backup, or disclose the contents of a wire or electronic
communication and any record or other information pertaining to a customer
or subscriber within such provider's possession, custody, or control,
regardless of whether such communication, record, or other information
is located within or outside of the United States."
Für Marketing-Daten konkret: Wenn Salesforce Marketing Cloud Ihre E-Mail-Listen, Verhaltensprofile, Segmentierungsdaten und Kampagnen-Performance-Metriken verarbeitet, kann das US-Justizministerium Zugang zu diesen Daten anfordern — auch wenn sie auf Servern in Frankfurt liegen.
Was ist Salesforce Marketing Cloud?
Salesforce Marketing Cloud (SFMC) ist eine Enterprise-Suite für:
- Email Studio — E-Mail-Marketing und Automatisierung
- Journey Builder — Customer Journey Orchestrierung (Multi-Channel)
- Data Cloud (vormals Salesforce CDP) — Customer Data Platform für Echtzeit-Profile
- Advertising Studio — Ad-Audience-Management (Google, Facebook, LinkedIn)
- Social Studio — Social Media Management
- Marketing Analytics — Einstein Analytics für Campaign Performance
- Interaction Studio — Real-Time Personalisierung
Typische Kunden: Enterprise B2C (>100.000 Kontakte), Multi-Channel-Marketing-Teams, Retail und Financial Services.
GDPR-Risikoanalyse: Salesforce Marketing Cloud
Datenkategorien in SFMC (GDPR-relevant)
Marketing-Automation-Systeme verarbeiten naturgemäß sensitive personenbezogene Daten:
| Datenkategorie | SFMC-Modul | GDPR Art. | CLOUD Act Risiko |
|---|---|---|---|
| E-Mail-Adressen + Profile | All Contact Data | Art. 4 Nr. 1, Art. 6 | HOCH |
| Verhaltens-Tracking | Interaction Studio | Art. 4 Nr. 4 (Profiling) | HOCH |
| Purchase History | Data Cloud | Art. 6 (1)(b) | HOCH |
| Browser-/Klick-Verhalten | Web Studio | Art. 4 Nr. 4 | HOCH |
| Geo-Standortdaten | Advertising Studio | Art. 9 (ggf.) | SEHR HOCH |
| Ad-Audience-Listen | Advertising Studio | Art. 22 (Profiling) | SEHR HOCH |
Schrems II und Standardvertragsklauseln
Nach dem EuGH-Urteil C-311/18 (Schrems II, Juli 2020) sind SCCs als Transfermechanismus nur wirksam, wenn der Datenempfänger im Drittland keine behördlichen Zugriffspflichten hat, die dem EU-Datenschutz widersprechen.
Der EDPB Transfer Impact Assessment (TIA) für Salesforce ergibt:
- US-Unternehmen → CLOUD Act §2713 → behördliche Zugriffspflicht auf Kundendaten
- EU-Server = physische Lokation, nicht rechtliche Abschirmung
- SCCs + Supplementary Measures = nicht ausreichend wenn behördlicher Zugriff wahrscheinlich ist
Konsequenz: Europäische DPAs können Salesforce Marketing Cloud-Einsatz für bestimmte Datenkategorien untersagen.
ExactTarget: Die Akquisitions-Geschichte
Salesforce Marketing Cloud ist nicht organisch gewachsen — es basiert auf ExactTarget, einem E-Mail-Marketing-Unternehmen aus Indianapolis, Indiana:
- Gründung: 2000 als Bigfoot Interactive
- IPO: 2012 (NYSE: ET)
- Akquisition: Juni 2013, Kaufpreis 2,5 Mrd. USD
- Rechtsträger nach Akquisition: ExactTarget bleibt US Corp, wird in Salesforce-Konzernstruktur integriert
- Konsequenz: Alle ExactTarget-Infrastruktur und -Verträge laufen unter US-amerikanischem Recht weiter
Weitere strategische Akquisitionen die in Marketing Cloud einflossen:
- Radian6 (2011, $326M) — Social Listening
- Buddy Media (2012, $689M) — Social Media Management
- Krux (2016, $700M) — Data Management Platform
Jede dieser Akquisitionen: US-amerikanische Unternehmen, Delaware/state-incorporated → alle unter CLOUD Act Jurisdiction.
EU-native Alternativen zu Salesforce Marketing Cloud
1. Brevo (Sendinblue) — Paris, Frankreich
Rechtsform: Brevo SAS (Société par Actions Simplifiée) Hauptsitz: 7 rue de Madrid, 75008 Paris, Frankreich Gründung: 2007 als Newsletter2Go CLOUD Act: Nicht anwendbar — französisches Unternehmen, kein US-Parent
Funktionsumfang:
- E-Mail-Marketing und Transactional Emails
- SMS und WhatsApp Marketing
- Marketing Automation (Workflows, Journeys)
- CRM (eingebaut, kein Add-on)
- Landing Pages und Formulare
- Chat (Live Chat + Chatbot)
- Meetings (Calendly-Alternative)
GDPR-Vorteile:
- Alle Daten auf EU-Servern (Paris, Frankfurt)
- Kein CLOUD Act — keine US-Behördenzugriffspflicht
- GDPR-Einwilligungsmanagement eingebaut
- Data Processing Agreement (DPA) nach EU-Standard
- ISO 27001 + SOC 2 Typ II
Limitierungen vs. SFMC:
- Kein nativer Salesforce-CRM-Connector (Drittanbieter-Integration nötig)
- Advertising Studio-Äquivalent schwächer
- Enterprise-Support weniger ausgeprägt als Salesforce
Preismodell:
- Free: 300 E-Mails/Tag, unbegrenzte Kontakte
- Starter: ab €9/Monat (20.000 E-Mails)
- Business: ab €18/Monat (inkl. Automationen)
- Enterprise: Custom Pricing
2. Emarsys (jetzt SAP SE) — Wien, Österreich / Walldorf, Deutschland
Rechtsform nach Akquisition: Teil von SAP SE (Societas Europaea, eingetragen in Deutschland) SAP SE Hauptsitz: Dietmar-Hopp-Allee 16, 69190 Walldorf, Deutschland Emarsys-Gründung: 2000 in Wien, Österreich Akquisition: Oktober 2020, Kaufpreis: 430 Mio. USD
Das entscheidende Detail: SAP SE ist eine Societas Europaea (SE) — die europäische Aktiengesellschaft. SAP hat keine US-Muttergesellschaft. Das bedeutet:
- Kein CLOUD Act (kein US-Nexus auf Unternehmensebene)
- Deutsches Handelsrecht (HGB)
- Europäische Datenschutz-Compliance eingebaut
Emarsys-Funktionsumfang (Enterprise):
- AI-driven Customer Engagement Platform
- Cross-Channel Marketing (Email/SMS/Push/Web/Ads)
- Predictive Analytics + Einstein-ähnliche Empfehlungen
- Lifecycle Marketing (Retention/Win-Back)
- Echtzeit-Personalisierung
- Native SAP Commerce/SAP S/4HANA Integration
GDPR-Vorteile:
- SAP SE als DE Corp = kein CLOUD Act
- Emarsys-Infrastruktur in EU-Rechenzentren (Wien, Dublin, Frankfurt)
- SAP's Enterprise-Datenschutz-Framework (ISO 27001, SOC 2, BSI C5)
- Besonders stark für Retail/B2C mit SAP-ERP-Backbone
Für wen geeignet: Enterprise B2C mit >500.000 Kontakten, bestehende SAP-Infrastruktur, Retail/E-Commerce/Financial Services.
# Emarsys API: Contact erstellen (EU-native, kein CLOUD Act)
import requests
emarsys_api_key = "your_api_key"
emarsys_api_secret = "your_api_secret"
# WSSE Authentication (Emarsys-spezifisch)
import hashlib, time, secrets, base64
nonce = secrets.token_hex(16)
timestamp = time.strftime('%Y-%m-%dT%H:%M:%S+00:00', time.gmtime())
digest = base64.b64encode(
hashlib.sha1(f"{nonce}{timestamp}{emarsys_api_secret}".encode()).digest()
).decode()
headers = {
"X-WSSE": f'UsernameToken Username="{emarsys_api_key}", '
f'PasswordDigest="{digest}", '
f'Nonce="{nonce}", '
f'Created="{timestamp}"'
}
# Kontakt anlegen (SAP SE Infrastruktur, EU-Recht)
contact_data = {
"key_id": "3", # 3 = E-Mail Feld
"contacts": [{
"3": "max.mustermann@example.de",
"1": "Max",
"2": "Mustermann",
"31": "de" # Sprache
}]
}
response = requests.put(
"https://api.emarsys.net/api/v2/contact",
json=contact_data,
headers=headers
)
# Keine CLOUD Act Exposure — SAP SE (Walldorf, DE) ist Rechtsträger
3. Evalanche — München, Deutschland
Rechtsform: SC-Networks GmbH Hauptsitz: Bavariaring 43, 80336 München, Deutschland Gründung: 1999 CLOUD Act: Nicht anwendbar — deutsches GmbH, kein US-Nexus
Besonderheiten:
- Spezialisiert auf B2B Marketing Automation
- Starke Lead-Scoring und Nurturing-Funktionen
- Integrationen: SAP, Salesforce CRM, Microsoft Dynamics
- DSGVO-Compliance-Center eingebaut
- ISO 27001 zertifiziert
- Typische Kunden: mittelständische B2B-Unternehmen (DACH-Raum)
Schwäche: Internationalisierung schwächer (primär DACH), kein nativer englischsprachiger Support
4. Bloomreach Engagement (vormals Exponea) — Bratislava / USA-HQ
Achtung: Bloomreach Inc. hat Hauptsitz in Mountain View, CA (Delaware Corp) — CLOUD Act NICHT eliminiert! Bloomreach Engagement ist die EU-Komponente, aber der Rechtsträger ist US-amerikanisch.
→ Kein vollständiger EU-nativer Ersatz. Für vollständige CLOUD-Act-Freiheit: Brevo oder Emarsys bevorzugen.
5. Plezi — Lyon, Frankreich
Rechtsform: Plezi SAS Hauptsitz: Lyon, Frankreich Spezialisierung: B2B Content Marketing Automation CLOUD Act: Nicht anwendbar — französisches Unternehmen
Eignung: Mittelständische B2B-Unternehmen, Content-getriebenes Marketing, HubSpot-Alternative für kleinere Teams.
6. Webmecanik — Grenoble, Frankreich
Rechtsform: Webmecanik SAS Hauptsitz: Grenoble, Frankreich Basis: Open-Source (Mautic) + EU-Hosting CLOUD Act: Nicht anwendbar — französisches Unternehmen, Mautic-Open-Source
Vorteil: Open-Source-Basis (Mautic) + EU-Hosting = maximale Kontrolle + keine Vendor-Lock-in-Risiken.
Migrations-Checkliste: Salesforce Marketing Cloud → EU-native
# Migration-Roadmap Script: SFMC → Brevo/Emarsys
class SFMCMigrationChecklist:
"""GDPR-compliant migration from Salesforce Marketing Cloud to EU-native alternative."""
phases = {
"phase_1_assessment": {
"duration": "2-4 Wochen",
"tasks": [
"SFMC Daten-Audit: Kontaktvolumen, Segmente, Journey-Logiken",
"Custom Activities & Integrations inventarisieren",
"API-Abhängigkeiten dokumentieren (SFMC AMPscript/SSJS)",
"Journey-Komplexität bewerten (einfach/mittel/enterprise)",
"GDPR TIA für SFMC erstellen (CLOUD Act Risikobewertung)"
]
},
"phase_2_data_migration": {
"duration": "4-8 Wochen",
"tasks": [
"Kontakt-Export via SFMC Data Extract Activity (CSV/SFTP)",
"Custom Data Extensions → neue DB-Struktur mappen",
"Einwilligungsstatus (Opt-in/Out) exakt übertragen (GDPR Art. 7)",
"Engagement-Historie exportieren (Öffnungen, Klicks, Bounces)",
"Importvalidierung: Deduplizierung, Format-Checks"
],
"gdpr_critical": [
"Nur Kontakte mit dokumentiertem Consent übertragen",
"Consent-Datum und -Quelle mitexportieren",
"Re-Permission-Kampagne für ältere Einwilligungen erwägen"
]
},
"phase_3_template_migration": {
"duration": "2-4 Wochen",
"tasks": [
"HTML-Templates von AMPscript auf neuen Template-Syntax umschreiben",
"Dynamic Content Rules übersetzen",
"Send Classification → Sender-Profile neu anlegen",
"Bounce/Suppression Lists übertragen"
]
},
"phase_4_journey_rebuild": {
"duration": "4-12 Wochen (je nach Komplexität)",
"tasks": [
"Journey-Map der bestehenden Journeys erstellen",
"Entry Sources (API Events, List Events) neu konfigurieren",
"Wait Activities und Entscheidungsknoten nachbauen",
"Exit Criteria und Goals übertragen",
"A/B Test Logiken neu aufsetzen"
]
},
"phase_5_validation": {
"duration": "2-4 Wochen",
"tasks": [
"Parallelbetrieb SFMC + neue Plattform (Read-Only SFMC)",
"Seed-List Tests für alle Journey-Steps",
"Deliverability-Checks (SPF/DKIM/DMARC für neue IPs)",
"Reporting-Parität validieren",
"IP-Warming für neue dedizierte IPs"
]
}
}
total_migration_duration = "14-32 Wochen (Enterprise)"
cost_savings_estimate = "60-80% gegenüber SFMC Enterprise-Pricing"
def get_recommended_alternative(self, company_size: str, erp_system: str) -> str:
if company_size == "enterprise" and "sap" in erp_system.lower():
return "Emarsys (SAP SE DE Corp) — native Integration, kein CLOUD Act"
elif company_size in ["enterprise", "midmarket"] and "b2c" in erp_system.lower():
return "Brevo + SAP/Salesforce CRM Connector"
elif company_size == "midmarket" and "b2b":
return "Evalanche (SCE München GmbH) — B2B-optimiert, DSGVO-eingebaut"
else:
return "Brevo SAS Paris — beste Kombination aus Features + EU-native + Preis"
GDPR Risk Score: Salesforce Marketing Cloud
| Dimension | Score (1-5) | Begründung |
|---|---|---|
| Rechtsträger | 5/5 | Delaware Corp → maximale CLOUD Act Exposure |
| Datenlokalität | 2/5 | EU-Rechenzentren vorhanden (Frankfurt/Paris) |
| Behördenzugriff-Risiko | 5/5 | CLOUD Act §2713 ohne EU-Ausnahme |
| SCCs-Wirksamkeit | 3/5 | Vorhanden aber nach Schrems II fraglich |
| Datenkategorie-Sensitivität | 4/5 | Marketing-Profiles + Behavioral Tracking = hoch |
| Gesamt-GDPR-Risiko | 19/25 (HOCH) | Datentransfer-Risiko erheblich |
Was EU DPAs zu Salesforce Marketing Cloud sagen
Die europäischen Datenschutzbehörden haben sich bisher nicht explizit zu Salesforce Marketing Cloud geäußert, aber die Grundsätze sind klar:
EDPB-Leitlinien 05/2021 (SCCs und Drittlandtransfers):
- US-CLOUD-Act-Jurisdiction = faktischer Behördenzugriff wahrscheinlich
- Supplementary Measures (Verschlüsselung, Pseudonymisierung) unzureichend wenn US-Anbieter Schlüsselkontrolle hat
- Recommendation: Datenminimierung oder Wechsel zu EU-nativem Anbieter
Österreichische DSB (Bescheid 2022-0.015.655 bezüglich Google Analytics):
Prinzip: Wenn der US-Provider technisch auf die Daten zugreifen kann, ist der Transfer rechtswidrig — unabhängig von SCCs. Anwendung: Gilt analog für jeden US-Marketing-Automation-Provider mit EU-Servern aber US-Mutterkonzern.
Fazit der DPAs: EU-Server ≠ EU-Schutz. Rechtsträger entscheidet.
Was Salesforce selbst sagt
Salesforce hat eine Government Data Request Policy und veröffentlicht Transparenzberichte. In 2023 hat Salesforce weltweit X Government Data Requests erhalten. Die Existenz dieser Policy bestätigt: US-Behörden können Zugang anfordern, und Salesforce muss compliance leisten.
Salesforce Data Processing Addendum: Enthält SCCs gemäß EU-Kommissions-Entscheidung 2021/914, aber wie oben beschrieben: nach Schrems II fraglich ob SCCs + CLOUD Act vereinbar.
Fazit: Wann welche Lösung?
| Szenario | Empfehlung | Rechtsträger |
|---|---|---|
| Enterprise B2C, SAP-ERP-Stack | Emarsys | SAP SE (Walldorf, DE) |
| SMB/Midmarket, Multi-Channel | Brevo | Brevo SAS (Paris, FR) |
| B2B Marketing Automation (DACH) | Evalanche | SC-Networks GmbH (München, DE) |
| Open-Source + EU-Hosting | Webmecanik | Webmecanik SAS (Grenoble, FR) |
| Budget-bewusst + B2B | Plezi | Plezi SAS (Lyon, FR) |
Salesforce Marketing Cloud bleibt eine technisch herausragende Plattform — aber die rechtliche Struktur als Delaware Corporation macht GDPR-Compliance für europäische Unternehmen zu einem permanenten Risikofaktor, der mit zunehmender DPA-Durchsetzung (EDPB 2024-Aktionsplan) nicht kleiner wird.
Der entscheidende Unterschied: Emarsys (SAP SE) ist die einzige Enterprise-Marketing-Automation-Plattform mit einem EU-Rechtsträger (Societas Europaea, DE). Für alle anderen Szenarien bietet Brevo SAS das optimale Verhältnis aus Funktionsumfang, EU-Compliance und Preis.
sota.io ist eine EU-native Platform-as-a-Service für Entwickler — deploy auf Hetzner-Infrastruktur in Deutschland, ohne CLOUD Act Exposure, ohne US-Parent. Mehr unter sota.io.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.