HubSpot & DSGVO: Ist das CRM datenschutzkonform?

Letztes Update:
05
.
04
.
2023
Lesezeit:
0
Min
Das CRM-Tool HubSpot leistet Unternehmen bei der Kundenakquise und im Vertrieb nützliche Dienste. Die Speicherung zahlreicher personenbezogener Daten wirft jedoch auch datenschutzrechtliche Fragen auf. Lesen Sie, welche Regelungen gelten.
HubSpot & DSGVO: Ist das CRM datenschutzkonform?
Die wichtigsten Erkenntnisse
  • HubSpot verarbeitet personenbezogene Daten wie Name, Adresse und IP-Adresse.
  • Speicherung personenbezogener Daten auf US-Servern ist nicht DSGVO-konform.
  • Ein AV-Vertrag mit HubSpot und geeignete Garantien sind für DSGVO-Konformität nötig.
  • Unternehmen müssen HubSpot in ihre Datenschutzerklärung aufnehmen.
  • HubSpot bietet seit 2022 EU-Server für Datenmigration an.

Ist HubSpot DSGVO-konform? Kurz gesagt: Nur dann, wenn bestimmte rechtliche Rahmenbedingungen eingehalten werden. Ob diese erfüllt sind, hängt nicht nur von der formalen Einhaltung gesetzlicher Regelungen ab. Auch der Ort der Datenspeicherung spielt eine entscheidende Rolle. Wie sind die Nutzung von HubSpot und das Thema Datenschutz also miteinander vereinbar? Hier kommt es auf einige wichtige Aspekte an, die der folgende Artikel näher betrachtet.

CRM Datenschutz: Welche Daten werden mit HubSpot verarbeitet?

HubSpot ist eine Marketing- und Sales-Plattform, mit der Unternehmen mehr Besucher:innen für Ihre Website gewinnen und zu Leads konvertieren können. Der Datenschutz im Vertrieb und im Marketing spielt bei der Nutzung von CRM-Systemen natürlich eine wichtige Rolle. Um potenzielle Kunden individuell anzusprechen sind zahlreiche personenbezogene Daten nötig. Genau wie andere CRM-Systeme speichert auch HubSpot verschiedene Nutzerdaten, wie zum Beispiel:

  • Name
  • Adresse
  • E-Mail-Adresse
  • IP-Adresse

Personenbezogene Daten beziehen sich auf bestimmte Einzelpersonen und machen diese identifizierbar. Damit ist der Umgang mit diesen Daten besonders sensibel und unterliegt den Regelungen der Europäischen Datenschutzgrundverordnung, sowie weiteren nationalen Datenschutzgesetzen, sofern diese anwendbar sind. Als Verordnung der Europäischen Union vereinheitlicht die DSGVO den Datenschutz in Europa und schafft für alle Mitgliedstaaten gleiche Datenschutzstandards und Transparenz. Bei der Nutzung von HubSpot gilt also die DSGVO, die den Schutz von personenbezogenen Daten vorsieht.

HubSpot & Datenschutz: Rechtliche Grundlage

Seit Juli 2021 können Nutzer:innen von HubSpot wählen, ob die verarbeiteten Daten auf Servern in Europa oder in den USA gespeichert werden sollen, wo weniger strenge Datenschutzbestimmungen als in der EU gelten. Ältere Verträge sind von dieser Option ausgenommen. Der EU-US Privacy Shield, der Absprachen zwischen EU und USA zum Datenschutzrecht beinhaltet, wurde durch den Europäischen Gerichtshof (EuGH) für nichtig erklärt. Seitdem dürfen Unternehmen den Privacy Shield nicht mehr als rechtliche Grundlage für die Datenverarbeitung, die Datenübermittlung in ein Drittland sowie die weitergehende Datenverarbeitung dort, verwenden. Die DSGVO jedoch untersagt Unternehmen, personenbezogene Daten in Drittländer zu übermitteln, in denen kein angemessenes Datenschutzniveau vorliegt. Daraus folgt: Die Speicherung der HubSpot-Daten auf US-Servern ist nach aktuellem Stand mit der DSGVO nicht vereinbar. Das gilt auch für Daten auf EU-Servern, auf die das US-Unternehmen Zugriff hat.

So nutzen Sie HubSpot als Unternehmen DSGVO-konform

Um HubSpot DSGVO-konform zu nutzen ist ein AV-Vertrag zwischen Ihrem Unternehmen und HubSpot nötig. Da es sich bei Hubspot um einen Anbieter mit Sitz in den USA handelt, muss zusätzlich ein der DSGVO entsprechendes Datenschutzniveau durch sog. geeignete Garantien sichergestellt werden. Nur so ist gewährleistet, dass die Daten-Speicherung des CRM-Systems mit den datenschutzrechtlichen Bestimmungen der DSGVO im Einklang steht. Der AV-Vertrag sollte Informationen darüber enthalten, welche Nutzerdaten HubSpot wie lange speichert und insbesondere sicherstellen, dass die Datenverarbeitung nur gemäß der Weisung des Verantwortlichen erfolgen darf. Der Grund für die Datenspeicherung und -verarbeitung muss dabei ebenso transparent dargestellt sein wie die Rechte und Pflichten der Verantwortlichen.
HubSpot sollte darüber hinaus in die Datenschutzerklärung Ihres Unternehmens unter anderem mit den folgenden Erklärungen im Text einbezogen werden:

  • Hinweis auf die bestehende Rechtsgrundlage laut DSGVO und auf den abgeschlossenen AV-Vertrag zwischen Ihrem Unternehmen und HubSpot
  • Erklärung, warum und wie lange personenbezogene Daten erhoben und gespeichert werden
  • Verweis auf das Widerspruchsrecht der Datenspeicherung

Verträge zur Auftragsverarbeitung

Um HubSpot DSGVO-konform zu nutzen ist also ein AV-Vertrag zwischen Ihrem Unternehmen und HubSpot nötig. Wir bieten professionelle Unterstützung beim Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen.

Unter Berücksichtigung der oben genannten Punkte sind DSGVO und CRM-Systeme durchaus miteinander vereinbar in Sachen Datenschutz. Und doch birgt die Aufhebung des Privacy Shield als rechtliche Grundlage für die Datenspeicherung Risiken bei der Verwendung von CRM-Systemen. Laut EuGH herrscht in den USA derzeit kein angemessenes Datenschutzniveau auf Grundlage eines Angemessenheitsbeschlusses verglichen mit dem Privacy Shield, das die sichere Weitergabe und Verarbeitung der Daten gewährleistet. HubSpot reagierte auf diesen Umstand mit der Einrichtung eines Rechenzentrums in Europa sowie der Einführung von Standardvertragsklauseln, um ein sicheres Datenschutzniveau zu gewährleisten.

[Update 28.10.2022] Ab sofort können nicht nur HubSpot-Neu-, sondern auch -Bestandskunden ihre Daten in das neue EU-Rechenzentrum migrieren.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!