Magazin
HubSpot & DSGVO: Ist das CRM datenschutzkonform?

HubSpot & DSGVO: Ist das CRM datenschutzkonform?

Letztes Update:
05
.
04
.
2023
Lesezeit:
0
Min
Das CRM-Tool HubSpot leistet Unternehmen bei der Kundenakquise und im Vertrieb nützliche Dienste. Die Speicherung zahlreicher personenbezogener Daten wirft jedoch auch datenschutzrechtliche Fragen auf. Lesen Sie, welche Regelungen gelten.
HubSpot & DSGVO: Ist das CRM datenschutzkonform?
Die wichtigsten Erkenntnisse
  • HubSpot verarbeitet personenbezogene Daten wie Name, Adresse und IP-Adresse.
  • Speicherung personenbezogener Daten auf US-Servern ist nicht DSGVO-konform.
  • Ein AV-Vertrag mit HubSpot und geeignete Garantien sind für DSGVO-Konformität nötig.
  • Unternehmen müssen HubSpot in ihre Datenschutzerklärung aufnehmen.
  • HubSpot bietet seit 2022 EU-Server für Datenmigration an.

Ist HubSpot DSGVO-konform? Kurz gesagt: Nur dann, wenn bestimmte rechtliche Rahmenbedingungen eingehalten werden. Ob diese erfüllt sind, hängt nicht nur von der formalen Einhaltung gesetzlicher Regelungen ab. Auch der Ort der Datenspeicherung spielt eine entscheidende Rolle. Wie sind die Nutzung von HubSpot und das Thema Datenschutz also miteinander vereinbar? Hier kommt es auf einige wichtige Aspekte an, die der folgende Artikel näher betrachtet.

CRM Datenschutz: Welche Daten werden mit HubSpot verarbeitet?

HubSpot ist eine Marketing- und Sales-Plattform, mit der Unternehmen mehr Besucher:innen für Ihre Website gewinnen und zu Leads konvertieren können. Der Datenschutz im Vertrieb und im Marketing spielt bei der Nutzung von CRM-Systemen natürlich eine wichtige Rolle. Um potenzielle Kunden individuell anzusprechen sind zahlreiche personenbezogene Daten nötig. Genau wie andere CRM-Systeme speichert auch HubSpot verschiedene Nutzerdaten, wie zum Beispiel:

  • Name
  • Adresse
  • E-Mail-Adresse
  • IP-Adresse

Personenbezogene Daten beziehen sich auf bestimmte Einzelpersonen und machen diese identifizierbar. Damit ist der Umgang mit diesen Daten besonders sensibel und unterliegt den Regelungen der Europäischen Datenschutzgrundverordnung, sowie weiteren nationalen Datenschutzgesetzen, sofern diese anwendbar sind. Als Verordnung der Europäischen Union vereinheitlicht die DSGVO den Datenschutz in Europa und schafft für alle Mitgliedstaaten gleiche Datenschutzstandards und Transparenz. Bei der Nutzung von HubSpot gilt also die DSGVO, die den Schutz von personenbezogenen Daten vorsieht.

HubSpot & Datenschutz: Rechtliche Grundlage

Seit Juli 2021 können Nutzer:innen von HubSpot wählen, ob die verarbeiteten Daten auf Servern in Europa oder in den USA gespeichert werden sollen, wo weniger strenge Datenschutzbestimmungen als in der EU gelten. Ältere Verträge sind von dieser Option ausgenommen. Der EU-US Privacy Shield, der Absprachen zwischen EU und USA zum Datenschutzrecht beinhaltet, wurde durch den Europäischen Gerichtshof (EuGH) für nichtig erklärt. Seitdem dürfen Unternehmen den Privacy Shield nicht mehr als rechtliche Grundlage für die Datenverarbeitung, die Datenübermittlung in ein Drittland sowie die weitergehende Datenverarbeitung dort, verwenden. Die DSGVO jedoch untersagt Unternehmen, personenbezogene Daten in Drittländer zu übermitteln, in denen kein angemessenes Datenschutzniveau vorliegt. Daraus folgt: Die Speicherung der HubSpot-Daten auf US-Servern ist nach aktuellem Stand mit der DSGVO nicht vereinbar. Das gilt auch für Daten auf EU-Servern, auf die das US-Unternehmen Zugriff hat.

So nutzen Sie HubSpot als Unternehmen DSGVO-konform

Um HubSpot DSGVO-konform zu nutzen ist ein AV-Vertrag zwischen Ihrem Unternehmen und HubSpot nötig. Da es sich bei Hubspot um einen Anbieter mit Sitz in den USA handelt, muss zusätzlich ein der DSGVO entsprechendes Datenschutzniveau durch sog. geeignete Garantien sichergestellt werden. Nur so ist gewährleistet, dass die Daten-Speicherung des CRM-Systems mit den datenschutzrechtlichen Bestimmungen der DSGVO im Einklang steht. Der AV-Vertrag sollte Informationen darüber enthalten, welche Nutzerdaten HubSpot wie lange speichert und insbesondere sicherstellen, dass die Datenverarbeitung nur gemäß der Weisung des Verantwortlichen erfolgen darf. Der Grund für die Datenspeicherung und -verarbeitung muss dabei ebenso transparent dargestellt sein wie die Rechte und Pflichten der Verantwortlichen.
HubSpot sollte darüber hinaus in die Datenschutzerklärung Ihres Unternehmens unter anderem mit den folgenden Erklärungen im Text einbezogen werden:

  • Hinweis auf die bestehende Rechtsgrundlage laut DSGVO und auf den abgeschlossenen AV-Vertrag zwischen Ihrem Unternehmen und HubSpot
  • Erklärung, warum und wie lange personenbezogene Daten erhoben und gespeichert werden
  • Verweis auf das Widerspruchsrecht der Datenspeicherung

Verträge zur Auftragsverarbeitung

Um HubSpot DSGVO-konform zu nutzen ist also ein AV-Vertrag zwischen Ihrem Unternehmen und HubSpot nötig. Wir bieten professionelle Unterstützung beim Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen.

Unter Berücksichtigung der oben genannten Punkte sind DSGVO und CRM-Systeme durchaus miteinander vereinbar in Sachen Datenschutz. Und doch birgt die Aufhebung des Privacy Shield als rechtliche Grundlage für die Datenspeicherung Risiken bei der Verwendung von CRM-Systemen. Laut EuGH herrscht in den USA derzeit kein angemessenes Datenschutzniveau auf Grundlage eines Angemessenheitsbeschlusses verglichen mit dem Privacy Shield, das die sichere Weitergabe und Verarbeitung der Daten gewährleistet. HubSpot reagierte auf diesen Umstand mit der Einrichtung eines Rechenzentrums in Europa sowie der Einführung von Standardvertragsklauseln, um ein sicheres Datenschutzniveau zu gewährleisten.

[Update 28.10.2022] Ab sofort können nicht nur HubSpot-Neu-, sondern auch -Bestandskunden ihre Daten in das neue EU-Rechenzentrum migrieren.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
DSGVO
Cloud
Datenschutz im Internet
Datensicherheit
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Public-Key-Verfahren für eine sichere Datenübertragung
29
.
06
.
2020
Public-Key-Verfahren für eine sichere Datenübertragung
Das Public-Key-Verfahren ist eine Form der sicheren Verschlüsselung bei der Übertragung von Nachrichten. Wie das Verfahren funktioniert und welche Vorteile es bietet, erfahren Sie im Folgenden.
Die Vorratsdatenspeicherung
14
.
10
.
2024
Die Vorratsdatenspeicherung
Werden personenbezogene Telekommunikationsdaten durch öffentliche Stellen oder in deren Auftrag gespeichert, ohne dass es dafür einen konkreten Anlass gibt, spricht man von Vorratsdatenspeicherung oder auch Mindestdatenspeicherung. Als Vorstufe der Telekommunikationsüberwachung gehört das Thema Vorratsdatenspeicherung zu den am meisten umstrittenen Bereichen des Datenschutzrechts. Mehrfach wurden entsprechende gesetzliche Vorschriften durch das Bundesverfassungsgericht und den Europäischen Gerichtshof kassiert.
DSGVO Abmahnung - Das müssen Sie wissen
21
.
02
.
2024
DSGVO Abmahnung - Das müssen Sie wissen
Das Thema Abmahnungen zur Datenschutz-Grundverordnung (DSGVO) bewegt aktuell einmal mehr die Gemüter. Denn langsam kommt Bewegung in das Thema Abmahnungen. Ein wesentlicher Faktor dabei: Die Gerichte.
Firma gehackt? So bewältigen Sie eine Cyber-Attacke
20
.
03
.
2024
Firma gehackt? So bewältigen Sie eine Cyber-Attacke
Wenn Firmen gehackt werden, sind oft „Schweigen“ und „Vertuschen“ die ersten Reflexe von Verantwortlichen. Von persönlichen Eitelkeiten bis hin zur Angst vor dem Absturz des Ansehens und Vertrauens gibt es viele Motive dafür. Dabei sind proaktives Handeln und klare Informationen immer die besseren Alternativen.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
20
.
11
.
2024
Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
Datenschutz und Informationssicherheit spielen eine zentrale Rolle, wenn es um den Schutz von analogen und digitalen Informationen im Unternehmen geht. Um beide Konzepte richtig umzusetzen, ist eine klare Trennung notwendig. Wir klären die Unterschiede und Gemeinsamkeiten und zeigen, wie Unternehmen sicher und rechtskonform arbeiten.
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
14
.
11
.
2024
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
Mit einem SOC-2-Report zeigen Sie, dass Ihr Unternehmen Kontrollen und Prozesse implementiert hat, um sensible Kundendaten zu schützen. Doch was genau ist ein SOC-2-Report? Welche Unternehmen benötigen ihn? Und wie läuft der Audit-Prozess ab?
ISO 27001 Controls: Eine Übersicht für Unternehmen
14
.
11
.
2024
ISO 27001 Controls: Eine Übersicht für Unternehmen
In einer Welt, in der Cyberangriffe immer häufiger und raffinierter werden, sind Informationssicherheit und Datenschutz für Unternehmen essenziell. Eine der anerkanntesten internationalen Normen in diesem Bereich ist die ISO 27001. Diese Norm hilft Unternehmen dabei, ein robustes Informationssicherheitsmanagementsystem (ISMS) zu etablieren, um sensible Daten zu schützen und regulatorische Anforderungen zu erfüllen.
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
12
.
11
.
2024
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
Sie möchten Ihre Informationssicherheit auf das nächste Level bringen und suchen einen Sicherheitsstandard, der Ihnen dabei hilft? Wir beleuchten Gemeinsamkeiten und Unterschiede zwischen SOC 2 und ISO 27001, damit Ihnen die Entscheidung leichter fällt.
datenschutz-Muster

Kostenlose Materialien zum Thema

Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Datenschutzerklärung für Mitarbeiter
Erstellen Sie mit unserem kostenlosen Muster eine DSGVO-konforme Datenschutzinformation für Ihre Mitarbeiter.
Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell einen Datenschutzexperten mit unserer Bestellurkunde.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!