HubSpot & DSGVO: Ist das CRM datenschutzkonform?

Ist HubSpot DSGVO-konform? Kurz gesagt: Nur dann, wenn bestimmte rechtliche Rahmenbedingungen eingehalten werden. Ob diese erfüllt sind, hängt nicht nur von der formalen Einhaltung gesetzlicher Regelungen ab. Auch der Ort der Datenspeicherung spielt eine entscheidende Rolle. Wie sind die Nutzung von HubSpot und das Thema Datenschutz also miteinander vereinbar? Hier kommt es auf einige wichtige Aspekte an, die der folgende Artikel näher betrachtet.

CRM Datenschutz: Welche Daten werden mit HubSpot verarbeitet?

HubSpot ist eine Marketing- und Sales-Plattform, mit der Unternehmen mehr Besucher:innen für Ihre Website gewinnen und zu Leads konvertieren können. Der Datenschutz im Vertrieb und im Marketing spielt bei der Nutzung von CRM-Systemen natürlich eine wichtige Rolle. Um potenzielle Kunden individuell anzusprechen sind zahlreiche personenbezogene Daten nötig. Genau wie andere CRM-Systeme speichert auch HubSpot verschiedene Nutzerdaten, wie zum Beispiel:

• Name
• Adresse
• E-Mail-Adresse
• IP-Adresse

Personenbezogene Daten beziehen sich auf bestimmte Einzelpersonen und machen diese identifizierbar. Damit ist der Umgang mit diesen Daten besonders sensibel und unterliegt den Regelungen der Europäischen Datenschutzgrundverordnung, sowie weiteren nationalen Datenschutzgesetzen, sofern diese anwendbar sind. Als Verordnung der Europäischen Union vereinheitlicht die DSGVO den Datenschutz in Europa und schafft für alle Mitgliedstaaten gleiche Datenschutzstandards und Transparenz. Bei der Nutzung von HubSpot gilt also die DSGVO, die den Schutz von personenbezogenen Daten vorsieht.

HubSpot & Datenschutz: Rechtliche Grundlage

Seit Juli 2021 können Nutzer:innen von HubSpot wählen, ob die verarbeiteten Daten auf Servern in Europa oder in den USA gespeichert werden sollen, wo weniger strenge Datenschutzbestimmungen als in der EU gelten. Ältere Verträge sind von dieser Option ausgenommen. Der EU-US Privacy Shield, der Absprachen zwischen EU und USA zum Datenschutzrecht beinhaltet, wurde durch den Europäischen Gerichtshof (EuGH) für nichtig erklärt. Seitdem dürfen Unternehmen den Privacy Shield nicht mehr als rechtliche Grundlage für die Datenverarbeitung, die Datenübermittlung in ein Drittland sowie die weitergehende Datenverarbeitung dort, verwenden. Die DSGVO jedoch untersagt Unternehmen, personenbezogene Daten in Drittländer zu übermitteln, in denen kein angemessenes Datenschutzniveau vorliegt. Daraus folgt: Die Speicherung der HubSpot-Daten auf US-Servern ist nach aktuellem Stand mit der DSGVO nicht vereinbar. Das gilt auch für Daten auf EU-Servern, auf die das US-Unternehmen Zugriff hat.

So nutzen Sie HubSpot als Unternehmen DSGVO-konform

Um HubSpot DSGVO-konform zu nutzen ist ein AV-Vertrag zwischen Ihrem Unternehmen und HubSpot nötig. Da es sich bei Hubspot um einen Anbieter mit Sitz in den USA handelt, muss zusätzlich ein der DSGVO entsprechendes Datenschutzniveau durch sog. geeignete Garantien sichergestellt werden. Nur so ist gewährleistet, dass die Daten-Speicherung des CRM-Systems mit den datenschutzrechtlichen Bestimmungen der DSGVO im Einklang steht. Der AV-Vertrag sollte Informationen darüber enthalten, welche Nutzerdaten HubSpot wie lange speichert und insbesondere sicherstellen, dass die Datenverarbeitung nur gemäß der Weisung des Verantwortlichen erfolgen darf. Der Grund für die Datenspeicherung und -verarbeitung muss dabei ebenso transparent dargestellt sein wie die Rechte und Pflichten der Verantwortlichen.
HubSpot sollte darüber hinaus in die Datenschutzerklärung Ihres Unternehmens unter anderem mit den folgenden Erklärungen im Text einbezogen werden:

• Hinweis auf die bestehende Rechtsgrundlage laut DSGVO und auf den abgeschlossenen AV-Vertrag zwischen Ihrem Unternehmen und HubSpot
• Erklärung, warum und wie lange personenbezogene Daten erhoben und gespeichert werden
• Verweis auf das Widerspruchsrecht der Datenspeicherung

Verträge zur Auftragsverarbeitung

Um HubSpot DSGVO-konform zu nutzen ist also ein AV-Vertrag zwischen Ihrem Unternehmen und HubSpot nötig. Wir bieten professionelle Unterstützung beim Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen.

Unter Berücksichtigung der oben genannten Punkte sind DSGVO und CRM-Systeme durchaus miteinander vereinbar in Sachen Datenschutz. Und doch birgt die Aufhebung des Privacy Shield als rechtliche Grundlage für die Datenspeicherung Risiken bei der Verwendung von CRM-Systemen. Laut EuGH herrscht in den USA derzeit kein angemessenes Datenschutzniveau auf Grundlage eines Angemessenheitsbeschlusses verglichen mit dem Privacy Shield, das die sichere Weitergabe und Verarbeitung der Daten gewährleistet. HubSpot reagierte auf diesen Umstand mit der Einrichtung eines Rechenzentrums in Europa sowie der Einführung von Standardvertragsklauseln, um ein sicheres Datenschutzniveau zu gewährleisten.

[Update 28.10.2022] Ab sofort können nicht nur HubSpot-Neu-, sondern auch -Bestandskunden ihre Daten in das neue EU-Rechenzentrum migrieren.