Skip to content
Ardal Toprak 12:00

Datenschutz mit HubSpot - Ist HubSpot DSGVO-konform?

Bei der Auswahl einer passenden Marketing- oder CRM-Software fĂŒhrt kein Weg an der Frage nach der Datenverarbeitung des jeweiligen Anbieters vorbei. HubSpot - eine All-in-One Plattform fĂŒr Marketing und Sales - besitzt seit vielen Jahren eine Vorreiterstellung im Bereich von Marketing- bzw. CRM-Software. Da sich der Firmensitz von HubSpot allerdings in den USA befindet, wird die Speicherung von personenbezogenen Daten durch die Plattform hĂ€ufig kritisch betrachtet. Mit dem Ende des EU-US Privacy Shield Abkommens im Jahr 2020 mangelt es an einer klaren rechtlichen Grundlage fĂŒr die Übermittlung und Speicherung personenbezogener Daten in den USA. Eine junge Entwicklung könnte diese Zweifel jedoch ausrĂ€umen: Seit Juli 2021 bietet HubSpot ein Rechenzentrum in Deutschland mit einem Backup in Irland an. Doch sind hiermit tatsĂ€chlich alle Zweifel rund um die Datenverarbeitung von HubSpot unbegrĂŒndet? In diesem Artikel erfĂ€hrst du, ob HubSpot DSGVO-konform ist. 

dsgvo

 

Was macht DSGVO-konformes Marketing aus? 

Bevor du dich mit der Frage beschĂ€ftigst, ob HubSpot als DSGVO-konform einzustufen ist, solltest du zunĂ€chst verstehen, was DSGVO-konformes Marketing ausmacht. DSGVO (Englisch: GDPR) steht abgekĂŒrzt fĂŒr die Datenschutz-Grundverordnung, die seit Mai 2019 innerhalb der EU gilt. Sie besteht aus einer Reihe von Gesetzen, die allesamt das Ziel vereint, die Persönlichkeitsrechte jedes Individuums zu schĂŒtzen. Im Mittelpunkt stehen folglich personenbezogene Daten, d.h. solche Daten, welche sich auf eine konkrete Einzelperson beziehen und diese identifizierbar machen. In der Konsequenz der DSGVO dĂŒrfen somit jegliche persönlichen Informationen - z.B. zu Geschlecht, E-Mail-Adresse oder Wohnort - lediglich mit einer deutlichen Zustimmung der betroffenen Person gesammelt werden. Gleichzeitig besitzt jede Person das Recht, die Speicherung ihrer personenbezogenen Daten zu widerrufen.


Wieso besitzt die DSGVO fĂŒr das Online Marketing eine so hohe Relevanz?  

Ganz einfach: weil die Speicherung von personenbezogenen Daten im Bereich des Online Marketings allgegenwĂ€rtig ist und automatisiert erfolgt. Wenn ein Kunde beispielsweise das Formular zur Newsletter-Anmeldung auf deiner Website betrachtet, werden im Hintergrund bereits Informationen durch notwendige Cookies gespeichert. Sofern nicht klar und deutlich auf die Speicherung und Verwendung personenbezogener Daten hingewiesen wird, kann dies problematisch werden und zu existenzbedrohenden Strafen fĂŒhren.  

 
Wie genau kann ich also DSGVO-konformes Marketing betreiben?  

Generell solltest du unbedingt darauf achten, lediglich jene personenbezogenen Daten abzufragen, die fĂŒr die damit verbundene Leistung deines Unternehmens dringend erforderlich sind. Zudem gibt es gewisse personenbezogenen Daten, die aufgrund eines besonderen Schutzbedarfes keinesfalls erhoben werden dĂŒrfen. Hierzu zĂ€hlen beispielsweise Informationen zum Gesundheitszustand, biometrische Daten und jegliche Daten, die eine Bewertung der ethnischen Herkunft zulassen oder mit religiösen, politischen oder weltanschaulichen Ansichten verbunden sind. Des Weiteren musst du den Besuchern deiner Website im Rahmen deiner DatenschutzerklĂ€rung die Möglichkeit zur VerfĂŒgung stellen, sich ĂŒber die Verwendung ihrer personenbezogenen Daten informieren zu können. Ein weiterer zentraler Aspekt ist, dass du keinen Newsletter ohne Zustimmung versenden darfst. Um rechtswidrige Werbemails zu vermeiden, die eine unzumutbare BelĂ€stigung fĂŒr den Konsumenten darstellen, ist das sogenannte Double Opt-in als einziges DSGVO-konformes Verfahren zur Newsletter-Anmeldung zu verwenden. Hierbei wird dem Interessenten nach dem AusfĂŒllen des Formulars zur Anmeldung zum Newsletter eine E-Mail mit einem BestĂ€tigungslink zugesendet. Erst wenn dieser Link angeklickt wurde, darf ein Newsletter an den Konsumenten verschickt werden. Generell sollte jeder Newsletter einen Link beinhalten, mit welchem sich die EmpfĂ€nger jederzeit vom Newsletter abmelden können. 

Digital image of womans eye. Security concept


Hubspost und die DSGVO: Lassen sich HubSpot und Datenschutz miteinander vereinbaren?  

Um zu eruieren, ob HubSpot und die DSGVO miteinander vereinbar sind, betrachten wir zunĂ€chst die Frage, warum das Datenschutzniveau der USA von der EU als nicht angemessen eingestuft wird. Über viele Jahre hinweg wurde durch das EU-US Privacy Shield sichergestellt, dass die Daten zwischen Europa und den Vereinigten Staaten rechtskonform ĂŒbermittelt werden. Mit der Verabschiedung des sogenannten "CLOUD Act" im Jahr 2018 erhielten US-Behörden allerdings Zugriff auf die Daten amerikanischer Unternehmen und somit gleichzeitig auch auf die Daten von deren Nicht-US-Kunden. Diese Tatsache steht laut dem europĂ€ischen Gerichtshof im Konflikt mit der europĂ€ischen Datenschutz-Grundverordnung. Allerdings sollte an dieser Stelle ergĂ€nzt werden, dass der Zugriff auf die Kundendaten durch US-Behörden nicht willkĂŒrlich erfolgen kann. Stattdessen ist der Zugriff lediglich mit einer Einwilligung der Kunden oder einem Haftbefehl bzw. einer gerichtlichen Anordnung gestattet. Infolge der Aufhebung des EU-US Privacy Shield stellt HubSpot seinen Nutzern seit Juli 2021 eine Wahlmöglichkeit zur VerfĂŒgung, ob ihre Daten auf Servern in Europa (genauer gesagt einem Rechenzentrum in Deutschland mit einem Backup in Irland) oder in den USA gespeichert werden sollen. Generell ist eine Übermittlung von personenbezogenen Daten in DrittlĂ€nder und somit auch die USA gemĂ€ĂŸ der DSGVO jedoch nicht gĂ€nzlich verboten. Das Vorgehen gestaltet sich allerdings komplizierter, da gewisse Bedingungen erfĂŒllt werden mĂŒssen, die in den Artikeln 44 bis 50 der DSGVO aufgefĂŒhrt sind. HubSpot hat diese Bedingungen in seine Auftragsdatenschutzvereinbarung integriert. 


Jetzt aber Klartext: Ist HubSpot nun DSGVO-konform?  

Wenn du HubSpot DSGVO-konform nutzen möchtest, ist ein AV-Vertrag zwischen deinem Unternehmen und HubSpot von Nöten. Hiermit wird sichergestellt, dass ein Datenschutzniveau gewĂ€hrleistet wird, welches mit der DSGVO im Einklang steht. In diesem Vertrag sollte beispielsweise geklĂ€rt werden, welche personenbezogenen Daten HubSpot auf welche Art und Weise und fĂŒr welche Zeitdauer speichert. FĂŒr eine DSGVO-konforme Nutzung von HubSpot solltest du die Software darĂŒber hinaus in die DatenschutzerklĂ€rung deines Unternehmens integrieren. Konkret sollte der geschlossene AV-Vertrag zwischen deinem Unternehmen und HubSpot und die GewĂ€hrleistung der DSGVO-konformen Datenspeicherung und -verarbeitung ersichtlich werden. ZusĂ€tzlich solltest du deine potenziellen und bestehenden Kunden darĂŒber aufklĂ€ren, aus welchen GrĂŒnden und fĂŒr welche Zeitdauer ihre personenbezogenen Daten erhoben und gespeichert werden. Zu guter Letzt darf auch ein Hinweis auf das Widerspruchsrecht der Datenspeicherung nicht fehlen.  
Um sicherzustellen, dass du HubSpot DSGVO-konform einsetzt, kannst du dich jederzeit auf den von HubSpot zur VerfĂŒgung gestellten Leitfaden fĂŒr die DSGVO-konforme Nutzung der Software beziehen. Dieser wird regelmĂ€ĂŸig aktualisiert und beinhaltet folglich alle wichtigen GesetzesĂ€nderungen. Hier findest du einen Überblick ĂŒber die zentralsten Aspekte des Leitfadens: 

Cookies: Seit dem Inkrafttreten der DSGVO ist es Unternehmen untersagt, den Einsatz von Cookies auf berechtigtes Interesse zu stĂŒtzen. GemĂ€ĂŸ der DSGVO musst du die Besucher deiner Website deutlich darauf hinweisen, dass Cookies verwendet werden. Zudem mĂŒssen die Konsumenten sich damit einverstanden erklĂ€ren, dass ihr Surfverhalten mithilfe von Cookies nachverfolgt wird. HubSpot bietet seinen Nutzern eine simple Möglichkeit, einen Cookie-Banner auf ihrer Website zu integrieren, mit welchem die benötigte Einwilligung der Konsumenten eingeholt werden kann.  

Opt-ins: Wenn du mit HubSpot Newsletter versenden möchtest, mĂŒssen auch hier die rechtlichen Grundlagen beachtet werden. HubSpot ermöglicht es seinen Nutzern, die Einwilligung (Double Opt-in) der Newsletter-Abonnenten einfach nachzuverfolgen.

Löschung personenbezogener Daten: GemĂ€ĂŸ der DSGVO steht den Konsumenten das Recht zu, eine Löschung der ĂŒber sie gespeicherten Daten zu verlangen. HierfĂŒr hat HubSpot eine spezielle Funktion, die sog. "DSGVO-konforme Löschung" integriert, mit welcher jegliche personenbezogenen Daten unwiderruflich gelöscht werden. 

Confidential Concept. Colored Document Folders Sorted for Catalog. Closeup View. Selective Focus.


Das Thema Datenschutz ist fĂŒr die Nutzung von Marketing- und insbesondere von CRM-Systemen von herausragender Bedeutung. Auch wenn es eine Vielzahl an Software-Anbietern in diesem Bereich gibt, schneiden europĂ€ische Anbieter im direkten Vergleich mit ihren US-amerikanischen Konkurrenten hĂ€ufig sehr schlecht ab. Die US-Software HubSpot ist eines der beliebtesten Marketing- bzw. CRM-Systeme. Bei genauer Betrachtung wird deutlich, dass HubSpot das Thema Datenschutz sehr ernst nimmt und mit diversen Änderungen auf die EinfĂŒhrung der DSGVO in Europa reagiert hat. Folglich kann HubSpot DSGVO-konform genutzt werden.

 

Und wenn du dir bei konkreten AnwendungsfĂ€llen unsicher bist, kannst du jederzeit einen Blick in den Leitfaden fĂŒr die DSGVO-konforme Nutzung von HubSpot werfen.