Symbolbild für Hubspot im Zusammenhang mit dem Thema Datenschutz

HubSpot & DSGVO: Ist das CRM datenschutzkonform?

Das CRM-Tool HubSpot leistet Unternehmen bei der Kundenakquise und im Vertrieb nützliche Dienste. Die Speicherung zahlreicher personenbezogener Daten wirft jedoch auch datenschutzrechtliche Fragen auf. Lesen Sie, welche Regelungen gelten.

2022-01-07

Logo

Ist HubSpot DSGVO-konform? Kurz gesagt: Nur dann, wenn bestimmte rechtliche Rahmenbedingungen eingehalten werden. Ob diese erfüllt sind, hängt nicht nur von der formalen Einhaltung gesetzlicher Regelungen ab. Auch der Ort der Datenspeicherung spielt eine entscheidende Rolle. Wie sind die Nutzung von HubSpot und das Thema Datenschutz also miteinander vereinbar? Hier kommt es auf einige wichtige Aspekte an, die der folgende Artikel näher betrachtet.

CRM Datenschutz: Welche Daten werden mit HubSpot verarbeitet?

HubSpot ist eine Marketing- und Sales-Plattform, mit der Unternehmen mehr Besucher:innen für Ihre Website gewinnen und zu Leads konvertieren können. Der Datenschutz im Vertrieb und im Marketing spielt bei der Nutzung von CRM-Systemen natürlich eine wichtige Rolle. Um potenzielle Kunden individuell anzusprechen sind zahlreiche personenbezogene Daten nötig. Genau wie andere CRM-Systeme speichert auch HubSpot verschiedene Nutzerdaten, wie zum Beispiel:

  • Name

  • Adresse

  • E-Mail-Adresse

  • IP-Adresse

Personenbezogene Daten beziehen sich auf bestimmte Einzelpersonen und machen diese identifizierbar. Damit ist der Umgang mit diesen Daten besonders sensibel und unterliegt den Regelungen der Europäischen Datenschutzgrundverordnung, sowie weiteren nationalen Datenschutzgesetzen, sofern diese anwendbar sind. Als Verordnung der Europäischen Union vereinheitlicht die DSGVO den Datenschutz in Europa und schafft für alle Mitgliedstaaten gleiche Datenschutzstandards und Transparenz. Bei der Nutzung von HubSpot gilt also die DSGVO, die den Schutz von personenbezogenen Daten vorsieht.

HubSpot & Datenschutz: Rechtliche Grundlage

Seit Juli 2021 können Nutzer:innen von HubSpot wählen, ob die verarbeiteten Daten auf Servern in Europa oder in den USA gespeichert werden sollen, wo weniger strenge Datenschutzbestimmungen als in der EU gelten. Ältere Verträge sind von dieser Option ausgenommen. Der EU-US Privacy Shield, der Absprachen zwischen EU und USA zum Datenschutzrecht beinhaltet, wurde durch den Europäischen Gerichtshof (EuGH) für nichtig erklärt. Seitdem dürfen Unternehmen den Privacy Shield nicht mehr als rechtliche Grundlage für die Datenverarbeitung, die Datenübermittlung in ein Drittland sowie die weitergehende Datenverarbeitung dort, verwenden. Die DSGVO jedoch untersagt Unternehmen, personenbezogene Daten in Drittländer zu übermitteln, in denen kein angemessenes Datenschutzniveau vorliegt. Daraus folgt: Die Speicherung der HubSpot-Daten auf US-Servern ist nach aktuellem Stand mit der DSGVO nicht vereinbar. Das gilt auch für Daten auf EU-Servern, auf die das US-Unternehmen Zugriff hat.

So nutzen Sie HubSpot als Unternehmen DSGVO-konform

Um HubSpot DSGVO-konform zu nutzen ist also ein AV-Vertrag zwischen Ihrem Unternehmen und HubSpot nötig. Da es sich bei Hubspot um einen Anbieter mit Sitz in den USA handelt, muss zusätzlich ein der DSGVO entsprechendes Datenschutzniveau durch sog. geeignete Garantien sichergestellt werden. Nur so ist gewährleistet, dass die Daten-Speicherung des CRM-Systems mit den datenschutzrechtlichen Bestimmungen der DSGVO im Einklang steht. Der AV-Vertrag sollte Informationen darüber enthalten, welche Nutzerdaten HubSpot wie lange speichert und insbesondere sicherstellen, dass die Datenverarbeitung nur gemäß der Weisung des Verantwortlichen erfolgen darf. Der Grund für die Datenspeicherung und -verarbeitung muss dabei ebenso transparent dargestellt sein wie die Rechte und Pflichten der Verantwortlichen.
HubSpot sollte darüber hinaus in die Datenschutzerklärung Ihres Unternehmens unter anderem mit den folgenden Erklärungen im Text einbezogen werden:

  • Hinweis auf die bestehende Rechtsgrundlage laut DSGVO und auf den abgeschlossenen AV-Vertrag zwischen Ihrem Unternehmen und HubSpot

  • Erklärung, warum und wie lange personenbezogene Daten erhoben und gespeichert werden

  • Verweis auf das Widerspruchsrecht der Datenspeicherung

Unter Berücksichtigung der oben genannten Punkte sind DSGVO und CRM-Systeme durchaus miteinander vereinbar in Sachen Datenschutz. Und doch birgt die Aufhebung des Privacy Shield als rechtliche Grundlage für die Datenspeicherung Risiken bei der Verwendung von CRM-Systemen. Laut EuGH herrscht in den USA derzeit kein angemessenes Datenschutzniveau auf Grundlage eines Angemessenheitsbeschlusses verglichen mit dem Privacy Shield, das die sichere Weitergabe und Verarbeitung der Daten gewährleistet. HubSpot reagierte auf diesen Umstand mit der Einrichtung eines Rechenzentrums in Europa sowie der Einführung von Standardvertragsklauseln, um ein sicheres Datenschutzniveau zu gewährleisten.

Dieser Artikel wurde am 07.01.2022 veröffentlicht. Datenschutzexperte.de übernimmt keine Haftung für die Aktualität des Artikels. Ereignisse, Urteile oder Umstände, die nach dem 07.01.2022 eingetreten sind, beziehen sich nicht auf die in diesem Artikel getroffenen Aussagen. 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 07.01.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey
Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 1.800 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr