Bei der Auswahl einer passenden Marketing- oder CRM-Software führt kein Weg an der Frage nach der Datenverarbeitung des jeweiligen Anbieters vorbei. HubSpot - eine All-in-One Plattform für Marketing und Sales - besitzt seit vielen Jahren eine Vorreiterstellung im Bereich von Marketing- bzw. CRM-Software. Da sich der Firmensitz von HubSpot allerdings in den USA befindet, wird die Speicherung von personenbezogenen Daten durch die Plattform häufig kritisch betrachtet. Mit dem Ende des EU-US Privacy Shield Abkommens im Jahr 2020 mangelt es an einer klaren rechtlichen Grundlage für die Übermittlung und Speicherung personenbezogener Daten in den USA. Eine junge Entwicklung könnte diese Zweifel jedoch ausräumen: Seit Juli 2021 bietet HubSpot ein Rechenzentrum in Deutschland mit einem Backup in Irland an. Doch sind hiermit tatsächlich alle Zweifel rund um die Datenverarbeitung von HubSpot unbegründet? In diesem Artikel erfährst du, ob HubSpot DSGVO-konform ist.
Was macht DSGVO-konformes Marketing aus?
Bevor du dich mit der Frage beschäftigst, ob HubSpot als DSGVO-konform einzustufen ist, solltest du zunächst verstehen, was DSGVO-konformes Marketing ausmacht. DSGVO (Englisch: GDPR) steht abgekürzt für die Datenschutz-Grundverordnung, die seit Mai 2019 innerhalb der EU gilt. Sie besteht aus einer Reihe von Gesetzen, die allesamt das Ziel vereint, die Persönlichkeitsrechte jedes Individuums zu schützen. Im Mittelpunkt stehen folglich personenbezogene Daten, d.h. solche Daten, welche sich auf eine konkrete Einzelperson beziehen und diese identifizierbar machen. In der Konsequenz der DSGVO dürfen somit jegliche persönlichen Informationen - z.B. zu Geschlecht, E-Mail-Adresse oder Wohnort - lediglich mit einer deutlichen Zustimmung der betroffenen Person gesammelt werden. Gleichzeitig besitzt jede Person das Recht, die Speicherung ihrer personenbezogenen Daten zu widerrufen.
Wieso besitzt die DSGVO für das Online Marketing eine so hohe Relevanz?
Ganz einfach: weil die Speicherung von personenbezogenen Daten im Bereich des Online Marketings allgegenwärtig ist und automatisiert erfolgt. Wenn ein Kunde beispielsweise das Formular zur Newsletter-Anmeldung auf deiner Website betrachtet, werden im Hintergrund bereits Informationen durch notwendige Cookies gespeichert. Sofern nicht klar und deutlich auf die Speicherung und Verwendung personenbezogener Daten hingewiesen wird, kann dies problematisch werden und zu existenzbedrohenden Strafen führen.
Wie genau kann ich also DSGVO-konformes Marketing betreiben?
Generell solltest du unbedingt darauf achten, lediglich jene personenbezogenen Daten abzufragen, die für die damit verbundene Leistung deines Unternehmens dringend erforderlich sind. Zudem gibt es gewisse personenbezogenen Daten, die aufgrund eines besonderen Schutzbedarfes keinesfalls erhoben werden dürfen. Hierzu zählen beispielsweise Informationen zum Gesundheitszustand, biometrische Daten und jegliche Daten, die eine Bewertung der ethnischen Herkunft zulassen oder mit religiösen, politischen oder weltanschaulichen Ansichten verbunden sind. Des Weiteren musst du den Besuchern deiner Website im Rahmen deiner Datenschutzerklärung die Möglichkeit zur Verfügung stellen, sich über die Verwendung ihrer personenbezogenen Daten informieren zu können. Ein weiterer zentraler Aspekt ist, dass du keinen Newsletter ohne Zustimmung versenden darfst. Um rechtswidrige Werbemails zu vermeiden, die eine unzumutbare Belästigung für den Konsumenten darstellen, ist das sogenannte Double Opt-in als einziges DSGVO-konformes Verfahren zur Newsletter-Anmeldung zu verwenden. Hierbei wird dem Interessenten nach dem Ausfüllen des Formulars zur Anmeldung zum Newsletter eine E-Mail mit einem Bestätigungslink zugesendet. Erst wenn dieser Link angeklickt wurde, darf ein Newsletter an den Konsumenten verschickt werden. Generell sollte jeder Newsletter einen Link beinhalten, mit welchem sich die Empfänger jederzeit vom Newsletter abmelden können.
Hubspost und die DSGVO: Lassen sich HubSpot und Datenschutz miteinander vereinbaren?
Um zu eruieren, ob HubSpot und die DSGVO miteinander vereinbar sind, betrachten wir zunächst die Frage, warum das Datenschutzniveau der USA von der EU als nicht angemessen eingestuft wird. Über viele Jahre hinweg wurde durch das EU-US Privacy Shield sichergestellt, dass die Daten zwischen Europa und den Vereinigten Staaten rechtskonform übermittelt werden. Mit der Verabschiedung des sogenannten "CLOUD Act" im Jahr 2018 erhielten US-Behörden allerdings Zugriff auf die Daten amerikanischer Unternehmen und somit gleichzeitig auch auf die Daten von deren Nicht-US-Kunden. Diese Tatsache steht laut dem europäischen Gerichtshof im Konflikt mit der europäischen Datenschutz-Grundverordnung. Allerdings sollte an dieser Stelle ergänzt werden, dass der Zugriff auf die Kundendaten durch US-Behörden nicht willkürlich erfolgen kann. Stattdessen ist der Zugriff lediglich mit einer Einwilligung der Kunden oder einem Haftbefehl bzw. einer gerichtlichen Anordnung gestattet. Infolge der Aufhebung des EU-US Privacy Shield stellt HubSpot seinen Nutzern seit Juli 2021 eine Wahlmöglichkeit zur Verfügung, ob ihre Daten auf Servern in Europa (genauer gesagt einem Rechenzentrum in Deutschland mit einem Backup in Irland) oder in den USA gespeichert werden sollen. Generell ist eine Übermittlung von personenbezogenen Daten in Drittländer und somit auch die USA gemäß der DSGVO jedoch nicht gänzlich verboten. Das Vorgehen gestaltet sich allerdings komplizierter, da gewisse Bedingungen erfüllt werden müssen, die in den Artikeln 44 bis 50 der DSGVO aufgeführt sind. HubSpot hat diese Bedingungen in seine Auftragsdatenschutzvereinbarung integriert.
Jetzt aber Klartext: Ist HubSpot nun DSGVO-konform?
Wenn du HubSpot DSGVO-konform nutzen möchtest, ist ein AV-Vertrag zwischen deinem Unternehmen und HubSpot von Nöten. Hiermit wird sichergestellt, dass ein Datenschutzniveau gewährleistet wird, welches mit der DSGVO im Einklang steht. In diesem Vertrag sollte beispielsweise geklärt werden, welche personenbezogenen Daten HubSpot auf welche Art und Weise und für welche Zeitdauer speichert. Für eine DSGVO-konforme Nutzung von HubSpot solltest du die Software darüber hinaus in die Datenschutzerklärung deines Unternehmens integrieren. Konkret sollte der geschlossene AV-Vertrag zwischen deinem Unternehmen und HubSpot und die Gewährleistung der DSGVO-konformen Datenspeicherung und -verarbeitung ersichtlich werden. Zusätzlich solltest du deine potenziellen und bestehenden Kunden darüber aufklären, aus welchen Gründen und für welche Zeitdauer ihre personenbezogenen Daten erhoben und gespeichert werden. Zu guter Letzt darf auch ein Hinweis auf das Widerspruchsrecht der Datenspeicherung nicht fehlen.
Um sicherzustellen, dass du HubSpot DSGVO-konform einsetzt, kannst du dich jederzeit auf den von HubSpot zur Verfügung gestellten Leitfaden für die DSGVO-konforme Nutzung der Software beziehen. Dieser wird regelmäßig aktualisiert und beinhaltet folglich alle wichtigen Gesetzesänderungen. Hier findest du einen Überblick über die zentralsten Aspekte des Leitfadens:
Cookies: Seit dem Inkrafttreten der DSGVO ist es Unternehmen untersagt, den Einsatz von Cookies auf berechtigtes Interesse zu stützen. Gemäß der DSGVO musst du die Besucher deiner Website deutlich darauf hinweisen, dass Cookies verwendet werden. Zudem müssen die Konsumenten sich damit einverstanden erklären, dass ihr Surfverhalten mithilfe von Cookies nachverfolgt wird. HubSpot bietet seinen Nutzern eine simple Möglichkeit, einen Cookie-Banner auf ihrer Website zu integrieren, mit welchem die benötigte Einwilligung der Konsumenten eingeholt werden kann.
Opt-ins: Wenn du mit HubSpot Newsletter versenden möchtest, müssen auch hier die rechtlichen Grundlagen beachtet werden. HubSpot ermöglicht es seinen Nutzern, die Einwilligung (Double Opt-in) der Newsletter-Abonnenten einfach nachzuverfolgen.
Löschung personenbezogener Daten: Gemäß der DSGVO steht den Konsumenten das Recht zu, eine Löschung der über sie gespeicherten Daten zu verlangen. Hierfür hat HubSpot eine spezielle Funktion, die sog. "DSGVO-konforme Löschung" integriert, mit welcher jegliche personenbezogenen Daten unwiderruflich gelöscht werden.
Das Thema Datenschutz ist für die Nutzung von Marketing- und insbesondere von CRM-Systemen von herausragender Bedeutung. Auch wenn es eine Vielzahl an Software-Anbietern in diesem Bereich gibt, schneiden europäische Anbieter im direkten Vergleich mit ihren US-amerikanischen Konkurrenten häufig sehr schlecht ab. Die US-Software HubSpot ist eines der beliebtesten Marketing- bzw. CRM-Systeme. Bei genauer Betrachtung wird deutlich, dass HubSpot das Thema Datenschutz sehr ernst nimmt und mit diversen Änderungen auf die Einführung der DSGVO in Europa reagiert hat. Folglich kann HubSpot DSGVO-konform genutzt werden.
Und wenn du dir bei konkreten Anwendungsfällen unsicher bist, kannst du jederzeit einen Blick in den Leitfaden für die DSGVO-konforme Nutzung von HubSpot werfen.