hubspot-datenschutz

HubSpot & Datenschutz: Ist HubSpot DSGVO-konform?

Viele Unternehmen, die vor der Einführung einer Marketing-Automation- (MA) oder CRM-Software stehen, befassen sich im Auswahlprozess früher oder später mit der Datenverarbeitung der jeweiligen Software-Anbieter. Die Bewertung des Datenschutzbeauftragten führt dabei nicht selten dazu, dass die sicher geglaubte Software-Entscheidung der Initiatoren aus Marketing, Vertrieb oder Geschäftsführung gekippt wird. Spoiler: Die Empfehlung fällt selten zugunsten von US-Cloud-Dienstleistern aus, da die meisten von ihnen ihre Daten auch außerhalb der EU verarbeiten – aber eben nicht alle …

HubSpot mit EU-Datenhosting

HubSpot ist zwar für Viele das Sinnbild für intuitive CRM-, Marketing- und Vertriebs-Software, unter einigen Juristen mit strenger Auslegungsphilosophie hingegen bis vor kurzem noch ein rotes Tuch. Der Einsatz amerikanischer Software zur Erfassung personenbezogener Daten war spätestens seit dem Ende des EU-US Privacy Shield (P.S.) Abkommens durch das Schrems II Urteil heißumstritten, da seither eine einheitliche rechtliche Grundlage zur Übermittlung personenbezogener Daten in die USA fehlt.
Umso mehr dürfte es viele Unternehmen freuen, dass HubSpot seit Juli 2021 ein deutsches Rechenzentrum mit Backup in Irland anbietet. Damit gehört HubSpot zu den wenigen bekannteren Cloud-Softwareanbietern im Bereich CRM und Marketing Automation, die eine Datenverarbeitung im EU-Raum ermöglichen. Hier ein Vergleich beliebter Marketing Automation Anbieter hinsichtlich der Orte ihrer Datenverarbeitung:

MA AnbieterEU HostingQuelle
HubSpotjaLink 1
Link 2
IBM WatsonneinLink
Oracle EloquaneinLink
Salesforce PardotneinLink
MarketoneinLink
Act-OnneinLink
SharpspringneinLink
SalesMANAGOjaLink
Active CampaignneinLink
KlaviyoneinLink
MailchimpneinLink
GetResponseneinLink
EmarsysjaLink
Microsoft Dynamics 365neinLink

Stand:  Juli 2021
Quelle: mediaworx.com

💡 Tipp: Hier mehr zum übergreifenden Marketing Automation Tool Vergleich (Features, Preise, etc.) erfahren

Für Neukunden seit Juli 2021

Seit Juli 2021 können Unternehmen, die einen Neukundenvertrag mit HubSpot abschließen, entscheiden, wo sie ihre Daten speichern möchten: in oder außerhalb der EU. Letzteres ist sicherlich den meisten EU-Unternehmen zu empfehlen, da ein späterer Umzug nicht ohne weiteres möglich ist.

💡 Fun Fact: Als HubSpot Partner Agentur haben wir das erste EU-Kundenportal für einen namhaften deutschen Versicherer aufgesetzt.

Für Bestandskunden ab 2022

Einen kleinen Haken gibt es allerdings – noch. Das Datenhosting in der EU steht vorerst nur Neukunden zur Verfügung. Laut den FAQs auf der Seite zum neuen HubSpot EU-Rechenzentrum werde die Migration bereits existierender Kundenaccounts erst ab 2022 ermöglicht. Ein genaueres Datum könne man noch nicht verkünden. Grund dafür sind zeitaufwendige Herausforderungen technischer Natur.

Auf welcher Rechtsgrundlage konnte HubSpot nach dem Ende des EU-US P.S. Abkommens genutzt werden?

Laut Kapitel 5 der DSGVO ist die Übermittlung personenbezogener Daten in Drittländer nicht verboten. Es müssen allerdings bestimmte Bedingungen erfüllt werden, welche in Artikel 44-50 der DSGVO detaillierter erläutert werden.

Da die USA nicht mehr zu den Staaten zählt, in die Daten problemlos übermittelt werden können (siehe unten Liste genehmigter Nicht-EU-Länder), sind HubSpot und andere US-Anbieter gezwungen, auf sogenannte Standardvertragsklauseln (SCC) auszuweichen, die im Grundsatz durch die EU-Kommission gestattet sind. Diese sind meistens Bestandteil der Auftragsdatenschutzvereinbarung (ADV), so auch bei HubSpot in Abschnitt 10 Anlage 3 zu finden. Darin festgehalten sind u.a. der Umgang und die Pflichten des Anbieters im Kontext der Übermittlung, Speicherung und Verarbeitung personenbezogener Daten.

In welche Nicht-EU-Staaten können Daten problemlos übermittelt werden?

Es gibt zwar Nicht-EU-Länder, mit denen die EU eine Vereinbarung hat, wodurch die Datenübermittlung mehr oder weniger problemlos erfolgen kann. Allerdings gehört die USA und damit HubSpot nicht dazu:

  • Andorra
  • Argentinien
  • Kanada
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Insel Man
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Quelle: Europäische Kommission (Stand: Juli 2021)

Warum wird das Datenschutzniveau der USA durch die EU nicht als angemessen erachtet?

2018 wurde der sogenannte CLOUD Act verabschiedet, der US-Behörden Zugriff zu Daten amerikanischer Unternehmen erlauben soll – auch wenn es sich um Daten von Nicht-US-Bürgern handelt. Entgegen vielen Gerüchten und Behauptungen unterliegt der Zugriff aber nicht reiner Willkür. Der Zugriff ist nur gestattet 1) mit dem Zugeständnis des Kunden oder 2) mit einem Haftbefehl einer gerichtlichen Anordnung. Über die Häufigkeit der Vorkommnisse behördlicher Zugriffe ist leider wenig bekannt. Die Tatsache allein, dass sich die USA diese Hintertür offen lässt, verursacht einen Konflikt mit der europäischen Datenschutzgrundverordnung (DGSVO, Englisch: GDPR). Nach Auffassung des Europäischen Gerichtshofs war ein angemessenes Datenschutzniveau gemäß Artikel 45 DSGVO nicht mehr gegeben.

Warum also nicht einfach auf europäische Software zurückgreifen?

Im Bereich Marketing Automation und CRM gibt es hunderte Software-Anbieter. Ein Bruchteil davon kommt aus Europa. Und die wenigen Anbieter, die es gibt, schneiden größtenteils schlecht ab. Darüber hinaus gibt es in den meisten Fällen schlichtweg nicht genügend Bewertungen (siehe zum Beispiel die G2Crowd-Rankings für Marketing Automation und CRM, die auf Nutzerbewertungen basieren). Die vorderen Ranking-Plätze teilen sich hingegen vorwiegend amerikanische Unternehmen. Das hängt zum einen am höheren Bekanntheitsgrad der vertriebs- und vermarktungsstarken amerikanischen Anbieter, aber zum anderen eben auch am Produkt selbst. Am Ende ist ein gutes Produkt ein Wettbewerbsvorteil, den man ungern zugunsten von Datenschutz allein aufgibt.

Dass der Weg an amerikanischer Software nicht vorbeiführt, wird spätestens durch einen Appell der deutschen Wirtschaft an die Politik deutlich. Wie aus dem Handelsblatt hervorgeht („Dax-Chefs in „großer Sorge“ wegen US-Cloud-Risiken – Ampel-Parteien wollen sichere Rechtsgrundlage“ – Stand: 24.10.2021), fordern mittlerweile auch große deutsche Unternehmen mehr Klarheit und Rechtssicherheit im Umgang mit US Cloud Anbietern, da sich für viele Unternehmen heute bereits eine systemseitige Abhängigkeit etabliert hat. Wann aber ein neues EU-US-Abkommen zustande kommt, ist allerdings noch unbekannt.

Haben Sie noch Fragen oder benötigen Unterstützung bei der Einführung von HubSpot?

Ich freue mich über Ihre Kontaktaufnahme:

Marcus Krautkrämer
Team Lead Marketing Automation & CRM
krautkraemer@mediaworx.com
+49 30 27580283

 

Disclaimer: Die Inhalte sind nach bestem Wissen und Gewissem verfasst worden. Vorsorglich weisen wir trotzdem darauf hin, dass wir keine Rechtsberatung ersetzen. 

Marcus Krautkrämer

Marcus Krautkrämer (LinkedIn) ist als Team Lead für den Auf- und Ausbau des Bereichs Marketing Automation & CRM innerhalb der mediaworx berlin AG verantwortlich.

E-Mail
Artikel teilen

Kontakt