Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.

Datenschutzerklärung für HubSpot CRM

(8 Bewertungen, 4.88 von 5)

Was ist HubSpot CRM?

HubSpot CRM ist ein Tool für das Customer Relationship Management. Unternehmen können darüber bis zu einer Million Kunden und Kontakte verwalten. Dabei visualisiert das Tool Verkäufe in einem Dashboard. Unternehmen können diese nach relevanten Kenngrößen sortieren und nach eigenen Vorgaben vergleichen. Sie können so unter anderem mehr Leads generieren, ihren Vertrieb beschleunigen und das Kundenerlebnis verbessern. Was müssen Unternehmen datenschutzrechtlich beachten, wenn sie Hubspot CRM verwenden?

Der Punkt "HubSpot CRM" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

  

Darum ist HubSpot CRM datenschutzrechtlich relevant

Unternehmen erheben über HubSpot CRM verschiedene Nutzerdaten. Dazu zählen zum Beispiel

  • Kundennamen,
  • Adressen und
  • E-Mail-Adressen.

Zudem speichern sie über das Tool zum Teil auch IP-Adressen, die – je nach Einstellung – offen oder anonymisiert – abgelegt werden. Um all diese Daten auszuwerten, können Unternehmen pseudonymisierte Nutzerprofile erstellen. Sie erheben und speichern so personenbezogene Daten. Sie müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

HubSpot CRM datenschutzkonform nutzen

Um HubSpot CRM datenschutzkonform nutzen zu können, müssen Seitenbetreiber diese Anforderungen erfüllen:

User-Einwilligung in Cookies einholen

Damit Unternehmen Klicks, Kunden und Verkäufe auswerten können, setzt HubSpot CRM einen Cookie in den Browser von Usern. Derzeit ist nicht klar, welche Daten das Tool dabei genau erhebt. In der Regel dürfte es sich dabei jedoch um personenbezogene Daten handeln. Um diese zu sammeln, benötigen Unternehmen jedoch die Einwilligung von Nutzern. Sie sollten diese daher einholen. Das können sie zum Beispiel über ein  Cookie Consent Tool vornehmen. Mit diesem können sie einen Cookie Banner erstellen, der rechtssicher das Einverständnis der User in die Datenerhebung einholt.

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen, die personenbezogene Daten erheben und an Dritte zur weisungsgebundenen Verarbeitung weitergeben, müssen mit diesen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Das schreibt ihnen Artikel 28 Datenschutz-Grundverordnung (DSGVO) vor. Erheben Unternehmen Nutzerdaten über das Tool HubSpot CRM, geben sie diese an einen Dritten weiter, um die Daten aufbereiten zu lassen. Sie müssen daher mit HubSpot einen AV-Vertrag abschließen. Dabei sollten sie im Vertrag aufführen,

  • welche Nutzerdaten HubSpot erhält und speichert,
  • wie lange der Anbieter diese speichert,
  • warum er die Daten verarbeitet und speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Erheben Unternehmen über Hubspot CRM personenbezogene Daten, werden diese an den Anbieter in den USA übertragen. Das müssen sie in ihrer Datenschutzerklärung erwähnen. Darüber hinaus sollten sie ihre User auch auf die Datenschutzbestimmungen und Nutzungsbedingungen von HubSpot CRM hinweisen. Nutzer können sich dann selbst informieren, was mit ihren Daten in den USA passiert. Daneben sollten Unternehmen konkret erklären,

  • warum sie über Hubspot CRM personenbezogene Daten erheben,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. a DSGVO),
  • dass sie für die Datenweitergabe mit HubSpot CRM einen AV-Vertrag geschlossen haben und
  • dass User der Datenerhebung und Datenverarbeitung jederzeit widersprechen können.

Standardvertragsklauseln prüfen

Bisher konnten Unternehmen den Privacy Shield als rechtliche Grundlage verwenden, um Daten von der EU in die USA zu übertragen. Das ist durch die Entscheidung des EuGH nicht mehr möglich. Die DSGVO erlaubt es jedoch nicht, personenbezogene Daten zu verarbeiten und weiterzugeben, wenn in dem Drittland kein angemessenes Datenschutzniveau herrscht. In den USA ist das aktuell nicht der Fall, so die Einschätzung des EuGH.

Um dennoch personenbezogene Daten datenschutzkonform in die USA zu versenden, können Unternehmen Standardvertragsklauseln mit Hubspot CRM abschließen. Zusätzlich müssen sie das Risiko der Datenweitergabe in die USA überprüfen und dokumentieren. Dazu sollten Unternehmen offenlegen,

  • welche Daten sie an Hubspot CRM in den USA weitergeben,
  • welche Rechtsvorschriften in den USA gelten und
  • ob HubSpot selbst Schritte unternimmt, um die über das Tool erhobenen Daten zu schützen.

Rechtsprechung zu HubSpot CRM

Zu HubSpot CRM liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Es sind jedoch folgende Urteile und Einschätzungen für das Tool relevant:

Datenschutzbehörde Hamburg zum AV-Vertrag

Geben Unternehmen personenbezogene Daten zur weisungsgebundenen Verarbeitung an Dritte weiter und schließen sie dafür keinen AV-Vertrag, droht ihnen ein Bußgeld. Das kann laut Gesetz bei bis zu 10 Millionen Euro oder alternativ bei bis zu 2 Prozent des weltweiten Jahresumsatzes liegen. Die Datenschutzbehörde Hamburg sprach am 17.12.2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich Gebühren von 250 Euro gegen ein Versandunternehmen aus. Dies hatte mit einem beauftragten Dienstleister keinen AV-Vertrag geschlossen.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Zwischen 2016 und 2018 hatte der Fußball-Bundesligaclub VfB Stuttgart mehrere tausend Mitgliederdaten an Dienstleister weitergegeben, um diese verarbeiten zu lassen. Der Verein hatte dafür jedoch keinen AV-Vertrag mit den Dritten geschlossen. Die Datenschutzbehörde Baden-Württemberg sprach daher im März 2021 ein Bußgeld in Höhe von 300.000 Euro aus.

Europäischer Gerichtshof zur Verwendung von Cookies

Erheben Unternehmen Nutzerdaten über Tracking Cookies, benötigen sie dafür die Erlaubnis der User. Dabei ist es irrelevant, ob sie über die Cookies personenbezogene Daten erheben oder nicht. Zu diesem Ergebnis kam der Europäische Gerichtshof (EuGH) im Oktober 2019 (Az. C-673/17).

Bundesgerichtshof zur Verwendung von Cookies

Unternehmen benötigen für Tracking Cookies eine aktive Einwilligung der User. Das bedeutet: Sie dürfen für das Einholen der Einwilligung keine vormarkierte Checkbox verwenden. Zu diesem Schluss kam der Bundesgerichtshof (BGH) im Mai 2020 (I ZR 7/16).

eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(5900 Bewertungen, 4.39 von 5)