HubSpot und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber HubSpot ein, verarbeitet er Besucher-, Kontakt- und Interaktionsdaten zum Zweck des Customer Relationship Managements (CRM), Marketing Automation und Website-Analytics auf Basis von Einwilligung (bei Tracking), berechtigten Interessen (bei Formularen) oder Vertragsdurchführung (bei Kundenbeziehungen) gemäß DSGVO. Diese Information beruht auf Angaben des Anbieters und öffentlich zugänglichen Quellen.

A. Zweck und Funktionsweise von HubSpot

HubSpot ist eine umfassende CRM- und Marketing-Automation-Plattform der US-amerikanischen HubSpot Inc. mit EU-Niederlassung HubSpot Ireland Ltd. Sie ermöglicht Webseitenbetreibern:

1. Website-Tracking: Ein Tracking-Pixel (HubSpot Analytics Code) erfasst Besucherdaten (Pages-View, Klicks, Verweildauer)
2. Formular-Management: HubSpot-Formulare auf der Website erfassen Kontaktdaten (Name, E-Mail, Telefon, etc.)
3. Chat und Live Support: Ein Chat-Widget ermöglicht Echtzeit-Kommunikation mit Besuchern
4. E-Mail-Marketing: Automatisierte E-Mail-Kampagnen an Kontakte
5. CRM-Datenbank: Zentrales System zur Verwaltung von Kundendaten, Deals und Interaktionshistorie
6. Personalisierung: Inhalte und Angebote werden basierend auf Besucherprofil angepasst

Technische Integration: Der Webseitenbetreiber bindet den HubSpot-Tracking-Code (ein asynchrones JavaScript-Snippet) in den <head>- oder <body>-Bereich seiner Website ein. Zusätzlich können HubSpot-Formulare und Chat-Widgets eingefügt werden. Der Tracking-Code setzt beim Laden einen Cookie auf dem Gerät des Besuchers und sendet Daten an HubSpots Server.

B. Pflichtangaben in der Datenschutzerklärung zu HubSpot

Die DSGVO verlangt von Webseitenbetreibern, folgende Punkte transparent zu erläutern:

• Verarbeitungszwecke (Art. 13 Abs. 1 lit. c): Warum werden Daten verarbeitet?
• Rechtsgrundlagen (Art. 13 Abs. 1 lit. c): Auf welcher rechtlichen Basis erfolgt die Verarbeitung?
• Berechtigte Interessen (Art. 13 Abs. 1 lit. d): Falls über berechtigte Interessen legitimiert
• Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e): An wen werden Daten weitergegeben?
• Drittlandtransfers (Art. 13 Abs. 1 lit. f): Werden Daten in Länder außerhalb der EU/des EWR übermittelt?
• Speicherdauer (Art. 13 Abs. 2 lit. a): Wie lange werden Daten gespeichert?
• Betroffenenrechte (Art. 13 Abs. 2 lit. b und c): Auskunfts-, Lösch- und Widerspruchsrechte

Häufiger Fehler: Viele Webseitenbetreiber verwenden HubSpots Standard-Datenschutztext direkt in ihre Erklärung. Dies widerspricht Art. 12 Abs. 1 DSGVO (Klarheit und Verständlichkeit). Ein themenorientierter Ansatz ist besser: Strukturieren Sie nach Verarbeitungszwecken (z. B. „Website-Analytics", „CRM und Marketing"), nicht nach einzelnen Tools.

C. Anbieter von HubSpot: HubSpot Inc. / HubSpot Ireland Ltd.

Hinweis: HubSpot hat eine EU-Niederlassung in Irland und ist DPF-zertifiziert, was die Rechtskonformität von Datentransfers in die USA gewährleistet.

D. Datenverarbeitung durch HubSpot – Ablauf

E. Erhobene Daten beim Einsatz von HubSpot

HubSpot erfasst ein breites Spektrum an Daten:

Tracking-Daten (via Analytics Code):

• IP-Adresse
• Cookie-ID (HubSpot-Cookie: hubspotutk)
• Besuchte URLs und Referrer
• Page-View-Zeit und Verweilldauer
• Klicks und angeklickte Links/Buttons
• Scroll-Tiefe und Engagement-Metadaten
• Browser, Betriebssystem, Gerätetyp
• Zeitzone und grobe Standortdaten
• Session-Informationen

Formular-Daten:

• Name, E-Mail-Adresse, Telefonnummer
• Unternehmensname
• Jobtitel
• Benutzerdefinierte Formularfelder (je nach Konfiguration)

Chat-Daten:

• Chat-Nachrichten und Zeitstempel
• IP-Adresse und Browser-Info
• Besucheridentifizierung

CRM-Daten (extern hinzugefügt):

• Kundendaten aus externen Systemen
• Purchase-Historie
• Kundeninteraktionshistorie
• Vertragsinformationen

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit/Zeitzone, URL, Referrer, Browser/OS/Gerät, technische Metadaten
• Klickpfade: Besuchte Seiten inkl. Referrer, angeklickte Links/Schaltflächen mit Datum/Uhrzeit
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Ausrichtung
• Browserinformationen: Browsername, Browserversion, installierte Erweiterungen
• Grobe Standortdaten: IP-basierter grober Standort auf Stadt-/Gemeindeebene
• Nutzungskonto-Daten: Benutzername/-kennung, E-Mail-Adresse, Name, Telefon
• Interaktionsdaten: Chat-Nachrichten, Formular-Eingaben, Engagements (E-Mail-Öffnungen, Link-Klicks)
• Konversions-Ereignisse: Formular-Abmeldung, Chat-Initiierung, Download, Angebot-Anfrage
• Technische Telemetriedaten: Fehlerquoten, Ladezeiten, Session-Informationen

F. Nutzungszwecke beim Einsatz von HubSpot

HubSpot verarbeitet Daten mit folgenden Zwecken:

• Funktionsbereitstellung: Website-Analytics, Kontaktverwaltung, Chat-Support, E-Mail-Marketing
• CRM und Kundenbeziehungsmanagement: Zentraler Ort zur Verwaltung aller Kundeninteraktionen
• Marketing Automation: Automatisierte E-Mail-Kampagnen, Lead-Scoring, Personalisierung
• Allgemeines Marketing: Ausrichtung von E-Mail-Kampagnen, Erfolgsmessung, A/B-Testing
• Nutzerprofil-Erstellung: Erstellung von Kontaktprofilen, Segmentierung, Personalisierung
• Nutzerindividuelles Marketing: Personalisierte Website-Inhalte, dynamische Landing Pages
• Kommunikation: Support via Chat, E-Mail-Kampagnen, Lead-Nurturing
• Allgemeine Produktverbesserung: Optimierung der HubSpot-Plattform auf Basis von Nutzungsdaten

G. Rechtsgrundlagen für HubSpot

HubSpot ist ein großes Tool mit mehreren Funktionen und daher mehreren potentiellen Rechtsgrundlagen:

1. Website-Tracking (Analytics Code):

• Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG
• Einwilligung erforderlich: Ja, vor dem Laden des Tracking-Codes
• Cookie-Banner nötig: Ja, mit expliziter Opt-in-Option für HubSpot

2. Formulare (Name, E-Mail-Adresse):

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Vertragsanbahnung) oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Einwilligung erforderlich: In der Regel nicht – der Nutzer willigt implizit durch Absenden des Formulars ein
• Cookie-Banner: Für die Speicherung in der CRM nicht erforderlich

3. Chat-Widget:

• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, wenn es nur zur Funktionalität dient)
• Einwilligung erforderlich: Abhängig von Konfiguration – wenn Daten auch zu Marketing-Zwecken verwendet werden: Ja

4. E-Mail-Marketing:

• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) + § 7 Abs. 2 Nr. 1 UWG (Opt-In für E-Mail-Werbung)
• Einwilligung erforderlich: Ja, spezifische Einwilligung zum Empfang von Marketing-E-Mails
• Double-Opt-In empfohlen: Standard bei E-Mail-Marketing

Pauschale Aussage: Im Einzelfall sollte die Rechtsgrundlage mit einem Juristen geprüft werden, da sie von der genauen Konfiguration abhängt.

H. Besonderheiten und Hinweise zu HubSpot

• DPF-Zertifizierung: HubSpot ist DPF-zertifiziert, was die Rechtskonformität von Datentransfers in die USA gewährleistet. Die Zertifizierung sollte regelmäßig überprüft werden.
• EU-Rechenzentren: HubSpot hat EU-Rechenzentren, aber auch US-Server. Der Betreiber kann in den HubSpot-Einstellungen EU-Datenspeicherung konfigurieren.
• Auftragsverarbeiter: HubSpot handelt als Auftragsverarbeiter (Art. 28 DSGVO) für Website-Integration. Ein DPA (Data Processing Agreement) ist unter https://legal.hubspot.com/dpa abrufbar und sollte unterzeichnet sein.
• Standard Contractual Clauses (SCCs): HubSpot nutzt SCCs für Datentransfers in die USA (zusätzlich zur DPF-Zertifizierung).
• Subprozessoren: HubSpot nutzt Subprozessoren (z. B. AWS für Hosting, Slack für Integrationen). Eine aktuelle Liste ist auf der HubSpot-Website verfügbar.
• Datenschutzmitteilungen: HubSpot stellt Datenschutzmitteilungen bereit, die in die Website integriert werden können. Diese sollten überprüft werden.
• Betroffenenrechte: Nutzer haben Rechte auf Auskunft, Berichtigung, Löschung und Widerspruch. HubSpot hat Tools zur Verarbeitung dieser Anfragen.
• Marketing Compliance: Bei E-Mail-Marketing müssen Gesetze wie UWG § 7 beachtet werden (Double-Opt-In, Abmeldung möglich).
• Datenschutz-Kontakt: Der Datenschutzbeauftragte von HubSpot ist über https://legal.hubspot.com/ erreichbar.

I. FAQ zu HubSpot

J. Fazit und Empfehlung zu HubSpot

Zusammenfassung: HubSpot ist ein umfangreiches CRM- und Marketing-Tool mit mehreren Datenschutz-Anforderungen je nach eingesetzten Funktionen. Mit korrekter Konfiguration und Dokumentation ist HubSpot DSGVO-konform.

Warum Textbausteine problematisch sind: Die Datenschutzerklärung sollte nicht einfach HubSpots Standard-Text kopieren. Dies widerspricht Art. 12 Abs. 1 DSGVO. Nutzer sollen verstehen, welche Daten für welche Zwecke verarbeitet werden – nicht durch technische Dokumentation verwirrt werden.

Empfohlener Ansatz: Eine themenorientierte Datenschutzerklärung mit klarer Struktur ist besser:

1. Website-Analytics: Erklären Sie, dass HubSpot Besucherdaten erfasst
2. CRM und Marketing: Erklären Sie, dass Kontaktdaten gespeichert und Marketing-automatisiert werden
3. E-Mail-Marketing: Spezifische Informationen zu E-Mail-Kampagnen und Opt-Out
4. Empfänger-Anhang: Nennen Sie HubSpot und weitere Empfänger

Empfehlungen für Betreiber:

• DPA unter https://legal.hubspot.com/dpa unterschreiben
• Cookie-Banner mit spezifischer Opt-in für HubSpot implementieren
• EU-Rechenzentren in HubSpot konfigurieren (falls möglich)
• Regelmäßig DPF-Zertifizierungsstatus überprüfen
• Betroffenenrechte-Anfragen dokumentieren