EU-US Data Privacy Framework
Update: 12.07.2023
Bis zum 10.07.2023 war der untere Teil dieses Artikels wichtig, um herauszufinden, ob HubSpot DSGVO-konform genutzt werden kann. Das hat sich mit dem 10. Juli 2023 allerdings deutlich geändert, denn mit diesem Tag tritt das neue Abkommen zwischen den USA und der EU, nämlich das EU-US Data Privacy Framework, in Kraft.
Der wesentliche Aspekt, ist, dass die USA nun nicht mehr als unsicheres Drittland in Bezug auf das Datenschutzniveau angesehen werden und damit eine Übermittlung von personenbezogenen Daten in die USA wieder erlaubt ist.
Was bedeutet das konkret? Die EU-Kommission kann gemäß Artikel 45 Abs. 3 der DSGVO beschließen, dass ein Drittland (in diesem Fall die USA) ein angemessenes Schutzniveau bietet. Damit dürfen personenbezogene Daten aus der EU (und einigen anderen Ländern) übermittelt werden, ohne dass es weiterer Schutzmaßnahmen bedarf.
Im Vorfeld waren natürlich einige Änderungen der US-Rechtslage erforderlich, da ein solcher Beschluss, ohne inhaltliche Änderungen sofort wieder gekippt werden könnte. Nach Verhandlungen zwischen Kommissionsmitglied Reynders und US-Handelsministerin Raimondo, haben US-Präsident Biden, sowie US-Generalstaatsanwalt Garland, mit der „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ ein Dokument geschaffen, dass US-Behörden den Zugriff auf personenbezogene Daten von EU-Bürger:innen unmöglich machen bzw. in angemessenen Einzelfällen deutlich erschweren.
Kommissionspräsidentin Ursula von der Leyen kommentierte: „Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich im vergangenen Jahr mit Präsident Biden erzielt habe, haben die USA beispiellose Zusagen zur Schaffung des neuen Rahmens gemacht. Heute kommen wir einen wichtigen Schritt dabei voran, den Bürgerinnen und Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu stärken. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können.“
Ebenfalls wurden Sicherheitsmechanismen zur Kontrolle der Einhaltung dieser neuen Vorgehensweise implementiert, die EU-Bürger:innen noch mehr Sicherheit bieten sollen.
Ob das neue Framework auch Bestand hat, werden wir wohl in den nächsten Monaten erfahren.
Sollte das neue Abkommen gekippt werden, gilt vermutlich wieder die Gesetzeslage wie vor dem 10.07.2023. Deswegen finden Sie hier die relevanten Informationen für die Zeit bis zum neuen EU-US Data Privacy Framework:
HubSpot und das Schrems II Urteil
Lange Zeit gab es das EU-US Privacy Shield Abkommen, dass eine rechtskonforme Übermittlung von Daten zwischen der EU und den USA, ermöglichte. Doch seit dem Schrems II Urteil und der Einstufung der USA als nicht sicheres Land für die Aufbewahrung von personenbezogenen Daten aus der EU, sind die Dinge etwas komplizierter geworden.
Komplizierter, jedoch nicht verboten.
Denn laut Kapitel 5 der DSGVO ist die Übermittlung von personenbezogenen Daten in Drittländer nicht verboten. Es gibt sogar eine ganze Menge an Ländern außerhalb der EU, bei denen die Übermittlung problemlos möglich ist. Um allerdings in die USA Daten zu exportieren, gestattet die EU-Kommission die Berufung sogenannte Standardvertragsklauseln (SCCs), sofern diese die Bedingungen erfüllen, die in der DSGVO in den Artikeln 44 bis 50, erläutert werden. Bei HubSpot sind diese SCCs Teil der Auftragsdatenschutzvereinbarung.
HubSpot und der Cloud Act
2008 wurde in den USA der sogenannte Cloud Act verabschiedet. Dieses Gesetz ermöglicht es amerikanischen Behörden den Zugriff auf Daten von US-Unternehmen, speziell wenn diese Ihre Daten nicht innerhalb der USA speichern.
Und genau hier entschied der Europäische Gerichtshof, dass gemäß Artikel 45 der DSGVO ein den EU-Standards entsprechendes Sicherheitsniveau nicht mehr gegeben sei.
Was dabei allerdings häufig übersehen wird: Die Herausgabe der Daten geschieht nicht rein willkürlich. Es ist dazu ein gerichtlicher Beschluss eines US-Gerichts nötig. Und es besteht ein Einspruchsrecht der herausgebenden Stelle, „wenn der Eigentümer der Daten kein US-Bürger ist, nicht in den USA lebt und das Unternehmen durch die Herausgabe der Daten gegen Recht anderer Länder verstoßen würde“.
Damit steht Kund:innen von HubSpot natürlich ein Einspruchsrecht zu. Und auch wenn das nicht angenehm ist, verstoßen Sie nicht gegen die DSGVO.
Übrigens: Diese Urteile lassen sich an einer Hand abzählen und HubSpot musste bis heute (Stand Sommer 2021) in seiner Firmengeschichte noch keine Daten aufgrund des Cloud Acts herausgeben.
HubSpot und Data Hosting in der EU
Seit Juli 2021 werden alle neuen Accounts von Unternehmen aus der EU in einem Rechenzentrum in Deutschland mit einem Backup in Irland gehostet. Damit hat sich das Thema der Datenübertragung in die USA weitestgehend erledigt.
Kund:innen und deren Accounts, die bereits vor 2021 HubSpot eingeführt haben, erhalten voraussichtlich ab 2022 die Möglichkeit ihren Account ebenfalls in das Rechenzentrum in Deutschland zu transferieren.
HubSpot DSGVO-konform aufsetzen und nutzen
Aber nicht nur das Hosting von Daten ist wichtig, um DSGVO-konform arbeiten zu können. Das Tool selbst muss auch über die entsprechenden Module verfügen, damit Sie hier nicht in rechtliche Grauzonen oder schlimmeres laufen.
Aus diesem Grund hat HubSpot eine Reihe an Modulen entwickelt, die eine DSGVO-konforme Nutzung ermöglichen. Wie man diese Settings aktiviert und einsetzt, beschreibt HubSpot in diesem Artikel: DSGVO-Funktionalität in Ihrem HubSpot-Account aktivieren
Zusätzlich hat HubSpot auch noch einen Leitfaden für die DSGVO-konforme Nutzung des Tools produziert, der auch bei allen Änderungen laufend aktualisiert wird: Leitfaden zur DSGVO-konformen Nutzung von HubSpot
Lässt sich HubSpot also DSGVO-konform nutzen?
Aktuell ist die Nutzung von HubSpot nicht verboten und damit erlaubt. Wichtig ist allerdings, dass Sie das EU-Rechenzentrum in Anspruch nehmen und die SCCs in Zusammenhang mit der ADV unterzeichnen. Allerdings ist das ohnehin ein Standardprozedere.
Ob die Nutzung von US-Software wie HubSpot auch legal bleiben wird, lässt sich allerdings nicht voraussagen. Es kann schon sein, dass zukünftige „Schrems XX Urteile“ eine Nutzung tatsächlich verbieten.
Wobei ich das persönlich für recht unwahrscheinlich halte. Immerhin wäre nicht nur HubSpot von einer solchen rechtlichen Änderung betroffen, sondern auch Microsoft, Salesforce, Marketo und viele weitere Tools.
Ergibt es Sinn auf EU-Tools zu setzen statt auf HubSpot?
Aus meiner Sicht leider nicht. Wirklich vollwertige Marketing Automation Tools aus der EU gibt es eigentlich fast nicht. Lassen Sie sich hier nicht von Beschreibungen der Hersteller:innen täuschen. Z.B. ein E-Mail-Tool mit einer Workflow-Engine ist noch lange kein Marketing Automation Tool.
Und wenn wir uns ehrlich sind: Die US-Unternehmen sind den europäischen Anbieter:innen tatsächlich um einiges voraus, was Funktionalität, Usability … angeht. Tatsächlich sehe ich hier keine Alternative als diese – zumindest noch andauernde – Unsicherheit in Kauf zu nehmen, dass US-Tools vielleicht (auch wenn es unwahrscheinlich ist) verboten werden.
HubSpot GDPR – Wollen Sie es genau wissen?
Auch wenn ich versucht habe, die Faktenlage möglichst genau zu schildern, gibt es definitiv noch weitere Aspekte oder Detailfragen und Sonderfälle, die man betrachten könnte. Wenn Sie sich also vor der Einführung von HubSpot mit uns austauschen wollen, dann buchen Sie sich einfach ein kostenloses HubSpot Erstgespräch und stellen Sie uns Ihre Fragen: HubSpot Erstgespräch vereinbaren.
