
HubSpot und das Schrems II Urteil
Lange Zeit gab es das EU-US Privacy Shield abkommen, dass eine rechtskonforme Übermittlung von Daten zwischen der EU und den USA, ermöglichte. Doch seit dem Schrems II Urteil und der Einstufung der USA als nicht sicheres Land für die Aufbewahrung von personenbezogenen Daten aus der EU, sind die Dinge etwas komplizierter geworden.
Komplizierter, jedoch nicht verboten.
Denn laut Kapitel 5 der DSGVO ist die Übermittlung von personenbezogenen Daten in Drittländer nicht verboten. Es gibt sogar eine ganze Menge an Ländern außerhalb der EU, bei denen die Übermittlung problemlos möglich ist. Um allerdings in die USA Daten zu exportieren, gestattet die EU-Kommission die Berufung sogenannte Standardvertragsklauseln (SCCs), sofern diese die Bedingungen erfüllen die in der DSGVO in den Artikeln 44 bis 50, erläutert werden. Bei HubSpot sind diese Teil der Auftragsdatenschutzvereinbarung.
HubSpot und der Cloud Act
2008 wurde in den USA der sogenannte Cloud Act verabschiedet. Dieses Gesetz ermöglicht es amerikanischen Behörden den Zugriff auf Daten von US-Unternehmen, speziell wenn diese Ihre Daten nicht innerhalb der USA speichern.
Und genau hier entschied der Europäische Gerichtshof, dass gemäß Artikel 45 der DSGVO ein den EU-Standards entsprechendes Sicherheitsniveau nicht mehr gegeben sei.
Was dabei allerdings häufig übersehen wird: Die Herausgabe der Daten geschieht nicht rein willkürlich. Es ist dazu ein gerichtlicher Beschluss eines US-Gerichts nötig. Und es besteht ein Einspruchsrecht der herausgebenden Stelle, "wenn der Eigentümer der Daten kein US-Bürger ist, nicht in den USA lebt und das Unternehmen durch die Herausgabe der Daten gegen Recht anderer Länder verstoßen würde".
Damit steht Kund:innen von HubSpot natürlich ein Einspruchsrecht zu. Und auch wenn das nicht angenehm ist, verstoßen Sie nicht gegen die DSGVO.
Übrigens: Diese Urteile lassen sich an einer Hand abzählen und HubSpot musste bis heute (Stand Sommer 2021) in seiner Firmengeschichte noch keine Daten aufgrund des Cloud Acts herausgeben.
HubSpot und Data Hosting in der EU
Seit Juli 2021 werden alle neuen Accounts von Unternehmen aus der EU in einem Rechenzentrum in Deutschland mit einem Backup in Irland gehostet. Damit hat sich das Thema der Datenübertragung in die USA weitestgehend erledigt.
Kund:innen und deren Accounts, die bereits vor 2021 HubSpot eingeführt haben, erhalten voraussichtlich ab 2022 die Möglichkeit ihren Account ebenfalls in das Rechenzentrum in Deutschland zu transferieren.
HubSpot DSGVO-konform aufsetzen und nutzen
Aber nicht nur das Hosting von Daten ist wichtig, um DSGVO-konform arbeiten zu können. Das Tool selbst muss auch über die entsprechenden Module verfügen, damit Sie hier nicht in rechtliche Grauzonen oder schlimmeres laufen.
Aus diesem Grund hat HubSpot eine Reihe an Modulen entwickelt, die eine DSGVO-konforme Nutzung ermöglichen. Wie man diese Settings aktiviert und einsetzt, beschreibt HubSpot in diesem Artikel: DSGVO-Funktionalität in Ihrem HubSpot-Account aktivieren
Zusätzlich hat HubSpot auch noch einen Leitfaden für die DSGVO-konforme Nutzung des Tools produziert, der auch bei allen Änderungen laufend aktualisiert wird: Leitfaden zur DSGVO-konformen Nutzung von HubSpot
Lässt sich HubSpot also DSGVO-konform nutzen?
Aktuell ist die Nutzung von HubSpot nicht verboten und damit erlaubt. Wichtig ist allerdings, dass Sie das EU-Rechenzentrum in Anspruch nehmen und die SCCs in Zusammenhang mit der ADV unterzeichnen. Allerdings ist das ohnehin ein Standardprozedere.
Ob die Nutzung von US-Software wie HubSpot auch legal bleiben wird, lässt sich allerdings nicht voraussagen. Es kann schon sein, dass zukünftige "Schrems XX Urteile" eine Nutzung tatsächlich verbieten.
Wobei ich das persönlich für recht unwahrscheinlich halte. Immerhin wäre nicht nur HubSpot von einer solchen rechtlichen Änderung betroffen, sondern auch Microsoft, Salesforce, Marketo und viele weitere Tools.
Macht es Sinn auf EU-Tools zu setzen statt auf HubSpot?
Aus meiner Sicht leider nicht. Wirklich vollwertige Marketing Automation Tools aus der EU gibt es eigentlich fast nicht. Lassen Sie sich hier nicht von Beschreibungen der Hersteller:innen täuschen. Z.B. ein E-Mail-Tool mit einer Workflow-Engine ist noch lange kein Marketing Automation Tool.
Und wenn wir uns ehrlich sind: Die US-Unternehmen sind den europäischen Anbieter:innen tatsächlich um einiges voraus, was Funktionalität, Usability, ..., angeht. Tatsächlich sehe ich hier keine Alternative als diese - zumindest noch andauernde - Unsicherheit in Kauf zu nehmen, dass US-Tools vielleicht (auch wenn es unwahrscheinlich ist) verboten werden.
HubSpot GDPR - Wollen Sie es genau wissen?
Auch wenn ich versucht habe, die Faktenlage möglichst genau zu schildern, gibt es definitiv noch weitere Aspekte oder Detailfragen und Sonderfälle, die man betrachten könnte. Wenn Sie sich also vor der Einführung von HubSpot mit uns austauschen wollen, dann buchen Sie sich einfach ein kostenloses HubSpot Erstgespräch und stellen Sie uns Ihre Fragen: HubSpot Erstgespräch vereinbaren
Geschrieben von Michael Vaclav
Michael Vaclav ist Senior Consultant Marketing & Sales Automation bei brandREACH und für die Beratung von Kund:innen hinsichtlich der Einführung & Optimierung von Marketing Automation zuständig. Darüber hinaus ist er Unterrichtender & Vortragender an Universitäten, Fachhochschulen und Fachkonferenzen zum Thema Marketing Automation. Seit 2021 leitet er im Rahmen seiner Tätigkeit als DMVÖ Vorstandsmitglied die Expert Group Marketing Automation.