TL;DR
HubSpot setzt mehrere Tracking-Cookies auf Websites, die sein Skript (hs-script.hubspot.com) einbinden. Diese Cookies dienen Analyse- und Marketingzwecken und erfordern gemäß DSGVO und TTDSG die vorherige Einwilligung der Besucher. Ohne Blockierung des HubSpot-Skripts vor der Einwilligung verstößt die Website gegen geltendes Recht.
Welche Cookies setzt HubSpot?
HubSpot ist eine CRM- und Marketing-Plattform mit E-Mail-Marketing, Formularen, Chat, Kontaktverfolgung und Web-Analysetools. Für seinen Betrieb injiziert HubSpot ein Tracking-Skript (_hsq), das mehrere Cookies auf dem Gerät des Besuchers setzt.
Die wichtigsten HubSpot-Cookies
- __hstc: primäres Tracking-Cookie, verfolgt Besuche und Sitzungen des Kontakts (180 Tage)
- hubspotutk: eindeutiger Besucher-Identifikator für das HubSpot-CRM (180 Tage)
- __hssc: verfolgt aktuelle Sitzungen (30 Minuten)
- __hssrc: erkennt, ob der Besucher einen neuen Tab geöffnet oder die Sitzung neu gestartet hat (Sitzung)
- messagesUtk: Identifikator für den HubSpot-Chat (1 Jahr)
- __ptq.gif: HubSpot-Tracking-Pixel (Sitzung)
Diese Cookies ermöglichen es HubSpot, Besucher über mehrere Sitzungen zu verfolgen, sie im CRM zu identifizieren, sobald sie ein Formular ausfüllen, und Marketing-Kampagnen-Konversionen zu messen. Sie fallen unter die Kategorien Analyse und Marketing, die einer Einwilligungspflicht unterliegen.
HubSpot und DSGVO-Konformität
HubSpot verarbeitet personenbezogene Daten (IP-Adresse, Cookie-Identifikatoren, Surfverhalten) als Auftragsverarbeiter. Als Verantwortlicher ist das Unternehmen, das HubSpot nutzt, für die Konformität dieser Datenerhebung verantwortlich.
Der BfDI und die Landesdatenschutzbehörden haben klar festgestellt, dass CRM- und Marketing-Automation-Cookies, die das Besucherverhalten über mehrere Sitzungen verfolgen, eine vorherige Einwilligung erfordern. HubSpot-Cookies ermöglichen individuelle Identifizierung und Multi-Sitzungs-Tracking, wodurch sie außerhalb jeder Analyse-Ausnahme liegen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
HubSpot DSGVO-konform konfigurieren
Schritt 1: HubSpot-Skript vor der Einwilligung blockieren
Das HubSpot-Skript (hs-script.hubspot.com) muss von einer CMP blockiert werden, bis der Nutzer der Analyse- oder Marketing-Kategorie zustimmt. Mit FlowConsent erfolgt diese Blockierung automatisch und erfordert keine manuelle Konfiguration des HubSpot-Skripts.
Schritt 2: HubSpot-Cookie-Consent-Banner (optionale Ergänzung)
HubSpot bietet ein integriertes Cookie-Banner in seinen Portalen an. Dieses Banner hat zwei wichtige Einschränkungen für die DSGVO-Konformität: Es ist nur auf HubSpot-Portalseiten verfügbar (nicht auf Ihrer Hauptwebsite), und es blockiert HubSpot-Skripte technisch nicht vor der Einwilligung. Es kann Ihre CMP ergänzen, ersetzt sie aber nicht.
Schritt 3: Datenspeicherung in HubSpot konfigurieren
In den HubSpot-Kontoeinstellungen die Aufbewahrungsdauer für Kontakt- und Aktivitätsdaten festlegen. Der BfDI empfiehlt, Tracking-Daten nicht länger als 13 Monate aufzubewahren. Im HubSpot CRM Archivierungs- und automatische Löschregeln für inaktive Kontakte konfigurieren.
Schritt 4: HubSpot-AVV unterzeichnen
HubSpot handelt als Auftragsverarbeiter im Sinne der DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) muss mit HubSpot abgeschlossen werden. Dieser AVV ist in den HubSpot-Kontoeinstellungen unter Rechtliches > Auftragsverarbeitungsvertrag verfügbar. Seine Unterzeichnung ist für die Konformität Pflicht.
Schritt 5: HubSpot-Formulare verwalten
HubSpot-Formulare lösen eine Besucher-Identifizierung im CRM aus (Verknüpfung des hubspotutk-Cookies mit einem Kontakt). Vor jeder Formularübermittlung muss der Nutzer der Marketingnutzung seiner Daten zugestimmt haben. Eine separate Marketing-Einwilligungs-Checkbox auf jedem Formular wird empfohlen.
Häufige Fehler
Das HubSpot-Skript lädt ohne Einwilligung. Die Standard-HubSpot-Code-Integration im <head> der Website lädt das Skript bei jedem Besuch. Ohne blockierende CMP werden Cookies vor jeder Einwilligung gesetzt.
HubSpot-Banner mit einer CMP verwechseln. Das native HubSpot-Banner blockiert HubSpot-Cookies technisch nicht vor der Anzeige. Es ersetzt keine DSGVO-konforme CMP.
AVV nicht unterzeichnen. Das Fehlen eines unterzeichneten AVV mit HubSpot birgt DSGVO-Konformitätsrisiken bezüglich der Auftragsverarbeitungsbeziehung. In den HubSpot-Einstellungen prüfen, ob der AVV unterzeichnet ist.
HubSpot-Chat-Cookies nicht offenlegen. Das HubSpot-Chat-Widget setzt das Cookie messagesUtk (1 Jahr). Wenn dieses Widget verwendet wird, müssen Chat-Cookies in der Cookie-Richtlinie aufgeführt und in die Einwilligungsanfrage einbezogen werden.
CRM-Identität ohne Marketing-Einwilligung verknüpfen. Wenn ein Besucher ein Formular ausfüllt, verknüpft HubSpot seinen Browsing-Verlauf (über hubspotutk) mit seinem CRM-Profil. Diese Verknüpfung stellt eine Marketing-Verarbeitung dar, die eine explizite, von der Cookie-Einwilligung getrennte Einwilligung erfordert.
Checkliste HubSpot DSGVO-Konformität
- Das HubSpot-Skript wird von einer CMP vor der Einwilligung blockiert.
- Die Analyse-/Marketing-Kategorie ist im Banner explizit ausgewiesen.
- HubSpot-Cookies (einschließlich messagesUtk bei Chat-Nutzung) sind in der Cookie-Richtlinie aufgeführt.
- Der HubSpot-AVV ist in den Kontoeinstellungen unterzeichnet.
- Die CRM-Datenspeicherung ist konfiguriert (maximal 13 Monate für Tracking-Daten).
- HubSpot-Formulare enthalten eine separate Marketing-Einwilligungs-Checkbox.
- Die Datenschutzerklärung nennt HubSpot als Auftragsverarbeiter.
- Einwilligungsnachweise werden mit Zeitstempel und Banner-Version gespeichert.
- Ein Mechanismus zur Löschung von Kontaktdaten ist vorhanden.
- Die Konfiguration wird nach jedem größeren HubSpot-Skript-Update überprüft.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Fazit
HubSpot ist ein leistungsstarkes CRM- und Marketing-Tool, aber sein Tracking-Skript setzt standardmäßig Multi-Sitzungs-Tracking-Cookies ohne Einwilligung. Die DSGVO-Konformität erfordert das Blockieren des Skripts über eine CMP, die Unterzeichnung des HubSpot-AVV und die Konfiguration von Formularen mit expliziter Marketing-Einwilligung.
Prüfen Sie, ob das HubSpot-Skript und andere Tracker auf Ihrer Website korrekt blockiert werden, mit dem FlowConsent Cookie-Scanner.
Häufig gestellte Fragen
Welche Cookies setzt HubSpot?
HubSpot setzt mehrere Cookies, darunter: __hstc (Besuchsverfolgung, 13 Monate), hubspotutk (Besucheridentifikation, 13 Monate), __hssc (HubSpot-Sitzung, 30 Minuten), __hssrc (Sitzungsidentifikation, Sitzungsdauer), messagesUtk (Chat-Widget). Einige sind analytisch, andere funktional. Alle müssen in der Cookie-Richtlinie deklariert werden.
Erfordern HubSpot-Cookies eine DSGVO-Einwilligung?
Ja, für analytische und Tracking-Cookies (hubspotutk, __hstc). Diese Cookies identifizieren Besucher und verfolgen ihren Weg zwischen Besuchen, was eine Vorab-Einwilligung erfordert. Für den technischen Betrieb unbedingt erforderliche Cookies können davon ausgenommen sein.
Wie macht man HubSpot DSGVO-konform?
Eine CMP verwenden, die nicht notwendige HubSpot-Cookies vor der Einwilligung blockiert. In HubSpot das Datenschutzmodul (DSGVO-Einstellungen) für die Verwaltung von E-Mail-Abonnements aktivieren. HubSpot-Tracking so konfigurieren, dass es erst nach der Einwilligung lädt. Verarbeitungstätigkeiten im DPO-Register dokumentieren.
Verfügt HubSpot über eine Cookie-Einwilligungsfunktion?
HubSpot bietet ein natives Cookie-Banner an, das jedoch nicht für die vollständige Erfüllung der europäischen DSGVO-Anforderungen konzipiert ist (keine Ablehnung per Klick, keine Granularität nach Kategorie). Eine dedizierte CMP wie FlowConsent wird empfohlen, da sie Skripte technisch bis zur Einwilligung blockiert.
Was ist das Cookie hubspotutk?
Das Cookie hubspotutk ist eine eindeutige Kennung, die von HubSpot generiert wird, um Besuche desselben Besuchers auf Ihrer Website zu verfolgen. Es dient dazu, Formularübermittlungen einem HubSpot-Kontakt zuzuordnen und für das Marketing-Tracking. Seine Laufzeit beträgt 13 Monate. Es erfordert eine Vorab-Einwilligung, da es die Besucheridentifikation ermöglicht.