Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testen
mobileCta.note
HubSpot ist eine führende amerikanische CRM-, Marketing-, Vertriebs- und Kundenservice-Plattform. Sie kombiniert Kontaktverwaltung, E-Mail-Marketing, Website-Analysen, Live-Chat, Landing Pages und Marketing-Automatisierung in einer einzigen Suite. Die DSGVO-Konformität für HubSpot ist komplex, da verschiedene HubSpot-Tools unterschiedliche Rechtsgrundlagen erfordern: Einwilligung für Marketing-E-Mails und Tracking-Cookies, berechtigtes Interesse für CRM-Kontaktdatensätze und Vertragserfüllung für den Kundenservice. EU-Datenhosting in Frankfurt ist auf bestimmten Plänen verfügbar.
HubSpot ist eine führende All-in-One-Plattform für CRM, Marketing, Vertrieb und Kundenservice mit Sitz in Cambridge, Massachusetts. Die Plattform umfasst den Marketing Hub (E-Mail-Marketing, Landing Pages, Formulare, SEO, Social Media), den Sales Hub (Pipeline-Management, E-Mail-Sequenzen, Meeting-Buchung), den Service Hub (Helpdesk, Live-Chat, Wissensdatenbank) und den CMS Hub (Website-Builder). HubSpot ist bei über 200.000 Unternehmen in 120 Ländern im Einsatz und eine der meistgenutzten Marketing-Plattformen in Europa.
HubSpot setzt drei primäre Cookies: __hstc (13 Monate) ist der persistente Besucher-Tracking-Cookie für geräteübergreifende Analysen und Kontakt-Deduplizierung, hubspotutk (13 Monate) verknüpft Formular-Einsendungen mit bestehenden CRM-Kontakten, und __hssc (30 Minuten) ist ein Session-Identifier. Alle drei erfordern eine Einwilligung gemäß der ePrivacy-Richtlinie. HubSpot erfasst außerdem IP-Adressen, Seitenaufrufe, Geräteinformationen, E-Mail-Öffnungen und -Klicks sowie Formular-Einsendungsdaten.
Die DSGVO-Konformität für HubSpot erfordert unterschiedliche Rechtsgrundlagen je nach Tool: Das HubSpot-Tracking-Skript und Marketing-E-Mails erfordern eine ausdrückliche Einwilligung. CRM-Kontaktdatensätze für bestehende Kunden können auf berechtigtes Interesse oder Vertragserfüllung gestützt werden. Akquise-E-Mails an prospektierte Kontakte erfordern entweder eine vorherige Einwilligung oder berechtigtes Interesse mit dokumentierter Interessenabwägung und Opt-out-Möglichkeit in jeder Kommunikation. Eine falsche Einordnung der Rechtsgrundlage ist ein häufiger DSGVO-Fehler bei HubSpot-Nutzern.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
HubSpot ist ein US-amerikanisches Unternehmen. Standardmäßig werden alle Daten auf US-Infrastruktur (AWS in den USA) verarbeitet. HubSpot stellt Standardvertragsklauseln und einen Auftragsverarbeitungsvertrag für EU-Kunden bereit. Auf bestimmten Enterprise-Plänen ist EU-Datenhosting in Frankfurt (AWS eu-central-1) verfügbar. Dies eliminiert die Hauptdatentransfer-Problematik für den primären Datenfluss. Für Organisationen mit strengen Datenlokalisierungsanforderungen ist EU-Hosting die bevorzugte Konfiguration.
HubSpot verfügt über integrierte DSGVO-Tools: Das DSGVO-Löschfeature ermöglicht die vollständige Löschung eines Kontaktdatensatzes. Datenzugangsanfragen werden durch den Export des Kontaktdatensatzes erfüllt. Die Kommunikationsabonnement-Präferenzen ermöglichen Kontakten die Verwaltung ihrer E-Mail-Einwilligungen. Die Einwilligungsprotokollierung speichert Formular-Einwilligungen mit Zeitstempel und Datenschutzrichtlinien-Version. Antworten auf Betroffenenanfragen müssen innerhalb von 30 Tagen erfolgen und dokumentiert werden.
Für eine DSGVO-konforme HubSpot-Nutzung: Unterzeichnen Sie den HubSpot-Auftragsverarbeitungsvertrag im Legal Center; aktivieren Sie Cookie-Einwilligung für das HubSpot-Tracking-Skript via CMP; konfigurieren Sie Double Opt-in für alle Marketing-E-Mail-Listen; aktivieren Sie die DSGVO-Einwilligungsprotokollierung in Formularen; dokumentieren Sie die Rechtsgrundlage für jede Verarbeitungsaktivität in Ihrem Verarbeitungsverzeichnis; konfigurieren Sie die Datenschutzrichtlinie-Verlinkung in allen HubSpot-Formularen; prüfen Sie regelmäßig die Kontaktdatenbank auf Kontakte ohne gültige Rechtsgrundlage; erwägen Sie EU-Hosting für Enterprise-Pläne.
Websites using HubSpot must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird für umfangreiche HubSpot-Deployments empfohlen, die CRM-Profiling, Marketing-Automatisierung, VerhaltensTracking und Lead-Scoring über viele EU-Kontakte kombinieren. Die Breite der Datenverarbeitung in der gesamten HubSpot-Suite rechtfertigt eine umfassende DSFA für jede Hub-Kategorie.
Sample consent text
Durch das Absenden dieses Formulars stimmen Sie zu, dass HubSpot Ihre Kontaktdaten speichert und dass [Unternehmen] Sie über relevante Produkte und Dienstleistungen kontaktiert. Sie können Ihre Einwilligung jederzeit widerrufen. Details finden Sie in unserer Datenschutzerklärung.
Third-party domains contacted
hubspot.comjs.hs-scripts.comapi.hubspot.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| __hstc | persistent | 13 months | HubSpot persistent visitor ID for cross-session analytics and contact de-duplication |
| __hssc | session | 30 minutes | HubSpot session identifier tracking page views within a single session |
| hubspotutk | persistent | 13 months | HubSpot visitor identity cookie linking form submissions to existing CRM contacts |
HubSpot verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Ja, für Marketing-E-Mails und Tracking-Cookies. Das HubSpot-Tracking-Skript erfordert eine Cookie-Einwilligung. Marketing-E-Mails erfordern ein gültiges Opt-in. CRM-Kontakte können sich auf berechtigtes Interesse oder Vertragserfüllung stützen. Die erforderliche Rechtsgrundlage hängt von der jeweiligen HubSpot-Funktion ab.
HubSpot setzt __hstc (13 Monate), hubspotutk (13 Monate) und __hssc (Session, 30 Minuten). Diese erfordern eine Einwilligung gemäß der ePrivacy-Richtlinie. Blockieren Sie das HubSpot-Tracking-Skript via CMP, bis die Einwilligung erteilt wurde.
Ja, auf bestimmten Plans (Frankfurt, AWS eu-central-1). Dies eliminiert die Standardvertragsklauseln für primäre Datenflüsse und vereinfacht die DSGVO-Transfer-Compliance erheblich. Für Enterprise-Kunden mit Datenlokalisierungsanforderungen ist EU-Hosting die empfohlene Konfiguration.
Bestehende Kunden: berechtigtes Interesse oder Vertragserfüllung. Eingehende Leads mit Einwilligung: Einwilligung. Prospektierte Outbound-Kontakte: berechtigtes Interesse mit dokumentierter Interessenabwägung und Opt-out in jeder Kommunikation. Die Rechtsgrundlage muss für jede Kontaktkategorie separat dokumentiert werden.
Verwenden Sie das integrierte HubSpot-Banner, Ihre eigene CMP zur bedingten Blockierung des HubSpot-Skripts oder den cookielosen Tracking-Modus von HubSpot. Bei Verwendung einer externen CMP konfigurieren Sie diese so, dass das HubSpot-Tracking-Skript erst nach Erteilung der Analytics-Einwilligung geladen wird.
Für Auskunftsanfragen: Exportieren Sie den Kontaktdatensatz. Für Löschung: Verwenden Sie die DSGVO-Löschfunktion von HubSpot. Antworten Sie innerhalb von 30 Tagen und dokumentieren Sie alle Maßnahmen. Konfigurieren Sie den HubSpot-Datenschutzportal-Link, damit Kontakte ihre Präferenzen selbst verwalten können.
Ja. Unterzeichnen Sie den HubSpot-Auftragsverarbeitungsvertrag im HubSpot Legal Center oder unter Kontoeinstellungen. Dies ist für DSGVO-Konformität zwingend erforderlich, da HubSpot EU-Kontaktdaten in Ihrem Auftrag verarbeitet.
Brevo (Frankreich) und ActiveCampaign (EU-Option) bieten EU-Datenresidenz. Für rein EU-basierte CRM-Lösungen sind Zoho (EU-Rechenzentren), Pipedrive (EU-Daten) oder Salesforce (EU-Residenz verfügbar) Optionen. HubSpot mit konfiguriertem EU-Hosting ist selbst eine starke, konforme Wahl für die meisten Anwendungsfälle.