Kostenlos beraten
HubSpot Breeze AI DSGVO-konform nutzen: Leitfaden für deutsche Unternehmen
tools

HubSpot Breeze AI und DSGVO: Was deutsche Unternehmen wissen müssen

HubSpot Breeze AI kann DSGVO-konform eingesetzt werden — aber nur, wenn bestimmte Voraussetzungen erfüllt sind. Der Auftragsverarbeitungsvertrag (AVV) von HubSpot gilt grundsätzlich auch für die Verarbeitung durch Breeze-KI-Funktionen. Dennoch müssen deutsche Unternehmen gesondert prüfen, welche KI-spezifischen Unterauftragsverarbeiter eingesetzt werden, ob automatisierte Entscheidungen nach Artikel 22 DSGVO vorliegen, wie die Datenanreicherung über Breeze Intelligence rechtlich einzuordnen ist — und die eigenen Verzeichnisse sowie Datenschutzerklärungen entsprechend aktualisieren, bevor Breeze-Funktionen im Produktivbetrieb aktiviert werden.

Ist HubSpot Breeze AI DSGVO-konform?

HubSpot Breeze AI ist die KI-Produktsuite von HubSpot, die seit 2024 schrittweise ausgebaut wird. Sie umfasst:

  • Breeze Copilot — KI-gestützte Assistenz mit Zugriff auf alle CRM-Daten
  • Breeze Agents — autonome KI-Agenten für Vertriebskontakt, Marketingkampagnen und Lead-Follow-up
  • Content AI — KI-generierte E-Mails, Blogbeiträge und Social-Media-Texte auf Basis von Kundendaten
  • Breeze Intelligence — Anreicherung von Kontaktdatensätzen mit Drittanbieterdaten (firmografische und demografische Daten)

Aus DSGVO-Sicht stellt Breeze AI drei spezifische Compliance-Herausforderungen dar, die über die allgemeine CRM-Verarbeitung hinausgehen:

  1. KI-Datenflüsse: Breeze Copilot und andere KI-Funktionen übermitteln CRM-Daten an HubSpots KI-Verarbeitungsinfrastruktur, die vom gewählten EU-Datenspeicherort für die CRM-Standarddaten abweichen kann.
  2. Automatisierte Entscheidungen: Breeze Agents und prädiktives Lead-Scoring können automatisierte Entscheidungen im Sinne von Artikel 22 DSGVO darstellen.
  3. Drittanbieter-Datenanreicherung: Breeze Intelligence reichert Kontaktprofile mit externen Daten an — eine eigenständige Verarbeitungstätigkeit, die einer separaten Rechtsgrundlage bedarf.

Wichtig: Mehrere Breeze-Funktionen sind in HubSpot-Konten zunehmend standardmäßig aktiviert. Deutsche Unternehmen sollten ihre HubSpot-Einstellungen prüfen und sicherstellen, dass KI-Funktionen nur dort aktiv sind, wo eine dokumentierte Rechtsgrundlage vorliegt.

Breeze Copilot und Datenschutz

Breeze Copilot ist ein KI-Assistent, der direkt in HubSpot integriert ist und auf sämtliche CRM-Daten zugreifen kann — Kontaktdaten, Deal-Informationen, E-Mail-Verläufe und Unternehmensdaten. Anfragen an Breeze Copilot sowie die dabei abgerufenen CRM-Daten können von HubSpots KI-Infrastruktur verarbeitet werden, an der möglicherweise externe KI-Anbieter beteiligt sind.

Für deutsche Unternehmen sind folgende Fragen zentral:

  • KI-Unterauftragsverarbeiter: HubSpot setzt für die Breeze-Funktionen externe KI-Modellanbieter ein. Diese sind auf der Unterauftragsverarbeiter-Seite unter trust.hubspot.com aufgelistet. Prüfen Sie, welche Anbieter beteiligt sind und ob sich deren Infrastruktur außerhalb der EU befindet.
  • EU-Datenspeicherung und KI-Verarbeitung: Die EU-Datenspeicheroption von HubSpot betrifft die Speicherung von Kontakt- und CRM-Daten in EU-Rechenzentren. Die KI-Inferenz — also die eigentliche Ausführung von Breeze-Copilot-Anfragen — kann unabhängig davon auf US-Infrastruktur von HubSpot erfolgen. Konsultieren Sie die aktuelle HubSpot-Dokumentation, um zu klären, wo KI-Verarbeitungen stattfinden.
  • Datensparsamkeit: Breeze Copilot hat standardmäßig Zugriff auf alle CRM-Objekte. Schränken Sie über HubSpots Berechtigungseinstellungen ein, welche Datenkategorien und -objekte für KI-Funktionen zugänglich sind.

Automatisierte Entscheidungen nach Artikel 22 DSGVO

Artikel 22 DSGVO gewährt betroffenen Personen das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu sein, die ihnen gegenüber rechtliche oder ähnlich bedeutsame Wirkung entfalten. HubSpots Breeze Agents — autonome KI-Agenten für Vertriebskontaktaufnahme, Prospecting und Kundenkommunikation — können diesen Tatbestand erfüllen.

Szenarien, die eine Artikel-22-Prüfung erfordern:

  • Prädiktives Lead-Scoring, das darüber entscheidet, ob und mit welcher Priorität Vertriebsmitarbeitende bestimmte Kontakte ansprechen
  • Breeze-Prospecting-Agents, die selbstständig entscheiden, welche Kontakte angesprochen werden, und eigenständig Kommunikation initiieren
  • Automatisierte Deal-Priorisierung, die beeinflusst, welche kommerziellen Möglichkeiten einzelne Personen erhalten

Für jede Breeze-KI-Funktion, die Entscheidungen über Personen trifft, müssen deutsche Unternehmen:

  1. Beurteilen, ob die Entscheidung rechtliche oder ähnlich bedeutsame Auswirkungen auf die betroffene Person hat
  2. Eine wirksame Rechtsgrundlage für die automatisierte Verarbeitung nachweisen (Einwilligung, Vertragserforderlichkeit oder Zulässigkeit nach Unions- oder nationalem Recht gemäß Artikel 22 Abs. 2 DSGVO)
  3. Mechanismen zur menschlichen Überprüfung implementieren — die betroffene Person muss das Recht haben, eine menschliche Kontrolle der automatisierten Entscheidung zu verlangen und dieser widersprechen zu können
  4. Betroffene Personen in der Datenschutzerklärung über die Logik, die Bedeutung und die möglichen Folgen der automatisierten Verarbeitung informieren

Der Einsatz von Breeze Agents im Kundenkontakt ist in der Regel eine Hochrisikoverarbeitung nach Artikel 35 DSGVO, für die vor der Inbetriebnahme eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt und dokumentiert werden muss.

Breeze Intelligence — Rechtsgrundlage für die Datenanreicherung

Breeze Intelligence (ehemals Clearbit, seit 2024 Teil von HubSpot) reichert CRM-Kontakte automatisch mit Daten aus Drittquellen an: Unternehmensgröße, Branche, Umsatz, LinkedIn-Profile und weitere firmografische oder demografische Attribute.

Diese Datenanreicherung ist eine eigenständige Verarbeitungstätigkeit nach der DSGVO, da die Daten nicht direkt bei der betroffenen Person erhoben werden, sondern von Datenbrokern und Drittanbietern stammen. Betroffene Personen wissen häufig nicht, dass ihre Profile angereichert werden.

Damit die Datenanreicherung über Breeze Intelligence rechtmäßig ist, sind folgende Schritte erforderlich:

  • Rechtsgrundlage dokumentieren: Häufig wird das berechtigte Interesse (Artikel 6 Abs. 1 lit. f DSGVO) herangezogen. Dies erfordert jedoch eine Interessenabwägung, die nachweist, dass die Anreicherung erforderlich und verhältnismäßig ist und die Interessen der betroffenen Personen dem nicht entgegenstehen.
  • Datenschutzhinweise aktualisieren: Die Datenanreicherung muss in der Datenschutzerklärung offengelegt werden — einschließlich der Datenkategorien, der Datenquellen und des Widerspruchsrechts der betroffenen Personen.
  • Datenquellen prüfen: Die von HubSpot für die Anreicherung genutzten Drittquellen sollten selbst DSGVO-konform agieren und für Übermittlungen aus der EU in Drittländer geeignete Garantien (z. B. Standardvertragsklauseln) bereitstellen.
  • Datensparsamkeit: Aktivieren Sie nur die Anreicherungsfelder, die für Ihre Verarbeitungszwecke tatsächlich notwendig sind. Eine pauschale Anreicherung aller Kontakte mit allen verfügbaren Attributen ohne klaren Zweck widerspricht dem Grundsatz der Datensparsamkeit.

Was deutsche Unternehmen prüfen müssen, bevor Breeze AI aktiviert wird

Bevor Breeze-KI-Funktionen in HubSpot aktiviert werden, sollten folgende Punkte geprüft sein:

  • Unterauftragsverarbeiterliste prüfen auf trust.hubspot.com — KI-spezifische Unterauftragsverarbeiter identifizieren, Standorte feststellen und sicherstellen, dass für US-basierte KI-Anbieter Standardvertragsklauseln (SCC) vorliegen
  • AVV-Abdeckung bestätigen — prüfen, ob der aktuelle HubSpot-Auftragsverarbeitungsvertrag die Breeze-AI-Verarbeitungstätigkeiten und alle beteiligten Unterauftragsverarbeiter ausdrücklich abdeckt
  • Datenschutz-Folgenabschätzung (DSFA) durchführen — systematisches Profiling (Lead-Scoring, Kontaktanreicherung, automatisierte Kontaktaufnahme über Breeze Agents) ist in der Regel Hochrisikoverarbeitung nach Artikel 35 DSGVO; DSFA vor dem produktiven Einsatz dokumentieren
  • Datenschutzhinweise aktualisieren — KI-gestützte Verarbeitungen, die Logik hinter automatisierten Entscheidungen und die Widerspruchsrechte der Betroffenen offenlegen
  • KI-Berechtigungen einschränken — über HubSpots Benutzer- und Funktionseinstellungen den Zugriff von Breeze Copilot und Breeze Agents auf das notwendige Minimum begrenzen
  • Widerspruchs- und Überprüfungsrecht sicherstellen — wo Artikel 22 DSGVO greift, muss die betroffene Person das Recht auf menschliche Überprüfung der automatisierten Entscheidung ausüben können
  • Betriebsrat beteiligen — wenn Breeze-KI-Funktionen das Verhalten oder die Leistung von Mitarbeitenden erfassen oder bewerten (z. B. durch Conversation Intelligence oder Activity-Tracking), bestehen Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG

Deckt der HubSpot-AVV die Breeze-AI-Funktionen ab?

Der Auftragsverarbeitungsvertrag (AVV) von HubSpot gilt grundsätzlich für die gesamte Datenverarbeitung, die HubSpot in Ihrem Auftrag durchführt — einschließlich der Verarbeitung durch Breeze-AI-Funktionen. Einige spezifische Punkte sind jedoch zu beachten:

  • Aktualisierung der Unterauftragsverarbeiterliste: Mit der Weiterentwicklung von Breeze AI kann HubSpot neue KI-spezifische Unterauftragsverarbeiter einsetzen. HubSpot ist verpflichtet, Kunden über Änderungen zu informieren. Beobachten Sie trust.hubspot.com und gleichen Sie Ihr internes Verarbeitungsverzeichnis mit der jeweils aktuellen Liste ab.
  • Umfang des AVV: Der AVV erfasst HubSpot als Auftragsverarbeiter. Für die Datenanreicherung über Breeze Intelligence gelten die Verarbeitungsbedingungen von HubSpot — die eigentlichen Drittquellen für Anreicherungsdaten sind jedoch separate Stellen, deren DSGVO-Konformität Sie gesondert prüfen sollten.
  • Standardmäßig aktivierte Funktionen: Einige Breeze-Funktionen werden durch HubSpot-Updates automatisch aktiviert. Prüfen Sie regelmäßig die HubSpot-Versionshinweise und Ihre Kontoeinstellungen, damit KI-gestützte Verarbeitung nur dort erfolgt, wo Sie über eine dokumentierte Rechtsgrundlage verfügen.

Einen umfassenden Überblick über die DSGVO-Konformität von HubSpot — einschließlich AVV-Abschluss, EU-Datenspeicherung, Standardvertragsklauseln und Betriebsratsanforderungen — finden Sie in unserem HubSpot DSGVO- und AVV-Leitfaden.

Compound Law unterstützt Sie bei der AVV-Prüfung und Breeze-AI-Konfiguration im Hinblick auf die DSGVO, bei der Durchführung von Datenschutz-Folgenabschätzungen sowie bei der rechtlichen Einordnung automatisierter Entscheidungen nach Artikel 22 DSGVO. Weitere Informationen finden Sie unter unseren Compliance-Leistungen.

Häufig gestellte Fragen

Ist HubSpot Breeze AI DSGVO-konform?

HubSpot Breeze AI kann DSGVO-konform genutzt werden, wenn der Auftragsverarbeitungsvertrag (AVV) vorliegt, KI-spezifische Unterauftragsverarbeiter auf trust.hubspot.com geprüft und durch geeignete Garantien abgesichert sind, die Datenschutzerklärung die KI-gestützte Verarbeitung offenlegt und die Anforderungen aus Artikel 22 DSGVO für automatisierte Entscheidungen erfüllt sind. Breeze AI bringt neue Compliance-Pflichten mit sich — insbesondere durch Breeze Agents (automatisierte Entscheidungen) und Breeze Intelligence (Datenanreicherung) —, die über die allgemeine HubSpot-CRM-Compliance hinausgehen.

Speichert HubSpot KI-verarbeitete Daten in der EU?

Die EU-Datenspeicheroption von HubSpot gilt für die Speicherung von CRM-Daten. Die eigentliche KI-Verarbeitung durch Breeze-Funktionen — also die Ausführung von KI-Anfragen und die Generierung von Antworten — kann jedoch auf HubSpots KI-Infrastruktur in den USA stattfinden, unabhängig von der gewählten Datenspeicherregion. Prüfen Sie die aktuelle HubSpot-Dokumentation und die Unterauftragsverarbeiterliste auf trust.hubspot.com, um für jede Breeze-Funktion zu klären, wo die KI-Verarbeitung erfolgt.

Muss ich meinen AVV aktualisieren, wenn ich HubSpot Breeze AI aktiviere?

Sie sollten Ihren bestehenden HubSpot-Auftragsverarbeitungsvertrag (AVV) prüfen und sicherstellen, dass er die Breeze-AI-Verarbeitung sowie alle neuen KI-spezifischen Unterauftragsverarbeiter abdeckt. Falls HubSpot seit Ihrer letzten AVV-Prüfung neue KI-Unterauftragsverarbeiter hinzugefügt hat, sollten Sie die aktualisierte Unterauftragsverarbeiterliste bestätigen, Ihr Verarbeitungsverzeichnis nach Artikel 30 DSGVO aktualisieren und Ihre Datenschutzhinweise um die KI-gestützten Verarbeitungstätigkeiten ergänzen.

Weitere Tool-Guides

KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit fuer.

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.
Claude DSGVO-Pruefung — Rechtsgrundlage, AVV und technische Massnahmen fuer Unternehmen
tools

Claude DSGVO: Rechtssicherer Einsatz von Claude in Deutschland

Claude DSGVO-konform einsetzen: Rechtsgrundlage, AVV, DSFA-Pflicht, TOMs und praktische Checkliste fuer Unternehmen in Deutschland.
Airtable DSGVO Ratgeber für deutsche Unternehmen
tools

Airtable DSGVO: AVV, Datenspeicherung und Compliance in Deutschland

Airtable ist DSGVO-konform auf dem Enterprise-Plan mit AVV. Das müssen deutsche Unternehmen vor dem Einsatz von Airtable für personenbezogene Daten prüfen.
Asana DSGVO Ratgeber für deutsche Unternehmen
tools

Asana DSGVO: AVV, EU-Datenspeicherung und Datenschutz für deutsche.

Asana bietet einen AVV für alle kostenpflichtigen Pläne und EU-Datenspeicherung auf Enterprise-Plänen. Was deutsche Unternehmen vor dem Einsatz von Asana.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist HubSpot Breeze AI DSGVO-konform?

HubSpot Breeze AI kann DSGVO-konform genutzt werden, wenn der Auftragsverarbeitungsvertrag (AVV) vorliegt, KI-spezifische Unterauftragsverarbeiter auf trust.hubspot.com geprüft und durch geeignete Garantien abgesichert sind, die Datenschutzerklärung die KI-gestützte Verarbeitung offenlegt und die Anforderungen aus Artikel 22 DSGVO für automatisierte Entscheidungen erfüllt sind. Breeze AI bringt neue Compliance-Pflichten mit sich — insbesondere durch Breeze Agents (automatisierte Entscheidungen) und Breeze Intelligence (Datenanreicherung) —, die über die allgemeine HubSpot-CRM-Compliance hinausgehen.

Speichert HubSpot KI-verarbeitete Daten in der EU?

Die EU-Datenspeicheroption von HubSpot gilt für die Speicherung von CRM-Daten. Die eigentliche KI-Verarbeitung durch Breeze-Funktionen — also die Ausführung von KI-Anfragen und die Generierung von Antworten — kann jedoch auf HubSpots KI-Infrastruktur in den USA stattfinden, unabhängig von der gewählten Datenspeicherregion. Prüfen Sie die aktuelle HubSpot-Dokumentation und die Unterauftragsverarbeiterliste auf trust.hubspot.com, um für jede Breeze-Funktion zu klären, wo die KI-Verarbeitung erfolgt.

Muss ich meinen AVV aktualisieren, wenn ich HubSpot Breeze AI aktiviere?

Sie sollten Ihren bestehenden HubSpot-Auftragsverarbeitungsvertrag (AVV) prüfen und sicherstellen, dass er die Breeze-AI-Verarbeitung sowie alle neuen KI-spezifischen Unterauftragsverarbeiter abdeckt. Falls HubSpot seit Ihrer letzten AVV-Prüfung neue KI-Unterauftragsverarbeiter hinzugefügt hat, sollten Sie die aktualisierte Unterauftragsverarbeiterliste bestätigen, Ihr Verarbeitungsverzeichnis nach Artikel 30 DSGVO aktualisieren und Ihre Datenschutzhinweise um die KI-gestützten Verarbeitungstätigkeiten ergänzen.

Kostenlos beraten