Kostenlos beraten
HubSpot DSGVO-Konformitaet fuer Unternehmen in Deutschland
tools

Ist HubSpot DSGVO-konform? AVV, SCC und Betriebsrat in Deutschland

Ist HubSpot DSGVO-konform fuer Unternehmen in Deutschland?

Ja, HubSpot kann DSGVO-konform genutzt werden, aber nicht automatisch. Deutsche Unternehmen brauchen einen AVV, eine Bewertung von SCC und EU-Datenspeicherung, passende Rechtsgrundlagen fuer Marketing- und CRM-Daten sowie oft eine Betriebsratspruefung bei mitarbeiterbezogenen Funktionen.

  • Schliessen Sie den HubSpot-AVV nach Art. 28 DSGVO ab und dokumentieren Sie HubSpot im Verzeichnis der Verarbeitungstaetigkeiten.
  • Pruefen Sie EU-Datenspeicherung, Unterauftragsverarbeiter und SCC fuer Datenfluesse in die USA oder andere Drittländer.
  • Bewerten Sie Tracking-, Analyse- und Vertriebsfunktionen auf Betriebsratsrechte nach § 87 Abs. 1 Nr. 6 BetrVG.

Ja, HubSpot kann DSGVO-konform genutzt werden, aber nur mit AVV, Transferpruefung, passender Konfiguration und haeufig Betriebsratsabstimmung. Fuer deutsche Unternehmen ist die Kernfrage nicht, ob HubSpot pauschal “erlaubt” ist, sondern ob CRM-, Marketing- und Tracking-Funktionen mit DSGVO, SCC, EU-Datenspeicherung und den Mitbestimmungsrechten des Betriebsrats sauber umgesetzt sind.

Kurzpruefung fuer Einkauf, Datenschutz und Legal

  • Liegt der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO vor?
  • Sind Datenfluesse ausserhalb der EU ueber SCC und interne Transferpruefungen bewertet?
  • Ist klar, welche HubSpot-Daten wirklich in der EU und welche weiterhin global verarbeitet werden?
  • Loesen Tracking-, Analyse- oder Call-Funktionen Betriebsratsrechte aus?

Wenn Sie speziell HubSpot Breeze AI oder andere KI-Funktionen bewerten, nutzen Sie zusaetzlich unseren separaten Leitfaden zu HubSpot Breeze AI und DSGVO. Diese Seite fokussiert bewusst den Kernfall: HubSpot als CRM- und Marketing-Plattform fuer deutsche Unternehmen.

Dieser Beitrag bietet allgemeine Informationen und ersetzt keine Rechtsberatung fuer Ihre konkrete Implementierung. Fuer den Vertragsrahmen rund um Auftragsverarbeitung ist auch unser Leitfaden zum Auftragsverarbeitungsvertrag (AVV) relevant.

Ist HubSpot DSGVO-konform?

HubSpot ist nicht automatisch DSGVO-konform, kann aber rechtmaessig eingesetzt werden. Entscheidend ist, ob Ihr Unternehmen die Rollen nach DSGVO korrekt abbildet: Sie bleiben als Verantwortlicher fuer Zweck und Mittel der Verarbeitung zustaendig, waehrend HubSpot fuer viele Produktbereiche als Auftragsverarbeiter taetig wird.

Fuer deutsche Unternehmen bedeutet das praktisch:

  • Der AVV muss vor produktiver Nutzung abgeschlossen sein.
  • Die Rechtsgrundlagen fuer CRM-Speicherung, E-Mail-Kommunikation, Cookie-Tracking und Lead-Erfassung muessen getrennt bewertet werden.
  • Internationale Transfers duerfen nicht nur “mitlaufen”, sondern muessen ueber SCC und eine dokumentierte Risikopruefung abgesichert sein.
  • Die konkrete Nutzung muss mit Datensparsamkeit, Loeschkonzept, Zugriffskonzept und gegebenenfalls Betriebsratsbeteiligung zusammenpassen.

HubSpots eigene DSGVO-Unterlagen betonen selbst, dass die Plattform Unternehmen beim datenschutzkonformen Arbeiten unterstuetzt, die Rechtskonformitaet aber nicht fuer den Kunden “uebernimmt”. Das ist aus deutscher Sicht der richtige Ausgangspunkt fuer die Bewertung.

Welchen AVV stellt HubSpot bereit?

HubSpot stellt eine Vereinbarung zur Datenverarbeitung bereit, die fuer deutsche Leser funktional der Auftragsverarbeitungsvertrag (AVV) ist. In der DPA beschreibt HubSpot die Verarbeitung personenbezogener Kundendaten und bindet fuer relevante Drittländertransfers die EU-Standardvertragsklauseln ein.

Fuer Ihre Pruefung sollten Sie nicht nur bestaetigen, dass ein Dokument existiert, sondern vor allem diese Punkte verifizieren:

  1. Produktabdeckung: Sind die konkret genutzten Hubs, Zusatzfunktionen und Integrationen tatsaechlich erfasst?
  2. Unterauftragsverarbeiter: Welche Anbieter verarbeitet HubSpot nachgeschaltet, und welche Regionen sind betroffen?
  3. Transfermechanismus: Welche SCC-Module greifen fuer Ihre Rollenverteilung nach DSGVO?
  4. Sicherheits- und Loeschregeln: Sind TOMs, Incident-Prozesse und Datenloeschung fuer Ihre Risikolage plausibel dokumentiert?

Laut HubSpots DPA greifen fuer personenbezogene Kundendaten je nach Rollenverteilung insbesondere Modul 2 oder Modul 3 der SCC. Das ist rechtlich relevant, wenn Sie HubSpot nicht nur als Verantwortlicher, sondern in Teilen auch in einer Prozessor-Kette einsetzen.

Wo speichert HubSpot personenbezogene Daten?

HubSpot wirbt mit EU-Datenspeicherung und betreibt seit dem 19. Juli 2021 ein EU-Rechenzentrum. Das ist fuer deutsche Unternehmen hilfreich, aber kein Freifahrtschein fuer eine pauschale “nur EU”-Bewertung.

Die praxisrelevante Unterscheidung lautet:

  • Ein Teil der Produktdaten kann in der EU gehostet werden.
  • Nicht jeder Datenfluss bleibt dadurch automatisch ausschliesslich in der EU.
  • Support-, Betriebs-, Sicherheits- oder Konzernzugriffe koennen weiterhin globale Bezuge haben.
  • Unterauftragsverarbeiter und Zusatztools koennen weitere Drittländertransfers ausloesen.

Gerade fuer Einkauf, Datenschutz und IT lohnt sich deshalb ein Blick auf die reale Datenarchitektur statt nur auf Marketingbegriffe wie “EU data hosting”. Wenn Sie HubSpot ueber weitere Tools erweitern, entstehen zusaetzliche Risiken. Typische Vergleichs- oder Anschlussfaelle sind Salesforce Einstein und Zapier, weil dort aehnliche Fragen zu Datenresidenz, Integrationen und Unterauftragsverarbeitern auftreten.

Welche Datenschutzrisiken bleiben trotz AVV?

Ein sauber abgeschlossener AVV loest nur den Vertragsbaustein. Die haeufigsten Restthemen liegen in der konkreten Nutzung von HubSpot:

Rechtsgrundlage fuer Marketing und CRM

In HubSpot werden oft verschiedene Datenverarbeitungen vermischt: Lead-Erfassung, Newsletter, Sales-Kommunikation, Website-Tracking und interne CRM-Dokumentation. Dafuer brauchen Sie nicht zwingend eine einzige, aber jeweils eine passende Rechtsgrundlage nach Art. 6 DSGVO. HubSpots eigene DSGVO-Dokumentation trennt deshalb nachvollziehbar zwischen der Rechtsgrundlage fuer die Speicherung/Verarbeitung und der fuer die Kommunikation mit Kontakten.

Datenminimierung und Loeschung

Viele HubSpot-Setups wachsen ueber Jahre. Dann bleiben alte Kontakte, Marketinglisten, Trackingdaten oder Notizen laenger gespeichert als erforderlich. Fuer deutsche Unternehmen ist das oft kein Tool-, sondern ein Governance-Problem: Felder, Nutzerrollen, Retention und Loeschprozesse muessen aktiv definiert werden.

Internationale Transfers

Auch wenn SCC in HubSpots DPA eingebunden sind, ersetzt das nicht Ihre eigene Bewertung der Datenuebermittlungen. Seit dem Schrems-II-Urteil muessen Verantwortliche sich ansehen, welche Daten wohin gehen, wer Zugriff hat und ob zusaetzliche technische oder organisatorische Schutzmassnahmen noetig sind.

Mitarbeiterdaten und Leistungsbezug

Sobald HubSpot fuer Vertriebssteuerung, E-Mail-Tracking, Anrufanalyse oder Aktivitaetsauswertungen genutzt wird, entstehen in Deutschland schnell arbeitsrechtliche Zusatzfragen. Dann pruefen Sie nicht mehr nur Kunden- oder Lead-Daten, sondern auch die Verarbeitungen von Beschaeftigtendaten.

Wann reicht die Standardpruefung nicht mehr aus?

Die Standardpruefung aus AVV, SCC, Datenschutzhinweis und VVT reicht oft nicht mehr aus, wenn einer der folgenden Punkte zutrifft:

  • Sie verarbeiten ueber HubSpot besondere Kategorien personenbezogener Daten oder grosse Datenmengen.
  • HubSpot wird in stark regulierten Bereichen wie Gesundheit, Finanzen oder oeffentlichem Sektor eingesetzt.
  • Die Plattform wird fuer Mitarbeiterueberwachung, Vertriebsmessung oder Call-Auswertung genutzt.
  • Sie aktivieren Breeze AI, Content- oder Analysefunktionen mit eigenstaendigen KI-Datenfluesse.
  • Es ist unklar, ob eine Datenschutz-Folgenabschaetzung (DSFA) nach Art. 35 DSGVO erforderlich ist.

In solchen Faellen sollte Ihre Pruefung deutlich tiefer gehen: Datenflussbild, Transferbewertung, Rollen- und Berechtigungskonzept, Loeschregeln, Dokumentation im VVT und gegebenenfalls ein abgestimmter Rollout mit DSB, IT, HR und Betriebsrat.

HubSpot-DSGVO-Checkliste fuer deutsche Unternehmen

Nutzen Sie diese Liste als Einkaufs- und Rollout-Checkliste, nicht nur als Marketing-Zusammenfassung:

  • AVV abgeschlossen: HubSpot-DPA intern freigegeben, akzeptiert und versioniert abgelegt.
  • Produkte abgegrenzt: Klar dokumentiert, welche Hubs, Add-ons und Integrationen eingesetzt werden.
  • Datenkategorien gemappt: Kunden-, Interessenten-, Mitarbeiter- und Trackingdaten getrennt erfasst.
  • Rechtsgrundlagen dokumentiert: Speicherung, Kommunikation, Tracking und Automationen jeweils einzeln bewertet.
  • EU-Datenspeicherung geprueft: Nicht nur aktiviert, sondern auf reale Datenfluesse und Produktgrenzen gecheckt.
  • SCC und Transferpruefung dokumentiert: US- oder sonstige Drittländertransfers im Datenschutzprozess erfasst.
  • Unterauftragsverarbeiter geprueft: Aktuelle Liste gecheckt und mit dem Vendor-Management abgestimmt.
  • VVT aktualisiert: HubSpot in das Verzeichnis der Verarbeitungstaetigkeiten nach Art. 30 DSGVO aufgenommen.
  • Datenschutzhinweise angepasst: Website-, Bewerber-, Kunden- oder Mitarbeiterhinweise an die reale Nutzung angepasst.
  • Loesch- und Retention-Regeln gesetzt: Kontakte, Listen, Protokolle und Exporte haben klare Fristen.
  • Zugriffs- und Rollenmodell geprueft: Nur notwendige Teams haben Zugriff auf personenbezogene Daten.
  • Betriebsrat bewertet: Tracking-, Reporting- und Aktivitaetsfunktionen auf Mitbestimmung geprueft.
  • Betriebsvereinbarung vorbereitet: Falls Beschaeftigtendaten betroffen sind, vor dem Rollout abgestimmt.
  • DSFA-Schwelle geprueft: Bei risikoreicher Nutzung aktiv dokumentiert, ob Art. 35 DSGVO greift.
  • KI separat bewertet: Fuer Breeze AI und aehnliche Funktionen die Detailpruefung ueber die eigene HubSpot-Breeze-AI-Seite anschliessen.

HubSpot ist fuer deutsche Unternehmen in vielen Faellen nutzbar, aber die DSGVO-Konformitaet muss aktiv hergestellt werden. Ein AVV allein reicht nicht. Entscheidend sind die tatsaechlichen Datenfluesse, die Trennung von CRM- und Marketing-Rechtsgrundlagen, die Transferbewertung, die Frage der EU-Datenspeicherung und bei mitarbeiterbezogenen Funktionen die Rolle des Betriebsrats.

Wenn Sie HubSpot in Deutschland oder der DACH-Region einfuehren, erweitern oder rechtlich absichern wollen, unterstuetzt Compound Law bei Compliance- und Datenschutzfragen sowie bei der konkreten Vertrags-, Transfer- und Betriebsratspruefung. Fuer eine konkrete Einschaetzung koennen Sie auch direkt einen Termin anfragen.

Haeufige Fragen

Ist HubSpot DSGVO-konform?

HubSpot kann DSGVO-konform genutzt werden, wenn der AVV steht, die Datenfluesse und Rechtsgrundlagen sauber dokumentiert sind und Drittländertransfers sowie Tracking-Funktionen rechtlich bewertet wurden. Die Plattform ist damit nicht automatisch konform, sondern nur im richtig aufgebauten Einsatz.

Hat HubSpot einen AVV?

Ja. HubSpot stellt eine Vereinbarung zur Datenverarbeitung bereit, die fuer deutsche Unternehmen als Auftragsverarbeitungsvertrag nach Art. 28 DSGVO relevant ist. Zusaetzlich sollten Sie pruefen, welche Unterauftragsverarbeiter, Produkte und Transfermechanismen im konkreten Setup betroffen sind.

Wo speichert HubSpot Daten deutscher Kunden?

HubSpot bietet fuer bestimmte Daten EU-Datenspeicherung an, betreibt aber zugleich globale Infrastrukturen und Unterauftragsverarbeiter. Deshalb sollte die Bewertung nicht auf “EU-Hosting ja/nein” reduziert werden, sondern auch Support-, Admin- und Transferpfade erfassen.

Brauche ich fuer HubSpot eine Betriebsvereinbarung?

Wenn HubSpot Mitarbeiterverhalten oder -leistung nachvollziehbar macht, ist das in Deutschland oft ein Mitbestimmungsthema. Besonders relevant sind E-Mail-Tracking, Aktivitaetsprotokolle, Reportings und Call-bezogene Funktionen. Dann sollte der Betriebsrat fruehzeitig eingebunden werden.

Reicht der HubSpot-AVV allein aus?

Nein. Der AVV ist nur ein Baustein. Hinzu kommen Rechtsgrundlagen, Datenschutzhinweise, VVT, Loeschkonzept, Rollenmodell, Transferpruefung und je nach Nutzung DSFA oder arbeitsrechtliche Beteiligung.

Wann wird HubSpot Breeze AI zu einem eigenen Datenschutzthema?

Sobald Sie KI-Funktionen fuer Inhalte, Zusammenfassungen, Lead-Bewertungen oder Gespraechsanalyse aktivieren, sollten Sie diese separat bewerten. Fuer diesen Spezialfall ist unser Leitfaden zu HubSpot Breeze AI DSGVO die naechste Station.

Weitere Tool-Guides

Claude Enterprise Preise Plan und DSGVO fuer Unternehmen in Deutschland
tools

Claude Enterprise: Preise, Plan und DSGVO fuer Deutschland

Claude Enterprise fuer deutsche Unternehmen: Preise, Planlogik, AVV, EU-Hosting-Grenzen und Enterprise-Beschaffung.
Claude DSGVO-Pruefung fuer Deutschland mit AVV, Tarifen und Datenschutzkontrollen
tools

Claude DSGVO: Welche Claude-Tarife fuer Unternehmen zulaessig sind

Claude DSGVO-konform einsetzen: Tarif, AVV, Transfer und Governance entscheiden. Dieser Leitfaden trennt Consumer-Tarife von Business-Optionen.
Anthropic Standardvertragsklauseln SCC Modul 2 Modul 3 DSGVO Datenübermittlung
tools

Anthropic Standardvertragsklauseln (SCC): DSGVO-Leitfaden Modul 2 und 3

Anthropics EU-SCCs (Modul 2 und 3) sind automatisch im AVV enthalten. Welches Modul gilt für Ihr Unternehmen und was ist zusätzlich erforderlich?
Zoom AI Companion DSGVO-Konformität für deutsche Unternehmen
tools

Zoom AI Companion DSGVO-Konformität für deutsche Unternehmen

Ist Zoom AI Companion in Deutschland DSGVO-konform? Prüfen Sie AVV, KI-Verarbeitung, EU-Datenspeicherung und die Checkliste für Unternehmen.
Airtable DSGVO und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Airtable DSGVO: Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Airtable AI und DSGVO: AVV nur für Enterprise. Datentransfer, KI-Funktionen 2025, Unterauftragsverarbeiter und Betriebsratspflichten im Überblick.
Claude Team vs. Enterprise Tarifvergleich für deutsche Unternehmen
tools

Claude Team vs. Enterprise: Tarifvergleich für Unternehmen in Deutschland

Claude Team (~25 €/Nutzer/Monat) vs. Claude Enterprise: Funktionen, DSGVO-Unterschiede und welcher Tarif für Ihr Unternehmen geeignet ist.

Tool Library

Mehr KI-Tools nach Thema durchsuchen

Vergleichen Sie weitere Tools, Datenschutzfragen und Einsatzszenarien in unserer vollständigen KI-Tool-Bibliothek.

Alle KI-Tools ansehen

Häufige Fragen

HubSpot kann DSGVO-konform genutzt werden, wenn Sie den AVV abschliessen, internationale Datentransfers ueber SCC bewerten, Ihre Rechtsgrundlagen und Datenschutzhinweise anpassen und die konkrete HubSpot-Konfiguration datenschutzrechtlich pruefen. Die Plattform allein macht Ihren Einsatz nicht automatisch rechtmaessig.

Ja. HubSpot stellt eine Vereinbarung zur Datenverarbeitung bereit, die fuer deutsche Unternehmen die Funktion eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO erfuellt. Sie sollten trotzdem pruefen, ob die tatsaechlich genutzten Produkte, Unterauftragsverarbeiter und Transfermechanismen davon abgedeckt sind.

HubSpot bietet EU-Datenspeicherung fuer bestimmte Daten an, verarbeitet aber je nach Produkt, Support- und Konzernstruktur weiterhin Datenfluesse ausserhalb der EU. Deshalb sollten Sie nicht nur auf den Speicherort schauen, sondern auch auf Unterauftragsverarbeiter, Zugriffspfade und SCC fuer Drittländertransfers.

Oft ja. Wenn HubSpot Mitarbeiteraktivitaeten, E-Mail-Tracking, Anrufdaten, Leistungskennzahlen oder Nutzungsprotokolle auswertbar macht, sind Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG regelmaessig betroffen. Dann sollte vor dem Rollout eine Betriebsvereinbarung oder vergleichbare Abstimmung erfolgen.

Nein. Der AVV ist nur die Basis. Zusaetzlich muessen Sie Rechtsgrundlagen, Datenminimierung, Transparenz, Loeschkonzept, internationale Transfers, Datenschutzhinweise und gegebenenfalls eine Datenschutz-Folgenabschaetzung oder Betriebsratsbeteiligung pruefen.

Sobald Sie generative oder analysierende KI-Funktionen von HubSpot fuer Inhalte, Lead-Bewertungen, Gespraechsanalyse oder Zusammenfassungen nutzen, sollten Sie die gesonderte Bewertung der Datenfluesse, Modellnutzung und Transparenzpflichten vornehmen. Fuer diesen Teil ist die separate Seite zu HubSpot Breeze AI DSGVO die passendere Vertiefung.

Kostenlos beraten