Kostenlos beraten
HubSpot DSGVO-konform nutzen: AVV und Datenschutz für deutsche Unternehmen
tools

HubSpot AVV und DSGVO: Was deutsche Unternehmen wissen müssen

HubSpot kann DSGVO-konform genutzt werden, wenn die richtigen vertraglichen Voraussetzungen erfüllt sind. HubSpot stellt allen Kunden einen Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 DSGVO zur Verfügung, bietet EU-Datenspeicherung und setzt Standardvertragsklauseln (SCC) für Datentransfers in die USA ein. Deutsche Unternehmen müssen den AVV vor der Verarbeitung personenbezogener Daten von EU-Bürgerinnen und -Bürgern in HubSpot abschließen.

Hat HubSpot einen Auftragsverarbeitungsvertrag (AVV)?

Ja. HubSpot stellt allen zahlenden Kunden einen Auftragsverarbeitungsvertrag zur Verfügung — unabhängig vom gebuchten Tarifmodell. Damit unterscheidet sich HubSpot von vielen KI-Tools, die den AVV nur Enterprise-Kunden vorbehalten.

Der HubSpot AVV regelt:

  • Verarbeitungszwecke und -umfang: Die Kategorien personenbezogener Daten, die HubSpot in Ihrem Auftrag verarbeitet (Kontakte, Leads, Deal-Daten, E-Mail-Empfänger)
  • Sub-Auftragsverarbeiter: Die Nutzung von Drittanbietern (AWS, Google Cloud und weitere, aufgelistet auf der HubSpot Sub-Auftragsverarbeiter-Seite)
  • Datenübermittlungsmechanismen: Standardvertragsklauseln für Übermittlungen personenbezogener Daten aus der EU/dem EWR in die USA
  • Betroffenenrechte: Verfahren zur Bearbeitung von Auskunfts-, Löschungs- und Portabilitätsanfragen
  • Technische und organisatorische Maßnahmen: Die Sicherheitsstandards, die HubSpot zum Schutz Ihrer Daten einhält

Der AVV kann über das HubSpot-Kundenportal abgerufen werden und ist in HubSpots allgemeine Geschäftsbedingungen eingebettet. Eine gesonderte Verhandlung ist in der Regel nicht erforderlich — HubSpot stellt ein standardisiertes Dokument bereit, das für alle zahlenden Kunden gilt.

HubSpot AVV abschließen: So gehen deutsche Unternehmen vor

Der AVV ist kein optionaler Zusatzvertrag, sondern eine rechtliche Voraussetzung für die DSGVO-konforme Nutzung von HubSpot. Folgende Schritte sind erforderlich:

  1. AVV akzeptieren: Über die Kontoeinstellungen in HubSpot oder über Ihren Kundenbetreuer. HubSpot hat den AVV in der Regel bereits vorab unterzeichnet.
  2. Dokumentation im Verarbeitungsverzeichnis: HubSpot als Auftragsverarbeiter in Ihrem Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO erfassen.
  3. Sub-Auftragsverarbeiterliste prüfen: Aktuelle Liste auf trust.hubspot.com einsehen und Ihre Datenschutzhinweise entsprechend aktualisieren.
  4. Standardvertragsklauseln bestätigen: Sicherstellen, dass die aktuellen EU-SCCs (Durchführungsbeschluss 2021/914 der Kommission) im AVV enthalten sind.

Wer HubSpot als CRM betreibt, ohne einen gültigen AVV abgeschlossen zu haben, verstößt gegen Artikel 28 DSGVO. Datenschutzaufsichtsbehörden können in solchen Fällen Bußgelder verhängen.

DSGVO-Konformität: Wo HubSpot Ihre Daten speichert

HubSpots Infrastruktur basiert primär auf Amazon Web Services (AWS). Kunden in bestimmten Regionen können als Datenspeicherort die EU wählen, sodass Kontakt- und Unternehmensdaten in AWS-Rechenzentren innerhalb der Europäischen Union gespeichert werden.

Wichtige Unterscheidungen:

  • EU-Datenspeicherung: Auf Anfrage verfügbar. Nicht alle HubSpot-Daten werden auch mit dieser Einstellung ausschließlich in der EU gespeichert — Betriebs- und Supportdaten können weiterhin über US-Server laufen.
  • Standardvertragsklauseln: Erforderlich für jede Verarbeitung, die HubSpots US-Infrastruktur oder US-Konzerngesellschaften einbezieht — auch bei aktivierter EU-Datenspeicherung.
  • Sub-Auftragsverarbeiter: HubSpot setzt Drittanbieter in den USA und anderen Drittländern ein. Die aktuelle Liste wird unter trust.hubspot.com veröffentlicht und bei Änderungen aktualisiert.

Für deutsche Unternehmen mit strengen Anforderungen an die Datenlokalisierung — etwa im Gesundheitswesen, in der Finanzdienstleistung oder im öffentlichen Sektor — empfiehlt sich eine detaillierte Prüfung, welche Datenkategorien in der EU und welche in den USA gespeichert werden, bevor HubSpot als CRM eingeführt wird.

Zum Vergleich: Salesforce Einstein bietet ebenfalls EU-Rechenzentren, weist aber ähnlich komplexe Sub-Auftragsverarbeiterketten auf. Bei der Nutzung von Zapier zur Anbindung von HubSpot sind für die Datenübertragungen an weitere Drittanbieter gesonderte AVVs abzuschließen.

HubSpot-KI-Funktionen und der EU AI Act

HubSpots KI-Produktsuite — bekannt als Breeze AI — umfasst Funktionen in CRM, Marketing, Vertrieb und Kundenservice:

  • Breeze Copilot: Konversationelle KI-Unterstützung für CRM-Aufgaben
  • Content Assistant: KI-generierte E-Mails, Blogbeiträge und Social-Media-Inhalte
  • Prädiktives Lead-Scoring: KI-basierte Priorisierung von Kontakten
  • Conversation Intelligence: KI-gestützte Transkription und Analyse von Verkaufsgesprächen

Unter dem EU AI Act, der ab August 2026 für die meisten KI-Systeme gilt, variiert die Risikoklassifikation dieser Funktionen:

HubSpot-KI-FunktionRisikostufe EU AI Act
Breeze Copilot (Assistent)Minimales Risiko
Content Assistant (Textgenerierung)Minimales Risiko (GPAI-Pflichten für Basismodell)
Prädiktives Lead-ScoringBegrenztes bis minimales Risiko
Conversation Intelligence (Mitarbeiterüberwachung)Begrenztes Risiko — Transparenzpflichten

KI-Modelle mit allgemeinem Verwendungszweck (GPAI): Soweit HubSpots KI-Funktionen auf einem GPAI-Modell im Sinne von Artikel 3 Nr. 63 EU AI Act basieren, können für HubSpot als Betreiber Transparenzanforderungen gelten. Unternehmen sollten prüfen, welches Modell den einzelnen Breeze-AI-Funktionen zugrunde liegt und welche AI-Act-Pflichten sich daraus ergeben.

Eine vollständige Übersicht finden Sie in unserem EU AI Act Compliance-Leitfaden.

Betriebsrat und Mitbestimmung beim HubSpot-Einsatz

In Deutschland löst die Einführung eines CRM-Systems wie HubSpot häufig Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG aus. Diese Vorschrift gibt dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

HubSpot kann folgende mitarbeiterbezogene Daten erfassen:

  • Öffnungs- und Klick-Tracking von E-Mails (bei Vertriebsmitarbeitenden)
  • Protokolle und Aufzeichnungen von Anrufen (über Conversation Intelligence)
  • Deal-Pipeline-Aktivitäten einzelner Nutzer
  • Aufgabenerfüllung und Reaktionszeiten

Diese Funktionen können dazu führen, dass HubSpot als Überwachungseinrichtung im Sinne des BetrVG einzustufen ist — nicht nur als Kundendatenbank. Vor der Einführung von HubSpot in Unternehmen mit Betriebsrat sind folgende Schritte erforderlich:

  1. Betriebsrat informieren: Den Betriebsrat frühzeitig über die geplante Einführung von HubSpot und die vorgesehenen Funktionen unterrichten.
  2. Betriebsvereinbarung abschließen: Eine Betriebsvereinbarung verhandeln, die zulässige Anwendungsfälle, Datenzugriff und Speicherfristen regelt.
  3. Tracking-Funktionen einschränken: Wo der Betriebsrat Mitbestimmungsrechte hat, entweder technische Einschränkungen vereinbaren oder durch die Betriebsvereinbarung klare Grenzen setzen.

Wird der Betriebsrat nicht einbezogen, kann dies zur Untersagung des Systembetriebs führen und im Einzelfall arbeitsrechtliche Konsequenzen nach sich ziehen.

DSGVO-Checkliste für HubSpot in Deutschland

Vor dem Go-live mit HubSpot in einem deutschen Unternehmenskontext sollten folgende Punkte abgehakt sein:

  • AVV abgeschlossen: HubSpots Auftragsverarbeitungsvertrag in den Kontoeinstellungen akzeptiert
  • EU-Datenspeicherung aktiviert: EU-Datenregion gewählt, sofern dies sektoral oder intern vorgegeben ist
  • SCC bestätigt: Standardvertragsklauseln sind über den HubSpot AVV eingebunden
  • Sub-Auftragsverarbeiterliste geprüft: trust.hubspot.com auf aktuelle Sub-Auftragsverarbeiter geprüft, Datenschutzhinweise aktualisiert
  • Verarbeitungsverzeichnis aktualisiert: HubSpot in das Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO aufgenommen
  • Datenschutzhinweise angepasst: Nutzung von HubSpot in Website- und/oder mitarbeitergerichteten Datenschutzerklärungen offengelegt
  • DSFA geprüft: Datenschutz-Folgenabschätzung durchgeführt, wenn Verarbeitung in großem Umfang, mit besonderen Datenkategorien oder KI-gestützten Funktionen erfolgt
  • Betriebsrat beteiligt: Mitbestimmungsverfahren eingeleitet, wenn HubSpot Mitarbeiteraktivitäten erfasst
  • Betriebsvereinbarung abgeschlossen: Nutzungsvereinbarung mit dem Betriebsrat unterzeichnet
  • AI-Act-Bewertung durchgeführt: Breeze-AI-Funktionen auf Risikoklassifikation und Transparenzpflichten geprüft

Compound Law unterstützt Sie bei der AVV-Prüfung, SCC-Analyse, Datenschutz-Folgenabschätzung und Betriebsratsverhandlungen für HubSpot-Einführungen in Deutschland und im DACH-Raum. Weitere Informationen finden Sie unter unseren Compliance-Leistungen.

Häufig gestellte Fragen

Ist HubSpot DSGVO-konform?

HubSpot kann DSGVO-konform genutzt werden, wenn der Auftragsverarbeitungsvertrag abgeschlossen ist, Standardvertragsklauseln für US-Datentransfers vorliegen und das Verarbeitungsverzeichnis aktualisiert wurde. EU-Datenspeicherung ist auf Anfrage verfügbar. Die DSGVO-Konformität hängt von der konkreten Konfiguration und Nutzung ab — nicht von einer pauschalen Zertifizierung durch HubSpot.

Hat HubSpot einen AVV (Auftragsverarbeitungsvertrag)?

Ja. HubSpots Data Processing Agreement fungiert als Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO und steht allen zahlenden Kunden zur Verfügung. Ein Enterprise-Tarif ist dafür nicht erforderlich. Der AVV kann über das HubSpot-Kundenportal abgerufen und akzeptiert werden.

Wo speichert HubSpot die Daten deutscher Kunden?

Standardmäßig speichert HubSpot Daten auf AWS-Infrastruktur in den USA. EU-Datenspeicherung ist auf Anfrage verfügbar und leitet Kern-CRM-Daten an AWS-Rechenzentren in der EU. Betriebs- und Supportdaten können weiterhin in den USA verarbeitet werden. Die aktuellen Einstellungen sind in den HubSpot-Kontoeinstellungen einsehbar.

Brauche ich eine Betriebsvereinbarung für HubSpot?

Wenn Ihr Unternehmen einen Betriebsrat hat und HubSpot Mitarbeiteraktivitäten erfasst — etwa durch E-Mail-Tracking, Gesprächsaufzeichnung oder Aktivitätsprotokolle — sind Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG wahrscheinlich betroffen. Eine Betriebsvereinbarung, die den zulässigen Einsatz von HubSpot regelt, sollte vor der Einführung abgeschlossen werden.

Sind die KI-Funktionen von HubSpot mit dem EU AI Act vereinbar?

HubSpots Breeze-AI-Funktionen fallen überwiegend in die Kategorien minimales bis begrenztes Risiko gemäß EU AI Act. Funktionen mit Bezug zur Mitarbeiterüberwachung oder Leistungsbewertung — wie Conversation Intelligence — unterliegen Transparenzpflichten. Jede KI-Funktion sollte einzeln bewertet und entsprechend dokumentiert werden.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot DSGVO: AVV mit Microsoft, EU Data Boundary, Betriebsrat und Compliance-Checkliste für Unternehmen in Deutschland.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist HubSpot DSGVO-konform?

HubSpot kann DSGVO-konform genutzt werden, wenn der Auftragsverarbeitungsvertrag abgeschlossen ist, Standardvertragsklauseln für US-Datentransfers vorliegen und das Verarbeitungsverzeichnis aktualisiert wurde. EU-Datenspeicherung ist auf Anfrage verfügbar. Die DSGVO-Konformität hängt von der konkreten Konfiguration und Nutzung ab — nicht von einer pauschalen Zertifizierung durch HubSpot.

Hat HubSpot einen AVV (Auftragsverarbeitungsvertrag)?

Ja. HubSpots Data Processing Agreement fungiert als Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO und steht allen zahlenden Kunden zur Verfügung. Ein Enterprise-Tarif ist dafür nicht erforderlich. Der AVV kann über das HubSpot-Kundenportal abgerufen und akzeptiert werden.

Wo speichert HubSpot die Daten deutscher Kunden?

Standardmäßig speichert HubSpot Daten auf AWS-Infrastruktur in den USA. EU-Datenspeicherung ist auf Anfrage verfügbar und leitet Kern-CRM-Daten an AWS-Rechenzentren in der EU. Betriebs- und Supportdaten können weiterhin in den USA verarbeitet werden. Die aktuellen Einstellungen sind in den HubSpot-Kontoeinstellungen einsehbar.

Brauche ich eine Betriebsvereinbarung für HubSpot?

Wenn Ihr Unternehmen einen Betriebsrat hat und HubSpot Mitarbeiteraktivitäten erfasst — etwa durch E-Mail-Tracking, Gesprächsaufzeichnung oder Aktivitätsprotokolle — sind Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG wahrscheinlich betroffen. Eine Betriebsvereinbarung, die den zulässigen Einsatz von HubSpot regelt, sollte vor der Einführung abgeschlossen werden.

Sind die KI-Funktionen von HubSpot mit dem EU AI Act vereinbar?

HubSpots Breeze-AI-Funktionen fallen überwiegend in die Kategorien minimales bis begrenztes Risiko gemäß EU AI Act. Funktionen mit Bezug zur Mitarbeiterüberwachung oder Leistungsbewertung — wie Conversation Intelligence — unterliegen Transparenzpflichten. Jede KI-Funktion sollte einzeln bewertet und entsprechend dokumentiert werden.

Kostenlos beraten