HubSpot ist datenschutzrechtlich kein kleines, lokales WordPress-Plugin, das einfach nur eine Funktion in deinem Backend ergänzt. Sobald du HubSpot auf deiner Website einbindest, spielen Besucher-Tracking, Cookies, Formulare, Chatverläufe und Datenübertragungen an HubSpot eine Rolle. Das ist machbar, aber du musst die Einbindung bewusst konfigurieren und sauber dokumentieren.
Überblick
Was ist HubSpot?
HubSpot ist eine Plattform für Kundenverwaltung, Marketing, Vertrieb und Service. Auf Websites nutzt man HubSpot häufig für Kontaktformulare, Newsletter-Anmeldungen, Live-Chat, Lead-Erfassung, Landingpages und Analysefunktionen. Für WordPress gibt es außerdem ein offizielles HubSpot-Plugin, das die Verbindung zwischen deiner Website und HubSpot vereinfacht.
HubSpot und Datenschutz im Überblick
| Cookie-Banner | Ein Cookie-Banner ist bei Website-Einbindung nötig, weil HubSpot eigene Tracking- und Identifikations-Cookies setzt. |
| Datenverarbeitung | HubSpot verarbeitet personenbezogene Daten von Website-Besuchern, zum Beispiel Website-Aktivitäten, IP-Adressen, Online-Kennungen, Formularangaben und Chat-Inhalte. |
| Datenschutzerklärung | HubSpot muss in die Datenschutzerklärung, wenn du den Tracking-Code, HubSpot-Formulare, Live-Chat, HubSpot-gehostete Seiten oder das WordPress-Plugin nutzt. |
| Drittlandtransfer | Ein Drittlandtransfer ist relevant, weil HubSpot ein US-Anbieter ist und personenbezogene Daten an HubSpot beziehungsweise die HubSpot-Infrastruktur übertragen werden können. |
| Auftragsverarbeitung | Ein Auftragsverarbeitungsvertrag mit HubSpot ist erforderlich, wenn HubSpot Besucherdaten für dich verarbeitet. |
Datenverarbeitung
Welche personenbezogenen Daten verarbeitet HubSpot?
HubSpot verarbeitet bei Website-Einbindung personenbezogene Daten deiner Besucher. Das betrifft den HubSpot-Tracking-Code, HubSpot-Formulare, Chatverläufe, HubSpot-gehostete Landingpages und das offizielle WordPress-Plugin, weil dieses den Tracking-Code automatisch auf deiner Website einbindet.
Je nach Nutzung verarbeitet HubSpot unterschiedliche Daten. Dazu gehören:
- IP-Adresse
- Online-Kennungen und Cookie-IDs
- besuchte Seiten und Website-Aktivitäten
- Formularangaben wie Name, E-Mail-Adresse oder Nachricht
- Chat-Inhalte und Kontaktdaten
- Zuordnungen zu bestehenden Kontakten im HubSpot-CRM
Wichtig ist der Unterschied zwischen einer reinen CRM-Nutzung im Hintergrund und einer Website-Einbindung. Wenn du HubSpot nur intern nutzt, betrifft das deine eigenen Kontakte und Geschäftsprozesse. Sobald HubSpot aber auf deiner Website läuft, verarbeitet HubSpot Daten deiner Website-Besucher direkt beim Besuch oder bei der Interaktion mit Formularen und Chats.
Drittlandtransfer
Überträgt HubSpot Daten in ein Drittland?
HubSpot kann personenbezogene Daten in die USA übertragen, weil HubSpot ein US-Anbieter ist. Ein Drittland ist ein Land außerhalb der Europäischen Union. Wenn du HubSpot auf deiner Website einbindest, sendet deine Website Besucherdaten nicht nur an deinen eigenen Hosting-Anbieter, sondern auch an HubSpot beziehungsweise an die HubSpot-Infrastruktur.
HubSpot stellt dafür eine eigene Vereinbarung zur Datenverarbeitung bereit und beschreibt darin auch Regelungen für internationale Datenübertragungen. Für dich heißt das praktisch: Du solltest HubSpot nicht wie ein rein lokales WordPress-Plugin behandeln. Der Drittlandbezug gehört zu diesem Dienst unweigerlich dazu.
Cookie-Banner
Braucht HubSpot einen Cookie-Banner?
HubSpot braucht bei Website-Einbindung eine Einbindung über deinen Cookie-Banner, weil HubSpot eigene Tracking- und Identifikations-Cookies setzt. HubSpot nennt unter anderem Cookies zur Besucheridentität, zur Wiedererkennung, zur Sitzungssteuerung und für Chatverläufe.
Besonders wichtig ist das offizielle HubSpot-WordPress-Plugin. Wenn du dieses Plugin nutzt, installiert es den HubSpot-Tracking-Code auf deiner WordPress-Website. Dadurch kann HubSpot Website-Besuche erfassen und Besucher wiedererkennen. Eine einfache Plugin-Einstellung, mit der du diese Tracking-Cookies vollständig abschaltest, gibt es nicht.
Du solltest HubSpot deshalb so in dein Einwilligungstool (Cookie-Banner) einbinden, dass HubSpot-Tracking und HubSpot-Cookies erst nach Zustimmung starten. Alternativ kannst du auf den Tracking-Code verzichten, wenn du HubSpot nur für Funktionen nutzen willst, die kein Besucher-Tracking auf deiner Website brauchen.
Datenschutzerklärung
Muss HubSpot in die Datenschutzerklärung?
HubSpot muss in deine Datenschutzerklärung, wenn du HubSpot auf deiner Website einbindest. Das gilt besonders für den HubSpot-Tracking-Code, HubSpot-Formulare, Chatverkäufe, HubSpot-gehostete Seiten und das offizielle HubSpot-WordPress-Plugin.
Die Datenschutzerklärung sollte verständlich erklären, dass du HubSpot für Marketing, Kontaktverwaltung, Formularverarbeitung, Chat-Kommunikation oder Website-Analyse nutzt. Außerdem sollte sie die wichtigsten Datenarten nennen, die HubSpot dabei verarbeitet:
- IP-Adresse und technische Browserdaten
- Website-Aktivitäten und besuchte Seiten
- Cookie-IDs und Online-Kennungen
- Formularinhalte und Kontaktdaten
- Chat-Inhalte, wenn du HubSpot-Chatflows nutzt
Auch der mögliche Transfer in die USA gehört in die Datenschutzerklärung. Wenn du HubSpot-Formulare oder Live-Chats nutzt, solltest du zusätzlich erklären, dass HubSpot die eingegebenen Daten deinem Kontaktprofil oder deiner Kommunikation zuordnen kann.
Auftragsverarbeitung
Brauchst du einen Auftragsverarbeitungsvertrag mit HubSpot?
Ein Auftragsverarbeitungsvertrag ist mit HubSpot nötig, wenn HubSpot personenbezogene Daten deiner Website-Besucher in deinem Auftrag verarbeitet. Das ist bei Website-Einbindung der Fall, zum Beispiel bei Tracking-Code, Formularen, Live-Chats oder HubSpot-gehosteten Seiten.
HubSpot stellt dafür eine eigene Vereinbarung zur Datenverarbeitung bereit. Du solltest diese Vereinbarung in deinem HubSpot-Konto beziehungsweise über die offiziellen HubSpot-Vertragsunterlagen abschließen oder dokumentieren. Ohne diesen Vertrag fehlt ein wichtiger Baustein für die datenschutzkonforme Nutzung von HubSpot auf deiner Website.
Stolperfallen
Typische Fehler bei HubSpot auf WordPress-Websites
Bei HubSpot entstehen die meisten Datenschutzprobleme nicht durch eine einzelne Funktion, sondern durch die Kombination aus Tracking, Formularen, Chat und CRM-Zuordnung. Viele Website-Betreiber installieren das HubSpot-WordPress-Plugin, sehen nur die praktische Formular- oder CRM-Funktion und übersehen, dass der Tracking-Code automatisch auf der Website eingebunden wird.
Ein häufiger Fehler ist ein Cookie-Banner, das HubSpot zwar nennt, den Tracking-Code aber nicht wirklich blockiert. Dann setzt HubSpot Cookies oder startet Besuchertracking bereits vor der Zustimmung. Ein weiterer Stolperpunkt sind HubSpot-Formulare und Chatflows: Sie verarbeiten nicht nur eine technische Anfrage, sondern übermitteln konkrete Angaben deiner Besucher an HubSpot und können diese einem Kontakt zuordnen.
Auch zusätzliche Integrationen solltest du nicht mit HubSpot vermischen. Wenn du über HubSpot weitere Dienste wie Werbe-Pixel, Analyse-Tools oder externe Integrationen einbindest, müssen diese Dienste für sich betrachtet werden. Die HubSpot-Bewertung wird dadurch nicht harmloser oder gefährlicher – sie bekommt nur zusätzliche Bausteine.
Kostenloser Website-Scan
Prüfe deine eigene Website
Du möchtest wissen, welche Cookies, Tools und externen Verbindungen auf deiner Website auffallen? Datenrein scannt deine Website kostenlos und zeigt dir, welche Punkte du prüfen solltest.
