Empfehlen wir unseren Kund:innen HubSpot als CRM und integrierte Marketing-Automation-Plattform, sehen wir nicht selten einen Anflug von Panik in ihren Augen: „Eine amerikanische Software-as-a-Service-Plattform? Können wir HubSpot in Deutschland oder der Schweiz überhaupt ohne Einschränkungen hinsichtlich des Datenschutzes einsetzen und müssen wir mit Abmahnungen rechnen?“
DSGVO-konforme Nutzungsbedingungen
Schon seit Mai 2018 stellt HubSpot seinen Anwendern umfangreiche Funktionen bereit, um den Anforderungen der DSGVO zu entsprechen. Große Unsicherheit bestand jedoch, weil im Juli 2020 mit dem Schrems-II-Urteil des Gerichtshofs der Europäischen Union das EU-US Privacy Shield für ungültig erklärt wurde. „Die Unternehmen müssen nun in jedem Fall der Datenübermittlung in die USA prüfen, ob ihr Vertragspartner ein gleichwertiges Datenschutzniveau bietet. Dafür sind umfangreiche Recherchen – auch im US-Recht – notwendig, die kaum ein Unternehmen allein bewältigen kann“, berichtet Stephan Wernicke, Rechtsexperte des Deutschen Industrie- und Handelskammertages.
Die Situation änderte sich am 4. Juni 2021 erneut. An diesem Tag veröffentlichte die Europäische Kommission zwei aktualisierte Sätze der Standardvertragsklauseln und verabschiedet diese. HubSpot nahm die aktualisierten Standardvertragsklauseln unmittelbar in seine Nutzungsbedingungen auf (siehe Abschnitt 5.4 der HubSpot Nutzungsbedingungen). Der SaaS-Anbieter erklärt sich in der Vereinbarung zur Datenverarbeitung bereit, die Standardvertragsklauseln einzuhalten und personenbezogene Daten europäischer Bürger in Übereinstimmung mit diesen Klauseln zu verarbeiten, wie in Abschnitt 7(f) dargelegt. Die aktualisierten Standardvertragsklauseln sind in Anhang 3 der Vereinbarung zur Datenverarbeitung enthalten. Seitdem müssen HubSpot-Kunden oder -Partner nichts mehr unternehmen, damit die aktualisierten Standardvertragsklauseln bei der Übertragung ihrer personenbezogenen Daten angewendet werden.
Trotzdem hielten sich die Unsicherheit gegenüber der Nutzung von US-Software im Allgemeinen und von HubSpot im Speziellen. Denn die Einhaltung des Datenschutzes wurde nach wie vor gerne von europäischen Wettbewerbern als Vorteil dargestellt.
Neuer Datenschutzrahmen: EU-US Data Privacy Framework DPF
Am Montag, dem 10. Juli 2023, hat die Europäische Kommission ihren Angemessenheitsbeschluss für den neuen EU-US-Datenschutzrahmen (EU-US Data Privacy Framework – DPF) angenommen. Dabei handelt es sich um ein Selbstzertifizierungsprogramm, das dem früheren EU-US-Privacy Shield ähnlich ist. In dem neuen EU-US-Datenschutzrahmen wird nun festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an zertifizierte US-Unternehmen übermittelt werden.
Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten daher gefahrlos aus der EU an US-Unternehmen, die an dem Rahmen teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.
DPF berücksichtigt Bedenken des EUGHs
Der neue Rahmen bringt erhebliche Verbesserungen, indem er neue verbindliche Garantien einführt, um alle vom Europäischen Gerichtshof geäußerten Bedenken auszuräumen. Das betrifft auch die Beschränkung des Zugriffs von US-Nachrichtendiensten auf EU-Daten auf das notwendige und verhältnismäßige Maß und der Einrichtung des Datenschutzüberprüfungsgerichts, zu dem EU-Bürger Zugang haben.
US-Unternehmen können sich dem Datenschutzrahmen anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzvorgaben verpflichten. Darunter fallen beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.
HubSpot nimmt bereits an dem neuen EU-US Datenschutzrahmen teil, die entsprechende Zertifizierung der HubSpot Inc. ist hier einsehbar: Data Privacy Framework Program: HubSpot, Inc.
Der Schweizer-US Datenschutzrahmen (Swiss-US Data Privacy Framework) ist am 17. Juli 2023 in Kraft getreten. Organisationen, die sich bereits nach den Grundsätzen des Swiss-US Privacy Shield Frameworks zertifiziert hatten (so wie HubSpot, Inc.), müssen nun die neuen Swiss-US DPF Principles einhalten und sind damit automatisch zertifiziert. HubSpot ist daher auch bereits unter dem neuen Schweizer-US Datenschutzrahmen zertifiziert. Die entsprechende Zertifizierung ist hier einsehbar: Data Privacy Framework Program: HubSpot, Inc.
HubSpot-User können die Datenübermittlungen aus der Schweiz in die USA aber erst auf den neuen Schweizer-US Datenschutzrahmen stützen, wenn die Schweizer Bundesverwaltung die Angemessenheit des Schweizer-US-Datenschutzrahmens anerkannt hat, was zeitnah erfolgen soll.
Fazit: HubSpot ist mehr als DSGVO-konform
Für deutsche Kunden bedeutet die Zertifizierung von HubSpot, dass personenbezogene Daten risikolos und ohne jede weitere Datenschutzvorkehrung aus der EU an HubSpot, Inc. übermittelt werden können.
Lassen Sie uns Feedback da