Leitfaden zur DSGVO-konformen Nutzung von HubSpot

Die Datenschutz-Grundverordnung der EU ist seit dem 25. Mai 2018 in Kraft, und HubSpot hat neue Features veröffentlich, die Ihnen helfen sollen, die neuen Vorschriften einzuhalten. Auf dieser Seite erfahren Sie, wie Sie die neuen Features nutzen können und worauf es dabei zu achten gilt. Die in diesem Leitfaden beschriebenen Funktionen sind seit dem 22. Mai 2018 für alle Nutzer verfügbar.

Die Änderungen in der Übersicht:

Cookies

Gemäß der DSGVO müssen Besucher Ihrer Website darüber informiert werden, dass Sie Cookies verwenden, und zwar in einer Sprache, die sie verstehen. Außerdem müssen sie ihr Einverständnis dazu geben, dass Sie ihr Surfverhalten mithilfe von Cookies nachverfolgen.

• In HubSpot können Sie diese Einwilligung zum Cookie-Tracking erfassen. Zudem haben Sie die Möglichkeit, auf verschiedenen Seiten Ihrer Website verschiedene Versionen eines Banners anzeigen zu lassen (zum Beispiel in einer anderen Sprache), mit dem Sie die Einwilligung Ihrer Besucher einholen können.

Sie sollten daher in Erwägung ziehen, ob Sie Ihre Cookie-Einstellungen ändern möchten.

Rechtliche Grundlage

Gemäß der DSGVO brauchen Sie eine rechtliche Grundlage, um personenbezogene Daten zu verwenden. In HubSpot haben wir diese Rechtmäßigkeit auf zwei breitgefasste Kategorien aufgeteilt: rechtliche Grundlage für die Verarbeitung personenbezogener Daten (z. B. Speicherung der Daten in Ihrem CRM oder Bereitstellung eines angeforderten E-Books) und rechtliche Grundlage für die Kommunikation mit Personen, deren Kontaktdaten Sie erfasst haben (z. B. Senden von Marketing-E-Mails oder Anrufe durch einen Vertriebsmitarbeiter).

• Wir haben eine Standard-Kontakteigenschaft hinzugefügt, die die rechtliche Grundlage zur Verarbeitung personenbezogener Daten erfasst.

Sie sollten daher in Erwägung ziehen, ob Sie diese Eigenschaft für Ihre Kontakte nutzen möchten.

• Wir haben die Funktionen für (E-Mail-)Abonnements überarbeitet, damit auch die rechtliche Grundlage für die Kommunikation (einschließlich der Einwilligung) leicht nachzuverfolgen ist. So ist es jetzt möglich, in HubSpot Opt-ins nachzuverfolgen (anstatt lediglich Abmeldungen). Wir haben diese Abonnementinformationen zu den Kontaktdatensätzen hinzugefügt, um die Nachverfolgung oder Audits zu vereinfachen. Und sie sind über Formulare zugänglich.
  

Sie brauchen eine rechtliche Grundlage, um mit Ihren Kontakten zu kommunizieren. Falls diese rechtliche Grundlage nicht vorliegt, könnten Sie Abonnement-Typen erstellen, Ihre vorhandene Datenbank mit diesen Abonnement-Typen aktualisieren (mit einer Freigabeerlaubnis-Kampagne oder einer anderen Methode) und Ihre Formulare so einrichten, dass Sie die rechtliche Grundlage für die Kommunikation mit Kontakten künftig ebenfalls erfassen.

Löschung

Gemäß der DSGVO haben Ihre Kontakte das Recht, eine Kopie aller personenbezogenen Daten, die Sie über sie gespeichert haben, anzufordern. Außerdem können sie verlangen, dass Sie diese Daten löschen oder berichtigen.

• Dazu wurde eine Funktion für eine „DSGVO-konforme Löschung“ entwickelt, mit der Kontaktdaten unwiderruflich gelöscht werden (ihre Daten bleiben also nicht für den Fall gespeichert, dass sie erneut konvertieren).

Um DSGVO-konform operieren zu können, müssen Sie ein Verfahren einrichten, um solchen Forderungen nachkommen zu können. Haben Sie noch keinen solchen Prozess, sollten Sie ihn also dringendst einrichten.

Jedes Unternehmen – ganz gleich, ob B2B-, B2C-, Start-up oder Großunternehmen – muss sich mit der neuen EU-Verordnung zum Schutz der personenbezogenen Daten von EU-Bürgern, der Datenschutz-Grundverordnung (DSGVO), auseinandersetzen. Diese neue Verordnung soll die Datenschutzrechte von EU-Bürgern in Bezug auf ihre personenbezogenen Daten stärken. Zu diesem Zweck werden Unternehmen verpflichtet, transparent und sicher mit diesen Daten umzugehen. Die DSGVO ist nicht nur von in der EU ansässigen Unternehmen anzuwenden, sondern auch von allen Organisationen, die Daten von EU-Bürgern verarbeiten und für diese verantwortlich sind. Dabei spielt es keine Rolle, wo diese Unternehmen ansässig sind.

Für HubSpot war es im Vorlauf des Inkrafttretens der DSGVO oberste Priorität, unseren Partnern und Nutzern dabei zu helfen, die Anforderungen der Verordnung an ihre Unternehmen zu verstehen, damit sie DSGVO-konforme Prozesse etablieren können.

Deshalb haben wir verschiedene Veränderungen an der HubSpot-Plattform vorgenommen, die Sie dabei unterstützen sollen, die Konformität Ihres Unternehmens mit der DSGVO zu gewährleisten. Die Betonung liegt auf „unterstützen“ – keine Softwareplattform kann die Konformität mit der DSGVO garantieren. Die individuelle Vorgehensweise Ihres Unternehmens und die Details sollten Sie mit Ihren eigenen Datenschutzexperten, Beratern oder Anwälten besprechen.

In diesem Leitfaden zeigen wir Ihnen anhand eines fiktiven Beispiels, wie Kontakte über die neuen DSGVO-Funktionen mit Ihrem Unternehmen interagieren könnten.

Gehen wir von dieser Situation aus:

Anna ist ein Kontakt in Ihrem CRM. Sie lebt in Deutschland. Damit ist Anna eine „betroffene Person“ und Ihr Unternehmen (nennen wir es „Muster GmbH“) ist der „Verantwortliche“ für ihre Daten. Wenn Sie HubSpot-Kunde sind, dann ist HubSpot der „Auftragsverarbeiter“, der Annas Daten im Namen der Muster GmbH verarbeitet.

So könnte Anna mit Ihrem Unternehmen interagieren:

1. Anna besucht zum ersten Mal die Website der Muster GmbH
2. Anna füllt ein Formular aus (oder wird manuell/über die API als Kontakt in der Datenbank erstellt)
3. Die Muster GmbH sendet Anna eine E-Mail
4. Anna verlangt Auskunft über die Informationen, die die Muster GmbH über sie gespeichert hat, oder verlangt die Berichtigung oder Löschung dieser Daten

Im Folgenden sehen wir uns an, wie Sie im Sinne der DSGVO mit den einzelnen Schritten von Anna in der HubSpot-Software umgehen können.

Bevor wir uns einzelne Funktionen genauer ansehen, ein kurzer Hinweis: Bestimmte DSGVO-bezogene Features werden mit einem einzelnen Ein/Aus-Schalter in Ihren Einstellungen aktiviert. In einigen Fällen werden DSGVO-Funktionen erst nach Aktivierung dieser Einstellung angezeigt. In anderen Fällen wird dadurch lediglich das Standardverhalten von Funktionen geändert.

Wenn Sie die DSGVO-Einstellung aktivieren, passiert in Ihrem HubSpot-Account Folgendes (Hinweis: Falls diese Auflistung noch keinen Sinn für Sie ergibt, überspringen Sie sie zunächst):

• Es wird standardmäßig ein Banner aktiviert, über das Ihre Website-Besucher in die Nutzung von Cookies einwilligen können.
• Die Funktion für eine DSGVO-konforme Löschung wird in Kontaktdatensätzen angezeigt.
• DSGVO-konforme Formulare werden aktiviert.
• Der Link zum Abmelden wird in persönlichen Vertriebs-E-Mails standardmäßig aktiviert.
• Ein Hinweis zur Einwilligung zur Kommunikation wird standardmäßig in Messages-Live-Chats hinzugefügt. Besuchern, die den Live-Chat nutzen, wird damit zu Beginn des Chats entsprechender ein Hinweis zur Einwilligung angezeigt.
• Neue Meetings-Links enthalten standardmäßig einen Hinweis auf die Einwilligung zur Kommunikation.
• Es werden Warnhinweise nach einer DSGVO-konformen Löschung aktiviert – wenn Sie daraufhin versuchen, einen Kontakt zu Ihrer Datenbank hinzuzufügen, dessen Datensatz zuvor im Rahmen einer DSGVO-konformen Löschung gelöscht wurde, wird eine entsprechende Warnung angezeigt.
• In der Sales-Hub-Erweiterung wird in der Kontakt-Seitenleiste Ihres E-Mail-Programms ein entsprechender Hinweis angezeigt, falls Sie keine rechtliche Grundlage für die Kommunikation mit einem Empfänger haben.
• Sämtliche Benachrichtigungen (Zugang über das „Glocken“-Symbol in der Navigationsleiste), die vor dem 25. Mail erstellt wurden und identifizierbare personenbezogene Daten enthalten, wurden gelöscht.
• Benachrichtigungen, die nach dem 25. Mai generiert wurden/werden, werden gelöscht, wenn ein Kontakt die Löschung seiner personenbezogenen Daten verlangt und Sie den entsprechenden Kontaktdatensatz mit der neuen Funktion für eine DSGVO-konforme Löschung entfernen.

Zur Erinnerung: Wenn Sie diese Einstellung aktivieren, bedeutet dies nicht, dass Ihr Vorgehen DSGVO-konform ist (als größter Nutzer unserer eigenen Plattform wünschten wir, dass es so einfach wäre). Damit werden lediglich Funktionen aktiviert, die Sie beim Erreichen der Konformität unterstützen.

Neben der account-weiten Einstellung gibt es auch eine Einstellung für DSGVO-konforme Verwendung von E-Mails. Mit dieser Einstellung wird die Notwendigkeit für eine rechtliche Grundlage zur Kommunikation im E-Mail-Tool verpflichtend. Es wird also verhindert, dass Sie E-Mails an Kontakte senden, wenn Sie keine rechtliche Grundlage dafür haben. Außerdem sehen Ihre Kontakte in ihren Abo-Einstellungen nicht die neuen Abonnement-Typen, sondern weiterhin die E-Mail-Arten. Falls Ihnen schleierhaft ist, wovon hier die Rede ist – lesen Sie weiter.

Zurück zum Beispiel von Anna

Annas Interaktion mit der Muster GmbH beginnt auf der Website des Unternehmens. Die DSGVO enthält auch einige Regeln dazu, wie die Muster GmbH Annas Aktivitäten auf ihrer Website nachverfolgen kann. Wenn die Muster GmbH Software zur Nachverfolgung von Cookies verwendet (z. B. HubSpot oder Google Analytics), muss Anna gemäß der DSGVO darüber informiert werden (in einer Sprache, die sie versteht) und ihre Einwilligung dazu geben, dass ihr Surfverhalten mithilfe von Cookies nachverfolgt wird. Die Entscheidung gegen das Cookie-Tracking muss genauso einfach möglich sein wie die Zustimmung.

In HubSpot finden Sie die Cookies Einstellungen unter „Einstellungen > Berichts- und Analytics-Tracking > Cookie-Richtlinie“.

Wenn Sie die DSGVO-Einstellung aktiviert haben, wird auf Ihrer Website standardmäßig ein Banner angezeigt, über das Besucher ihre Einwilligung geben können. Die Einwilligung wird benötigt, damit Ihre Website Cookies verwenden kann. Klicken Sie auf die Standard-Richtlinie, um die folgenden Einstellungen zu bearbeiten:

• Möchten Sie Cookies verwenden? Ohne Cookies können Sie Annas Aktivitäten auf Ihrer Website nicht nachverfolgen. In der DSGVO wird Unternehmen die Verwendung von Cookies nicht verboten, sondern lediglich verlangt, dass dabei bestimmte Regeln eingehalten werden.
• Möchten Sie Benutzer darauf hinweisen, dass Ihre Website Cookies verwendet? Diese Einstellung ist selbsterklärend.
• Möchten Sie, dass das Opt-in erforderlich ist? Bei dieser Einstellung darüber geht es darum, Anna darüber zu informieren, dass Sie Cookies verwenden. Bei dieser Einstellung geht es darum, Annas Zustimmung zur Verwendung von Cookies zu bekommen.

Wie bereits erwähnt, genügt es nicht, wenn die Muster GmbH Anna darüber informiert, dass sie Cookies auf ihrer Website verwendet. Das Unternehmen muss dies auch in einer für sie verständlichen Sprache tun. Dazu haben Sie auf der Registerkarte „Cookie-Richtlinie“ die Option, eigene Richtlinien zu erstellen („Richtlinie hinzufügen“).

Für neue Richtlinien müssen Sie zwei Aspekte definieren:

• Auf welchen Seiten soll diese Version angezeigt werden? Sie könnten zum Beispiel eine Version in französischer Sprache haben, die auf ihrunternehmen.fr oder fr.ihrunternehmen.de angezeigt werden soll, je nachdem, wie Ihre Website-Struktur aufgebaut ist.
• Wie soll der Text lauten? Sie können eine Standardübersetzung verwenden oder selbst einen Text eingeben.

Bitte beachten Sie, dass Sie das Banner zu Ihrer Cookies-Richtlinie für verschiedene URLs oder Domains auf verschiedene Weise konfigurieren können. So könnten Sie z. B. auf Ihren europäischen Webseiten (etwa mustergmbh.de) die Einwilligung der Besucher zur Nutzung von Cookies inklusive Opt-in abfragen, während Sie auf anderen Domains nur einen entsprechenden Hinweis anzeigen lassen, ohne dass ein aktiver Opt-in erforderlich ist.

Letztendlich müssen Sie mit Ihrer Rechtsabteilung bzw. -beratung entscheiden, welche Besucher welche Version der Cookie-Benachrichtigung sehen sollen.

Ein kurzer Hinweis zu technischen Details:

Im Rahmen unserer Tracking-Code-API sind nun zwei neue Methoden verfügbar, die Ihnen mehr Flexibilität bei der Konfiguration Ihrer Cookie-Banner ermöglichen.

1. „Get consent status“ ermöglicht es Ihnen, den Einwilligungsstatus von Besuchern abzufragen. Abhängig vom Einwilligungsstatus könnten Sie dann weitere Schritte auslösen, z. B. wenn Sie das Verhalten eines Nicht-HubSpot-Cookie auf dem Einwilligungsstatus bzgl. HubSpot-Cookies kontrollieren möchten.
2. „Remove cookies“ ermöglicht es, HubSpot-Cookies zu entfernen, die bereits im Browser eines Besuchers gesetzt wurden. Nachdem die Cookies entfernt wurden, sieht der Nutzer beim nächsten Besuch bzw. Laden Ihrer Website das Cookie-Banner (so dieses aktiv ist). Diese Methode kann verwendet werden, um Besuchern die Möglichkeit zu geben, ihre Einwilligung zum Cookie-Tracking zu widerrufen, z. B. wenn diese Ihre Website erneut besuchen, nachdem eine neue Cookie-Richtlinie eingeführt wurde, oder sie zuvor ihre Einwilligung erteilt hatten.

Bevor wir uns näher mit dem nächsten Schritt von Anna beschäftigen, in dem sie ein Formular ausfüllt, sollen zwei wichtige Aspekte noch einmal erläutert werden: das Konzept der rechtlichen Grundlage und die Methode, mit der in HubSpot Einwilligung zur Erfassung/Verarbeitung personenbezogener Daten bzw. zur Kommunikation mit Kontakten eingeholt und gespeichert wird.

Rechtliche Grundlage

Gemäß der DSGVO brauchen Sie einen rechtmäßigen Grund, um Annas personenbezogene Daten zu verwenden. Diese rechtliche Grundlage kann die Einwilligung der betroffenen Person sein (Anna hat zugestimmt), wobei ein entsprechender Hinweis erforderlich ist (Anna muss wissen, wofür sie ihre Einwilligung gibt).

Einwilligung ist eine mögliche rechtliche Grundlage, aber nicht die einzig mögliche. In der Verordnung werden sechs genannt, für Vertrieb und Marketing sind die folgenden beiden jedoch am wichtigsten:

• Erfüllung eines Vertrags Wenn Anna zum Beispiel eine Kundin von Ihnen ist, können Sie ihr eine Rechnung senden.
• Berechtigtes Interesse Anna könnte zum Beispiel eine Kundin von Ihnen sein, und Sie möchten ihr per E-Mail Marketingmaterial zu Produkten aus Ihrem Angebot senden, die zu den von ihr bereits verwendeten passen.

In HubSpot haben wir diese rechtliche Grundlage auf zwei breitgefasste Kategorien aufgeteilt: Die rechtliche Grundlage für die Verarbeitung personenbezogener Daten (z. B. Speicherung von Annas Daten in Ihrem CRM oder Bereitstellung eines von ihr angeforderten E-Books) und die rechtliche Grundlage für die Kommunikation mit betroffenen Personen (z. B. das Senden von Marketing-E-Mails oder Anrufe durch einen Vertriebsmitarbeiter). Es mag offensichtlich sein, sollte aber dennoch erwähnt werden: Es ist möglich, eine rechtliche Grundlage für die Verarbeitung personenbezogener Daten, nicht jedoch für die Kommunikation zu haben. In dem Fall dürfen Sie gemäß der DSGVO nicht mit Anna kommunizieren.

In HubSpot gibt es eine neue Standard-Kontakteigenschaft, mit der die Rechtmäßigkeit der Verarbeitung von Daten erfasst werden kann. Sie heißt „Rechtliche Grundlage für die Verarbeitung von Kontaktdaten“. Sie könnten dieser Eigenschaft manuell oder mithilfe der Automatisierungsfunktionen einen Wert zuweisen. Außerdem lässt sie sich über Formulareinsendungen oder beim Import von Kontaktdaten festlegen, wie weiter unten beschrieben.

Neben den Optionen für Einwilligung, berechtigtes Interesse und Erfüllung eines Vertrags gibt es in der Eigenschaft auch die Option „Unzutreffend“. Diese Option können Sie für Kontakte verwenden, bei denen Sie festgestellt haben, dass eine rechtliche Grundlage im Sinne der DSGVO nicht gegeben sein muss (z. B. weil der Kontakt außerhalb der EU wohnt).

Die rechtliche Grundlage für die Kommunikation wird mit den neuen Abonnement-Typen erfasst, die im nächsten Abschnitt beschrieben werden.

Ein Hinweis zum berechtigten Interesse

Wenn Sie sich auf das berechtigte Interesse verlassen, sollten Sie in der Lage sein, die Verantwortung für den Schutz der Interessen der betroffenen Personen zu übernehmen. Dies gilt ganz besonders, wenn es um den Schutz der Interessen von Kindern geht.

Sie sollten sich nicht auf berechtigtes Interesse berufen, nur weil Sie glauben, dass dies einfacher ist, als andere rechtliche Grundlagen anzuwenden. Tatsächlich erfordert die Berufung auf berechtigtes Interesse mehr Arbeit von Ihnen, um die Verarbeitung von Daten und deren Auswirkungen auf betroffene Personen zu rechtfertigen. Wenn eine andere rechtliche Grundlage den Zweck der Verarbeitung der Daten besser abdeckt, ist das berechtigte Interesse die schlechtere Wahl.

Drei Elemente bilden die Grundlage von rechtmäßigem Interesse, und es empfiehlt sich, diese Elemente in einem dreistufigen Test zu überprüfen:

1. Identifizieren Sie ein berechtigtes Interesse.
2. Zeigen Sie, dass die Verarbeitung von personenbezogenen Daten erforderlich ist, um das berechtigte Interesse zu verfolgen.
3. Wägen Sie es gegen die Interessen, Rechte und Freiheiten der betroffenen Personen ab.

Wenn Sie bereits um Einwilligung gebeten haben, müssen Sie die Entscheidung der betroffenen Personen respektieren und sollten berechtigtes Interesse nicht als Schlupfloch verwenden.

Wie empfehlen Ihnen, entsprechende Richtlinien zur Berufung auf berechtigtes Interesse zu lesen. Die britische Datenschutzbehörde, Information Commissioner’s Office (ICO), hat zum Beispiel diesen Leitfaden zum berechtigten Interesse (in englischer Sprache) veröffentlicht.

Kommunikationseinstellungen nachverfolgen

Mit der Einführung der DSGVO-Funktionen wurde das Tracking der Kommunikationseinstellungen Ihrer Kontakte in HubSpot erheblich verbessert. Im Folgenden werden die Unterschiede zwischen dem „alten Ansatz“ mit E-Mail-Arten und dem „neuen Ansatz“ mit Abonnement-Typen erläutert. Diese Konzepte sind von entscheidender Bedeutung, wenn Sie Ihre Formulare DSGVO-konform konfigurieren wollen.

Der alte Ansatz – E-Mail-Arten

Früher wurden E-Mail-Arten verwendet, um Kontakte in HubSpot mit einer bestimmten Kategorie von E-Mails zu verknüpfen. E-Mail-Arten hatten in HubSpot zwei wichtige Funktionen.

Erstens konnten Sie Kontakten damit die Möglichkeit geben, sich von einer bestimmten Art von E-Mails abzumelden (z. B. Informationen über Produkt-Updates).

Zweitens konnten Sie als Nutzer des E-Mail-Tools das Thema oder Ziel Ihrer E-Mail besser an eine Zielgruppe anpassen. Beim Versand von E-Mails aus dem Marketing Hub wählten Sie jeweils eine E-Mail-Art aus. Kontakte, die sich von dieser bestimmten Kategorie von E-Mails abgemeldet hatten, wurden dann automatisch aus der Liste der Empfänger entfernt.

E-Mail-Arten haben lange Zeit gut funktioniert, aber im Zuge der DSGVO reicht ihr Funktionsumfang nicht mehr aus, denn es ist mit ihnen nicht möglich, Kontakte mit einer ausdrücklich erteilten Bestätigung zu verknüpfen. Wenn Kontakte zu Ihrer Datenbank hinzugefügt wurden, waren daher nicht automatisch von allen E-Mail-Arten abgemeldet. Sie haben aber nicht ausdrücklich bestätigt, dass sie E-Mails von Ihnen empfangen möchten. Sie waren in diesem Sinne nicht durch ein Opt-in angemeldet, sie waren lediglich nicht abgemeldet. Anders ausgedrückt mit dem System der E-Mail-Arten nur zwei Zustände für Kontakte: entweder „nicht abgemeldet“ oder „abgemeldet“. Die einzige Möglichkeit, sich von E-Mail-Arten abzumelden, bestand darin, dass Sie (oder Ihre Kontakte) diese Änderung aktiv vornahmen. Dazu mussten sie z. B. in einer E-Mail von Ihnen auf den Link zum Ändern der Abo-Einstellungen klicken und ein Häkchen entfernen.

Da es mit dem alten Ansatz der E-Mail-Arten kein Konzept für die Anmeldung gab, gab es auch keine Möglichkeit, eine Formulareinsendung (oder einen Import) direkt mit einer E-Mail-Art zu verknüpfen. Anna konnte also nicht Ihre Webseite besuchen und ein Formular ausfüllen, um sich für eine bestimmte Art von E-Mails von Ihnen anzumelden. Indem sie ein Formular ausfüllte, hat sie sich nicht vom Erhalt von allen E-Mail-Arten abgemeldet. Und um bestimmte E-Mails nicht mehr zu erhalten, hätte sie ihre E-Mail-Einstellungen finden und einige Optionen deaktivieren müssen.

Mit diesem System ist keine DSGVO-Konformität zu erreichen, jedenfalls nicht, wenn Sie die Einwilligung als rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten oder für die Kommunikation verwenden. Wenn Sie sich auf berechtigtes Interesse berufen, gelten andere Regeln. Vor diesem Hintergrund haben wir unsere E-Mail-Einstellungen überarbeitet, damit Sie gut mit der DSGVO arbeiten können.

Der neue Ansatz: Abonnement-Typen

Abonnement-Typen ersetzen die alten E-Mail-Arten in sämtlichen Versionen der Marketingsoftware von HubSpot. Auch wenn Name und Funktion ähnlich sind, gibt es doch ein paar wesentliche Unterschiede.

Die größte Verbesserung ist, dass Abonnement-Typen den Abo-Status von Kontakten mit einem von drei Zuständen verfolgen. Während es bei den E-Mail-Arten nur zwei Zustände gab (die Standardeinstellung „nicht abgemeldet“ und „abgemeldet“), gibt es bei den Abonnement-Typen drei: angemeldet, weder an- noch abgemeldet (Standard) und abgemeldet. Also im Wesentlichen „ja“, „neutral“ und „nein“.

Mit dem neuen Ansatz kann die Muster GmbH einem Formular z. B. Felder hinzufügen, die es Anna ermöglichen, sich für bestimmte Abonnement-Typen anzumelden. Sie meldet sich damit nicht für alles an, sondern nur die Abonnement-Typen, die sie ausdrücklich auswählt. Wenn Annas Daten über einen Import oder eine API in die Datenbank der Muster GmbH gelangen, kann die Muster GmbH über jeden dieser Kanäle einen Abonnement-Typ zuweisen (bitte beachten: diese Funktionalität ist derzeit noch nicht verfügbar, es wird jedoch eine künftige Implementierung in Betracht gezogen).

Kurz gesagt, Abonnement-Typen erfassen, ob ein Kontakt sich tatsächlich angemeldet hat.

Hinweis: Neben dem Namen und der Beschreibung gibt es bei den neuen Abonnement-Typen noch zwei zusätzliche Attribute, die im Zusammenhang mit der DSGVO für Kunden wichtig sind: Prozess und Operation. Sie legen diese Einstellungen fest, wenn Sie einen Abonnement-Typ erstellen. Sie selbst entscheiden, wie Sie diese beiden Konzepte anwenden: Sie können sich zum Beispiel „Marketing-E-Mail“ als einen Abonnement-Typ vorstellen, wobei „Marketing“ der Prozess ist und „E-Mail“ die Operation.

Abonnement-Typen werden in der linken Seitenleiste von Kontaktdatensätzen separat aufgeführt.

In diesem neuen Abschnitt können Sie Abonnements hinzufügen, anzeigen und entfernen, indem Sie auf „Abonnement hinzufügen“ klicken.

Abonnement-Typen stellen die rechtliche Grundlage für die Kommunikation (für eine bestimmte Art von Kommunikation) dar. Wie bei der rechtlichen Grundlage für die Verarbeitung von Daten kann es sich auch bei der rechtlichen Grundlage für die Kommunikation um eine Einwilligung handeln, dies muss jedoch nicht unbedingt der Fall sein. Wenn ein Kontakt beispielsweise ein Kunde ist, kann es sich auch um die Erfüllung eines Vertrags handeln. Wenn Sie Anna z. B. manuell eine rechtliche Grundlage zuweisen, wählen Sie daher nicht nur einen Abonnement-Typ aus, sondern auch eine rechtliche Grundlage für die Kommunikation.

Sie können Annas Einwilligung zusammen mit dem Hinweis, der ihr angezeigt wurde, und einem Zeitstempel in der Kontakt-Chronik sehen.

Wenn es um die Erstellung von DSGVO-konformen Formularen geht, ist vor allem eines wichtig: Sie müssen bei einer Formulareinsendung eine rechtliche Grundlage erheben. Im Rahmen von Formularen ist dies meistens die Einwilligung (mit Hinweis) der Nutzer oder ein berechtigtes Interesse. Wie Sie diese rechtliche Grundlage im Einzelnen etablieren und welche Art von rechtlicher Grundlage Sie verwenden möchten, müssen Sie und Ihr Team (einschließlich Datenschutzbeauftragten oder Rechtsabteilung bzw. -beratung) entscheiden. In HubSpot stehen Ihnen jetzt DSGVO-freundliche Formulare zur Verfügung, mit denen Sie die rechtliche Grundlage für die Verarbeitung von Daten und für die Kommunikation erfassen können.

Dazu können Sie Ihren Formularen einfach einen Abschnitt für die Etablierung einer rechtlichen Grundlage einzufügen. Wenn Sie ein Formular bearbeiten, sehen Sie einen Abschnitt „Hinweis und Einwilligung/Berechtigtes Interesse“ (der genaue Wortlaut wird möglicherweise noch geändert). Wählen Sie die gewünschte Option aus der Dropdown-Liste und geben Sie die entsprechenden Informationen ein.

In HubSpot können Sie über Formulare mit drei verschiedenen Methoden eine rechtliche Grundlage etablieren.

1. Kontrollkästchen für Einwilligung zur Kommunikation; Formulareinsendung für Einwilligung zur Datenverarbeitung
   
   
   Mit dieser Option holen Sie sich die Einwilligung zur Kommunikation mit dem ersten Kontrollkästchen (oder mehreren Kontrollkästchen). Die Kontrollkästchen entsprechen dabei den schon beschriebenen Abonnement-Typen. Sie können wählen, für welche Abonnement-Typen Sie in einem bestimmten Formular eine Einwilligung abfragen möchten; nicht alle Formulare müssen jeden Typ enthalten. Wenn Anna eines dieser Kontrollkästchen aktiviert, meldet sie sich explizit an (Opt-in), um diese Art von Kommunikation zu erhalten.
   
   Denken Sie daran: Mit Annas Einwilligung zur Kommunikation können Sie ihr E-Mails senden, aber damit Sie ihre Daten in HubSpot speichern dürfen, brauchen Sie auch eine rechtliche Grundlage für die Verarbeitung der Daten. Mit dieser Option willigt Anna implizit in die Verarbeitung ein. Die Tatsache, dass sie Ihren Hinweis gelesen und das Formular dennoch ausgefüllt und eingesandt hat, gilt als Einwilligung (ohne dass sie ein Kontrollkästchen auswählt).
   
   

   Wenn Anna diese Art Formular auf Ihrer Website ausfüllt und einsendet, werden in Ihrem CRM die folgenden Änderungen an ihrem Kontaktdatensatz vorgenommen:
   

   • Die Eigenschaft „Rechtliche Grundlage für die Verarbeitung von Kontaktdaten“ wird auf „Einwilligung“ gesetzt.
   • Die rechtliche Grundlage für die Kommunikation wird wie im obigen Beispiel im neuen Abschnitt „Kommunikations-Abonnements“ des Kontaktdatensatzes erfasst.
   
   
2. Kontrollkästchen für Einwilligung zur Kommunikation und Datenverarbeitung
   
   
   Mit dieser Option fragen Sie Annas Einwilligung zur Kommunikation ab, indem Sie ein oder mehrere Kontrollkästchen für Abonnement-Typen verwenden (wie in Option 1). Im Unterschied zu Option 1 wird hier jedoch die explizite Einwilligung abgefragt statt der impliziten: Anna gibt ihre Einwilligung, indem sie zu Bestätigung ein Kontrollkästchen aktiviert, anstatt nur Ihren Hinweis zu lesen und das ausgefüllte Formular einzusenden.
   
   Wenn sie das Kontrollkästchen nicht auswählt, dürfen Sie ihre Daten nicht verarbeiten und ihre Kontaktdetails werden nicht in HubSpot erfasst.
   
   

   Wenn Anna diese Art Formular auf Ihrer Website ausfüllt und einsendet, werden die folgenden Änderungen in ihrem Kontaktdatensatz vorgenommen:
   

   • Die Eigenschaft „Rechtliche Grundlage für die Verarbeitung von Kontaktdaten“ wird auf „Einwilligung“ gesetzt.
   • Die rechtliche Grundlage für die Kommunikation wird wie im obigen Beispiel im neuen Abschnitt „Kommunikations-Abonnements“ des Kontaktdatensatzes erfasst.
     
     
3. Berechtigtes Interesse (nicht Einwilligung)
   
   Weiter oben wurde erwähnt, dass Sie nicht unbedingt Annas Einwilligung brauchen, um ihre Daten zu verarbeiten und mit ihr zu kommunizieren. Genau für diesen Fall gibt es Option 3. Bei dieser Option sind keine Kontrollkästchen involviert, da Sie Ihr berechtigtes Interesse als rechtliche Grundlage für die Datenverarbeitung und Kommunikation verwenden. Falls Sie sich nicht sicher sind, ob berechtigtes Interesse in Ihrem Fall eine Option ist, sollten Sie unbedingt mit Ihrem Datenschutzbeauftragten oder Ihrer Rechtsabteilung bzw. -beratung darüber sprechen.
   
   
   

   Wenn Anna diese Art Formular auf Ihrer Website ausfüllt und einsendet, werden in Ihrem CRM die folgenden Änderungen an ihrem Kontaktdatensatz vorgenommen:
   

   • Die Eigenschaft „Rechtliche Grundlage für die Verarbeitung von Kontaktdaten“ wird auf „Berechtigtes Interesse – potenzieller Kunde“ gesetzt
   • Die rechtliche Grundlage für Kommunikation wird als „Berechtigtes Interesse – potenzieller Kunde“ für die mit dem Formular verknüpften Abonnement-Typen erfasst
   
   

Mit der neuen Einwilligungsfunktion gilt:

• Einwilligung und rechtliche Grundlage werden für Lead-Flows auf die gleiche Weise behandelt wie bei Formularen.
• Es wird eine Möglichkeit geben, um Informationen zu Abonnement-Typen und rechtlichen Grundlagen während eines Importvorgangs zu Kontaktelisten hinzuzufügen. Wenn die DSGVO-Funktionalität in Ihrem Account aktiviert ist, ist eine rechtliche Grundlage erforderlich.
• Sie können Abonnement-Typen und rechtliche Grundlagen festlegen, wenn Sie Kontakte manuell zu HubSpot hinzufügen. Wenn die DSGVO-Funktionalität in Ihrem Account aktiviert ist, ist eine rechtliche Grundlage erforderlich.
• Sie können Abonnement-Typen und rechtliche Grundlagen festlegen, wenn Kontaktdaten über unsere APIs erstellt und aktualisiert werden. Wenn die DSGVO-Funktionalität in Ihrem Account aktiviert ist, ist eine rechtliche Grundlage erforderlich.
• Sie können auch bei der Nutzung der „Conversations“- und „Meetings“-Features Kontrollkästchen für die Einwilligung anzeigen lassen, damit Anna sich über jeden Kanal für die Kommunikation anmelden kann.
  
  

Nehmen wir an, dass Anna Ihre Website besucht, ihre Einwilligung zum Cookie-Tracking gegeben und ein Formular ausgefüllt hat (und damit eingewilligt hat, bestimmte Arten von Kommunikation zu erhalten).

Jetzt möchten Sie Anna eine E-Mail senden.

Mit dem neuen System der Abonnement-Typen ist es ein Kinderspiel, den Versand von E-Mails mit der Einwilligung Ihrer Kontakte zu verknüpfen. Wenn Sie eine E-Mail senden, wählen Sie auf der Registerkarte „Einstellungen“ einen Abonnement-Typ und eine Liste von Kontakten, an die Sie die E-Mail senden möchten (unter „Empfänger“). Falls Sie Ihre Abonnement-Typen noch nicht angepasst haben, können Sie den Standardtyp „Marketing Information“ verwenden.

Wenn Sie eine E-Mail senden:

• Falls die DSGVO-Funktionalität deaktiviert ist, können Sie die E-Mail an alle Ihre Kontakte senden (mit Ausnahme der Kontakte, die sich von Erhalt von E-Mails abgemeldet haben) – unabhängig davon, ob Sie eine rechtliche Grundlage für die Kommunikation mit diesen Kontakten haben oder nicht.
• Falls die DSGVO-Funktionalität aktiviert ist, können Sie die E-Mail nur an die Kontakte senden, für die Sie über eine rechtliche Grundlage für die Kommunikation verfügen – in Form einer Einwilligung oder in anderer Form. Wenn Sie für bestimmte Kontakte auf der Empfängerliste keine rechtliche Grundlage für die Kommunikation haben, wird Ihnen eine entsprechende Warnmeldung angezeigt. Sie können die E-Mail nicht an diese Kontakte senden, sofern Sie keine andere rechtliche Grundlage geltend machen (z. B. ein berechtigtes Interesse) – mit einer Ausnahme: Wenn bei einem Kontakt die Eigenschaft „Rechtliche Grundlage für die Verarbeitung der Kontaktdaten“ auf „Unzutreffend“ gesetzt ist, brauchen Sie keine rechtliche Grundlage für die Kommunikation. In diesem Fall wird davon ausgegangen, dass Sie die Regeln der DSGVO nicht auf diesen Kontakt anwenden müssen.

Was, wenn Anna ihre Einstellungen ändern oder sich abmelden möchte?

Die DSGVO sieht vor, dass die Zurücknahme der Einwilligung genauso einfach sein muss wie die Einwilligung selbst. Deshalb kann Anna ihre Kommunikationseinstellungen ganz einfach von Ihren HubSpot-E-Mails aus ändern.

HubSpot fügt jeder E-Mail, die Sie versenden, in der Fußzeile automatisch einen Link zu Annas E-Mail-Einstellungen hinzu.

Wenn Anna auf diesen Link klickt, wird sie zu zu einer Seite weitergeleitet, auf der sie ihre Einstellungen überarbeiten kann. Mit dem Übergang von E-Mail-Arten zu Abonnement-Typen sind in den Einstellungen jetzt drei Zustände für jeden Abonnement-Typ zu sehen:

1. Angemeldet (Opt-in)
2. Nicht angemeldet oder abgemeldet
3. Abgemeldet (Opt-out)

Das Kontrollkästchen für einen bestimmten Abonnement-Typ ist aktiviert, wenn sie angemeldet ist, und nicht aktiviert, wenn sie entweder neutral (weder an- noch abgemeldet) oder abgemeldet ist.

Zurzeit gibt es keine Möglichkeit, Einstellungsseiten in mehreren Sprachen zu erstellen oder das Design der Einstellungsseite umfassend zu ändern. Wir arbeiten momentan daran, die Einstellungen für Abonnements zu verbessern – schon bald sollte es hier Änderungen geben.

Was ist mit Kontakten, die schon in meiner Datenbank waren, bevor ich das neue System mit Abonnement-Typen implementiert habe?

Wenn Sie DSGVO-konform agieren wollen, brauchen Sie eine rechtliche Grundlage für die Kommunikation mit ihren Kontakten, um ihnen E-Mails senden zu können.

Für bereits in Ihrer Datenbank vorhandene Kontakte haben Sie diesbezüglich verschiedene Optionen.

1. Sie können Kontakten eine rechtliche Grundlage für die Kommunikation manuell, mithilfe von Importen oder der Option zur Bearbeitung von mehreren Kontaktdatensätzen zuweisen. Sie müssen außerdem die rechtliche Grundlage für die Verarbeitung von Daten etablieren; dies kann die Einwilligung, ein berechtigtes Interesse oder die Erfüllung eines Vertrags sein.
2. Wenn Sie noch keine Einwilligung eingeholt haben, aber die Einwilligung als rechtliche Grundlage für die Kommunikation verwenden möchten, sollten Sie eine Freigabeerlaubnis-Kampagne durchführen, um Ihre Kontakte um ihre Einwilligung zu bitten. 
   
   Dazu stehen Ihnen zwei Möglichkeiten zur Verfügung:
   • Sie können einen Abo-Bestätigungslink in E-Mails einfügen. Dies funktioniert mit jeder gewöhnlichen E-Mail (Workflow- oder Follow-up-E-Mails sind ausgeschlossen) über Einfügen > Abonnement-Link einfügen. Wird der Link angeklickt, wird der jeweilige Kontakt automatisch für alle Abonnement-Typen angemeldet.
     
   
   
   
   • Sie können einen Link zu Ihrer Seite für Abonnement-Einstellungen hinzufügen. Auf dieser Seite können Ihre Empfänger sich für bestimmte Abonnement-Typen anmelden, die sie erhalten möchten. Sie können einen solchen Link in Ihre E-Mails einfügen, indem Sie den folgenden HTML-Code (oder einen ähnlichen Code) hinzufügen:
     
     <a href="">Klicken Sie hier, um Ihre Abonnement-Einstellungen zu ändern.</a>

Wenn Sie in der Vergangenheit (vor der Einführung der Abonnement-Typen) bereits eine Kampagne durchgeführt haben, in der Kontakte zu einer erneuten Interaktion aufgefordert wurden, arbeiten Sie mit Ihrem Team daran, die An- und Abmeldungen, die Sie dabei erhalten haben, mit den neuen Abonnement-Typen abzugleichen. Dies können Sie manuell, über Workflows oder über Importe tun.

Inwiefern sind Vertriebs-E-Mails betroffen?

Das Konzept, dass eine Einwilligung genauso leicht zu widerrufen wie zu erteilen sein muss, gilt für alle E-Mails, auch für persönliche E-Mails, die aus CRM-Datensätzen gesendet werden, sowie Sequenzen.

Die DSGVO stärkt die Rechte von Einzelpersonen in mehrerer Hinsicht. 

Auskunft und Übertragbarkeit

Anna hat das Recht, Auskunft über die personenbezogenen Daten zu bekommen, die Sie über sie gespeichert haben. Personenbezogene Daten sind alle Daten, die Rückschluss auf eine Person zulassen, etwa Name und E-Mail-Adresse. Wenn Anna ihr Recht auf Auskunft geltend macht, müssen Sie (als Verantwortlicher) Anna eine Kopie dieser Daten – gegebenenfalls in maschinenlesbarer Form (z. B. CSV oder XLS – bereitstellen.

Anna kann darüber hinaus Einsicht und Prüfung der Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten verlangen (siehe oben).

Mit HubSpot können Sie Anfragen auf Auskunft/Übertragbarkeit ganz einfach nachkommen, indem Sie die entsprechenden Kontaktdatensätze in einem maschinenlesbaren Format exportieren. Interaktionsdaten wie Aufgaben, Notizen und Anrufdaten, die nicht in der exportierten Kontaktdatensatzdatei enthalten sind, können mithilfe der API für CRM-Interaktionen (Artikel auf Englisch) extrahiert werden.

Sie können die Rechtmäßigkeit der Verarbeitung von Annas Daten mithilfe der entsprechenden Kontakteigenschaft (wie oben erwähnt) prüfen. Deren Werte sowie der Verlauf der ihr zugewiesenen Werte lassen sich ebenfalls exportieren.

Berichtigung

Neben der Auskunft über ihre Daten kann Anna von Ihrem Unternehmen auch verlangen, dass Sie ihre personenbezogenen Daten berichtigen, falls diese inkorrekt oder unvollständig sind. Wenn sie von diesem Recht Gebrauch macht, müssen Sie der Aufforderung gemäß der DSGVO nachkommen.

Wenn Anna Sie auffordert, ihre Daten in HubSpot zu berichtigen, können Sie (oder ein Portal-Administrator) dies über den Kontaktdatensatz von Anna tun.

Löschung

Anna hat das Recht, von Ihnen die Löschung der personenbezogenen Daten, über die Sie verfügen, zu verlangen. Laut DSGVO müssen Annas Kontaktdaten daraufhin dauerhaft aus Ihrer Datenbank entfernt werden. Das schließt unter anderem den E-Mail-Trackingverlauf, Anrufinformationen und Formulareinsendungen ein.

In vielen Fällen müssen Sie innerhalb von 30 Tagen auf eine solche Aufforderung reagieren. Das Recht auf Löschung ist nicht absolut, sondern abhängig vom Kontext des Ersuchens – es ist demnach nicht in jedem Fall anwendbar.

Um in HubSpot eine DSGVO-konforme Datenlöschung vorzunehmen, gehen Sie folgendermaßen vor:

1. Öffnen Sie den betroffenen Kontaktdatensatz.
2. Klicken Sie auf „Aktionen“.
3. Wählen Sie „Löschen“.

Wenn die DSGVO-Funktionalität aktiviert ist, werden Ihnen zwei Optionen angezeigt: eine zum Löschen mit einer Option auf Reaktivierung und eine für eine DSGVO-konforme vollständige Löschung. Wählen Sie die zweite Option, um Annas personenbezogene Daten aus Ihrem HubSpot-Account zu löschen.

Hinweis: Auch wenn Annas personenbezogene Daten gelöscht werden, bleiben ihre anonymisierten Analytics-Daten erhalten. Wenn Anna Ihre Website z. B. mehrere Male besucht hat, werden diese Sitzungen weiterhin in Ihrem Quellenbericht auftauchen, allerdings anonymisiert – Sie wissen nicht, dass es Anna war. Wenn Sie E-Mails an Anna gesendet haben und ihre Daten dann löschen, werden die dazugehörigen Analytics-Daten (Öffnen, Klicken usw.) weiterhin für Ihre gesendeten E-Mails berücksichtigt, aber ihre personenbezogenen Daten (Name) tauchen nicht mehr auf.

Ein weiterer Hinweis zur Löschung: Wenn Sie Annas Kontaktdatensatz DSGVO-konform löschen und später jemand versucht, ihre Daten wieder zur Datenbank hinzuzufügen, wird eine Warnung angezeigt, dass sie bereits die Löschung verlangt hat.

Wenn Sie spezielle Fragen zur DSGVO-Konformität Ihres Unternehmens haben, sollten Sie diesbezüglich mit Ihrem Datenschutzbeauftragten oder Ihrer Rechtsabteilung bzw. -beratung zusammenarbeiten. Bei Fragen zu Ihrem HubSpot-Account wenden Sie sich bitte an Ihren Ansprechpartner oder den Support.

Möchten Sie noch mehr über HubSpot und die DSGVO lesen? Hier finden Sie noch weitere Artikel:

• Die DSGVO und HubSpot
• DSGVO-Compliance
• Lektion: Eine DSGVO-Strategie entwickeln

RECHTLICHER HINWEIS: Dieser Artikel stellt weder eine umfassende Abhandlung über die DSGVO noch eine Rechtsberatung für Ihr Unternehmen im Hinblick auf die Einhaltung der EU-Verordnungen zum Datenschutz, wie die DSGVO, dar. Es werden darin lediglich Hintergrundinformationen bereitgestellt, damit Sie besser nachvollziehen können, wie wir bei HubSpot einige wichtige gesetzliche Aspekte handhaben. Diese rechtlichen Informationen sind nicht zu verwechseln mit einer rechtlichen Beratung, bei der ein Rechtsanwalt das geltende Recht auf Ihre spezifischen Umstände anwendet. Wir möchten Sie deshalb ausdrücklich darauf hinweisen, dass Sie bei Beratungsbedarf über die Auslegung dieser Informationen für Ihr Unternehmen oder über deren Richtigkeit und Vollständigkeit einen Rechtsanwalt hinzuziehen sollten. Um es kurz zu machen: Sie dürfen sich auf dieses Dokument weder als Rechtsberatung stützen noch als Empfehlung für eine bestimmte Auslegung geltenden Rechts. Die Produkte, Dienstleistungen und anderen hier beschriebenen Umstände sind nicht auf alle Situationen anwendbar und sind gegebenenfalls nur begrenzt verfügbar.