Sichere CRM Prozesse: Datenschutz und Datensicherheit mit HubSpot

In dieser Podcast-Folge tauchen Stefan Wendt und Dominik Enzler in ein absolut entscheidendes Thema für Dein Business ein, das jeden betrifft, der mit einem CRM-System wie HubSpot arbeitet: Datensicherheit und Datenschutz. Im heutigen digitalen Zeitalter ist es unerlässlich, die Daten Deiner Kunden und Deines Unternehmens zu schützen und dabei die rechtlichen Vorgaben einzuhalten. Wir möchten Dir einen umfassenden Überblick geben, worauf Du achten solltest und wie Du HubSpot datenschutzkonform nutzen kannst – aber Achtung: Dies ist keine Rechtsberatung, dafür solltest Du immer Deinen Anwalt oder Datenschutzbeauftragten konsultieren.

Warum Datensicherheit und Datenschutz im CRM so wichtig sind

In Deinem CRM-System liegen unglaublich viele sensible Informationen: Kundendaten, Kontaktdaten, aber auch Unternehmensdaten. All diese Daten müssen sicher sein und geschützt werden, nicht zuletzt, weil sie das Herzstück Deiner Kundenbeziehungen und Deines Geschäftserfolgs bilden. Die Relevanz des Themas ist riesig, gerade im Kontext der DSGVO (Datenschutz-Grundverordnung).

Datensicherheit vs. Datenschutz: Kennst Du den Unterschied?

Bevor wir ins Detail gehen, klären wir kurz die Begrifflichkeiten:

• Datensicherheit bezieht sich darauf, dass Deine Daten sicher auf Servern oder in Tools liegen und nur diejenigen Zugriff darauf haben, die ihn haben sollen. Es geht darum, eine unbefugte Weiterverbreitung zu verhindern. Dies betrifft sowohl personenbezogene Daten als auch Unternehmensdaten wie Umsatzzahlen, die ebenfalls hochsensibel sind.
• Datenschutz hingegen konzentriert sich speziell auf personenbezogene Daten, also Informationen, die einer einzelnen Person zugeordnet werden können (z.B. Vorname, Nachname, Telefonnummer).

Seit 2018 spielt die Datenschutz-Grundverordnung (DSGVO), auch bekannt als GDPR, eine übergeordnete Rolle. Diese EU-weite Verordnung gilt für jeden, der Produkte in der EU vermarktet, unabhängig davon, ob das Unternehmen selbst aus der EU kommt oder nicht (z.B. auch für Schweizer Unternehmen).

Die DSGVO basiert auf zwei wichtigen Säulen:

• Einwilligung: Die Einwilligung zur Datenerhebung muss freiwillig, für den konkreten Fall und informiert erfolgen. Sie muss unmissverständlich und in klarer und einfacher Sprache gegeben werden.
• Nachweispflicht: Als Unternehmen musst Du nachweisen können, dass Du DSGVO-konform handelst und die Vorgaben konsequent in Deinen Prozessen umsetzt. Das ist besonders wichtig an allen Touchpoints, wo personenbezogene Daten erhoben werden.
  
  

Deine Checkliste für ein DSGVO-konformes CRM und Deine Website

Wir haben für Dich fünf zentrale Bereiche herausgearbeitet, die Du unbedingt auf dem Schirm haben solltest, wenn Du eine Webseite und ein CRM DSGVO-konform betreiben möchtest:

1. E-Mail-Kommunikationsabonnements

In HubSpot kannst Du verschiedene Abonnementtypen einstellen. Es ist wichtig, klar zwischen folgenden Kommunikationsarten zu unterscheiden:

• Marketing-Kommunikation: Rein werbliche Informationen. Hier musst Du besonders vorsichtig sein, vor allem im B2C-Bereich (private E-Mail-Adressen). Ein eindeutiges, dokumentiertes Einverständnis ist zwingend erforderlich.
• Vertriebskommunikation: Typischerweise 1:1-Kommunikation von einer persönlichen E-Mail-Adresse einer Vertriebsperson. Im B2B-Bereich ist Kaltakquise im beruflichen Umfeld möglich, wenn ein plausibler Grund für das Interesse des Empfängers vorliegt.
• Service-Kommunikation: Bezieht sich auf Tickets und Kundenservice-Anfragen, wenn ein Kunde ein Problem mit einem Produkt oder einer Dienstleistung hat.

Wichtig für Dich: Deine Kontakte müssen jederzeit die Möglichkeit haben, ihre Abonnements individuell abzubestellen oder hinzuzubestellen. HubSpot bietet hierfür eine übersichtliche Seite, auf der die Kontakte ihre Einstellungen selbst verwalten können. Du kannst auch benutzerdefinierte Abonnements (z.B. Event-Informationen, Newsletter) hinterlegen, um noch mehr Transparenz im CRM zu schaffen.

HubSpot bietet in seinen Einstellungen einen eigenen Bereich für den Datenschutz, der Dir dabei hilft, diese Themen zu managen. Allerdings kann die Aktivierung von Datenschutzfunktionen ohne entsprechendes Wissen auch zu Verwirrung oder Problemen führen, da beispielsweise Marketing-E-Mails plötzlich nicht mehr verschickt werden können. Daher ist es ratsam, einen erfahrenen Partner hinzuzuziehen.

2. Formulare und Terminbuchungstools

Überall, wo Du Daten sammelst – sei es über Formulare auf Deiner Webseite oder über Terminplanungsseiten (wie das Meeting-Tool von HubSpot) – müssen diese Prozesse DSGVO-konform sein.

• Einwilligung per Checkbox: Stelle sicher, dass Du erforderliche Rechtsgrundlagen (Pflichtfelder) durch Checkboxen hinterlegst, in denen die Kontakte aktiv ihr Einverständnis geben, die jeweiligen Abonnementtypen zu abonnieren.
• Klare Texte: HubSpot stellt, wenn Du die Datenschutzeinstellungen aktivierst, eine Reihe von Standardtexten zur Verfügung, die als DSGVO-konform eingestuft werden. Es ist entscheidend, dass die Texte klar und einfach verständlich sind.
• Sprachliche Vielfalt: Wenn Deine Webseite in verschiedenen Sprachen verfügbar ist oder Du international agierst, müssen auch die Einwilligungstexte in den jeweiligen Sprachen dargestellt werden.

3. Cookie-Banner

Jeder kennt sie: Die Cookie-Banner auf Webseiten. Auch hier gibt es wichtige Regeln zu beachten. Cookies sind kleine Informationen, die an den Kontakt angeheftet werden, sobald er Deine Webseite besucht. Sie helfen Dir, das Verhalten des Kontakts nachzuvollziehen und beispielsweise Retargeting-Kampagnen zu schalten.

Der entscheidende Punkt ist das Opt-in-Verfahren:

• Nicht datenschutzkonform ist: Wenn bereits alle Cookies gefeuert werden, sobald ein Besucher auf Deine Seite kommt, und er diese dann nur noch ablehnen kann (Opt-out).
• DSGVO-konform ist: Das Opt-in-Verfahren. Dein Besucher kommt auf die Webseite, es werden keine Marketing-Cookies gefeuert, sondern maximal technisch notwendige Cookies, die die Funktionalität der Seite gewährleisten. Der Kontakt muss aktiv einwilligen, dass Marketing-Cookies (z.B. Facebook Pixel) gesetzt werden dürfen. Erst nach diesem Klick dürfen die Marketing-relevanten Cookies aktiviert werden.

HubSpot bietet ein eigenes Cookie-Banner-Tool, das diese grundlegenden DSGVO-Funktionalitäten mitbringt. Du kannst das Opt-in-Verfahren aktivieren und dem Kontakt die Möglichkeit geben, auszuwählen, welche Cookies er akzeptieren möchte.

Ein großer Vorteil mit dem HubSpot CMS: Wenn Du Deine Webseite im HubSpot CMS und das HubSpot CRM als Marketing-Tool nutzt, hast Du einen entscheidenden Vorteil. Webseite und CRM laufen auf dem gleichen Server. Das bedeutet, Du arbeitest mit First-Party Cookies (Erstanbieter-Cookies), nicht mit Drittanbieter-Cookies. Streng genommen muss man hier keine explizite Einwilligung für das Website-Tracking einholen, was die Datenkonsistenz verbessert.

Wenn Du jedoch eine Webseite in WordPress oder einem anderen externen CMS hostest und HubSpot als CRM nutzt, musst Du den HubSpot-Cookie als Drittanbieter-Cookie hinterlegen. Das bedeutet, der Besucher muss explizit einwilligen, dass HubSpot als Drittanbieter-Tool sein Seitenaufruf tracken darf. Lehnt er dies ab, sieht das CRM-System den Seitenaufruf nicht. Dies ist ein klarer Punkt, warum die Kombination von Webseite und CRM in einem System sehr sinnvoll sein kann.

4. Sensible Daten

Gerade für Branchen wie den Finanzsektor, Gesundheitsbereich (Healthcare) oder auch das Recruiting gibt es Daten, die eine noch höhere Sensibilität erfordern. Beispiele sind Bankinformationen, medizinische Daten oder Kreditkartendaten.

HubSpot hat hier mit der Einführung der Funktion für "sensible Daten" eine wichtige Neuerung geschaffen. Du kannst nun bestimmte Eigenschaftsfelder im System als besonders sensibel definieren, die dann eine zusätzliche Verschlüsselungsebene erhalten. Dies könnte es Unternehmen ermöglichen, bisher extern gelagerte hochsensible Daten nun auch in HubSpot zu erfassen, da bestimmte Standards erfüllt werden. Die Funktion erfordert einen HubSpot Enterprise Account. Es ist entscheidend, dass Dein CRM-System solche Funktionen anbietet, wenn Du in sensiblen Bereichen tätig bist.

5. Der Double Opt-in (DOI) Prozess

Der DOI-Prozess ist der goldene Standard für die Einwilligung in E-Mail-Marketing-Kommunikation und extrem wichtig. Er stellt sicher, dass eine Person wirklich aktiv mit Marketing-Mailings bespielt werden möchte.
Warum Double Opt-in? Früher reichte oft ein "Single Opt-in", bei dem die E-Mail-Adresse nach dem Ausfüllen eines Formulars direkt für Marketingzwecke genutzt werden konnte. Die DSGVO führte den DOI-Prozess ein, um Kontaktdaten besser zu schützen und Missbrauch zu verhindern. Stell Dir vor, jemand gibt Deine E-Mail-Adresse in ein Formular ein – ohne DOI würdest Du unerwünschte E-Mails erhalten, ohne dem zugestimmt zu haben.

So funktioniert der DOI-Prozess:

• Formularausfüllung: Eine Person füllt ein Formular aus (z.B. für einen Newsletter).
• DOI-E-Mail: Nach dem Absenden des Formulars erhält die Person eine nicht-werbliche E-Mail. Diese E-Mail darf keinerlei werbliche Inhalte (keine E-Books, Whitepaper etc.) enthalten. Sie fordert den Empfänger lediglich auf, seine E-Mail-Adresse und sein Einverständnis ein zweites Mal zu bestätigen, indem er auf einen Bestätigungslink klickt.
• Bestätigung und Zeitstempel: Erst wenn dieser Link geklickt wird, wird im System ein Zeitstempel erfasst, der dokumentiert, dass die Person einverstanden ist, kontaktiert zu werden. Ab diesem Zeitpunkt darfst Du die Person für Marketingaktivitäten nutzen.

HubSpot-Automatisierung: Du kannst den DOI-Prozess hervorragend über Workflows in HubSpot abbilden. So werden DOI-Mails nicht händisch, sondern automatisch versendet, sobald eine Formularübermittlung eingeht. Der Workflow kann auch an die Sprache des Kontakts angepasst werden, basierend z.B. auf dem IP-Ländercode. Dies ermöglicht einen reibungslosen Ablauf und stellt sicher, dass Du Deinen Marketinginhalt schnell und zielgenau versenden kannst, während der Kontakt noch "warm" ist und Interesse hat.

Migration des DOI-Status: Wenn Du von einem alten CRM-System zu HubSpot wechselst, kannst Du den Einwilligungsstatus (Zeitstempel) und die dazugehörige Dokumentation (z.B. die ursprüngliche Bestätigungs-E-Mail) aus dem Altsystem migrieren. Das erspart Dir, alle Kontakte erneut durch den DOI-Prozess schicken zu müssen, sofern die Daten im Altsystem sauber erfasst wurden. Achte dabei darauf, dass Dein neues System (wie HubSpot) europäische Serverstandorte anbietet (z.B. Frankfurt), um Daten von EU-Kontakten DSGVO-konform zu speichern.

Datenschutz & Datensicherheit im CRM – Fazit und nächste Schritte

Datenschutz und Datensicherheit sind keine lästigen Pflichten, sondern entscheidende Faktoren für das Vertrauen Deiner Kunden und den langfristigen Erfolg Deines Unternehmens. HubSpot bietet viele nützliche Funktionen und Einstellungsmöglichkeiten, um diesen Anforderungen gerecht zu werden.

• Nutze die Einstellungen: Mache Dich mit den Datenschutzeinstellungen in HubSpot vertraut.
• Dokumentiere alles: Sei jederzeit in der Lage, die Einwilligungen und Prozesse nachzuweisen.
• Ziehe Experten hinzu: Für die initiale Einrichtung und bei juristischen Fragen ist ein erfahrener HubSpot-Partner und ein Rechtsanwalt Deine beste Unterstützung.
• Audit Deiner Prozesse: Wenn Du unsicher bist, ob Deine bisherigen Prozesse DSGVO-konform sind, lass diese von Experten prüfen.

Wir hoffen, diese Insights helfen Dir, Deine Marketing- und Vertriebsaktivitäten sicher und datenschutzkonform zu gestalten. Wenn Du Fragen hast oder Hilfe bei dem datenschutzgerechten Set-Ups deines CRMs benötigst, dann vereinbare einen individuellen Termin mit uns.