Zum Inhalt springen
konfora
CRM & Marketing

HubSpot-Tracking & DSGVO: CRM-Verknüpfung richtig einordnen

HubSpot lädt mit seinem Tracking-Code, eingebetteten Formularen und dem Chat-Widget Skripte von HubSpot-Servern. Der Tracking-Code erkennt Besucher über Cookies wieder und kann Website-Besuche mit Kontakten im CRM verknüpfen — so können detaillierte Kontaktprofile entstehen. Da HubSpot ein US-Anbieter ist, kommt ein möglicher Drittlandtransfer hinzu.

Kostenlos prüfenBeispiel-Report ansehen

Das Risiko

  • Der Tracking-Code setzt in der Regel Cookies zur Wiedererkennung und kann Besuche mit identifizierbaren CRM-Kontakten verknüpfen — das ist heikler als anonyme Statistik und löst typischerweise die Einwilligungspflicht aus.
  • Sobald eine Person etwa ein Formular ausfüllt, können frühere und künftige Besuche ihrem Kontaktprofil zugeordnet werden.
  • Als US-Dienst kann HubSpot einen Drittlandtransfer auslösen, der einen tragfähigen Übermittlungsmechanismus voraussetzt.
  • Oft lädt das Skript seitenweit, obwohl nur ein einzelnes Formular gebraucht wird.

Wie konfora das erkennt

konfora erkennt HubSpot an seinen Requests und ordnet es der Kategorie CRM & Marketing zu. Erkannt werden:

  • js.hs-scripts.com
  • js.hsforms.net
  • track.hubspot.com

Was im Report steht

  • Ein Befund „HubSpot“ mit standardmäßiger Severity Warnung.
  • Belege: die kontaktierten Hosts, Beispiel-Request-URLs, die Anzahl passender Requests und das Vendor-Land (US).
  • Ein Soll-Ist-Hinweis, falls HubSpot technisch erkannt, aber in der Datenschutzerklärung nicht genannt ist.

Typische Maßnahmen

  • Lade den HubSpot-Tracking-Code erst nach dokumentierter Einwilligung über dein Consent-Tool.
  • Prüfe, ob Formular-Embeds ohne das Tracking-Modul auskommen, wenn du nur Formulare brauchst.
  • Schließe einen AVV mit HubSpot ab und dokumentiere den Übermittlungsmechanismus für den US-Transfer.
  • Nenne HubSpot in deiner Datenschutzerklärung — mit Zweck, Rechtsgrundlage und Hinweis auf den US-Transfer.

Grenzen der automatischen Prüfung

Der Check macht technische Hinweise sichtbar und hilft beim Priorisieren. Er ist kein Rechtsgutachten, keine Vollständigkeitsgarantie und ersetzt keine fachkundige Prüfung durch eine Datenschutzbeauftragte oder eine Kanzlei.

  • Die serverseitige Verknüpfung von Besuchen mit Kontakten passiert im CRM und ist clientseitig nicht sichtbar.
  • Ob eine Einwilligung im Einzelfall zwingend ist, bleibt eine rechtliche Bewertung — der Befund liefert das technische Indiz.
Prüfbereich · CRM & Marketing

konfora prüft als einen von 16 Bereichen automatisiert, welche Dienste deine Seite lädt, und macht solche Funde im Report sichtbar — als technische Bestandsaufnahme mit konkreter Aufgabenliste, nicht als Rechtsgutachten.

Den schnellen, kostenlosen ersten Eindruck bekommst du im Schnellcheck. Der Report als PDF liegt bei 14,99 € (Einmalkauf, kein Abo); den Zugang bekommst du per Magic-Link an deine E-Mail.

Kostenlos prüfenReport ansehen

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.