Ratgeber Tool-Check
HubSpot & DSGVO: CRM, Tracking-Cookies & US-Transfer
HubSpot verbindet CRM, Marketing und Tracking – praktisch, aber mit Cookies und US-Übermittlung. Was zählt.
Was HubSpot auf der Website tut
Das HubSpot-Tracking-Script setzt Cookies, verfolgt Besucher über Seiten hinweg und bindet teils Chat- und Formular-Widgets ein.
Diese Cookies und das Verhalten-Tracking sind einwilligungspflichtig – sie dürfen nicht vor der Zustimmung aktiv werden.
Warum das riskant ist
Lädt das HubSpot-Script ohne Einwilligung, werden personenbezogene Daten ohne Rechtsgrundlage verarbeitet und in die USA übertragen.
Gerade das Analytics-/Tracking-Cookie feuert oft schon beim Seitenaufruf – ein klassischer Pre-Consent-Leak.
Bedingungen für den Einsatz
AV-Vertrag, Einwilligung für die Tracking-Cookies, Konfiguration des Consent-Banners von HubSpot oder ein vorgelagertes Consent-Tool.
- AV-Vertrag/DPA mit HubSpot.
- Tracking-Cookies erst nach Einwilligung.
- US-Übermittlung + Tracking in der Datenschutzerklärung.
Prüfe deine Seiten
Feuert das HubSpot-Tracking vor Consent?
Der kostenlose BlueOcean-Scan zeigt HubSpot-Cookies und -Requests vor der Einwilligung.
Lass uns kurz auf deine Seiten schauen
In einem 15-Minuten-Gespräch siehst du, wo deine Kundenseiten stehen — und wie du sie ohne Aufwand absicherst.
Häufige Fragen
Ist HubSpot DSGVO-konform?
Mit AV-Vertrag, einwilligungsbasiertem Laden der Tracking-Cookies und Transparenz über die US-Übermittlung ja. Ohne Einwilligung ist das Tracking angreifbar.
Setzt HubSpot Cookies ohne Zustimmung?
In der Standardeinbindung oft ja – das Analytics-Cookie feuert beim Seitenaufruf. Das muss über ein Consent-Tool blockiert werden.
Brauche ich einen AV-Vertrag mit HubSpot?
Ja, für die Auftragsverarbeitung ist ein DPA erforderlich und zu dokumentieren.