E-Privacy und DSGVO: Mit HubSpot auf dem sicheren Weg

Rechtliche Grundlage

Gemäss der DSGVO benötigen Unternehmen einen rechtmässigen Grund für die Verwendung und Verarbeitung von Kontaktdaten und müssen Aufzeichnungen über die Einwilligung und Nachweise für andere rechtmässige Zwecke der Verarbeitung aufbewahren. Hierbei wird zwischen dem Prozess an sich und der Art der Kommunikation unterschieden.

Der Prozess

Für die rechtliche Grundlage der Verarbeitung von Kontaktdaten stellt HubSpot eine eigene Eigenschaft mit verschiedenen Auswahlkriterien zur Verfügung. Diese kann man im Kontaktdatenblatt selbst, bei einem Import, als Massenverarbeitung, durch Workflows, durch Formulare oder durch APIs bei jedem Kontakt festlegen.

Die Kommunikation

Anhand der Abonnementtypen, die man individuell festlegen kann (zum Beispiel für Marketing, Sales und Services), kann man sehen, welche rechtliche Grundlage der Kontakt für die Kommunikation erteilt hat: hat sich angemeldet, nicht angemeldet oder abgemeldet (Voreinstellung) und hat sich abgemeldet.

Dies kann wiederum direkt im Kontaktdatenblatt, als Massenverarbeitung, durch Workflows, durch Formulare oder durch APIs bei jedem Kontakt festgelegt werden.

Damit sind die wichtigsten Eckpunkte der DSGVO gegeben.

DSGVO-Einstellungen aktivieren

Unter den Einstellungen in deiner Instanz findest du die Möglichkeit, mit einem Klick die DSGVO-Regelungen einzuschalten. Hier eine Übersicht, was du damit aktivierst:

Mit einem weiteren Klick auf die Checkbox darunter, kannst du dein Portal 100%ig DSGVO-konform gestalten. Dabei werden E-Mails nur noch an Kontakte versendet, wenn sie einen passenden Abonnementtypen hinterlegt haben. Aktiviere dieses Feld nur dann, wenn du dich vergewissert hast, dass für alle Kontakte im Portal ein gültiger Abonnementtyp vorliegt und die Automatisierung und Formulare konfiguriert sind!

DSGVO-Formulare

Sobald der oben genannte Kippschalter für DSGVO aktiviert wurde, kann man innerhalb eines Formulars die rechtliche Grundlage abfragen. Dabei stehen vier verschiedene Möglichkeiten zur Verfügung. Diese richten sich danach, welche Einwilligung abgerufen werden soll. In den meisten Fällen wird die markierte Variante verwendet – bitte mit Rechtsabteilung abklären!:

Bei den Einstellungen deiner HubSpot-Instanz kannst du diese Texte anpassen und/oder übersetzen.

Double Opt-In (DOI)

Das DOI ermöglicht das Senden einer Bestätigungs-E-Mail an alle Kontakte, die aus einer Formulareingabe (oder über die Formular-API) erstellt wurden. Dabei wird der DOI automatisch auf bestehende Kontakte angewendet, die ein Formular ausgefüllt haben – wenn sie keine Mail erhalten haben, musst du eine Permission-Pass-Kampagne durchführen oder die Opt-in-Mail manuell (im Kontaktdatenblatt links unter Aktionen) senden.

Zu Beginn muss diese Funktion in den Einstellungen deiner HubSpot-Instanz aktiviert werden. Dabei muss einmalig eine DOI-Mail und eine DOI Landing Page erstellt werden, aber keine Sorge, HubSpot gibt dir ein neutrales Template vor, das du leicht auf dein Design anpassen kannst. Sollte dies nicht gelingen, dann hol dir Hilfe bei uns ;-)

Die folgende Frage erreicht uns immer wieder von Kunden: Wie kann ich eine multilinguale DOI-Mail und Landing Page erstellen? Hier findest du die Antwort von HubSpot:

Cookies

Nach der DSGVO müssen deine Kontakte, wenn sie EU-Bürger sind, darüber informiert werden, dass du Cookies verwendest, um sie zu verfolgen (in einer Sprache, die sie verstehen), und sie müssen der Verfolgung durch Cookies zustimmen. Unter Einstellungen > Berichte > Tracking-Code > Cookie-Richtlinie kannst du einen Cookie-Banner aktivieren. Dabei kannst du den Text und das Design nach deinen Wünschen anpassen.

Durch das neueste Urteil des Bundesgerichtshofes in Deutschland kommen vermehrt Anfragen von Kunden, denen der Cookie-Banner von HubSpot nicht ausreicht und die einen externen Anbieter einbinden wollen. Auch das ist möglich, beispielsweise mit OneTrust oder Cookiebot.

Recht auf Vergessen

Eine weitere Säule der DSGVO ist das Recht auf Vergessen werden. Dabei geht es darum, dass ein Kontakt das Recht hat, alle seine Daten von einem Unternehmen löschen zu lassen. Auch diese Funktion wird freigeschaltet, sobald der Kippschalter aktiviert wurde. Wenn dann ein Datensatz gelöscht werden soll, fragt HubSpot nach, wie dies geschehen soll: a) mit der Option, die Daten innerhalb von 90 Tagen wiederherzustellen oder b) nach den DSGVO-Regelungen vollumfänglich.

Nützliche DSGVO-Ressourcen

Quentin war so lieb und hat eine sehr umfangreiche Liste von nützlichen DSGVO-Ressourcen in seinen Slides zur Verfügung gestellt. Die Slides kannst du direkt auf der Event-Seite herunterladen.

Alles in einem Video zusammengefasst, findest du auch in der HubSpot Community. Beim "Ask Me Anything" zu "Grundlagen und Pro-Tipps der DSGVO-Einstellungen" haben wir dir die wichtigsten Facts sowie einige Best Practices aufgezeichnet.

Fazit und HubSpot Health Check

Nach einer kurzen Q&A-Runde war auch dieses Treffen zu Ende und hat gewiss dem ein oder anderen Hilfestellung in Sachen E-Privacy und DSGVO gegeben. Obwohl virtuell und daher eher ungewohnt, kann man auch diese HubSpot User Group als gelungen bezeichnen. Nicht jeder Teilnehmer wird dieses Format bevorzugen, sodass wir in Zukunft über einen Mix nachdenken: Virtuell, als Workshop und als reinen Vortrag. Welches Format magst du?

Darüber hinaus ist uns bei vielen Kunden aufgefallen, dass man nicht immer selbst alle wichtigen Regelungen in HubSpot umsetzen kann – sei es aufgrund von Zeitmangel oder fehlender Manpower – und manchmal ist man sich einfach nicht sicher, ob man wirklich alles erledigt hat. Daher bieten wir bei BEE Inbound den HubSpot Health Check an. Wir prüfen deine Instanz auf Herz und Nieren und checken ganz nebenbei, ob dein Portal DSGVO-konform aufgesetzt ist.