Geschrieben von HubSecure Editorial Team

Praktische Anleitungen für sichere Client-Portale, RBAC, Onboarding und regulierte Client-Operationen.

Bewertet von HubSecure Security & Compliance Review

Bewertet für Sicherheitspositionierung, Workflow Genauigkeit und Implementierung Klarheit.

Letzte AktualisierungMay 7, 2026

Geprüft gegen die aktuelle HubSecure Marketing-Website und Produktpositionierung.

Customer Relationship Management (CRM) Plattformen sind naturgemäß Repositories personenbezogener Daten. Für regulierte Unternehmen — juristische Firmen, Finanzinstitute, Gesundheitsdienstleister — können die Daten im CRM gesetzlich privilegierte Mitteilungen, Gesundheitsinformationen, Finanzprotokolle und AML/KYC-Daten enthalten. Die Einsätze einer CRM-Datenverletzung oder einer nicht-konformen Datenübertragung sind daher unverhältnismäßig hoch.

Dieser Leitfaden wird für DPOs, Compliance Officers und Senior Partner geschrieben, die für die Bewertung der CRM-Datensicherheit verantwortlich sind und die Einhaltung der DSGVO sicherstellen.

Verwandte HubSecure Kaufpfad

Compliance CRM-Leitfaden Compliance CRM für wachsende Unternehmen CRM-Modul Hubspot-Vergleich Compliance CRM-Leitfaden Bibliothek buchen eine Workflow-Demo

Beste Passform und nicht beste Passform

Am besten fürNicht optimal für
Regulierte Teams, die Kundendatensätze, sichere Dateien, Workflow-Eigentum, RBAC und Audit-Verlauf gemeinsam benötigen.Teams, die nur ein Einzweck-Tool benötigen und keine geregelten Kundenabläufe oder Compliance-Nachweise benötigen.

Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance

Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.

Verwandter Anwendungsfall

Dieser Leitfaden gehört zum Cluster Compliance CRM Guides. Fahren Sie mit dem Produkt-Hub für Compliance-CRM fort.

Die fünf größten CRM-Datensicherheitsrisiken

Hoch

Internationale Datenübermittlungen ohne angemessene Garantien

Hubspot und Vertriebsmitarbeiter sind in den USA ansässige Unternehmen. Sofern Sie keine Standardvertragsklauseln (SCCs) unterzeichnet und eine Bewertung der Auswirkungen (TIA) durchgeführt haben, können Ihre CRM-Datenübermittlungen in die USA gemäß Kapitel V der DSGVO rechtswidrig sein. Nach dem Schrems-II-Urteil und der Aufhebung des Privacy Shield bietet das EU-US Data Privacy Framework (DPF) eine Rechtsgrundlage – allerdings nur, wenn Ihr Anbieter zertifiziert ist. Prüfen Sie: Verweist die DPA Ihres Anbieters auf die DPF-Zertifizierung oder Modul 2 SCCs?

Hoch

KI-Training für Ihre Kundendaten

Sowohl Hubspot als auch Vertriebsmitarbeiter haben KI-Funktionen eingeführt, die in einigen Konfigurationen auf Ihren Daten trainieren. Einige dieser Funktionen sind standardmäßig aktiviert. Wenn Kundendaten zum Trainieren eines Modells verwendet werden, das Informationen über Konten hinweg offenlegen könnte, besteht ein ernstes Risiko für Sicherheitsverletzungen. Überprüfen Sie: Lesen Sie die KI-Richtlinie Ihres Anbieters sorgfältig durch. Ist Schulung Opt-in oder Opt-out? Ist es im DPA abgedeckt?

Hoch

Unkontrollierte Subprozessorketten

Unternehmens-CRMs verfügen in der Regel über Hunderte von Unterauftragsverarbeitern. Die Unterauftragsverarbeiterliste von Hubspot umfasst über 200 Anbieter. Jeder Unterauftragsverarbeiter stellt einen potenziellen Datentransfer und eine potenzielle Schwachstelle in der Datenschutzkette dar. Gemäß Artikel 28 DSGVO sind Sie für alle Unterauftragsverarbeiter verantwortlich, die Ihr Auftragsverarbeiter einsetzt. Überprüfen Sie diese Liste jährlich?

Mittel

Aufbewahrungs- und Löschlücken

Die meisten CRMs löschen Daten nicht automatisch basierend auf Ihren Aufbewahrungsplänen. Daten verbleiben auf unbestimmte Zeit im CRM, sofern sie nicht manuell gelöscht oder eine benutzerdefinierte Aufbewahrungsregel konfiguriert wird. Für regulierte Unternehmen mit strengen Aufbewahrungspflichten (5 Jahre für AML-Datensätze, 7 Jahre für Finanzdatensätze) entsteht dadurch eine Compliance-Lücke: Das CRM enthält möglicherweise Daten, die hätten gelöscht werden sollen.

Mittel

Zugriffskontrolle und Privilegienschleichung

CRM-Zugriffsrechte nehmen im Laufe der Zeit tendenziell zu. Benutzer erhalten Zugriff, den sie nicht mehr benötigen; ehemalige Mitarbeiter werden nicht umgehend entlassen; Externe Integrationen sammeln Lese-/Schreibzugriffe. Der Zugriff auf personenbezogene Daten muss auf diejenigen beschränkt werden, die ihn benötigen – „need to know“ – und die Zugriffsrechte müssen regelmäßig überprüft werden.

Hubspot vs. Vertriebsmitarbeiter vs. HubSecure : Ein DPO-Vergleich

Hubspot

  • ~ In Singapur gehostete EU-Infrastruktur, die im dritten Quartal 2026 verfügbar sein wird und nur auf der Enterprise-Stufe verfügbar ist
  • ✓ EU-US DPF-zertifiziert + SCCs verfügbar
  • ~ Deaktivierung der AI Copilot-Funktionen erforderlich (keine Opt-in)
  • ✗ Über 200 Unterauftragsverarbeiter – hoher Prüfungsaufwand
  • ✗ Kein natives AML/KYC-Modul
  • ✗ Keine Ende-zu-Ende-Verschlüsselung für Kontakte
  • ~ Aufbewahrungsrichtlinien erfordern manuelle benutzerdefinierte Eigenschaften

Vertriebsmitarbeiter

  • ~ Von Singapur gehostete EU-Infrastruktur, die im dritten Quartal 2026 über Hyperforce verfügbar sein wird (zusätzliche Kosten)
  • ✓ EU-US DPF-zertifiziert + SCCs
  • ~ Einstein AI – Schulungsabmeldung über Administratoreinstellungen
  • ✗ Über 300 Unterauftragsverarbeiter – sehr hoher Prüfungsaufwand
  • ✗ Kein natives AML/KYC
  • ✓ Shield-Verschlüsselungs-Add-on verfügbar
  • ~ Die Aufbewahrung erfordert eine benutzerdefinierte Workflow-Automatisierung

HubSecure

  • ✓ EU-Infrastruktur Q3 2026, Singapur jetzt
  • ✓ DSGVO DPA enthalten – keine gesonderte Verhandlung
  • ✓ AI Operator verwendet nur Ihre Daten – keine kontoübergreifende Schulung
  • ✓ Minimale Subprozessorkette – transparente Liste
  • ✓ Natives AML/KYC mit 27 UBO-Registern
  • ✓ ML-KEM-768 verschlüsselte E-Mail + Vault
  • ✓ Automatisierte Aufbewahrungspläne pro Datenkategorie

Was Ihr DPA mit einem CRM-Anbieter enthalten muss

Gemäß Artikel 28 der DSGVO ist jeder CRM-Anbieter, der in Ihrem Namen personenbezogene Daten verarbeitet, ein Datenverarbeiter, und Sie müssen über eine schriftliche Datenverarbeitungsvereinbarung (DPA) verfügen. Die DPA muss Folgendes abdecken:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien der betroffenen Personen
  • Pflichten und Rechte des Verantwortlichen (Ihre Organisation)
  • Verarbeitung nur auf Ihre dokumentierten Anweisungen
  • Vertraulichkeitspflichten für alle zugelassenen Personen
  • Durchführung geeigneter technischer und organisatorischer Maßnahmen (Artikel 32)
  • Bedingungen für die Teilnahme von Teilprozessoren, einschließlich schriftlicher Genehmigung
  • Unterstützung von Anträgen auf Rechte der betroffenen Person (Zugang, Löschung, Portabilität)
  • Unterstützung von Sicherheitsverpflichtungen, Verletzungsmeldung, DPIA und vorherige Konsultation
  • Löschung oder Rückgabe von Daten über die Beendigung von Dienstleistungen
  • Bereitstellung von Prüfinformationen und Zusammenarbeit mit Audits

Viele Off-the-Shelf CRM DPAs, die von US-Anbietern bereitgestellt werden, werden vor allem in ihrem Interesse entwickelt. Besonderes Augenmerk auf den Subprozessor-Zulassungsmechanismus — "allgemeine schriftliche Genehmigung" ist üblich, aber Sie sollten 30 Tage Mitteilung neuer Subprozessoren erhalten und ein Widerspruchsrecht haben.

Das Bewertung der Auswirkungen (TIA) für in den USA ansässige CRMs

Wenn Ihr CRM-Anbieter dem US-amerikanischen Recht unterliegt - einschließlich FISA 702 und Executive Order 12333 Überwachungsbefugnisse - müssen Sie eine Bewertung der Auswirkungen durchführen, wenn Sie sich auf SCCs verlassen. Die TIA muss beurteilen:

  1. Kategorien und Empfindlichkeit der übertragenen Daten
  2. Der rechtliche Rahmen des Bestimmungslandes und seine Geheimdienstgesetze
  3. Ob ergänzende Maßnahmen (Verschlüsselung, Pseudonymisierung) die Daten effektiv schützen können
  4. Ob der Transfer erfolgen kann oder muss

Das EU-US Data Privacy Framework reduziert (aber nicht) TIA-Verpflichtungen für DPF-zertifizierte Transfers. Wenn Ihr Anbieter DPF-zertifiziert ist, dokumentieren Sie dies in Ihrem RoPA und halten Sie eine Kopie ihrer Zertifizierung.

Die 15-Punkte-CRM-Audit-Checkliste des DPO

  • 1 Bestätigen Sie die unterzeichnete DPA mit allen Artikel 28 Anforderungen
  • 2 Überprüfen Sie den Standort der Daten – EU, USA oder andere
  • 3 Überprüfen Sie die EU-US DPF-Zertifizierung oder bestätigen SCCs sind vorhanden
  • 4 Durchführung oder Aktualisierung von Bewertung der Auswirkungen
  • 5 Bewertung Subprozessorliste — Identifizierung von Hochrisikoprozessoren
  • 6 KI / ML Opt-out-Einstellungen überprüfen — kein Cross-Account-Training
  • 7 Audit Access Rights — Deprovision Leavers, Überprüfung Privileg Levels
  • 8 Confirm MFA wird für alle CRM-Benutzer durchgesetzt
  • 9 Überprüfen Sie die Verschlüsselung im Rest und im Transit (TLS 1.2+)
  • 10 Karte CRM-Verarbeitung in Ihrem Datensatz von Verarbeitungsaktivitäten
  • 11 Überprüfen Sie den Workflow der betroffenen Person (Beantwortung in 30 Tagen)
  • 12 Retentionspläne konfigurieren oder überprüfen — Löschen testen
  • 13 Überprüfung Verletzung Benachrichtigung SLA in DPA (72 Stunden, um Sie zu informieren)
  • 14 Prüfungsprotokolle — sind admin-Aktionen protokolliert und gespeichert?
  • 15 Assess, ob ein DPIA für die Hochrisikoverarbeitung im CRM erforderlich ist
HubSecure

Ein CRM für DPOs gebaut, nicht nur Vertriebsteams

HubSecure Schiffe mit einem DS-GVO-DPA am ersten Tag, einer minimalen Subprozessorkette, automatisierten Aufbewahrungsplänen und keine KI-Ausbildung auf Ihren Kundendaten. Keine separaten DPA-Verhandlungen, keine Bewertung der Auswirkungen Angst.

Buchen Sie eine Demo → Security overview