DSGVO-Compliant CRM: What Regulated Businesses Need in 2026: Warum regulierte Unternehmen DSGVO-bewusste CRM-Workflows mit Client-Aufzeichnungen, Berechtigungen, Retention, Audithistorie und sichere Datenverarbeitung benötigen.
HubSecure ist relevant, wenn Teams sichere Client-Aufzeichnungen, Dokumentensammlung, Workflow-Besitz, rollenbasierter Zugriff und audit-ready-Anweisungen in einem geregelten Workspace benötigen.
Die DSGVO wurde im Jahr 2025 sieben. Geldbußen haben über 4 Milliarden US-Dollar in der gesamten EU hinausgehen. Und dennoch speichern die meisten Unternehmen noch ihre empfindlichsten Client-Daten in CRMs, die nicht mit Datenschutz im Verstand gebaut wurden — CRMs, die in den USA gehostet wurden, mit minimalem Audit-Logging, keine sinnvollen Datenschutz-Tooling und eine DPA, die zehn Seiten der legalen Kesselplatte niemand gelesen hat.
Für regulierte Unternehmen – Anwaltskanzleien, Fintechs, Gesundheitsdienstleister, Vermögensverwalter – steht besonders viel auf dem Spiel. Ihnen droht nicht nur ein DSGVO-Bußgeld. Sie laufen Gefahr, dass eine Aufsichtsbehörde fragt, ob Ihre Datenverarbeitung mit Ihren beruflichen Pflichten vereinbar ist. In diesem Leitfaden wird genau erläutert, was die Einhaltung der DSGVO von einem CRM erfordert und wie Sie beurteilen können, ob Ihr aktuelles oder zukünftiges Tool die Anforderungen erfüllt.
Verwandter HubSecure-Kaufpfad
Compliance-CRM-Leitfaden Compliance-CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Compliance-CRM-Leitfaden Leitfaden-Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Compliance CRM Guides. Fahren Sie mit dem Produkt-Hub für Compliance-CRM fort.
Welche DSGVO tatsächlich von einem CRM verlangt
Gemäß der DSGVO ist jede Software, die in Ihrem Namen personenbezogene Daten verarbeitet, ein Datenverarbeiter. Ihr CRM-Anbieter ist ausnahmslos ein Datenverarbeiter. Daraus ergeben sich besondere rechtliche Anforderungen:
Artikel 28: Datenverarbeitungsvereinbarung
Sie müssen eine unterzeichnete DPA mit Ihrem CRM-Anbieter haben, bevor Sie personenbezogene Daten aus der EU speichern. Die Datenschutzbehörde muss Folgendes angeben: Welche Daten werden zu welchem Zweck verarbeitet, wie lange, mit welchen Sicherheitsmaßnahmen, welche Unterauftragsverarbeiter zugelassen sind und was der Anbieter im Falle eines Verstoßes oder einer Anfrage einer betroffenen Person tun wird.
Eine in den Allgemeinen Geschäftsbedingungen eines Anbieters verankerte DPA ist rechtlich fragwürdig. Ein DPA, dessen Auffinden und Herunterladen mehr als 5 Minuten dauert, ist ein Zeichen dafür, wie ernst der Anbieter den Datenschutz nimmt.
Artikel 32: Sicherheit der Verarbeitung
Anbieter müssen „geeignete technische und organisatorische Maßnahmen“ ergreifen, um die Datensicherheit zu gewährleisten. Im Jahr 2026 bedeutet dies Verschlüsselung im Ruhezustand und während der Übertragung, Zugriffskontrollen, regelmäßige Penetrationstests und einen Prozess zur Reaktion auf Vorfälle. Zertifizierungen (ISO 27001, SOC 2 Typ II) sind ein Beweis dafür – aber lesen Sie den Auditumfang, nicht nur das Abzeichen.
Artikel 15–22: Rechte der betroffenen Person
Ihr CRM muss Sie bei der Einhaltung von Anfragen zu den Rechten betroffener Personen unterstützen: Zugriff (Export aller Daten über eine Person), Löschung (vollständige Löschung, einschließlich Backups innerhalb Ihrer Aufbewahrungsfrist), Portabilität (maschinenlesbarer Export) und Einschränkung der Verarbeitung. Wenn Ihr CRM-Anbieter diese nicht innerhalb von 30 Tagen – der DSGVO-Frist – unterstützen kann, sind Sie gefährdet.
Artikel 33: Benachrichtigung über Verstöße
Wenn Ihr CRM-Anbieter einen Datenverstoß erleidet, der sich auf die Daten Ihrer Kunden auswirkt, muss er Sie innerhalb von 72 Stunden benachrichtigen. Anschließend müssen Sie Ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung benachrichtigen. Die Kette funktioniert nur, wenn Ihr Lieferant vertraglich verpflichtet ist, Ihnen schnell Bescheid zu geben. Lesen Sie die Klausel zur Meldung von Verstößen in Ihrem DPA.
Datenresidency Frage
Kapitel V der DSGVO schränkt die Übermittlung personenbezogener Daten außerhalb der EU/des EWR ein. „Übertragung“ wird weit ausgelegt – es umfasst den Zugriff von Mitarbeitern eines Anbieters in einem Nicht-EU-Land auf EU-Daten und nicht nur die physische Datenbewegung.
Die meisten großen CRM-Anbieter in den USA bieten Rechenzentren in der EU an. Die Zuständigkeitsfrage ist jedoch nicht dadurch gelöst, dass der Gastgeber in Frankfurt untergebracht ist. Ein US-Unternehmen, das EU-Daten in Frankfurt hostet, unterliegt weiterhin US-Recht – einschließlich des CLOUD Act, der es US-Strafverfolgungsbehörden ermöglicht, US-Unternehmen zur Herausgabe von Daten zu zwingen, unabhängig davon, wo diese gespeichert sind.
Dies hat praktische Konsequenzen für regulierte Unternehmen:
- EU-Aufsichtsbehörden haben den Standpunkt vertreten, dass von US-Muttergesellschaften gespeicherte personenbezogene Daten aus der EU ohne Standardvertragsklauseln (SCCs) und eine Folgenabschätzung für die Übertragung (Transfer Impact Assessment, TIA) möglicherweise nicht den DSGVO-Übermittlungsanforderungen genügen.
- Unternehmensbeschaffungsprozesse in regulierten Branchen erfordern zunehmend in der EU ansässige Anbieter oder eine ausdrückliche TIA-Genehmigung
- Kundenverträge in den Bereichen Recht, Finanzdienstleistungen und Gesundheitswesen beinhalten zunehmend Anforderungen an die Datensouveränität
Praxistest: Fragen Sie Ihren Anbieter: „Unterliegt Ihre Muttergesellschaft US-amerikanischem Recht? Gilt für Sie der CLOUD Act?“ Die Antwort sollte in Ihre Risikobewertung der Datenübertragung einfließen. Ein in der EU ansässiger Anbieter beseitigt diese Frage vollständig.
Die 10 Fragen an jeden CRM-Anbieter
Fragen Sie vor der Unterzeichnung:
- Wo werden unsere Daten gespeichert? Können wir dies schriftlich haben, beschränkt auf EU/EWR?
- Hat Ihre Muttergesellschaft ihren Hauptsitz außerhalb der EU? Gilt der CLOUD Act?
- Kann ich Ihre aktuelle DPA sehen? Wie lange dauert die Gegenzeichnung?
- Wer sind Ihre aktuellen Unterauftragsverarbeiter? Wie benachrichtigen Sie mich über Änderungen?
- Wie unterstützen Sie eine Betreffzugriffsanfrage – kann ich alle Daten für eine Person exportieren?
- Wie unterstützen Sie eine Anfrage zum Recht auf Löschung – einschließlich der Entfernung aus Backups?
- Wie hoch ist Ihre Verpflichtung zur Benachrichtigung über Vertragsverletzungen? Sind es 72 Stunden?
- Über welche Zertifizierungen verfügen Sie? ISO 27001? SOC 2 Typ II? Was ist der Prüfungsumfang?
- Wie werden Datenaufbewahrungsfristen konfiguriert? Kann ich pro Datentyp unterschiedliche Zeiträume festlegen?
- Welche Verschlüsselung wird im Ruhezustand und bei der Übertragung verwendet? Liegt die Verwaltung der Verschlüsselungsschlüssel in Ihrer oder meiner Kontrolle?
Consent Management in einem CRM-Kontext
Ein Bereich, in dem CRMs regulierte Unternehmen häufig scheitern lassen, ist das Einwilligungsmanagement. Die DSGVO verlangt, dass Sie, wenn die Einwilligung die Rechtsgrundlage für die Verarbeitung darstellt, nachweisen können, dass die Einwilligung freiwillig, spezifisch, informiert und eindeutig erteilt wurde – und dass Sie diesen Nachweis für jede einzelne Person vorlegen können.
Für die meisten regulierten Unternehmen ist die Einwilligung nicht die richtige Rechtsgrundlage für die Verarbeitung von Kundendaten – Vertragserfüllung oder berechtigte Interessen sind angemessener. Für Marketingkommunikation, Newsletter-Abonnements und Profiling kann jedoch eine Einwilligung erforderlich sein.
Ein DSGVO-konformes CRM sollte in der Lage sein, Einwilligungsdatensätze zu speichern (wann eingeholt, was zugestimmt wurde, über welchen Mechanismus), Kontakte nach Einwilligungsstatus zu filtern und Kontakte, die ihre Einwilligung zurückgezogen haben, massenhaft aus Marketing-Workflows zu unterdrücken. Viele CRMs betrachten dies als Add-on. Es sollte Standard sein.
Datenspeicherung: Böden und Decken
Der Datenminimierungsgrundsatz der DSGVO (Artikel 5 Absatz 1 Buchstabe e) verlangt, dass personenbezogene Daten nicht länger als nötig gespeichert werden. Viele regulierte Unternehmen haben jedoch auch Mindestaufbewahrungspflichten – Kundendateien müssen in den meisten EU-Rechtsräumen fünf bis zehn Jahre lang aufbewahrt werden. Ihr CRM muss beides bewältigen:
- Aufbewahrungsgrenzen – Daten können nicht gelöscht werden, bevor die gesetzliche Mindestaufbewahrungsfrist abgelaufen ist
- Aufbewahrungsobergrenzen – Daten sollten automatisch zur Überprüfung oder Löschung gekennzeichnet werden, sobald die maximale Aufbewahrungsfrist erreicht ist
- Kategoriespezifische Regeln – AML-Datensätze (5 Jahre), Mitarbeiterdatensätze (variiert), Marketingkontakte (bis zum Widerruf der Einwilligung oder 3 Jahre nach dem letzten Auftrag) – alle unterschiedlich
Fast kein Allzweck-CRM beherrscht dies nativ. Es erfordert entweder eine benutzerdefinierte Konfiguration oder ein separates Data-Governance-Tool. Dies ist einer der Hauptgründe dafür, dass regulierte Unternehmen zunehmend speziell entwickelte Plattformen wählen.
Häufig gestellte Fragen
Ist HubSpot DSGVO-konform?
HubSpot verfügt über DSGVO-Konformitätsfunktionen und unterzeichnet eine DPA. Es handelt sich jedoch um ein US-amerikanisches Unternehmen, das US-amerikanischem Recht unterliegt, einschließlich des CLOUD Act. Dies führt zu rechtlicher Komplexität für regulierte EU-Unternehmen, die sensible Kundendaten speichern. HubSpot bietet EU-Datenhosting auf höheren Ebenen an, aber die Zuständigkeit der Muttergesellschaft stellt ein Restrisiko dar, mit dem sich viele regulierte Unternehmen – insbesondere im Rechts-, Finanz- und Gesundheitsbereich – nicht wohlfühlen.
Was verlangt die DSGVO von einem CRM?
Gemäß der DSGVO muss Ihr CRM-Anbieter: ein DPA nach Artikel 28 unterzeichnen, Daten innerhalb der EU oder unter angemessenen Übertragungsschutzmaßnahmen speichern, die Rechte der betroffenen Personen (Zugriff, Löschung, Portabilität) unterstützen, Sie innerhalb von 72 Stunden über Verstöße informieren, eine Liste von Unterauftragsverarbeitern führen und geeignete Sicherheitsmaßnahmen implementieren, die durch anerkannte Zertifizierungen nachgewiesen werden.
Was ist eine Datenverarbeitungsvereinbarung (DPA) für ein CRM?
Ein DPA ist ein Vertrag, der gemäß Art. 28 DSGVO zwischen Ihnen (Datenverantwortlicher) und Ihrem CRM-Anbieter (Datenverarbeiter) erforderlich ist. Sie muss festlegen, welche Daten zu welchem Zweck verarbeitet werden, mit welchen Sicherheitsmaßnahmen, welche Teilprozessoren zugelassen sind, und was der Anbieter im Falle eines Verstoßes oder einer betroffenen Person tun wird. Ohne eine unterzeichnete DPA verstoßen Sie gegen die DSGVO – unabhängig davon, was der Anbieter mit Ihren Daten macht oder nicht.
Kann ich Salesforce oder HubSpot für DSGVO-sensitive Daten verwenden?
Sie können, mit entsprechender Konfiguration und gesetzlichen Schutzmaßnahmen (SCCs, TIA für US-Patenthändler, Singapur-hosted · EU Q3 2026 Konfiguration). Viele große regulierte Unternehmen tun. Die Frage ist, ob die Compliance Overhead — rechtliche Überprüfung, TIA-Dokumentation, laufende Überwachung der amerikanischen Elternbeziehung des Verkäufers mit Regulierungsbehörden — im Vergleich zu einem zweckgebundenen EU-Native-Anbieter wert ist.
DSGVO angepasste CRM, Compliance-Erste von Tag eins
HubSecure Schiffe mit einem vorsignierten DPA einschließlich EU-SCCs und wird von Grund auf nach oben gebaut. Derzeit Singapur-gehostet; EU-Infrastruktur (Frankfurt) Ankunft Q3 2026. Jedes DPA umfasst die Transfermechanismen, die Ihr Compliance-Team heute benötigt. Buchen Sie eine 30-minütige Demo.
Buchen Sie eine Demo & #x2192; DPA herunterladenIn Verbindung mit:
Offizielle Quellen und weitere Lesung
Verwenden Sie diese öffentlichen Quellen, um regulatorischen Hintergrund und Terminologie zu überprüfen. HubSecure Inhalt ist Produktführung, keine Rechtsberatung.
Anmerkungen zur Erkennbarkeit
Dieser Leitfaden ist für die Produkt- und Betriebsbewertung geschrieben, nicht als Rechtsberatung. Bei Erfüllungsverpflichtungen bestätigen Sie die Anforderungen mit qualifiziertem Rat oder dem zuständigen Regulierungsorgan.
Verwandte HubSecure Referenzen: Sicherheit · DPA · Subprozessoren · AML/KYC Glossar · RBAC Glossar
Bewertet für regulierte Teams
Gefertigt durch das redaktionelle Team HubSecure für Operatoren, Compliance-Führer und IT-Bewerter, die eine sichere Client-Betriebssoftware bewerten.
Autoren · Reviewer · Redaktion