Direkt zum Artikeltext springen

Inhalt in Kürze

  • Ein CRM ist das datensensibelste Tool im Unternehmen – hier liegen Kundendaten, Kontakthistorie, Marketing-Einwilligungen und oft Profile. Umso wichtiger ist die DSGVO-konforme Einrichtung.
  • Drei Faktoren entscheiden: ein AVV nach Art. 28 DSGVO, ein EU-Serverstandort und funktionierende Löschfunktionen nach Art. 17 DSGVO.
  • HubSpot und Salesforce sind konform nutzbar – beide bieten EU-Hosting in Frankfurt. Aber nur, wenn Sie die EU-Region wählen und die Verträge sauber führen.
  • Deutsche Alternativen wie weclapp oder CentralStationCRM vermeiden den USA-Transfer ganz – interessant für besonders sensible Branchen.

Im CRM steckt das Gedächtnis des Vertriebs: Namen, E-Mail-Adressen, Telefonnummern, Angebote, Gesprächsnotizen, Kaufhistorie. Alles personenbezogene Daten – und häufig mehr, als den Beteiligten bewusst ist.

Genau deshalb schaut die Aufsichtsbehörde bei einem CRM besonders genau hin. Ein falsch konfiguriertes System, fehlende Löschfunktionen oder eine unsaubere Marketing-Einwilligung sind schnell teuer. Die gute Nachricht: Die gängigen CRM-Systeme lassen sich DSGVO-konform betreiben – wenn drei Dinge stimmen.

Art. 28DSGVO – AVV mit dem CRM-Anbieter ist Pflicht
FrankfurtEU-Rechenzentren bei HubSpot & Salesforce
Art. 17Recht auf Löschung – Ihr CRM muss es können

Warum ein CRM datenschutzrechtlich heikel ist

Ein CRM verbindet mehrere kritische Themen in einem System:

  • Große Datenmengen: Über Jahre sammeln sich tausende Kontakte samt Historie. Ohne Löschregeln wächst der Bestand unbegrenzt.
  • Marketing-Einwilligungen: Newsletter, Kampagnen, Lead-Scoring – hier entscheidet die saubere Einwilligung, ob Sie werben dürfen.
  • Profiling: Bewertet das CRM Kontakte automatisch (Lead-Score, Wahrscheinlichkeiten), kann das ein Profiling nach Art. 22 DSGVO sein – mit eigenen Pflichten.
  • US-Anbieter: HubSpot und Salesforce sind US-Unternehmen. Ohne EU-Hosting fließen Daten in die USA.

Die drei Entscheidungsfaktoren

Wichtig:

Ob ein CRM DSGVO-konform ist, hängt an drei Punkten: (1) ein gültiger AVV nach Art. 28 DSGVO, (2) ein EU-Serverstandort und (3) zuverlässige Löschfunktionen nach Art. 17 DSGVO. Fehlt einer davon, ist der Rest zweitrangig.

HubSpot, Salesforce oder deutsche Alternative?

Alle drei Wege sind gangbar – sie unterscheiden sich im Aufwand und im Serverstandort:

AnbieterServerstandort (EU-Option)Besonderheit
HubSpotFrankfurt & DublinEU-Region muss bei Kontoerstellung gewählt werden
SalesforceFrankfurt (AWS)BSI C5 & ISO 27001, DPF-zertifiziert
PipedriveFrankfurt (AWS)EU-Hosting, schlanker für kleine Teams
weclappDeutschlandDeutsche Server, ISO 27001, kein USA-Transfer
CentralStationCRMDeutschland (Köln)Bewusst DSGVO-fokussiert, deutscher Anbieter
Achtung – EU-Hosting heißt nicht „100 % EU":

Auch mit EU-Rechenzentrum bleibt nicht jeder Datenfluss automatisch in Europa. Support, Betrieb, Sicherheitsanalysen oder Subprozessoren können weiterhin Drittlandbezug haben. Die US-Anbieter stützen den Transfer auf das EU-US Data Privacy Framework – eine Rechtsgrundlage, die 2026 unter Druck steht. Wer das vermeiden will, wählt einen deutschen Anbieter.

AVV und Löschkonzept: die Pflichtdokumente

Tipp:

Behalten Sie den Überblick über alle Auftragsverarbeiter. Unser kostenloser AVV-Check zeigt in wenigen Minuten, ob Ihre wichtigsten Verträge DSGVO-konform sind.

Für jedes CRM brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). HubSpot und Salesforce stellen ihn bereit – prüfen Sie Subprozessoren, Transferklauseln und Löschfristen.

Genauso wichtig: ein Löschkonzept. Ihr CRM muss Kontakte samt Historie löschen können, wenn ein Betroffener das verlangt – im Rahmen der gesetzlichen Aufbewahrungsfristen. Halten Sie fest, welche Daten wann gelöscht werden, und dokumentieren Sie das im Verzeichnis von Verarbeitungstätigkeiten.

Checkliste: CRM DSGVO-konform aufsetzen

  • EU-Datenregion wählen. Bei HubSpot schon bei der Kontoerstellung – nachträglich ist der Wechsel aufwendig.
  • AVV abschließen und prüfen – inklusive Subprozessorenliste und Transferklauseln.
  • Löschkonzept einrichten mit Fristen und automatischen Löschregeln (Art. 17 DSGVO).
  • Marketing-Einwilligungen sauber dokumentieren (Double-Opt-in, Nachweis, Widerrufsmöglichkeit).
  • Berechtigungskonzept festlegen: Wer sieht welche Kontakte und Felder?
  • Datensparsamkeit: nur erheben, was der Vertrieb wirklich braucht.
  • Auskunfts- und Löschanfragen mit einem klaren Prozess bearbeiten.

Marketing, Einwilligung und Widerspruch

Der häufigste CRM-Fehler ist nicht der Serverstandort – es ist die Werbung. Wer Newsletter oder Kampagnen aus dem CRM verschickt, braucht eine wirksame Einwilligung oder eine andere Rechtsgrundlage. Und jeder Kontakt darf der Werbung jederzeit widersprechen (Art. 21 DSGVO).

Praktisch heißt das: Einwilligungen im CRM revisionssicher dokumentieren, Abmeldungen sofort umsetzen und keine gekauften Adresslisten einspielen. Ein CRM, das Werbeeinwilligungen sauber verwaltet, erspart Ihnen die teuersten Abmahnungen.

Aus der Praxis

Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

In einem CRM liegen genau die Daten, die solche Angriffe erst wertvoll machen: wer mit wem worüber spricht. Umso wichtiger sind Zugriffsrechte, Zwei-Faktor-Authentifizierung und ein Bewusstsein dafür, welche Informationen dort wirklich hingehören.

Zusammenfassung: CRM DSGVO-konform betreiben

Das Wichtigste auf einen Blick:

  • Ein CRM ist konform nutzbar – wenn AVV, EU-Serverstandort und Löschkonzept stimmen.
  • HubSpot und Salesforce bieten EU-Hosting in Frankfurt; deutsche Anbieter vermeiden den USA-Transfer ganz.
  • Wählen Sie die EU-Region von Anfang an – nachträglich ist der Wechsel teuer.
  • Marketing-Einwilligungen und Widersprüche revisionssicher verwalten.
  • Dokumentieren Sie alles im Verarbeitungsverzeichnis und im Löschkonzept.

Ihr CRM wirklich DSGVO-konform?

Wir prüfen Serverstandort, AVV, Löschkonzept und Einwilligungen – und machen Ihren Vertrieb rechtssicher.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Ist HubSpot DSGVO-konform?

HubSpot ist DSGVO-konform nutzbar. Sie brauchen einen AVV, müssen bei der Kontoerstellung die EU-Datenregion wählen (Frankfurt/Dublin) und Löschfunktionen nach Art. 17 DSGVO einrichten. Nicht jeder Datenfluss (Support, Subprozessoren) bleibt automatisch in der EU.

Ist Salesforce DSGVO-konform?

Ja, bei richtiger Konfiguration. Salesforce betreibt ein Rechenzentrum in Frankfurt, ist unter dem EU-US Data Privacy Framework zertifiziert und stellt einen AVV bereit. Serverstandort, AVV und Löschkonzept müssen aktiv gesetzt werden.

Worauf kommt es bei einem DSGVO-konformen CRM an?

Auf drei Dinge: einen gültigen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, einen EU-Serverstandort und funktionierende Löschfunktionen nach Art. 17 DSGVO. Dazu kommen saubere Marketing-Einwilligungen und ein Berechtigungskonzept.

Gibt es DSGVO-konforme CRM-Anbieter aus Deutschland?

Ja. Anbieter wie weclapp oder CentralStationCRM betreiben ihre Server in Deutschland und vermeiden so den USA-Transfer. Auch Pipedrive und HubSpot bieten EU-Hosting in Frankfurt. Entscheidend bleibt die konkrete Konfiguration.

Muss ich Kundendaten im CRM auf Anfrage löschen?

Ja. Nach Art. 17 DSGVO haben Betroffene ein Recht auf Löschung. Ihr CRM muss Kontakte samt Historie zuverlässig löschen können – im Rahmen gesetzlicher Aufbewahrungsfristen. Ein dokumentiertes Löschkonzept ist Pflicht.

Das CRM ist nur ein Baustein Ihrer Datenschutz-Compliance.

Mit Hugo DSB managen Sie AVV, Löschkonzepte, technische und organisatorische Maßnahmen (TOMs) und Schulungen für Ihren gesamten Software-Stack — DSGVO-konform und nachweisbar.

Hugo DSB ab 79 €/Monat ansehen →

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.

TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Lieber erstmal schreiben? Kontaktformular