HubSpot verpflichtet sich zum Schutz von EU-Datenübertragungen

Was das Privacy-Shield-Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 und die neuen Standardvertragsklauseln für HubSpot-Kunden und -Partner bedeuten

In unserem Customer Code verpflichten wir uns dazu, die Daten unserer Kunden zu schützen. Das beinhaltet auch die Bereitstellung sicherer und legaler Möglichkeiten zur Datenübertragung für unsere Kunden. Diese Verantwortung nehmen wir sehr ernst. 

Sicherheits- und Datenschutzbestimmungen ändern sich häufig, so zum Beispiel am 16. Juli 2020, als der Gerichtshof der Europäischen Union (EuGH) das Privacy-Shield-Abkommen zwischen der EU und den USA für ungültig erklärte. Gleichzeitig bestätigte der EuGH, dass die Standardvertragsklauseln nach der Richtlinie 95/46/EG weiterhin Gültigkeit als Mechanismus für den sicheren Datentransfer in Drittländer haben. Eine weitere Änderung folgte am 4. Juni 2021, als die Europäische Kommission neue Standardvertragsklauseln verabschiedete.

Die gute Nachricht: Diese Änderung traf uns nicht unvorbereitet, denn der Transfer von Daten von HubSpot-Kunden aus der EU war bereits durch die bisherigen Standardvertragsklauseln abgedeckt, und HubSpot plant die Einführung der neuen Standardvertragsklauseln bis September 2021. Seit Inkrafttreten der DSGVO 2018 umfasst unsere Vereinbarung zur Datenverarbeitung (Teil unserer Nutzungsbedingungen) sowohl das Privacy-Shield-Abkommen als auch die Standardvertragsklauseln als legale EU-Datenübertragungsmechanismen. Damit standen unseren Kunden verschiedene Möglichkeiten für die sichere Übertragung von Daten zur Verfügung. 

Mit Aussetzen des Privacy-Shield-Abkommens treten automatisch die Standardvertragsklauseln in Kraft und gewährleisten den sicheren Datentransfer aus der EU, damit unsere Kunden und Partner HubSpot ohne Beeinträchtigung weiter nutzen können und der nahtlose Übergang zu den neuen Standardvertragsklauseln im September 2021 sichergestellt werden kann.

Häufig gestellte Fragen

  • HubSpot stützt sich auf die Standardvertragsklauseln der Europäischen Kommission, die in unserer Vereinbarung zur Kundendatenverarbeitung enthalten sind. 

  • Im sogenannten „Schrems II“-Urteil des EuGH wurde die Rechtmäßigkeit der Standardvertragsklauseln der Europäischen Kommission und das EU-US-Privacy-Shield-Abkommen für die Übertragung personenbezogener Daten aus der EU in Drittländer untersucht. Der EuGH fällte dabei zwei wichtige Urteile:

    1. Das Gericht hat das EU-US-Privacy-Shield-Abkommen für ungültig erklärt; damit ist es keine Option mehr für Unternehmen, um eine sichere Übertragung personenbezogener Daten aus der EU in die USA zu gewährleisten.
    2. Gleichzeitig befand das Gericht, dass die Standardvertragsklauseln weiterhin ein gültiger Datentransfermechanismus bleiben, Datenübertragungen gemäß den Standardvertragsklauseln jedoch auf Einzelfallbasis zu bewerten sind, um die Einhaltung von EU-Datenschutzstandards zu gewährleisten.
  • Bei den Standardvertragsklauseln handelt es sich um einen der möglichen Datentransfermechanismen, die Unternehmen im Rahmen der DSGVO zur grenzüberschreitenden Übertragung von Daten nutzen können.

  • Am 4. Juni 2021 wurden zwei Sätze aktualisierter Standardvertragsklauseln durch die Europäische Kommission veröffentlicht und verabschiedet. Die Aktualisierungen der Standardvertragsklauseln entsprechen den Bestimmungen der DSGVO und berücksichtigen einige der Aspekte, die im Zusammenhang mit dem „Schrems II“-Urteil durch den EuGH thematisiert wurden. 

  • Im Folgenden sind die wichtigsten Daten für die Einführung der neuen Standardvertragsklauseln zusammengefasst: 

    • 27. Juni 2021: Inkrafttreten der neuen Standardvertragsklauseln. Von diesem Datum an können Unternehmen die neuen Standardvertragsklauseln nutzen. 
    • 27. September 2021: Die neuen Standardvertragsklauseln müssen von diesem Datum an auf alle neuen Verträge mit Kunden und Anbietern angewandt werden. 
    • 27. Dezember 2022: Datenimporteure (d. h. HubSpot) und Datenexporteure (d. h. HubSpot-Kunden) haben 18 Monate Zeit, bestehende Standardvertragsklauseln mit den neuen Standardvertragsklauseln zu ersetzen. 

     

  • Ja. HubSpot wird die Vereinbarung zur Kundendatenverarbeitung gemäß den neuen Standardvertragsklauseln bis September 2021 aktualisieren. Bis zu diesem Zeitpunkt wird HubSpot gemeinsam mit unseren Unterauftragsverarbeitern und anderen Drittanbietern an der Aufnahme der Standardvertragsklauseln in diese Vereinbarungen arbeiten.

    • Modularer Ansatz: Die neuen Standardvertragsklauseln sind modular aufgebaut und können von Datenexporteuren (HubSpot-Kunden) entsprechend ihrer jeweiligen Rollen und Verantwortlichkeiten hinsichtlich der betreffenden Datenübertragung genutzt werden.
    • Risikobewertung: Gemäß den neuen Standardvertragsklauseln sind Datenexporteure zur Dokumentation ihrer Risikobewertung für die Übertragung von Daten verpflichtet. Eine solche Risikobewertung umfasst die Beurteilung von Gesetzen im Drittland, wodurch zusätzlicher Schutz für die betreffende Datenübertragung gewährleistet und überprüft werden kann, ob weitere Sicherheitsmaßnahmen erforderlich sind. 
    • Zusätzliche Maßnahmen: Die neuen Standardvertragsklauseln enthalten eine Liste mit Beispielen technischer und organisatorischer zusätzlicher Sicherheitsmaßnahmen für die Datenübertragung, die Unternehmen, falls erforderlich, umsetzen können.   
  • Nein. Unsere Nutzungsbedingungen für Kunden umfassen unsere Vereinbarung zur Datenverarbeitung (siehe Abschnitt 5.4, „Schutz von Kundendaten“). In Abschnitt 7(f), „Datenübermittlungsmechanismen“, unserer Vereinbarung zur Datenverarbeitung erklärt HubSpot sich bereit, personenbezogene Daten europäischer Bürger in Übereinstimmung mit den Standardvertragsklauseln zu behandeln. Die Standardvertragsklauseln sind in Anhang 3 der Vereinbarung zur Datenverarbeitung enthalten. Wie oben erwähnt, plant HubSpot, diese Standardvertragsklauseln bis September 2021 zu aktualisieren.

  • Nein. Das EU-US-Privacy-Shield-Abkommen ist mit Wirkung vom 16. Juli 2020 ungültig.

  • Nein, dieses Urteil betrifft nur das EU-US-Privacy-Shield-Abkommen.

  • Nein; am 28. Juni 2021 hat die Europäische Kommission einem Angemessenheitsbeschluss für das Vereinigte Königreich zugestimmt. Dies bedeutet, dass Unternehmen weiterhin Daten aus der EU erhalten können, ohne Änderungen an ihren Datenschutzpraktiken vorzunehmen. 

Haben Sie weitere Fragen?