Was ist Schrems II und was bedeutet es für CRM?

Schrems II (EuGH C-311/18, 2020) erklärte das EU-US Privacy Shield für ungültig. Seitdem sind Datentransfers in die USA nur über Standardvertragsklauseln (SCCs) oder das EU-US Data Privacy Framework (seit 2023) zulässig. Bei CRMs von US-Unternehmen (HubSpot, Salesforce, Zoho US) prüfen: Ist der Anbieter DPF-zertifiziert? Liegt ein AVV mit SCCs vor?

Was muss ein DSGVO-konformer AVV für CRM enthalten?

Nach Art. 28 DSGVO muss der AVV enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien betroffener Personen, Pflichten des Auftragsverarbeiters (Weisungsgebundenheit, Vertraulichkeit, Sicherheitsmaßnahmen), Unterauftragsverarbeiter, Betroffenenrechte unterstützen, Löschung nach Vertragsende.

CRM · DSGVO · Aktualisiert Juni 2026

CRM DSGVO-konform 2026

Q: Darf ich als Arzt oder Anwalt ein CRM nutzen?

Ärzte, Anwälte und Steuerberater unterliegen dem Berufsgeheimnis (§203 StGB). Patientendaten/Mandantendaten dürfen nicht ohne entsprechende Schutzmaßnahmen an Cloud-Anbieter weitergegeben werden. Standard-CRMs (HubSpot, Pipedrive, Zoho) sind für diese Daten NICHT geeignet. Verwenden Sie spezialisierte Fachsoftware oder holen Sie ein qualifiziertes Rechtsgutachten ein.

Q: Ist HubSpot DSGVO-konform?

HubSpot ist mit entsprechenden Maßnahmen DSGVO-konform nutzbar: AVV im Account-Bereich abrufbar, EU-Server-Rechenzentrum wählbar, DPF-zertifiziert. HubSpot ist jedoch ein US-Unternehmen — Datentransfers in die USA erfolgen über SCCs + DPF. Für sehr sensible Daten oder regulierte Branchen: CentralStationCRM (DE-Server) vorziehen.

Nicht jedes CRM ist nach DSGVO problemlos nutzbar. Server-Standort, Drittlandübermittlung nach USA, AVV-Qualität und Branchenregulierung (§203 StGB) — dieser Ratgeber klärt, was wirklich zählt und welche CRMs bedenkenlos einsetzbar sind.

Server Deutschland

CentralStationCRM

Frankfurt, AVV inklusive

EU-Server + AVV

Zoho CRM / Pipedrive

EU-Rechenzentrum, kein DE

US-Firma + EU-Server

HubSpot / Salesforce

SCCs + DPF nötig

Berufsgeheimnis §203

Keine Standard-CRMs

Arzt, Anwalt, StB

Transparenter Vergleich

AnbieterPilot kann Provisionen erhalten, wenn du über Links zu einem Anbieter wechselst. Für dich entstehen dadurch keine zusätzlichen Kosten. Unsere Bewertungen orientieren sich an Funktionen, Preis-Leistung, Zielgruppe und Praxistauglichkeit.

Mehr zum Affiliate-Hinweis

Was bedeutet DSGVO-konform bei CRM wirklich?

Viele Anbieter behaupten, DSGVO-konform zu sein. Das ist kein rechtlicher Begriff — sondern eine Frage der konkreten Maßnahmen. Was wirklich zählt:

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Pflicht bei jedem Auftragsverarbeiter (= CRM-Anbieter). Muss Gegenstand, Dauer, Art der Verarbeitung, Pflichten des AV und Unterauftragsverarbeiter regeln. Fehlt der AVV, handelt der Verantwortliche (Sie) rechtswidrig — unabhängig vom Serverstandort.

Server-Standort und Drittlandübermittlung

EU-Server allein reicht nicht. Entscheidend ist der rechtliche Sitz des Unternehmens. Ein US-Unternehmen mit EU-Server unterliegt §702 FISA (Foreign Intelligence Surveillance Act) — US-Behörden können Datenzugang verlangen, auch wenn Server in Frankfurt steht.

EU-US Data Privacy Framework (DPF, seit Juli 2023)

Nachfolger des 2020 gekippten Privacy Shield. US-Unternehmen können sich zertifizieren lassen. Ermöglicht legale Datentransfers in die USA. Aktuell gilt: DPF-zertifizierter Anbieter + AVV = DSGVO-konform für die meisten Anwendungsfälle.

Standardvertragsklauseln (SCCs)

Für US-Anbieter ohne DPF-Zertifizierung: SCCs nach Art. 46 DSGVO. Schützen formal, aber §702 FISA-Problem bleibt. Bei sehr sensiblen Daten: EU-Anbieter mit DE-Server vorziehen.

Technische und organisatorische Maßnahmen (TOM)

Verschlüsselung, Zugriffskontrollen, Logging, Backup-Konzept. Im AVV muss der Anbieter konkrete TOMs benennen. Checken: Ist die Beschreibung im AVV konkret oder nur allgemein?

Schrems II und §702 FISA: Was CRM-Nutzer wissen müssen

Das EuGH-Urteil Schrems II (C-311/18, Juli 2020) kippte den EU-US Privacy Shield und legte offen: US-Geheimdienste können nach §702 FISA auf Daten von US-Unternehmen zugreifen — auch wenn deren Server in der EU stehen.

CRM	Unternehmensitz	§702 FISA-Risiko	DPF-zertifiziert	DSGVO-Status
CentralStationCRM	Deutschland (Köln)	Kein Risiko	n/a (EU)	✓✓ Vollständig konform
Zoho CRM	Indien (US-Holding)	Gering (EU-RZ)	Ja	✓ Konform (DPF + AVV)
Pipedrive	Estland (US-Investoren)	Gering (EU-RZ)	Ja	✓ Konform (DPF + AVV)
HubSpot	USA (Cambridge, MA)	Vorhanden (§702)	Ja	○ Konform mit Maßnahmen
Salesforce	USA (San Francisco)	Vorhanden (§702)	Ja	○ Konform mit Maßnahmen

✓✓ = höchste Sicherheit · ✓ = konform mit Standardmaßnahmen · ○ = konform mit zusätzlichen Maßnahmen nötig

Regulierte Branchen: §203 StGB und CRM

§203 StGB: Berufsgeheimnisträger dürfen Standard-CRMs nicht für Mandantendaten nutzen

§203 StGB stellt die unbefugte Offenbarung von Berufsgeheimnissen unter Strafe. Als Berufsgeheimnisträger gelten: Ärzte, Zahnärzte, Tierärzte, Heilpraktiker, Psychotherapeuten, Anwälte, Notare, Steuerberater, Wirtschaftsprüfer und weitere. Mandanten- oder Patientendaten in einem Cloud-CRM zu speichern ist ohne qualifizierte Einwilligung und spezifische Schutzmaßnahmen strafbar.

Berufsgruppe	Rechtsgrundlage	CRM-Nutzung möglich?	Empfehlung
Ärzte / Zahnärzte	§203 StGB, §9 MBO-Ä, DSGVO Art. 9	Nur mit explizitem Patientenwillen + technische Absicherung	Praxisverwaltungssoftware (PVS)
Psychotherapeuten	§203 StGB, Psychotherapeutengesetz	Nein für Sitzungsinhalte — CRM nur für allg. Kontaktdaten	Fachsoftware oder streng abgeschottetes System
Rechtsanwälte / Notare	§203 StGB, BRAO §43a, §1 BORA	Nein für Mandantendaten ohne besondere Absicherung	Kanzleisoftware (z.B. RA-MICRO, DATEV Anwalt)
Steuerberater / WP	§203 StGB, StBerG §57	Beschränkt — DATEV-Produkte i.d.R. zulässig	DATEV oder spezialisierte Kanzleisoftware
Finanzberater (ohne Lizenz)	DSGVO, BDSG — kein §203 StGB	Ja, mit AVV und DSGVO-Konformität	CentralStationCRM oder Zoho CRM (EU-Server)

Was ein DSGVO-AVV für CRM enthalten muss (Art. 28)

Gegenstand und Dauer der Verarbeitung

Was genau wird verarbeitet, wie lange und zu welchem Zweck

Art und Zweck der Verarbeitung

z.B. Kontaktverwaltung, Kommunikationshistorie, Deal-Tracking

Kategorien betroffener Personen

z.B. Kunden, Interessenten, Geschäftspartner

Weisungsgebundenheit des AV

Anbieter darf Daten nur nach Ihren Weisungen verarbeiten

Vertraulichkeit und Mitarbeiterpflichten

Mitarbeiter des Anbieters müssen Vertraulichkeit gewährleisten

Technische und org. Maßnahmen (TOM)

Konkrete Sicherheitsmaßnahmen — nicht nur allgemeine Floskeln

Unterauftragsverarbeiter benennen

Welche Sub-Dienstleister (z.B. AWS, Google Cloud) werden genutzt?

Unterstützung bei Betroffenenrechten

Anbieter muss Auskunft, Löschung, Berichtigung technisch ermöglichen

Datenlöschung nach Vertragsende

Was passiert mit Ihren Daten nach Kündigung?

Auditrechte des Verantwortlichen

Sie müssen das Recht haben, die Einhaltung zu prüfen

CRM-Systeme im DSGVO-Vergleich

CentralStationCRM

DSGVO-Sieger: DE-Server + AVV

ab 19 €/Mo

★★★★★4.5

DSGVO: ✓✓ Höchste SicherheitServer: Frankfurt (DE)

Stärken

Server ausschließlich in Frankfurt (Deutschland)
Kein §702 FISA-Risiko (deutsches Unternehmen)
AVV nach Art. 28 DSGVO ohne Aufpreis
Einfache Bedienung — kein Enterprise-Overhead
DSGVO-Checkliste im Onboarding

Einschränkungen

Weniger Integrationen als HubSpot/Pipedrive
Keine kostenlose Dauerlösung
Pipeline-Funktion eingeschränkt

CentralStationCRM Details

Zoho CRM

EU-Rechenzentrum + DPF

ab 14 €/Mo

★★★★★4.3

DSGVO: ✓ Konform (DPF + AVV)Server: EU (Amsterdam/Frankfurt)

Stärken

EU-Rechenzentrum wählbar (Amsterdam/Frankfurt)
DPF-zertifiziert
AVV inklusive
Native SevDesk-Integration

Einschränkungen

Indische Holding-Gesellschaft (nicht EU-Recht)
Interface komplex

Zoho CRM Details

Pipedrive

EU-Server, DPF, starke Pipeline

ab 14 €/Mo

★★★★★4.3

DSGVO: ✓ Konform (DPF + AVV)Server: EU (Estland)

Stärken

EU-Server (Estland-Muttergesellschaft)
DPF-zertifiziert
AVV vorhanden
Stärkste Deal-Pipeline

Einschränkungen

US-Investorenbeteiligung (Investoren-Risiko)
Kein dauerhaft kostenloser Plan

Pipedrive Details

HubSpot CRM

US-Unternehmen, AVV + DPF möglich

Kostenlos · Starter ab 15 €

★★★★★4.1

DSGVO: ○ Konform mit MaßnahmenServer: EU (optional) / USA

Stärken

DPF-zertifiziert
AVV im Account-Bereich abrufbar
EU-Server-Option wählbar
Dauerhaft kostenlos (Free-Plan)

Einschränkungen

US-Unternehmen — §702 FISA-Risiko bleibt
Für hochsensible Daten: nicht erste Wahl

HubSpot CRM Details

Brevo CRM

EU-Server Paris/Berlin, kostenlos

Kostenlos (CRM) · E-Mail ab 9 €

★★★★★4

DSGVO: ✓ Konform (EU-Server, AVV)Server: EU (Paris, Berlin)

Stärken

Server in Paris und Berlin (EU)
CRM kostenlos inklusive (Hauptprodukt: E-Mail-Marketing)
DSGVO-konform, AVV vorhanden
Gut wenn E-Mail-Marketing + CRM kombiniert

Einschränkungen

CRM ist Nebenprodukt — weniger ausgereift als Hauptanbieter
Kein DE-Server (Paris/Berlin sind EU, aber nicht DE)
Schwache Pipeline-Funktion

Brevo CRM Details

1CRM

DE-Hosting, Open Source

ab 13 €/Mo · Self-hosted möglich

★★★★★3.9

DSGVO: ✓✓ Self-hosted: maximale KontrolleServer: DE-Hosting möglich (Hetzner)

Stärken

Hosting in Deutschland möglich (Hetzner)
Open Source — vollständige Datenkontrolle
Self-hosted: keine Drittlandübermittlung
Breiter Funktionsumfang (Projekte, Rechnungen, CRM)

Einschränkungen

Veraltetes Interface
Komplexe Einrichtung bei Self-Hosting
Kleiner Anbieter mit weniger Support

1CRM Details

DSGVO-Checkliste: CRM einführen

CRM-Anbieter wählen (Server DE/EU bevorzugen) (Pflicht)

Für höchste DSGVO-Sicherheit: DE-Server (CentralStationCRM). Für US-Anbieter: EU-Server + DPF-Zertifizierung prüfen.

AVV nach Art. 28 DSGVO abschließen (Pflicht)

Vor der ersten Nutzung — nicht nachher. Prüfen: Enthält der AVV konkrete TOMs? Unterauftragsverarbeiter gelistet?

Datenschutzerklärung aktualisieren (Pflicht)

CRM-Anbieter namentlich nennen, Zweck und Rechtsgrundlage angeben (Art. 6 Abs. 1 lit. b oder f DSGVO).

Verzeichnis der Verarbeitungstätigkeiten (VVT) ergänzen (empfohlen)

Art. 30 DSGVO: CRM-Verarbeitung im VVT dokumentieren. Bei mehr als 250 Mitarbeitenden: Pflicht. Darunter: bei Datenschutzrisiken.

Betroffenenrechte technisch testen (Pflicht)

Können Sie auf Anfrage: alle Daten zu einer Person auskunft geben, Daten berichtigen, Person vollständig löschen?

Datenschutzfolgenabschätzung (DSFA) prüfen (empfohlen)

Art. 35 DSGVO: Bei systematischer Verarbeitung von sensiblen Daten kann DSFA nötig sein. Im Zweifel Datenschutzbeauftragten fragen.

Welches CRM passt zu Ihren DSGVO-Anforderungen?

Wenn: Maximale DSGVO-Sicherheit, alle Daten nur in Deutschland

→ CentralStationCRM

Server Frankfurt, deutsches Unternehmen, kein §702 FISA-Risiko. ab 19 €/Mo.

Details

Wenn: EU-Server + SevDesk-Integration + gutes Preis-Leistungsverhältnis

→ Zoho CRM

EU-Rechenzentrum wählbar, DPF-zertifiziert, AVV inklusive. ab 14 €/Mo.

Details

Wenn: Aktiver B2B-Vertrieb + DSGVO-Konformität

→ Pipedrive

EU-Server (Estland), DPF-zertifiziert, beste Pipeline-Ansicht. ab 14 €/Mo.

Details

Wenn: Kostenlos starten, DSGVO mit Maßnahmen

→ HubSpot CRM Free

DPF-zertifiziert, AVV vorhanden, EU-Server-Option. Kein DE-Server.

Details

Wenn: Arzt, Anwalt, Steuerberater (§203 StGB)

→ Keine Standard-CRMs

Nutzen Sie Fachsoftware: PVS für Ärzte, Kanzleisoftware für Anwälte/StB.

Details

Häufige Fragen: CRM DSGVO-konform

Welches CRM ist DSGVO-konform mit Server in Deutschland?

CentralStationCRM hat Server in Frankfurt (100 % Deutschland), ist ein deutsches Unternehmen und bietet AVV nach Art. 28 DSGVO ohne Aufpreis. Es gibt kein §702 FISA-Risiko. Für EU-Server (nicht DE): Zoho CRM und Pipedrive.

Was ist Schrems II und warum ist es für CRM relevant?

Schrems II (EuGH C-311/18, 2020) kippte den EU-US Privacy Shield. US-Unternehmen unterliegen §702 FISA — auch wenn Server in der EU stehen. Das EU-US Data Privacy Framework (DPF, seit Juli 2023) ist der aktuelle Nachfolger. Prüfen: Ist Ihr CRM-Anbieter DPF-zertifiziert?

Darf ich als Arzt oder Anwalt ein CRM nutzen?

Für Patienten- und Mandantendaten: Nein mit Standard-CRMs (§203 StGB). Nutzen Sie spezialisierte Fachsoftware. Für allgemeine Geschäftskontakte (Kooperationspartner, Zuweiser ohne Patientenbezug) kann ein CRM mit entsprechenden DSGVO-Maßnahmen genutzt werden — Rechtsgutachten empfohlen.

Was muss ein AVV für CRM nach Art. 28 DSGVO enthalten?

Gegenstand und Dauer, Art und Zweck der Verarbeitung, Kategorien betroffener Personen, Weisungsgebundenheit des Auftragsverarbeiters, Vertraulichkeitspflichten, konkrete technische und org. Maßnahmen (TOM), Unterauftragsverarbeiter, Betroffenenrechte-Unterstützung, Datenlöschung nach Vertragsende.

Ist HubSpot DSGVO-konform?

Ja, mit entsprechenden Maßnahmen: AVV im Account-Bereich abrufbar, EU-Server-Option wählbar, DPF-zertifiziert. HubSpot ist jedoch ein US-Unternehmen — §702 FISA-Risiko bleibt theoretisch. Für hochsensible Daten oder regulierte Branchen: CentralStationCRM (DE-Server) vorziehen.