HubSpot Cookie-Consent-Integrationsleitfaden: GDPR-konformes Tracking für Marketer im Jahr 2026
HubSpot ist eine der am tiefsten eingebetteten Marketingplattformen im modernen Web. Sein Tracking-Skript läuft auf Millionen von B2B-Websites und erfasst Seitenaufrufe, Formularausfüllungen, Chat-Sitzungen und Verhalten auf Bezeichner-Ebene, das direkt in das HubSpot CRM fließt. Das Problem besteht darin, dass dieses Skript standardmäßig beginnt, personenbezogene Daten zu sammeln, sobald eine Seite geladen wird — lange bevor ein Besucher die Möglichkeit hatte, eine Entscheidung zu treffen. Für jede Organisation, die EU-, UK-, brasilianischen oder kalifornischen Traffic verarbeitet, ist dieses Standardverhalten nicht mehr konform, und es ist zunehmend die Art von Problem, das Regulatoren in echten Beschwerden kennzeichnen. Dieser Leitfaden erläutert, was HubSpot tatsächlich verfolgt, wo die Einwilligungsgrenze liegt und wie HubSpot mit einer Drittanbieter-Consent-Management-Plattform verbunden werden kann, damit Marketing-Analytics weiterhin funktioniert, ohne eine Geldstrafe zu riskieren.
Warum HubSpot-Tracking ein echtes Einwilligungssignal benötigt
HubSpot platziert eine Reihe von First-Party-Cookies auf dem Gerät eines Besuchers, sobald das Tracking-Skript (der HubSpot-JavaScript-Snippet, typischerweise hs-scripts.com/{hub_id}.js) ausgeführt wird. Die folgenreichsten sind __hstc, hubspotutk und __hssc, die gemeinsam den Besucher sitzungsübergreifend identifizieren, Formularübermittlungen mit anonymem Browserverlauf verknüpfen und Lead-Scoring-Modelle im CRM speisen. Unter der DSGVO und der ePrivacy-Richtlinie sind alle drei nicht unbedingt erforderliche Cookies, die frei gegebene, spezifische, informierte und eindeutige vorherige Einwilligung erfordern. Das Laden des Snippets im Dokumentkopf — das ist HubSpots Standard-Integrationsmuster — platziert diese Cookies, bevor der Besucher überhaupt nach irgendetwas gefragt wurde.
Die Konsequenzen sind nicht theoretisch. Datenschutzbehörden in Frankreich, Italien und Spanien haben in den letzten zwei Jahren alle Durchsetzungsmaßnahmen gegen Organisationen ergriffen, deren Marketing-Stacks Tracking-Cookies vor der Einwilligung gesetzt haben. Die Bußgelder reichten von fünfstelligen Strafen für kleine Verlage bis hin zu Millionen-Euro-Strafen für große Unternehmen. HubSpots nativer Cookie-Banner existiert, ist aber absichtlich leichtgewichtig und blockiert das Snippet allein nicht daran, zu feuern. Die meisten Compliance-Prüfer behandeln ihn als Benachrichtigungsschicht statt als Kontrollschicht.
Was HubSpot tatsächlich verfolgt
Bevor Sie entscheiden, wie Sie HubSpot steuern, hilft es, genau zu wissen, welche Verarbeitungskategorien im Spiel sind. HubSpots Tracking-Oberfläche unterteilt sich in vier überlappende Bereiche, jeder mit seinen eigenen Einwilligungsimplikationen.
Verhaltensanalyse
Seitenaufruf-, Klick-, Scroll- und Sitzungsdauer-Ereignisse werden automatisch erfasst, sobald der Tracking-Code geladen wird. Diese Ereignisse bauen den Besucher-Zeitstrahl auf, den Sie in HubSpots Kontaktdatensätzen sehen, und sind die Grundlage jeder Lead-Scoring- oder Workflow-Regel. Aus der Perspektive eines Regulators ist dies unkompliziertes Analytics-Tracking und erfordert Opt-in-Einwilligung in der EU und dem EWR. Im UK behandelt das ICO-Guidance von 2023 dies identisch.
Formulare und Chat
HubSpot-Formulare und das HubSpot-Chat-Widget (früher Drift-Integration) können so konfiguriert werden, dass sie unabhängig vom Haupt-Tracking-Skript geladen werden. Formularübermittlungen werden in den meisten rechtlichen Analysen als separate Verarbeitungsaktivität mit eigener Rechtsgrundlage betrachtet — typischerweise Vertragserfüllung oder berechtigtes Interesse. Chat, der Transkripte auf einem Drittanbieterserver aufzeichnet, erfordert jedoch in der Regel Einwilligung für die Aufzeichnung selbst.
Domainübergreifendes Identitätszusammenfügen
Wenn Sie dasselbe HubSpot-Portal über mehrere Domains hinweg verwenden, versucht das Snippet, Cookies so zu setzen und zu lesen, dass Besucher über diese Eigenschaften hinweg verknüpft werden. Das berührt das, was der EDPB als "Tracking" im strengen Sinne bezeichnet, und ist die höchste Risikokategorie. Es ist auch diejenige, die bei einer DPIA am wahrscheinlichsten markiert wird.
Marketing-Integrationen
HubSpot kann über seine Integrationen Ereignisse an Google Ads, Meta, LinkedIn und andere Werbenetzwerke senden. Jede dieser Weiterleitungen hat ihre eigene Einwilligungsanforderung und in der EU ihre eigene Datenübertragungsbewertung.
Nativer HubSpot-Banner vs. Drittanbieter-CMP
HubSpot wird mit einem eingebauten Cookie-Consent-Banner geliefert, den Sie unter Einstellungen > Datenschutz und Einwilligung aktivieren können. Es zeigt eine konfigurierbare Benachrichtigung an, protokolliert einen Einwilligungsdatensatz gegen den Kontakt und respektiert ein einzelnes Opt-out für Analytics. Für sehr kleine Organisationen, die in risikoarmen Jurisdiktionen tätig sind, kann das ausreichen. Für jeden, der Compliance ernst nimmt — oder wer Consent-Mode-bewusste Werbung schaltet — ist es nicht ausreichend.
Die Gründe für den Wechsel zu einer Drittanbieter-CMP sind praktischer Natur:
- Granulare Kategorien. Der native Banner trennt streng notwendige, funktionale, Analytics- und Marketing-Cookies nicht in separate Umschalter, was die Struktur ist, die Regulatoren erwarten.
- IAB TCF und GPP-Unterstützung. Wenn Sie an programmatischer Werbung teilnehmen, benötigen Sie eine Google-zertifizierte CMP, die einen gültigen TC-String ausgibt. Der native HubSpot-Banner tut dies nicht.
- Consent Mode v2. Google erfordert nun im v2-Format gelieferte Einwilligungssignale für EWR-Traffic. Eine dedizierte CMP verkabelt dies end-to-end, einschließlich der Default-Deny-Konfiguration.
- Mehrsprachigkeit und Barrierefreiheit. Die meisten CMPs werden mit 30+ Sprachpaketen und WCAG-konformen Standardeinstellungen geliefert. HubSpots eingebauter Banner ist eingeschränkter.
- Audit-taugliche Protokollierung. Eine dedizierte CMP erfasst jede Einwilligungsentscheidung mit Zeitstempel, Bannerversion und Auswahl — die Beweise, um die Regulatoren bei Ermittlungen bitten.
Schritt-für-Schritt-Integration mit einer Drittanbieter-CMP
Das Integrationsmuster, das zuverlässig funktioniert, besteht darin, den HubSpot-Snippet auf der Seite zu behalten, aber seine Ausführung zu verhindern, bis eine Einwilligungsentscheidung erfasst wurde. Nachfolgend finden Sie den kanonischen Ansatz, generisch geschrieben, sodass er für jede moderne CMP einschließlich FlexyConsent gilt.
1. Entfernen Sie den Standard-Snippet aus dem Dokumentkopf
Löschen Sie in Ihrer Website-Vorlage das Inline-<script>-Tag, das hs-scripts.com/{hub_id}.js lädt. Ersetzen Sie es durch einen Platzhalter, den Ihre CMP später aktivieren kann, typischerweise durch Setzen des type-Attributs auf text/plain und Hinzufügen eines Kategorie-Datenattributs wie data-category="marketing".
2. Ordnen Sie HubSpot der richtigen Einwilligungskategorie zu
Die meisten CMPs verwenden das IAB TCF oder ein Vier-Bereich-Modell: notwendig, funktional, Analytics, Marketing. HubSpots Tracking-Skript berührt sowohl Analytics- als auch Marketing-Kategorien wegen der CRM-Integration. Die konservative Zuordnung besteht darin, den gesamten Snippet hinter der Marketing-Kategorie zu sperren, die der restriktivste Bereich ist. Wenn Ihre CMP feinkörnige Zuordnung erlaubt, können Sie aufteilen: Formulare unter funktional laden, Analytics-Ereignisse unter Analytics laden und CRM-Identitätszusammenfügen unter Marketing laden.
3. Konfigurieren Sie den Aktivierungsrückruf
Ihre CMP stellt ein Ereignis oder einen Rückruf bereit, der ausgelöst wird, wenn ein Benutzer Einwilligung für eine Kategorie erteilt. In diesem Rückruf schreiben Sie das type-Attribut des Platzhalter-Script-Tags zurück auf text/javascript und hängen es an das Dokument an. Das Skript lädt und führt dann normal aus. Für eine SPA registrieren Sie den Rückruf bei jeder Routenänderung, damit auch neu eingebundene Seiten die Aktivierung erhalten.
4. Verkabeln Sie Consent Mode v2
Wenn Sie Google Ads oder GA4 zusammen mit HubSpot verwenden, muss Ihre CMP die v2-Einwilligungssignale — ad_storage, analytics_storage, ad_user_data, ad_personalization — in den dataLayer pushen, bevor ein Google-Tag feuert. HubSpot selbst verbraucht diese Signale nicht, aber der Rest Ihres Stacks tut es, und Inkonsistenz zwischen HubSpot und Google wird in Ihrer Berichterstattung als messbarer Umsatzrückgang sichtbar.
5. Synchronisieren Sie den Einwilligungsstatus in das HubSpot CRM
Wenn ein bekannter Kontakt seine Einwilligung aktualisiert (zum Beispiel durch erneutes Aufrufen des Banners und Widerruf der Marketing-Einwilligung), sollten Sie dies im HubSpot-Datensatz widerspiegeln, damit die Workflow-Logik aufhört, Marketing-E-Mails zu senden. Die HubSpot API stellt einen communication-preferences-Endpunkt bereit, der Aktualisierungen auf Abonnementebene akzeptiert. Die meisten CMPs können so konfiguriert werden, dass sie diesen Endpunkt über einen serverseitigen Hook aufrufen.
Häufige Fallstricke und wie man sie vermeidet
Drei Integrationsfehler sind für den Großteil der Audit-Befunde verantwortlich, die wir bei HubSpot-lastigen Stacks sehen.
Das Snippet zu früh laden
Einige Teams platzieren den HubSpot-Tag in einem Tag-Manager und nehmen an, dass der Tag-Manager die Einwilligung verwaltet. Google Tag Manager respektiert den Consent-Mode, aber nur für Tags, die explizit einen gewährten Status erfordern. Wenn der HubSpot-Tag ohne diese Anforderung konfiguriert ist, feuert GTM ihn unabhängig davon. Setzen Sie immer das Feld Zusätzliche Einwilligung auf dem Tag, um Marketing-Einwilligung vor dem Feuern zu erfordern.
Die Formular-Skripte vergessen
HubSpot-Formulare werden von einer separaten Domain (forms.hsforms.com) bereitgestellt und können mit ihrem eigenen Skript eingebettet werden. Wenn Sie den Haupt-Tracking-Snippet sperren, aber das Formular-Skript beim ersten Rendern laden lassen, haben Sie das Problem nicht wirklich gelöst — die Formularbibliothek setzt selbst identifizierende Cookies. Sperren Sie beide und lassen Sie die CMP sie zusammen laden.
Opt-out als Opt-in behandeln
HubSpots native Einstellungen beinhalten eine Do-Not-Track-Option und ein Ein-Klick-Opt-out. Einige Teams interpretieren diese als ausreichenden Mechanismus zur Einhaltung der DSGVO. Das sind sie nicht — die DSGVO erfordert eine positive Opt-in-Einwilligung für nicht unbedingt erforderliche Cookies, und ein auf einer Datenschutzseite verstecktes Opt-out-Kontrollkästchen erfüllt diesen Standard nicht. Machen Sie die CMP zur maßgeblichen Quelle des Einwilligungsstatus und konfigurieren Sie HubSpot, um ihr zu folgen.
Audit-bereite Dokumentation
Nachdem die technische Integration abgeschlossen ist, besteht der letzte Schritt darin sicherzustellen, dass Ihre Beweisspur einer Regulatoranfrage standhalten kann. Halten Sie mindestens einen Datensatz über: die Kategorien, denen Ihre CMP HubSpot zuordnet, die Consent-Bannerversion, die zu einem bestimmten Datum aktiv ist, Beispiel-TC-Strings, die eine gültige Einwilligung zeigen, und die API-Protokolle, die belegen, dass HubSpot keinen Tracking-Aufruf vor der Einwilligung ausgelöst hat. Die meisten Durchsetzungsmaßnahmen scheitern nicht an der Technologie, sondern an der Dokumentation — Organisationen, die einen klaren Dokumentationspfad vorweisen können, lösen Ermittlungen typischerweise viel schneller als diejenigen, die das nicht können. Eine Consent-Management-Plattform, die diese Artefakte auf Abruf exportiert, verwandelt das Audit von einer wochenlangen Hektik in eine Nachmittags-Antwort.