Ein bayerisches Mittelstandsunternehmen automatisiert seine E-Mail-Kampagnen mit Mailchimp. Die Marketing-Leiterin ist zufrieden – bis das Bayerische Landesamt für Datenschutzaufsicht im März 2021 ein Urteil fällt: Mailchimp ist nicht zu 100 Prozent DSGVO-konform, da personenbezogene Daten in die USA übermittelt werden. Bußgeld.
Der Fall ist kein Einzelfall. Marketing-Teams stehen vor einem Dilemma: Die leistungsstarken US-Tools versprechen Effizienz, die strengen europäischen Datenschutzregeln verlangen Compliance. Dazwischen liegt ein Risiko, das viele Unternehmen unterschätzen.
Das Datenschutzproblem amerikanischer Plattformen
Der Europäische Gerichtshof kippte im Juli 2020 das Privacy Shield, das Datenschutzabkommen zwischen EU und USA. Seitdem bewegt sich der Datentransfer über den Atlantik in einer rechtlichen Grauzone. US-Anbieter wie Mailchimp, HubSpot oder ActiveCampaign speichern Daten teils auf amerikanischen Servern – selbst wenn sie EU-Rechenzentren betreiben.
Das Problem: Der US Cloud Act erlaubt es amerikanischen Behörden, auf diese Daten zuzugreifen, auch wenn sie in Europa gespeichert sind. Standardvertragsklauseln sollen das abfedern, doch Juristen warnen: Die Rechtssicherheit ist begrenzt.
Für mittelständische Unternehmen bedeutet das ein kalkulierbares Risiko. DSGVO-Verstöße können mit Bußgeldern bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden.
Europäische Alternativen im Vergleich
Brevo (ehemals Sendinblue) aus Frankreich positioniert sich als DSGVO-konforme Alternative. Der Hauptsitz liegt in Paris, die Server stehen in Deutschland. Die deutsche Tochtergesellschaft Sendinblue GmbH sitzt in Berlin. Alle Daten verbleiben in der EU.
Das Tool bietet E-Mail-Marketing, Marketing Automation, SMS-Kampagnen und ein integriertes CRM. Die Preise starten bei 19 Euro monatlich für 20.000 E-Mails im Lite-Tarif. Der Premium-Tarif mit erweiterter Automation kostet für dasselbe Volumen deutlich weniger als vergleichbare US-Tools.
Die Zustellbarkeitsrate liegt laut Encharge bei 89,1 Prozent (2025). Brevo ist CSA-zertifiziert (Certified Senders Alliance) – eine wichtige Whitelist für den europäischen Markt. Mails werden von deutschen E-Mail-Providern nicht automatisch als Spam gefiltert.
HubSpot bietet als US-Anbieter ebenfalls DSGVO-konforme Nutzung an – mit Auflagen. Server stehen teilweise in Deutschland, doch das Unternehmen unterliegt amerikanischem Recht. Der Auftragsverarbeitungsvertrag muss separat abgeschlossen werden. Die Preise für den Marketing Hub Professional starten bei 880 Euro monatlich plus Onboarding-Gebühr.
Für kleinere Teams ist der Preissprung hoch: Das kostenlose HubSpot CRM bietet nur rudimentäre Automation. Marketing Automation benötigt mindestens den Professional-Plan. Brevo bietet bereits ab 19 Euro umfassende Workflows.
Der EU AI Act kommt
Ab August 2024 regelt der EU AI Act den Einsatz von KI-Systemen europaweit. Marketing Automation mit KI-Elementen – etwa automatisierte Segmentierung, Profiling oder Lead-Scoring – fällt unter die neuen Regeln.
Der Ansatz ist risikobasiert. Marketing-KI wird meist als „geringes Risiko“ eingestuft, doch Transparenzpflichten gelten trotzdem. Artikel 22 DSGVO bleibt relevant: Vollautomatisierte Entscheidungen über Kundenansprache ohne menschliche Prüfung erfordern besondere Rechtfertigung.
Für Unternehmen bedeutet das: Dokumentationspflicht. Welche Daten fließen in die Automation? Welche Algorithmen werden genutzt? Wer kann Entscheidungen überprüfen?
Europäische Anbieter haben hier strukturelle Vorteile. Sie entwickeln unter EU-Recht, ihre Systeme sind von Anfang an auf Compliance ausgelegt. US-Tools müssen nachträglich angepasst werden.
Praxis-Checkliste: DSGVO-konforme Marketing Automation
Vor dem Einsatz eines Marketing-Automation-Tools sollten Unternehmen diese Punkte prüfen:
Anbieter-Compliance:
- Serverstandort in der EU?
- Unternehmenshauptsitz in Europa?
- AVV (Auftragsverarbeitungsvertrag) verfügbar?
- Keine Datennutzung zum Training von KI-Modellen?
- Transparente Dokumentation der Datenflüsse?
Technische Maßnahmen:
- Verschlüsselung bei Übertragung und Speicherung?
- Zwei-Faktor-Authentifizierung möglich?
- Logging aller Zugriffe?
- Klare Löschkonzepte für Altdaten?
- ISO-Zertifizierung vorhanden?
Rechtliche Absicherung:
- Double Opt-in für alle E-Mail-Kontakte?
- Dokumentation der Einwilligungen?
- Information über automatisierte Prozesse (Art. 22 DSGVO)?
- Menschliche Überprüfung bei kritischen Entscheidungen?
- Datenschutzerklärung aktualisiert?
Workflow-Design:
- Datenminimierung: Nur notwendige Daten erfassen?
- Zweckbindung: Daten nur für definierte Zwecke nutzen?
- Profiling dokumentiert und gerechtfertigt?
- Automatisierungsgrad klar gekennzeichnet?
- Regelmäßige Audits geplant?
Die Kostenfrage
Brevo Standard-Plan (bis 20.000 E-Mails/Monat): 19 Euro HubSpot Marketing Hub Professional: ab 880 Euro plus Onboarding Mailchimp Standard (bis 6.000 Kontakte): circa 60 Dollar ActiveCampaign Plus (ab 1.000 Kontakte): ab 49 Dollar
Der Preisunterschied ist erheblich. Für ein mittelständisches Unternehmen mit 15.000 Kontakten kostet HubSpot mehr als das 40-Fache von Brevo – bei vergleichbarer Automation-Funktionalität.
Die Rechnung ändert sich, wenn CRM, Sales und Service integriert werden sollen. Hier bietet HubSpot als All-in-One-Plattform Vorteile. Doch für reines E-Mail-Marketing und Automation sind die europäischen Alternativen wirtschaftlicher.
Ausblick: NIS2 und verschärfte Sicherheit
Die NIS2-Richtlinie zur Netzwerk- und Informationssicherheit tritt 2025 in Kraft. Auch Marketing-Automationen werden Teil der Unternehmens-IT-Sicherheit. Monitoring-Pflichten, Incident-Reporting, Lieferkettensicherheit – die Anforderungen steigen.
n8n, eine Open-Source-Automationsplattform aus Deutschland, zeigt den Trend: Volle Kontrolle über Datenflüsse, selbst gehostet, EU-konform. Unternehmen können Workflows lokal betreiben, ohne externe Abhängigkeiten.
Das Urteil
Für europäische KMUs sind Brevo, CleverReach oder rapidmail die logischere Wahl gegenüber Mailchimp oder ActiveCampaign. Niedrigere Kosten, höhere Rechtssicherheit, bessere Zustellbarkeit im DACH-Raum.
HubSpot bleibt relevant für große Marketing-Operationen, die Sales, Service und CMS integrieren wollen – wenn Budget vorhanden ist und Datenschutz-Teams die Konfiguration prüfen.
Die Frage ist nicht mehr „funktioniert das Tool gut“, sondern „können wir es rechtssicher betreiben“. Und bei dieser Frage haben europäische Anbieter die Nase vorn.
Das Bayerische Landesamt hat es vorgemacht: Compliance ist kein optionales Extra mehr. Es ist Grundvoraussetzung.