Pipedrive und der Datenschutz (DSGVO) Stand März 2025

Einige unserer Pipedrive-Schützlingen haben sehr strenge Datenschutzbeauftragte. Und jetzt Achtung, Spoiler: Bisher hat jeder Pipedrive durchgewunken. Nicht immer ganz ohne Diskussion, aber den Datenschutz und die DSGVO ernst zu nehmen ist ja auch ihr Job.

Zunächst müssen wir einmal unterscheiden zwischen:

  1. Was brauchen Sie, um mit Pipedrive zu arbeiten?
  2. Was dürfen Sie mit den Daten im CRM machen?

Dazu empfehlen wir Ihnen diese Videos. Natürlich können wir damit keine individuelle Rechtsberatung damit ersetzen, aber Sie bekommen vielleicht ein Gefühl dafür, was Sie ihren Datenschutzbeauftragten wirklich fragen müssen.

Was muss ich mir aus DSGVO-Sicht beachten, bevor ich mit Pipedrive zu arbeiten beginne?

Dr. Thomas Schulte

Rechtsanwalt

www.dr-schulte.de

Welche Daten darf ich in Pipedrive abspeichern und was darf ich damit machen?

Hauke Gerdey

Senior Consultant

www.datenschutzexperte.de

Hier finden Sie alle Dokumente, die Pipedrive zum Thema Datenschutz und DSGVO anbietet.

Wichtig für die DSGVO: Vertragspartner Pipedrive OÜ innerhalb der EU

Ganz grundsätzlich: Vertragspartner für alle EU-Kunden die Estländische Pipedrive OÜ. Und jetzt sicherheitshalber: Ja, Estland gehört auch zur EU und muss sich somit auch an die gemeinschaftlichen Datenschutzbestimmungen halten. Unter diesem Link finden Sie einen Beitrag von Pipedrive grundsätzlich zum Thema.
Und da ist ein Whitepaper mit einer Menge Informationen:

White Paper „Security & Privacy“ vom 28.8.2019Herunterladen

Pipedrive AVV: Die Auftragsverarbeitungsvereinbarung

Auf jeden Fall brauchen Sie einen (vorunterschriebenen) Auftragsverarbeitungsvertrag inkl. TOMs (Technical and Organizational Measures) und Unterauftragsverarbeiter (Sub-Processors – siehe auch hier):

Das war früher die Auftragsdatenverarbeitungsvereinbarung (ADV).

Außerdem noch wichtig für den Datenschutz

Nutzungsbedingungen und Drittanbieterverzeichnis

Pipedrive selbst verweist in Hinblick auf die DSGVO immer wieder auf seine Nutzungsbedingungen. Dort finden Sie auch die TOMs (technische und organisatorische Maßnahmen) und das Drittanbieterverzeichnis:
https://www.pipedrive.com/en/terms-of-service (Stand: 17. Januar 2025)

https://www.pipedrive.com/en/subprocessors (Stand: 17. März 2025)

Ergänzende Nutzungsbedingungen“ gibt es für spezielle Funktionen oder AddOns:

https://www.pipedrive.com/en/terms-of-service-supplemental-terms (Stand: 17. Januar 2025)

Diese Zusatzfunktionen haben zusätzliche Nutzungsbedingungen:

  • Campaigns (Newsletter)
  • Leadbooster (Chatbot, Livechat, Prospektor, Webformulare)
  • Webbesucher
  • Smart Docs (Dokumentenerstellung)
  • Projects
  • KI-Funktionen

Datenschutzrichtlinien

Ebenfalls wichtig sind die Datenschutzrichtlinien:
https://www.pipedrive.com/en/privacy (Stand: 4. September 2024)

DORA

Arbeiten Sie bei einem Finanzunternehmen? Dann ist DORA (Digital Operational Resilience Act (Regulation (EU) 2022/2554)) für Sie relevant:

https://www.pipedrive.com/en/legal/dora

DORA ist ein EU-Gesetz, das sicherstellt, dass Finanzunternehmen besser gegen digitale Risiken geschützt sind und ihre IT-Dienstleister strenger überwachen. Für Pipedrive ist das wichtig, da einige Kunden Finanzunternehmen sind und sicherstellen müssen, dass ihre genutzten Softwareanbieter DORA-konforme Sicherheitsstandards erfüllen. Pipedrive hat spezielle Regelungen eingeführt, um den Anforderungen gerecht zu werden, wie die Gewährleistung von IT-Sicherheit, Benachrichtigung bei Störungen und Zusammenarbeit mit Aufsichtsbehörden.

Einbindung von Pipedrive in die Datenschutzerklärung

Beispieltext für die Datenschutzerklärung

Wenn Sie Daten von der Website über die Webformulare direkt in Pipedrive spielen oder die Web Prospector-Funktion verwenden, sollten Sie ihre Websitebesucher in der Datenschutzerklärung darüber informieren. Hier ist ein Textvorschlag, den Sie aber noch von Ihrem Datenschutzbeauftragten prüfen lassen sollten. Sicherheitshalber: Wir können für die Richtigkeit und Vollständigkeit keine Haftung übernehmen.

Pipedrive

Wir nutzen Pipedrive als unser CRM-Tool zur Verarbeitung und Speicherung der Kontaktdaten.

Bei der Kontaktaufnahme mit uns (per Kontaktformular oder E-Mail) werden die Angaben des Nutzers zur Bearbeitung der Kontaktanfrage und deren Abwicklung gem. Art. 6 Abs. 1 lit. b) DSGVO verarbeitet. Um Ihr  Anliegen und Nachrichten schnellstmöglich bearbeiten und beantworten zu können, verwenden wir Kontaktformulare unseres Customer-Relationship-Management -Tool (“CRM-Tool”) Pipedrive. Die bei dem Ausfüllen des Formulars übermittelten Daten werden an Pipedrive gesendet und dort auf Servern von Pipedrive gespeichert.

Wir setzen das CRM-System Pipedrive des Anbieters Pipedrive OÜ auf Grundlage unserer berechtigten Interessen (effiziente und schnelle Bearbeitung von Nutzeranfragen, Bestandskundenmanagement, Neukundengeschäft) ein.

Pipedrive OÜ ist eine haftungsbeschränkte Firma nach estnischer Gesetzgebung (EU) mit der Anschrift Mustamäe tee 3a, 10615 Tallinn, Estland, registriert im Estonian Commercial Register unter dem Code 11958539. Die Datenschutzerklärung von Pipedrive können Sie hier abrufen: https://www.pipedrive.com/en/privacy.

Bis hier her sollten Sie sich die Daten irgendwo abspeichern. Alles was ab jetzt kommt, dient mehr oder weniger zur Information.

Hosting und Datensicherung bei AWS in Frankfurt

Gut zu wissen ist auch, dass Pipedrive seine Daten für Kunden mit einer deutschen IP-Adresse bei AWS (Amazon Web Service)  in Deutschland hostet (Frankfurt). Daneben gibt es für EU-Länder noch Server in Stockholm und in Dublin. Für EMEA-Länder, die NICHT in der EU sind, werden die Daten in London gehostet. Und der Vollständigkeit halber: Für US-Firmen gibt es eine Server in US East und einen in US West.

Und auch die Sicherung der Daten passiert dort täglich.

Mehr zum Thema Datensicherheit finden sie hier, wie zum Beispiel auch wie Pipedrive mit Backups umgeht:
https://support.pipedrive.com/hc/de/articles/206760639-Wie-sicher-sind-meine-Daten-in-Pipedrive-

Und wenn Sie es ganz genau wissen wollen: Fragen Sie uns gerne! Wenn Ihr Account uns zugeordnet ist, bekommen wir diese Information für Sie.

Pipedrives Sicherheitszertifizierungen

Pipedrive ist ISO zertifiziert, und zwar nach der internationalen Norm ISO/IEC 27001 für Informationstechnik, genau genommen für IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen.

ISO/IEC 27001 2013 Certificate PipeDrive – Stand 15. Nov. 2023

Außerdem ist Pipedrive nach SOC2 und SOC3 zertifiziert. Damit wird bestätigt, dass die Sicherheit der Prozesse, Server und Daten vollständig mit allen Richtlinien und Vorschriften konform ist, die vom American Institute of Certified Public Accountants (AICPA) festgesetzt wurden.

Pipedrive-SOC2-Type-2-Certificate-2019 herunterladen
Pipedrive-SOC3-Certificate-2019 herunterladen

Die richtigen Einstellungen IN Pipedrive

Sie sollten noch an Ihrer Einstellung arbeiten. Also genau genommen an den Einstellungen ihrer Mails. Pipedrive bietet noch die Möglichkeit, das Verhalten ihrer Email-Empfänger zu tracken. In 2 Ausformungen:

  1. Öffnen der Emails
  2. Klick auf Links

Beides ist im Vertrieb natürlich super praktisch. Ob es datenschutzkonform ist, ist aber eine ganz andere Frage. Ihre Mailempfänger müssen nämlich theoretisch wissen können, welche Informationen Sie über sie abspeichern. Am besten Sie fragen Ihren Datenschutzbeauftragten, wie Sie das binbekommen. Wenn Sie auf Nummer sicher gehen wollen, deaktivieren Sie diese Optionen:

Datenschutz bei Emails

Fragen zum Datenschutz oder der DSGVO zu Pipedrive?

Sollte Ihnen dies Informationen nicht ausreichen, können Sie sich gerne an den Data Protection Officer von Pipedrive Juan Martin Sanchez und sein Team wenden. Sie erreichen Sie unter dpo@pipedrive.com.

Eigene ADV’s unterschreiben die Kollegen aber normaler Weise nicht. Das würde laut ihren Aussagen ihre Kapazitäten sprengen. Verstehe ich auch. Fragen Sie einmal bei Microsoft, ob die das für Ihr Online-Excel machen würden 😉

Die letzten Änderungen

From April 14, 2025, Pipedrive will add two new sub-processors: Forge Technology, Inc. (Paragon) and RightBound Inc.

  • Forge Technology, Inc. (Paragon): Embedded iPaaS (integration platform as a service) used to build integrations for certain Marketplace apps marked, accordingly.
  • RightBound, Inc.: Service provider for the data enrichment feature.

From March 17, 2025, Pipedrive will add Fullview ApS as a sub-processor. This tool will be used by customer support for screen sharing and co-browsing to help resolve customer issues.

9.9.2024: LeadBooster feature supplemental terms
We’ve updated the LeadBooster feature supplemental terms which govern the use of the LeadBooster feature for all of our users. We’ve clarified the roles of Clients and Cognism and reflected these change in the Terms. You can review the updated LeadBooster feature supplemental terms here.

Changes in subprocessors
As part of our continuing commitment to data protection compliance, we’ve updated our subprocessors list:

  • Twilio, Inc. Twilio has been removed as it was the third-party service provider for the Caller feature, which has now been sunsetted.
  • Cognism. Cognism has been removed because it defines itself as a data controller, meaning that Pipedrive facilitates data exchange between two data controllers: Cognism and the Client. This has also been reflected in the LeadBooster supplemental terms mentioned above.
  • Rackspace GmbH. Rackspace’s new role is such that Pipedrive no longer uses it for hosting and CDN services; they now provide support services for AWS.
  • OpenAI. We specify that our contract is with OpenAI Ireland Limited, rather than Open AI LLC

We’ve also standardized the terminology used to align with our other legal documents.