EU MarTech Comparison 2026: HubSpot vs Marketo vs Salesforce vs Oracle vs Microsoft — GDPR & CLOUD Act Risk Matrix
Post #6 in der sota.io EU MarTech Serie — Das Finale
Die EU-MarTech-Landschaft 2026 stellt Marketing-Teams und Datenschutzbeauftragte vor eine fundamentale Entscheidung: Fünf der weltweit meistgenutzten Marketing-Automation-Plattformen — HubSpot, Marketo, Salesforce Marketing Cloud, Oracle Eloqua und Microsoft Dynamics 365 — sind allesamt unter US-amerikanischer Jurisdiktion und damit dem CLOUD Act (18 U.S.C. § 2713) unterworfen. Das bedeutet: US-Behörden können unter bestimmten Umständen Zugriff auf Kundendaten fordern, unabhängig davon, wo die Daten physisch gespeichert sind.
Diese Serienfinale-Analyse fasst die Erkenntnisse aus unseren sechs Einzelbewertungen zu einem umfassenden GDPR-Compliance-Leitfaden zusammen — mit klaren Empfehlungen für europäische Unternehmen.
Die EU-MARTECH-Serie im Überblick
In den vergangenen Wochen haben wir jede der fünf großen US-Marketing-Automation-Plattformen einzeln analysiert:
- HubSpot Marketing Hub — HubSpot Inc., Cambridge MA / Delaware Corp, NYSE:HUBS. GDPR Risk Score: 16/25.
- Marketo (Adobe Experience Cloud) — Adobe Inc., San Jose CA / Delaware Corp, NASDAQ:ADBE. GDPR Risk Score: 17/25. Marketo $4,75 Mrd. Akquisition 2018.
- Salesforce Marketing Cloud — Salesforce Inc., San Francisco CA / Delaware Corp, NYSE:CRM. GDPR Risk Score: 18/25.
- Oracle Eloqua — Oracle Corporation, Austin TX / Delaware Corp, NYSE:ORCL. GDPR Risk Score: 19/25. Eloqua $871 Mio. Akquisition 2012.
- Microsoft Dynamics 365 Marketing — Microsoft Corporation, Redmond WA / Washington State Corp, NASDAQ:MSFT. GDPR Risk Score: 17/25. EU Data Boundary (EUDB) seit Januar 2023.
Die CLOUD Act Problematik — Warum alle fünf betroffen sind
Was ist der CLOUD Act?
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018, 18 U.S.C. § 2713) verpflichtet US-Unternehmen, auf Anfrage von US-Strafverfolgungsbehörden Daten herauszugeben — unabhängig davon, in welchem Land diese Daten gespeichert sind. Dies gilt für alle US-Persons, definiert als:
- US-Staatsbürger und Permanent Residents
- Unternehmen, die nach US-Recht gegründet wurden (inklusive Delaware Corps und Washington State Corps)
- Unternehmen mit principal place of business in den USA
Warum EU-Datenspeicherung nicht schützt
Ein häufiger Irrtum: "Wenn meine Daten in der EU gespeichert sind (Frankfurt, Dublin, Amsterdam), bin ich CLOUD-Act-geschützt." Das ist falsch.
Der CLOUD Act knüpft an den Unternehmens-Status an, nicht an den physischen Speicherort der Daten. Ein Delaware Corp mit EU-Rechenzentren bleibt ein US-Person und muss US-Behördenanfragen nachkommen.
Bemerkenswert: Der US v. Microsoft Corp (2018) Supreme Court-Fall — in dem Microsoft erfolgreich argumentierte, dass US-Behörden keine Daten aus irischen Servern anfordern konnten — wurde durch den CLOUD Act explizit neutralisiert. Das Gesetz wurde als direkte Reaktion auf dieses Urteil verabschiedet.
GDPR Risk Matrix 2026 — Alle Plattformen im Vergleich
Unsere 5-dimensionale GDPR Risk Matrix bewertet jede Plattform auf einer Skala von 1 (niedriges Risiko) bis 5 (sehr hohes Risiko) in den folgenden Dimensionen:
| Dimension | Beschreibung |
|---|---|
| CLOUD Act Exposure | Direkte Jurisdiktion / Konzernstruktur |
| Datentransfer-Risiko | SCCs, Adequacy, SCC-Lücken |
| Einwilligungs-Management | Art. 7 DSGVO — Consent-Audit-Trail |
| Sub-Prozessor-Transparenz | Art. 28 DSGVO — vollständige Sub-Prozessor-Liste |
| Behörden-Anfragen-Transparenz | Transparenzbericht, Benachrichtigungsrichtlinie |
Vollständige Risk Matrix
| Plattform | CLOUD Act | Datentransfer | Einwilligung | Sub-Prozessoren | Behörden | Total |
|---|---|---|---|---|---|---|
| HubSpot | 4 | 3 | 3 | 3 | 3 | 16/25 |
| Marketo (Adobe) | 4 | 4 | 3 | 3 | 3 | 17/25 |
| Salesforce MC | 4 | 4 | 4 | 3 | 3 | 18/25 |
| Oracle Eloqua | 5 | 4 | 3 | 4 | 3 | 19/25 |
| Microsoft D365 | 4 | 3 | 3 | 4 | 3 | 17/25 |
| Brevo (FR) | 1 | 1 | 2 | 1 | 1 | 6/25 |
| Emarsys (SAP DE) | 1 | 1 | 1 | 1 | 1 | 5/25 |
| Evalanche (DE) | 1 | 1 | 1 | 1 | 1 | 5/25 |
Interpretation:
- 16-19/25 (US-Plattformen): Hohes bis sehr hohes GDPR-Risiko. Für Unternehmen mit besonders sensiblen Daten (Gesundheit, Finanzen, B2C-Massenmarketing) kritisch zu bewerten.
- 5-6/25 (EU-native Plattformen): Niedriges Risiko. Kein CLOUD Act, DSGVO-Compliance by Design.
Detailanalyse: Was unterscheidet die fünf US-Plattformen?
HubSpot Marketing Hub — 16/25 (Niedrigstes US-Risiko)
Positiv: HubSpot bietet eine vergleichsweise transparente Sub-Prozessor-Liste und gibt Kunden Kontrolle über das Consent Management. Die Cambridge-MA-Herkunft mit Delaware-Gründung ist klar, aber die Konzernstruktur ist weniger komplex als Oracle oder Salesforce.
Kritisch: HubSpot Inc. ist eine börsennotierte Delaware Corp (NYSE:HUBS). Der CLOUD Act gilt vollumfänglich. Die "EU-kompatiblen" Features sind Compliance-Bemühungen innerhalb eines US-Jurisdiktion-Rahmens.
Typischer Anwendungsfall: KMU, SaaS-Unternehmen, B2B-Marketing. Bei sensiblen Branchen (Fintech, Health) oder B2C-Massenmarketing mit Art. 6(1)(a)-Basis: erhöhte Prüfung erforderlich.
Marketo (Adobe Experience Cloud) — 17/25
Positiv: Adobe investiert erheblich in EU-Compliance-Features (Adobe Experience Manager mit EU-Datenresidenz-Optionen). Die Marketo-Integration in Adobe Creative Cloud ermöglicht kohärente Datenflusskontrolle.
Kritisch: Adobe Inc. ist eine San-Jose-CA / Delaware Corp (NASDAQ:ADBE). Die Marketo-Übernahme für $4,75 Mrd. (2018) brachte erhebliche technische Schuld mit sich — Legacy-Marketo-Systeme laufen teilweise noch auf US-Infrastruktur. Das Datentransfer-Risiko ist erhöht (Score 4/5) wegen der Adobe-Konzernstruktur mit 100+ Sub-Prozessoren weltweit.
Typischer Anwendungsfall: Enterprise B2B, Content-Marketing-Teams mit Creative-Cloud-Integration.
Salesforce Marketing Cloud — 18/25
Kritisch: Salesforce Inc. ist eine San-Francisco-CA / Delaware Corp (NYSE:CRM) mit einer der komplexesten Konzernstrukturen im CRM-Bereich. Salesforce hat durch Akquisitionen (ExactTarget 2013 für $2,5 Mrd., MuleSoft 2018, Tableau 2019, Slack 2021) zahlreiche Systeme integriert — jedes mit eigenem Sub-Prozessor-Netzwerk.
Besonderheit: Die Einwilligungs-Management-Infrastruktur (Score 4/5) ist historisch gewachsen und kann für Compliance-Auditoren komplex zu dokumentieren sein. Marketing Cloud Engagement (ehem. Exact Target) und Marketing Cloud Account Engagement (ehem. Pardot) sind technisch unterschiedliche Systeme mit unterschiedlichen Sub-Prozessoren.
Typischer Anwendungsfall: Enterprise, Salesforce-CRM-Kunden, Omnichannel-Marketing.
Oracle Eloqua — 19/25 (Höchstes US-Risiko)
Kritisch: Oracle Corporation (NYSE:ORCL, Delaware Corp, Austin TX) hat das höchste GDPR-Risiko in unserer Analyse aus mehreren Gründen:
- Komplexeste Sub-Prozessor-Struktur (Score 5/5 CLOUD Act): Oracle als US-Bundesbehörden-Cloud-Anbieter (Oracle Cloud Infrastructure Government) hat eine besonders enge institutionelle Beziehung zu US-Strafverfolgungsbehörden — was den CLOUD Act-Druck erhöht.
- Eloqua Legacy-Architektur: Die $871 Mio.-Akquisition 2012 bedeutet, dass Eloqua auf Oracle-Cloud-Infrastruktur migriert wurde, aber die ursprüngliche Eloqua-Architektur noch sichtbar ist. Sub-Prozessoren aus dem Pre-Oracle-Zeitalter können schwerer kontrolliert werden.
- Behörden-Anfragen (Score 3/5): Oracle veröffentlicht Transparency Reports, aber mit geringerer Detailtiefe als HubSpot oder Salesforce.
Typischer Anwendungsfall: Enterprise B2B, Oracle-CRM-Kunden (Oracle Fusion CX-Suite), komplexe Lead-Management-Prozesse.
Microsoft Dynamics 365 Marketing (Customer Insights - Journeys) — 17/25
Besonderheit: Microsoft ist der einzige der fünf Anbieter, der keine Delaware Corp ist — Microsoft Corporation ist eine Washington State Corporation (Redmond, WA). Wie in unserer Einzelanalyse gezeigt: Das ändert nichts am CLOUD Act-Risiko. 18 U.S.C. § 2713 knüpft an den US-Person-Status an, nicht an den Einschreibungs-Bundesstaat.
Positiv: Das EU Data Boundary (EUDB)-Programm (eingeführt Januar 2023) ist die ambitionierteste EU-Datenschutz-Initiative eines US-Tech-Unternehmens. EUDB schützt vor versehentlichem Datentransfer in die USA. Es schützt nicht vor dem CLOUD Act — denn CLOUD Act-Anfragen sind keine "Transfers" im technischen Sinne, sondern behördliche Zugriffsbefehle.
Positiv (Sub-Prozessoren, Score 4/5): Microsoft veröffentlicht detaillierte Online Services Sub-Processor Listen und aktualisiert diese monatlich — vorbildlich.
Typischer Anwendungsfall: Microsoft-365-Unternehmensumgebungen, hybride Dynamics-365-CX-Setups.
Die drei EU-nativen Alternativen ohne CLOUD Act
Brevo (SAS Paris, Frankreich) — 6/25
Rechtsform: SAS (Société par Actions Simplifiée) — französische Kapitalgesellschaft. Gegründet 2012 als "SendinBlue", umbenannt 2023. Profitable ohne US-VC-Abhängigkeit.
Regulierung: Untersteht der CNIL (Commission Nationale de l'Informatique et des Libertés), der französischen Datenschutzbehörde. Kein CLOUD Act. Keine FISA 702-Exposition.
Stärken:
- Vollständige Marketing-Automation-Suite inkl. Email, SMS, WhatsApp, CRM, Landing Pages
- Transparentes Pricing ab €25/Monat (Starter mit 20.000 E-Mails/Monat)
- API-first mit umfangreicher Dokumentation
- DSGVO-konforme Double-Opt-In-Workflows as Default
- Migrationshilfe von HubSpot/Marketo/Mailchimp
Einschränkungen: Weniger Enterprise-Features als HubSpot Enterprise oder Marketo. Für komplexe B2B-Marketingautomation mit 50+ Workflow-Verzweigungen empfehlen wir Emarsys.
Am besten für: KMU, E-Commerce, B2C-Marketing, Newsletter-Publisher, SaaS mit EU-Fokus.
Emarsys (SAP SE, Walldorf, Deutschland) — 5/25
Rechtsform: SAP SE (Societas Europaea), Walldorf, Baden-Württemberg. SAP Emarsys Customer Engagement als Produktmarke seit der SAP-Übernahme 2020 ($700 Mio.). Emarsys entstammt Wien (Emarsys eMarketing Systems AG, gegründet 2000).
Regulierung: SAP SE untersteht deutschem Gesellschaftsrecht und EU-Datenschutzrecht. Kein CLOUD Act — SAP SE ist keine US-Person. SAP America Inc. ist eine US-Tochtergesellschaft; Datenprozessing läuft bei SAP SE.
Stärken:
- Enterprise-grade Marketing Automation mit AI-Personalisierung
- Omnichannel-Kampagnen: Email, Mobile, Web, Social, In-store
- Nahtlose SAP-Integration (SAP Commerce Cloud, SAP Customer Data Platform)
- BSI-zertifizierte Rechenzentren in Deutschland und EU
- Verarbeitungsvertrag nach Art. 28 DSGVO als Standard
Einschränkungen: Pricing ist Enterprise-only (keine öffentlichen Preise, ab ca. €2.000/Monat). Erfordert SAP-Expertise für optimale Integration.
Am besten für: Enterprise B2C-Retailer, Telekommunikation, Versicherungen, SAP-Bestandskunden.
Evalanche (SC-Networks GmbH, Haar bei München) — 5/25
Rechtsform: SC-Networks GmbH, Haar bei München — inhabergeführte deutsche GmbH. Evalanche als SaaS-Plattform seit 2000. Keine US-Investoren, kein börsennotiertes Mutterunternehmen.
Regulierung: Deutsches GmbH-Recht, EU-Datenschutzrecht. BSI-C5-Testat (Cloud Computing Compliance Criteria Catalogue) — der strengste europäische Cloud-Sicherheitsstandard. KEIN CLOUD Act, keine US-Konzernexposition.
Stärken:
- Vollständige Marketing-Automation inkl. Leadmanagement, Scoring, Multi-Step-Workflows
- Integriertes CMS für Landing Pages und Formulare
- DSGVO-konforme Consent-Management-Plattform mit granularer Einwilligungsdokumentation
- Deutschsprachiger Support mit direktem Ansprechpartner
- BSI-C5-Testat als Nachweis für besonders sicherheitskritische Branchen
Einschränkungen: Weniger internationale Integrationen als HubSpot. Primär DACH-Markt optimiert.
Am besten für: Deutsche Mittelständler, KRITIS-Unternehmen, Behörden, Finanzdienstleister, Gesundheitswesen.
Entscheidungsmatrix: Welche Plattform für wen?
| Anforderung | Empfehlung | Begründung |
|---|---|---|
| Maximale DSGVO-Compliance + Niedrigstes CLOUD Act-Risiko | Evalanche / Emarsys | Beide 5/25, BSI-C5, kein US-Bezug |
| KMU + schnelle Migration von Mailchimp/HubSpot | Brevo | Einfachste API, niedrigster Preis, CNIL-reguliert |
| Enterprise + SAP-Integration | Emarsys (SAP SE) | Nahtlose SAP-Integration, Enterprise-grade Automation |
| Microsoft-365-Umgebung, kein Wechselwille | Microsoft Dynamics 365 Marketing | EUDB hilft, CLOUD Act-Risiko dokumentieren und risk-akzeptieren |
| Salesforce-CRM-Kunden, EU-Migration nicht kurzfristig möglich | Salesforce Marketing Cloud | Niedrigstes Risiko aus US-Salesforce-Stack — aber kein Ersatz für EU-native |
| KMU + möchte Brevo aber braucht mehr Features | HubSpot Marketing Hub (Free/Starter) | Niedrigstes US-GDPR-Risiko, aber CLOUD-Act-Exposition weiterhin vorhanden |
GDPR-Compliance-Checkliste für Marketing-Automation-Plattformen
Unabhängig von der Plattformwahl sollten Datenschutzbeauftragte diese Checkliste vor Einsatz einer Marketing-Automation-Plattform abarbeiten:
1. Rechtsgrundlage dokumentieren (Art. 6 DSGVO)
- Einwilligung (Art. 6(1)(a)) mit vollständigem Audit-Trail
- Berechtigtes Interesse (Art. 6(1)(f)) mit Interessenabwägungstest (LIA)
- Vertragserfüllung (Art. 6(1)(b)) für transaktionale E-Mails
2. Auftragsverarbeitungsvertrag abschließen (Art. 28 DSGVO)
- DPA/AVV vom Anbieter anfordern und prüfen
- Sub-Prozessor-Liste vollständig (alle relevanten Drittanbieter)
- Auditing-Recht und Sicherheitsmaßnahmen dokumentiert
3. Drittlandtransfers absichern (Art. 44-49 DSGVO)
- Welche Daten werden in welche Länder transferiert?
- Standard-Vertragsklauseln (SCCs, 2021er-Fassung) vorhanden?
- Transfer Impact Assessment (TIA) nach Schrems II durchgeführt?
4. CLOUD Act Risikoanalyse
- Ist der Anbieter ein US-Person (Delaware Corp, US-Mutterkonzern)?
- Welche Behörden könnten Zugriff anfordern (FBI, DOJ, NSA via FISA 702)?
- Hat der Anbieter eine Warrant Canary / Transparency Report?
- Ist das Risiko für unsere Datenkategorien akzeptabel?
5. Consent Management (Art. 7 + ePrivacy-Richtlinie)
- Double-Opt-In als Standard für Newsletter
- Abmelde-Link in jeder E-Mail (Art. 21 DSGVO Widerspruchsrecht)
- Einwilligungsnachweis exportierbar (für Behörden-Anfragen)
6. Datenlöschung und Portabilität
- Löschpflicht nach Vertragsende (Art. 28(3)(g) DSGVO)
- Datenexport für Portabilität (Art. 20 DSGVO)
- Backup-Löschfristen dokumentiert
Migrationsplanung: Von US-MarTech zu EU-nativer Plattform
Eine realistische Migration von HubSpot/Marketo/Salesforce zu einer EU-nativen Plattform dauert typischerweise 3-6 Monate. Hier ist der bewährte 4-Phasen-Plan:
Phase 1: Bestandsaufnahme (Wochen 1-2)
- Vollständiger Export aller Kontakte mit Einwilligungsnachweisen (DSGVO Art. 7 Audit-Trail)
- Dokumentation aller aktiven Automatisierungs-Workflows
- Mapping aller Integrationen (CRM, E-Commerce, Analytics)
- Transfer Impact Assessment für die aktuelle Plattform abschließen
Phase 2: Parallelbetrieb einrichten (Wochen 3-6)
- Neue EU-native Plattform einrichten (Brevo/Emarsys/Evalanche)
- Kontakte mit Einwilligungsstatus importieren
- Kritische Workflows neu aufbauen und testen
- DNS-Subdomains für E-Mail-Versand beim neuen Anbieter konfigurieren (SPF, DKIM, DMARC)
Phase 3: Umstellung (Wochen 7-10)
- Neue Kampagnen ausschließlich über EU-native Plattform
- Legacy-Plattform nur noch für laufende Kampagnen
- Integrationen schrittweise umstellen
- E-Mail-Reputation beim neuen Anbieter aufbauen (Warm-up-Phase beachten)
Phase 4: Abschluss und Dokumentation (Wochen 11-12)
- Vollständiger Datenlöschungsnachweis vom US-Anbieter (Art. 28(3)(g) DSGVO)
- AVV kündigen
- Datenschutzfolgenabschätzung (DSFA) aktualisieren
- Datenschutzerklärung anpassen
Fazit: Das EU-MarTech-Dilemma und der Weg heraus
Alle fünf großen US-Marketing-Automation-Plattformen stehen vor demselben strukturellen Problem: Sie sind US-Persons unter dem CLOUD Act und können Kundendaten nicht vollständig vor US-Behördenzugriff schützen — unabhängig von EU-Serverstandorten, EU Data Boundaries oder Datenschutzzertifizierungen.
Das bedeutet nicht, dass europäische Unternehmen alle ihre US-MarTech-Tools sofort abschalten müssen. Es bedeutet, dass eine bewusste Risikoentscheidung getroffen werden muss:
- Welche Datenkategorien werden in der Marketing-Automation-Plattform verarbeitet? (Gesundheitsdaten → hohes Risiko; B2B-E-Mail-Newsletter → niedrigeres Risiko)
- Welche Regulierung gilt für Ihr Unternehmen? (KRITIS → strengste Anforderungen; SaaS-Startup → Abwägung möglich)
- Wie hoch ist die Wechselbereitschaft? Migration ist möglich — mit Planung.
Die EU-nativen Alternativen haben 2026 aufgeholt: Brevo ist funktional auf Augenhöhe mit HubSpot Starter, Emarsys bietet Enterprise-grade Automation auf SAP-Niveau, und Evalanche überzeugt mit BSI-C5-Testat und deutschsprachigem Support.
Für Unternehmen, die DSGVO-Compliance nicht als Checkbox, sondern als strategischen Vorteil betrachten — und das sollten sie — ist die Migration zu EU-nativen MarTech-Plattformen der logische nächste Schritt.
Alle Posts der EU-MarTech-Serie
- HubSpot Marketing Hub EU Alternative 2026 — CLOUD Act GDPR Risk
- Marketo EU Alternative 2026 — Adobe CLOUD Act GDPR Marketing Automation
- Salesforce Marketing Cloud EU Alternative 2026 — CLOUD Act GDPR
- Oracle Eloqua EU Alternative 2026 — CLOUD Act GDPR Marketing Automation
- Microsoft Dynamics 365 Marketing EU Alternative 2026 — CLOUD Act GDPR MarTech
- EU MarTech Comparison 2026 — GDPR & CLOUD Act Risk Matrix (dieser Post)
sota.io ist eine europäische Cloud-Plattform, entwickelt und betrieben in der EU, ohne US-Konzernexposition. Wenn Sie Ihre Marketing-Infrastruktur auf EU-nativen Stack migrieren möchten — kontaktieren Sie uns oder starten Sie direkt mit unserem kostenlosen Plan.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.