DSGVO

Wir sehen es als unsere Verpflichtung an, mit Kunden von CleverPush zusammenzuarbeiten, um ihnen dabei zu helfen, sich auf die Datenschutz-Grundverordnung (DSGVO) vorzubereiten.

Folgende Ressourcen stellen wir für unsere Kunden u.a. bereit:

  • Musterpassage für Datenschutzerklärung zum Einsatz von CleverPush
  • Auftragsdatenverarbeitungsvereinbarung (ADV)
  • Möglichkeit der Löschung aller gespeicherten Daten in den Account Einstellungen

Folgende Maßnahmen ergreifen wir u.a. selbst:

  • Kundendaten werden innerhalb von Deutschland gespeichert
  • Einhaltung Sicherheitsstandards, HTTPS-Verschlüsselung des gesamten Datenverkehrs
  • Unterstützung bei gewünschten Abonnement-Abmeldungen über unseren Support

1. Auftragsdatenverarbeitungsvereinbarung

Die Auftragsdatenverarbeitungsvereinbarung (ADV) muss direkt bei einer Neuregistrierung oder dem Login im Dashboard akzeptiert werden.

2. Text bei Opt-In Meldung

Der Text der vor oder neben der Opt-In Meldung erscheint kann in den meisten Fällen angepasst werden. Wir geben unseren Kunden hierfür Muster an die Hand, welches bei bestehenden Kanälen über die Kanal Einstellungen mit einem Klick bei Opt-In -> Texte anpassen -> Muster verwenden genutzt werden kann. Bei neuen Kanälen kann wird dieses Muster, wenn gewünscht, direkt eingefügt. Die Passage stellt nur ein Muster für unsere Kunden dar, wir bieten keinerlei Rechtsberatung und garantieren nicht für Richtigkeit und Vollständigkeit des Textes.

3. Musterpassage für Datenschutzerklärung

Die folgende Passage stellt nur ein Muster für unsere Kunden dar, wir bieten keinerlei Rechtsberatung und garantieren nicht für Richtigkeit und Vollständigkeit des Textes.

Push-Benachrichtigungen

Sie können sich für den Empfang sog. Push-Benachrichtigungen anmelden. Hierfür nutzen wir das Angebot „CleverPush“, das von der CleverPush GmbH, Spaldingstraße 210, 20097 Hamburg („CleverPush“), betrieben wird.

Sie erhalten über unsere Push-Benachrichtigungen regelmäßig Informationen über [Bitte so detailliert wie möglich Inhalt der Push-Benachrichtigungen beschreiben].

Um sich für die Push-Nachrichten anzumelden, müssen Sie die Abfrage Ihres Browsers bzw. Endgerätes zum Erhalt der Benachrichtigungen bestätigen. Dieser Prozess wird von CleverPush dokumentiert und gespeichert. Hierfür wird der Anmeldezeitpunkt sowie ein Push-Token bzw. Geräte-ID gespeichert. Diese Daten dienen einerseits dazu, Ihnen die Push-Benachrichtigungen zusenden zu können und andererseits als Nachweis Ihrer Anmeldung. Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung und damit Art. 6 Abs. 1 lit. a DSGVO.

CleverPush wertet unsere Push-Benachrichtigungen zudem statistisch aus. CleverPush kann so erkennen, ob und wann unsere Push-Benachrichtigungen angezeigt und angeklickt wurden. Dies ermöglicht uns festzustellen, welche Push-Benachrichtigungen die Empfänger interessieren, um zukünftige Nachrichten auf die mutmaßlichen Interessen aller Empfänger abzustimmen und damit das Interesse für unser Angebot zu steigern. Zusätzlich speichern wir neben dem Push-Token bzw. Geräte-ID den Themenschwerpunkt der App, auf der die Push-Benachrichtigungen aktiviert wurden (z.B. Wirtschaft, Sport etc.). Diese Information nutzen wir ebenfalls, um an die entsprechenden Abonnenten Push-Benachrichtigungen zu versenden, die in ihrem mutmaßliche Interessen sind. Rechtsgrundlage der Verarbeitung ist jeweils Art. 6 Abs. 1 lit. f DSGVO. Die Zuordnung eines Push-Tokens bzw. Geräte-ID zu einer bestimmten Person erfolgt nur, wenn wir hierzu gesetzlich verpflichtet sein sollten, zur Abwehr von Ansprüchen gegen uns, wenn dies als Beweismittel erforderlich ist, sowie zur eventuellen Verfolgung von Gesetzesverstößen.

Ihre Einwilligung in die Speicherung und Verwendung Ihrer personenbezogenen Daten zum Erhalt unserer Push-Benachrichtigungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Ferner können Sie der vorstehend beschriebenen Verwendung personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f jederzeit widersprechen. Bitte widerrufen Sie zu diesem Zwecke Ihre Einwilligung. Den Widerruf der Einwilligung können Sie in den dazu vorgesehene Einstellung zum Erhalt von Push-Benachrichtigungen in den Einstellungen Ihres Geräts bzw. Browsers vornehmen.

Ihre Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Ihre Daten werden demnach solange gespeichert, wie das Abonnement der unserer Push-Benachrichtigungen aktiv ist.

Unter folgendem Link wird der Austragungsprozess detailliert erklärt: https://cleverpush.com/faq.

Für die Beschleunigung des Abrufes von Inhalten (z.B. Bildern) sowie für die Abwehr von Angriffen verwendet CleverPush im Rahmen einer Auftragsverarbeitung auf Grundlage der Standardvertragsklauseln die Angebote von cloudflare.com, ein Angebot der Cloudflare, Inc..

CleverPush speichert keine Daten auf den Servern von Cloudflare, die personenbezogene Daten beinhalten, sondern nur allgemeine Inhalte wie Texte oder Bilder. Bei einem Abruf dieser Inhalte baut das von Ihnen verwendete Endgerät eine Verbindung zu Cloudflare auf und es kommt hierdurch zur Verarbeitung der IP-Adresse des von Ihnen verwendeten Endgerätes.

Push-Benachrichtigungen

Sie können sich für den Empfang sog. Push-Benachrichtigungen anmelden. Hierfür nutzen wir das Angebot „CleverPush“, das von der CleverPush GmbH, Spaldingstraße 210, 20097 Hamburg („CleverPush“), betrieben wird.

Sie erhalten über unsere Push-Benachrichtigungen regelmäßig Informationen über [Bitte so detailliert wie möglich Inhalt der Push-Benachrichtigungen beschreiben].

Um sich für die Push-Nachrichten anzumelden, müssen Sie die Abfrage Ihres Browsers bzw. Endgerätes zum Erhalt der Benachrichtigungen bestätigen. Dieser Prozess wird von CleverPush dokumentiert und gespeichert. Hierfür wird der Anmeldezeitpunkt sowie ein Push-Token bzw. Geräte-ID gespeichert. Diese Daten dienen einerseits dazu, Ihnen die Push-Benachrichtigungen zusenden zu können und andererseits als Nachweis Ihrer Anmeldung. Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung und damit Art. 6 Abs. 1 lit. a DSGVO.

CleverPush wertet unsere Push-Benachrichtigungen zudem statistisch aus. CleverPush kann so erkennen, ob und wann unsere Push-Benachrichtigungen angezeigt und angeklickt wurden. Dies ermöglicht uns festzustellen, welche Push-Benachrichtigungen die Empfänger interessieren, um zukünftige Nachrichten auf die mutmaßlichen Interessen aller Empfänger abzustimmen und damit das Interesse für unser Angebot zu steigern. Zusätzlich speichern wir neben dem Push-Token bzw. Geräte-ID den Themenschwerpunkt der App, auf der die Push-Benachrichtigungen aktiviert wurden (z.B. Wirtschaft, Sport etc.). Diese Information nutzen wir ebenfalls, um an die entsprechenden Abonnenten Push-Benachrichtigungen zu versenden, die in ihrem mutmaßliche Interessen sind. Rechtsgrundlage der Verarbeitung ist jeweils Art. 6 Abs. 1 lit. f DSGVO. Die Zuordnung eines Push-Tokens bzw. Geräte-ID zu einer bestimmten Person erfolgt nur, wenn wir hierzu gesetzlich verpflichtet sein sollten, zur Abwehr von Ansprüchen gegen uns, wenn dies als Beweismittel erforderlich ist, sowie zur eventuellen Verfolgung von Gesetzesverstößen.

Ihre Einwilligung in die Speicherung und Verwendung Ihrer personenbezogenen Daten zum Erhalt unserer Push-Benachrichtigungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Ferner können Sie der vorstehend beschriebenen Verwendung personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f jederzeit widersprechen. Bitte widerrufen Sie zu diesem Zwecke Ihre Einwilligung. Den Widerruf der Einwilligung können Sie in den dazu vorgesehene Einstellung zum Erhalt von Push-Benachrichtigungen in den Einstellungen Ihres Geräts bzw. Browsers vornehmen.

Ihre Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Ihre Daten werden demnach solange gespeichert, wie das Abonnement der unserer Push-Benachrichtigungen aktiv ist.

Unter folgendem Link wird der Austragungsprozess detailliert erklärt: https://cleverpush.com/faq.

Für die Beschleunigung des Abrufes von Inhalten (z.B. Bildern) sowie für die Abwehr von Angriffen verwendet CleverPush im Rahmen einer Auftragsverarbeitung auf Grundlage der Standardvertragsklauseln die Angebote von cloudflare.com, ein Angebot der Cloudflare, Inc..

CleverPush speichert keine Daten auf den Servern von Cloudflare, die personenbezogene Daten beinhalten, sondern nur allgemeine Inhalte wie Texte oder Bilder. Bei einem Abruf dieser Inhalte baut das von Ihnen verwendete Endgerät eine Verbindung zu Cloudflare auf und es kommt hierdurch zur Verarbeitung der IP-Adresse des von Ihnen verwendeten Endgerätes.

Informationen per Facebook Messenger

Sie können sich jederzeit widerruflich für den Empfang von Nachrichten über den Facebook Messenger anmelden. Sie erhalten so regelmäßig Nachrichten über [Bitte so detailliert wie möglich Inhalt der Push-Benachrichtigungen beschreiben].

Für diese Funktionalität nutzen wir das Angebot „CleverPush“, das von der CleverPush GmbH, Spaldingstraße 210, 20097 Hamburg („CleverPush“), als Auftragsverarbeiter für uns betrieben wird. Um Ihnen die Nachrichten übermitteln zu können, verarbeiten wir eine Nutzer-ID, die uns der Betreiber von Facebook Inc. zur Verfügung stellt. Wir selbst können Sie über diese ID nicht identifizieren. Rechtsgrundlage der Verarbeitung ist mit Ihrer Einwilligung Art. 6 Abs. 1 a) DSGVO.

Wir werten nicht personenbezogen statistisch aus, wie häufig Links in den von uns übermittelten Nachrichten angeklickt werden. Dies ermöglicht uns festzustellen, welche Informationen die Empfänger interessieren, um zukünftige Nachrichten auf die mutmaßlichen Interessen aller Empfänger abzustimmen und damit das Interesse für unser Angebot zu steigern. Zusätzlich speichern wir neben der Nutzer-ID den Themenschwerpunkt der Seite, auf der die Benachrichtigung aktiviert wurde (z.B. Wirtschaft, Sport etc.). Diese Information nutzen wir ebenfalls, um an die entsprechenden Abonnenten Nachrichten zu versenden, die in ihrem mutmaßliche Interessen sind. Rechtsgrundlage der Verarbeitung ist jeweils Art. 6 Abs. 1 lit. f DSGVO.

Ihre Einwilligung in die Speicherung und Verwendung Ihrer personenbezogenen Daten zum Erhalt unserer Nachrichtenkönnen Sie jederzeit mit Wirkung für die Zukunft widerrufen. Ferner können Sie der vorstehend beschriebenen Verwendung personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f jederzeit widersprechen. Bitte widerrufen Sie zu diesem Zwecke Ihre Einwilligung in den Erhalt der Nachrichten mittels des von Ihnen verwendeten Messenger.

Unter folgendem Link wird der Austragungsprozess detailliert erklärt: https://cleverpush.com/faq.

Informationen per Telegram Messenger

Sie können sich jederzeit widerruflich für den Empfang von Nachrichten über den Telegram Messenger anmelden. Sie erhalten so regelmäßig Nachrichten über [Bitte so detailliert wie möglich Inhalt der Push-Benachrichtigungen beschreiben].

Für diese Funktionalität nutzen wir das Angebot „CleverPush“, das von der CleverPush GmbH, Spaldingstraße 210, 20097 Hamburg („CleverPush“), als Auftragsverarbeiter für uns betrieben wird. Um Ihnen die Nachrichten übermitteln zu können, verarbeiten wir eine Nutzer-ID, die uns der Betreiber von Telegram Messenger Inc. zur Verfügung stellt. Wir selbst können Sie über diese ID nicht identifizieren. Rechtsgrundlage der Verarbeitung ist mit Ihrer Einwilligung Art. 6 Abs. 1 a) DSGVO.

Wir werten nicht personenbezogen statistisch aus, wie häufig Links in den von uns übermittelten Nachrichten angeklickt werden. Dies ermöglicht uns festzustellen, welche Informationen die Empfänger interessieren, um zukünftige Nachrichten auf die mutmaßlichen Interessen aller Empfänger abzustimmen und damit das Interesse für unser Angebot zu steigern. Zusätzlich speichern wir neben der Nutzer-ID den Themenschwerpunkt der Seite, auf der die Benachrichtigung aktiviert wurde (z.B. Wirtschaft, Sport etc.). Diese Information nutzen wir ebenfalls, um an die entsprechenden Abonnenten Nachrichten zu versenden, die in ihrem mutmaßliche Interessen sind. Rechtsgrundlage der Verarbeitung ist jeweils Art. 6 Abs. 1 lit. f DSGVO.

Ihre Einwilligung in die Speicherung und Verwendung Ihrer personenbezogenen Daten zum Erhalt unserer Nachrichtenkönnen Sie jederzeit mit Wirkung für die Zukunft widerrufen. Ferner können Sie der vorstehend beschriebenen Verwendung personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f jederzeit widersprechen. Bitte widerrufen Sie zu diesem Zwecke Ihre Einwilligung in den Erhalt der Nachrichten mittels des von Ihnen verwendeten Messenger.

Unter folgendem Link wird der Austragungsprozess detailliert erklärt: https://cleverpush.com/faq.

 

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
 

Bei den nachfolgend beschriebenen Maßnahmen handelt es sich um die durch uns getroffenen Maßnahmen. Diese werden ergänzt durch die Maßnahmen, welche unsere Subdienstleister treffen. Die durch den Auftraggeber beauftragte Verarbeitung findet größtenteils bis ausschließlich bei diesen Subdienstleistern statt. Daher sind in die Beurteilung der Sicherheit der Verarbeitung stets auch die durch unsere Subdienstleister getroffenen Maßnahmen einzubeziehen.

 
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1) Zutrittskontrolle – Folgende implementierte Maßnahmen durch uns verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:

  1. Manuelles Schließsystem
  2. Sicherheitsschlösser
  3. Türen mit Knauf Außenseite
  4. Schlüsselregelung / Dokumentierte Schlüsselvergabe
  5. Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude
  6. Sorgfalt bei Auswahl der Reinigungsdienste

2) Zugangskontrolle – Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.

  1. Persönlicher und individueller User-Log-In bei Anmeldung am System
  2. Autorisierungsprozess für Zugangsberechtigungen
  3. Begrenzung der befugten Benutzer
  4. Zusätzlicher System-Log-In für bestimmte Anwendungen
  5. Einsatz von 2-Faktor-Authentifizierung wo möglich
  6. Firewall

3) Zugriffskontrolle – Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben.

  1. Verwaltung und Dokumentation von differenzierten Berechtigungen
  2. Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern dabei die Verarbeitung von personenbezogenen Daten Gegenstand der Dienstleistung ist.
  3. Auswertungen/Protokollierungen von Datenverarbeitungen
  4. Autorisierungsprozess für Berechtigungen
  5. Profile/Rollen

4) Weitergabekontrolle – Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

  1. Inhaltsverschlüsselung von Email bzw.- Email-Anhängen (z.B. WinZip)
  2. Inhaltsverschlüsselung der Pushdaten
  3. Verschlüsselung des Speichermediums von Laptops
  4. Gesicherter File Transfer (z.B. sftp)
  5. Gesicherter Datentransport (z.B. SSL, ftps, TLS)
  6. Gesichertes WLAN
  7. Datenträgervernichtung gem. ISO 66399, Sicherheitsstufe 4

5) Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

  1. Keine direkte Identifizierung der Empfänger von Pushnachrichten. Stattdessen Einsatz von Push-Tokens
  2. Festlegung der zu speichernden Daten durch den Auftraggeber

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
1) Trennungskontrolle – Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden.

  1. Zugriffsberechtigungen nach funktioneller Zuständigkeit
  2. Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen
  3. Mandantenfähigkeit von IT-Systemen
  4. Verwendung von Testdaten
  5. Trennung von Entwicklungs- und Produktionsumgebung

2) Eingabekontrolle – Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.

  1. Zugriffsrechte
  2. Systemseitige Protokollierungen
  3. Dokumenten Management System (DMS) mit Änderungshistorie
  4. Sicherheits-/Protokollierungssoftware
  5. Mehraugenprinzip

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle und Belastbarkeitskontrolle – Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind.

  1. Sicherheitskonzept für Software- und IT-Anwendungen
  2. Back-Up Verfahren
  3. Gewährleistung der Datenspeicherung im gesicherten Netzwerk
  4. Bedarfsgerechtes Einspielen von Sicherheits-Updates
  5. Test von Feature-Updates und Betriebssystem-Upgrades in gesonderter Testumgebung
  6. Spiegeln von Festplatten
  7. Virenschutz auf Laptops
  8. Firewall

4. Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.

  1. Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers
  2. Prozess zur Erteilung und/oder Befolgung von Weisungen
  3. Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern

5. Datenschutz-Organisation
1) Datenschutz-Management – Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

  1. Interne Datenschutz-Richtlinie
  2. Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
  3. Verpflichtung der Mitarbeiter auf die Vertraulichkeit
  4. Sensibilisierung der Mitarbeiter in Datenschutzangelegenheiten
  5. Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
  6. Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)

2) Incident-Response-Management – Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

  1. Meldeprozess für Datenschutzverletzungen nach Art. 33 DSGVO gegenüber den Auftraggebern und Aufsichtsbehörden
  2. Dokumentationsprozess für Datenschutzverletzungen nach Art. 33 Abs. 5 DSGVO
  3. Benachrichtigungsprozess für Datenschutzverletzungen nach Art. 34 DSGVO gegenüber den betroffenen Personen

6. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Grundsätzlich liefern wir unsere Anwendungen mit datenschutzfreundlichen Voreinstellungen aus. Bei Auslieferung (zu Beginn der Zusammenarbeit) sind sämtliche Tracking-Optionen deaktiviert. Die erforderliche Datenerfassung ist minimal.

Die Definition der zu erfassenden Daten sowie die Konfiguration der Tracking-Optionen werden vom Auftraggeber vorgenommen.

Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden können) oder die Verfügbarkeit von bestimmten Verarbeitungsfunktionen, Protokollierungen etc. vom Auftraggeber festgelegt.

Stand: Stepember 2021

 

Unterauftragsverarbeiter
  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen
    – Hosting der vom Auftragnehmer verwendeten Server
  • Amazon Web Services EMEA Sàrl, 5 Rue Plaetis L-2338 Luxembourg
    – Hosting der vom Auftragnehmer verwendeten Server
  • CloudFlare, Inc., San Francisco, US (HQ) 101 Townsend St, San Francisco
    – Content Delivery Network Dienstleister
  • proinity LLC, Färberstrasse 9, 8832 Wollerau, Schweiz
    – Content Delivery Network Dienstleister
  • MongoDB Inc., Building Two, Number One Ballsbridge Dublin 4, Ireland
    – Hosting der Datenbanken
WordPress Cookie Plugin von Real Cookie Banner