Wir sehen es als unsere Verpflichtung an, mit Kunden von CleverPush zusammenzuarbeiten, um ihnen dabei zu helfen, sich auf die Datenschutz-Grundverordnung (DSGVO) vorzubereiten. Die DSGVO wird am 25. Mai 2018 in Kraft treten.

Folgende Ressourcen stellen wir für unsere Kunden u.a. bereit:

  • Musterpassage für Datenschutzerklärung zum Einsatz von CleverPush
  • Auftragsdatenverarbeitungsvereinbarung (ADV)
  • Möglichkeit der Löschung aller gespeicherten Daten in den Account Einstellungen

Folgende Maßnahmen ergreifen wir u.a. selbst:

  • Kundendaten werden innerhalb von Deutschland gespeichert
  • Einhaltung Sicherheitsstandards, HTTPS-Verschlüsselung des gesamten Datenverkehrs
  • Unterstützung bei gewünschten Abonnement-Abmeldungen über unseren Support

1. Auftragsdatenverarbeitungsvereinbarung

Die Auftragsdatenverarbeitungsvereinbarung (ADV) muss direkt bei einer Neuregistrierung oder dem Login im Dashboard zum 25.05.2018 wirksam akzeptiert werden.

2. Text bei Opt-In Meldung

Der Text der vor oder neben der Opt-In Meldung erscheint kann in den meisten Fällen angepasst werden. Wir geben unseren Kunden hierfür Muster an die Hand, welches bei bestehenden Kanälen über die Kanal Einstellungen mit einem Klick bei Opt-In -> Texte anpassen -> Muster verwenden genutzt werden kann. Bei neuen Kanälen kann wird dieses Muster, wenn gewünscht, direkt eingefügt. Die Passage stellt nur ein Muster für unsere Kunden dar, wir bieten keinerlei Rechtsberatung und garantieren nicht für Richtigkeit und Vollständigkeit des Textes.

3. Musterpassage für Datenschutzerklärung

Die folgende Passage stellt nur ein Muster für unsere Kunden dar, wir bieten keinerlei Rechtsberatung und garantieren nicht für Richtigkeit und Vollständigkeit des Textes.

Push-Benachrichtigungen

Sie können sich zum Empfang von unseren Push-Benachrichtigungen anmelden. Zum Versand unserer Push-Benachrichtigungen nutzen wir den Versanddienst „CleverPush“, der von der CleverPush UG (haftungsbeschränkt), Tondernstr. 1, 22049 Hamburg („CleverPush“), betrieben wird.

Sie erhalten über unsere Push-Benachrichtigungen regelmäßig Informationen über [Bitte so detailliert wie möglich Inhalt der Push-Benachrichtigungen beschreiben].

Zur Anmeldung müssen Sie die Abfrage Ihres Browsers zum Erhalt von Benachrichtigungen bestätigen. Dieser Prozess wird von CleverPush dokumentiert und gespeichert. Hierzu gehört die Speicherung des Anmeldezeitpunkts sowie Ihre Browser-ID bzw. Ihre Geräte-ID. Die Erhebung dieser Daten ist erforderlich, damit wir im Falle eines Missbrauchs die Abläufe nachvollziehen können und dient deshalb unserer rechtlichen Absicherung.

Um Ihnen die Push-Benachrichtigungen anzeigen zu können, erhebt und verarbeitet CleverPush in unserem Auftrag Ihre Browser-ID sowie im Falle des mobilen Zugriffs Ihre Geräte-ID.

Indem Sie unsere Push-Benachrichtigungen abonnieren, erklären Sie sich mit deren Empfang einverstanden. Rechtsgrundlage für die Verarbeitung Ihrer Daten nach Anmeldung zu unseren Push-Benachrichtigungen ist bei Vorliegen Ihrer Einwilligung Art. 6 Abs. 1 lit. a DSGVO.

CleverPush wertet unsere Push-Benachrichtigungen zudem statistisch aus. CleverPush kann so erkennen, ob und wann unsere Push-Benachrichtigungen angezeigt und von Ihnen angeklickt wurden.

Ihre Einwilligung in die Speicherung und Verwendung Ihrer personenbezogenen Daten zum Erhalt unserer Push-Benachrichtigungen und der zuvor beschriebenen statistischen Erhebung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Zum Zwecke des Widerrufs der Einwilligung können Sie die dazu vorgesehene Einstellung zum Erhalt von Push Benachrichtigungen in Ihrem Browser ändern. Sofern Sie unsere Push-Benachrichtigungen auf einem Desktop-PC mit dem Betriebssystem „Windows“ nutzen, können Sie die unsere Push-Benachrichtigungen auch über einen Rechtsklick auf die jeweilige Push-Benachrichtigung in den dort erscheinenden Einstellungen abbestellen.

Ihre Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Ihre Daten werden demnach solange gespeichert, wie das Abonnement der unserer Push-Benachrichtigungen aktiv ist.

Unter folgendem Link wird der Austragungsprozess detailliert erklärt: https://cleverpush.com/faq.

Stand: Mai 2018



Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (vgl. auch § 3 Abs. 2 des Auftragsverarbeitungsvertrages)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1) Zutrittskontrolle - Folgende implementierte Maßnahmen unseres Dienstleisters Hetzner Online verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:

  1. elektronisches Zutrittskontrollsystem mit Protokollierung
  2. Hochsicherheitszaun um den gesamten Datacenterpark
  3. dokumentierte Schlüsselvergabe an Mitarbeiter und Colocation-Kunden für Colocation Racks (jeder Auftraggeber ausschließlich für seinen Colocation Rack)
  4. Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude
  5. 24/7 personelle Besetzung der Rechenzentren
  6. Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen

2) Zugangskontrolle - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.

  1. Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk
  2. Autorisierungsprozess für Zugangsberechtigungen
  3. Begrenzung der befugten Benutzer
  4. Single Sign-On
  5. Zusätzlicher System-Log-In für bestimmte Anwendungen
  6. Firewall

3) Zugriffskontrolle - Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben.

  1. Verwaltung und Dokumentation von differenzierten Berechtigungen
  2. Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von personenbezogenen Daten Gegenstand der Dienstleistung ist.
  3. Auswertungen/Protokollierungen von Datenverarbeitungen
  4. Autorisierungsprozess für Berechtigungen
  5. Genehmigungsroutinen
  6. Profile/Rollen
  7. Maßnahmen zur Verhinderung unbefugten Überspielens von Daten auf extern verwendbare Datenträger (z.B. Kopierschutz, Sperrung von USB-Ports, “Data Loss Prevention (DLP)-System”)

4) Trennungskontrolle - Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden.

  1. Zugriffsberechtigungen nach funktioneller Zuständigkeit
  2. Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen
  3. Mandantenfähigkeit von IT-Systemen
  4. Verwendung von Testdaten
  5. Trennung von Entwicklungs- und Produktionsumgebung
2. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

3. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

1) Weitergabekontrolle - Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

  1. Verschlüsselung von Email bzw.- Email-Anhängen (z.B. WinZip)
  2. Verschlüsselung des Speichermediums von Laptops
  3. Gesicherter File Transfer (z.B. sftp)
  4. Gesicherter Datentransport (z.B. SSL, ftps, TLS)
  5. Elektronische Signatur
  6. Gesichertes WLAN

2) Eingabekontrolle - Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.

  1. Zugriffsrechte
  2. Systemseitige Protokollierungen
  3. Dokumenten Management System (DMS) mit Änderungshistorie
  4. Sicherheits-/Protokollierungssoftware
  5. Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
  6. Mehraugenprinzip
  7. “Data Loss Prevention (DLP)-System”
4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle und Belastbarkeitskontrolle - Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind.

  1. Sicherheitskonzept für Software- und IT-Anwendungen
  2. Back-Up Verfahren
  3. Aufbewahrungsprozess für Back-Ups (brandgeschützter Safe, getrennter Brandabschnitt, etc.)
  4. Gewährleistung der Datenspeicherung im gesicherten Netzwerk
  5. Bedarfsgerechtes Einspielen von Sicherheits-Updates
  6. Spiegeln von Festplatten
  7. Einrichtung einer unterbrechungsfreien Stromversorgung (USV)
  8. Klimatisierter Serverraum
  9. Virenschutz
  10. Firewall
5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

1) Datenschutz-Management - Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

  1. Interne Datenschutz-Richtlinie
  2. Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
  3. Verpflichtung der Mitarbeiter auf das Datengeheimnis
  4. Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten
  5. Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
  6. Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)

2) Incident-Response-Management - Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

  1. Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
  2. Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
6. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

1) Die default Einstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Datenverarbeitungsverfahren zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben bzw. von Eingabemöglichkeiten (z. B. von Freitexten) festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden (z. B. hinsichtlich des Umfangs der Verarbeitung). Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden können) oder die Verfügbarkeit von bestimmten Verarbeitungsfunktionen, Protokollierungen etc. festgelegt.

7. Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.

  1. Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers
  2. Prozess zur Erteilung und/oder Befolgung von Weisungen
  3. Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern