Wir sehen es als unsere Verpflichtung an, mit Kunden von CleverPush zusammenzuarbeiten, um ihnen dabei zu helfen, sich auf die Datenschutz-Grundverordnung (DSGVO) vorzubereiten. Die DSGVO wird am 25. Mai 2018 in Kraft treten.

Folgende Ressourcen stellen wir für unsere Kunden u.a. bereit:

  • Musterpassage für Datenschutzerklärung zum Einsatz von CleverPush
  • Auftragsdatenverarbeitungsvereinbarung (ADV)
  • Möglichkeit der Löschung aller gespeicherten Daten in den Account Einstellungen

Folgende Maßnahmen ergreifen wir u.a. selbst:

  • Kundendaten werden innerhalb von Deutschland gespeichert
  • Einhaltung Sicherheitsstandards, HTTPS-Verschlüsselung des gesamten Datenverkehrs
  • Unterstützung bei gewünschten Abonnement-Abmeldungen über unseren Support

1. Auftragsdatenverarbeitungsvereinbarung

Die Auftragsdatenverarbeitungsvereinbarung (ADV) muss direkt bei einer Neuregistrierung oder dem Login im Dashboard zum 25.05.2018 wirksam akzeptiert werden.

2. Text bei Opt-In Meldung

Der Text der vor oder neben der Opt-In Meldung erscheint kann in den meisten Fällen angepasst werden. Wir geben unseren Kunden hierfür Muster an die Hand, welches bei bestehenden Kanälen über die Kanal Einstellungen mit einem Klick bei Opt-In -> Texte anpassen -> Muster verwenden genutzt werden kann. Bei neuen Kanälen kann wird dieses Muster, wenn gewünscht, direkt eingefügt. Die Passage stellt nur ein Muster für unsere Kunden dar, wir bieten keinerlei Rechtsberatung und garantieren nicht für Richtigkeit und Vollständigkeit des Textes.

3. Musterpassage für Datenschutzerklärung

Die folgende Passage stellt nur ein Muster für unsere Kunden dar, wir bieten keinerlei Rechtsberatung und garantieren nicht für Richtigkeit und Vollständigkeit des Textes.

Push notifications

You can opt in to receive our push notifications. To send our push notifications, we use the delivery service "CleverPush", which is provided by CleverPush UG (haftungsbeschränkt), Tondernstr. 1, 22049 Hamburg ("CleverPush").

You will receive regular information about [please specify the content of the notifications as detailed as possible].

To opt in, you must confirm your browser's request to receive notifications. This process is documented and stored by CleverPush. This includes saving the opt in time and your browser ID or device ID. The collection of this data is required so that we can understand the processes in case of misuse and therefore serves our legal protection.

To show you the push notifications, CleverPush collects and processes your browser ID on our behalf and your device ID in the case of mobile access.

By subscribing to our push notifications, you agree to their receipt. Legal basis for the processing of your data after registration for our push notifications is in the presence of your consent Art. 6 para. 1 lit. a GDPR. CleverPush also statistically evaluates our push notifications. CleverPush can detect if and when our push notifications were displayed and clicked by you.

Your consent to the storage and use of your personal information to receive our push notifications and the statistical survey described above may be revoked at any time with future effect. To revoke consent, you can change the setting to receive push notifications in your browser. If you use our push notifications on a desktop PC with the operating system "Windows", you can also unsubscribe our push notifications by right-clicking on the respective push notification in the settings that appear there.

Your data will be deleted as soon as they are no longer necessary to achieve the purpose of their survey. Your data will be stored as long as the subscription to our push notifications is active.

Under the following link, the process of unsubscribing will be explained in detail: https://cleverpush.com/faq.

Stand: Mai 2018



Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (vgl. auch § 3 Abs. 2 des Auftragsverarbeitungsvertrages)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1) Zutrittskontrolle - Folgende implementierte Maßnahmen unseres Dienstleisters Hetzner Online verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:

  1. elektronisches Zutrittskontrollsystem mit Protokollierung
  2. Hochsicherheitszaun um den gesamten Datacenterpark
  3. dokumentierte Schlüsselvergabe an Mitarbeiter und Colocation-Kunden für Colocation Racks (jeder Auftraggeber ausschließlich für seinen Colocation Rack)
  4. Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude
  5. 24/7 personelle Besetzung der Rechenzentren
  6. Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen

2) Zugangskontrolle - Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.

  1. Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk
  2. Autorisierungsprozess für Zugangsberechtigungen
  3. Begrenzung der befugten Benutzer
  4. Single Sign-On
  5. Zusätzlicher System-Log-In für bestimmte Anwendungen
  6. Firewall

3) Zugriffskontrolle - Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben.

  1. Verwaltung und Dokumentation von differenzierten Berechtigungen
  2. Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von personenbezogenen Daten Gegenstand der Dienstleistung ist.
  3. Auswertungen/Protokollierungen von Datenverarbeitungen
  4. Autorisierungsprozess für Berechtigungen
  5. Genehmigungsroutinen
  6. Profile/Rollen
  7. Maßnahmen zur Verhinderung unbefugten Überspielens von Daten auf extern verwendbare Datenträger (z.B. Kopierschutz, Sperrung von USB-Ports, “Data Loss Prevention (DLP)-System”)

4) Trennungskontrolle - Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden.

  1. Zugriffsberechtigungen nach funktioneller Zuständigkeit
  2. Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen
  3. Mandantenfähigkeit von IT-Systemen
  4. Verwendung von Testdaten
  5. Trennung von Entwicklungs- und Produktionsumgebung
2. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

3. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

1) Weitergabekontrolle - Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

  1. Verschlüsselung von Email bzw.- Email-Anhängen (z.B. WinZip)
  2. Verschlüsselung des Speichermediums von Laptops
  3. Gesicherter File Transfer (z.B. sftp)
  4. Gesicherter Datentransport (z.B. SSL, ftps, TLS)
  5. Elektronische Signatur
  6. Gesichertes WLAN

2) Eingabekontrolle - Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.

  1. Zugriffsrechte
  2. Systemseitige Protokollierungen
  3. Dokumenten Management System (DMS) mit Änderungshistorie
  4. Sicherheits-/Protokollierungssoftware
  5. Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
  6. Mehraugenprinzip
  7. “Data Loss Prevention (DLP)-System”
4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle und Belastbarkeitskontrolle - Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind.

  1. Sicherheitskonzept für Software- und IT-Anwendungen
  2. Back-Up Verfahren
  3. Aufbewahrungsprozess für Back-Ups (brandgeschützter Safe, getrennter Brandabschnitt, etc.)
  4. Gewährleistung der Datenspeicherung im gesicherten Netzwerk
  5. Bedarfsgerechtes Einspielen von Sicherheits-Updates
  6. Spiegeln von Festplatten
  7. Einrichtung einer unterbrechungsfreien Stromversorgung (USV)
  8. Klimatisierter Serverraum
  9. Virenschutz
  10. Firewall
5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

1) Datenschutz-Management - Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

  1. Interne Datenschutz-Richtlinie
  2. Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
  3. Verpflichtung der Mitarbeiter auf das Datengeheimnis
  4. Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten
  5. Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
  6. Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)

2) Incident-Response-Management - Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

  1. Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
  2. Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
6. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

1) Die default Einstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Datenverarbeitungsverfahren zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben bzw. von Eingabemöglichkeiten (z. B. von Freitexten) festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden (z. B. hinsichtlich des Umfangs der Verarbeitung). Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden können) oder die Verfügbarkeit von bestimmten Verarbeitungsfunktionen, Protokollierungen etc. festgelegt.

7. Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.

  1. Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers
  2. Prozess zur Erteilung und/oder Befolgung von Weisungen
  3. Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern