Blog Push notifications Artikel

DSGVO-konforme Push-Benachrichtigungen: Der vollständige Leitfaden für 2026

Teilen
Pushwoosh Team
Pushwoosh Team
Content Team at Pushwoosh

Die Datenschutz-Grundverordnung (DSGVO) stellt klare Anforderungen an Unternehmen, die Push-Benachrichtigungen an Nutzer in der Europäischen Union versenden. Seit dem Inkrafttreten im Mai 2018 hat sich die regulatorische Landschaft weiterentwickelt — und die Durchsetzung ist strenger denn je. 2025 verhängte die irische Datenschutzbehörde allein gegen eine Messaging-Plattform ein Bußgeld von 1,2 Milliarden Euro.

Dieser Leitfaden erklärt, was die DSGVO für Push-Benachrichtigungen bedeutet, welche technischen Anforderungen Sie erfüllen müssen und wie Sie eine datenschutzkonforme Strategie umsetzen.

Was bedeutet die DSGVO für Push-Benachrichtigungen?

Push-Benachrichtigungen verarbeiten personenbezogene Daten. Dazu gehören unter anderem:

  • Geräte-Token (Push-Token), die einem einzelnen Gerät zugeordnet sind
  • Nutzungs- und Verhaltensdaten, die für Segmentierung verwendet werden
  • Standortdaten, sofern Geofencing eingesetzt wird
  • Nutzer-IDs und E-Mail-Adressen, die mit Push-Profilen verknüpft sind

Gemäß Artikel 6 DSGVO benötigen Sie eine Rechtsgrundlage für die Verarbeitung dieser Daten. Für Marketing-Push-Benachrichtigungen ist die Einwilligung (Art. 6 Abs. 1 lit. a) der sicherste Weg.

Der Unterschied: OS-Berechtigung vs. DSGVO-Einwilligung

Ein häufiger Fehler: Viele Unternehmen setzen die Betriebssystem-Berechtigung (das „Benachrichtigungen erlauben”-Popup von iOS oder Android) mit der DSGVO-Einwilligung gleich. Das ist nicht dasselbe.

Die OS-Berechtigung regelt die technische Zustellung. Die DSGVO-Einwilligung regelt die rechtliche Grundlage für die Datenverarbeitung. Sie benötigen beides.

Anforderungen an die Einwilligung

Die DSGVO stellt folgende Anforderungen an eine wirksame Einwilligung:

Freiwillig: Der Nutzer darf keinen Nachteil erleiden, wenn er die Einwilligung verweigert. Die App-Nutzung darf nicht an die Einwilligung für Push-Marketing geknüpft sein.

Informiert: Vor der Einwilligung muss der Nutzer wissen, welche Daten verarbeitet werden, zu welchem Zweck und durch wen.

Eindeutig: Eine aktive Handlung ist erforderlich. Vorangekreuzte Checkboxen oder stilles Opt-in reichen nicht aus.

Widerrufbar: Der Nutzer muss die Einwilligung jederzeit genauso einfach widerrufen können, wie er sie erteilt hat.

Empfohlener Ablauf: Doppeltes Opt-in

  1. Zeigen Sie vor dem OS-Berechtigungs-Dialog eine eigene Erklärung (Pre-Permission-Screen), die den Nutzer über Zweck und Umfang informiert
  2. Holen Sie die DSGVO-Einwilligung über eine Checkbox oder einen Button ein
  3. Erst danach lösen Sie den OS-Berechtigungs-Dialog aus
  4. Dokumentieren Sie Zeitpunkt, Version der Datenschutzerklärung und Art der Einwilligung

Dieser Ansatz erhöht erfahrungsgemäß auch die Opt-in-Rate, da Nutzer den Mehrwert verstehen, bevor sie entscheiden.

Technische Umsetzung

Datenminimierung

Erfassen Sie nur die Daten, die Sie tatsächlich für Ihre Push-Strategie benötigen. Wenn Sie keine standortbasierten Benachrichtigungen planen, erheben Sie keine Standortdaten. Jedes zusätzliche Datenfeld erhöht Ihr Compliance-Risiko.

Speicherbegrenzung und Löschfristen

Definieren Sie klare Löschfristen für Push-bezogene Daten:

  • Inaktive Push-Token: Automatische Bereinigung nach einem definierten Zeitraum (z. B. 90 Tage Inaktivität)
  • Nutzungsprofile für Segmentierung: Regelmäßige Überprüfung auf Notwendigkeit
  • Einwilligungsnachweise: Aufbewahrung für die Dauer der Datenverarbeitung plus gesetzliche Aufbewahrungsfristen

Auftragsverarbeitungsvertrag (AVV)

Wenn Sie einen Push-Benachrichtigungsdienst eines Drittanbieters nutzen, schließen Sie einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab. Dieser regelt:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen des Auftragsverarbeiters

Datenresidenz: EU-Rechenzentrum

Die Speicherung und Verarbeitung von Daten innerhalb der EU vereinfacht die DSGVO-Compliance erheblich. Pushwoosh betreibt Rechenzentren in der Europäischen Union und ermöglicht es Unternehmen, die Datenverarbeitung vollständig in der EU zu halten — ohne transatlantische Datentransfers und die damit verbundenen rechtlichen Unsicherheiten.

Best Practices für DSGVO-konforme Push-Kampagnen

Segmentierung mit Bedacht

Nutzen Sie nur Datenpunkte für die Segmentierung, für die Sie eine Einwilligung haben. Wenn ein Nutzer der Verarbeitung von Standortdaten nicht zugestimmt hat, dürfen Sie ihn nicht in geolokationsbasierte Segmente einordnen.

Transparente Inhalte

Gestalten Sie Ihre Push-Benachrichtigungen so, dass der Nutzer den Absender und den Zweck sofort erkennt. Irreführende oder verschleiernde Nachrichten verstoßen gegen den DSGVO-Grundsatz der Transparenz.

Frequenz-Management

Zu viele Benachrichtigungen sind nicht nur ein UX-Problem, sondern können als übermäßige Datenverarbeitung gewertet werden. Setzen Sie klare Frequency Caps und respektieren Sie die Erwartungen Ihrer Nutzer.

Dokumentation

Führen Sie ein Verarbeitungsverzeichnis gemäß Art. 30 DSGVO, das Ihre Push-Aktivitäten umfasst. Dokumentieren Sie insbesondere:

  • Kategorien der verarbeiteten Daten
  • Rechtsgrundlage für jede Verarbeitungstätigkeit
  • Empfänger der Daten (z. B. Push-Dienstleister)
  • Technische und organisatorische Schutzmaßnahmen

Checkliste: DSGVO-konforme Push-Benachrichtigungen

Nutzen Sie diese Checkliste als Ausgangspunkt für Ihre interne Prüfung:

  • Pre-Permission-Screen vor dem OS-Dialog implementiert
  • Einwilligung ist freiwillig, informiert, eindeutig und widerrufbar
  • Einwilligungszeitpunkt und -version werden protokolliert
  • Auftragsverarbeitungsvertrag mit Push-Dienstleister abgeschlossen
  • Verarbeitungsverzeichnis enthält Push-Aktivitäten
  • Löschfristen für Push-Token und Nutzungsdaten definiert
  • Opt-out-Mechanismus ist einfach und zugänglich
  • Datenschutzerklärung beschreibt Push-Datenverarbeitung
  • Datenverarbeitung findet in der EU statt (oder SCCs/angemessenes Schutzniveau vorhanden)
  • Technische und organisatorische Maßnahmen (TOMs) dokumentiert
  • Regelmäßige Überprüfung der Einwilligungen und Datenbestände geplant

Fazit

DSGVO-Compliance bei Push-Benachrichtigungen ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Die gute Nachricht: Unternehmen, die Datenschutz ernst nehmen, erzielen in der Regel höhere Opt-in-Raten und besseres Nutzerengagement. Transparenz schafft Vertrauen — und Vertrauen ist die Grundlage erfolgreicher Kundenkommunikation.

Pushwoosh unterstützt Sie dabei mit EU-Datenresidenz, ISO 27001:2022-Zertifizierung, SOC 2 Type I-Konformität und integrierten Consent-Management-Funktionen. Erfahren Sie mehr über unsere Sicherheitsstandards oder starten Sie eine kostenlose Testversion.

DSGVO-konforme Push-Benachrichtigungen: Der vollständige Leitfaden für 2026

Verwandte Artikel

Alle anzeigen 
Push-Benachrichtigungs-Automatisierung: Unverzichtbare Szenarien für jede App
Push-Benachrichtigungs-Automatisierung: Unverzichtbare Szenarien für jede App
Read more
Push-Benachrichtigungsstrategie, die den Umsatz Ihrer App in großem Maßstab steigert
Push-Benachrichtigungsstrategie, die den Umsatz Ihrer App in großem Maßstab steigert
Read more
Zustellung von Android-Push-Benachrichtigungen: Warum „gesendet“ nicht „gesehen“ bedeutet
Zustellung von Android-Push-Benachrichtigungen: Warum „gesendet“ nicht „gesehen“ bedeutet
Read more