Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
OneSignal ist eine der am weitesten verbreiteten Plattformen für Web- und Mobile-Push-Nachrichten und wird aus den USA betrieben. Sie registriert einen Service Worker auf Ihrer Website für Push-Nachrichten und erfasst Abonnement-Tokens, Geräte-Metadaten und IP-Adressen auf AWS-US-Infrastruktur. Das Push-Abo und die zugehörigen Cookies erfordern eine ausdrückliche Einwilligung zusätzlich zum nativen Browser-Prompt.
OneSignal ist eine 2014 in San Mateo (Kalifornien) gegründete Customer-Engagement-Plattform. Es zählt zu den am weitesten verbreiteten Lösungen für Web-Push, Mobile-Push, In-App-Messaging, E-Mail und SMS und wird auf über einer Million Websites und Apps eingesetzt. Das Web-SDK registriert einen Service Worker auf der Publisher-Domain, um Push-Nachrichten zu verarbeiten.
OneSignal speichert eine Push-Abonnement-ID, die OneSignal Player-ID und einen Geräte-Datensatz (Browser, OS, Land, Sprache, IP-Adresse). Auf der Publisher-Site wird ein Service Worker (OneSignalSDKWorker.js) registriert und der localStorage für die Player-ID genutzt. Mobile-SDKs erfassen Installations- und Nutzungsereignisse. Tags und Segmente können beliebige vom Publisher angehängte Attribute enthalten.
Web-Push gilt nach Auffassung der meisten EU-Aufsichtsbehörden als nicht notwendiger Tracker, daher dürfen das OneSignal-SDK und der Service Worker erst nach Einwilligung gemäß Art. 5(3) ePrivacy geladen werden. Der native Browser-Push-Prompt ist eine zusätzliche, aber unzureichende Einwilligung, da er die zur Registrierung erforderliche vorherige Speicherung und Verarbeitung nicht abdeckt. Marketing-Nachrichten selbst stützen sich auf Einwilligung (Art. 6(1)(a) DSGVO).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
OneSignal hostet die Hauptinfrastruktur auf AWS US. Abonnement-Tokens, Geräte-Datensätze, IP-Adressen und Engagement-Events werden in den USA verarbeitet. Übermittlungen stützen sich auf die Zertifizierung im Data Privacy Framework EU-US (sofern anwendbar) sowie auf Standardvertragsklauseln im OneSignal-DPA. Enterprise-Pläne können regionale Residenz-Optionen bieten.
Schließen Sie den OneSignal-DPA aus dem Dashboard ab. Blockieren Sie das OneSignal-SDK über Ihre CMP und laden Sie es erst nach explizitem Opt-in. Verwenden Sie einen eigenen Soft-Prompt vor der nativen Browser-Anfrage und erläutern Sie den Zweck transparent. Nehmen Sie OneSignal in die Datenschutzerklärung auf, mit Hinweis auf US-Übermittlung, SCC- und DPF-Grundlage sowie erfasste Datenkategorien. Bieten Sie einen klaren Abmeldeweg in den Nachrichten und in den OneSignal-Einstellungen.
Websites using OneSignal must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird für OneSignal-Implementierungen mit großer Abonnentenbasis, Verhaltens-Segmentierung und cross-device-Identifikation empfohlen, da persistente Identifier und ein US-Transfer involviert sind.
Sample consent text
Wir nutzen OneSignal (OneSignal Inc., USA) für Push-Nachrichten. Mit der Annahme stimmen Sie der Registrierung eines Push-Abos, den zugehörigen Identifikatoren und der Übermittlung Ihrer Daten in die USA unter geeigneten Garantien zu.
Third-party domains contacted
cdn.onesignal.comapi.onesignal.comonesignal.comimages.onesignal.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| onesignal-pageview-count | first_party | Persistent (localStorage) | Tracks the number of pageviews so OneSignal can trigger a soft prompt after a configured threshold. |
| onesignal-notification-prompt | first_party | Persistent (localStorage) | Records whether the user has dismissed the soft prompt to avoid repeated prompting. |
OneSignal setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
OneSignal speichert eine Push-Abonnement-ID und die OneSignal Player-ID im localStorage der Publisher-Domain, registriert einen Service Worker (OneSignalSDKWorker.js) und sendet einen Geräte-Datensatz (Browser, OS, Land, Sprache, IP) an das Backend. Optionale Pageview- und Prompt-Zähler werden zusätzlich im localStorage abgelegt.
Ja. Die meisten EU-Aufsichtsbehörden bewerten Web-Push als nicht strikt notwendigen Tracker. Das OneSignal-SDK und der Service Worker dürfen daher erst nach Einwilligung gemäß Art. 5(3) ePrivacy geladen werden. Der native Browser-Push-Prompt ist eine zusätzliche, aber unzureichende Einwilligung, weil er die vorherige Speicherung und Registrierung nicht abdeckt.
Einwilligung (Art. 6(1)(a) DSGVO) für das Push-Abo, die zugehörigen Identifier und die Marketing-Nachrichten. Der Opt-in muss granular und ebenso leicht widerrufbar wie erteilbar sein. Die Planung und Analyse der Nachrichten im OneSignal-Backend ist Auftragsverarbeitung nach Art. 28.
Ja. OneSignal Inc. ist ein US-Unternehmen und betreibt seine Hauptinfrastruktur auf AWS US. Abonnement-Tokens, Geräte-Datensätze, IP-Adressen und Engagement-Events werden in den USA verarbeitet. Übermittlungen stützen sich auf die Data-Privacy-Framework-Zertifizierung (sofern anwendbar) und auf Standardvertragsklauseln im OneSignal-DPA.
Eine DSFA wird für OneSignal-Implementierungen mit großer Abonnentenbasis, Verhaltens-Segmentierung und cross-device-Identifikation empfohlen, da persistente Identifier und ein US-Transfer involviert sind.
Schließen Sie den OneSignal-DPA ab. Blockieren Sie das SDK über Ihre CMP und laden Sie es erst nach explizitem Opt-in. Nutzen Sie einen eigenen Soft-Prompt mit Zweckbeschreibung vor der nativen Browser-Anfrage. Nehmen Sie OneSignal in die Datenschutzerklärung auf, mit Hinweis auf US-Transfer, SCC- und DPF-Grundlage sowie erfasste Datenkategorien. Bieten Sie einen klaren Abmeldeweg in den Nachrichten.
EU-basierte Alternativen sind WonderPush (Frankreich), Pushwoosh (EU-Datenresidenz verfügbar), Sendmunk (Deutschland) sowie das selbst gehostete Mautic mit Web-Push-Erweiterung. Im Mobile-Bereich kann Firebase Cloud Messaging in EU-Regionen für transaktionale Nachrichten dienen; für Marketing wirft es jedoch ähnliche Übermittlungsfragen auf.
Geben Sie an, dass OneSignal (OneSignal Inc., USA) Auftragsverarbeiter für Push-Nachrichten und Engagement ist. Beschreiben Sie den Service Worker, die Player-ID, den Geräte-Datensatz, die IP-Verarbeitung und die Kampagnen-Analyse. Nennen Sie den US-Transfer mit SCC- und DPF-Grundlage und stellen Sie einen Ein-Klick-Abmeldelink oder eine Abmeldeseite bereit.