Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Pushly ist eine Web Push Plattform der US Mediengruppe The Arena Group mit Sitz in New York. Sie nutzt das VAPID Push Protokoll, einen Service Worker auf der Publisher Origin und ein JavaScript SDK, um Push Abonnements zu erfassen, und versendet Benachrichtigungen über die Push Dienste von Apple, Google und Mozilla. Subscriber Endpoints und Verhaltenssegmente werden in den USA gespeichert.
Pushly ist eine Web Push Benachrichtigungsplattform von The Arena Group, einem US Medienunternehmen mit Sitz in New York City. Zielgruppe sind Publisher und E Commerce Sites, die Artikel, Warnungen und Aktionen in den Browser pushen wollen, selbst wenn die Nutzerin gerade nicht auf der Website ist. Die Integration nutzt ein JavaScript SDK auf jeder Seite, einen Service Worker auf der Publisher Origin und das in RFC 8292 beschriebene VAPID Protokoll.
Sobald die Besucherin den Browser Prompt akzeptiert, registriert der User Agent ein eindeutiges Push Abonnement bei Apple APNs (Safari), Google FCM (Chrome, Edge) oder Mozilla autopush (Firefox). Die Endpoint URL und die Schlüssel werden an Pushly Server übertragen und zusammen mit den vom Publisher konfigurierten Segmenten gespeichert.
Pushly speichert den Push Endpoint, den Public Key, das Auth Secret, den Browser Fingerprint (User Agent, Sprache, Zeitzone), die IP Adresse beim Abonnement und Verhaltensereignisse wie Impressionen, Klicks und Schließungen. Viele Integrationen senden zusätzlich Erstanbieter Kennungen (Artikeltags, Segmente, eingeloggte User ID) für das Targeting sowie Einträge im Local Storage, die vom SDK genutzt werden.
Web Push beruht technisch nicht auf klassischen Cookies, aber der persistente Endpoint und die Local Storage Werte sind eine Speicherung im Endgerät im Sinne von Art. 5(3) ePrivacy und § 25 TDDDG. Endpoint und IP gelten zudem als personenbezogene Daten nach Art. 4(1) DSGVO.
Web Push Abonnements erfordern eine ausdrückliche Einwilligung, weil sie sowohl eine Speicherung im Endgerät (Art. 5(3) ePrivacy, § 25 TDDDG) als auch eine direkte Werbekommunikation (§ 7 UWG) auslösen. Die EDSA Leitlinien 5/2020 verlangen für die Einwilligung eine spezifische, informierte, unmissverständliche und durch klare bestätigende Handlung erteilte Erklärung. Der native Browser Prompt allein genügt nicht: eine DSK konforme Lösung kombiniert einen Pre Prompt mit einer Kategorie im Cookie Banner.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Laden Sie das Pushly SDK nicht beim ersten Seitenaufruf. Blockieren Sie es hinter einer Kategorie Marketing oder Kommunikation in Ihrem CMP und registrieren Sie den Service Worker erst nach aktiver Einwilligung in diese Kategorie. Zeigen Sie einen Pre Prompt, der erklärt, welche Benachrichtigungen mit welcher Frequenz und durch welchen Verantwortlichen versendet werden, und lösen Sie erst danach den nativen Browser Prompt aus. Loggen Sie die Einwilligung (Zeitstempel, IP, Banner Version, Auswahl) und bieten Sie in jeder Push einen Ein Klick Abmeldelink an.
Pushly speichert Endpoints in AWS Regionen der USA. Die Zustellung läuft über Apple APNs (Cupertino, Kalifornien), Google FCM (USA) und Mozilla autopush (USA). Alle vier Parteien sind in den USA ansässig und fallen unter US Überwachungsgesetze, womit der Transfer in den Anwendungsbereich der EDSA Schrems II Empfehlungen fällt.
Stützen Sie die Übermittlung auf das EU US Data Privacy Framework, sofern der Empfänger zertifiziert ist, ansonsten auf die EU Standardvertragsklauseln 2021. Dokumentieren Sie zusätzliche Maßnahmen: Ende zu Ende Verschlüsselung des Payloads, Pseudonymisierung der Segmente, kurze Endpoint Aufbewahrung und ein Transfer Impact Assessment.
Tragen Sie Pushly in Ihr Verzeichnis von Verarbeitungstätigkeiten und in das Cookie und Local Storage Register ein. Dokumentieren Sie Rechtsgrundlage, Empfänger (The Arena Group und der jeweilige Push Dienst), Datenkategorien und Aufbewahrungsfrist. Führen Sie eine DSFA durch, wenn Sie nach Verhalten segmentieren oder Minderjährige adressieren. Bieten Sie eine Präferenzseite zur Themenwahl und Abmeldung an, replizieren Sie Widerrufe über die Pushly API und prüfen Sie abgemeldete Endpoints monatlich.
Websites using Pushly must obtain user consent under GDPR regulations.
DPIA considerations
Eine Datenschutz Folgenabschätzung ist empfehlenswert, sobald Pushly für verhaltensbasierte oder personalisierte Benachrichtigungen, für das Retargeting anonymer Besucher, für die Segmentierung nach Content Interaktion oder für Push an unter 16 Jährige eingesetzt wird. Die DSFA muss die Rechtsgrundlage für das Push Abonnement und die Folgesegmentierung, die an Apple, Google und Mozilla übermittelten Datenkategorien, die Aufbewahrungsfristen für Endpoints und Engagement Ereignisse, den Anteil automatisierter Segmentierung nach Art. 22 DSGVO und die zusätzlichen Maßnahmen für US Transfers dokumentieren.
Sample consent text
Wir möchten Ihnen Web Push Benachrichtigungen über Pushly senden. Mit Ihrer Einwilligung registriert Ihr Browser ein eindeutiges Push Abonnement bei unserem Service Worker und Pushly (Betrieb in den USA) speichert diesen Endpoint, um Ihnen Benachrichtigungen zuzustellen. Sie können Ihre Einwilligung jederzeit in den Browser Einstellungen oder über den Abmeldelink in jeder Benachrichtigung widerrufen.
Third-party domains contacted
pushly.comcdn.p-n.ioapi.p-n.iofcm.googleapis.comupdates.push.services.mozilla.comweb.push.apple.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| pushly_sid | Persistent | 1 year | Pushly subscriber identifier used to associate the browser with a stored push subscription and to attribute engagement events back to the subscriber profile. |
| pushly_segments | Local Storage | Until cleared by user | Local storage entry holding the segment memberships and topic preferences assigned to the subscriber for push targeting. |
| pushly_sw_registration | Local Storage | Until service worker unregistered | Stores the push subscription endpoint, public key and auth secret returned by the browser PushManager, so Pushly can deliver notifications even when the tab is closed. |
| pushly_prompt_state | Persistent | 6 months | Records whether the visitor has already been shown the soft pre prompt and whether they accepted, dismissed or refused, to avoid prompt fatigue. |
Pushly setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Akzeptiert die Besucherin den Push Prompt, erzeugt der Browser einen eindeutigen Push Endpoint (URL bei Apple, Google oder Mozilla) und ein Schlüsselpaar. Pushly speichert diesen Endpoint, den Public Key, das Auth Secret, den User Agent, die Sprache, die Zeitzone, die IP Adresse beim Abonnement und eine Pushly Subscriber ID. Außerdem protokolliert Pushly jede Zustellung, Impression, Klick und Schließung und kann vom Publisher gelieferte Erstanbieter Segmente (Artikeltags, eingeloggte User IDs) anhängen.
Ja. Die Aktivierung von Pushly umfasst sowohl das Schreiben von Identifikatoren in das Endgerät (Push Abonnement plus Local Storage) als auch direkte Werbekommunikation. Damit greifen § 25 TDDDG, Art. 5(3) ePrivacy und § 7 UWG. DSK, CNIL und AEPD verlangen eine vorherige, freiwillige, spezifische und informierte Einwilligung durch eindeutig bestätigende Handlung. Der native Browser Prompt allein genügt nicht: Setzen Sie einen Pre Prompt mit Erläuterung von Zweck, Frequenz und Empfänger ein und registrieren Sie den Service Worker erst nach aktiver Bestätigung einer Marketing Kategorie im CMP.
Das Push Abonnement stützt sich auf Art. 6(1)(a) DSGVO (Einwilligung), in Kombination mit Art. 5(3) ePrivacy und § 25 TDDDG für die Speicherung von Identifiern sowie Art. 4(11) DSGVO für die bestätigende Handlung. Verhaltensbasierte Segmentierung, die Abonnenten profiliert (gelesene Artikelkategorien, betrachtete Produkte), beruht auf derselben Einwilligung und kann Art. 22 DSGVO auslösen, wenn sie zu rein automatisierten Entscheidungen mit erheblichen Auswirkungen führt. Berechtigtes Interesse scheidet in der Regel aus, da der EDSA für elektronische Direktwerbung an natürliche Personen Einwilligung nach ePrivacy verlangt.
Ja. Pushly sitzt in New York und betreibt seine Infrastruktur in AWS Regionen der USA. Die Zustellung läuft über Apple APNs, Google FCM und Mozilla autopush, alle US ansässig. Die Endpoint URL verrät bereits den Push Anbieter und jede Payload Metadatum erreicht diesen Anbieter. Solche Transfers erfordern entweder das EU US Data Privacy Framework bei zertifizierten Empfängern oder die EU Standardvertragsklauseln 2021, dazu ein Schrems II Transfer Impact Assessment mit Payload Verschlüsselung, kurzer Aufbewahrung, rollenbasiertem Zugriff und Audit Logging.
Eine DSFA ist empfehlenswert, wenn Pushly für Profiling (Verhaltenssegmente, Lookalike Audiences), für umfangreiches Retargeting anonymer Besucher, für Push an unter 16 Jährige oder für die Verknüpfung von Push Abonnements mit eingeloggten Identitätsdaten eingesetzt wird. EDSA Kriterien (umfangreiche Verarbeitung, Bewertung oder Scoring, innovative Technologien) sowie die Muss Listen von DSK, CNIL und AEPD lösen in diesen Fällen meist eine DSFA aus. Die Bewertung muss den Datenfluss zu Publisher, Pushly und Betriebssystem Push Diensten sowie die zusätzlichen Schrems II Maßnahmen beschreiben.
Platzieren Sie das Pushly SDK in Ihrem Consent Management Tool unter einer Kategorie Marketing oder Kommunikation und halten Sie es bis zum Opt In blockiert. Zeigen Sie einen Pre Prompt, der Verantwortlichen, Zweck, Frequenz und Drittparteien benennt. Registrieren Sie den Service Worker erst nach Einwilligung auf Ihrer Origin und lösen Sie dann den nativen Browser Prompt aus. Loggen Sie die Einwilligung mit Zeitstempel und Banner Version. Bieten Sie ein Präferenzzentrum, einen Ein Klick Abmeldelink in jeder Push und replizieren Sie Widerrufe über die Pushly API.
EU gehostete oder EU freundliche Alternativen sind OneSignal mit EU Datenresidenz, Batch (Frankreich, inklusive Mobile Push), Brevo Push (vormals Sendinblue), Notifix (Frankreich) und selbst gehostete Lösungen, die Web Push Bibliotheken auf eigenem Backend mit Mozilla autopush und FCM Endpoints nutzen. Apple APNs, Google FCM und Mozilla autopush lassen sich für die eigentliche Zustellung nicht umgehen, aber EU Dashboards und EU Speicher reduzieren die US Transferfläche und erleichtern die Subunternehmerverwaltung. Wählen Sie einen Anbieter mit EU SCC basierter AVV und EU Region.
Fügen Sie einen Abschnitt ein, der The Arena Group (Pushly) als Dritten benennt und erklärt, dass Web Push auf einem Service Worker, einem bei Pushly gespeicherten Endpoint und der Zustellung über Apple, Google und Mozilla Push Dienste beruht. Geben Sie die Datenkategorien (Endpoint, IP, User Agent, Segmente, Engagement Events), die Aufbewahrungsfrist, die Rechtsgrundlage (Art. 6(1)(a) und Art. 5(3) ePrivacy, § 25 TDDDG), den Übermittlungsmechanismus (DPF oder SCC mit ergänzenden Maßnahmen) und die Rechte auf Auskunft, Löschung und Widerruf an, samt direktem Abmeldepfad.