- Server: 🇩🇪 Frankfurt am Main, ausschließlich Deutschland
- Firmensitz: 🇩🇪 Oldenburg, Niedersachsen
- AVV: Direkt im Account abrufbar, kostenfrei
- Double-Opt-in: Standardmäßig aktiviert, nicht abschaltbar
- Verschlüsselung: TLS in transit, AES-256 at rest
- Bewertung: 5,0 / 5 Punkte – DSGVO-Top
Ist CleverReach DSGVO-konform?
Ja, vollständig. CleverReach erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und geht in vielen Punkten sogar über das Pflichtprogramm hinaus. Das Unternehmen wurde 2007 in Oldenburg gegründet und hat von Anfang an auf eine deutsche Infrastruktur gesetzt – DSGVO ist hier kein nachträglicher Aufwand, sondern Kern des Geschäftsmodells.
In unserem methodischen Test erhält CleverReach in der Kategorie DSGVO die volle Punktzahl (5,0 / 5). Damit gehört das Tool zu den nur drei Anbietern im Markt – neben rapidmail und KlickTipp – die sowohl Server als auch Firmensitz in Deutschland haben.
Server-Standort: Wo liegen die Daten?
Bei der DSGVO ist der Server-Standort der wichtigste Faktor. Hier ist CleverReach klar aufgestellt:
- Standort: Frankfurt am Main, Deutschland
- Rechenzentrum: Tier-3-zertifiziertes Rechenzentrum mit Redundanz
- Datenübertragung: Keine Übertragung in Drittländer (z.B. USA)
- Schrems-II-Risiko: Nicht relevant – Daten verlassen Deutschland nicht
- CDN: EU-only (Cloudflare EU-Routing)
Im Vergleich: Mailchimp betreibt seine Server in den USA, GetResponse in Polen, Mailerlite in Litauen. Selbst Brevo, das einen Standort in Berlin hat, betreibt zusätzlich Infrastruktur in Frankreich. Bei CleverReach gibt's diese Komplexität nicht: alle Daten bleiben in Deutschland.
Auftragsverarbeitungsvertrag (AVV)
Nach Art. 28 DSGVO musst du mit jedem Dienstleister, der personenbezogene Daten in deinem Auftrag verarbeitet, einen Auftragsverarbeitungsvertrag (AVV) abschließen. Das gilt auch für dein Newsletter-Tool.
Bei CleverReach ist das einfach geregelt:
- AVV ist direkt im Kundenkonto abrufbar
- Vorausgefüllt mit den Daten von CleverReach – du ergänzt nur noch deine
- Elektronische Unterschrift möglich – kein Papier-Versand nötig
- Kostenfrei verfügbar in allen Tarifen, auch im Free-Plan
- Inkl. detaillierter Liste der Subdienstleister (Hosting, E-Mail-Versand, etc.)
- Konform mit den Mustervorlagen deutscher Datenschutzbehörden
Double-Opt-in: Pflicht in Deutschland
Ohne Double-Opt-in (DOI) darfst du in Deutschland keinen Newsletter versenden. Bei CleverReach ist das gelöst:
- Standardmäßig aktiviert – muss nicht erst eingeschaltet werden
- Nicht abschaltbar – verhindert versehentliche Konfigurationsfehler
- Bestätigungsmail wird automatisch nach Anmeldung versendet
- Bestätigungslink ist 14 Tage gültig (konfigurierbar)
- Erst nach Klick auf den Link wird der Empfänger zur aktiven Liste hinzugefügt
- Anmelde-Protokoll: IP-Adresse, Zeitstempel und Quelle werden gespeichert (rechtssicherer Nachweis)
Der DOI-Prozess ist außerdem vollständig anpassbar: Bestätigungsmail-Text, Absender-Adresse, Bestätigungs-Landingpage – alles lässt sich an dein Branding anpassen.
Datensicherheit & Verschlüsselung
CleverReach setzt auf zeitgemäße Verschlüsselungsstandards:
| Bereich | Maßnahme | Standard |
|---|---|---|
| Datenübertragung | TLS 1.2 / 1.3 | aktuelle Web-Standards |
| Datenspeicherung | AES-256 Verschlüsselung | militärisch sicher |
| Passwörter | bcrypt-Hashing + Salt | Best Practice |
| Login-Sicherheit | 2-Faktor-Authentifizierung | optional aktivierbar |
| Backups | verschlüsselte Tagesbackups | zusätzliche Standorte in DE |
| Zugriffskontrolle | rollenbasiert + Audit-Logs | im Professional-Tarif |
| DDoS-Schutz | aktiv | schützt vor Ausfällen |
Zertifizierungen
CleverReach ist nach mehreren Standards zertifiziert:
- ISO 27001: Informationssicherheits-Managementsystem (geprüft & zertifiziert)
- Certified Senders Alliance (CSA): Mitglied seit Jahren – sorgt für bessere Zustellbarkeit bei deutschen Providern
- BvDW: Mitglied im Bundesverband Digitale Wirtschaft
- DEKRA-Trusted Cloud: Datenschutz-Zertifizierung
Im direkten Vergleich: rapidmail trägt zusätzlich die TÜV-Saarland-Zertifizierung. Mehr dazu in unserem CleverReach vs. rapidmail Vergleich.
DSGVO-Betroffenenrechte: Wie werden sie umgesetzt?
Die DSGVO gibt jedem Betroffenen mehrere Rechte. CleverReach unterstützt sie alle direkt im Tool:
Recht auf Auskunft (Art. 15 DSGVO)
Du kannst für jeden Empfänger einen vollständigen Datenexport erstellen – als PDF oder CSV. Das ist innerhalb von Minuten erledigt und enthält alle gespeicherten Felder, Kampagnen-Historie, Klick-Daten, Anmelde-Datum und IP.
Recht auf Berichtigung (Art. 16 DSGVO)
Empfängerdaten lassen sich jederzeit manuell oder per CSV-Import korrigieren. Gleichzeitig kannst du deinen Empfängern ein Self-Service-Formular zur Verfügung stellen ("Profile Update Form"), in dem sie ihre Daten selbst aktualisieren können.
Recht auf Löschung (Art. 17 DSGVO)
Empfänger können vollständig und nachweisbar gelöscht werden. Auf Wunsch erhältst du eine Lösch-Bestätigung. Die Löschung wirkt sofort und löscht auch die zugehörigen Tracking-Daten.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Du kannst Empfängerdaten jederzeit als CSV exportieren – mit allen Custom Fields, Tags und Status-Informationen. Damit ist auch ein Wechsel zu anderen Tools möglich.
Recht auf Widerspruch (Art. 21 DSGVO)
Jeder Newsletter enthält automatisch einen 1-Klick-Abmeldelink. Abmeldungen werden sofort wirksam – keine zusätzliche Bestätigung nötig.
CleverReach DSGVO im Vergleich zu anderen Tools
Wie schneidet CleverReach im DSGVO-Vergleich ab? Hier die wichtigsten Wettbewerber im Überblick:
| Tool | Server-Standort | Firmensitz | AVV | DSGVO-Note |
|---|---|---|---|---|
| CleverReach | 🇩🇪 Frankfurt | 🇩🇪 Oldenburg | im Account | ★★★★★ |
| rapidmail | 🇩🇪 Frankfurt + Freiburg | 🇩🇪 Freiburg | im Account | ★★★★★ |
| KlickTipp | 🇩🇪 Deutschland | 🇩🇪 Deutschland | im Account | ★★★★★ |
| Brevo | 🇪🇺 Frankreich + 🇩🇪 Berlin | 🇪🇺 Frankreich | im Account | ★★★★☆ |
| Mailerlite | 🇪🇺 Litauen | 🇪🇺 Litauen | auf Anfrage | ★★★★☆ |
| GetResponse | 🇪🇺 Polen | 🇪🇺 Polen | auf Anfrage | ★★★★☆ |
| Omnisend | 🇪🇺 Litauen + 🇺🇸 USA | 🇪🇺 Litauen | im Account | ★★★☆☆ |
| Mailchimp | 🇺🇸 USA | 🇺🇸 USA | SCC nötig | ★★☆☆☆ |
| ActiveCampaign | 🇺🇸 USA | 🇺🇸 USA | SCC nötig | ★★☆☆☆ |
DSGVO-kritische Branchen: Wann ist CleverReach besonders relevant?
Für bestimmte Branchen ist DSGVO-Konformität nicht "nice-to-have", sondern Pflicht – und ein Tool wie CleverReach ist dort unverzichtbar:
Patientendaten dürfen nicht in die USA. Mehr für Ärzte
Mandantendaten unterliegen Schweigepflicht. Mehr für Anwälte
Sensible Finanzdaten brauchen DE-Server. Mehr für Steuerberater
Mitgliederdaten erfordern hohe Sorgfalt. Mehr für Vereine
Schüler-/Studierendendaten unterliegen besonderem Schutz.
Daten dürfen Deutschland in der Regel nicht verlassen.
Was muss in deine Datenschutzerklärung?
Wenn du CleverReach nutzt, musst du das in deiner Datenschutzerklärung erwähnen. Hier ein Mustertext, den du anpassen kannst:
"Wir nutzen CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede. CleverReach ist ein Dienst, mit dem u.a. der Versand von Newslettern organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland gespeichert. Mit CleverReach haben wir einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Weitere Informationen finden Sie in der Datenschutzerklärung von CleverReach: cleverreach.com/de/datenschutz/."
Wechsel von Mailchimp zu CleverReach – DSGVO-Trigger
Viele deutsche Unternehmen wechseln zu CleverReach aus DSGVO-Gründen. Häufige Auslöser:
- Schrems-II-Urteil 2020: USA gilt nicht mehr als sicheres Drittland
- Aufforderung der Datenschutz-Behörde, US-Tools zu ersetzen
- Unsicherheit bezüglich Standardvertragsklauseln
- Anforderungen von Kunden, Partnern, Auftraggebern (DSGVO-Compliance-Audits)
- Branchen-Vorgaben (z.B. Ärzte, Anwälte, Behörden)
Mehr zum Wechselprozess in unserem Ratgeber Mailchimp Alternative DSGVO.
Häufige DSGVO-Fragen zu CleverReach
Ja, vollständig. Server in Deutschland (Frankfurt), Firmensitz in Deutschland (Oldenburg), Double-Opt-in standardmäßig, AVV im Account. Keine Datenübertragung in unsichere Drittländer.
Alle Server stehen in Frankfurt am Main. Keine Server außerhalb Deutschlands, keine Datenübertragung in die USA, kein Schrems-II-Risiko.
Ja. Der AVV nach Art. 28 DSGVO ist direkt im Kundenkonto abrufbar, vorausgefüllt und elektronisch unterzeichenbar. Kostenfrei in allen Tarifen.
Ja, standardmäßig aktiviert und nicht abschaltbar. Empfänger werden erst nach Klick auf den Bestätigungslink aktiv. IP, Zeitstempel und Quelle werden automatisch protokolliert.
Vollständige Löschung innerhalb von 30 Tagen. Auf Wunsch vorher Datenexport möglich. Lösch-Bestätigung wird auf Anfrage schriftlich bereitgestellt.
Sehr gut – auf Augenhöhe mit rapidmail und KlickTipp. Diese drei sind die einzigen Tools mit Server + Firmensitz vollständig in Deutschland. Mailchimp und ActiveCampaign sind kritisch (USA), Brevo/Mailerlite/GetResponse sind EU-konform aber außerhalb Deutschlands.
Das hängt nicht von CleverReach ab, sondern von deinem Unternehmen: Ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten, brauchst du einen Datenschutzbeauftragten – egal welches Newsletter-Tool. CleverReach selbst verlangt keinen DSB von dir.
Fazit: CleverReach ist DSGVO-Top
CleverReach gehört zu den DSGVO-stärksten Newsletter-Tools im Markt. Server in Deutschland, deutscher Firmensitz, AVV im Account, ISO 27001-Zertifizierung – alle relevanten Datenschutz-Anforderungen sind erfüllt und gehen teilweise über das Pflichtprogramm hinaus.
Wenn du als deutsches Unternehmen Wert auf Datenschutz legst und mit Mailchimp & Co. unsicher bist, ist CleverReach eine der sichersten Wahlmöglichkeiten – nur rapidmail und KlickTipp sind ähnlich stark aufgestellt.
Mehr Tiefe gibt's in unserem CleverReach Erfahrungsbericht, dem methodischen CleverReach Test und der Übersicht DSGVO-konformer Newsletter Tools.