Klaviyo und Datenschutz: DSGVO-konform E-Mail Marketing betreiben

Klaviyo ist ein US-Unternehmen mit Sitz in Boston. Das wirft für europäische Nutzer die Frage auf: Ist Klaviyo DSGVO-konform? Die kurze Antwort: Ja, wenn du es richtig einrichtest. Hier ist, was du dafür tun musst.

Klaviyo und das EU-US Data Privacy Framework

Klaviyo ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Das DPF ist der Nachfolger des 2020 gekippten Privacy Shield und wurde im Juli 2023 von der EU-Kommission als angemessenes Datenschutzniveau anerkannt (Angemessenheitsbeschluss gem. Art. 45 DSGVO).

Das bedeutet: Der Datentransfer von der EU in die USA ist auf dieser Grundlage rechtlich zulässig, solange das empfangende US-Unternehmen DPF-zertifiziert ist. Klaviyo ist das.

Auftragsverarbeitungsvertrag (AVV) abschließen

Art. 28 DSGVO verlangt, dass du mit jedem Dienstleister, der personenbezogene Daten in deinem Auftrag verarbeitet, einen Auftragsverarbeitungsvertrag (AVV) abschließt. Klaviyo stellt einen AVV (im Englischen "Data Processing Agreement" / DPA) bereit.

Du findest den AVV in deinem Klaviyo-Account unter Settings → Data Processing Agreement. Dort kannst du den Vertrag direkt digital unterzeichnen. Der AVV regelt unter anderem:

• Welche Daten Klaviyo verarbeitet (E-Mail-Adressen, Namen, Kaufverhalten etc.)
• Dass Klaviyo die Daten nur nach deiner Weisung verarbeitet
• Technische und organisatorische Schutzmaßnahmen
• Rechte der betroffenen Personen (Auskunft, Löschung etc.)
• Sub-Auftragsverarbeiter die Klaviyo einsetzt

Double Opt-in einrichten

In Deutschland und Österreich ist Double Opt-in der empfohlene Standard für Newsletter-Anmeldungen. Das bedeutet: Nach der Eingabe der E-Mail-Adresse in ein Formular erhält der Nutzer eine Bestätigungs-Mail und muss den Anmeldelink klicken.

In Klaviyo aktivierst du Double Opt-in in den List Settings. Wichtig: Dokumentiere den Consent. Klaviyo speichert automatisch den Zeitstempel, die IP-Adresse und die Quelle der Anmeldung.

Datenschutzerklärung anpassen

Deine Datenschutzerklärung muss Klaviyo als Auftragsverarbeiter benennen. Folgende Punkte sollten enthalten sein:

• Name und Adresse: Klaviyo, Inc., 225 Franklin St., Boston, MA 02110, USA
• Zweck: E-Mail Marketing, Marketing-Automation, Profiling
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Newsletter; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für transaktionale Mails
• Datentransfer: USA, auf Basis des EU-US Data Privacy Framework + Standardvertragsklauseln
• AVV: Abgeschlossen gemäß Art. 28 DSGVO

Tracking und Cookies

Klaviyo setzt Cookies und Tracking-Pixel ein, um das Verhalten der Nutzer auf deiner Website zu erfassen (z.B. Viewed Product, Added to Cart). Dieses Tracking fällt unter die ePrivacy-Richtlinie und erfordert eine vorherige Einwilligung des Nutzers.

Das bedeutet: Der Klaviyo-Tracking-Code auf deiner Website darf erst geladen werden, nachdem der Nutzer im Cookie-Banner zugestimmt hat. Die meisten Consent Management Plattformen (CMP) wie Cookiebot oder Usercentrics unterstützen die bedingte Einbindung von Klaviyo.

Rechte der Betroffenen

Deine Kunden haben nach der DSGVO das Recht auf:

• Auskunft (Art. 15): Welche Daten speicherst du über mich?
• Löschung (Art. 17): Bitte lösche alle meine Daten.
• Widerspruch (Art. 21): Ich will keine Mails mehr bekommen.
• Datenübertragbarkeit (Art. 20): Gib mir meine Daten in einem maschinenlesbaren Format.

In Klaviyo kannst du Profildaten einsehen, exportieren und löschen. Die Abmeldemöglichkeit (Unsubscribe Link) muss in jeder Marketing-Mail enthalten sein. Klaviyo fügt diesen automatisch ein.

Checkliste: Klaviyo DSGVO-konform nutzen

1. AVV in Klaviyo digital unterzeichnen
2. Double Opt-in für alle Listen aktivieren
3. Datenschutzerklärung um Klaviyo-Passage ergänzen
4. Cookie-Banner so konfigurieren, dass Klaviyo-Tracking erst nach Consent lädt
5. Unsubscribe-Link in jeder Marketing-Mail sicherstellen
6. Prozess für Auskunfts- und Löschungsanfragen definieren
7. Liste der Sub-Auftragsverarbeiter von Klaviyo dokumentieren