Ist Klaviyo DSGVO-konform? Alles, was deutsche Unternehmen wissen müssen

---

Du findest die umfangreichen Marketing- und CRM-Funktionen von Klaviyo spannend und würdest gerne wechseln, bist dir aber nicht sicher, ob alles auch wirklich DSGVO-konform ist? Dann bist du hier richtig. Die kurze Antwort auf die Frage: „Ist Klaviyo DSGVO-konform?“ ist ein eindeutiges Ja. Klaviyo bietet die technische Grundlage, die du für eine sichere und DSGVO-konforme Datenverarbeitung brauchst. Allerdings solltest du beachten, dass es bei der DSGVO-Konformität nicht nur um das Tool selbst geht. Die Art und Weise, wie du Klaviyo verwendest, ist ebenfalls entscheidend, wenn es darum geht, alle DSGVO-Anforderungen zu erfüllen.

In diesem Artikel findest du eine leicht verständliche Übersicht über das Compliance-Framework von Klaviyo, praktische Tipps für eine DSGVO-konforme Nutzung der Plattform und konkrete Beispiele für deutsche Unternehmen, die Klaviyo bereits erfolgreich nutzen.

Hinweis: 

Die in diesem Leitfaden bereitgestellten Informationen dienen ausschließlich der Information und stellen keine Rechtsberatung dar. Klaviyo empfiehlt allen seinen Kunden und allen E-Commerce-Händlern, sich zur Einhaltung der DSGVO rechtlich beraten zu lassen.

Das Compliance-Framework von Klaviyo: Technische Sicherheit als Fundament für DSGVO-Konformität

Seit dem 25. Mai 2018 gilt in der EU – und somit auch in Deutschland – die Datenschutz-Grundverordnung (kurz DSGVO), deren oberstes Ziel der Schutz der Privatsphäre aller EU-Bürger*innen ist. Alle Unternehmen, die innerhalb der EU agieren, müssen sich an die Vorschriften zur Verarbeitung von personenbezogenen Daten halten – auch wenn sich ihr Hauptsitz außerhalb der EU befindet. 

Um dies zu unterstützen, hat Klaviyo ein DSGVO-Compliance-Framework eingeführt, das aus folgenden Bestandteilen besteht:

• Auftragsverarbeitungsvertrag (AVV)
• Technische und organisatorische Maßnahmen zum Datenschutz
• Betroffenenrechte
• ein legaler Mechanismus für internationale Datenübermittlung
• Vereinbarungen mit Unterauftragsverarbeitern

Sicherheitszertifizierungen von Klaviyo

Klaviyo hat zahlreiche unabhängige Zertifizierungen erworben, um nachzuweisen, dass die technischen Voraussetzungen für DSGVO-Compliance gegeben sind. 

Dazu zählen: 

• ISO 27001:2022: internationaler Standard für Informationssicherheits-Managementsysteme. Bestätigt systematischen Schutz von Daten durch technische und organisatorische Maßnahmen.  
• ISO 27017:2015: bestätigt sichere Bereitstellung und Nutzung von Cloud-Services.
• SOC 2 Type II: unabhängiger Prüfstand für die Gestaltung und operative Effektivität der Sicherheitsmaßnahmen von Unternehmen.

Automatisch integrierter Auftragsverarbeitungsvertrag (AVV)

Um die Rolle von Klaviyo im Rahmen der DSGVO verstehen zu können, müssen wir zunächst ein paar Begriffe klären:

• Auftragsverarbeiter: ein Unternehmen, das personenbezogene Daten im Auftrag und nach Weisung eines anderen Unternehmens verarbeitet (in diesem Fall: Klaviyo)
• Verantwortlicher: ein Unternehmen, das festlegt, warum und wie sie verarbeitet werden dürfen (in diesem Fall: Kunden von Klaviyo)
• Auftragsverarbeitungsvertrag (AVV): ein verpflichtender Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter
• Unterauftragsverarbeiter: ein Dienstleister, den der Auftragsverarbeiter beauftragt, um seine Dienstleistungen zu unterstützen (in diesem Fall zum Beispiel Amazon Web Services, Inc. als Cloud-Hosting-Anbieter)

Ohne AVV dürfen Auftragsverarbeiter in der EU keine personenbezogenen Daten verarbeiten. Bei Klaviyo ist dieser Vertrag direkt in die Nutzungsbedingungen integriert. Das bedeutet, dass alle Kunden, die den Nutzungsbedingungen von Klaviyo zustimmen, automatisch auch Begünstigte des AVV sind. Dieser Vertrag beschreibt die Rollen und Verantwortlichkeiten von Klaviyo (Auftragsverarbeiter) und dem Kunden (Verantwortlicher) im Umgang mit  personenbezogenen Kundendaten.

Der AVV beschreibt klar und deutlich, wie Klaviyo personenbezogene Daten verwaltet, und wurde gründlich geprüft, um die DSGVO-Verpflichtungen von Klaviyo zu erfüllen. Dabei verpflichtet sich Klaviyo, die personenbezogenen Kundendaten streng in Übereinstimmung mit den Weisungen jedes Kunden zu verarbeiten. 

Der AVV von Klaviyo enthält außerdem Informationen zu folgenden Themen:

• technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten
• Unterauftragsverarbeiter von Klaviyo

Welche personenbezogenen Daten verarbeitet Klaviyo?

Die Kunden von Klaviyo haben volle Kontrolle über die personenbezogenen Daten, die sie in die Klaviyo-Plattform hochladen. 

In der Regel handelt es sich dabei um folgende Daten der Endkund*innen:

• Name
• E-Mail-Adressen
• Telefonnummern
• IP-Adressen
• Cookie-Daten

Klaviyo kann auf diese Daten nur zugreifen und sie verarbeiten, sofern dies zur Bereitstellung der Dienste erforderlich ist. Die Verarbeitung von personenbezogenen Kundendaten wird streng von dem AVV geregelt.

DSGVO-konforme Datenübermittlungen bei Server-Location außerhalb der EU

Klaviyo hostet Daten auf Servern in den USA, vor allem im AWS-East-1-Rechenzentrum in Nord-Virginia. Die Server-Location außerhalb der EU stellt allerdings kein Problem für die DSGVO-Compliance von Klaviyo dar. 

Um die Einhaltung der Datenschutzbestimmungen zu gewährleisten und personenbezogene Kundendaten zu schützen, nutzt Klaviyo folgende Methoden zur internationalen Datenübermittlung:

• EU-U.S. Data Privacy Framework (DPF): Klaviyo ist gemäß dem EU-U.S. DPF zertifiziert. Dabei handelt es sich um einen rechtmäßigen Übermittlungsmechanismus für Daten zwischen der EU und den Vereinigten Staaten. Das DPF stellt sicher, dass personenbezogene Kundendaten, die von der EU in die USA übertragen werden, sicher und in Übereinstimmung mit den EU-Datenschutzanforderungen verarbeitet werden.
• Standardvertragsklauseln: Falls das DPF für eine bestimmte Übermittlung nicht zulässig oder verfügbar ist, gelten Standardvertragsklauseln für diese Übermittlung. Die Standardvertragsklauseln sind standardisierte und vorab von der Europäischen Kommission genehmigte Muster-Datenschutzklauseln, die Verantwortliche und Auftragsverarbeiter dazu verpflichten, ihre Sicherheits- und Verarbeitungsverpflichtungen gemäß dem EU-Datenschutzrecht einzuhalten.
• Transfer-Folgenabschätzungen (TIA): Klaviyo führt jährlich mindestens eine TIA für jedes verbundene Unternehmen von Klaviyo und jeden Unterauftragsverarbeiter sowie für jede Rechtsordnung, in die personenbezogene Kundendaten gesendet oder von der aus auf personenbezogene Kundendaten zugegriffen wird, durch.

Zusätzlich überwacht Klaviyo regelmäßig Aktualisierungen globaler Datenschutzgesetze, um Compliance mit für Klaviyo geltenden Vorschriften zu gewährleisten. 

Verwaltung von Unterauftragsverarbeitern: eine durchgängige Compliance-Kette

Um Dienste effizient erbringen zu können, arbeitet Klaviyo mit Unterauftragsverarbeitern zusammen. Dazu zählen mit Klaviyo verbundene Unternehmen sowie Drittanbieter. Klaviyo schließt schriftliche Vereinbarungen mit allen Unterauftragsverarbeitern ab und legt ihnen dieselben Datenschutzverpflichtungen auf, zu denen sich Klaviyo selbst verpflichtet hat.

Um Transparenz zu schaffen, benachrichtigt Klaviyo alle Kontoinhaber*innen und Administrator*innen von Kunden mindestens 15 Tage vor Zugriff eines neuen Unterauftragsverarbeiters auf personenbezogene Kundendaten über die geplante Nutzung.

Betroffenenrechte: Exportieren und Löschen von Kundenprofilen

Unter der DSGVO haben Privatpersonen das Recht, Informationen über die Verarbeitung ihrer Daten einzuholen und  eine Löschung der Daten zu verlangen.

Sie können beispielsweise folgende Informationen anfragen: 

• Welche Daten werden gespeichert?
• Zu welchem Zweck werden sie gespeichert?
• An wen werden sie weitergegeben?

Klaviyo bietet Tools, mit denen du ganz einfach auf diese Anfragen reagieren kannst.

Kanalübergreifendes Einwilligungsmanagement

Bei Klaviyo haben Endkund*innen volle Kontrolle über die Marketing-Kanäle, über die sie von einem Unternehmen hören wollen. Gleichzeitig bekommen Unternehmen einen Überblick über die dafür gegebenen Einwilligungen. Für jede Art von Marketing-Kommunikation sollten Unternehmen nämlich die explizite Einwilligung der Empfänger*innen einholen. Das gilt für E-Mail-Marketing genauso wie für SMS-Marketing oder WhatsApp-Marketing.

Eine besonders praktische Funktion ist einwilligungsbasierte Segmentierung, die dabei hilft sicherzustellen, dass Nachrichten nur an Menschen gesendet werden, die eine Einwilligung für den jeweiligen Kanal erteilt haben.

So kannst du beispielsweise folgende Bedingungen erstellen:

• Nur Kund*innen, die eine Einwilligung für E-Mail-Marketing erteilt haben, erhalten deine Marketing-E-Mails.
• Nur Kund*innen, die eine Einwilligung für SMS-Marketing erteilt haben, bekommen eine Erinnerung per SMS nach einem Warenkorbabbruch.
• Nur Kund*innen, die eine Einwilligung für WhatsApp-Marketing erteilt haben, bekommen Early-Access-Benachrichtigungen für deinen Black-Friday-Sale per WhatsApp.

Einwilligungsnachweis

Es kann vorkommen, dass du im Rahmen der DSGVO nachweisen musst, dass eine Person eine Einwilligung für den Erhalt von Nachrichten erteilt hat. Klaviyo speichert wichtige Daten automatisch ab, wenn die Person ihre Einwilligung über ein Formular übermittelt:

• Formular-ID: eindeutige Formularerkennung, mit der du das spezifische Formular identifizieren kannst, das jemand zur Anmeldung verwendet hat
• Methode: Methode, die Abonnent*innen für die Anmeldung verwendet haben (zum Beispiel: Klaviyo-Anmeldeformular)
• Formular-Version: Formularversion, die Abonnent*innen zur Anmeldung verwendet haben
• Zeitstempel: genauer Zeitpunkt, zu dem das Formular abgesendet und die Einwilligung erteilt wurde.

Best Practices: Klaviyo DSGVO-konform nutzen

Klaviyo bietet die technische Grundlage für DSGVO-Compliance. Für eine DSGVO-konforme Nutzung von Klaviyo bist du als Unternehmen allerdings selbst verantwortlich. Um dich dabei zu unterstützen, haben wir hier einige Best Practices zusammengefasst.

• Füge Links zu deiner Datenschutzerklärung, Cookie-Richtlinie und deinen Nutzungsbedingungen in deine E-Mails ein.
• Verwende Double-Opt-in.
• Formuliere die Texte im Anmelde-Flow möglichst klar und präzise, damit sie leicht zu verstehen sind.
• Gestalte die Abmeldung genauso einfach wie die Anmeldung.

Double-Opt-in: DSGVO-konforme Newsletter-Anmeldung

Wenn du eine Newsletter-Zielgruppe aufbauen möchtest, wird dringend empfohlen, das Double-Opt-in-Verfahren nutzen, um sicherzustellen, dass deine neuen Abonnent*innen sich auch wirklich selbst mit ihrer E-Mail-Adresse angemeldet haben. 

So läuft das Double-Opt-in-Verfahren ab:

1. Seitenbesucher*innen tragen ihre E-Mail-Adresse in das Anmeldeformular ein und schicken es ab.
2. Du schickst eine automatische Bestätigungs-E-Mail an die neu eingetragenen Personen.
3. Neue Abonnent*innen klicken auf den Link in der Bestätigungs-E-Mail und schließen die Newsletter-Anmeldung ab.

1. Anmeldeformular

Um eine DSGVO-konforme Newsletter-Anmeldung einzurichten, benötigst du zunächst einmal ein Anmeldeformular. Achte darauf, dass das Formular möglichst einfach zu verstehen ist. Mit Klaviyo hast du die Möglichkeit, ein einfaches Formular zu erstellen, das nur nach der E-Mail-Adresse fragt. Du kannst aber auch mehrere Kästchen hinzufügen, um direkt Einwilligungen für mehrere Kanäle einzuholen. Wichtig: Aktiviere bei der Erstellung des Formulars die Option Datenschutzfelder aktivieren, um sicherzustellen, dass die Standardvorlage automatisch DSGVO-konforme Formulierungen verwendet.

Es ist durchaus legitim, einen Anreiz für die Newsletter-Anmeldung zu bieten. Viele Unternehmen gewähren beispielsweise einen kleinen Willkommensrabatt. Du könntest auch ein Formular für einen exklusiven frühen Zugang zum Black-Friday-Sale, ein Gewinnspiel oder andere Rabattaktionen erstellen. Wichtig ist, dass die Einwilligung immer freiwillig geschieht.

2. Bestätigungs-E-Mail

Der zweite Schritt im Double-Opt-in-Verfahren ist die Bestätigungs-E-Mail, die durch den Auslöser der Newsletter-Anmeldung automatisch abgeschickt wird. Der Zweck dieser E-Mail ist einfach: Neue Abonnent*innen werden aufgefordert, auf den Button zu klicken, um ihre Anmeldung abzuschließen.

Hier ein paar Tipps für eine effektive Bestätigungs-E-Mail:

• Halte dich kurz und knapp. Es sollte in dieser E-Mail ausschließlich um die Bestätigung der Anmeldung gehen.
• Vermeide Werbung. Du hast noch keine Einwilligung, Marketing-Botschaften zu verschicken.
• Hebe den Call-to-Action-Button hervor. Verwende klare Formulierungen und eine auffällige Farbe.
• Erinnere Leser*innen daran, dass die Anmeldung freiwillig ist. Weise sie darauf hin, dass sie diese E-Mail ignorieren können, wenn sie sich doch nicht anmelden wollen.

Opt-out-Mechanismen: Einfache Abmeldung als Compliance-Pflicht

Das Abmelden muss gemäß DSGVO genauso einfach wie das Anmelden sein. Das bedeutet konkret, dass jede E-Mail, jede SMS und jede WhatsApp-Nachricht, die du versendest, immer eine einfache Möglichkeit zum Abmelden enthalten muss. Bei E-Mails wird in der Regel ein Abmeldelink in den Footer eingefügt. Für WhatsApp und SMS solltest du einen Disclaimer wie beispielsweise „Sende STOPP, um dich abzumelden.“ hinzufügen. 

Besonders praktisch: Mit Klaviyo kannst du Abmeldelinks für einzelne E-Mail-Kampagnen erstellen. Wenn Abonnent*innen darauf klicken, werden sie lediglich von der aktuellen Kampagne abgemeldet, nicht aber vom Haupt-Newsletter.

E-Mail-Einstellungen: Volle Kontrolle über das Postfach

Wie findet man die beste Sendefrequenz, um Newsletter-Abonnent*innen am Ball zu halten, ohne dass deine E-Mails als störend empfunden werden? Du könntest sie einfach selbst entscheiden lassen. Das ist zwar nicht von der DSGVO vorgeschrieben, aber definitiv eine Geste der Wertschätzung für deine Newsletter-Abonnent*innen: Mit Klaviyo kannst du ganz einfach eine Umfrage verschicken, in der deine Abonnent*innen selbst auswählen können, wie häufig sie von dir hören wollen und welche Themen sie am meisten interessieren.

Bereit für Klaviyo?

Klaviyo bietet ein solides Fundament für DSGVO-konformes Marketing – und noch viel mehr. Als B2C CRM ist Klaviyo speziell an die Bedürfnisse von E-Commerce-Unternehmen ausgerichtet:

• Marketing-Automatisierung: perfekt getimte Erlebnisse mit Kampagnen und automatisierten Flows über E-Mail, SMS, Mobile Push und WhatsApp
• Segmentierung: fortschrittliche Personalisierungsoptionen durch Segmentierung und Predictive Analytics
• Kundendatenplattform: eine einzige Plattform für Marketing, Kundenservice und Analytics
• KI-Agents: innovative KI-Lösungen für einsatzbereite Kampagnen auf Knopfdruck und 24/7-Kundenservice
• Kundenservice: Self-Service-Customer-Hub, KI-Assistent und ein effizientes Helpdesk-System
• Analytics: optimierte Einsichten mit Multi-Touch-Attribution und KI-Vorhersagen

Im kostenlosen Abo von Klaviyo kannst du die Plattform ganz unverbindlich kennenlernen und bis zu 250 Kontakte einpflegen.