Start/Journal/Klaviyo DSGVO-konform: So setzt du Email
Klaviyo DSGVO-konform: So setzt du Email-Marketing in DACH richtig auf
Klaviyo ist eines der besten Email-Tools für E-Commerce, aber es ist eine US-Software. In DACH-Shops kommen sofort drei Themen zusammen: DSGVO, Datentransfer in die USA und Double-Opt-In. Wer hier schludert, riskiert Abmahnungen und Bußgelder. Mit den richtigen Settings ist Klaviyo aber sauber einzurichten und voll DSGVO-konform nutzbar.
Ist Klaviyo überhaupt DSGVO-konform nutzbar?
Ja, Klaviyo lässt sich DSGVO-konform betreiben. Aber nicht out-of-the-box. Klaviyo ist ein US-Anbieter, also greift das EU-US Data Privacy Framework von 2023, der Nachfolger von Privacy Shield. Klaviyo ist seit 2024 nach diesem Framework zertifiziert.
Das alleine reicht aber nicht. Du brauchst zusätzlich einen Auftragsverarbeitungsvertrag (AVV, englisch DPA), korrekt konfigurierten Double-Opt-In, eine sauber dokumentierte Einwilligung und einen Cookie-Consent-Banner, der auch Klaviyo-Tracking abdeckt. Drei dieser vier Dinge übersehen viele Shops.
Wo finde ich den Auftragsverarbeitungsvertrag mit Klaviyo?
Klaviyo stellt einen Standard-AVV im Account zur Verfügung. Du findest ihn unter Account Settings, dann Privacy & Compliance, dann Data Processing Addendum. Mit einem Klick akzeptierst du den Vertrag, Klaviyo speichert deine Zustimmung mit Zeitstempel und schickt dir eine PDF-Kopie zu.
Diese PDF gehört in deine Datenschutz-Dokumentation. Speicher sie zusammen mit deinem Verzeichnis von Verarbeitungstätigkeiten (VVT). Wenn jemand fragt, kannst du innerhalb von Minuten nachweisen, dass du den AVV unterzeichnet hast.
Wie aktiviere ich Double-Opt-In in Klaviyo?
Double-Opt-In ist in Deutschland faktisch Pflicht. Auch wenn die DSGVO selbst kein Double-Opt-In explizit verlangt, fordert es die deutsche Rechtsprechung seit Jahren als Nachweis der Einwilligung.
In Klaviyo aktivierst du Double-Opt-In pro Liste. Geh in die Liste, dann Settings, dann Opt-In Process. Aktivier dort Double Opt-in. Klaviyo sendet jetzt automatisch eine Bestätigungs-Email an jede neue Anmeldung. Erst nach Klick auf den Link landet die Person auf der Liste.
Wichtig: passe die Bestätigungs-Email auf deinen Brand-Ton an. Die Default-Vorlage ist generisch und untertstützt nicht alle Shopify-Brand-Standards. In Email-Templates findest du das DOI-Template und kannst es bearbeiten.
Was muss der Cookie-Consent für Klaviyo enthalten?
Klaviyo setzt mehrere Cookies, vor allem für Web-Tracking, On-Site Forms und Browse Abandonment. Diese Cookies brauchen aktive Zustimmung über deinen Cookie-Banner. Stillschweigende Zustimmung oder vorausgewählte Häkchen sind seit dem TTDSG (Mai 2021) nicht mehr zulässig.
Wenn du Cookiebot, Usercentrics oder eine ähnliche Consent-Lösung nutzt, hinterlege Klaviyo dort als Drittdienst. Klaviyo selbst stellt eine Liste der gesetzten Cookies zur Verfügung. Bei einem typischen Shopify-Klaviyo-Setup sind das fünf bis sieben Cookies, alle in der Kategorie Marketing.
Im Klaviyo-Onsite-JavaScript fügst du einen Consent-Listener ein, sodass das Klaviyo-Skript erst nach Zustimmung lädt. Klaviyo dokumentiert das im Help Center unter Consent-Mode-Integration.
Ist der Datentransfer in die USA bei Klaviyo legal?
Seit Juli 2023 gibt es das EU-US Data Privacy Framework. Klaviyo ist nach diesem Framework zertifiziert. Das bedeutet: Datentransfer in die USA ist auf dieser Rechtsgrundlage legal, solange Klaviyo zertifiziert bleibt.
Trotzdem solltest du in deiner Datenschutzerklärung den Datentransfer transparent erklären: dass Klaviyo in den USA sitzt, dass die Verarbeitung dort stattfindet, auf welcher Rechtsgrundlage. Eine vorgefertigte Klausel findest du in jedem aktuellen Datenschutzerklärung-Generator wie eRecht24 oder activeMind.
Sollte das Framework wieder gekippt werden (was die Schrems-III-Klage vor dem EuGH versucht), wechselst du auf die Standardvertragsklauseln und ein Transfer-Impact-Assessment. Aber das ist Stand 2026 nicht akut.
Welche Klaviyo-Klauseln gehören in die Datenschutzerklärung?
Mindestens diese Punkte: dass du Klaviyo als Email-Marketing-Tool nutzt, der Anbieter (Klaviyo Inc., 125 Summer Street, Boston, MA), die Rechtsgrundlage (Art. 6 Abs. 1 lit. a DSGVO bei Newsletter-Anmeldungen), die verarbeiteten Datenarten (Email, Name, Verhaltensdaten wie Klicks und Kaufverhalten), die Speicherdauer und der Hinweis auf das Data Privacy Framework.
Ein Mustertext findet sich in den DSGVO-Generatoren. Achte darauf, dass Klaviyo namentlich erwähnt wird, nicht nur generisch als Email-Marketing-Tool. Bei einem Audit ist das ein häufiges Defizit.
Wie trage ich Klaviyo ins Verarbeitungsverzeichnis ein?
Im Verarbeitungsverzeichnis (VVT, Art. 30 DSGVO) gehört Klaviyo als Auftragsverarbeiter mit eigener Zeile. Die Zeile enthält: Name und Adresse des Auftragsverarbeiters, Zweck der Verarbeitung, betroffene Personen, Datenkategorien, Empfänger, Drittlandtransfer, technische und organisatorische Maßnahmen.
Diese Eintragung kostet zehn Minuten und schützt dich bei einer Datenschutzbehörde-Anfrage erheblich. Wenn du Shopify als E-Commerce-Plattform und Klaviyo als Email-Tool nutzt, brauchst du je eine Zeile im VVT.
Wie funktioniert das Recht auf Löschung und Auskunft bei Klaviyo?
Klaviyo bietet im Account-Bereich ein Profile-Search-Tool. Suchst du dort nach einer Email-Adresse, siehst du alle gespeicherten Daten dieser Person. Mit einem Klick auf Suppress oder Delete entfernst du die Person aus aktiven Listen oder löschst sie komplett.
Bei Auskunfts-Anfragen exportierst du das Profil als JSON oder CSV und schickst es der Person. Bei Löschungs-Anfragen markierst du das Profil als gelöscht. Klaviyo behält dann nur einen Hash der Email-Adresse, um die Person bei künftigen Anmeldungen direkt wieder als gelöscht zu erkennen. Das ist im Sinne der DSGVO erlaubt und hilfreich.
Häufige Fragen
Ist Klaviyo DSGVO-konform?
Ja, Klaviyo lässt sich DSGVO-konform betreiben. Voraussetzung sind ein akzeptierter Auftragsverarbeitungsvertrag, aktiviertes Double-Opt-In, korrekt eingerichteter Cookie-Consent und eine angepasste Datenschutzerklärung. Klaviyo ist seit 2024 nach dem EU-US Data Privacy Framework zertifiziert.
Brauche ich Double-Opt-In bei Klaviyo?
In Deutschland faktisch ja. Auch wenn die DSGVO Double-Opt-In nicht explizit verlangt, fordert die deutsche Rechtsprechung es als Nachweis der Einwilligung. Du aktivierst es pro Liste in den Klaviyo-Settings unter Opt-In Process.
Wo finde ich den AVV für Klaviyo?
Im Klaviyo-Account unter Account Settings, dann Privacy and Compliance, dann Data Processing Addendum. Mit einem Klick akzeptierst du den Standard-AVV. Klaviyo schickt dir eine PDF-Kopie und speichert die Zustimmung mit Zeitstempel.
Welche Cookies setzt Klaviyo?
Klaviyo setzt typischerweise fünf bis sieben Cookies, vor allem für Web-Tracking, On-Site Forms und Browse Abandonment. Alle gehören in die Kategorie Marketing und brauchen aktive Zustimmung über den Cookie-Banner. Eine vollständige Liste pflegt Klaviyo im Help Center.
Was passiert mit Klaviyo wenn das Privacy Framework gekippt wird?
Solltest du als Shop-Betreiber:in betroffen sein, würdest du auf die Standardvertragsklauseln (SCCs) und ein Transfer-Impact-Assessment wechseln. Klaviyo unterstützt diese Rechtsgrundlage parallel. Stand 2026 ist das kein akutes Thema, aber es lohnt, die Dokumentation aktuell zu halten.
Verwandte Beiträge aus dem Journal
Wenn dir der Artikel weitergeholfen hat und du jemanden suchst, der das in deinem Shop umsetzt: ich biete SEO-Audits, Shopify-Setup und Klaviyo-Programme für DACH-Stores. Erstgespräch kostenlos, dauert dreißig Minuten.
Lust auf mehr?
Wenn dir der Artikel was gebracht hat, kommt der nächste vermutlich auch in Frage.
Erstgespräch buchen →