Klarna On-Site Messaging und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Klarna On-Site Messaging ein, verarbeitet Klarna beim Aufruf einer Produkt- oder Warenkorbseite mit eingebundenem OSM-Widget regelmäßig Webserver-Protokolldaten und – je nach Konfiguration – Bestellbezugsdaten, um personalisierte Hinweise auf Klarna-Zahlungs- und Finanzierungsoptionen einzublenden. Diese Seite zeigt Webseitenbetreibern in Deutschland, welche Daten Klarna On-Site Messaging nach den öffentlich zugänglichen Angaben des Anbieters verarbeitet und welche Pflichtangaben dazu in die Datenschutzerklärung der Webseite gehören.

A. Zweck und Funktionsweise von Klarna On-Site Messaging

Klarna On-Site Messaging (OSM) ist ein JavaScript-Widget, das Webseitenbetreiber – typischerweise Online-Shops – auf Produkt-, Kategorie- und Warenkorbseiten einbinden, um Hinweise auf Klarna-Zahlungs- und Finanzierungsoptionen (z. B. „Pay later", „Pay in 3", Ratenzahlung) zu platzieren. Das Widget zeigt kontextabhängige Banner oder Texte mit Hinweis auf Klarna-Zahlungsmöglichkeiten an und verlinkt auf weiterführende Informationen.

Diese Seite konzentriert sich auf die Integrations-Funktion OSM-Widget. Andere Klarna-Funktionen (Checkout-Integration, Klarna Hosted Payment Page, Klarna SDK für Apps) sind nicht Gegenstand dieser Darstellung und im Einzelfall durch den Webseitenbetreiber separat zu prüfen. Sobald ein Endgerät eine Seite mit eingebundenem OSM-Widget lädt, ruft der Browser des Nutzers das Widget direkt von Klarna-Servern ab.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Klarna On-Site Messaging

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu Betroffenenrechten und Aufsichtsbehörde tool-bezogen bestimmte Mindestinhalte. Für den Einsatz von Klarna On-Site Messaging sind das insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO),
• bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt erhobenen Daten zusätzlich die Kategorien der Daten (Art. 14 Abs. 1 lit. d DSGVO).

Es ist nicht erforderlich, Klarna On-Site Messaging mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen, auch wenn diese Praxis weit verbreitet ist. Die „Textbaustein-pro-Tool"-Methode hat sich als schlechte Manier etabliert: Sie führt zu langen, redundanten Texten, macht die Datenschutzerklärung schwer pflegbar und steht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Drittanbieter-Inhalte, Verkauf/Zahlung …) beschreibt und Klarna lediglich in einem Anhang Empfänger benennt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Klarna On-Site Messaging

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters die Klarna Bank AB (publ), mit Sitz in Sveavägen 46, 111 34 Stockholm, Schweden. Klarna ist ein in Schweden ansässiges, von der schwedischen Finanzaufsichtsbehörde (Finansinspektionen) zugelassenes Kreditinstitut. Welche Klarna-Konzerngesellschaft im Einzelfall Vertragspartner ist, ist vom Webseitenbetreiber anhand der Vertragsunterlagen zu prüfen.

Der Sitz von Klarna liegt im EWR; ein Drittlandtransfer für Zwecke des OSM-Widgets ist nach den öffentlich zugänglichen Angaben nicht primär vorgesehen, kann aber je nach Subprozessor-Einsatz vorkommen.

Die Datenschutzhinweise von Klarna sind abrufbar unter https://www.klarna.com/de/datenschutz/. Informationen zum Einsatz von OSM stellt Klarna im Trust- bzw. Compliance-Bereich der Webseite bereit.

D. Datenverarbeitung durch Klarna On-Site Messaging – Ablauf in Schritten

E. Erhobene Daten beim Einsatz von Klarna On-Site Messaging

Im Zusammenhang mit Klarna On-Site Messaging werden nach den öffentlich zugänglichen Angaben des Anbieters typischerweise IP-Adresse, Zeitstempel, aufgerufene URL, Referrer, User-Agent, Endgerät- und Browser-Informationen sowie – je nach Konfiguration – Bestellbezugsdaten (Warenwert, Währung, Produkt-IDs) verarbeitet.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Zeitstempel, URL, Referrer, User-Agent, Statuscode der Serverantwort.
• Endgeräte-Daten: Gerätetyp und Betriebssystem, soweit aus dem User-Agent ableitbar.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: aus der IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Conversion-Ereignisse: Anzeige eines OSM-Widgets, Klick auf den Hinweis, ggf. Übergang zur Klarna-Bezahlfunktion.

Zudem können Bestellbezugsdaten (Warenwert, Währung, Produkt-Identifier) übermittelt werden, soweit dies in der Konfiguration vorgesehen ist.

F. Nutzungszwecke beim Einsatz von Klarna On-Site Messaging

Webseitenbetreiber nutzen Klarna On-Site Messaging in der Regel zur Bewerbung von Klarna-Zahlungs- und Finanzierungsoptionen auf Produkt-, Kategorie- und Warenkorbseiten, zur Steigerung der Conversion-Rate und zur Information der Nutzer über verfügbare Bezahlmöglichkeiten.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Anzeige der OSM-Banner und Texte als Drittanbieter-Inhalt.
• Sicherheit und Missbrauchsschutz: Erkennung anomaler Nutzungsmuster.
• Allgemeine Produktverbesserung: Erfolgsmessung der Banner-Anzeige.
• Allgemeines Marketing: Bewerbung von Klarna-Zahlungs- und Finanzierungsoptionen, Reichweitenanalyse.

G. Rechtsgrundlagen beim Einsatz von Klarna On-Site Messaging

In einem ersten Schritt ist Klarna On-Site Messaging einer Tool-Kategorie zuzuordnen: Es handelt sich im Schwerpunkt um ein Tool aus der Kategorie Drittanbieter-Inhalte, ergänzt um Funktionen der Kategorien Verkauf/Zahlung sowie ggf. Tracking (Marketing), soweit Conversion-Ereignisse erfasst werden.

In einem zweiten Schritt kommen folgende Rechtsgrundlagen typischerweise in Betracht:

• Für die Einbindung des Widgets als Drittanbieter-Inhalt: regelmäßig Drittanbieter-Inhalte-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG.
• Alternativ kommt – soweit das Widget zur Bereitstellung einer ausdrücklich gewünschten Funktion (z. B. eines bestimmten Bezahlinformations-Hinweises auf Wunsch des Nutzers) eingebunden wird – ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an Sicherheit und Effizienz in Betracht. Diese Einordnung ist im Einzelfall sorgfältig zu prüfen, da das OSM-Widget regelmäßig nicht „unbedingt erforderlich" im Sinne von § 25 Abs. 2 TDDDG sein dürfte.
• Für die Erfolgsmessung des Widgets: regelmäßig Marketing-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

Welche Rechtsgrundlage konkret einschlägig ist, hängt von der Ausgestaltung des Einsatzes (Consent-Banner, Konfiguration des Widgets) ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Klarna On-Site Messaging

• Rolle des Anbieters: Klarna tritt nach den öffentlich zugänglichen Angaben für die im Rahmen von OSM verarbeiteten Daten regelmäßig als eigenständig Verantwortlicher auf. Eine Auftragsverarbeitung scheidet insoweit typischerweise aus.
• Drittanbieter-Inhalt: OSM lädt JavaScript und Inhalte von Klarna-Servern. Eine vorherige Einwilligung im Consent-Banner („Drittanbieter-Inhalte-Einwilligung") ist regelmäßig erforderlich.
• Drittlandtransfer: Klarna sitzt im EWR; je nach eingesetzten Subprozessoren können Drittlandtransfers im Einzelfall vorkommen.
• Subprozessoren: Eine Liste ergibt sich aus den Klarna-Compliance-Unterlagen.
• Einstellungen für den Webseitenbetreiber: Empfehlenswert ist eine bewusste Konfiguration, welche Bestellbezugsdaten an Klarna übermittelt werden, sowie die Kopplung des Widgets an das Consent-Management-System.
• Quellenhinweis: Die Angaben beruhen auf öffentlich zugänglichen Veröffentlichungen des Anbieters und ersetzen keine Einzelfallprüfung.

I. Häufige Fragen zu Klarna On-Site Messaging und Datenschutz

J. Fazit zu Klarna On-Site Messaging

Beim Einsatz von Klarna On-Site Messaging werden personenbezogene Daten der Webseitenbesucher direkt an Klarna übermittelt, das hierfür typischerweise als eigenständig Verantwortlicher auftritt. Anbieter ist die Klarna Bank AB (publ) mit Sitz in Schweden. Zentrale Pflichten sind die rechtssichere Einbindung als Drittanbieter-Inhalt im Consent-Management, eine bewusste Konfiguration der übermittelten Bestellbezugsdaten und Aufnahme von Klarna im Anhang Empfänger der Datenschutzerklärung.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für Klarna On-Site Messaging einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Drittanbieter-Inhalte, Verkauf/Zahlung …) übergreifend erklärt und nur im Anhang Empfänger die einzelnen Anbieter wie Klarna nennt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com