Klaviyo und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Klaviyo ein, verarbeitet er regelmäßig E-Mail-Adresse, Anrede, Name, Anmeldedaten sowie Interaktionsdaten zu E-Mails und Webseitenbesuchen, um Newsletter und transaktionale Nachrichten zu versenden, Empfängergruppen zu segmentieren und den Erfolg von Kampagnen zu messen. Diese Verarbeitungen stützen sich typischerweise auf eine Einwilligung der Empfänger nach Art. 6 Abs. 1 lit. a DSGVO, flankiert von berechtigten Interessen an Rechtsdurchsetzung für Nachweisdaten. Der folgende Beitrag fasst zusammen, was Klaviyo nach den öffentlich zugänglichen Angaben des Anbieters tut und welche Pflichtangaben in die Datenschutzerklärung der Webseite gehören.

A. Klaviyo: Zweck und Funktionsweise

Klaviyo ist eine Cloud-Plattform für E-Mail- und SMS-Marketing, Marketing-Automation und kanalübergreifende Kundenkommunikation. Webseitenbetreiber, insbesondere im E-Commerce, nutzen Klaviyo vor allem, um Newsletter zu versenden, automatisierte E-Mail-Strecken (z. B. Willkommensserien, Warenkorb-Abbruch-Erinnerungen) auszuspielen, Empfängerlisten zu segmentieren, Profile auf Basis von Verhaltensdaten anzureichern und den Versanderfolg auszuwerten.

Die Plattform bietet darüber hinaus weitere Funktionen, etwa SMS-Marketing, Mobile-Push, Reviews oder einen integrierten Kundendaten-Hub mit Profil- und Segmentierungs-Logik. Diese Seite konzentriert sich auf die für deutsche Webseitenbetreiber häufigste Integrations-Funktion: das Einbinden eines Newsletter-Anmeldeformulars (z. B. Klaviyo-Form-Embed) auf der eigenen Webseite und den anschließenden Versand von E-Mails über Klaviyo, gegebenenfalls verbunden mit dem optionalen Klaviyo-Webtracking-Snippet zur Verknüpfung von Webseitenverhalten mit Empfängerprofilen. Abweichende Funktionen (insbesondere SMS-, Push- oder Reviews-Module) sind nicht Gegenstand dieser Darstellung und im Einzelfall durch den Webseitenbetreiber separat zu prüfen.

B. Pflichtangaben zu Klaviyo in der Datenschutzerklärung

Die DSGVO verlangt, dass eine Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, den Betroffenenrechten und der zuständigen Aufsichtsbehörde auch tool-bezogen bestimmte Mindestinhalte ausweist. In Bezug auf den Einsatz von Klaviyo sind das insbesondere die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO), Hinweise zu Drittlandtransfers (Art. 13 Abs. 1 lit. f DSGVO), die Speicherdauer oder deren Festlegungskriterien (Art. 13 Abs. 2 lit. a DSGVO) sowie – soweit die Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden nachfolgend für Klaviyo aufgeschlüsselt. Wichtig: Es ist nicht erforderlich, jedes einzelne Tool wie Klaviyo mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen. Diese Praxis hat sich zwar weithin etabliert, führt aber zu langen, redundanten Texten, die kaum gepflegt werden können und dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher zuwiderlaufen.

Sachgerechter ist ein themenorientierter Ansatz: Die Verarbeitungen werden übergreifend nach Themen (Serverbetrieb, Newsletter, Tracking, Verkauf …) beschrieben, und die konkret eingesetzten Dienstleister – darunter Klaviyo – werden in einem Anhang als Empfänger aufgeführt.

C. Anbieter von Klaviyo

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters in der Regel die Klaviyo, Inc., 125 Summer Street, Floor 6, Boston, MA 02110, USA. Klaviyo unterhält zudem eine europäische Tochtergesellschaft, die Klaviyo Ireland Limited mit Sitz in Dublin, Irland; welche Gesellschaft im Einzelfall Vertragspartner ist, ergibt sich aus den Bestellunterlagen und ist vom Webseitenbetreiber zu prüfen.

Klaviyo, Inc. ist nach den öffentlich zugänglichen Angaben des Anbieters unter dem EU-US Data Privacy Framework (DPF) sowie der UK-Erweiterung und dem Swiss-US DPF zertifiziert; der Status kann unter https://www.dataprivacyframework.gov/s/participant-search überprüft werden. Für Datenübermittlungen außerhalb des Anwendungsbereichs des DPF sieht der Anbieter den Abschluss der EU-Standarddatenschutzklauseln vor.

Die Datenschutzhinweise von Klaviyo sind abrufbar unter https://www.klaviyo.com/legal/privacy/privacy-notice. Den Auftragsverarbeitungsvertrag (Data Processing Agreement) stellt Klaviyo unter https://www.klaviyo.com/legal/data-processing-agreement bereit, eine Liste der Subprozessoren unter https://www.klaviyo.com/legal/subprocessors.

D. Klaviyo: Datenverarbeitung in Schritten

E. Erhobene Daten bei Klaviyo

Beim Einsatz von Klaviyo werden insbesondere E-Mail-Adresse, Anrede, Name, weitere im Anmeldeformular erfasste Felder, IP-Adresse und Zeitstempel zum Zeitpunkt der Anmeldung, Double-Opt-In-Bestätigung, sowie Öffnungen und Link-Klicks in versendeten E-Mails verarbeitet. Wird das Klaviyo-Webtracking-Snippet eingebunden, können zusätzlich Klickpfade auf der Webseite, Endgeräteinformationen, Browserinformationen, grobe Standortdaten und Conversion-Ereignisse (z. B. Käufe, Registrierungen) erfasst und dem Profil zugeordnet werden.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Webserver bei jeder Anfrage erhält, z. B. IP-Adresse des Internetanschlusses, Datum, Uhrzeit, URL des angefragten Inhalts, Referrer, Browser-, Betriebssystem- und Geräteinformationen sowie ergänzende technische Metadaten.
• Klickpfade: Besuchte Seiten, angeklickte Links und Schaltflächen mit Datum und Uhrzeit, etwa aufgerufene Links, geklickte Schaltflächen und aufgerufene Formulare.
• Endgeräte-Daten: Angaben zum Endgerät, z. B. Gerätetyp, Betriebssystem, Bildschirmauflösung.
• Browserinformationen: Browsername, -version und ggf. installierte Erweiterungen.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter Standort auf Stadt- oder Gemeindeebene.
• Nutzerprofile: Vom Webseitenbetreiber zu einem Empfänger ermittelte Interessen, Präferenzen, Segmentzuordnungen, Nutzungshistorien und daraus abgeleitete Kennzahlen.
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant festgelegte Nutzerinteraktionen, z. B. Anmeldung zum Newsletter, Produktkauf, Aufruf einer Danke-Seite oder Download eines Ratgebers.
• Interaktionsdaten: Verhalten innerhalb von E-Mails (z. B. Öffnungen, Link-Klicks) und – bei eingebundenem Webtracking – innerhalb der Webseite.

Sensible Daten im Sinne von Art. 9 DSGVO werden bei der Standardnutzung typischerweise nicht erhoben.

F. Nutzungszwecke beim Einsatz von Klaviyo

Der Webseitenbetreiber nutzt Klaviyo regelmäßig, um Newsletter und transaktionale E-Mails zu versenden, Empfängerlisten zu pflegen und zu segmentieren, automatisierte E-Mail-Strecken auszulösen, den Erfolg von Kampagnen zu messen und – soweit eine Einwilligung vorliegt – Inhalte und Werbung an Interessen und Verhalten der Empfänger anzupassen.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung der Newsletter- und E-Mail-Funktionalität, einschließlich Anmeldeformularen, Bestätigung der Anmeldung (Double-Opt-In), Versandauslösung sowie Fehlererkennung und -behebung.
• Sicherheit und Missbrauchsschutz: Erkennen und Verhindern unzulässiger Anmeldungen, Spam- und Botabwehr, Authentifizierung von Empfängern beim Double-Opt-In.
• Allgemeine Produktverbesserung: Generelle Auswertung von Versandstatistiken (Öffnungsraten, Klickraten, Reichweite), um Inhalte und Versandzeitpunkte über alle Empfänger hinweg zu optimieren.
• Allgemeines Marketing: Erfolgsmessung von Kampagnen, Reichweitenanalyse und Bewertung des Kanals E-Mail insgesamt.
• Nutzerprofil-Erstellung: Segmentzuordnung und Ableitung von Interessen und Präferenzen je Empfänger auf Basis der Profil- und Interaktionsdaten.
• Nutzerindividuelle Produktverbesserung: Anpassung von Inhalten und Vorschlägen an die Interessen des einzelnen Empfängers.
• Nutzerindividuelles Marketing: Personalisierte Direktwerbung per E-Mail, ausgerichtet an Interessen und Verhalten des jeweiligen Empfängers.
• Rechtsdurchsetzung: Nachweis der Anmeldung und Einwilligung (insbesondere Double-Opt-In-Protokolle).
• Kommunikation: Beantwortung von Anfragen, die über E-Mails oder Anmeldeformulare eingehen.

G. Rechtsgrundlagen für Klaviyo

Klaviyo lässt sich primär in die Tool-Kategorie Newsletter und E-Mail-Marketing einordnen; bei aktiviertem Webtracking-Snippet kommt zusätzlich die Kategorie Tracking (Statistik bzw. Marketing) in Betracht.

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Für den Versand von Newslettern und werblichen E-Mails: die Einwilligung des Empfängers nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 7 Abs. 2 Nr. 3 UWG.
• Für die Speicherung der Anmelde- und Double-Opt-In-Protokolle als Nachweis: das berechtigte Interesse an Rechtsausübung und Compliance nach Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 7 Abs. 1 DSGVO.
• Für transaktionale E-Mails im Rahmen eines bestehenden Vertrags (z. B. Bestellbestätigungen): regelmäßig die Vertragsdurchführung nach Art. 6 Abs. 1 lit. b DSGVO.
• Für das Klaviyo-Webtracking und die Anreicherung von Profilen mit Verhaltensdaten: in der Regel die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG, da auf Endgeräten Informationen gespeichert oder ausgelesen werden.
• Für Direktwerbung an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen: ergänzend das berechtigte Interesse an Werbung nach Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 7 Abs. 3 UWG.

Die einschlägige Rechtsgrundlage ist fallabhängig und im Einzelfall durch den Webseitenbetreiber zu prüfen, insbesondere abhängig von der konkreten Funktionsausgestaltung (mit oder ohne Webtracking, Double-Opt-In, transaktional vs. werblich).

H. Klaviyo: Besonderheiten und Hinweise

• AVV/DPA: Klaviyo stellt einen Auftragsverarbeitungsvertrag bereit; abrufbar unter https://www.klaviyo.com/legal/data-processing-agreement. Der Abschluss ist bei Verarbeitung personenbezogener Daten regelmäßig erforderlich.
• Drittlandtransfer / DPF: Klaviyo, Inc. ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert. Für nicht vom DPF erfasste Übermittlungen sieht der Anbieter EU-Standarddatenschutzklauseln vor. Status prüfbar unter https://www.dataprivacyframework.gov/s/participant-search.
• Subprozessoren: Eine aktuelle Liste der Subprozessoren stellt Klaviyo unter https://www.klaviyo.com/legal/subprocessors zur Verfügung. Genannt werden dort üblicherweise Cloud-Infrastrukturanbieter (insbesondere AWS) sowie weitere Versand- und Tooling-Dienstleister.
• Opt-Out für Empfänger: Jede E-Mail enthält einen Abmeldelink. Empfänger können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Einstellungen für den Webseitenbetreiber: Empfehlenswert ist die Aktivierung des Double-Opt-In-Verfahrens, eine sorgfältige Konfiguration des Webtracking-Snippets in Abhängigkeit vom Consent-Status, ein bewusster Umgang mit Profilanreicherung sowie die Pflege der Empfängerlisten (Bounce-Handling, Inaktive-Bereinigung).
• Rolle: Für die Verarbeitung der vom Webseitenbetreiber hochgeladenen Empfängerdaten tritt Klaviyo nach den öffentlich zugänglichen Angaben regelmäßig als Auftragsverarbeiter auf; für eigene Zwecke (z. B. Plattformbetrieb, Sicherheit) kann Klaviyo zugleich als eigener Verantwortlicher handeln. Die genaue Rollenzuordnung ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

Die vorstehenden Angaben beruhen auf den öffentlich zugänglichen Informationen des Anbieters und ersetzen keine Einzelfallprüfung.

I. FAQ zu Klaviyo und Datenschutz

J. Fazit zu Klaviyo und Empfehlung

Klaviyo ist eine etablierte Plattform für E-Mail- und SMS-Marketing, die personenbezogene Daten der Empfänger – insbesondere E-Mail-Adresse, Profil- und Interaktionsdaten – in eigener Cloud-Infrastruktur in den USA verarbeitet. Für den Versand werblicher E-Mails kommt regelmäßig die Einwilligung als Rechtsgrundlage in Betracht; für die Nachweisdaten ergänzend das berechtigte Interesse an Rechtsausübung. Zentrale Pflichten des Webseitenbetreibers sind der Abschluss eines AVV, eine saubere Einwilligungsdokumentation (insbesondere Double-Opt-In) und – soweit das Webtracking-Snippet eingesetzt wird – die Steuerung über das Consent-Management.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, Klaviyo mit einem eigenen, ausführlichen Textbaustein in die Datenschutzerklärung zu übernehmen. Solche Bausteine wiederholen sich tool-übergreifend, machen die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar – und stehen damit dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen.

Empfehlenswert ist ein strukturierter, themenorientierter Ansatz: Die Verarbeitungen werden nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) übergreifend erklärt, und nur in einem Anhang: Empfänger werden die konkret eingesetzten Tools – wie Klaviyo – mit Anbieter, Sitzland, Rolle und Link zu den Datenschutzhinweisen aufgeführt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com