Das wirst du lernen
Sieh dir einige der häufig gestellten Fragen zur DSGVO an, um die Einhaltung von Vorschriften sicherzustellen.
DSGVO steht für die Datenschutz-Grundverordnung. Es handelt sich um ein von der Europäischen Kommission im Jahr 2016 erlassenes Gesetz, das am 25. Mai 2018 in Kraft getreten ist. Es soll durch Vorschriften für personenbezogene Daten die Privatsphäre aller EU-Bürger schützen, auch wenn diese Bürger mit Unternehmen außerhalb der Europäischen Union in Kontakt treten. Weitere Informationen zur DSGVO findest du in unserer Blog-Serie.
Die hier bereitgestellten Informationen dienen der Information und stellen keine Rechtsberatung dar. Klaviyo empfiehlt allen seinen Kunden – und allen E-Commerce-Händlern –, sich hinsichtlich der Einhaltung der DSGVO rechtlich beraten zu lassen.
Ist es legal, dass ich die Daten meiner europäischen Kunden an Klaviyo übertrage?
Ja. Die DSGVO erkennt eine Reihe von rechtlichen Mechanismen für die Übermittlung von Daten aus der EU heraus an. Nach der Außerkraftsetzung des EU-US-Datenschutzschild-Frameworks hat Klaviyo die Standardvertragsklauseln der Europäischen Kommission in unseren Nachtrag zum Datenschutz aufgenommen, der in unsere Nutzungsbedingungen integriert ist. Wir empfehlen dir, dein Rechtsteam zu konsultieren, um den geeigneten Übertragungsmechanismus für alle Datenübertragungen zu bestimmen, die dein Unternehmen vornimmt.
Wenn wir für ältere Profile kein explizites Opt-in nachweisen können, gibt es dann eine Möglichkeit, die Zustimmung per E-Mail zu bestätigen?Wenn wir für ältere Profile kein explizites Opt-in nachweisen können, gibt es dann eine Möglichkeit, die Zustimmung per E-Mail zu bestätigen?
Vor dem Inkrafttreten der DSGVO (25. Mai 2018) haben wir empfohlen, eine Re-Permissioning-Kampagne an deine Abonnenten in der EU zu senden. Jetzt, wo die Datenschutzgrundverordnung in Kraft ist, empfehlen wir diese Praxis jedoch nicht mehr. Bevor du einen deiner bestehenden Kund*innen oder Abonnent*innen kontaktierst, für die du keine ausdrückliche Zustimmung nachweisen kannst, wende dich bitte an dein Rechtsteam.
Wie können wir die Zustimmung nachweisen, einschließlich des Tages, an dem sich Abonnent*innen angemeldet haben?Wie können wir die Zustimmung nachweisen, einschließlich des Tages, an dem sich Abonnent*innen angemeldet haben?
Zusätzlich zum Double Opt-in bist du verpflichtet, die Sprache beizubehalten, die den Verbraucher*innen in dem Formular, der E-Mail oder auf der Webseite, auf der sie ihre Zustimmung gegeben haben, präsentiert wurde. Du musst also in der Lage sein, sowohl den Zeitpunkt der Zustimmung als auch den genauen Inhalt der Zustimmung nachzuweisen.
Müssen wir für unsere E-Mail-Felder auf unseren Websites weitere Kontrollkästchen hinzufügen, die die Kund*innen ankreuzen können, bevor sie ihre Daten übermitteln?Müssen wir für unsere E-Mail-Felder auf unseren Websites weitere Kontrollkästchen hinzufügen, die die Kund*innen ankreuzen können, bevor sie ihre Daten übermitteln?
Klaviyo bietet DSGVO-konforme Formulare mit mehreren Kontrollkästchen, die eine granulare Zustimmung ermöglichen (d. h. separate Zustimmung für E-Mail-Marketing und Facebook-Marketing).
Du musst Formulare auswählen, die als DSGVO-konform gekennzeichnet sind, und diese dann entsprechend deinem Marketingprogramm anpassen. Wenn du personenbezogene Daten von EU-Verbraucher*innen über andere Plattformen sammelst, musst du auch auf diesen Plattformen Änderungen vornehmen.
Welche Arten von personenbezogenen Daten verarbeitet ihr, wo werden sie gespeichert, an wen werden sie weitergegeben und wie lange werden sie gespeichert?Welche Arten von personenbezogenen Daten verarbeitet ihr, wo werden sie gespeichert, an wen werden sie weitergegeben und wie lange werden sie gespeichert?
Informationen über die Daten, die wir verarbeiten, und die Maßnahmen, die wir zum Schutz dieser Daten ergreifen, findest du in unserem Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA). Die Sicherheitsmaßnahmen sind in Anhang 2 des Nachtrags genau beschrieben. Du kannst auch unsere gesamten Nutzungsbedingungen lesen.
Sollten wir das Kleingedruckte aktualisieren, wenn wir E-Mails erfassen, die Informationen darüber enthalten, wie ihre Daten in Klaviyo gespeichert werden?Sollten wir das Kleingedruckte aktualisieren, wenn wir E-Mails erfassen, die Informationen darüber enthalten, wie ihre Daten in Klaviyo gespeichert werden?
Ja, das Kleingedruckte sollte aktualisiert werden, sodass die folgenden Hinweise für Interessent*innen und Kund*innen aus der EU berücksichtigt werden:
- Verwende eine klare, einfache und leicht verständliche Sprache.
- Gebe an, wozu du die Daten benötigst und was du mit ihnen vorhast.
- Nenne deine Organisation und alle Drittanbieter, die du verwenden wirst.
- Teile den Personen mit, dass sie ihre Zustimmung zurückziehen können.
Muss ich Opt-in-E-Mails in der Landessprache bereitstellen, um die DSGVO zu erfüllen?
Nicht unbedingt. Die spezifischen Anforderungen können von Land zu Land unterschiedlich sein. Wir empfehlen dir daher, dich bei deinem Rechtsteam über die länderspezifischen Anforderungen zu informieren, aber Klaviyo bietet standardmäßige Opt-in-E-Mails in mehreren Sprachen.
Muss ich für alle persönlichen Daten die Zustimmung der Verbraucher*innen einholen?Muss ich für alle persönlichen Daten die Zustimmung der Verbraucher*innen einholen?
Deine einzige Möglichkeit, eine rechtmäßige Grundlage für die Erhebung oder Verarbeitung sensibler Daten zu haben, ist die ausdrückliche Zustimmung. Für andere personenbezogene Daten kann es mehrere Optionen geben, um eine rechtmäßige Grundlage zu schaffen, aber Organisationen verlassen sich häufig auf die Zustimmung.
Andere rechtmäßige Grundlagen sind:
- Die Verarbeitung ist für die Erfüllung eines Vertrags oder für die Durchführung von Maßnahmen auf Antrag der betroffenen Person im Vorfeld eines Vertragsabschlusses erforderlich.
- Die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich.
- Die Verarbeitung ist notwendig, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen Person zu schützen.
- Die Verarbeitung ist für die berechtigten Interessen des Unternehmens erforderlich und diese Interessen überwiegen nicht die Interessen oder Grundrechte der betroffenen Person.
- Die Verarbeitung ist für eine Aufgabe erforderlich, die im öffentlichen Interesse liegt, oder zur Erfüllung der Pflichten eines öffentlichen Bediensteten.
Wir empfehlen dir, dein Rechtsteam zu konsultieren, um die geeignete Rechtsgrundlage für die Verarbeitung von Daten durch dein Unternehmen zu ermitteln.
Könnt ihr meine Daten anonymisieren, sodass ich ein Profil anzeigen kann, aber die persönlich identifizierbaren Informationen nicht sehe?Könnt ihr meine Daten anonymisieren, sodass ich ein Profil anzeigen kann, aber die persönlich identifizierbaren Informationen nicht sehe?
Wir erlauben es Kunden derzeit nicht, ein Profil zu anonymisieren. Anonymisierte Daten, die mit diesem Profil verbunden sind, bleiben im Konto (z. B. Ereignisse für aufgegebene Bestellungen), um die Genauigkeit der Performancekennzahlen zu erhalten. Die Daten können anonymisiert werden, wenn sie aus dem System extrahiert werden, aber innerhalb von Klaviyo hast du vollen Einblick in die Daten, die in jedem Profil enthalten sind.
In diesem Sinne ist es auch möglich, Kontakte mit einem Löschungsnachweis zu löschen, um die Einhaltung der Vorschriften zu beweisen, sowie alle Daten eines bestimmten Profils zu exportieren, wenn einer deiner Kontakte dies wünscht.
Ist eine E-Mail wegen Warenkorbabbruch mit der DSGVO konform?Ist eine E-Mail wegen Warenkorbabbruch mit der DSGVO konform?
Die Antwort auf diese Frage ist nicht ganz klar. Viele Unternehmen sind jedoch der Ansicht, dass du auch ohne ausdrückliche Zustimmung E-Mails wegen Warenkorbabbruch für Marketingmitteilungen auf der Grundlage eines berechtigten Interesses versenden kannst. Du kannst eine E-Mail wegen Warenkorbabbruch als eine Kommunikation betrachten, die sich auf die ausdrückliche Absicht bezieht, eine Transaktion mit deinem Unternehmen abzuschließen. Andere ausgelöste E-Mails, wie etwa wegen Browse Abandonment und zur Rückgewinnung, sind hingegen möglicherweise nicht zulässig, es sei denn, der Kunde hat zuvor in einer DSGVO-konformen Weise dem Erhalt von Marketing-E-Mails von dir zugestimmt.
Die Anwendbarkeit von berechtigten Interessen oder anderen Rechtsgrundlagen hängt jedoch von den jeweiligen Umständen ab, z. B. von der Anzahl und Häufigkeit der E-Mails und der Zeit, die seit dem Abbruch des Warenkorbs verstrichen ist. Wir empfehlen dir dringend, deine E-Mail-Kampagnen mit deiner Rechtsabteilung zu besprechen, um sicherzustellen, dass sie mit dem geltenden Recht vereinbar sind.
Ist die Verwendung von Google Fonts DSGVO-konform?Ist die Verwendung von Google Fonts DSGVO-konform?
Die Verwendung von Google Fonts kann zu Problemen bei der Einhaltung der DSGVO führen, da der Google-Server die IP-Adresse des Empfängers benötigt, um die Schriftarten bereitzustellen. Gemäß DSGVO gilt eine IP-Adresse als personenbezogene Information, die zur Identifizierung von Benutzer*innen verwendet werden kann. Beachte, dass die Aufnahme von Google Fonts in deine Schriftbibliothek bedeutet, dass du Google Fonts verwendest.
Als Alternative zu Google Fonts bietet Klaviyo eine Auswahl an Schriftarten, die in Klaviyo gehostet werden, zur Verwendung in deinen Registrierungsformularen, auf Einwilligungsseiten und in E-Mails. Für diese ist die IP der Empfänger*innen nicht erforderlich.
Sieh dir die Liste der von Klaviyo gehosteten Schriftarten an und erfahre hier mehr über Google Fonts.