So holst du DSGVO-konforme Einwilligungen ein

Das wirst du lernen

In diesem Artikel erfährst du, wie die Einwilligung in Klaviyo DSGVO-konform gespeichert wird und wie du eine DSGVO-konforme Einwilligung einholst.

Die DSGVO (Datenschutz-Grundverordnung) ist ein von der Europäischen Kommission im Jahr 2016 erlassenes Gesetz, das am 25. Mai 2018 in Kraft getreten ist. Es soll durch Vorschriften für personenbezogene Daten die Privatsphäre aller EU-Bürger*innen schützen ‒ auch dann, wenn diese Bürger*innen mit Unternehmen außerhalb der EU in Kontakt treten. Weitere Informationen zur DSGVO findest du in unseren Blog-Artikeln.

Da die DSGVO eine nach ausreichender Information freiwillig abgegebene Einwilligung verlangt, musst du vor der Versendung von Marketing-E-Mails an einen Kontakt unbedingt DSGVO-konforme Anmeldeformulare besitzen. Wir empfehlen dir zwar, dich an einen Rechtsbeistand zu wenden, um die Formulare zu überprüfen, Klaviyo bietet jedoch auch integrierte DSGVO-konforme Formulare, die du als Grundlage nehmen und für deine Zwecke anpassen kannst. Wenn du eine bestehende Liste hast, die du in Klaviyo importieren möchtest, und du bereits Einwilligungen eingeholt hast, kannst du unseren Leitfaden zur Anwendung von Einwilligungsattributen auf eine bestehende Liste lesen.

Ein DSGVO-konformes Formular verwenden

Nachdem du Klaviyo Anmeldeformulare auf deiner Website installiert hast, kannst du auf der Registerkarte Anmeldeformulare deines Kontos mit der Erstellung von Formularen beginnen.

Klicke auf Neu erstellen und dann auf Datenschutzfelder aktivieren, um sicherzustellen, dass die Standardvorlage DSGVO-konforme Sprache verwendet.

Du kannst die Sprache dieses Formulars bearbeiten oder mit Hilfe von Kontrollkästchen ganz nach Bedarf zusätzliche Felder hinzufügen. Denke daran, dass die DSGVO eine granulare Einwilligung verlangt, was bedeutet, dass Abonnent*innen die Möglichkeit haben müssen, einige, aber nicht alle Arten von Marketing zu abonnieren. Dies ist der Fall bei Abonnent*innen, die zum Beispiel E-Mails von dir erhalten wollen, aber nicht möchten, dass dein Unternehmen ihre Daten für Retargeting in den sozialen Medien nutzt. Mithilfe von Kontrollkästchen können die Abonnent*innen so viele oder so wenige Arten von Marketing auswählen, wie sie von dir erhalten möchten.

Jeder Wert, die die Abonnent*innen auswählen, wird als Attribut $consent in ihrem Profil gespeichert. Die Einwilligung wird als Listendatentyp dokumentiert und kann als solcher eine beliebige Anzahl von Werten enthalten.

Sobald das Formular deinen Anforderungen entspricht und alle erforderlichen Kontrollkästchen enthält, kannst du es auf deiner Website veröffentlichen, sodass in Zukunft die von der DSGVO geforderte Einwilligung erfasst und nachverfolgt wird.

Außerdem kannst du festlegen, ob dieses Formular nur in Browsern von Benutzer*innen angezeigt wird, die sich in der EU befinden oder die nicht in der EU sind. Navigiere dazu zu Targeting und Verhalten > Targeting > Nach Standort. Hier kannst du angeben, ob ein Formular in Browsern von Benutzer*innen an bestimmten Standorten angezeigt/ausgeblendet werden soll. Klaviyo ermittelt den Standort anhand der IP-Adresse.

Ein DSGVO-konformes eingebettetes Formular verwenden

Zusätzlich zu einem Pop-up oder Flyout kannst du auch ein DSGVO-konformes eingebettetes Formular auf deiner Website verwenden. Dazu erstellst du wie oben beschrieben ein DSGVO-konformes eingebettetes Formular im Erstellungstool für Anmeldeformulare (Sign-up Form Builder).

Alternativ kannst du auch den unten angegebenen Code kopieren und auf deiner Website installieren. Beachte, dass du jeden LIST_ID-Wert durch die Kennung deiner Newsletter-Liste ersetzen musst, um sicherzustellen, dass die Kontakte der Liste hinzugefügt werden. Hier erfährst du mehr darüber, wie du die Kennung für eine bestimmte Liste findest.

<form id="email_signup" class="klaviyo_styling klaviyo_gdpr_embed_LIST_ID" action="//manage.kmail-lists.com/subscriptions/subscribe" data-ajax-submit="//manage.kmail-
lists.com/ajax/subscriptions/subscribe" method="GET" 
target="_blank" novalidate="novalidate">

 <input type="hidden" name="g" value="LIST_ID">

 <input type="hidden" name="$fields" value="$consent">

 <input type="hidden" name="$list_fields" value="$consent">

 <div class="klaviyo_field_group">

 <label for="k_id_email">Anmeldung zum Newsletter</label>

 <input class="" type="email" value="" name="email" id="k_id_email" placeholder="Deine E-Mail"/>

 <div class="klaviyo_field_group klaviyo_form_actions">

 <div class="klaviyo_helptext"> Wie möchtest du gerne von uns hören? (mindestens eine Option auswählen) </div>

 <input type="checkbox" name="$consent" id="consent-email" value="email">

 <label for="consent-email" >Email</label><br>

 <input type="checkbox" name="$consent" id="consent-web" value="web" >

 <label for="consent-web">Online-Werbung</label>

 <div class="klaviyo_helptext klaviyo_gdpr_text"> Wir nutzen E-Mails und gezielte Onlinewerbung, um dir Updates zu Produkten und Dienstleistungen, Werbeangebote und andere Marketingmitteilungen auf Grundlage der von dir erfassten Informationen zu senden. Dazu gehören deine E-Mail-Adresse, dein Standort, deine früheren Käufe und dein Website-Browser-Verlauf. <br>

<br>

 Wir verarbeiten deine personenbezogenen Daten wie in unserer Datenschutzerklärung {Insert privacy policy link} angegeben. Du kannst deine Einwilligung jederzeit widerrufen oder deine Einstellungen ändern, indem du auf den Abmeldelink am Ende einer unserer Marketing-E-Mails klickst oder uns eine E-Mail an {insert customer support email address} sendest.</div>

 </div>

 </div>

 </div>

 <div class="klaviyo_messages">

 <div class="success_message" style="display:none;"></div>

 <div class="error_message" style="display:none;"></div>

 </div>
 <div class="klaviyo_form_actions">

 <button type="submit" class="klaviyo_submit_button">Abonnieren</button>
 </div>

</form>
<style type="text/css">

.klaviyo_styling.klaviyo_gdpr_embed_LIST_ID,

.klaviyo_condensed_styling.klaviyo_gdpr_embed_LIST_ID {

 font-family: "Helvetica Neue", Arial;

}.klaviyo_styling.klaviyo_gdpr_embed_LIST_ID .klaviyo_helptext,

.klaviyo_condensed_styling.klaviyo_gdpr_embed_LIST_ID .klaviyo_helptext {

 font-family: "Helvetica Neue", Arial;

 padding-top: 10px;
 padding-bottom: 10px;

}
.klaviyo_styling.klaviyo_gdpr_embed_LIST_ID .klaviyo_gdpr_text,

.klaviyo_condensed_styling.klaviyo_gdpr_embed_LIST_ID .klaviyo_gdpr_text {

 font-size: 14px;

 line-height: 1.3;

}

.klaviyo_styling.klaviyo_gdpr_embed_LIST_ID label,

.klaviyo_condensed_styling.klaviyo_gdpr_embed_LIST_ID label {

 color:#222;

}

.klaviyo_styling .klaviyo_field_group .klaviyo_form_actions {

 text-align:left;

 }

.klaviyo_styling.klaviyo_gdpr_embed_LIST_ID input[type=checkbox] + label,

.klaviyo_condensed_styling.klaviyo_gdpr_embed_LIST_ID input[type=checkbox] + label {

 display: inline;

 font-weight:normal;

 padding-left:5px;

}.klaviyo_styling.klaviyo_gdpr_embed_LIST_ID input[type=text],

.klaviyo_styling.klaviyo_gdpr_embed_LIST_ID input[type=email],

.klaviyo_condensed_styling.klaviyo_gdpr_embed_LIST_ID input[type=text],

.klaviyo_condensed_styling.klaviyo_gdpr_embed_LIST_ID input[type=email] {

 border-radius: 2px;

}.klaviyo_styling.klaviyo_gdpr_embed_LIST_ID .klaviyo_submit_button,

.klaviyo_condensed_styling.klaviyo_gdpr_embed_LIST_ID .klaviyo_submit_button {

 background-color:#0064cd;

 border-radius: 2px;

}.klaviyo_styling.klaviyo_gdpr_embed_LIST_ID .klaviyo_submit_button:hover,

.klaviyo_condensed_styling.klaviyo_gdpr_embed_LIST_ID .klaviyo_submit_button:hover {

 background-color:#0064cd;

}

</style>

<script type="text/javascript" src="//www.klaviyo.com/media/js/public/klaviyo_subscribe.js"></script>

<script type="text/javascript">

 KlaviyoSubscribe.attachToForms('#email_signup', {

 hide_form_on_success: true,

 extra_properties: {

 $source: '$embed',

 $method_type: "Klaviyo Form",

 $method_id: 'embed',

 $consent_version: 'Embed default text'

 }

 });

</script>

So wird die Einwilligung in Klaviyo gespeichert

Um mehr über den Einwilligungsstatus eines bestimmten Kontakts zu erfahren, rufe dessen individuelles Profil in Klaviyo auf.

Wenn Abonnent*innen ihre Einwilligung über ein Formular übermitteln, speichert Klaviyo mehrere wichtige benutzerdefinierte Attribute in ihrem Profil:

• Form ID
  Dies ist die eindeutige Formularkennung, mit der du das spezifische Formular identifizieren kannst, das jemand zur Anmeldung verwendet hat. Jedes in Klaviyo erstellte Formular hat eine eindeutige Kennung, die in der URL des Formulars als sechsstelliger alphanumerischer Code zu finden ist.
  
• Method
  Hier wird die Methode erfasst, die Abonnent*innen für die Anmeldung verwendet haben. Wenn du wie oben beschrieben ein Klaviyo Anmeldeformular verwendest, steht hier Klaviyo Formular.
• Form Version
  Dieses Attribut entspricht der Formularversion, die ein bestimmter Abonnent oder eine bestimmte Abonnentin gesehen hat. Klaviyo speichert den genauen Text und die Sprache, die für jede Version eines von dir erstellten Formulars verwendet wurde. Diese Daten kannst du bei Bedarf beim Support anfordern. Wenn du z. B. „2“ als Einwilligungsversion siehst, bedeutet dies, dass der Abonnent oder die Abonnentin der zweiten Variante des Formulars zugestimmt hat.
• Timestamp
  Dies ist ein Zeitstempel, der genau festhält, wann das Formular abgesendet und die Einwilligung erteilt wurde.

So gehst du mit Anfragen bezüglich der Herausgabe von Daten und Löschungen um

Gemäß DSGVO bist du möglicherweise dazu verpflichtet, einem Kontakt alle seine Benutzerdaten zur Verfügung zu stellen, wenn er oder sie es verlangt. Wenn ein Kontakt um die Löschung seiner bzw. ihrer Daten bittet, kannst du außerdem dazu verpflichtet sein, bestimmte Informationen zu löschen und diese Löschung zu dokumentieren, um nachzuweisen, dass der Anfrage entsprochen wurde.

In unserem Leitfaden zum Umgang mit DSGVO-bezogenen Anfragen findest du genauere Anweisungen.

Ein Segment aus EU-Kontakten erstellen

Um eine Gruppe von Kontakten in deinem Konto zu isolieren, die sich in der EU befinden, kannst du ein Segment mit den folgenden Bedingungen erstellen:

EU-Kontakte aus Flows herausfiltern

Für alle Nicht-Transaktions-Flows solltest du einen Filter hinzufügen, der nur diejenigen einschließt, die dem Erhalt von Marketing zugestimmt haben (per E-Mail, SMS oder beides, je nachdem, was du senden möchtest) oder die sich nicht in der EU oder im Vereinigten Königreich befinden. 

Einige häufige Flows, für die dieser Filter erforderlich ist, sind:

• Browse Abandonment
• Winback
• Upselling
• Cross-Selling
• Produktbewertung

Weitere Informationen über den Unterschied zwischen Transaktions- und Nicht-Transaktions-Flows findest du in diesem Leitfaden. Die einzige Ausnahme von dieser Liste sind E-Mails aufgrund eines Warenkorbabbruchs. Viele Unternehmen sind der Ansicht, dass du auch ohne ausdrückliche Einwilligung E-Mails aufgrund eines Warenkorbabbruchs für Marketingmitteilungen auf der Grundlage eines berechtigten Interesses versenden kannst. Du kannst eine E-Mail aufgrund eines Warenkorbabbruchs als eine Kommunikation betrachten, die sich auf die ausdrückliche Absicht bezieht, eine Transaktion mit deinem Unternehmen abzuschließen. Andere ausgelöste E-Mails, wie etwa wegen Browse Abandonment und zum Winback, sind hingegen möglicherweise nicht zulässig, es sei denn, der Kunde bzw. die Kundin hat zuvor in einer DSGVO-konformen Weise dem Erhalt von Marketing-E-Mails von dir zugestimmt.

Die Anwendbarkeit von berechtigten Interessen oder anderen Rechtsgrundlagen hängt jedoch von den jeweiligen Umständen ab, z. B. von der Anzahl und Häufigkeit der E-Mails und der Zeit, die seit dem Warenkorbabbruch verstrichen ist. Wir empfehlen dir daher dringend, deine E-Mail-Kampagnen und Flows mit deiner Rechtsabteilung zu besprechen, um sicherzustellen, dass sie mit dem geltenden Recht vereinbar sind.

EU-Kontakte, die keine Einwilligung geben, unterdrücken

Alle Personen in deinem Segment für EU-Abonnent*innen, die sich bis zum 25. Mai 2018 nicht für eine Re-Permissioning-Kampagne angemeldet haben, sollten in deinem Konto unterdrückt werden, um zu verhindern, dass du ihnen versehentlich E-Mails schickst. Um sicherzustellen, dass du alle Abonnent*innen herausgefiltert hast, die ihre Einwilligung gegeben haben, füge die folgende Bedingung zu dem oben beschriebenen EU-Segment hinzu.

Unterdrücke dieses Segment, um sicherzustellen, dass du diesen Kontakten nicht versehentlich eine E-Mail schickst. Sie können sich später jederzeit erneut anmelden.

Best Practices

Sobald du ein DSGVO-konformes Anmeldesystem eingerichtet hast, kannst du mithilfe von Segmentierung und Flow-Filtern sicherstellen, dass du Nachrichten nur an Profile sendest, die dem Erhalt von Marketing-E-Mails zugestimmt haben. Die folgende Bedingung beschreibt den Filter, den du hinzufügen musst, um sicherzustellen, dass die Gruppe, die du ansprechen möchtest, dem Erhalt von E-Mails zugestimmt hat.

Um die Einhaltung der DSGVO zu gewährleisten, solltest du außerdem die folgenden Best Practices befolgen:

• Stelle sicher, dass all deine E-Mails Links zu deiner Datenschutzerklärung, Cookie-Richtlinie und deinen Nutzungsbedingungen enthalten.
• Verwende Double Opt-in.
• Sei dir darüber im Klaren, welche Punkte für eine korrekte Einwilligung erfüllt sein müssen. Die Einwilligung …
  
  • wurde freiwillig gegeben. Mit anderen Worten: Täuschung oder Zwang sind nicht erlaubt, damit eine Person der Verwendung seiner oder ihrer Daten zustimmt. Vielmehr müssen sie eine echte Wahl haben – und du darfst eine Dienstleistung oder Transaktion nicht auf der Grundlage einer Einwilligung verweigern, wenn diese Einwilligung nicht Bestandteil der Dienstleistung oder Transaktion ist.
  • gilt für einen konkreten Fall. Die Einwilligung in die Verarbeitung personenbezogener Daten muss Details über den Zweck der Verarbeitung und die Art der Verarbeitung enthalten.
  • erfolgt nach ausreichender Information. Die Einwilligung nach ausreichender Information ist eng mit der Idee der Einwilligung für einen konkreten Fall verbunden und bedeutet, dass die betroffene Person darüber informiert werden muss, wie ihre Daten verwendet werden, für welchen Zweck ihre Daten verwendet werden und welche Art der Datenverarbeitung du verwendest.
  • ist unmissverständlich. Um noch einen Schritt weiter zu gehen, muss die Einwilligung gemäß DSGVO unter Verwendung von klarer Sprache und durch eine eindeutige Handlung der betroffenen Person eingeholt werden.
  • kann einfach widerrufen werden. Obwohl dies in der Definition des Begriffs „Einwilligung“ nicht von vornherein offensichtlich ist, legt Artikel 7 der DSGVO fest, dass die Einwilligung ebenso leicht widerrufen werden kann wie sie erteilt wurde.

Zusätzliche Ressourcen

• Häufig gestellte Fragen zur DSGVO
• So gehst du mit DSGVO- und CCPA-bezogenen Anfragen um