Die Frage, ob die Nutzung eines Dienstes, der seinen Sitz in den USA hat, stellt sich immer wieder. Aktuell lässt eine Meldung von Onlinehändler News aufhorchen und die Frage aufwerfen, ob die Nutzung von Klaviyo rechtskonform ist.
Wir als offizielle Partneragentur von Klaviyo haben Klaviyo direkt bezüglich dieses Themas angesprochen und sie haben uns freundlicherweise ausführlich geantwortet; ihre Antworten werden wir hier ebenfalls thematisieren.
Bevor wir uns aber näher der Thematik widmen, möchten wir darauf hinweisen, dass dieser Artikel lediglich dazu dient, allgemeine Fragen zu beantworten und Informationen zusammenzufassen, die uns unter anderem Klaviyo zur Verfügung gestellt hat. Er dient nicht als Rechtsberatung, denn wir sind keine Jurist:innen. Bei konkreten juristischen Fragen oder Problemen bitten wir Dich daher, eine Anwältin oder einen Anwalt zu konsultieren.
Was ist passiert?
Einige Händler:innen, die Klaviyo für ihr E-Mail-Marketing nutzen, sind mit einer mutmaßlich missbräuchlichen Newsletter-Anmeldung konfrontiert: Es gibt Personen, die sich nur aus dem Grund für einen Newsletter anmelden, um Auskunft über die personenbezogenen Daten zu erhalten -wozu man auch ein Recht hat-, aber unter anderem deshalb Schadensersatz fordern, weil die Übermittlung der Daten an Klaviyo rechtswidrig sei. Denn Klaviyo ist ein US-amerikanisches Unternehmen und die Daten werden daher in die USA übermittelt, weil sich die Server dort befinden.
Ist die Nutzung von Klaviyo rechtskonform?
Die Schadenersatzansprüche beruhen wohl auf einem offensichtlichen, aber weit verbreiteten Missverständnis: dass die DSGVO es verbieten würde, Daten in Drittländer zu übermitteln, in denen die DSGVO nicht gültig ist.
Das ist jedoch falsch. Die DSGVO erlaubt sehr wohl die Übermittlung von Daten in Drittländer, sofern es in dem betreffenden Drittland entsprechende Datenschutzbestimmungen gibt.
Allerdings gibt es in den USA Überwachungsgesetze, die mit der DSGVO unter Umständen kollidieren können. Dafür gibt es Regelungen zwischen der EU und den USA, um eine rechtskonforme Übermittlung der Daten zu gewährleisten:
- Klaviyo hat sich (wie viele andere Unternehmen) den Standard Contractual Clauses (SCC) verpflichtet und stützt sich auch darauf. Die SCCs sind eine Reihe von (Vertrags-)Bedingungen, die von der Europäischen Kommission veröffentlicht wurden und erfüllt werden müssen, wenn personenbezogene Daten in ein Drittland übermittelt werden.
- Die USA haben vor kurzem eine Verordnung verabschiedet: Im Rahmen des EU-US (Trans-Atlantic) Data Privacy Frameworks soll geregelt werden, dass die Art und Weise eingeschränkt wird, wie US-Geheimdienste nachrichtendienstliche Daten von EU-Bürger:innen sammeln können und dass ein Rechtsbehelfsmechanismus für sie vorgesehen ist. Noch hat die EU zwar nichts entschieden, aber es wird erwartet, dass sie innerhalb der nächsten Monate die Verordnung als "im Wesentlichen gleichwertig" mit der DSGVO anerkennt, sodass die notwendige Rechtssicherheit bei transatlantischen Datenübertragungen noch besser und konkreter gewährleistet ist.
Welche Daten verarbeitet und nutzt und verarbeitet Klaviyo?
Es ist wichtig zu wissen, dass Nutzer:innen von Klaviyo selbst entscheiden, verwalten und kontrollieren, welche Daten sie erheben. Dazu gehören beispielsweise E-Mail-Adressen, Namen, IP-Adressen, Telefonnummern oder Cookie-Daten. Klaviyo nutzt und verarbeitet sie lediglich im Rahmen dessen, was für die Bereitstellung der entsprechenden Dienste erforderlich ist.
Was sollten Nutzer:innen von Klaviyo tun?
Wenn Nutzer:innen von Klaviyo Double-Opt-In verlangen und eine entsprechende Cookie-Consent-Regelung in ihrem Klaviyo-Account einrichten, erfüllen sie die Anforderungen der DSGVO.
Ferner macht es Sinn, (potenzielle) Abonnent:innen darauf aufmerksam zu machen, dass man Klaviyo für das Versenden von Newslettern nutzt und sie um die Zustimmung dafür bittet. Wie das konkret umgesetzt werden kann, kann Dir eine Anwältin oder ein Anwalt genauer erklären.
Was tun im Falle von Abmahnungen?
Klaviyo hat auf die Berichte und die vereinzelten Abmahnungen umgehend reagiert und schnell gehandelt. Als Ergebnis von eigens betriebenen Nachforschungen wurde festgestellt, dass Klaviyo einerseits nie Gegenstand rechtlicher Anfechtungen bezüglich der Rechtmäßigkeit ihrer Datenübertragungen gewesen ist, noch ist etwas davon bekannt, dass Nutzer:innen von Klaviyo eine
Unterlassungserklärungen in Bezug auf die Nutzung erhalten haben. Denn unter Berufung auf die SCC stellen die Datenübermittlungen von Klaviyo in die USA eine rechtmäßige Datenübermittlung gemäß der DSGVO dar.
Falls es zu einer Abmahnung kommen sollte, solltest Du nicht nur eine Anwältin oder einen Anwalt konsultieren, sondern auch Klaviyo kontaktieren.
Fazit
Ja, die Nutzung von Klaviyo ist rechtskonform, solange man bestimmte Regeln befolgt. Es ist nämlich nicht grundsätzlich verboten, dass Daten an Drittländer übermittelt werden. Wichtig ist, dass die Nutzer:innen darüber informiert werden.
Zwischen der EU und den USA gibt es Regelungen, die die Rechtskonformität gewährleisten und es wird stetig daran gearbeitet, sie weiter zu konkretisieren, um Rechtssicherheit zu schaffen.
Du hast Fragen? Melde dich bei uns!
Auch wenn wir Dich nicht juristisch beraten können, kannst Du Dich gerne bei uns melden, falls Du sonstige Fragen rund um Shopify oder Klaviyo hast oder Beratung und Unterstützung brauchst.
Wir von Tante-E sind nämlich eine der führenden Shopify-Experten-Agenturen in Deutschland mit Standorten in Berlin und Köln. Wir betreiben nicht nur eigene Onlineshops auf Shopify, sondern haben in den letzten Jahren über 200 Projekte wie Shop-Setups oder Shop-Optimierungen realisiert. Darüber hinaus sind wir offizielle Partneragentur von Klaviyo. Insofern verfügen wir über eine hohe Expertise im Bereich E-Commerce im Allgemeinen und Shopify und Klaviyo im Besonderen.
Daher würden wir uns sehr freuen, wenn wir auch Dir helfen dürfen. Melde Dich einfach bei uns, wir freuen uns auf Dich.