Was Klaviyo Onsite Tracking sammelt

Das Klaviyo Onsite-Snippet (geladen von static.klaviyo.com/onsite/js/klaviyo.js) initialisiert eine globale _learnq-Warteschlange und identifiziert Besucher mit einem Klaviyo-eigenen Cookie namens __kla_id. Nach der Installation meldet es automatisch Seitenaufruf-Events, erfasst Formularinteraktionen, löst das Active On Site-Event aus, das Klaviyos Browse Abandonment-Flow antreibt, und verknüpft anonymes Browsing-Verhalten mit einem bekannten Abonnentenprofil, sobald der Besucher sich einloggt oder ein Formular mit einer E-Mail-Adresse übermittelt. Nachfolgende Events — Viewed Product, Added to Cart, Started Checkout, Placed Order — werden über dieselbe Identitätsinfrastruktur ausgelöst und erben die gleiche Cookie-basierte Attribution.

Für die GDPR-Analyse ist das Cookie nicht wesentlich, die die Seite verlassenden Daten sind personenbezogene Daten, da sie an eine persistente Kennung gebunden sind, und Klaviyo ist in den USA ansässig, was den Transfer dem EU-US-Datenschutzrahmen unterstellt. Alle drei Bedingungen drängen Klaviyo Onsite Tracking fest in das Territorium „erfordert vorherige Einwilligung" in der EU, dem UK, dem EEA und Brasilien gemäß LGPD. In Kalifornien fällt dieselbe Verarbeitung unter das Recht auf Widerspruch gegen die Weitergabe für kontextübergreifende Verhaltenswerbu nach dem CPRA, das Klaviyos Weitergabe an nachgelagerte Paid-Media-Ziele auslöst.

Die drei Tracking-Oberflächen, die Sie sichern müssen

Eine Klaviyo-Installation ist nicht eine Tracking-Oberfläche, sondern drei, und sie müssen bei einer CMP-Integration separat behandelt werden.

Das Onsite-Tracking-Skript

Dies ist der Haupt-Verhaltens-Tracker — das Skript, das __kla_id setzt und den aktiven Vor-Ort-Event-Stream antreibt. Es ist die Oberfläche, die die meisten Teams sich merken zu sichern, und die im Audit für Aufsichtsbehörden sichtbarste. Blockieren Sie es standardmäßig und laden Sie es nur, wenn der Besucher die Marketing-Kategorie akzeptiert.

Klaviyo Forms und Anmelde-Popups

Klaviyo Forms ist eine separate Bibliothek, die E-Mail- und SMS-Anmelde-Popups, eingebettete Formulare und das Entsperren von geschützten Inhalten antreibt. Es wird auf derselben Domain gehostet, aber als separates Skript geladen. Formulare können Impression- und Submission-Events unabhängig vom Haupt-Onsite-Tracker auslösen, sodass das Sichern von nur Onsite bei gleichzeitigem Laden von Forms ein häufiges Teilkonformitätsmuster ist, das weiterhin identifizierende Daten preisgibt.

SMS-Opt-in-Erfassung

SMS-Anmeldungen haben ihre eigene Einwilligungsanforderung nach dem TCPA in den USA und nach sektorspezifischen Regeln in der EU, und Klaviyos SMS-Formulare erfassen Telefonnummern zusammen mit durch Kontrollkästchen bestätigter Einwilligung. Die hier gesammelte Einwilligung gilt für die SMS-Nachrichten selbst, getrennt von der Cookie-Einwilligung. Ein korrekt konfigurierter Stack zeichnet beides auf: Cookie-Einwilligung im CMP, SMS-Einwilligung im Klaviyo-Abonnentenprofil.

Native Klaviyo-Datenschutzkontrollen

Klaviyo stellt mehrere native Datenschutz-Primitive bereit. Wie bei den meisten Marketingplattformen gehen sie davon aus, dass eine Einwilligungsentscheidung existiert und übergeben wird. Sie sammeln keine Einwilligung selbst.

Die Einwilligungseigenschaft bei Identify-Aufrufen

Wenn Sie klaviyo.identify() oder klaviyo.track() aufrufen, können Sie eine Einwilligungs-Payload anhängen, die die Rechtsgrundlage für Marketingkommunikationen aufzeichnet. Dies ist der richtige Primitiv, um die Entscheidung des CMP in das Klaviyo-Abonnentenprofil zu übergeben.

Einwilligungsfelder auf Profilebene

Das Abonnentenprofil verfügt über dedizierte Felder für E-Mail-Einwilligung, SMS-Einwilligung und Einwilligungsquelle. Aktualisierungen dieser Felder werden an die Segmentierungsmaschine von Klaviyo weitergegeben, sodass Flows den aufgezeichneten Status respektieren.

Das Datenschutz- und Einwilligungs-Einstellungspanel

Die Admin-Benutzeroberfläche von Klaviyo verfügt über einen Datenschutz- und Einwilligungsbereich, der einige Standardverhaltensweisen steuert — zum Beispiel ob das Active On Site-Event für Besucher ohne aufgezeichnete Einwilligung ausgelöst wird. Der Standard ist permissiv; das Verschärfen dieser Einstellungen ist eine nützliche zusätzliche Sicherheitsschicht über der CMP-Ebene-Absicherung.

Schritt-für-Schritt-CMP-Integration

Die zuverlässige Architektur besteht darin, alle drei Klaviyo-Tracking-Oberflächen hinter dem CMP zu sichern und die Einwilligungseigenschaften bei Klaviyo identify und track Aufrufen zu verwenden, um die Abonnentenaufzeichnungen der Plattform mit dem aufgezeichneten Einwilligungsstatus synchron zu halten.

1. Entfernen Sie das Standard-Onsite-Snippet aus dem Head

Klaviyo stellt ein einzeiliges Snippet bereit, das Installeure typischerweise in den Dokumenten-Head einfügen. Entfernen Sie es. Ersetzen Sie es durch ein Platzhalter-Script-Element, dessen type-Attribut text/plain ist und dessen data-category-Attribut es als Marketing identifiziert. Ihr CMP schreibt den Typ zurück zu text/javascript, wenn der Besucher die Marketing-Kategorie akzeptiert.

2. Das Laden von Klaviyo Forms verzögern

Die Forms-Bibliothek lädt unabhängig von Onsite. Wenden Sie dasselbe Platzhaltermuster auf das Script-Element an, sodass es sich nicht vor der Einwilligung initialisiert. Nach Erteilung der Einwilligung können sich sowohl Onsite als auch Forms gemeinsam initialisieren; in der Warteschlange befindliche Events werden automatisch geleert.

3. SMS-Einwilligung von Cookie-Einwilligung trennen

Die SMS-Opt-in-Erfassung läuft über Klaviyo Forms, aber die gesammelte Einwilligung (das explizite Kontrollkästchen für SMS-Marketing) ist ein separates rechtliches Artefakt von der Cookie-Einwilligung. Der CMP-Banner zeichnet die Cookie-Entscheidung auf; das Formular-Kontrollkästchen zeichnet die SMS-Entscheidung auf. Bündeln Sie sie nicht — gebündelte Einwilligung ist sowohl nach GDPR als auch nach TCPA ungültig.

4. Einwilligung in das Klaviyo-Profil übertragen

Wenn ein bekannter Abonnent auf Ihrer Website die Einwilligung akzeptiert oder widerruft, sollte der CMP die Klaviyo API aufrufen, um die Einwilligungsfelder des Profils zu aktualisieren. Die Klaviyo Profiles API unterstützt einen Teilaktualisierungsaufruf, der E-Mail-Einwilligung, SMS-Einwilligung und Einwilligungs-Zeitstempel schreibt, ohne den Rest des Profils zu überschreiben. Die meisten modernen CMPs haben einen Klaviyo-Konnektor, der dies von Anfang bis Ende handhabt.

5. Consent Mode v2 verbinden, wenn Sie Google-Tags parallel betreiben

Die meisten Shops, die Klaviyo verwenden, betreiben auch Google Ads und GA4. Ihr CMP muss die v2-Einwilligungssignale — ad_storage, analytics_storage, ad_user_data, ad_personalization — in den dataLayer veröffentlichen, bevor ein Google-Tag ausgelöst wird. Klaviyo verbraucht diese Signale nicht nativ, aber Google tut es, und eine Inkonsistenz zwischen Klaviyo und Google wird als messbares Umsatzdefizit in den Attributionsberichten sichtbar.

Häufige Fallstricke

Vier Integrationsfehler tauchen bei Audits von Klaviyo-Bereitstellungen immer wieder auf.

Forms als "nur ein Popup" behandeln

Einige Teams sichern Onsite unter Marketing, lassen aber Forms beim ersten Rendering laden, mit der Begründung, dass „ein Popup nur ein UI-Element ist". Die Forms-Bibliothek löst Impression-Events für jedes angezeigte Popup an Klaviyo aus, was identifizierende Verhaltensdaten sind, die an einen US-amerikanischen Ad-Tech-Anbieter weitergeleitet werden — genau das Muster, das ein CMP verhindern soll.

Cookie- und SMS-Einwilligung bündeln

Ein einziges Kontrollkästchen mit dem Text „Ich stimme Cookies und dem Erhalt von Marketing-SMS zu" ist für beides ungültig. Cookie-Einwilligung muss cookie-spezifisch sein; SMS-Einwilligung muss SMS-spezifisch sein. Verwenden Sie separate Steuerelemente.

Drittanbieter-Paid-Media-Konnektoren auf widerrufenen Profilen auslösen lassen

Klaviyo kann über seine Integrationen Zielgruppen an Google Ads, Meta, TikTok und andere Werbenetzwerke übertragen. Wenn ein Abonnent die Einwilligung widerruft, muss die Zielgruppenübertragung ihn entfernen — nicht nur aufhören, ihn hinzuzufügen. Konfigurieren Sie die Zielgruppen-Synchronisierungseinstellungen von Klaviyo so, dass Einwilligungsstatusänderungen in Echtzeit berücksichtigt werden, nicht nur bei der ersten Synchronisierung.

Die historische Datenfrage vergessen

Wenn ein Besucher zum ersten Mal die Einwilligung akzeptiert, sollte Ihr Stack sein anonymes Verhalten vor der Einwilligung nicht rückwirkend mit dem neuen Profil verknüpfen. CMP und Klaviyo sollten übereinstimmen, dass Browsing-Daten vor der Einwilligung keine personenbezogenen Daten sind, die mit dem nun identifizierten Profil verknüpft sind. Einige Klaviyo-Flows setzen diese Assoziation standardmäßig voraus — überprüfen Sie die relevanten Flow-Trigger.

Audit-Checkliste

Sechs konkrete Fragen, die für jede Klaviyo-Bereitstellung beantwortet werden müssen, die EU-, UK-, brasilianischen oder kalifornischen Traffic verarbeitet.

• Wartet Onsite auf die Einwilligung? Öffnen Sie die Schaufensterfront in einem privaten Fenster mit striktem Tracking-Schutz und bestätigen Sie, dass keine static.klaviyo.com-Anfragen vor der Banner-Akzeptanz ausgelöst werden.
• Wartet Forms auf die Einwilligung? Bestätigen Sie, dass Popup-Impression-Events nicht ausgelöst werden, bevor die Marketing-Kategorie akzeptiert wird.
• Sind Cookie- und SMS-Einwilligung getrennt? Bestätigen Sie, dass der Cookie-Banner nicht auch SMS-Einwilligung sammelt und dass SMS-Opt-in-Formulare ihre eigene explizite Kontrollkästchen-Auswahl aufzeichnen.
• Spiegelt das Klaviyo-Profil den CMP-Status wider? Bestätigen Sie, dass der CMP Einwilligungsentscheidungen über die Klaviyo API in die Einwilligungsfelder des Profils schreibt.
• Berücksichtigen Zielgruppen-Synchronisierungen Widerrufe? Bestätigen Sie, dass der Widerruf der Einwilligung den Abonnenten aus nachgelagerten Paid-Media-Zielgruppen entfernt, nicht nur aus zukünftigen Synchronisierungen.
• Bleibt das Browsen vor der Einwilligung anonym? Bestätigen Sie, dass Flow-Trigger das Verhalten vor der Einwilligung nicht rückwirkend mit neu identifizierten Profilen verknüpfen.

Wo Klaviyo in einen einwilligungsorientierten Stack passt

Klaviyo befindet sich an der Schnittstelle von E-Commerce-Attribution und direkter Marketingkommunikation, was bedeutet, dass es sowohl das Cookie-Einwilligungsregime (GDPR/ePrivacy, CCPA/CPRA) als auch das Marketingkommunikationsregime (CAN-SPAM, TCPA, GDPR Article 6/7 für Nachrichten) berührt. Die richtige Architektur behandelt diese als zwei getrennte Einwilligungsoberflächen — beide durch ein einziges CMP geleitet, das die Wahrheitsquelle besitzt, mit den nativen Einwilligungsfeldern von Klaviyo, die über die API synchronisiert werden. Shops, die das richtig machen, bewahren das Verhalten bei abgebrochenen Warenkörben, abgebrochenem Browsen und Segmentierung, das Klaviyo kommerziell wertvoll macht, während sie die Audit-Exposition auf einen Bruchteil dessen reduzieren, was eine Standardinstallation mit sich bringt. Die technische Arbeit ist unkompliziert; die Disziplin liegt darin, dem Marketingteam nicht zu erlauben, Forms als von denselben Regeln wie den Onsite-Tracker ausgenommen zu behandeln.