Tracking-Pixel, EU-Regulierungsbehörden und Sie: Ein Leitfaden für Gelassene dazu, was gerade passiert ist 

Dieser Blogartikel wird nur zu allgemeinen Informationszwecken bereitgestellt und stellt keine Rechtsberatung dar. Die regulatorische Landschaft rund um die E-Mail-Nachverfolgung entwickelt sich weiter, und die Anwendung der ePrivacy- und DSGVO-Regeln hängt von Ihren spezifischen Umständen ab, einschließlich der Rechtsordnungen, in denen Sie tätig sind, und der Art Ihrer E-Mail-Programme. Wir empfehlen die Beratung durch einen qualifizierten Rechtsbeistand, bevor Sie Änderungen an Ihren Tracking-Praktiken oder Einwilligungsabläufen vornehmen. 
 

Möge der Vierte mit Ihnen sein, dieser Artikel ist sehr umfangreich, aber ich verspreche Ihnen, er enthält durchweg fundierte Informationen. Ich habe dies dreifach mit unseren Anwälten abgeklärt.

Nicht diese Woche. Aber es sollte auf Ihrer Roadmap stehen, und nicht nur auf Ihrer „Irgendwann“-Liste. 

Im März und April 2026 haben Regulierungsbehörden in Frankreich (CNIL) und Italien (der Garante) haben Richtlinien zur Verwendung von Tracking-Pixeln in E-Mails veröffentlicht. Dabei handelt es sich nicht um neue Gesetze. Es sind Klarstellungen bestehender Regeln, in erster Linie der ePrivacy-Richtlinie (denselben Rahmenbedingungen, die auch Cookie-Einwilligungs-Bannern zugrunde liegen), zusammen mit der DSGVO, die auf Tracking-Pixel in E-Mails Anwendung finden. 

Die Nachricht lautet nicht einfach „Hört auf mit dem Tracking“. Sie lautet: Rechtfertigen Sie das Tracking, beschränken Sie es und holen Sie in vielen Fällen eine Einwilligung dafür ein. 

Sowohl die CNIL als auch der Garante gehen von der gleichen Prämisse aus: Tracking-Pixel greifen auf Informationen vom Gerät eines Nutzers zu und diese Aktivität fällt unter die ePrivacy-Regeln. Das bedeutet, dass eine Einwilligung erforderlich ist, es sei denn, es gilt eine spezifische Ausnahme. 

Wenn Ihnen das bekannt vorkommt, dann sollte es das auch. Die E-Mail holt lediglich das auf, wo das Web-Tracking schon seit Jahren steht. Das geht schon seit einer Weile so. Die E-Mail kommt elegant, wenn auch widerwillig, zu spät. 

Beide Aufsichtsbehörden erkennen an, was die Branche als ‚Ausnahme für die Zustellbarkeit‘ bezeichnet.  Obwohl dies kein formeller juristischer Begriff ist, erkennen beide Aufsichtsbehörden an, dass bestimmte begrenzte, zweckgebundene Verwendungen des Trackings der Öffnungsraten unter die ePrivacy-Ausnahmen fallen. 

Die CNIL erlaubt das Tracking der Öffnungsraten auf individueller Ebene ohne Einwilligung, aber nur für eng begrenzte Zwecke der Zustellbarkeit:  

• Identifizierung inaktiver Empfänger 

• Verwaltung von Unterdrückungslisten 

• Bereinigung von Datenbanken 

Die Einschränkungen sind real: Speichern Sie nur minimale Daten (Datum der letzten Öffnung, nicht die vollständige Historie der Interaktion), verwenden Sie diese nicht für Marketing oder E-Mail-Statistiken um, und wenden Sie sie nur auf E-Mails an, die der Empfänger angefragt oder in deren Erhalt er eingewilligt hat. 

Der Garante nimmt eine deutlich andere Position ein. Die einwilligungsfreie Ausnahme ist im Allgemeinen auf aggregierte, anonymisierte Statistiken beschränkt; ein gemeinsames Pixel pro Kampagne, kein Tracking pro Empfänger, wobei IP-Adressen und technische Kennungen anonymisiert werden. Das Tracking der Öffnungsraten auf individueller Ebene erfordert in der Regel eine Einwilligung, außerhalb spezifischer Anwendungsfälle für Sicherheit und Authentifizierung. 

Die meisten Standard-ESP-Tracking-Modelle (einschließlich unseres) generieren standardmäßig Öffnungs-Events pro Empfänger. Diese Architektur erfüllt die Ausnahme für die Zustellbarkeit der CNIL, wenn der Absender angemessene Datenminimierung, Zweckbindung und Aufbewahrungskontrollen implementiert. Ob die Ausnahme in einem bestimmten Fall Anwendung findet, hängt davon ab, wie die Daten verwendet und wie sie erfasst werden.  

Allerdings erfüllt das Tracking von Öffnungs-Events pro Empfänger ohne wesentliche Änderungen nicht die Anforderungen des Garante. 

Wenn Ihre E-Mail-Statistiken von individuellen Signalen der Interaktion abhängen, befinden Sie sich in Italien im Bereich der Einwilligung. 

1. Die Einwilligung zum Versenden einer E-Mail ist nicht dasselbe wie die Einwilligung, sie nachzuverfolgen. 

Dies ist der Punkt, der die Leute überrascht, daher bekommt er einen eigenen Abschnitt. 

Sie können eine gültige Rechtsgrundlage haben, um Marketing-E-Mails, Transaktions-E-Mails oder sogar routinemäßige Service-Nachrichten zu versenden, und dennoch eine separate Einwilligung benötigen, um darin Tracking-Pixel zu verwenden. Ja, sogar bei Transaktions-E-Mails. Das Erfordernis der Einwilligung gilt für das Pixel, nicht für die Nachricht, in der es enthalten ist. 

Die CNIL äußert sich hierzu ausdrücklich: Eine Einwilligung in das Tracking kann erforderlich sein, auch wenn die E-Mail selbst keine Einwilligung erfordert. In einigen Fällen können diese in einer einzigen, klar beschriebenen Anfrage gebündelt werden, aber die Standardannahme, dass „sie sich angemeldet haben, also können wir sie tracken“, ist nicht sicher. 

2. Ein Vertrag allein beweist keine Einwilligung. 

Wenn Ihre Liste gemietete Kontakte, von Partnern stammende Adressen, Leads von Tochtergesellschaften oder importierte Daten von irgendwo außerhalb Ihrer eigenen Anmeldeabläufe enthält, dann ist dieser Punkt für Sie bestimmt. 

Die CNIL verlangt, dass die Einwilligung für jeden einzelnen Empfänger nachweisbar ist; wer hat wann und unter welchen Bedingungen eingewilligt. Eine Vertragsklausel, die besagt, dass ein Partner in Ihrem Namen eine Einwilligung eingeholt hat, ist ein wichtiger Teil Ihrer Verantwortlichkeit, aber sie reicht allein nicht aus. Wenn Sie keinen Beweis dafür erbringen können, dass jeder einzelne Empfänger tatsächlich eine informierte Einwilligung erteilt hat, haben Sie diese nicht. Dies ist ein Gespräch mit Ihrem Rechtsteam wert, insbesondere wenn Ihre Liste gemischte Ursprünge hat. Es würde auch nicht schaden, sicherzustellen, dass Sie auch die Richtlinien zur akzeptablen Nutzung Ihres ESP einhalten, da diese Leads möglicherweise von vornherein gegen deren Regeln verstoßen. 

Beide Aufsichtsbehörden sagen, dass der Widerruf der Einwilligung einfach sein muss, auch für E-Mails, die sich bereits im Posteingang von jemandem befinden. 

Hier ist, was das tatsächlich bedeutet. Ein Nutzer widerruft heute seine Einwilligung. Morgen öffnet er eine E-Mail, die Sie vor drei Monaten versendet haben. Das Pixel wird geladen. Die Erwartung ist, dass Sie dies nicht als identifizierbares Öffnungs-Event protokollieren. Wie streng dies in der Praxis durchgesetzt wird, bleibt abzuwarten, aber der Widerruf der Einwilligung sollte wirksam werden, wenn der Nutzer ihn anfordert, einschließlich für zuvor versendete E-Mails. 

Dies erfordert, dass Ihr Pixel-Endpunkt den Status der Einwilligung dynamisch im Moment jeder Öffnung überprüft und sein Verhalten entsprechend anpasst; das Event für einwilligende Empfänger zu protokollieren und es für diejenigen nicht zu protokollieren, die widerrufen haben. Das Bild wird so oder so geladen, aber Ihr Tracking-Verhalten muss sich ändern. 

Sie können dies nicht mit einem Schalter in Ihrer Versand-Plattform ändern. Es handelt sich um eine Pixel-Infrastruktur, die die Einwilligung berücksichtigt, und die meisten E-Mail-Systeme (einschließlich unseres und fast jedes ESP auf dem Markt) wurden ursprünglich nicht so entwickelt. Die Kluft zwischen der aktuellen Architektur und dem, was diese Richtlinie impliziert, ist real, und sie zu schließen, ist keine kleine Bitte. 

Die Ausnahme für die Zustellbarkeit, selbst in der großzügigeren Form Frankreichs, geht davon aus, dass Öffnungsdaten ein nützliches Signal für die Identifizierung inaktiver Empfänger sind. Aber das Tracking der Öffnungsraten ist seit Jahren verunreinigt. 

Die E-Mail-Datenschutzfunktion von Apple (unter anderem) lädt Bilder im Voraus und generiert Öffnungen, die möglicherweise nichts damit zu tun haben, dass ein Mensch eine E-Mail liest. Sicherheits-Gateways scannen Nachrichten und lösen das Laden von Pixeln automatisch aus. Spamfilter und Bots generieren Aktivitäten, bevor ein Empfänger die Nachricht jemals in seinem Posteingang sieht. 

Dies erzeugt eine echte Spannung in der Richtlinie. Die Aufsichtsbehörden sagen, dass Sie Öffnungen verwenden können, um inaktive Nutzer ohne Einwilligung zu unterdrücken, aber Öffnungen sind zunehmend keine menschlichen Signale. Und die Techniken, die erforderlich sind, um nicht-menschliche Aktivitäten herauszufiltern, können selbst die Art der Verarbeitung auf individueller Ebene erfordern, die eine Einwilligung benötigt. 

Es ist ein Teufelskreis: Sie benötigen sauberere Daten, um die Vorschriften einzuhalten, aber die Bereinigung der Daten erfordert möglicherweise eine Einwilligung. Die Aufsichtsbehörden haben dies noch nicht vollständig geklärt, und diese Lücke ist von Bedeutung. Wir beobachten dies sehr genau. 

Nicht nutzlos, aber weniger zuverlässig und wahrscheinlich weniger zuverlässig, als es Ihnen lieb wäre. 

Wenn das Tracking der Öffnungsraten an eine Einwilligung gebunden ist, werden Sie nur Daten von Empfängern sehen, die sich für das Tracking entschieden haben. Diese Gruppe wird wahrscheinlich klein und selbstselektierend sein, verzerrt zugunsten Ihrer engagiertesten Abonnenten, was sie statistisch unzuverlässig macht, um Rückschlüsse auf Ihre breitere Zielgruppe zu ziehen. Fügen Sie noch maschinengenerierte Öffnungen hinzu, und Sie erhalten Metriken, die gleichzeitig verzerrt und überhöht sind. 

In der Praxis wirkt sich dies auf öffnungsbasierte Automatisierungen, Abläufe zur Re-Aktivierung, Tests der Betreffzeile, Segmentierung, Personalisierungslogik und das Scoring der Interaktion aus. Nichts davon wird über Nacht zusammenbrechen. Aber wenn sich Ihr Programm stark auf Öffnungsdaten stützt, lohnt es sich zu prüfen, welche Entscheidungen sich verschlechtern würden, wenn dieses Signal enger und fehleranfälliger würde, als es ohnehin schon ist. 

Dies mag sich anfühlen, als würde einem etwas Neues weggenommen werden. Tatsächlich ist es eine Beschleunigung von etwas, das bereits im Gange ist. Öffnungen wurden bereits fehleranfälliger. Jetzt werden sie selektiv und fehleranfällig. Die Programme, die dies am wenigsten spüren werden, sind diejenigen, die ohnehin auf Klicks, Konversionsraten, Antworten und explizite Aktionen der Nutzer ausgerichtet sind. 

Möglicherweise! Und im Laufe der Zeit vielleicht für die gesamte EU. 

Die französischen und italienischen Rahmenbedingungen sind nicht gleich, und ein auf die CNIL abgestimmter Ansatz erfüllt möglicherweise nicht die italienischen Anforderungen. Für Absender mit einer signifikanten Konzentration der Zielgruppe in beiden Märkten stellt eine identische Behandlung ein Risiko dar. 

Für viele Absender besteht der sauberste Weg darin, sich beim EU-weiten Versand an den strengeren Standard anzupassen. Dies reduziert die Fragmentierung, verringert das Risiko, zwischen zwei sich bewegenden Zielen gefangen zu sein, und positioniert Sie recht gut, falls andere EU-Aufsichtsbehörden ähnliche Richtlinien veröffentlichen, was angesichts der Tatsache, dass sich sowohl die CNIL als auch der Garante auf denselben Rahmen des Europäischen Datenschutzausschusses stützen, eine einigermaßen sichere Vorhersage ist. 

Dieser Blog konzentriert sich auf die aktuellen Richtlinien der CNIL und des Garante, aber ähnliche Prinzipien gelten auch in anderen Gerichtsbarkeiten. Im Vereinigten Königreich legen die PECR und die ICO-Richtlinien vergleichbare Anforderungen für Cookie-ähnliche Technologien, einschließlich Tracking-Pixel, fest. Absender mit Zielgruppen in Kanada, den USA oder anderen Märkten sollten auch ihre Verpflichtungen gemäß CASL, CAN-SPAM und den aufkommenden staatlichen Datenschutzgesetzen berücksichtigen. Der Trend zu mehr Transparenz und Einwilligung im digitalen Tracking ist nicht auf die EU beschränkt. 

Als Ihre Versand-Plattform fungieren Sinch Mailgun und Mailjet als Datenverarbeiter. Im Rahmen der CNIL sind wir der „E-Mail-Service-Provider“. Sie, der Absender, sind der Verantwortliche. 

Das bedeutet, dass die Verpflichtung, die Einwilligung des Empfängers einzuholen, zu speichern und nachzuweisen, bei Ihnen liegt, nicht weil wir die Verantwortung von uns weisen, sondern weil Sie derjenige sind, der die Beziehung zum Empfänger hat. Sie wissen, was in Ihrem Anmeldeformular stand. Sie wissen, woher diese Adressen stammen. Wir wissen es nicht. 

Was wir tun können: flexible Tracking-Kontrollen auf Domain- und Nachrichten-Ebene bereitstellen, dokumentieren, wie unsere Systeme funktionieren, und unsere Plattform weiterentwickeln, während sich dieser Bereich entwickelt. Unsere Rechts-, Produkt- und Zustellbarkeits-Teams überwachen aktiv die zu diesem Thema herausgegebenen Richtlinien, und wir werden klar kommunizieren, bevor wir Änderungen am Verhalten der Plattform vornehmen. 

Was wir nicht tun können: wissen, ob Ihre Empfänger in das Tracking eingewilligt haben, es sei denn, Sie teilen es uns mit. Jedes zukünftige einwilligungsbewusste Verhalten auf Plattformebene hängt davon ab, dass dieses Signal von Ihnen kommt. Das ist keine Einschränkung der Plattform, die wir umgehen können, sondern eine strukturelle Realität dessen, wie die DSGVO und ePrivacy die Verantwortung zuweisen. Ebenso liegt die Entscheidung, ob das Tracking für den von Ihnen versendeten E-Mail-Verkehr aktiviert oder deaktiviert werden soll, bei Ihnen.  

Dies ist der Moment, um organisiert zu werden, nicht reaktiv. 

Überprüfen Sie Ihre Nutzung von Öffnungsdaten. Bilden Sie ab, wo Öffnungen in Ihre Systeme einfließen, einschließlich Automatisierungs-Trigger, Dashboards für E-Mail-Statistiken, Segmentierung, Personalisierung und Entscheidungen zur Zustellbarkeit. Verstehen Sie, was sich verschlechtern würde, wenn dieses Signal an eine Einwilligung gebunden oder sogar noch enger würde. 

Überprüfen Sie Ihre Abläufe zur Einwilligung und Ihre Datenschutzdokumentation. Wird das Tracking in den Anmeldeformularen erwähnt? Wird es in Ihrer Datenschutzerklärung klar beschrieben? Die CNIL empfiehlt, die Einwilligung für das Pixel-Tracking nach Möglichkeit zum Zeitpunkt der Erfassung der E-Mail-Adresse einzuholen. 

Schauen Sie sich an, woher Ihre Liste stammt. Für jede Adresse, die nicht über Ihre eigenen Formulare und Abläufe generiert wurde, wie z. B. gemietet, co-registriert oder von Partnern bereitgestellt, fragen Sie sich, ob Sie die individuelle Einwilligung nachweisen können. Ein Vertrag allein reicht nicht aus. (Und wie immer müssen Sie auch die  Richtlinien Ihres ESP einhalten) 

Ermitteln Sie Ihr EU-Risiko. Frankreich und Italien haben die unmittelbarsten Durchsetzungspläne. Wenn Sie einen signifikanten Versand in einen der beiden Märkte haben, haben diese für Sie Priorität. 

Entscheiden Sie, ob Sie das Tracking aktivieren oder deaktivieren. Die Deaktivierung des gesamten Trackings der Öffnungsraten kann betriebliche Probleme verursachen, ohne Ihre Compliance-Positionierung zu verbessern – der einzige Weg, dies herauszufinden, besteht darin, Ihre Nutzung der Informationen zu untersuchen. Verstehen Sie zunächst das Gesamtbild dessen, was die jüngsten Richtlinien für Sie bedeuten, und handeln Sie dann. 

Dies ist nicht das vollständige Ende der E-Mail-Nachverfolgung, aber es ist ein Zeichen dafür, dass die E-Mail in dasselbe Modell übergeht, nach dem das Web-Tracking seit Jahren funktioniert: klarerer Zweck, mehr Transparenz, mehr Kontrolle durch den Nutzer. 

Der Unterschied ist der Zeitpunkt. Das Web-Tracking musste im Nachhinein auf die Regulierung reagieren. Die E-Mail kann sich darauf vorbereiten, und das ist wirklich eine bessere Position. 

Dieser Wandel fand bereits statt. Zwischen Apple MPP, Sicherheits-Scans und sich entwickelndem Posteingangs-Verhalten verloren die Öffnungsraten bereits an Zuverlässigkeit, lange bevor sich eine Aufsichtsbehörde einschaltete. Diese Richtlinie macht es offiziell: Die Zukunft der Interaktion mit E-Mail liegt in bewussten Signalen, nicht in passiven. Klicks. Konversionsraten. Antworten. Aktionen, die etwas bedeuten, wenn sie passieren. 

Heute gibt es keine Durchsetzungs-Kampagnen, aber die Richtung ist klar, die Kluft zwischen der aktuellen Funktionsweise der E-Mail-Nachverfolgung und den Erwartungen der Aufsichtsbehörden ist real, und das Schließen dieser Kluft wird Zeit, Koordination und ein gewisses architektonisches Umdenken erfordern. 

Die gute Nachricht ist, dass Sie es kommen sehen können. 

Das ist eine viel bessere Ausgangslage, als es im Nachhinein herauszufinden. 

Author: Alison Gootee