Tracking-Pixel, EU-Regulierungsbehörden und Sie: ein beruhigender Leitfaden zu den jüngsten Ereignissen 

Zuerst veröffentlicht von Mailgun.

Müssen Sie die E-Mail-Nachverfolgung in der EU überdenken? 

Nicht diese Woche. Aber es sollte auf Ihrer Roadmap stehen, und nicht nur auf Ihrer „Irgendwann“-Liste. 

Im März und April 2026 veröffentlichten die Regulierungsbehörden in Frankreich (CNIL) und Italien (Garante) Leitlinien zur Verwendung von Tracking-Pixeln in E-Mails. Dabei handelt es sich nicht um neue Gesetze. Es sind Klarstellungen bestehender Regeln, hauptsächlich der ePrivacy-Richtlinie (demselben Rahmenwerk hinter Cookie-Einwilligungsbannern) sowie der DSGVO, die für Tracking-Pixel in E-Mails gelten. 

Die Nachricht lautet nicht einfach „Stoppen Sie das Tracking.“ Sie lautet: Begründen Sie das Tracking, schränken Sie es ein und holen Sie in vielen Fällen eine Einwilligung dafür ein. 

Sowohl CNIL als auch Garante gehen von derselben Prämisse aus: Tracking-Pixel greifen auf Informationen vom Gerät eines Nutzers zu und diese Aktivität fällt unter die ePrivacy-Regeln. Das bedeutet, dass eine Einwilligung erforderlich ist, es sei denn, es gilt eine spezifische Ausnahme. 

Wenn Ihnen das bekannt vorkommt, ist das richtig so. Die E-Mail holt nur das auf, wo das Web-Tracking schon seit Jahren steht. Das geht schon seit einiger Zeit so. Die E-Mail kommt schick, wenn auch widerwillig, zu spät. 

Beide Regulierungsbehörden erkennen das an, was die Branche als ‚Ausnahme für Zustellbarkeit‘ bezeichnet. Obwohl dies kein formeller Rechtsbegriff ist, erkennen beide Regulierungsbehörden an, dass bestimmte eingeschränkte, zweckgebundene Nutzungen des Trackings der Öffnungsraten unter die ePrivacy-Ausnahmen fallen. 

Die CNIL erlaubt das Tracking der Öffnungsraten auf individueller Ebene ohne Einwilligung, aber nur für eng begrenzte Zwecke der Zustellbarkeit:  

• Identifizierung inaktiver Empfänger 

• Verwaltung von Unterdrückungslisten 

• Bereinigung von Datenbanken 

Die Einschränkungen sind real: Speichern Sie nur minimale Daten (Datum der letzten Öffnung, nicht die vollständige Historie der Interaktion), verwenden Sie sie nicht für Marketing oder E-Mail-Statistiken um und wenden Sie sie nur auf E-Mails an, die der Empfänger angefragt hat oder für deren Empfang er seine Einwilligung gegeben hat. 

Garante nimmt eine deutlich andere Position ein. Die einwilligungsfreie Ausnahme ist im Allgemeinen auf aggregierte, anonymisierte Statistiken beschränkt; ein gemeinsames Pixel pro Kampagne, kein Tracking pro Empfänger, wobei IP-Adressen und technische Kennungen anonymisiert werden. Das Tracking der Öffnungsraten auf individueller Ebene erfordert in der Regel eine Einwilligung, außerhalb spezifischer Anwendungsfälle für Sicherheit und Authentifizierung. 

Die meisten Standard-ESP-Tracking-Modelle (einschließlich unseres) generieren standardmäßig Öffnungs-Events pro Empfänger. Diese Architektur erfüllt die Ausnahme für Zustellbarkeit der CNIL, wenn der Absender angemessene Datenminimierung, Zweckbindung und Kontrollen zur Kundenbindung implementiert. Ob die Ausnahme in einem bestimmten Fall gilt, hängt sowohl davon ab, wie die Daten verwendet werden, als auch davon, wie sie erhoben werden.  

Das Tracking von Öffnungs-Events pro Empfänger erfüllt jedoch ohne deutlichere Änderungen nicht die Anforderungen von Garante. 

Wenn Ihre E-Mail-Statistiken von individuellen Interaktions-Signalen abhängen, befinden Sie sich in Italien im Bereich der Einwilligung. 

1. Die Einwilligung zum Versenden einer E-Mail ist nicht dasselbe wie die Einwilligung, sie nachzuverfolgen. 

Dies ist der Punkt, der die Leute überrascht, deshalb bekommt er einen eigenen Abschnitt. 

Sie können eine gültige Rechtsgrundlage haben, um Marketing-E-Mails, Transaktions-E-Mails und sogar routinemäßige Service-Nachrichten zu versenden, und benötigen dennoch eine separate Einwilligung, um Tracking-Pixel darin zu verwenden. Ja, sogar Transaktions-E-Mails. Die Anforderung zur Einwilligung gilt für das Pixel, nicht für die Nachricht, in der es enthalten ist. 

Die CNIL ist in diesem Punkt ausdrücklich: Eine Einwilligung zum Tracking kann erforderlich sein, selbst wenn die E-Mail selbst keine Einwilligung erfordert. In einigen Fällen können diese in einer einzigen, klar beschriebenen Anfrage gebündelt werden, aber die Standardannahme, dass „sie sich angemeldet haben, also können wir sie tracken“, ist nicht sicher. 

2. Ein Vertrag allein beweist noch keine Einwilligung. 

Wenn Ihre Liste gemietete Kontakte, von Partnern bezogene Adressen, Leads von Tochtergesellschaften oder importierte Daten von irgendwo außerhalb Ihrer eigenen Anmeldeabläufe enthält, ist dies für Sie relevant. 

Die CNIL verlangt, dass die Einwilligung für jeden einzelnen Empfänger nachweisbar ist; wer hat wann und unter welchen Bedingungen eingewilligt. Eine Vertragsklausel, die besagt, dass ein Partner in Ihrem Namen eine Einwilligung eingeholt hat, ist ein wichtiger Teil Ihres Verantwortlichkeitsrahmens, aber für sich genommen nicht ausreichend. Wenn Sie keine Beweise dafür vorlegen können, dass jeder einzelne Empfänger tatsächlich eine informierte Einwilligung gegeben hat, haben Sie diese nicht. Dies ist ein Gespräch mit Ihrem Rechtsteam wert, insbesondere wenn Ihre Liste gemischte Ursprünge hat. Es kann auch nicht schaden, sicherzustellen, dass Sie auch die Acceptable Use Policy Ihres ESP einhalten, da diese Leads möglicherweise von vornherein gegen deren Regeln verstoßen. 

Beide Regulierungsbehörden sagen, dass der Widerruf der Einwilligung einfach sein muss, auch für E-Mails, die sich bereits im Posteingang von jemandem befinden. 

Das bedeutet Folgendes: Ein Nutzer widerruft heute seine Einwilligung. Morgen öffnet er eine E-Mail, die Sie vor drei Monaten versendet haben. Das Pixel wird geladen. Die Erwartung ist, dass Sie dies nicht als identifizierbares Öffnungs-Ereignis protokollieren. Wie streng dies in der Praxis durchgesetzt wird, bleibt abzuwarten, aber der Widerruf der Einwilligung sollte wirksam werden, wenn der Nutzer dies anfragt, einschließlich für zuvor versendete E-Mails. 

Dies erfordert, dass Ihr Pixel-Endpunkt den Status der Einwilligung dynamisch im Moment jeder Öffnung überprüft und sein Verhalten entsprechend anpasst; das Ereignis wird für Empfänger mit Einwilligung protokolliert, jedoch nicht für diejenigen, die diese widerrufen haben. Das Bild wird so oder so weiterhin geladen, aber Ihr Tracking-Verhalten muss sich ändern. 

Sie können dies nicht mit einem Schalter in Ihrer Versand-Plattform ändern. Es handelt sich um eine Pixel-Infrastruktur, die die Einwilligung berücksichtigt, und die meisten E-Mail-Systeme (einschließlich unseres und fast jedes ESP auf dem Markt) wurden anfangs nicht auf diese Weise entwickelt. Die Lücke zwischen der aktuellen Architektur und dem, was diese Leitlinien implizieren, ist real, und sie zu schließen, ist keine kleine Aufgabe. 

Die Ausnahme für die Zustellbarkeit, selbst in der eher permissiven Form Frankreichs, geht davon aus, dass Öffnungsdaten ein nützliches Signal für die Identifizierung inaktiver Empfänger sind. Aber das Tracking der Öffnungsraten ist seit Jahren verfälscht. 

Die E-Mail-Datenschutzfunktion von Apple (unter anderem) lädt Bilder im Voraus und generiert so Öffnungen, die möglicherweise nichts damit zu tun haben, dass ein Mensch eine E-Mail liest. Sicherheits-Gateways scannen Nachrichten und lösen das Laden von Pixeln automatisch aus. Spamfilter und Bots generieren Aktivitäten, bevor ein Empfänger die Nachricht jemals in seinem Posteingang sieht. 

Dies führt zu einer echten Spannung in den Leitlinien. Regulierungsbehörden sagen, dass Sie Öffnungen verwenden können, um inaktive Nutzer ohne Einwilligung zu unterdrücken, aber Öffnungen sind zunehmend keine menschlichen Signale mehr. Und die Techniken, die erforderlich sind, um nicht-menschliche Aktivitäten zu filtern, erfordern möglicherweise selbst die Art von Verarbeitung auf individueller Ebene, für die eine Einwilligung erforderlich ist. 

Es ist ein Teufelskreis, Sie benötigen sauberere Daten, um die Vorschriften einzuhalten, aber die Bereinigung der Daten erfordert möglicherweise eine Einwilligung. Die Regulierungsbehörden haben dies noch nicht vollständig geklärt, und diese Lücke ist wichtig. Wir beobachten dies aufmerksam. 

Nicht nutzlos, aber weniger zuverlässig, und wahrscheinlich weniger zuverlässig, als es Ihnen lieb wäre. 

Wenn das Tracking der Öffnungsraten von einer Einwilligung abhängig wird, sehen Sie nur noch Daten von Empfängern, die sich für das Tracking entschieden haben. Diese Gruppe wird wahrscheinlich klein und selbstselektierend sein, verzerrt zugunsten Ihrer am stärksten interagierenden Abonnenten, was sie statistisch unzuverlässig macht, um Rückschlüsse auf Ihre breitere Zielgruppe zu ziehen. Rechnet man noch maschinell generierte Öffnungen hinzu, erhält man Kennzahlen, die gleichzeitig verzerrt und künstlich aufgebläht sind. 

In der Praxis betrifft dies öffnungsbasierte Automatisierungen, Abläufe zur Re-Aktivierung, das Testen der Betreffzeile, Segmentierung, Personalisierungslogik und das Interaktions-Scoring. Nichts davon wird über Nacht zusammenbrechen. Aber wenn Ihr Programm stark auf Öffnungsdaten basiert, lohnt es sich zu prüfen, welche Entscheidungen sich verschlechtern würden, wenn dieses Signal noch eingeschränkter und fehleranfälliger würde, als es ohnehin schon ist. 

Dies mag sich so anfühlen, als würde etwas Neues weggenommen. Eigentlich ist es eine Beschleunigung von etwas, das bereits im Gange ist. Öffnungen wurden bereits unzuverlässig. Jetzt werden sie selektiv und unzuverlässig. Die Programme, die dies am wenigsten spüren werden, sind diejenigen, die ohnehin auf Klicks, Konversionsraten, Antworten und explizite Nutzer-Aktionen hingearbeitet haben. 

Möglicherweise! Und im Laufe der Zeit vielleicht auch für die gesamte EU. 

Die französischen und italienischen Rahmenwerke sind nicht identisch, und ein auf die CNIL abgestimmter Ansatz erfüllt möglicherweise nicht die italienischen Anforderungen. Für Absender mit einer signifikanten Konzentration der Zielgruppe in beiden Märkten schafft eine identische Behandlung ein Risikopotenzial. 

Für viele Absender ist der sauberste Weg die Anpassung an den strengeren Standard für den gesamten EU-Versand. Es reduziert die Fragmentierung, verringert das Risiko, zwischen zwei beweglichen Zielen gefangen zu sein, und positioniert Sie recht gut, falls andere EU-Regulierungsbehörden ähnliche Leitlinien veröffentlichen, was in Anbetracht dessen, dass sich sowohl CNIL als auch Garante auf dasselbe Rahmenwerk des Europäischen Datenschutzausschusses stützen, eine einigermaßen sichere Prognose ist. 

Dieser Blog konzentriert sich auf die jüngsten Leitlinien der CNIL und von Garante, aber ähnliche Prinzipien gelten auch in anderen Gerichtsbarkeiten. Im Vereinigten Königreich stellen PECR und die ICO-Leitlinien vergleichbare Anforderungen an Cookie-ähnliche Technologien, einschließlich Tracking-Pixel. Absender mit Zielgruppen in Kanada, den USA oder anderen Märkten sollten auch ihre Verpflichtungen gemäß CASL, CAN-SPAM und neuen bundesstaatlichen Datenschutzgesetzen prüfen. Der Trend zu mehr Transparenz und Einwilligung beim digitalen Tracking beschränkt sich nicht auf die EU. 

Als Ihre Versand-Plattform fungieren Sinch Mailgun und Mailjet als Datenverarbeiter. Im CNIL-Rahmenwerk sind wir der „E-Mail-Service-Provider“. Sie, der Absender, sind der Verantwortliche. 

Das bedeutet, dass die Verpflichtung zur Erhebung, Speicherung und zum Nachweis der Einwilligung des Empfängers bei Ihnen liegt, nicht weil wir die Verantwortung abschieben, sondern weil Sie derjenige mit der Empfänger-Beziehung sind. Sie wissen, was auf Ihrem Anmeldeformular stand. Sie wissen, woher diese Adressen stammen. Wir nicht. 

Was wir tun können: flexible Tracking-Kontrollen auf Domain- und Nachrichten-Ebene bereitstellen, dokumentieren, wie unsere Systeme funktionieren, und unsere Plattform weiterentwickeln, während sich dieser Bereich entwickelt. Unsere Rechts-, Produkt- und Zustellbarkeitsteams überwachen aktiv die zu diesem Thema herausgegebenen Leitlinien, und wir werden klar kommunizieren, bevor wir Änderungen am Verhalten der Plattform vornehmen. 

Was wir nicht tun können: wissen, ob Ihre Empfänger in das Tracking eingewilligt haben, es sei denn, Sie teilen es uns mit. Jegliches zukünftiges einwilligungsbewusstes Verhalten auf Plattform-Ebene hängt davon ab, dass dieses Signal von Ihnen kommt. Das ist keine Plattform-Einschränkung, um die wir herum ein Design entwickeln können, sondern eine strukturelle Realität dessen, wie die DSGVO und die ePrivacy-Richtlinie die Verantwortung zuweisen. Ebenso liegt die Entscheidung, ob das Tracking für den von Ihnen versendeten E-Mail-Verkehr aktiviert oder deaktiviert werden soll, bei Ihnen.  

Dies ist der Moment, um sich zu organisieren und nicht nur reaktiv zu handeln. 

Überprüfen Sie Ihre Nutzung von Öffnungsdaten. Erfassen Sie, wo Öffnungen in Ihre Systeme einfließen, einschließlich Automatisierungs-Triggern, Dashboards für E-Mail-Statistiken, Segmentierung, Personalisierung und Entscheidungen zur Zustellbarkeit. Verstehen Sie, was sich verschlechtern würde, wenn dieses Signal an eine Einwilligung gebunden oder sogar stärker eingeschränkt würde. 

Überprüfen Sie Ihre Einwilligungsabläufe und Ihre Datenschutz-Dokumentation. Erwähnen Anmeldeformulare das Tracking? Beschreibt Ihre Datenschutzerklärung dies klar und deutlich? Die CNIL empfiehlt, die Einwilligung für das Pixel-Tracking nach Möglichkeit zum Zeitpunkt der Erfassung der E-Mail-Adresse einzuholen. 

Schauen Sie sich an, woher Ihre Liste stammt. Für jede Adresse, die nicht über Ihre eigenen Formulare und Abläufe generiert wurde, wie z. B. gemietet, co-registriert oder von Partnern bereitgestellt, fragen Sie sich, ob Sie eine individuelle Einwilligung nachweisen können. Ein Vertrag reicht allein nicht aus. (Und wie immer müssen Sie auch die von Ihrem ESP vorgegebenen  Richtlinien einhalten) 

Identifizieren Sie Ihr EU-Risiko. Frankreich und Italien planen die unmittelbarste Durchsetzung. Wenn Sie einen signifikanten Versand in einen dieser Märkte haben, haben diese Ihre Priorität. 

Entscheiden Sie, ob Sie das Tracking aktivieren oder deaktivieren möchten. Das Deaktivieren des gesamten Trackings der Öffnungsraten kann operative Probleme verursachen, ohne Ihre Compliance-Positionierung zu verbessern – der einzige Weg, dies herauszufinden, besteht darin, Ihre Nutzung der Informationen zu überprüfen. Verschaffen Sie sich zuerst ein vollständiges Bild davon, was die jüngsten Leitlinien für Sie bedeuten, und handeln Sie erst dann. 

Dies ist nicht das völlige Ende der E-Mail-Nachverfolgung, aber es ist ein Zeichen dafür, dass sich die E-Mail in dasselbe Modell bewegt, unter dem das Web-Tracking seit Jahren funktioniert: klarerer Zweck, mehr Transparenz, mehr Kontrolle für den Nutzer. 

Der Unterschied ist das Timing. Das Web-Tracking musste im Nachhinein auf die Regulierung reagieren. Die E-Mail kann sich vorbereiten, und das ist eine weitaus bessere Position. 

Dieser Wandel war bereits im Gange. Angesichts von Apple MPP, Sicherheits-Scans und dem sich entwickelnden Posteingangs-Verhalten haben die Öffnungsraten bereits lange vor dem Eingreifen einer Regulierungsbehörde an Zuverlässigkeit verloren. Diese Leitlinien machen es offiziell: Die Zukunft der Interaktion mit E-Mails sind bewusste Signale, keine passiven. Klicks. Konversionsraten. Antworten. Aktionen, die eine Bedeutung haben, wenn sie stattfinden. 

Es gibt heute noch keine Durchsetzungs-Kampagnen, aber die Richtung ist klar: Die Lücke zwischen der aktuellen Funktionsweise der E-Mail-Nachverfolgung und den Erwartungen der Regulierungsbehörden ist real, und das Schließen dieser Lücke wird Zeit, Koordination und ein gewisses architektonisches Umdenken erfordern. 

Die gute Nachricht ist, dass Sie es kommen sehen. 

Das ist eine viel bessere Ausgangslage, als es erst im Nachhinein herauszufinden. 

Autor: Alison Gootee Deliverability Specialist at Sinch Mailgun