Worum es geht
Tracking-Pixel sind winzige, meist unsichtbare Bilder, die nicht in der E-Mail selbst enthalten sind, sondern beim Öffnen der Nachricht von einem entfernten Server nachgeladen werden. Über die individualisierte Bild-URL erfährt der Absender, ob, wann und auf welchem Gerät eine E-Mail geöffnet wurde. Die französische Datenschutzbehörde CNIL hat hierzu ihre finale „Recommendation on tracking pixels in emails“ veröffentlicht und stellt klar: Das Auslesen dieser Informationen ist ein Lese-/Schreibvorgang auf dem Endgerät des Empfängers im Sinne von Art. 82 des französischen Datenschutzgesetzes (Loi Informatique et Libertés), der Art. 5 Abs. 3 der ePrivacy-Richtlinie umsetzt. Die CNIL folgt damit ausdrücklich den EDPB Guidelines 2/2023 zum technischen Anwendungsbereich der ePrivacy-Richtlinie.
In der Empfehlung heißt es wörtlich, die Einbindung von Tracking-Pixeln stelle „an instruction given to the user’s terminal to return targeted information“ dar – also eine Anweisung an das Endgerät, gezielt Informationen (Pixel-Kennung, IP-Adresse etc.) zurückzusenden. Die Konsequenz: Grundsätzlich ist eine vorherige, freie, spezifische, informierte und unmissverständliche Einwilligung des Empfängers erforderlich, sofern keine Ausnahme greift.
Die Regeln gelten seit Mitte Juli 2026 für Empfänger in Frankreich. Die italienische Aufsichtsbehörde zieht mit vergleichbaren Anforderungen im Oktober 2026 nach; Beobachter erwarten, dass weitere EU-Aufsichtsbehörden dem CNIL-Ansatz folgen werden – die Position beruht auf den EDPB-Guidelines und ist damit unionsweit anschlussfähig.

Wichtig für die Einordnung: Die Einwilligungspflicht als solche ist nicht neu. Art. 5 Abs. 3 ePrivacy-Richtlinie gilt seit Langem technologieneutral für jeden Zugriff auf Endeinrichtungen; in Deutschland regelt § 25 TDDDG dasselbe, und dass personenbezogenes Newsletter-Tracking hierunter fällt, entspricht seit den EDPB Guidelines 2/2023 der gefestigten europäischen Auffassung. Viele Unternehmen holen deshalb bereits heute eine Einwilligung ein, häufig allerdings als pauschalen Satz im Newsletter-Anmeldetext („Wir werten Öffnungs- und Klickraten aus, um unsere Inhalte zu verbessern“), mitgekoppelt mit der Werbeeinwilligung.
Genau hier setzt die CNIL an: Die Empfehlung schafft kein neues Recht, sondern definiert erstmals verbindlich-konkret, wie Einwilligungstexte, Anmeldeformulare und Datenschutzerklärungen für E-Mail-Tracking auszugestalten sind. Neu ist im Einzelnen:
Eine Sammeleinwilligung „Newsletter inkl. Tracking“ genügt nicht mehr. Jeder Tracking-Zweck (Kampagnenoptimierung, Profilbildung, Betrugserkennung) braucht eine eigene, aktive Opt-in-Handlung – mit kurzem Titel und knapper Beschreibung je Zweck; die CNIL liefert hierfür wörtliche Musterformulierungen (Abschnitt 4.1). Nur eng verwandte Zwecke dürfen gebündelt werden, etwa ausdrücklich als personalisiert beworbene Direktwerbung samt der dafür eingesetzten Pixel.
Der Cookie-Banner ist kein geeigneter Ort.
Die CNIL stellt in einem eigenen Hinweis klar, dass die Einwilligung über eine Consent-Management-Platform auf der Website problematisch ist: Der Nutzer versteht dort nicht, dass seine Wahl eine andere Umgebung – sein E-Mail-Postfach – und eine konkrete E-Mail-Adresse betrifft; damit fehlt es an der Informiertheit. Der richtige Ort ist das Newsletter-Anmeldeformular selbst, bei Erhebung der E-Mail-Adresse.
Konkrete Vorgaben zur Datenminimierung.
Für die einwilligungsfreie Deliverability-Messung darf nur noch das taggenaue Datum der letzten Öffnung gespeichert werden – ohne Uhrzeit, ohne Historie, überschreibend. Wer heute vollständige Öffnungsprotokolle vorhält, muss seine Systeme anpassen.
Konkrete Vorgaben zum Widerruf.
Widerrufslink im Footer jeder E-Mail, Widerruf ohne erneute Adresseingabe, Wirksamkeit auch für bereits versandte E-Mails beim erneuten Öffnen.
Anpassungspflicht für die Datenschutzerklärung.
Auch einwilligungsfreie Pixel (Deliverability, Authentifizierung, Compliance-Nachweis) sollen als Good Practice in der Datenschutzerklärung transparent gemacht werden.
Für die Praxis bedeutet das: Der Umsetzungsaufwand liegt weniger im „Ob“ der Einwilligung als in der Überarbeitung der bestehenden Einwilligungstexte, Anmeldestrecken und Datenschutzerklärungen – weg vom Pauschalsatz, hin zu zweckgetrennten, aktiv anzuklickenden Einwilligungen mit dokumentiertem Nachweis.
Einwilligungspflichtige Zwecke
Nach Abschnitt 3.1 der Empfehlung ist die Einwilligung des Empfängers insbesondere für folgende Zwecke erforderlich:
Kampagnenoptimierung und Performance-Messung. Die Analyse der Öffnungsrate, um Kampagnen zu messen und zu optimieren – etwa durch Personalisierung von Inhalten, Anpassung der Versandfrequenz oder Wahl des Kommunikationskanals (E-Mail, SMS, Push) – erfordert ein Opt-in. Darunter fällt auch die Send-Time-Optimierung anhand individueller Öffnungszeiten.
Profilbildung. Die Erstellung von Empfängerprofilen anhand beobachteter Präferenzen und Interessen, um Personen außerhalb des E-Mail-Kanals anzusprechen (Websites, Apps, andere Kanäle), ist einwilligungspflichtig. Dazu gehören klassische Praktiken wie Follow-up-Kampagnen an Öffner bzw. Nicht-Öffner oder das Auslösen der nächsten E-Mail einer Serie durch eine Öffnung.
Betrugserkennung zugunsten des Absenders. Auch die Erkennung und Analyse verdächtiger Aktivitäten – etwa massenhafte automatisierte Öffnungen bei Gewinnspielen oder Anzeichen für Ad-Fraud – setzt eine Einwilligung voraus.
Individuelle Öffnungsmessung außerhalb der Zustellbarkeits-Ausnahme. Die individuelle Messung der Öffnungsrate zu Zustellbarkeitszwecken ist nur in den engen Grenzen von Abschnitt 3.2 einwilligungsfrei (dazu sogleich); darüber hinaus gilt die Einwilligungspflicht.
Einwilligungsfreie Zwecke
Abschnitt 3.2 der Empfehlung nennt Zwecke, für die Pixel – bei ausschließlicher Nutzung hierfür – ohne Einwilligung eingesetzt werden dürfen:
Sicherheitsmaßnahmen im Rahmen der Nutzerauthentifizierung, etwa die Prüfung, ob eine E-Mail mit einem Authentifizierungscode tatsächlich auf einem dem Nutzer zugeordneten Endgerät geöffnet wird.
Individuelle Öffnungsmessung zu Zustellbarkeitszwecken (Deliverability). Die CNIL erkennt an, dass die Verwaltung von Verteilerlisten Öffnungsstatistiken praktisch voraussetzt. Der Verantwortliche muss aber nachweisen können, dass die Verarbeitung auf das strikt Erforderliche beschränkt ist – konkret auf die Anpassung der Frequenz oder die Einstellung des Versands an inaktive Empfänger (Datenbankbereinigung). Unter diesem Vorbehalt sind zusätzlich zulässig: die Bewertung und Anpassung des Kommunikationskanals (Wahl alternativer Kontaktwege) sowie der Nachweis der Erfüllung gesetzlicher Informationspflichten (z. B. Zugang gesetzlich vorgeschriebener Mitteilungen im Rahmen eines Vertragsverhältnisses).
Hierbei greift eine strenge Datenminimierung: Gespeichert werden darf grundsätzlich nur das Datum der letzten bekannten Öffnung – taggenau, ohne Uhrzeit – wobei jede neue Öffnung den vorherigen Eintrag überschreibt. Eine Historie des Öffnungsverhaltens ist unzulässig.
Aggregierte, anonymisierte Öffnungsraten. Die Weiterverwendung wirksam anonymisierter Daten begründet nach der Empfehlung keinen zusätzlichen Eingriff im Sinne von Art. 82; die DSGVO bleibt auf den Anonymisierungsvorgang selbst anwendbar.
Wichtig: Die Ausnahmen gelten nur für E-Mails, die der Empfänger angefordert hat oder die sich auf einen von ihm angeforderten Dienst beziehen – insbesondere transaktionale E-Mails (Bestellbestätigungen, Versandbenachrichtigungen, Passwort-Resets, Terminbestätigungen etc.) sowie E-Mails der öffentlichen Verwaltung im Rahmen ihres öffentlichen Auftrags. Die CNIL weist zudem darauf hin, dass das Einwilligungsregime für Pixel unabhängig von dem für den E-Mail-Versand selbst ist: Auch für E-Mails, die ohne Einwilligung versandt werden dürfen (z. B. Bestandskundenwerbung), kann für den Pixel-Einsatz eine gesonderte Einwilligung erforderlich sein.
Wie Unternehmen die Vorgaben umsetzen können
Im Kern läuft die Umsetzung auf drei Dokumenten- bzw. Prozessanpassungen hinaus: das Newsletter-Anmeldeformular mit seinen Einwilligungstexten, die Datenschutzerklärung und der Widerrufs-/Präferenzprozess. Im Einzelnen:
1. Audit des Ist-Zustands. Zunächst sollte inventarisiert werden, welche Tracking-Pixel im Einsatz sind, wer sie setzt (eigener Versand, E-Mail-Service-Provider, Drittanbieter-Technologie) und für welche Zwecke die Öffnungsdaten tatsächlich verwendet werden. Die CNIL verlangt, dass jeder Akteur seine Rolle bestimmt: Der Absender ist regelmäßig Verantwortlicher (auch bei ausgelagertem Versand), der E-Mail-Service-Provider in der Regel Auftragsverarbeiter; nutzen Listenvermieter oder Technologieanbieter die Daten auch für eigene Zwecke, kommt gemeinsame Verantwortlichkeit nach Art. 26 DSGVO in Betracht – mit entsprechender Vereinbarungspflicht.
2. Granulare Einwilligung einholen – idealerweise bei der Adresserhebung. Die CNIL empfiehlt, die Einwilligung zum Pixel-Einsatz bereits bei Erhebung der E-Mail-Adresse einzuholen, also im Anmeldeformular. Jeder Zweck ist mit kurzem Titel und knapper Beschreibung darzustellen; die Empfehlung enthält hierfür konkrete Formulierungsbeispiele. Die Einwilligung muss grundsätzlich zweckgetrennt erteilt werden können – pro Zweck eine eigene, nicht vorangekreuzte Checkbox. Bei zweistufigen Einwilligungslösungen ist eine Gesamteinwilligung auf der ersten Ebene nur zulässig, wenn auf der zweiten Ebene zweckbezogen (oder nach verwandten Zweckfamilien) gewählt werden kann. Eine einzige Einwilligung für Direktwerbung und Pixel ist nur ausnahmsweise möglich, wenn die Zwecke eng verbunden sind – etwa ausdrücklich als personalisiert beworbenes Marketing samt der dafür eingesetzten Pixel.
3. Nachträgliche Einholung über pixel-freie E-Mail. Konnte die Einwilligung nicht bei der Adresserhebung eingeholt werden, kann sie per E-Mail nachgeholt werden – diese E-Mail darf selbst keinen einwilligungspflichtigen Tracker enthalten. Der Link sollte auf eine Seite führen, auf der die Person eine aktive Handlung vornimmt (Button-Klick), um ungewollte „Einwilligungen“ durch automatisches Vorladen von Links durch E-Mail-Clients zu vermeiden. Inaktivität ist als Ablehnung zu werten. Als Good Practice nennt die CNIL, abgelehnte Empfänger für mindestens sechs Monate nicht erneut zu ersuchen.
4. Widerruf so einfach wie die Erteilung. Die CNIL empfiehlt einen individualisierten Link im Footer jeder E-Mail, der zu einer Seite führt, auf der der Widerruf ohne weitere Hürden möglich ist – insbesondere ohne erneute Eingabe der E-Mail-Adresse. Der Widerruf muss effektiv sein: Auch bereits gesetzte Pixel dürfen bei erneutem Öffnen alter E-Mails nicht mehr ausgewertet werden.
5. Nachweis der Einwilligung. Nach Art. 7 Abs. 1 DSGVO muss die Einwilligung jederzeit individualisiert nachweisbar sein. Wird die Einwilligung durch Dritte (etwa Adresshändler) eingeholt, genügt eine bloße Vertragsklausel nicht – der Vertrag kann aber Nachweismechanismen, Aufbewahrung und regelmäßige Audits regeln. Die Haftung des Verantwortlichen bleibt bestehen, wenn der Dritte den Nachweis nicht erbringen kann.
6. Übergangsregelung für Bestandsadressen. Für bereits erhobene Adressen darf das Tracking zunächst fortgeführt werden, sofern die Empfänger innerhalb von grundsätzlich drei Monaten ab Veröffentlichung der Empfehlung klar und zugänglich informiert werden und der Nutzung für künftige E-Mails widersprechen können. Praktisch bedeutete das: Wer Bestandsabonnenten (Anmeldung vor dem 14. April 2026) nicht bis zum 14. Juli 2026 informiert und ihnen eine Opt-out-Möglichkeit gegeben hat, muss die Einwilligung nun aktiv auf Opt-in-Basis einholen. Für Adressen, die nach dem 14. April 2026 und vor Go-live des neuen Opt-in-Prozesses erhoben wurden, gilt von vornherein das Opt-in-Erfordernis wie bei Neuabonnenten.
7. Transparenz auch für einwilligungsfreie Pixel. Art. 82 verlangt für einwilligungsfreie Nutzungen keine gesonderte Information; die CNIL empfiehlt aber als Good Practice, sie in der Datenschutzerklärung offenzulegen.
Was passiert bei Nichtumsetzung?
Die Empfehlung selbst ist formal nicht bindend („neither regulatory nor exhaustive“), konkretisiert aber verbindliches Recht: Art. 82 Loi Informatique et Libertés und damit Art. 5 Abs. 3 ePrivacy-Richtlinie. Verstöße gegen Art. 82 kann die CNIL unmittelbar sanktionieren – und tut dies seit Jahren konsequent: Die Cookie-Bußgelder gegen Google (insgesamt 150 Mio. €) und Amazon (35 Mio. €) beruhten auf genau dieser Norm; der Bußgeldrahmen reicht bis zu 20 Mio. € bzw. 4 % des weltweiten Jahresumsatzes. Da die CNIL nach eigener Aussage zunehmend Beschwerden zu E-Mail-Pixeln erhält, ist mit aufsichtsbehördlicher Durchsetzung zu rechnen. Hinzu kommen zivilrechtliche Risiken (Betroffenenrechte, Schadensersatz nach Art. 82 DSGVO) und – bei nachgelagerter Datenverarbeitung ohne Rechtsgrundlage – parallele DSGVO-Verstöße, denn die Empfehlung stellt klar, dass jede Folgeverarbeitung der über Pixel gewonnenen Daten zusätzlich den DSGVO-Anforderungen genügen muss.
Neben dem rechtlichen Risiko spricht auch die Praxis für eine Neuausrichtung: Seit Apples Mail Privacy Protection sind Öffnungsdaten ohnehin nur noch eingeschränkt belastbar, und seit November 2025 sind die gemessenen Gmail-Öffnungsraten infolge verschärfter Anforderungen an Massenversender um rund 30 % eingebrochen. Marketingfachleute verlagern Erfolgsmessung und Segmentierung daher zunehmend auf Klicks, Conversions, Website-Aktivität und Zero-Party-Daten (Präferenzzentren) – Signale, die zugleich datenschutzrechtlich robuster ausgestaltet werden können.




