Es passiert an einem Donnerstag. Die Garante della privacy veröffentlicht eine achtundvierzigseitige Maßnahme, und innerhalb von vierzig Minuten sind die WhatsApp-Gruppen der italienischen Vermarkter mit dreiminütigen Audios von Leuten gefüllt, die das Dokument nicht gelesen haben, aber bereits eine starke Meinung haben. Klassisch.
Ich habe das ganze Dokument gelesen (wenn Sie mir glauben!). Es heißt Verordnung Nr. 284 vom 17. April 2026, Es geht um Zählpixel in E-Mails und ist einer der technisch dichtesten regulatorischen Texte, die ich in den letzten Jahren gelesen habe (ich lese nicht oft). Es ist ein Werk für Entwickler und diejenigen, die E-Mail-Infrastrukturen verwalten.
Die Tatsache, bis auf die Knochen reduziert
Zählpixel sind diese unsichtbaren, pixelgroßen Bilder, die E-Mail-Marketingplattformen in Newsletter einfügen, um zu wissen, ob die E-Mail geöffnet wurde. Sie funktionieren folgendermaßen: Der entfernte Server stellt das Bild nur bereit, wenn der Client es anfordert, und die Anforderung enthält alle nützlichen Metadaten - IP-Adresse, Benutzer-Agent, Zeitstempel, Empfängerkennung.
Die Garante hat zwischen Oktober 2025 und Februar 2026 zwei Inspektionen bei einem E-Mail-Anbieter und einer Marketingautomatisierungsplattform durchgeführt. Textliche Schlussfolgerung der Maßnahme: Zählpixel werden verwendet “in fast allen Fällen”. Es handelt sich nicht um eine Schätzung nach unten. Es ist eine Einschätzung.
Die wichtigste juristische Passage ist folgende: Das Pixel wird als ein Fall qualifiziert, der unter den’Artikel 122 des Datenschutzgesetzes, d.h. die gleiche Regel wie für Cookies. Artikel 122 enthält ein allgemeines Verbot mit Ausnahmen: Niemand darf ohne vorherige, freie, ausdrückliche und in Kenntnis der Sachlage erteilte Zustimmung Informationen auf dem Endgerät eines Nutzers speichern oder auf sie zugreifen. Diese Regel besteht bereits seit der Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation im Jahr 2012. Was fehlte, war eine ausdrückliche Richtlinie, die sie auf E-Mails anwendet. Jetzt gibt es eine.
Sechs Monate ab der Veröffentlichung im Amtsblatt, um der Richtlinie nachzukommen. Dann wird die Sanktionsregelung von Artikel 83 der Datenschutz-Grundverordnung ausgelöst. Zwanzig Millionen oder 4% des weltweiten Umsatzes. Je nachdem, welcher Betrag höher ist.
Nicht nur ein italienisches Problem
Die ePrivacy-Richtlinie ist europäisch. Sie gilt in jedem Mitgliedstaat in gleicher Weise. Die Bestimmung der italienischen Garante bezieht sich ausdrücklich auf die EDPB-Leitlinien 2/2023 vom 7. Oktober 2024, die den gemeinsamen europäischen Rahmen für den technischen Anwendungsbereich von Artikel 5(3) ePrivacy bilden. Übersetzt: Die italienische Garante war zuerst da, aber die Interpretation existiert bereits auf EDPB-Ebene.
Die französische CNIL - die in Sachen Datenschutz notorisch schlecht ist - wird wahrscheinlich in den nächsten Monaten folgen. Die Deutschen auch. Die Iren haben einen eher biblischen Zeitrahmen, aber sie werden es schaffen. Diejenigen, die Newsletter an europäische Bürger versenden, haben ohnehin ein Problem, egal wo das Unternehmen seinen Sitz hat.
Der interessante technische Teil (den niemand kommentiert)
In Absatz 6 der Bestimmung gibt es eine präzise architektonische Empfehlung, die mich als Entwickler hellhörig werden ließ. Die Garante schlägt in Anwendung von Artikel 25 GDPR (Datenschutz durch Technik) Folgendes vor:
“Der Absender generiert eine unverständliche, nicht fortlaufende Kennung und verknüpft sie mit der E-Mail-Adresse des Empfängers, wobei diese Korrespondenz in einer separaten, internen Schicht der verwendeten Plattform aufbewahrt wird.”
In menschlicher Sprache: Die Pixel-URL darf nicht die E-Mail des Empfängers enthalten. Weder im Klartext, noch in base64, noch in einem anderen leicht umkehrbaren Format. Es muss sich um eine undurchsichtige, separat generierte Kennung handeln, deren Korrespondenz mit der E-Mail-Adresse in einer internen Datenbank gespeichert ist und niemals das öffentliche Netz durchläuft.
Nun: Schauen Sie nach, wie Ihre Plattform das macht. Öffnen Sie den HTML-Code eines aktuellen Newsletters und suchen Sie nach dem Tag <img> des Tracking-Pixels und sehen Sie, welche URL er erzeugt. Wenn Sie Ihre E-Mail, einen ungesalzenen Hash darin oder irgendeine Zeichenfolge finden, die innerhalb von dreißig Sekunden zu der Adresse zurückführt, ist diese Plattform nicht bereit. Und das ist die Standardeinstellung von mehr Plattformen, als Sie sich vorstellen können.
Dies ist der Teil der Maßnahme, der, abgesehen von allgemeinen Kommentaren, echte technische Arbeit erfordert - und nicht ein “Datenschutz-Plugin”, das spontan aus dem Repository heruntergeladen wird.
Was Sie ohne Zustimmung tun können (die drei Ausnahmen)
Die Bestimmung ist nicht der erste Absatz eines dystopischen Romans. In Absatz 5 werden drei Fälle aufgeführt, in denen keine Zustimmung erforderlich ist.
Anonyme aggregierte Statistiken. Sie können die globale Öffnungsrate einer Kampagne messen, ohne um Zustimmung zu bitten, vorausgesetzt, Sie verwenden ein identisches Pixel für alle Empfänger (kein eindeutiges Pixel pro Benutzer) und anonymisieren IP und Client. Ergebnis: Sie wissen, dass eine Kampagne von 34% geöffnet wurde, aber Sie wissen nicht, von wem. Runde Zahl, kein individuelles Profiling.
Sicherheit und Authentifizierung. Passwortrücksetzung, Kontobestätigung, Datenübertragbarkeit, Bearbeitung von GDPR-Anfragen. Hier wird das Pixel verwendet, um zu überprüfen, ob die Nachricht beim richtigen Haus angekommen und die Verzichtserklärung vollständig ist.
Obligatorische institutionelle oder dienstliche Mitteilungen. Vertragsänderungen, Benachrichtigungen über Datenschutzverletzungen, Fristerinnerungen, Phishing-Warnungen. Legitim.
Was nicht ohne Zustimmung legitim ist, ist der Normalfall: Ich verfolge, wer sich öffnet, um zu sehen, ob die Betreffzeile funktioniert, ich passe die Häufigkeit entsprechend dem Interesse der Person an, ich erstelle ein Profil, wer heiß und wer kalt ist, ich passe den nächsten Versand an. Das ist genau das, was Mailchimp, Brevo, ActiveCampaign, HubSpot, Klaviyo, FluentCRM, Substack tun - von Anfang an, standardmäßig, vom ersten Tag an.
Das falsche Problem, dass jemand bereits verkauft
Sobald die Verfügung herauskam, hat mein Anwalt Alessandro Vercellotti - der sich mit digitalem Recht befasst und von Berufs wegen auf diesen Dingen herumkaut - wies auf etwas hin, das es wert ist, wiederholt zu werden. Agenturen machen bereits die Runde und schlagen eine “doppelte harte Zustimmung” vor: ein Kästchen für den Newsletter, ein weiteres für das Tracking, beides obligatorisch bei der Registrierung. Preis der Intervention: sehr hoch. Eile: sehr hoch.
Das Problem ist, dass der Bürge das Gegenteil geschrieben hat.
Der Text von Absatz 6 ist eindeutig: Zustimmung zum Tracking kann in den allgemeineren zum Newsletter aufgenommen werden, solange die Anfrage neutral ist und solange - das ist der Punkt, der alles ändert - die Abmeldung granular ist. Ein Abo-Kästchen ist in Ordnung, aber dann muss der Benutzer nur die Möglichkeit haben, sich abzumelden, ohne den Newsletter zu verlieren. Das Einstellungsfeld ist in der Fußzeile jeder E-Mail zu finden. Punkt.
Wie Vercellotti bereits sagte, hat derjenige, der die doppelte Zustimmung verkauft, das Dokument entweder nicht gelesen oder er setzt darauf, dass Sie es nicht lesen werden. In beiden Fällen gilt die gleiche Regel: Holen Sie eine zweite Meinung ein, bevor Sie Angebote unterschreiben (vielleicht fragen Sie ihn, wer wirklich gut ist).
Die vier Folgen, ohne Süßstoff
1. Die Öffnungsrate als KPI liegt auf der Intensivstation
Ein Teil Ihres Abonnentenstamms wird im Segment “Newsletter ja, Tracking nein” landen. Für sie wird Offenheit nicht mehr messbar sein. Wenn Sie Ihre Kunden auf der Grundlage der Öffnungsrate abrechnen, sollten Sie noch heute mit dem Aufbau eines alternativen Modells beginnen: Klicks auf wertvolle Links, direkte Antworten, zurechenbare nachgelagerte Konversionen. Die Öffnungsrate bleibt als technischer Indikator für die Zustellung erhalten. Als Indikator für Engagement ist sie im Niedergang begriffen.
2. Das Einstellungspanel ist Code, nicht Compliance
Das granulare Widerrufsfeld, das die Maßnahme vorschreibt, ist kein Kontrollkästchen in der E-Mail. Es handelt sich um eine echte Seite, die von der Fußzeile aus verlinkt ist, die mit dem CRM verknüpft ist, die die Entscheidungen des Benutzers als Abonnenteneigenschaft beibehält und die das Verhalten des Pixel-Renderings beim Versand ändert. Wenn Ihre Plattform heute weder eine Benutzeroberfläche für den Benutzer noch einen Entwickler-Hook zur bedingten Unterdrückung des Pixels bereitstellt, bauen Sie in Windeseile technische Schulden auf.
3. Die Strafen sind nicht mehr die 30.000 Euro Theater
Bis zu 4% des weltweiten Umsatzes. Niemand fängt an der Obergrenze an, aber das Umfeld für die Durchsetzung ist heiß: in derselben Woche, in der diese Leitlinien veröffentlicht wurden, verhängte die Garante eine Sanktion von 12,5 Millionen für Poste Italiane und Postepay in einem anderen Fall (ThreatMetrix-Gerät in BancoPosta-Anwendungen). Die Behörde schläft nicht.
4. Ihre E-Mail-Plattform ist der erste Engpass
Drei Kontrollen, die Sie heute durchführen können, ohne jemanden anzurufen. Öffnen Sie den HTML-Code eines aktuellen Newsletters und sehen Sie sich die Pixel-URL an: Enthält sie die E-Mail des Empfängers (im Klartext oder in trivial umkehrbaren Formaten)? Wenn ja, entspricht die Plattform nicht den Kriterien des Garantiegebers für den Datenschutz. Öffnen Sie das Admin-Panel und versuchen Sie, dieselbe Kampagne an zwei Segmente mit unterschiedlichen Tracking-Richtlinien zu senden: Können Sie dies tun, ohne die Kampagne zu duplizieren? Wenn nicht, hält der Workflow der neuen Regelung nicht stand. Suchen Sie in der Dokumentation nach dem Hook oder Filter, mit dem Sie das Pixel bedingt pro Abonnent unterdrücken können: Gibt es ihn? Wenn nicht, schreiben Sie jetzt an den Plattform-Support.
Sechs Monate. Was nicht sechs Monate sind
In der Softwarebranche wissen wir eine Sache, die das Gesetz oft ignoriert: Entwicklungszeiträume sind nicht linear. Wenn eine Anpassung Datenbank-Audits, Informationsaktualisierungen, CRM-Eingriffe, den Aufbau eines Einstellungspanels, eine mögliche Plattformmigration, eine erneute Zustimmungskampagne, End-to-End-Tests und eine Überwachung nach der Einführung erfordert - dann sind sechs Monate ein straffer Zeitplan. Nicht breit.
Diejenigen, die im Spätsommer anfangen, arbeiten in Eile. Diejenigen, die im Oktober beginnen, kommen spät. Diejenigen, die zu spät kommen, nehmen das, was vom Markt übrig bleibt, und das ist in der Regel nicht das Beste: starre Plattformen, übereilte Ratschläge, Flickschusterei. Wer zuerst kommt, hat die Wahl. Plattform, Partner, Architektur, Zeitplan.
Quellen
- Verordnung Nr. 284 vom 17. April 2026 - Datenschutzgarantie (vollständiger Text)
- Offizielle Pressemitteilung der Garante
- EDPB-Leitlinien 2/2023 zu Art. 5(3) ePrivacy
- Rechtsabteilung für Digitales - Alessandro Vercellotti
Wenn Sie einen aktiven Newsletter haben und bisher nur die dreiminütigen Audios gelesen haben, ist dies das richtige Zeichen. Das Maß ist da, Sie brauchen weniger als einen Nachmittag, um es zu lesen, und es enthält alles, was Sie brauchen, um zu wissen, wo Sie anfangen sollen. In sechs Monaten wird sich das Gespräch verändern. Nicht zum Besseren für diejenigen, die es hinausgezögert haben.
Sie suchen nach einem Web-Designer Experte für die Realisierung von Websites professionell?
Mein Name ist Edoardo Guzzi. Seit mehr als 10 Jahren helfe ich Unternehmen und Start-ups bei der Entwicklung leistungsstarker, SEO-optimierter und konversionsorientierter Websites.
Ich handle mit Website-Entwicklung mit WordPress und OdooE-Commerce-Erstellung, UX/UI-Optimierung und Strategien zur Verbesserung der Online-Sichtbarkeit.
Ich arbeite zwischen Schweiz und Italienbietet maßgeschneiderte Lösungen für alle, die sich im Internet von anderen abheben möchten. Erfahren Sie mehr über aifb.ch, webwakeup.co.uk.
