Es passiert an einem Donnerstag. Die Garante della privacy ver\u00f6ffentlicht eine achtundvierzigseitige Ma\u00dfnahme, und innerhalb von vierzig Minuten sind die WhatsApp-Gruppen der italienischen Vermarkter mit dreimin\u00fctigen Audios von Leuten gef\u00fcllt, die das Dokument nicht gelesen haben, aber bereits eine starke Meinung haben. Klassisch.<\/p>\n\n\n\n
Ich habe das ganze Dokument gelesen (wenn Sie mir glauben!). Es hei\u00dft Verordnung Nr. 284 vom 17. April 2026<\/a>, Es geht um Z\u00e4hlpixel in E-Mails und ist einer der technisch dichtesten regulatorischen Texte, die ich in den letzten Jahren gelesen habe (ich lese nicht oft). Es ist ein Werk f\u00fcr Entwickler und diejenigen, die E-Mail-Infrastrukturen verwalten.<\/p>\n\n\n\n Z\u00e4hlpixel sind diese unsichtbaren, pixelgro\u00dfen Bilder, die E-Mail-Marketingplattformen in Newsletter einf\u00fcgen, um zu wissen, ob die E-Mail ge\u00f6ffnet wurde. Sie funktionieren folgenderma\u00dfen: Der entfernte Server stellt das Bild nur bereit, wenn der Client es anfordert, und die Anforderung enth\u00e4lt alle n\u00fctzlichen Metadaten - IP-Adresse, Benutzer-Agent, Zeitstempel, Empf\u00e4ngerkennung.<\/p>\n\n\n\n Die Garante hat zwischen Oktober 2025 und Februar 2026 zwei Inspektionen bei einem E-Mail-Anbieter und einer Marketingautomatisierungsplattform durchgef\u00fchrt. Textliche Schlussfolgerung der Ma\u00dfnahme: Z\u00e4hlpixel werden verwendet \u201cin fast allen F\u00e4llen\u201d<\/em>. Es handelt sich nicht um eine Sch\u00e4tzung nach unten. Es ist eine Einsch\u00e4tzung.<\/p>\n\n\n\n Die wichtigste juristische Passage ist folgende: Das Pixel wird als ein Fall qualifiziert, der unter den\u2019Artikel 122 des Datenschutzgesetzes<\/strong>, d.h. die gleiche Regel wie f\u00fcr Cookies. Artikel 122 enth\u00e4lt ein allgemeines Verbot mit Ausnahmen: Niemand darf ohne vorherige, freie, ausdr\u00fcckliche und in Kenntnis der Sachlage erteilte Zustimmung Informationen auf dem Endger\u00e4t eines Nutzers speichern oder auf sie zugreifen. Diese Regel besteht bereits seit der Umsetzung der Datenschutzrichtlinie f\u00fcr elektronische Kommunikation im Jahr 2012. Was fehlte, war eine ausdr\u00fcckliche Richtlinie, die sie auf E-Mails anwendet. Jetzt gibt es eine.<\/p>\n\n\n\n Sechs Monate ab der Ver\u00f6ffentlichung im Amtsblatt, um der Richtlinie nachzukommen. Dann wird die Sanktionsregelung von Artikel 83 der Datenschutz-Grundverordnung ausgel\u00f6st. Zwanzig Millionen oder 4% des weltweiten Umsatzes. Je nachdem, welcher Betrag h\u00f6her ist.<\/p>\n\n\n\n Die ePrivacy-Richtlinie ist europ\u00e4isch. Sie gilt in jedem Mitgliedstaat in gleicher Weise. Die Bestimmung der italienischen Garante bezieht sich ausdr\u00fccklich auf die EDPB-Leitlinien 2\/2023 vom 7. Oktober 2024<\/a>, die den gemeinsamen europ\u00e4ischen Rahmen f\u00fcr den technischen Anwendungsbereich von Artikel 5(3) ePrivacy bilden. \u00dcbersetzt: Die italienische Garante war zuerst da, aber die Interpretation existiert bereits auf EDPB-Ebene.<\/p>\n\n\n\n Die franz\u00f6sische CNIL - die in Sachen Datenschutz notorisch schlecht ist - wird wahrscheinlich in den n\u00e4chsten Monaten folgen. Die Deutschen auch. Die Iren haben einen eher biblischen Zeitrahmen, aber sie werden es schaffen. Diejenigen, die Newsletter an europ\u00e4ische B\u00fcrger versenden, haben ohnehin ein Problem, egal wo das Unternehmen seinen Sitz hat.<\/p>\n\n\n\n In Absatz 6 der Bestimmung gibt es eine pr\u00e4zise architektonische Empfehlung, die mich als Entwickler hellh\u00f6rig werden lie\u00df. Die Garante schl\u00e4gt in Anwendung von Artikel 25 GDPR (Datenschutz durch Technik) Folgendes vor:<\/p>\n\n\n\n \u201cDer Absender generiert eine unverst\u00e4ndliche, nicht fortlaufende Kennung und verkn\u00fcpft sie mit der E-Mail-Adresse des Empf\u00e4ngers, wobei diese Korrespondenz in einer separaten, internen Schicht der verwendeten Plattform aufbewahrt wird.\u201d<\/p>\n<\/blockquote>\n\n\n\n In menschlicher Sprache: Die Pixel-URL darf nicht die E-Mail des Empf\u00e4ngers enthalten. Weder im Klartext, noch in base64, noch in einem anderen leicht umkehrbaren Format. Es muss sich um eine undurchsichtige, separat generierte Kennung handeln, deren Korrespondenz mit der E-Mail-Adresse in einer internen Datenbank gespeichert ist und niemals das \u00f6ffentliche Netz durchl\u00e4uft.<\/p>\n\n\n\n Nun: Schauen Sie nach, wie Ihre Plattform das macht. \u00d6ffnen Sie den HTML-Code eines aktuellen Newsletters und suchen Sie nach dem Tag Dies ist der Teil der Ma\u00dfnahme, der, abgesehen von allgemeinen Kommentaren, echte technische Arbeit erfordert - und nicht ein \u201cDatenschutz-Plugin\u201d, das spontan aus dem Repository heruntergeladen wird.<\/p>\n\n\n\n Die Bestimmung ist nicht der erste Absatz eines dystopischen Romans. In Absatz 5 werden drei F\u00e4lle aufgef\u00fchrt, in denen keine Zustimmung erforderlich ist.<\/p>\n\n\n\n Anonyme aggregierte Statistiken.<\/strong> Sie k\u00f6nnen die globale \u00d6ffnungsrate einer Kampagne messen, ohne um Zustimmung zu bitten, vorausgesetzt, Sie verwenden ein identisches Pixel f\u00fcr alle Empf\u00e4nger (kein eindeutiges Pixel pro Benutzer) und anonymisieren IP und Client. Ergebnis: Sie wissen, dass eine Kampagne von 34% ge\u00f6ffnet wurde, aber Sie wissen nicht, von wem. Runde Zahl, kein individuelles Profiling.<\/p>\n\n\n\n Sicherheit und Authentifizierung.<\/strong> Passwortr\u00fccksetzung, Kontobest\u00e4tigung, Daten\u00fcbertragbarkeit, Bearbeitung von GDPR-Anfragen. Hier wird das Pixel verwendet, um zu \u00fcberpr\u00fcfen, ob die Nachricht beim richtigen Haus angekommen und die Verzichtserkl\u00e4rung vollst\u00e4ndig ist.<\/p>\n\n\n\n Obligatorische institutionelle oder dienstliche Mitteilungen.<\/strong> Vertrags\u00e4nderungen, Benachrichtigungen \u00fcber Datenschutzverletzungen, Fristerinnerungen, Phishing-Warnungen. Legitim.<\/p>\n\n\n\n Was nicht<\/em> ohne Zustimmung legitim ist, ist der Normalfall: Ich verfolge, wer sich \u00f6ffnet, um zu sehen, ob die Betreffzeile funktioniert, ich passe die H\u00e4ufigkeit entsprechend dem Interesse der Person an, ich erstelle ein Profil, wer hei\u00df und wer kalt ist, ich passe den n\u00e4chsten Versand an. Das ist genau das, was Mailchimp, Brevo, ActiveCampaign, HubSpot, Klaviyo, FluentCRM, Substack tun - von Anfang an, standardm\u00e4\u00dfig, vom ersten Tag an.<\/p>\n\n\n\n Sobald die Verf\u00fcgung herauskam, hat mein Anwalt Alessandro Vercellotti<\/a> - der sich mit digitalem Recht befasst und von Berufs wegen auf diesen Dingen herumkaut - wies auf etwas hin, das es wert ist, wiederholt zu werden. Agenturen machen bereits die Runde und schlagen eine \u201cdoppelte harte Zustimmung\u201d vor: ein K\u00e4stchen f\u00fcr den Newsletter, ein weiteres f\u00fcr das Tracking, beides obligatorisch bei der Registrierung. Preis der Intervention: sehr hoch. Eile: sehr hoch.<\/p>\n\n\n\n Das Problem ist, dass der B\u00fcrge das Gegenteil geschrieben hat.<\/p>\n\n\n\n Der Text von Absatz 6 ist eindeutig: Zustimmung zum Tracking kann<\/em> in den allgemeineren zum Newsletter aufgenommen werden, solange die Anfrage neutral ist und solange - das ist der Punkt, der alles \u00e4ndert - die Abmeldung granular ist. Ein Abo-K\u00e4stchen ist in Ordnung, aber dann muss der Benutzer nur die M\u00f6glichkeit haben, sich abzumelden, ohne den Newsletter zu verlieren. Das Einstellungsfeld ist in der Fu\u00dfzeile jeder E-Mail zu finden. Punkt.<\/p>\n\n\n\n Wie Vercellotti bereits sagte, hat derjenige, der die doppelte Zustimmung verkauft, das Dokument entweder nicht gelesen oder er setzt darauf, dass Sie es nicht lesen werden. In beiden F\u00e4llen gilt die gleiche Regel: Holen Sie eine zweite Meinung ein, bevor Sie Angebote unterschreiben (vielleicht fragen Sie ihn, wer wirklich gut ist).<\/p>\n\n\n\n Ein Teil Ihres Abonnentenstamms wird im Segment \u201cNewsletter ja, Tracking nein\u201d landen. F\u00fcr sie wird Offenheit nicht mehr messbar sein. Wenn Sie Ihre Kunden auf der Grundlage der \u00d6ffnungsrate abrechnen, sollten Sie noch heute mit dem Aufbau eines alternativen Modells beginnen: Klicks auf wertvolle Links, direkte Antworten, zurechenbare nachgelagerte Konversionen. Die \u00d6ffnungsrate bleibt als technischer Indikator f\u00fcr die Zustellung erhalten. Als Indikator f\u00fcr Engagement ist sie im Niedergang begriffen.<\/p>\n\n\n\n Das granulare Widerrufsfeld, das die Ma\u00dfnahme vorschreibt, ist kein Kontrollk\u00e4stchen in der E-Mail. Es handelt sich um eine echte Seite, die von der Fu\u00dfzeile aus verlinkt ist, die mit dem CRM verkn\u00fcpft ist, die die Entscheidungen des Benutzers als Abonnenteneigenschaft beibeh\u00e4lt und die das Verhalten des Pixel-Renderings beim Versand \u00e4ndert. Wenn Ihre Plattform heute weder eine Benutzeroberfl\u00e4che f\u00fcr den Benutzer noch einen Entwickler-Hook zur bedingten Unterdr\u00fcckung des Pixels bereitstellt, bauen Sie in Windeseile technische Schulden auf.<\/p>\n\n\n\n Bis zu 4% des weltweiten Umsatzes. Niemand f\u00e4ngt an der Obergrenze an, aber das Umfeld f\u00fcr die Durchsetzung ist hei\u00df: in derselben Woche, in der diese Leitlinien ver\u00f6ffentlicht wurden, verh\u00e4ngte die Garante eine Sanktion von 12,5 Millionen f\u00fcr Poste Italiane und Postepay<\/a> in einem anderen Fall (ThreatMetrix-Ger\u00e4t in BancoPosta-Anwendungen). Die Beh\u00f6rde schl\u00e4ft nicht.<\/p>\n\n\n\n Drei Kontrollen, die Sie heute durchf\u00fchren k\u00f6nnen, ohne jemanden anzurufen. \u00d6ffnen Sie den HTML-Code eines aktuellen Newsletters und sehen Sie sich die Pixel-URL an: Enth\u00e4lt sie die E-Mail des Empf\u00e4ngers (im Klartext oder in trivial umkehrbaren Formaten)? Wenn ja, entspricht die Plattform nicht den Kriterien des Garantiegebers f\u00fcr den Datenschutz. \u00d6ffnen Sie das Admin-Panel und versuchen Sie, dieselbe Kampagne an zwei Segmente mit unterschiedlichen Tracking-Richtlinien zu senden: K\u00f6nnen Sie dies tun, ohne die Kampagne zu duplizieren? Wenn nicht, h\u00e4lt der Workflow der neuen Regelung nicht stand. Suchen Sie in der Dokumentation nach dem Hook oder Filter, mit dem Sie das Pixel bedingt pro Abonnent unterdr\u00fccken k\u00f6nnen: Gibt es ihn? Wenn nicht, schreiben Sie jetzt an den Plattform-Support.<\/p>\n\n\n\n In der Softwarebranche wissen wir eine Sache, die das Gesetz oft ignoriert: Entwicklungszeitr\u00e4ume sind nicht linear. Wenn eine Anpassung Datenbank-Audits, Informationsaktualisierungen, CRM-Eingriffe, den Aufbau eines Einstellungspanels, eine m\u00f6gliche Plattformmigration, eine erneute Zustimmungskampagne, End-to-End-Tests und eine \u00dcberwachung nach der Einf\u00fchrung erfordert - dann sind sechs Monate ein straffer Zeitplan. Nicht breit.<\/p>\n\n\n\n Diejenigen, die im Sp\u00e4tsommer anfangen, arbeiten in Eile. Diejenigen, die im Oktober beginnen, kommen sp\u00e4t. Diejenigen, die zu sp\u00e4t kommen, nehmen das, was vom Markt \u00fcbrig bleibt, und das ist in der Regel nicht das Beste: starre Plattformen, \u00fcbereilte Ratschl\u00e4ge, Flickschusterei. Wer zuerst kommt, hat die Wahl. Plattform, Partner, Architektur, Zeitplan.<\/p>\n\n\n\n Wenn Sie einen aktiven Newsletter haben und bisher nur die dreimin\u00fctigen Audios gelesen haben, ist dies das richtige Zeichen. Das Ma\u00df ist da, Sie brauchen weniger als einen Nachmittag, um es zu lesen, und es enth\u00e4lt alles, was Sie brauchen, um zu wissen, wo Sie anfangen sollen. In sechs Monaten wird sich das Gespr\u00e4ch ver\u00e4ndern. Nicht zum Besseren f\u00fcr diejenigen, die es hinausgez\u00f6gert haben.<\/p>","protected":false},"excerpt":{"rendered":" Succede un gioved\u00ec. Il Garante della privacy pubblica un provvedimento di quarantotto pagine e in quaranta minuti i gruppi WhatsApp dei marketer italiani si riempiono di audio da tre minuti di gente che non ha letto il documento ma ha gi\u00e0 un’opinione fortissima. Classico. Io il documento l’ho letto tutto(se credice!). Si chiama provvedimento n. […]<\/p>\n","protected":false},"author":1,"featured_media":55181,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64,440,412],"tags":[441,442,393],"class_list":["post-55177","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","category-compliance","category-leggi-e-obblighi","tag-gdpr","tag-privacy","tag-processi-aziendali"],"meta_box":{"articolo_correlato_di_approfondimento":"","data_pubblicazione_sui_social":"0","pubblicato_sui_social":"false","immagine_generata":"true"},"_links":{"self":[{"href":"https:\/\/edoardoguzzi.com\/de\/wp-json\/wp\/v2\/posts\/55177","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/edoardoguzzi.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/edoardoguzzi.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/edoardoguzzi.com\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/edoardoguzzi.com\/de\/wp-json\/wp\/v2\/comments?post=55177"}],"version-history":[{"count":2,"href":"https:\/\/edoardoguzzi.com\/de\/wp-json\/wp\/v2\/posts\/55177\/revisions"}],"predecessor-version":[{"id":55180,"href":"https:\/\/edoardoguzzi.com\/de\/wp-json\/wp\/v2\/posts\/55177\/revisions\/55180"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/edoardoguzzi.com\/de\/wp-json\/wp\/v2\/media\/55181"}],"wp:attachment":[{"href":"https:\/\/edoardoguzzi.com\/de\/wp-json\/wp\/v2\/media?parent=55177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/edoardoguzzi.com\/de\/wp-json\/wp\/v2\/categories?post=55177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/edoardoguzzi.com\/de\/wp-json\/wp\/v2\/tags?post=55177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Tatsache, bis auf die Knochen reduziert<\/h2>\n\n\n\n
Nicht nur ein italienisches Problem<\/h2>\n\n\n\n
Der interessante technische Teil (den niemand kommentiert)<\/h2>\n\n\n\n
\n
<img><\/code> des Tracking-Pixels und sehen Sie, welche URL er erzeugt. Wenn Sie Ihre E-Mail, einen ungesalzenen Hash darin oder irgendeine Zeichenfolge finden, die innerhalb von drei\u00dfig Sekunden zu der Adresse zur\u00fcckf\u00fchrt, ist diese Plattform nicht bereit. Und das ist die Standardeinstellung von mehr Plattformen, als Sie sich vorstellen k\u00f6nnen.<\/p>\n\n\n\nWas Sie ohne Zustimmung tun k\u00f6nnen (die drei Ausnahmen)<\/h2>\n\n\n\n
Das falsche Problem, dass jemand bereits verkauft<\/h2>\n\n\n\n
Die vier Folgen, ohne S\u00fc\u00dfstoff<\/h2>\n\n\n\n
1. Die \u00d6ffnungsrate als KPI liegt auf der Intensivstation<\/h3>\n\n\n\n
2. Das Einstellungspanel ist Code, nicht Compliance<\/h3>\n\n\n\n
3. Die Strafen sind nicht mehr die 30.000 Euro Theater<\/h3>\n\n\n\n
4. Ihre E-Mail-Plattform ist der erste Engpass<\/h3>\n\n\n\n
Sechs Monate. Was nicht sechs Monate sind<\/h2>\n\n\n\n
Quellen<\/h2>\n\n\n\n
\n