Know how directly from the Microsoft 365 mail merge experts
2026 E-Mail-Tracking-Regeln in Europa: Pixel, Klicks & UTMs
By Alex Duggleby · Founder, SecureMailMerge
Kurzfassung
- Tracking-Pixel für Öffnungen in Europa benötigen zunehmend explizite vorherige Zustimmung (Frankreich und Italien, 2026).
- Click-Tracking und empfängerspezifische UTM-Links sollten nach denselben Regeln überprüft werden.
- SecureMailMerge verwendet keines von beidem – keine Pixel, keine umgeschriebenen Links, keine Engagement-Analysen.
Seit Jahren war es üblich, ein winziges Tracking-Pixel in jede E-Mail einzufügen, um Öffnungsraten zu messen.
Im Jahr 2026 ist das in Europa nicht mehr ohne Weiteres sicher. Die CNIL in Frankreich und die Garante in Italien haben Leitlinien veröffentlicht, die E-Mail-Tracking-Pixel viel stärker wie Cookies behandeln als gewöhnliche Kampagnenberichte.
Was bedeutet das konkret für dich?
Die praktische Botschaft ist einfach: Wenn eine Marketing-E-Mail ein unsichtbares Pixel verwendet, um zu erkennen, ob eine bestimmte Person die Nachricht geöffnet hat, ist oft eine vorherige Zustimmung erforderlich. Das ist eine große Veränderung für Teams, die Öffnungsraten bisher als Standard-Analytics behandelt haben.
In diesem Leitfaden erklären wir, was sich in Frankreich und Italien geändert hat, was das für Open Tracking, Click Tracking und UTM-Links bedeutet und wie SecureMailMerge personalisierte Outlook-Serienmails ohne all das versendet.
Los geht’s!
Privacy-first mail merge
SecureMailMerge ist für personalisierte Outlook-Serienmails entwickelt, nicht für Verhaltens-Tracking. Du kannst einzelne E-Mails aus Microsoft 365 senden, ohne versteckte Öffnungspixel oder click-getrackte Links hinzuzufügen.
Was hat sich 2026 geändert?
Jahrelang haben viele E-Mail-Marketing-Tools ein winziges unsichtbares Bild in jede E-Mail eingefügt. Wenn der Empfänger die E-Mail öffnete, wurde das Bild vom Server des Absenders geladen und Informationen wie folgende erfasst:
- ob die E-Mail scheinbar geöffnet wurde
- wann sie geöffnet wurde
- der Empfänger-Identifikator, der an dieses Pixel angehängt ist
- IP-Adresse und ungefähre Standortangabe
- E-Mail-Client- und Geräteinformationen
Regulierungsbehörden betrachten dies nun durch die ePrivacy-Perspektive. Das Problem ist nicht nur, dass personenbezogene Daten gemäß DSGVO verarbeitet werden könnten. Das Problem ist auch, dass das Tracking-Pixel auf Informationen vom Gerät des Empfängers zugreifen oder diese auslesen kann, was es näher an ein Cookie-ähnliches Tracking heranrückt.
Deshalb ist die Einwilligung wichtig. Die französischen und italienischen Richtlinien sind kein neues DSGVO-Gesetz. Es ist eine strengere Anwendung bestehender ePrivacy- und Datenschutzregeln auf eine Praxis, die im E-Mail-Marketing zur Routine wurde.
Schauen wir uns also an, was jeder Regulierer tatsächlich gesagt hat, angefangen mit Frankreich.
Frankreich: CNIL erwartet separate Zustimmung für die meisten offenen Tracking-Methoden
Die französische CNIL veröffentlichte im April 2026 ihre Empfehlung zu E-Mail-Tracking-Pixeln. Ihre Position gehört derzeit zu den strengsten in Europa.
Die Kernregel lautet, dass Tracking-Pixel, die verwendet werden, um individuelle E-Mail-Öffnungen zu messen, in der Regel eine vorherige Zustimmung erfordern, wenn sie einen Empfänger identifizieren. Die Zustimmung zum Erhalt eines Newsletters ist nicht automatisch eine Zustimmung zur Messung, ob diese Person ihn geöffnet hat.
Diese Unterscheidung ist wichtig. Ein Anmeldeformular, das nur sagt „schick mir E-Mail-Updates“, kann für den Versand selbst ausreichen, aber die CNIL erwartet eine separate Grundlage für das Tracking der Interaktion des Empfängers mit diesen E-Mails.
In einer konservativen Umsetzung bedeutet das, die Auswahlmöglichkeiten zu trennen:
| Auswahl | Was sie abdeckt |
|---|---|
| Marketing-E-Mails erhalten | Erlaubnis, den Newsletter oder die Kampagne zu senden |
| Engagement-Tracking erlauben | Erlaubnis, Öffnungen und potenziell andere Interaktionen zu messen |
Die CNIL erkennt nur wenige eng gefasste operative Fälle an, in denen das Tracking von der Zustimmung ausgenommen sein kann, wie z. B. die Sicherung der Benutzer-Authentifizierung und begrenzte Zustellbarkeitsaufgaben (Anpassung der Versandfrequenz oder Stopp von E-Mails an inaktive Empfänger). Marketing-Analysen, Lead-Scoring, Versandzeitoptimierung, Betrugserkennung und Automatisierung basierend auf Öffnungen erfordern alle eine Zustimmung.
Es gibt auch ein Übergangsfenster. Für Kontakte, die vor der Empfehlung gesammelt wurden, setzte die CNIL eine Frist bis zum 14. Juli 2026, um die Empfänger zu informieren und ihnen die Möglichkeit zu geben, der Nutzung von Pixeln zu widersprechen; Kontakte, die ab dem 14. April 2026 hinzugefügt werden, müssen von Anfang an durch eine konforme Zustimmung abgedeckt sein.
Für Hintergrundinformationen siehe die Zusammenfassungen von Inside Privacy und Hogan Lovells.
Italien: ähnliche Richtung, mit praktischen Unterschieden
Der italienische Garante hat im April 2026 Leitlinien zu Tracking-Pixeln verabschiedet, mit einer sechsmonatigen Umsetzungsfrist. Die gemeldete Einhaltungsfrist ist der 28. Oktober 2026.
Italiens Position ist in der wichtigsten Hinsicht ähnlich wie die Frankreichs: das individuelle Tracking von E-Mail-Öffnungen via Pixel benötigt im Allgemeinen eine vorherige Einwilligung, wenn es für Marketing oder Verhaltensanalysen verwendet wird.
Es gibt zwei praktische Unterschiede, die erwähnenswert sind:
- Italien scheint offener dafür zu sein, Marketing- und Tracking-Einwilligungen zu bündeln, solange die Formulierung klar, freiwillig und nicht irreführend ist.
- Italien lässt ausdrücklich mehr Raum für wirklich aggregierte und anonymisierte Statistiken, bei denen Empfänger nicht identifiziert werden können.
Das macht das Pixel-Tracking nicht risikofrei. Es bedeutet, dass die Gestaltung von Einwilligung und Analyse je nach Rechtsgebiet unterschiedlich sein kann. Für europäische Kampagnen ist das sicherere Betriebsmodell, davon auszugehen, dass individuelles Open-Tracking eine klare Opt-in-Einwilligung benötigt.
Für Hintergrundinformationen siehe die Zusammenfassungen von Global Policy Watch und iubenda.
Wie sieht es mit Click-Tracking aus?
Open-Pixel bekommen die Schlagzeilen. Aber was ist mit den Links in deiner E-Mail?
Die französischen und italienischen Richtlinien konzentrieren sich hauptsächlich auf Open-Tracking-Pixel. Click-Tracking wird nicht so explizit behandelt.
Click-Tracking funktioniert jedoch oft, indem der ursprüngliche Link durch einen Redirect-Link ersetzt wird, der von der E-Mail-Plattform kontrolliert wird. Wenn der Empfänger klickt, kann die Plattform den Empfänger, die Kampagne, den Zeitstempel, die Ziel-URL, Gerätedetails und manchmal den IP-basierten Standort aufzeichnen, bevor die Person zur endgültigen Seite weitergeleitet wird.
Das bedeutet, dass Click-Tracking weiterhin Verhaltensdaten über einen identifizierbaren Empfänger erstellen kann. Auch wenn die aktuellen Richtlinien für 2026 expliziter auf Pixel eingehen, sollten Datenschutzteams Click-Tracking unter denselben ePrivacy- und DSGVO-Prinzipien prüfen:
- Ist das Tracking notwendig oder nur nützlich für Analytics?
- Wird der Empfänger klar informiert?
- Ist der Klick einer namentlich bekannten oder identifizierbaren Person zugeordnet?
- Wird für Marketing-Analytics, Lead-Scoring oder Automatisierung eine Einwilligung benötigt?
- Kann die Kampagne mit normalen Links funktionieren?
Für einen konservativen EU-Ansatz sollten Open-Tracking und Click-Tracking als Engagement-Analytics behandelt werden, die durch eine klare Tracking-Einwilligung abgedeckt sein sollten.
Werden UTM-Parameter auch abgedeckt?
Da wird es etwas undurchsichtiger.
UTM-Parameter sind nuancierter als Open-Pixel oder klickbasierte Redirect-Tracking. Ein einfacher kampagnenbezogener Link wie ?utm_source=newsletter&utm_campaign=july_update identifiziert normalerweise die Kampagne, nicht den einzelnen Empfänger. Wenn die Website keine Cookies verwendet, keine Gerätekennung speichert und die UTM-Werte nur für anonyme aggregierte Analysen nutzt, ist das Datenschutzrisiko geringer.
Das bedeutet nicht, dass UTM-Links automatisch außerhalb des Gesetzes stehen. Die französischen und italienischen Leitlinien von 2026 beziehen sich hauptsächlich auf E-Mail-Tracking-Pixel, aber ältere ePrivacy-Regeln deckten bereits das Speichern von Informationen auf oder den Zugriff auf Informationen von einem Gerät des Nutzers ab. Der Europäische Datenschutzausschuss hat außerdem erklärt, dass URL-Tracking unter Artikel 5(3) der ePrivacy-Richtlinie fallen kann. Einfach gesagt: Regulierungsbehörden können Tracking-Links weiterhin im Rahmen des bestehenden „Cookie-Gesetzes“ betrachten, selbst wenn kein Cookie verwendet wird.
Die entscheidende Frage ist, ob die UTM-Einrichtung wirklich anonyme Kampagnenmessung oder Empfänger-Tracking auf Einzelperson-Ebene ist. UTM-Parameter werden riskanter, wenn sie eine Empfänger-ID, E-Mail-Hash, CRM-ID, Lead-Score oder einen Wert enthalten, der den Besuch oder Klick einer Person zuordnen lässt. Selbst kampagnenbezogene UTMs können Teil eines Einwilligungsproblems werden, wenn die Landingpage sie mit Analyse-Cookies, Fingerprinting, angemeldeten Nutzerdaten oder Werbe-Pixeln kombiniert.
Die praktische Regel
Kampagnenbezogene UTMs für anonyme aggregierte Berichte sind nicht dasselbe wie das Tracking eines namentlich bekannten Empfängers bei Öffnung oder Klick, sollten aber dennoch dokumentiert und überprüft werden. Empfängerspezifische UTMs sollten wie Engagement-Tracking behandelt und durch eine klare Einwilligungsstrategie abgedeckt werden.
Warum Öffnungsraten sowieso weniger zuverlässig sind
Hier ist der Clou: Selbst wenn die Einwilligung kein Thema wäre, ist das Tracking von Öffnungen nicht mehr das verlässliche Signal, das es früher einmal war.
Die rechtliche Änderung ist nicht der einzige Grund, das Tracking von Öffnungen zu überdenken. Öffnungsraten sind weniger zuverlässig geworden, weil moderne E-Mail-Clients und Datenschutz-Tools Bilder vorladen, Bildanfragen über Proxy-Server leiten, Bilder blockieren oder Netzwerkinformationen verbergen können.
Das bedeutet, dass eine „Öffnung“ nicht immer bedeutet, dass ein Mensch die Nachricht gelesen hat, und eine fehlende Öffnung nicht immer heißt, dass die Nachricht ignoriert wurde.
Für beziehungsbasierte Outlook-Serienmails kommen bessere Signale oft von:
- Antworten
- direkten Kundenreaktionen
- gebuchten Terminen
- ausgefüllten Formularen
- zurückgesendeten Dokumenten
- abgeschlossenen Geschäftsprozessen
- Abmelde- oder Beschwerdetrends
Diese Ergebnisse sind in der Regel aussagekräftiger, als zu versuchen, Absichten aus einem versteckten Pixel abzuleiten.
Wie SecureMailMerge das Tracking handhabt
Wo passt SecureMailMerge da eigentlich rein?
SecureMailMerge unterstützt kein Open-Tracking oder Click-Tracking.
Das bedeutet:
- Es wird kein unsichtbares Tracking-Pixel in deine E-Mail eingefügt
- Es wird kein einzigartiges Open-Tracking-Bild pro Empfänger generiert
- Keine Links werden über eine Tracking-Weiterleitung umgeschrieben
- SecureMailMerge sammelt keine Open-, Click-, Geräte- oder Standort-Analysen
- Es wird kein Empfänger-Engagement-Profil innerhalb von SecureMailMerge erstellt
Das ist Absicht. SecureMailMerge ist für Microsoft 365-Nutzer konzipiert, die personalisierte Serienmail-Kampagnen aus Outlook senden wollen und dabei die Kampagnendaten in ihrem eigenen Microsoft 365-Workflow behalten möchten.
Empfänger-Tabellen werden lokal auf deinem Computer innerhalb des Add-in-Erlebnisses verarbeitet. E-Mails werden aus deinem Postfach gesendet, und Antworten bleiben in Outlook. Das ist nützlich für interne Kommunikation, Kundenbenachrichtigungen, transaktionale Updates, Rechnungen, Zertifikate, compliance-sensible Nachrichten und andere Sendungen, bei denen Tracking-Pixel unnötig oder unerwünscht wären.
Mehr zur Datenverarbeitung des Produkts findest du im SecureMailMerge IT-Sicherheitsleitfaden.
Sind Outlook-Lesebestätigungen dasselbe wie Tracking-Pixel?
Nein. Outlook-Lesebestätigungen und versteckte Tracking-Pixel sind unterschiedlich.
Eine Lesebestätigung ist eine Standard-E-Mail-Funktion, bei der der E-Mail-Client des Empfängers möglicherweise fragt, ob eine Bestätigung an den Absender gesendet werden soll. Der Empfänger oder seine Organisation kann dies oft ablehnen oder deaktivieren. Es ist ein sichtbares Verhalten, das vom E-Mail-System gesteuert wird.
Ein Tracking-Pixel ist typischerweise unsichtbar. Es wird als entferntes Bild geladen und kann den Empfänger ohne direkte Aufforderung im E-Mail-Client identifizieren.
SecureMailMerge kann die Standardoptionen von Outlook verwenden, wie z. B. Lesebestätigungen, wenn sie von Microsoft 365 und dem E-Mail-System des Empfängers unterstützt werden. Das ist nicht dasselbe wie das Hinzufügen von Tracking-Pixeln oder Link-Weiterleitungen von Drittanbietern. Für einen tieferen Vergleich siehe Email Tracking vs Outlook Read Receipts Explained.
Praktische Checkliste für europäische E-Mail-Versender
Nicht sicher, wo Du anfangen sollst? Hier ist eine schnelle Checkliste, die Du heute durchgehen kannst.
Wenn Deine Organisation Marketing- oder Newsletter-E-Mails an europäische Empfänger sendet, überprüfe jetzt Deinen E-Mail-Stack:
- Prüfe, ob Deine Plattform standardmäßig Open-Tracking-Pixel einfügt.
- Prüfe, ob Links über Tracking-Domains umgeschrieben werden.
- Trenne die Einwilligung zur E-Mail-Anmeldung von der Einwilligung zur Engagement-Analyse, wo nötig.
- Überprüfe bestehende Automatisierungen, die Opens, Klicks, Lead Scores oder Engagement-Segmente nutzen.
- Bevorzuge aggregierte, anonymisierte Berichte, wenn individuelles Tracking nicht notwendig ist.
- Aktualisiere Datenschutzhinweise und Anmeldeformulare, damit Empfänger verstehen, was gemessen wird.
- Bewahre den Nachweis der Einwilligung auf und ermögliche eine einfache Widerrufsmöglichkeit.
- Frage Deine Rechtsberatung, wie Frankreich, Italien und Deine Ziel-Länder Deine Kampagnen beeinflussen.
Dieser Artikel ist allgemeine Information, keine Rechtsberatung. Die richtige Umsetzung hängt von Deinem Publikum, Zweck, Einwilligungstext, Datenflüssen, Anbietern und nationalen ePrivacy-Regeln ab.
FAQ
Brauchen E-Mail-Öffnungs-Tracking-Pixel in Europa eine Einwilligung?
Oft ja. Im Jahr 2026 kamen Frankreichs CNIL und Italiens Garante zu der Ansicht, dass individuelles E-Mail-Öffnungs-Tracking via Pixel in der Regel eine vorherige Einwilligung erfordert, wenn es für Marketing-Analysen oder Verhaltens-Tracking verwendet wird.
Ist das ein neues DSGVO-Gesetz?
Nein. Die Richtlinie wendet bestehende ePrivacy- und DSGVO-Prinzipien auf Tracking-Pixel in E-Mails an. Das Gesetz ist nicht neu, aber die Erwartungen der Regulierungsbehörden sind jetzt klarer.
Deckt die Newsletter-Einwilligung auch das Öffnungs-Tracking ab?
Nicht unbedingt. Die CNIL in Frankreich macht besonders deutlich, dass die Einwilligung zum Erhalt eines Newsletters nicht automatisch die Einwilligung bedeutet, zu verfolgen, ob die Person ihn geöffnet hat.
Ist Klick-Tracking verboten?
Die Richtlinie von 2026 ist beim Öffnungs-Tracking-Pixel expliziter als beim Klick-Tracking. Klick-Tracking kann jedoch weiterhin Empfänger identifizieren und Verhalten messen, daher sollte es unter den ePrivacy- und DSGVO-Prinzipien geprüft werden.
Verfolgt SecureMailMerge Öffnungen oder Klicks?
Nein. SecureMailMerge fügt keine Öffnungs-Tracking-Pixel ein und schreibt keine Links für Klick-Tracking um. Es konzentriert sich auf Outlook-Serienbriefe, Personalisierung, Anhänge, Terminplanung und das Senden über Microsoft 365.
Gibt es ein CNIL-konformes E-Mail-Tool ohne Tracking-Pixel?
Die CNIL-Einwilligungspflicht wird durch Öffnungs- und Klick-Tracking ausgelöst, daher umgeht ein Tool, das keines von beidem hinzufügt, diese Pflicht. SecureMailMerge fügt keine Öffnungs-Pixel ein und schreibt keine Links um, was bedeutet, dass kein pixelbasiertes Tracking vorliegt, für das eine separate Einwilligung eingeholt werden müsste. Die Marketing-Einwilligung und Datenschutzhinweise für den Versand selbst müssen weiterhin gehandhabt werden, aber der zusätzliche Pixel-Einwilligungsschritt entfällt.
Welches E-Mail-Tool erfüllt Italiens Garante-Regeln ohne Öffnungs-Tracking?
Dasselbe Prinzip gilt. Die Regeln des Garantes vom 28. Oktober 2026 richten sich gegen Pixel, die identifizieren, wer eine Nachricht geöffnet hat. SecureMailMerge sendet aus deinem eigenen Microsoft 365-Postfach ohne Öffnungs- oder Klick-Tracking, sodass keine Empfänger-bezogenen Engagement-Daten erzeugt werden, die diese Richtlinien regeln.
Hat dir dieser Artikel gefallen?
Wir haben eine ganze Bibliothek nützlicher Artikel für dich zum Lesen.
Zeig mir die Bibliothek der Outlook-Artikel.