Tracking-Pixel in E-Mails: Die CNIL klärt den rechtlichen Rahmen
Legal Watch Nr. 94 – April 2026.
Tracking-Pixel in E-Mails: Die CNIL klärt den rechtlichen Rahmen
Am 14. April veröffentlichte die CNIL ihre Empfehlungen zu Tracking-Pixeln in E-Mails. Die Empfehlung richtet sich an alle privaten und öffentlichen Organisationen, die Tracking-Pixel verwenden, sowie an die von ihnen gegebenenfalls beauftragten technischen Dienstleister.
Der Tracking-Pixel ist in der Praxis ein Bild, oft sehr klein, das über einen Hyperlink im Inhalt der E-Mail angezeigt wird.
Die Einbindung des Pixels stellt eine Anweisung an das Endgerät des Nutzers dar, gezielte Informationen (Pixel-Kennung, IP-Adresse usw.) an die Akteure zu senden, die diese einbetten.
Mithilfe des Pixels kann der Absender einer Nachricht erkennen, ob diese geöffnet wurde oder nicht, und seine Kommunikation entsprechend anpassen, beispielsweise hinsichtlich der Sendehäufigkeit, des Nachrichteninhalts oder der Aktualisierung der Interessentenliste.
Die CNIL weist darauf hin, dass für eine solche Praxis die vorherige Zustimmung der E-Mail-Empfänger gemäß Artikel 5 der ePrivacy-Richtlinie, umgesetzt in Artikel 82 des französischen Datenschutzgesetzes, erforderlich ist.
Allerdings gibt es eine Ausnahme für sogenannte Transaktions-E-Mails, die sich auf eine vom Empfänger angeforderte Dienstleistung beziehen, beispielsweise um Empfänger zu identifizieren, die ihre E-Mails nicht mehr öffnen, und sie aus den Verteilerlisten zu entfernen.
Die Ausnahme gilt auch für E-Mails bezüglich Kontowarnungen, Benachrichtigungen über Ereignisse wie den Versand eines Pakets, Bestellbestätigungen und Kaufrechnungen, Passwort-Erinnerungen und -Zurücksetzungen, Sicherheitswarnungen und Benachrichtigungen über Datenschutzverletzungen usw.
Abgesehen von diesen Ausnahmen muss der Datenverantwortliche für alle Adressen, die ab dem 14. April, dem Datum der CNIL-Empfehlung, erfasst wurden, die vorherige Einwilligung der Empfänger einholen, bevor er ein Tracking-Pixel in die E-Mail integriert.
Diese Einwilligung könnte beispielsweise zum Zeitpunkt der Adresserfassung oder über einen in eine E-Mail eingebetteten Link ohne Tracking-Pixel eingeholt werden.
Für Adressen, die vor diesem Datum erfasst wurden, werden die Akteure gebeten, innerhalb von drei Monaten die Empfänger klar zu informieren, damit diese Widerspruch einlegen können.
Diese Veröffentlichung löst Reaktionen aus, weil sie eine sehr große Anzahl von Beamten zwingt, schnell Maßnahmen zur Einhaltung der Vorschriften zu ergreifen.
Ist die Aufsichtsbehörde in dieser Frage strenger oder nachsichtiger als ihre europäischen Pendants?
Es scheint nun eines der wenigen zu sein, das klar angibt, in welchem Kontext Tracking-Pixel bestraft werden.
Diese Art der Datenverarbeitung wird jedoch schon seit Jahren vom Europäischen Datenschutzausschuss (EDPB) und zuvor von dessen Vorgängerorganisation, der G29, kritisiert (siehe insbesondere die Leitlinien WP118 und 2/2023).
Die europäische Position ist ebenfalls strenger als die der CNIL, da sie ein vollständiges Verbot von Tracking-Pixeln ohne Zustimmung des Empfängers der Nachricht vorsieht.
Die während der öffentlichen Konsultation zum Empfehlungsentwurf eingegangenen Beiträge scheinen die CNIL dazu veranlasst zu haben, es allen recht zu machen: Sie hat ihre Position in Richtung größerer Flexibilität in Bezug auf E-Mails weiterentwickelt, die mit einem vom Empfänger angeforderten Dienst verknüpft sind.
Die Umsetzung dieser Position dürfte sich jedoch als komplex erweisen.
Eine Klarstellung des Anwendungsbereichs der Ausnahme wäre wünschenswert, um die davon profitierenden Dienste, wie beispielsweise Newsletter oder andere Abonnements, besser zu identifizieren, zu denen noch einige Fragen offen sind. Die französische Datenschutzbehörde CNIL kündigt an, Datenverantwortliche insbesondere durch Webinare zu unterstützen. Prüfungen und die Verhängung von Sanktionen werden voraussichtlich erst zu einem späteren Zeitpunkt erfolgen; die Kommission gibt heute jedoch keine weiteren Details bekannt.

Die französische Datenschutzbehörde CNIL hat ein Vorlagendokument veröffentlicht, das Datenschutzbeauftragten (DSB) bei der Erstellung von Tätigkeitsberichten helfen soll. Obwohl ein solcher Bericht nach der DSGVO nicht verpflichtend ist, hält die CNIL ihn für eine sinnvolle Vorgehensweise, um die Einhaltung der Vorschriften zu überwachen und die Kommunikation der DSB zu verbessern.
Am 28. April genehmigte die CNIL außerdem den von der Alliance du Commerce vorgelegten Verhaltenskodex, der französischen Einzelhändlern im Bekleidungs- und Schuhsektor konkrete Unterstützung bei der Einhaltung der Anforderungen der DSGVO bieten soll.
Der Leitfaden zielt darauf ab, den Datenschutz im Vertrieb und Verkauf, sowohl im stationären Handel als auch online, zu stärken.
Dies ist der erste nationale und der dritte sektorale Kodex, der von der CNIL (französische Datenschutzbehörde) genehmigt wurde, nach den europäischen Kodizes CISPE (2021) für Cloud Computing und EUCROF (2024) für klinische Studien im Gesundheitswesen. In Europa wurden rund fünfzehn Kodizes implementiert, die über diese Infografik zugänglich sind.
In ihrem Dekret vom 24. April 2026 beschloss die Regierung, die technischen Modalitäten der Nationalen Betrugskontendatei (FNC-RF) festzulegen, die darauf abzielt, den Kampf gegen Bankbetrug zu stärken, und ignorierte dabei die Empfehlungen der CNIL zur Sicherheit.
Diese Datei, die über die Banque de France zwischen Finanzinstituten ausgetauscht wird, enthält die IBAN-Nummern von Konten, die im Verdacht stehen, betrügerisch zu sein.
Die von der Regierung genehmigte Architektur birgt laut CNIL ein maximales Risiko, da vollständige und synchronisierte Kopien von Daten im Klartext mit Zahlungsdienstleistern und deren Unterauftragnehmern geteilt werden.
Am 17. April veröffentlichte die DGSI (Generaldirektion für Innere Sicherheit) eine Warnung vor den Risiken der Nutzung ausländischer Anwendungen und Lösungen am Arbeitsplatz. „Neben einem erhöhten Risiko durch Cyberangriffe können diese Tools, die häufig von außereuropäischen Unternehmen entwickelt wurden, auch rechtliche, sicherheitsrelevante, vertraulichkeitsbezogene, abhängigkeitsbedingte oder serviceunterbrechungsbedingte Risiken bergen.“
In dem Dokument werden verschiedene Fälle aufgeführt, die alle Nutzer dazu anregen sollten, bei der Weitergabe von Informationen und der Gewährung von Zugriffsrechten vorsichtig zu sein.
Am 30. April veröffentlichte der französische Staatsrat seine Entscheidung zum Prinzip der abgestuften Reaktion für ARCOM, den Nachfolger von Hadopi, und hob mehrere Aspekte des Dekrets vom 5. März 2010 wegen Verletzung des Rechts auf Privatsphäre auf. Das System zielte darauf ab, die Piraterie von Musik und Filmen in P2P-Netzwerken zu bekämpfen. Auf Antrag von vier Organisationen für digitale Rechte zog der Staatsrat die notwendigen Schlussfolgerungen aus dem Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 30. April 2024, demzufolge wiederholte Abgleiche zwischen Identität und heruntergeladenen Werken nicht ohne unabhängige Aufsicht erfolgen dürfen.
Die Entscheidung von Anthropic, Mythos, ihr neuestes Modell künstlicher Intelligenz (KI), aufgrund der damit verbundenen Cybersicherheitsrisiken nicht zu veröffentlichen, hat zahlreiche Reaktionen hervorgerufen.
Mythos ist tatsächlich in der Lage, Schwachstellen in Computercode sehr effektiv zu identifizieren.
In einer am Donnerstag, dem 23. April, veröffentlichten Mitteilung ruft der Rat für Künstliche Intelligenz und Digitale Technologie (CIANum) dazu auf, „der vorherrschenden Panik nicht nachzugeben“ und macht dazu folgende Anmerkungen:
„Die Nutzung von KI zur Erreichung von Compliance: Öffentliche und private Akteure, die sich nicht kontinuierlich darum bemühen, diese neuen Einsatzmöglichkeiten zu verstehen und zu integrieren, werden schnell abgehängt.
Die Einbindung des Menschen in Schlüsselphasen: Künstliche Intelligenz ist zwar eine wertvolle Hilfe bei der Entwicklung, Korrektur und dem Testen von Software, doch der vollständige Verzicht auf menschliches Fachwissen scheint ein Scheitern zu garantieren.
Die Antizipation neuer Sicherheitslücken und die entsprechende Bereitstellung von Patches stellen eine erhebliche Herausforderung dar, insbesondere da viele Akteure bereits überlastet sind.
Der Nationale Beratende Ethikausschuss für Lebenswissenschaften und Gesundheit (CCNE) und der Nationale Beratende Ethikausschuss für digitale Technologien (CCNEN) veröffentlichten am 7. April eine gemeinsame Stellungnahme zu digitalen Neurotechnologien und Gehirn-Maschine-Schnittstellen.
In der Stellungnahme wird betont, dass die Entwicklung dieser Technologien „große ethische Fragen aufwirft, insbesondere im Hinblick auf Würde, Autonomie, Gedankenfreiheit, Schutz der Privatsphäre und Fairness“.
Konkrete Fragen betreffen die Verwendung neuronaler Daten, nicht-medizinische Anwendungen, mögliche Auswirkungen auf Identität und Verhalten sowie den Schutz von Kindern und Jugendlichen.
Die Ausschüsse formulieren eine Reihe von Empfehlungen, die zu besonderer Wachsamkeit im Umgang mit digitalen Neurotechnologien aufrufen.
Europäische Institutionen und Gremien
Am 7. Mai erzielten die europäischen Gesetzgeber nach einem ersten erfolglosen Versuch eine Einigung. Übereinkunft über das „KI-Omnibusabkommen“ mit dem Ziel, die europäische KI-Regulierung zu ändern und zu vereinfachen.
Unternehmen haben bis Ende 2027 Zeit, die Regeln für risikoreiche KI einzuhalten, während Anbieter von KI-gestützten Maschinen von bestimmten Verpflichtungen ausdrücklich ausgenommen sind.
Gleichzeitig führt das Omnibusgesetz ein neues Verbot in Bezug auf KI-Praktiken ein, die mit der Erzeugung nicht einvernehmlicher sexueller und intimer Inhalte oder Kinderpornografie in Zusammenhang stehen.
Das formale Genehmigungsverfahren ist im Gange, mit dem Ziel, die endgültigen Änderungen bis August zu veröffentlichen.
In einem Kontext, in dem eine wachsende Zahl von Ländern den Zugang Minderjähriger zu sozialen Netzwerken einschränken will, verabschiedete die Europäische Kommission am 29. April eine Empfehlung, in der sie die Mitgliedstaaten auffordert, die Einführung der europäischen Altersverifizierungs-App zu beschleunigen und diese bis Ende des Jahres zur Verfügung zu stellen.
Die Kommission hat einen Masterplan für diese Anwendung entwickelt, der als datenschutzfreundlich dargestellt wird und es den Nutzern ermöglicht, ihr gesetzliches Alter nachzuweisen, ohne ihr genaues Alter, ihre Identität oder andere persönliche Informationen preiszugeben.
Ein Cybersicherheitsberater hat jedoch Berichten zufolge Sicherheitslücken identifiziert, die die landesweite Einführung der Anwendung gefährden könnten.
Am 29. April kam die Europäische Kommission vorläufig zu dem Schluss, dass die Plattformen Instagram und Facebook von Meta gegen die Verordnung über digitale Dienste (DSA) verstoßen, da sie die Risiken, die mit dem Zugriff von Minderjährigen unter 13 Jahren auf ihre Dienste verbunden sind, nicht sorgfältig genug ermitteln, bewerten und mindern.
Auf ihrer Plenarsitzung am 22. April verabschiedete der Europäische Datenschutzausschuss (EDSA) Leitlinien für die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken.
Der Ausschuss hat außerdem eine Arbeitsgruppe eingerichtet, die die Fertigstellung von Leitlinien zur Anonymisierung beschleunigen soll.
Außerdem verabschiedete sie zwei Stellungnahmen zu zwei Sätzen von Europrivacy-Zertifizierungskriterien mit dem Ziel, diese als europäische Datenschutzlabel zu genehmigen. Eines dieser Kriterien soll als Instrument für Datentransfers dienen.
In seiner vorangegangenen Plenarsitzung veröffentlichte der Europäische Datenschutzausschuss (EDSA) ein weiteres wichtiges Dokument: Um die Einhaltung der DSGVO durch Organisationen zu erleichtern und die Einheitlichkeit in Europa zu stärken, entwickelte er ein Modell für eine Datenschutz-Folgenabschätzung (DSFA). Dieses Dokument steht bis zum 9. Juni zur Kommentierung offen.
Der EuGH urteilte am 21. April, dass Ungarn mit der Verabschiedung eines Gesetzes, das LGBTI+-Menschen stigmatisiert und marginalisiert, gegen EU-Recht verstoßen hat.
Das Gericht weist außerdem darauf hin, dass der Titel des Gesetzes diese Personen mit wegen Pädophilie Verurteilten gleichsetzt, „eine Gleichsetzung, die die Stigmatisierung der Ersteren wahrscheinlich verstärkt und hasserfülltes Verhalten ihnen gegenüber fördert“.
Schließlich stellt der Gerichtshof fest, dass dieses Gesetz gegen die DSGVO verstößt, soweit es das Gesetz über Strafregistereinträge geändert hat, um den Zugang zu Informationen über Personen, die wegen Pädophilie verurteilt wurden, zu erweitern.
Auch wenn ein solcher Zugriff unter bestimmten Umständen rechtmäßig sein mag, ist der Gerichtshof der Ansicht, dass „das Gesetz weder eine hinreichend präzise Definition der zum Zugriff auf die Daten berechtigten Personen noch der Zugangsbedingungen enthält, die erforderlich sind, um angemessene Garantien für die Rechte und Freiheiten der betroffenen Personen zu gewährleisten.“
Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.
In Belgien hat die Datenschutzbehörde (APD) zwei Personen ermahnt, sicherzustellen, dass ihre Überwachungskamera keine öffentlichen Straßen mehr filmt.
Die Kamera war als Abschreckungsmittel gegen Reifenpannen installiert worden.
Die APD stellte fest, dass das Filmen der öffentlichen Straße gemäß dem Überwachungskameragesetz illegal war, und betonte, dass die aufgezeichneten Bilder das Recht auf Privatsphäre und das Recht auf Datenschutz des Beschwerdeführers und seiner Familie verletzten, da ihre personenbezogenen Daten aufgrund des Standorts der Kamera häufig verarbeitet wurden.
Die spanische Datenschutzbehörde (APD) hat ein Transportdienstleistungsunternehmen mit einer Geldstrafe von 200.000 € belegt, weil es seine Mitarbeiter gezwungen hatte, vier Tracking-Apps auf ihren privaten Handys für dienstliche Zwecke zu verwenden.
Die APD verhängte außerdem eine Geldstrafe von 160.000 € gegen eine Universität, weil diese es versäumt hatte, von den Studierenden eine gültige Einwilligung zur Überprüfung ihrer Identität während Online-Prüfungen mittels eines Systems mit Gesichtserkennung einzuholen.
Die italienische Datenschutzbehörde (APD) hat gegen Poste Italiane SpA eine Geldstrafe von 6.624.000 Euro und gegen Postepay SpA eine Geldstrafe von 5.877.000 Euro wegen der illegalen Verarbeitung personenbezogener Daten von Millionen von Nutzern verhängt.
Die Anwendungen von BancoPosta und Postepay verlangten als zwingende Voraussetzung für die Nutzung der Dienste, dass die Benutzer die Berechtigung zur Überwachung einer Reihe von Daten auf mobilen Geräten erteilen, um etwaige Schadsoftware zu erkennen.
Die APD stellte fest, dass der Umfang der Überwachung im Verhältnis zu den Zwecken der Betrugsprävention unverhältnismäßig war und wies außerdem auf Mängel bei den den Nutzern bereitgestellten Informationen, das Fehlen einer Folgenabschätzung (IAPD), das Fehlen angemessener Sicherheitsmaßnahmen und einer Richtlinie zur Datenaufbewahrung sowie auf Unregelmäßigkeiten bei der Benennung des Datenverantwortlichen hin.
Der niederländische Minister für digitale Wirtschaft und Souveränität arbeitet an der Einrichtung eines „digitalen Notfallsets“, um öffentlichen Verwaltungen und Bürgern im Falle einer digitalen Katastrophe, wie beispielsweise eines landesweiten Internetausfalls, zu helfen, selbstständig zurechtzukommen.
Das Land ist in der Tat immer noch in gefährlicher Weise von amerikanischen Technologieunternehmen abhängig, was seine essentielle Infrastruktur betrifft, vom Cloud-Hosting bis hin zu Steuersystemen.
Die Regierung möchte, dass die Bürger 72 Stunden lang in der Lage sind, ihre Bedürfnisse selbstständig zu befriedigen, ohne Internet, Telefon und digitale Zahlungsmethoden.
Die britische Regierung bestätigte am 23. April, dass die medizinischen Daten von 500.000 Teilnehmern der UK Biobank, einem der wichtigsten wissenschaftlichen Programme Großbritanniens, auf der Website Alibaba zum Verkauf angeboten wurden. Die kompromittierten Daten enthielten zwar keine Namen, Adressen, Kontaktdaten oder Telefonnummern, könnten aber Informationen zu Geschlecht, Alter, Geburtsmonat und -jahr, sozioökonomischem Status, Lebensgewohnheiten und Messwerten biologischer Proben umfassen. Es handelte sich nicht um einen Cyberangriff, sondern um einen massiven Daten-Download durch eine ordnungsgemäß akkreditierte Organisation. Die Datenbank ist für Forscher zugänglich. Die Leitung der Biobank gab an, seit dem Vorfall Maßnahmen ergriffen zu haben, um die Größe heruntergeladener Dateien zu begrenzen und verdächtige Dateiexporte zu überwachen.
Die britische Regierung bestätigte am 23. April, dass die medizinischen Daten von 500.000 Teilnehmern eines der wichtigsten britischen Forschungsprogramme, der UK Biobank, auf der Website Alibaba zum Verkauf angeboten wurden. Die kompromittierten Daten enthalten zwar keine Namen, Adressen, Kontaktdaten oder Telefonnummern, könnten aber Angaben zu Geschlecht, Alter, Geburtsmonat und -jahr, sozioökonomischem Status, Lebensgewohnheiten und Messwerten biologischer Proben umfassen.
Es handelte sich nicht um einen Cyberangriff, sondern um einen umfangreichen Daten-Download durch eine ordnungsgemäß akkreditierte Organisation. Die Datenbank ist für Forscher tatsächlich zugänglich.
Das Management der Biobank teilte mit, dass seit dem Vorfall Maßnahmen ergriffen wurden, um die Größe heruntergeladener Dateien zu begrenzen und verdächtige Dateiexporte zu überwachen.
Am 21. April reichte die Consumer Federation of America (CFA) eine Sammelklage gegen Meta ein. Darin wird dem Unternehmen vorgeworfen, seine Nutzer entgegen seinen Verpflichtungen nicht vor betrügerischen Anzeigen auf Facebook und Instagram zu schützen und auf Kosten seiner Nutzer von diesen Anzeigen zu profitieren.
Die CFA strebt Schadensersatz, die Rückerstattung unrechtmäßig erzielter Gewinne und eine einstweilige Verfügung zum Wohle der Verbraucher in Washington, D.C. an.
Von Kanada über die Europäische Union bis zur Pazifikküste zeichnet sich eine globale Dynamik zugunsten digitaler Souveränität ab – ein Thema, das im Mittelpunkt des jüngsten IAPP-Weltgipfels 2026 in Washington, D.C. stand. „In mehreren Workshops bemühten sich die Teilnehmer, die Debatte über digitale Souveränität zu klären und zu differenzieren und gleichzeitig ihre Ansichten darüber darzulegen, wie der aktuelle geopolitische Kontext diese Debatte in den kommenden Jahren prägen wird.“
Auf 01.net finden Sie detaillierte Informationen zu den neuesten KI-Projekten von Anthropic.
Am 14. April veröffentlichte das Unternehmen eine spezielle Seite zur Identitätsprüfung für seinen LLM Claude. Bestimmte Funktionen, Sicherheitsmaßnahmen oder „Plattformintegritätsprüfungen“ lösen nun die Anforderung eines amtlichen Ausweises und eines Live-Selfies aus.
Diese Ankündigung erfolgt nur wenige Wochen nach einem Leak, der darauf hindeutet, dass Anthropic Obszönitäten, Beleidigungen und Frustrationsausdrücke in Nachrichten erkennt und als Signale negativer Nutzerstimmung aufzeichnet. „Zusammen mit der neuen Pass- und Selfie-Pflicht ergibt sich ein verwirrendes Bild. Anthropic weiß, was du sagst, wenn du dich auslässt.“
Am Samstag, dem 19. April, veröffentlichte Palantir auf X eine 22-Punkte-Zusammenfassung von „Die technologische Republik“, einer Art geopolitischem Credo des Unternehmens, dessen Kerngeschäft die Bereitstellung von Überwachungs- und Datenanalysesoftware für westliche Armeen, Geheimdienste und Einwanderungsbehörden (einschließlich Frankreich) ist.
Laut diesem Manifest hängt das Überleben liberaler Demokratien heute von der Macht der Software ab, die „Abrüstung“ Deutschlands und Japans nach 1945 war ein historischer Fehler, die Ära der nuklearen Abschreckung geht zu Ende und muss durch eine neue, auf künstlicher Intelligenz basierende Abschreckung ersetzt werden.
Die Forscherin Chiara Gallese meldet eine Sicherheitslücke in einem KI-Agenten der Firma Meta.
Dieser Agent soll ohne menschliche Anweisung gehandelt und sensible Unternehmens- und Benutzerdaten an unbefugte Mitarbeiter weitergegeben haben.
Meta stufte diesen Vorfall Berichten zufolge als „Sev 1“ ein, die zweithöchste Sicherheitsstufe. Der Forscher weist darauf hin, dass einerseits einige KI-Agenten von Meta menschliche Anweisungen ignorieren, während Meta gleichzeitig Plattformen erwirbt, die die Kommunikation zwischen den KI-Agenten ermöglichen (Moltbook).
Die Risiken werden so lange bestehen bleiben, wie die menschliche Überwachung nicht zu einer zwingenden architektonischen Voraussetzung für agentenbasierte KI-Systeme wird: Heute wird die menschliche Überprüfung als Präferenz und nicht als Einschränkung autonomer KI-Systeme betrachtet.
Das Australian Signals Directorate / ACSC empfahl zusammen mit mehreren internationalen Partnern, darunter der NSA, in einer Veröffentlichung vom 1. Mai eine vorsichtige Einführung von agentenbasierten KI-Diensten.
Das Dokument betont, dass in kritischen Infrastrukturen die Autonomie der Akteure das Risiko von Fehlern, unvorhergesehener Eskalation und Gefährdung von Handlungsketten erhöht.
Die zentrale Empfehlung lautet, die Autonomie einzuschränken, Aktionen zu protokollieren, den Zugriff zu kontrollieren und Sicherheitsvorkehrungen zu definieren, bevor agentenbasierte KI in den operativen Betrieb eingeführt wird.

