Brevo (Sendinblue) Leitfaden zur Cookie-Einwilligungsintegration: GDPR-Compliance für E-Mail- und SMS-Marketing im Jahr 2026

Brevo, die Plattform, die früher als Sendinblue bekannt war, ist die am weitesten verbreitete E-Mail- und SMS-Marketingplattform mit Hauptsitz im kontinentalen Europa. Das Rebranding im Jahr 2023 fiel mit einer erheblichen Erweiterung der Produktoberfläche zusammen: Neben der ursprünglichen E-Mail-Automatisierungsmaschine umfasst Brevo jetzt transaktionale E-Mails, SMS-Marketing, WhatsApp-Nachrichten, ein Vertriebs-CRM, einen Besprechungsplaner, Push-Benachrichtigungen und ein Website-Konversations-Widget. Jede Komponente installiert ihr eigenes Skript, setzt eigene Cookies und leitet Daten an Brevos europäische Rechenzentren weiter. Das französische Erbe der Plattform ist aus zwei Gründen für die Einwilligungskonformität relevant. Erstens befinden sich Brevos Rechenzentren in der EU, was die Analyse grenzüberschreitender Übertragungen im Vergleich zu US-basierten Wettbewerbern erheblich vereinfacht. Zweitens war die CNIL — Brevos Heimataufsichtsbehörde — die aggressivste Durchsetzerin der Cookie-Einwilligungsregeln in Europa, was bedeutet, dass Brevos Standard-Integrationsdokumentation historisch hinter dem zurückgeblieben ist, was die Aufsichtsbehörde tatsächlich erwartet. Dieser Leitfaden erklärt, was jede Brevo-Komponente sammelt, wo die Einwilligungsgrenze im Jahr 2026 liegt und wie der gesamte Brevo-Stack sauber mit einem Drittanbieter-CMP verbunden werden kann.

Die Tracking-Oberflächen von Brevo

Eine vollständige Brevo-Bereitstellung berührt vier verschiedene Tracking-Oberflächen, jede mit ihrer eigenen Einwilligungsfrage.

Brevo Tracker (sib-tracker.js)

Der Brevo Tracker ist die Schicht für Verhaltensanalysen, die von cdn.brevo.com/js/sib-tracker.js geladen wird. Er identifiziert Besucher mit dem Cookie sib-tracker-id und meldet Seitenaufrufe, Klicks und benutzerdefinierte Ereignis-Payloads an Brevo. Sobald ein Besucher per E-Mail identifiziert wird (typischerweise durch eine Formularübermittlung oder Anmeldung), verknüpft der Tracker den anonymen Browserverlauf mit dem bekannten Kontaktprofil. Aus regulatorischer Perspektive ist der Tracker ein Verhaltens-Tracker für Marketingzwecke, der eine Opt-in-Einwilligung in der EU erfordert.

Brevo-Anmeldeformulare

Brevo-Formulare gibt es in zwei Varianten: eingebettete HTML-Formulare (leichtgewichtig, kein externes Skript erforderlich) und Pop-up-Formulare (ein separates Skript, das das Besucherverhalten beobachtet, um zu entscheiden, wann es angezeigt werden soll). Das eingebettete Formular ist aus Datenschutzperspektive ungefähr einem Kontaktformular gleichwertig; das Pop-up-Formular ist eher einem Verhaltens-Tracker ähnlich und erfordert dieselbe Schranke wie der Tracker.

Brevo Conversations-Widget

Das Conversations-Produkt (Brevos Live-Chat) lädt sein eigenes Skript von conversations-widget.brevo.com, setzt Sitzungs-Cookies und initiiert eine Echtzeit-Präsenzverbindung. Funktional ähnlich wie Intercoms Messenger; die Einwilligungsbehandlung ist identisch.

Transaktionale und programmatische APIs

Brevo betreibt auch serverseitige Oberflächen: die Transaktions-E-Mail-API für systemgenerierte Nachrichten, die SMS-API für ausgehende Texte und die Marketing-Automatisierungs-API für ausgelöste Kampagnen. Diese laufen nicht auf dem Gerät des Nutzers, aber die in Nachrichten eingebetteten E-Mail-Tracking-Pixel tun dies — und diese Pixel sind eine separate Einwilligungsoberfläche, die dieselben Einschränkungen wie Web-Pixel unter Apple Mail Privacy Protection und ähnlichen E-Mail-seitigen Schutzmaßnahmen erbt.

Native Datenschutzsteuerungen von Brevo

Brevo hat seine nativen Datenschutz-Primitive in den letzten zwei Jahren gestärkt, insbesondere als Reaktion auf die CNIL-Leitlinien zu Cookie-Bannern und Einwilligungsnachweisen.

Der doubleOptinRedirect und der Bestätigungsablauf

Brevos Standard-Abonnenten-Akquisitionsablauf verwendet Double-Opt-In — ein Abonnent meldet sich an, erhält eine Bestätigungs-E-Mail und muss zur Bestätigung klicken. Nach der GDPR schafft dies einen dokumentierten Einwilligungsnachweis, der deutlich stärker ist als Single-Opt-In-Alternativen. Konfigurieren Sie Double-Opt-In standardmäßig, sofern es keinen spezifischen Grund gibt, dies nicht zu tun.

Der trackEvent-Einwilligungsparameter

Die trackEvent-Funktion des Trackers akzeptiert eine optionale Einwilligungs-Payload. Durch deren Übergabe können Sie die Entscheidung des CMP in den Ereignisstrom von Brevo übertragen, den Brevos Segmentierungsmaschine dann respektiert. Verknüpfen Sie es über den Einwilligungs-Callback des CMP.

Einwilligungsfelder auf Kontaktebene

Brevo-Abonnentenprofile verfügen über integrierte Felder für E-Mail-Einwilligung, SMS-Einwilligung, WhatsApp-Einwilligung und Einwilligungsquelle. Aktualisierungen über die Contacts API werden in Echtzeit an die Segmentierungslogik weitergegeben, sodass Kampagnen automatisch den aufgezeichneten Status respektieren.

EU-Datenresidenz

Brevo betreibt Rechenzentren in Paris und Munich. Für Konten, bei denen EU-Residenz wichtig ist, ist die Datenresidenz automatisch — keine Opt-in-Konfiguration erforderlich. Dies ist eine bedeutende operative Vereinfachung im Vergleich zu US-basierten Wettbewerbern, bei denen EU-Residenz eine kostenpflichtige Konfigurationsoption ist.

Schritt-für-Schritt-CMP-Integration

Das zuverlässige Integrationsmuster besteht darin, jede Brevo-Tracking-Oberfläche hinter dem CMP zu verzögern und die Einwilligungsentscheidung über die API mit den Kontakt-Level-Feldern von Brevo zu synchronisieren.

1. Entfernen Sie das Standard-Tracker-Snippet aus dem Dokumentkopf

Das Brevo Tracker-Installationssnippet ist ein einzeiliges Skript-Tag. Ersetzen Sie es durch ein Platzhalter-Skriptelement mit type="text/plain" und data-category="marketing". Das CMP schreibt den Typ zurück zu text/javascript, wenn der Besucher Marketing akzeptiert.

2. Verzögern Sie Pop-up-Formulare getrennt von eingebetteten Formularen

Eingebettete HTML-Anmeldeformulare können beim initialen Laden der Seite ohne Schranke gerendert werden — sie setzen keine Cookies und laden keine externen Skripts. Pop-up-Formulare müssen unter Marketing-Einwilligung gesperrt werden, genau wie der Tracker. Die meisten Brevo-Installationen verwechseln die beiden; auditieren Sie Ihr Formularinventar und behandeln Sie sie unterschiedlich.

3. Sperren Sie Conversations explizit

Das Conversations-Widget lädt von conversations-widget.brevo.com und initialisiert beim Laden der Seite eine Sitzungsverbindung. Sperren Sie es hinter Marketing-Einwilligung. Für Nutzer, die Marketing ablehnen, stellen Sie einen alternativen Support-Kontaktweg bereit — ein Formular, einen E-Mail-Link oder einen expliziten "Chat starten"-Button, der das Widget nur beim Klick lädt.

4. Schreiben Sie die CMP-Entscheidung in das Kontaktprofil

Wenn ein bekannter Abonnent seine Einwilligung über das CMP-Banner aktualisiert, rufen Sie die Brevo Contacts API auf, um die E-Mail-, SMS- und WhatsApp-Einwilligungsfelder des Abonnenten zu aktualisieren. Dies hält Brevos Segmentierung mit dem aufgezeichneten Status in Übereinstimmung. Die meisten modernen CMPs haben einen Brevo-Connector, der dies von Anfang bis Ende verwaltet.

5. Berücksichtigen Sie den Widerruf in Echtzeit

Bei der Einwilligungswiderrufung muss das CMP sowohl die seitengebundene Tracker-Abschaltefunktion als auch den Contacts API-Endpunkt aufrufen, um das Profil zu aktualisieren. Ohne beides zeichnet das Banner einen Widerruf auf, aber das zugrunde liegende Tracking wird auf der Kontaktebene fortgesetzt.

Häufige Fallstricke

Vier Integrationsfehler machen den Großteil der Audit-Ergebnisse bei Brevo-Bereitstellungen aus.

Single-Opt-In für europäische Akquisitionen

Brevo unterstützt sowohl Single- als auch Double-Opt-In. Single-Opt-In erstellt einen schwächeren Einwilligungsnachweis und wurde von der CNIL in Durchsetzungsmaßnahmen gegen mehrere französische und belgische Betreiber zitiert. Für jedes europäische Publikum sollten Sie Double-Opt-In standardmäßig konfigurieren.

Verwechslung von eingebetteten und Pop-up-Formularen

Eingebettete Formulare sind risikoarm; Pop-up-Formulare sind Marketing-Kategorie-Tracking. Sperren Sie sie unterschiedlich. Beide als "Formulare" zu behandeln und entweder beide zu sperren oder keines zu sperren, ist der häufigste einzelne Konfigurationsfehler.

Serverseitige API-Aufrufe ohne Einwilligungskontext

Die Transaktions-E-Mail-API und die SMS-API können von Ihrem Backend aus aufgerufen werden, ohne dass der seitengebundene Einwilligungsstatus im Geltungsbereich liegt. Das Backend muss den Einwilligungsstatus des Kontakts zum Sendezeitpunkt nachschlagen und ihn respektieren; andernfalls wird die CMP-Entscheidung nicht für server-initiierte Nachrichten durchgesetzt.

Das E-Mail-Pixel vergessen

Brevos E-Mail-Tracking-Pixel unterliegen derselben Verschlechterung durch Apple Mail Privacy Protection wie bei jedem anderen Anbieter. Das Pixel erfordert immer noch eine separate Einwilligungsentscheidung, die sich von der Cookie-Einwilligung auf Ihrer Website unterscheidet. Viele Betreiber zeichnen Cookie-Einwilligung auf, zeichnen aber nie explizit E-Mail-Pixel-Einwilligung auf.

Audit-Checkliste

Sechs konkrete Fragen, die für jede Brevo-Bereitstellung beantwortet werden müssen, die EU-, UK- oder Kalifornien-Traffic berührt.

Wo Brevo in einen einwilligungsorientierten Stack passt

Brevo nimmt im Vergleich zu seinen US-amerikanischen Wettbewerbern eine privilegierte Position ein: EU-ansässige Daten, Double-Opt-In als Standard und starke native Einwilligungs-Primitive. Das französische Erbe der Plattform bedeutet, dass sie von Anfang an gemäß den Erwartungen der CNIL konzipiert wurde, was ein bedeutender operativer Vorteil ist, wenn diese Erwartungen zum de-facto-europäischen Standard geworden sind. Die Integrationsarbeit ist im Wesentlichen dieselbe wie bei jeder anderen Marketingplattform — sperren Sie die Tracking-Oberflächen, synchronisieren Sie die Einwilligungsentscheidung über die API, dokumentieren Sie die Architektur — aber die regulatorische Reibung ist geringer als bei US-amerikanischen Alternativen. Für europäische Betreiber oder für jedes kleine Unternehmen, das seinen Marketing-Stack innerhalb des EU-Regulierungsperimeters halten möchte, ist Brevo in Kombination mit einem ordnungsgemäß integrierten CMP eine der verteidigungsfähigsten Positionen, die 2026 verfügbar sind.

← Blog Alle lesen →