Brevo (Sendinblue) Leitfaden zur Cookie-Einwilligungsintegration: GDPR-Compliance für E-Mail- und SMS-Marketing im Jahr 2026
Brevo, die Plattform, die früher als Sendinblue bekannt war, ist die am weitesten verbreitete E-Mail- und SMS-Marketingplattform mit Hauptsitz im kontinentalen Europa. Das Rebranding im Jahr 2023 fiel mit einer erheblichen Erweiterung der Produktoberfläche zusammen: Neben der ursprünglichen E-Mail-Automatisierungsmaschine umfasst Brevo jetzt transaktionale E-Mails, SMS-Marketing, WhatsApp-Nachrichten, ein Vertriebs-CRM, einen Besprechungsplaner, Push-Benachrichtigungen und ein Website-Konversations-Widget. Jede Komponente installiert ihr eigenes Skript, setzt eigene Cookies und leitet Daten an Brevos europäische Rechenzentren weiter. Das französische Erbe der Plattform ist aus zwei Gründen für die Einwilligungskonformität relevant. Erstens befinden sich Brevos Rechenzentren in der EU, was die Analyse grenzüberschreitender Übertragungen im Vergleich zu US-basierten Wettbewerbern erheblich vereinfacht. Zweitens war die CNIL — Brevos Heimataufsichtsbehörde — die aggressivste Durchsetzerin der Cookie-Einwilligungsregeln in Europa, was bedeutet, dass Brevos Standard-Integrationsdokumentation historisch hinter dem zurückgeblieben ist, was die Aufsichtsbehörde tatsächlich erwartet. Dieser Leitfaden erklärt, was jede Brevo-Komponente sammelt, wo die Einwilligungsgrenze im Jahr 2026 liegt und wie der gesamte Brevo-Stack sauber mit einem Drittanbieter-CMP verbunden werden kann.
Die Tracking-Oberflächen von Brevo
Eine vollständige Brevo-Bereitstellung berührt vier verschiedene Tracking-Oberflächen, jede mit ihrer eigenen Einwilligungsfrage.
Brevo Tracker (sib-tracker.js)
Der Brevo Tracker ist die Schicht für Verhaltensanalysen, die von cdn.brevo.com/js/sib-tracker.js geladen wird. Er identifiziert Besucher mit dem Cookie sib-tracker-id und meldet Seitenaufrufe, Klicks und benutzerdefinierte Ereignis-Payloads an Brevo. Sobald ein Besucher per E-Mail identifiziert wird (typischerweise durch eine Formularübermittlung oder Anmeldung), verknüpft der Tracker den anonymen Browserverlauf mit dem bekannten Kontaktprofil. Aus regulatorischer Perspektive ist der Tracker ein Verhaltens-Tracker für Marketingzwecke, der eine Opt-in-Einwilligung in der EU erfordert.
Brevo-Anmeldeformulare
Brevo-Formulare gibt es in zwei Varianten: eingebettete HTML-Formulare (leichtgewichtig, kein externes Skript erforderlich) und Pop-up-Formulare (ein separates Skript, das das Besucherverhalten beobachtet, um zu entscheiden, wann es angezeigt werden soll). Das eingebettete Formular ist aus Datenschutzperspektive ungefähr einem Kontaktformular gleichwertig; das Pop-up-Formular ist eher einem Verhaltens-Tracker ähnlich und erfordert dieselbe Schranke wie der Tracker.
Brevo Conversations-Widget
Das Conversations-Produkt (Brevos Live-Chat) lädt sein eigenes Skript von conversations-widget.brevo.com, setzt Sitzungs-Cookies und initiiert eine Echtzeit-Präsenzverbindung. Funktional ähnlich wie Intercoms Messenger; die Einwilligungsbehandlung ist identisch.
Transaktionale und programmatische APIs
Brevo betreibt auch serverseitige Oberflächen: die Transaktions-E-Mail-API für systemgenerierte Nachrichten, die SMS-API für ausgehende Texte und die Marketing-Automatisierungs-API für ausgelöste Kampagnen. Diese laufen nicht auf dem Gerät des Nutzers, aber die in Nachrichten eingebetteten E-Mail-Tracking-Pixel tun dies — und diese Pixel sind eine separate Einwilligungsoberfläche, die dieselben Einschränkungen wie Web-Pixel unter Apple Mail Privacy Protection und ähnlichen E-Mail-seitigen Schutzmaßnahmen erbt.
Native Datenschutzsteuerungen von Brevo
Brevo hat seine nativen Datenschutz-Primitive in den letzten zwei Jahren gestärkt, insbesondere als Reaktion auf die CNIL-Leitlinien zu Cookie-Bannern und Einwilligungsnachweisen.
Der doubleOptinRedirect und der Bestätigungsablauf
Brevos Standard-Abonnenten-Akquisitionsablauf verwendet Double-Opt-In — ein Abonnent meldet sich an, erhält eine Bestätigungs-E-Mail und muss zur Bestätigung klicken. Nach der GDPR schafft dies einen dokumentierten Einwilligungsnachweis, der deutlich stärker ist als Single-Opt-In-Alternativen. Konfigurieren Sie Double-Opt-In standardmäßig, sofern es keinen spezifischen Grund gibt, dies nicht zu tun.
Der trackEvent-Einwilligungsparameter
Die trackEvent-Funktion des Trackers akzeptiert eine optionale Einwilligungs-Payload. Durch deren Übergabe können Sie die Entscheidung des CMP in den Ereignisstrom von Brevo übertragen, den Brevos Segmentierungsmaschine dann respektiert. Verknüpfen Sie es über den Einwilligungs-Callback des CMP.
Einwilligungsfelder auf Kontaktebene
Brevo-Abonnentenprofile verfügen über integrierte Felder für E-Mail-Einwilligung, SMS-Einwilligung, WhatsApp-Einwilligung und Einwilligungsquelle. Aktualisierungen über die Contacts API werden in Echtzeit an die Segmentierungslogik weitergegeben, sodass Kampagnen automatisch den aufgezeichneten Status respektieren.
EU-Datenresidenz
Brevo betreibt Rechenzentren in Paris und Munich. Für Konten, bei denen EU-Residenz wichtig ist, ist die Datenresidenz automatisch — keine Opt-in-Konfiguration erforderlich. Dies ist eine bedeutende operative Vereinfachung im Vergleich zu US-basierten Wettbewerbern, bei denen EU-Residenz eine kostenpflichtige Konfigurationsoption ist.
Schritt-für-Schritt-CMP-Integration
Das zuverlässige Integrationsmuster besteht darin, jede Brevo-Tracking-Oberfläche hinter dem CMP zu verzögern und die Einwilligungsentscheidung über die API mit den Kontakt-Level-Feldern von Brevo zu synchronisieren.
1. Entfernen Sie das Standard-Tracker-Snippet aus dem Dokumentkopf
Das Brevo Tracker-Installationssnippet ist ein einzeiliges Skript-Tag. Ersetzen Sie es durch ein Platzhalter-Skriptelement mit type="text/plain" und data-category="marketing". Das CMP schreibt den Typ zurück zu text/javascript, wenn der Besucher Marketing akzeptiert.
2. Verzögern Sie Pop-up-Formulare getrennt von eingebetteten Formularen
Eingebettete HTML-Anmeldeformulare können beim initialen Laden der Seite ohne Schranke gerendert werden — sie setzen keine Cookies und laden keine externen Skripts. Pop-up-Formulare müssen unter Marketing-Einwilligung gesperrt werden, genau wie der Tracker. Die meisten Brevo-Installationen verwechseln die beiden; auditieren Sie Ihr Formularinventar und behandeln Sie sie unterschiedlich.
3. Sperren Sie Conversations explizit
Das Conversations-Widget lädt von conversations-widget.brevo.com und initialisiert beim Laden der Seite eine Sitzungsverbindung. Sperren Sie es hinter Marketing-Einwilligung. Für Nutzer, die Marketing ablehnen, stellen Sie einen alternativen Support-Kontaktweg bereit — ein Formular, einen E-Mail-Link oder einen expliziten "Chat starten"-Button, der das Widget nur beim Klick lädt.
4. Schreiben Sie die CMP-Entscheidung in das Kontaktprofil
Wenn ein bekannter Abonnent seine Einwilligung über das CMP-Banner aktualisiert, rufen Sie die Brevo Contacts API auf, um die E-Mail-, SMS- und WhatsApp-Einwilligungsfelder des Abonnenten zu aktualisieren. Dies hält Brevos Segmentierung mit dem aufgezeichneten Status in Übereinstimmung. Die meisten modernen CMPs haben einen Brevo-Connector, der dies von Anfang bis Ende verwaltet.
5. Berücksichtigen Sie den Widerruf in Echtzeit
Bei der Einwilligungswiderrufung muss das CMP sowohl die seitengebundene Tracker-Abschaltefunktion als auch den Contacts API-Endpunkt aufrufen, um das Profil zu aktualisieren. Ohne beides zeichnet das Banner einen Widerruf auf, aber das zugrunde liegende Tracking wird auf der Kontaktebene fortgesetzt.
Häufige Fallstricke
Vier Integrationsfehler machen den Großteil der Audit-Ergebnisse bei Brevo-Bereitstellungen aus.
Single-Opt-In für europäische Akquisitionen
Brevo unterstützt sowohl Single- als auch Double-Opt-In. Single-Opt-In erstellt einen schwächeren Einwilligungsnachweis und wurde von der CNIL in Durchsetzungsmaßnahmen gegen mehrere französische und belgische Betreiber zitiert. Für jedes europäische Publikum sollten Sie Double-Opt-In standardmäßig konfigurieren.
Verwechslung von eingebetteten und Pop-up-Formularen
Eingebettete Formulare sind risikoarm; Pop-up-Formulare sind Marketing-Kategorie-Tracking. Sperren Sie sie unterschiedlich. Beide als "Formulare" zu behandeln und entweder beide zu sperren oder keines zu sperren, ist der häufigste einzelne Konfigurationsfehler.
Serverseitige API-Aufrufe ohne Einwilligungskontext
Die Transaktions-E-Mail-API und die SMS-API können von Ihrem Backend aus aufgerufen werden, ohne dass der seitengebundene Einwilligungsstatus im Geltungsbereich liegt. Das Backend muss den Einwilligungsstatus des Kontakts zum Sendezeitpunkt nachschlagen und ihn respektieren; andernfalls wird die CMP-Entscheidung nicht für server-initiierte Nachrichten durchgesetzt.
Das E-Mail-Pixel vergessen
Brevos E-Mail-Tracking-Pixel unterliegen derselben Verschlechterung durch Apple Mail Privacy Protection wie bei jedem anderen Anbieter. Das Pixel erfordert immer noch eine separate Einwilligungsentscheidung, die sich von der Cookie-Einwilligung auf Ihrer Website unterscheidet. Viele Betreiber zeichnen Cookie-Einwilligung auf, zeichnen aber nie explizit E-Mail-Pixel-Einwilligung auf.
Audit-Checkliste
Sechs konkrete Fragen, die für jede Brevo-Bereitstellung beantwortet werden müssen, die EU-, UK- oder Kalifornien-Traffic berührt.
- Wartet der Tracker auf Einwilligung? Öffnen Sie die Seite in einem privaten Fenster und bestätigen Sie, dass keine brevo.com- oder sendinblue.com-Anfragen vor der Banner-Akzeptanz ausgelöst werden.
- Sind Pop-up-Formulare getrennt von eingebetteten Formularen gesperrt? Bestätigen Sie, dass Pop-up-Formular-Impressionen nicht vor der Marketing-Einwilligung ausgelöst werden.
- Ist Conversations gesperrt? Bestätigen Sie, dass das Chat-Widget nicht vor der Einwilligung initialisiert wird und ein Nicht-Conversations-Support-Weg verfügbar ist.
- Ist Double-Opt-In konfiguriert? Bestätigen Sie, dass der Anmeldeablauf Double-Opt-In für europäische Zielgruppen verwendet.
- Respektieren die serverseitigen APIs die Einwilligung? Bestätigen Sie, dass Transaktions- und SMS-API-Aufrufe den Einwilligungsstatus des Kontakts vor dem Senden überprüfen.
- Ist die CMP-Entscheidung mit den Brevo-Profilen synchronisiert? Bestätigen Sie, dass das CMP Einwilligungsentscheidungen über die API in den Brevo-Kontakt schreibt.
Wo Brevo in einen einwilligungsorientierten Stack passt
Brevo nimmt im Vergleich zu seinen US-amerikanischen Wettbewerbern eine privilegierte Position ein: EU-ansässige Daten, Double-Opt-In als Standard und starke native Einwilligungs-Primitive. Das französische Erbe der Plattform bedeutet, dass sie von Anfang an gemäß den Erwartungen der CNIL konzipiert wurde, was ein bedeutender operativer Vorteil ist, wenn diese Erwartungen zum de-facto-europäischen Standard geworden sind. Die Integrationsarbeit ist im Wesentlichen dieselbe wie bei jeder anderen Marketingplattform — sperren Sie die Tracking-Oberflächen, synchronisieren Sie die Einwilligungsentscheidung über die API, dokumentieren Sie die Architektur — aber die regulatorische Reibung ist geringer als bei US-amerikanischen Alternativen. Für europäische Betreiber oder für jedes kleine Unternehmen, das seinen Marketing-Stack innerhalb des EU-Regulierungsperimeters halten möchte, ist Brevo in Kombination mit einem ordnungsgemäß integrierten CMP eine der verteidigungsfähigsten Positionen, die 2026 verfügbar sind.