Privacy Statnive Live · Parhum Khoshbakht

CNIL Sheet 16 entschlüsselt: Reichweitenmessung ohne Einwilligung in Frankreich

Frankreichs CNIL erlaubt Webanalyse ohne Einwilligung — aber nur unter den Reichweitenmessungs-Bedingungen von Sheet 16. Hier der Test, die Frist 1. Januar 2026 und wie Sie sie bestehen.

Dies ist Datenschutz-Forschung, keine Rechtsberatung. Den vollständigen Haftungsausschluss finden Sie in der Fußnote.

TL;DR

  • Frankreichs CNIL erlaubt Webanalyse ohne Banner unter den kumulativen Bedingungen von Sheet 16 — Einzelseite, ≤3 Ereignistypen, IP-Kürzung, 13-Monats-Tracker, 25-Monats-Aufbewahrung, Host-only-Referrer, Aggregation auf die nächste 10.
  • Die Frist 1. Januar 2026 ist nun verstrichen. Das frühere Evaluierungsprogramm ist eingestellt; das Selbstbewertungs-Regime ist in Kraft. Anbieter veröffentlichen datierte Attestierungen; Betreiber dokumentieren ihre eingesetzte Konfiguration.
  • GA4 erfüllt die Ausnahme nicht — grenzüberschreitender US-Transfer, kunden-übergreifendes Pooling, persistenter Identifier, nicht-alleiniger-Herausgeber. Routing über sGTM heilt das nicht.
  • Statnive Live liefert die Sheet-16-Architektur standardmäßig im consent-free-Modus mit dem FR-Jurisdiktions-Preset; der Event-Audit-Endpunkt zeigt die CNIL-Drei-Ereignis-Obergrenze auf Knopfdruck.
  • Wortwahl ist entscheidend — die korrekte rechtliche Haltung lautet „konfigurierbar zur Erfüllung der CNIL-Reichweitenmessungs-Ausnahme, wenn entsprechend der Interessenabwägung und CNIL-Selbstbewertung eingesetzt”, niemals „CNIL-zertifiziert” oder „CNIL-Ausnahme pauschal”.

Warum Frankreich die operatorfreundlichste EU-Behörde für cookielose Webanalyse ist

Die CNIL hat mehr als ein Jahrzehnt damit verbracht, Artikel 82 des Loi n° 78-17 — Frankreichs ePrivacy-Umsetzung — zur detailliertesten Reichweitenmessungs-Einwilligungs-Ausnahme der EU auszubauen. Während Deutschlands § 25 TDDDG keinen einwilligungsfreien Weg für Webanalyse anbietet, Belgiens APD ausdrücklich keine Ausnahme anerkennt und Großbritanniens ICO nur eine „niedrige Vollzugspriorität” statt einer rechtlichen Ausnahme gewährt, veröffentlicht die CNIL operatorgerichtete Leitlinien, Selbstbewertungs-Werkzeuge und eine präzise Bedingungsliste, die — wenn erfüllt — einem Betreiber erlaubt, Webanalyse in Frankreich ohne Cookie-Banner zu betreiben.

Die Ausnahme ist real, eng und frisch aktualisiert. Die aktuelle CNIL-Leitlinie wurde am 4. Juli 2025 überarbeitet mit einer Compliance-Frist 1. Januar 2026. Die Liste des früheren CNIL-Evaluierungsprogramms — die Pre-2026-Methode zur Qualifikation eines Tools — wird eingestellt: „Au 1er Janvier 2026, cette page sera supprimée. La période de soumission à ce programme est terminée.” Ab diesem Datum stützen sich Betreiber auf eine dokumentierte Selbstbewertung, nicht auf eine CNIL-Vorabfreigabe.

Dieser Beitrag ist die Lesart des Betreibers von Sheet n°16. Die Bedingungen Punkt für Punkt, Selbstbewertung + Frist, wo GA4 den Test nicht besteht, die Drei-Ereignis-Obergrenze und wie Sie sie auditieren, und wie Sie Statnive Live für die Sheet-16-Ausnahme konfigurieren.

Sheet 16, Punkt für Punkt

CNIL Sheet n°16 ist die grundlegende Sieben-Punkte-Ausnahme. Das CNIL-Selbstbewertungs-PDF vom Juli 2025 (outil_d_auto-evaluation_mesure_d_audience.pdf) operationalisiert jeden Punkt in testbare Kriterien. Jede kumulative Bedingung unten muss erfüllt sein, damit die Ausnahme gilt.

Zulässige Zwecke. Wörtlich aus der Selbstbewertung: „les mesures des performances ; la détection de problèmes de navigation ; l’optimisation des performances techniques ou de son ergonomie ; l’estimation de la puissance des serveurs nécessaires ; l’analyse des contenus consultés.” Leistungsmessung, Erkennung von Navigationsproblemen, technische-Leistungs- und ergonomische Optimierung, Schätzung der Server-Kapazität und Analyse aufgerufener Inhalte. Keine Werbung. Kein Retargeting. Kein Profiling auf Nutzerebene.

Maximal drei Ereignistypen. Wörtlich: „La solution collecte au plus trois type d’évènements : • La simple présence d’une personne sur une page et les informations associée à cette page (nom, type, etc.) • L’utilisation par cette personne d’une fonctionnalité (clic bouton, clic lien) et les information associées (destination, label, etc.) • Les statistiques de temps de chargement, de défilement ou de temps passé sur une page.” — Seitenpräsenz, Funktionsinteraktion (Schaltflächen-/Link-Klicks) und Zeitstatistiken (Laden, Scrollen, Verweildauer). Das ist die Obergrenze. Ein E-Commerce-Konversionsereignis, ein Formular-Übermittlungsereignis oder ein benutzerdefiniertes „Broschüre heruntergeladen”-Ereignis zählen jeweils als vierter Ereignistyp — und das Deployment ist nicht mehr ausgenommen.

IP-Kürzung. Wörtlich: „L’IP si elle est utilisée, permet la localisation à l’échelle de la ville puis est pseudonymisée en enlevant au moins le dernier octet.” Falls IP verwendet wird, muss die Geolokalisierung auf Stadt-Ebene degradieren und die IP durch Entfernen mindestens des letzten Oktetts pseudonymisiert werden. Statnive Live führt dies beim Eingang aus und verwirft die rohe IP vor jeglichem dauerhaften Schreiben.

Header-Minimierung. Wörtlich: „Si des données provenant des champs d’en-tête (« headers ») HTTP sont collectées (version de navigateur, système d’exploitation, matériel, taille d’écran), ces données sont minimisées (version majeure système d’exploitation/navigateur par exemple).” User-Agent reduziert auf Hauptbrowser-Version + Haupt-OS-Version. „Chrome 126” — nicht „Chrome/126.0.6478.127 Mobile Safari/537.36”. Statnive Live parst User-Agents serverseitig beim Eingang und verwirft die rohe Zeichenkette.

Einzelseiten-Scope. Wörtlich: „Aucun identifiant permettant un suivi à travers plusieurs domaines n’est utilisé … Si l’identifiant utilisé est un cookie, celui-ci est déposé en interne (ou « first-party ») afin d’empêcher un suivi global de la navigation.” Kein domain-übergreifender Identifier; nur First-Party-Deployment. Und: „Le référent (« referrer »), s’il est collecté, se limite au domaine (« host »).” Der Referrer reduziert sich nur auf den Host. Statnive Lives Host-only-Referrer-Transform läuft serverseitig beim Eingang.

Aggregation. Wörtlich: „Agrégation et la présentation à la dizaine la plus proche. A défaut, une analyse est menée pour justifier du caractère anonyme des données (voir l’avis du G29 sur le sujet).” Aggregation auf die nächste 10, oder dokumentieren Sie eine Anonymisierungsanalyse, die die WP29/EDPB-Anonymisierungs-Stellungnahme zitiert.

Harte Verbote. Wörtlich: „Aucun suivi de la navigation d’un utilisateur unique n’est possible … Désactivation de toute fonctionnalités du type rejeu de session (« session replay ») … Toute fonctionnalité visant à croiser, dédoubler ou mesurer un taux de couverture (« reach ») unifié d’un contenu est exclue.” Keine Verfolgung der Navigation eines einzelnen Nutzers; Session-Replay deaktiviert; keine Funktionalität zur Querverknüpfung, Deduplizierung oder Messung einer einheitlichen Reichweite.

Laufzeit und Aufbewahrung. Von der CNIL-Hauptseite: „durée de treize mois” für Tracker, „durée maximale de vingt-cinq mois” für gesammelte Daten, regelmäßige Überprüfung erforderlich. Tracker-Laufzeit ≤ 13 Monate; Rohdaten-Aufbewahrung ≤ 25 Monate. Statnive Lives 750-Tage-TTL auf Rollups (hourly_visitors, daily_pages, daily_sources) beträgt 24,6 Monate — innerhalb der Obergrenze mit Spielraum.

Auftragsverarbeiter-Rolle. Der Anbieter muss „sous le régime de la sous-traitance” operieren (DSGVO Artikel 28 Auftragsverarbeiter). Wörtlich: „Aucune mise en commun par le prestataire de données brutes de mesure d’audience provenant de plusieurs de ses clients n’est mise en œuvre” … „Aucune réutilisation des données pour le propre compte du prestataire et quelle que soit la finalité (amélioration de son service, lutte contre la fraude, etc.) n’est mise en œuvre.” Keine Poolung von Rohdaten über die Kunden des Anbieters; keine Wiederverwendung durch den Anbieter für irgendeinen Zweck, einschließlich Service-Verbesserung oder Betrugsbekämpfung.

Widerspruchsrecht. Wörtlich: „Opposition disponible sous la forme d’un bouton ou lien cliquable au sein de la politique de confidentialité du site ou application visité.” Eine klickbare Opt-out-Schaltfläche oder ein Link in der Datenschutzerklärung der Website. Statnive Live stellt dies als POST /api/privacy/opt-out bereit.

Empfohlene Attestierungs-Sprache. Wörtlich: „D’après notre auto-évaluation, la solution XXX est conforme aux critères établis par la CNIL [mettre un lien vers la page officielle], et peut-être mise en œuvre sans requérir le consentement des utilisateurs si elle est correctement configurée.” Nach unserer Selbstbewertung erfüllt die Lösung XXX die von der CNIL festgelegten Kriterien und kann ohne Nutzereinwilligung eingesetzt werden, wenn sie korrekt konfiguriert ist. Anbieter dürfen ihr Tool nicht als „CNIL-zertifiziert” beschreiben oder das CNIL-Logo verwenden.

Der Übergang am 1. Januar 2026 (nun verstrichen)

Das CNIL-Evaluierungsprogramm — der Pre-2026-Mechanismus für einen Webanalyse-Anbieter, sein Tool zur CNIL-Bewertung einzureichen und auf einer öffentlichen Liste zu erscheinen — ist eingestellt. Wörtlich aus der Juli-2025-Leitlinie: „Au 1er Janvier 2026, cette page sera supprimée. La période de soumission à ce programme est terminée.” Am 1. Januar 2026 wurde die Seite entfernt; die Einreichung endete 2025. Der Übergang ist abgeschlossen; das Selbstbewertungs-Regime ist nun in Kraft.

Was ihn ersetzte: eine Selbstbewertungs-Haltung. Der Anbieter führt die CNIL-Selbstbewertung durch, dokumentiert das Ergebnis und veröffentlicht eine Attestierung im CNIL-empfohlenen Sprachmuster. Es gibt keinen CNIL-Stempel zum Vorzeigen, kein Logo zur Verwendung, keine formale Vorabfreigabe. Der Betreiber, der das Tool einsetzt, trägt die primäre Verantwortung dafür, dass die Konfiguration auf seiner Website die Bedingungen erfüllt.

Am 16. Januar 2026 veröffentlichte die CNIL ihre Konsolidierte Cookie-Empfehlung (recommandation_cookies_consolidee.pdf), die die Beschlüsse 2020-091 / 2020-092, die Aktualisierung der Reichweitenmessung vom 4. Juli 2025 und den breiteren Cookie-Rahmen in einem einzigen Dokument integriert. Die substantiellen Sheet-16-Bedingungen sind in der Konsolidierung unverändert — die wörtlichen Bedingungen auf dieser Seite bleiben maßgeblich.

Am 14. April 2026 veröffentlichte die CNIL eine endgültige Empfehlung zu Tracking-Pixeln, die eine enge Ausnahme zur „Zustellbarkeitsmessung” einführt — sie erlaubt Pixeln, inaktive Abonnenten ohne Einwilligung zu identifizieren, ausschließlich für E-Mail-Listenbereinigungs-Zwecke. Die Zustellbarkeits-Ausnahme liegt außerhalb des Sheet-16-Reichweitenmessungs-Ausnahmebereichs und beeinflusst die Bedingungen auf dieser Seite nicht.

Praktisch, für einen Betreiber, der 2026 in Frankreich Webanalyse einsetzt:

  • Der Anbieter sollte eine datierte Selbstbewertungs-Attestierung veröffentlichen. Matomos veröffentlichte Selbstbewertung ist die kanonische Referenz: „the Matomo Cloud and Matomo On-Premise solutions comply with the criteria established by the CNIL … and may be implemented without requiring user consent if properly configured.”
  • Der Betreiber sollte seine eigene Konfiguration gegen die Sheet-16-Bedingungen dokumentieren und die Dokumentation aufbewahren. Die CNIL prüft auf Basis der eingesetzten Konfiguration, nicht des Marketing-Materials.
  • Eine Interessenabwägung gemäß EDPB-Leitlinien 1/2024 ist trotzdem erforderlich. Die Sheet-16-Ausnahme gilt für die ePrivacy-Artikel-5(3)-Einwilligung beim Endgeräte-Zugriff; die DSGVO-Artikel-6-Grundlage für die nachfolgende Verarbeitung personenbezogener Daten ist eine separate Frage, und Artikel 6 Abs. 1 lit. f berechtigtes Interesse ist die realistische Antwort.

Wo GA4 den Test nicht besteht

Die CNIL war hier ungewöhnlich direkt. Aus Sheet 16, wörtlich: „Most large audience measurement offerings do not fall within the scope of the exemption, regardless of their configuration. In order to benefit from this exemption, please contact your solution provider or use open source software such as Matomo that you can configure yourself.”

GA4 scheitert konkret an mehreren Sheet-16-Bedingungen:

  • Grenzüberschreitender Transfer in US-Infrastruktur. Die formelle Mitteilung der CNIL vom 10. Februar 2022 fand den GA-Transfer EU→US unter Kapitel V der DSGVO rechtswidrig. Der EU-US Data Privacy Framework von 2023 bietet vorläufige Deckung, ist aber Gegenstand laufender CJEU-Anfechtungen — Latombe-Berufung vom 31. Oktober 2025, plus eine parallele noyb-Anfechtung.
  • Kunden-übergreifende Daten-Poolung. Googles Webanalyse-Infrastruktur poolt Daten über ihren Kundenstamm und verbindet sie mit Googles Werbeökosystem. Die Sheet-16-Bedingung — „Aucune mise en commun par le prestataire de données brutes de mesure d’audience provenant de plusieurs de ses clients” — erlaubt das nicht.
  • Persistenter Client-Identifier. Die Client-ID von GA4 ist ein persistenter Identifier, der aus dem Browserspeicher gelesen und geschrieben wird. ePrivacy Artikel 5 Abs. 3 wird ausgelöst; die Reichweitenmessungs-Ausnahme gilt nicht, weil die Implementierung über Sheet 16s Drei-Ereignis-Taxonomie hinausgeht.
  • Kein „alleiniger Herausgeber”-Tool by design. Die Cross-Property-Reichweite, demografische Anreicherung und Werbeplattform-Integration, für die GA4 gebaut ist, sind genau die Funktionen, die Sheet 16 ausschließt.

Routing von GA4 über einen Server-seitigen Endpunkt (sGTM) heilt das nicht. Die CNIL hat erklärt, dass ein Server-seitiger Proxy bestenfalls eine partielle Milderung ist, wenn derselbe persistente Identifier verwendet wird, die Daten letztlich an Google US fließen oder Google Verantwortlicher-äquivalente Rechte behält.

Die korrekt konfigurierten First-Party-Alternativen — Matomo (Cloud oder On-Premise) im CNIL-Ausnahme-Modus, Plausible, Fathom, Simple Analytics und Statnive Live — sitzen alle innerhalb der Sheet-16-Bedingungen und qualifizieren mit Betreiber-Selbstbewertung. Die Vollzugsbilanz der CNIL gegen korrekt konfigurierte First-Party-EU-gehostete Datenschutz-Webanalyse ist Stand Mai 2026 leer.

Die Drei-Ereignis-Obergrenze und wie Sie sie auditieren

Die Sheet-16-Obergrenze von drei Ereignistypen — Seitenpräsenz, Funktionsinteraktion (Klicks) und Timing — ist die einzige am häufigsten verletzte Bedingung in realen Deployments. Betreiber fügen ein E-Commerce-Konversionsereignis, einen Formular-Übermittlungs-Tracker, ein „Broschüre heruntergeladen”-Ereignis oder ein „Video angesehen”-Ereignis hinzu, und das Deployment qualifiziert sich still nicht mehr für die Ausnahme.

Statnive Live stellt einen Per-Site-Event-Taxonomie-Audit-Endpunkt speziell dafür bereit:

GET /api/admin/event-audit?site_id=N

Die Antwort enthält:

  • event_names — die distinkten Ereignisnamen, die auf der Site im Audit-Fenster beobachtet wurden
  • distinct_count — die Kardinalität
  • cnil_cap — fixiert auf 3 (Sheet-16-Obergrenze)
  • cap_statusok wenn distinct_count ≤ 3; over sonst
  • window_from / window_to — die Audit-Fenster-Zeitstempel

cap_status: ok bedeutet, das Deployment liegt wie konfiguriert innerhalb der Sheet-16-Drei-Ereignis-Obergrenze — eine der schwierigeren Sheet-16-Bedingungen in lang laufenden Deployments, in denen sich Ereignistypen anhäufen. cap_status: over bedeutet, das Deployment ist außerhalb der Ausnahme abgedriftet und erfordert entweder Beschneiden der Ereignis-Taxonomie oder Einführung eines Einwilligungs-Banners. Das Audit ist operatorgerichtet; die Antwort ist ein JSON-Objekt, das in eine CNIL-Inspektions-Antwort als Screenshot eingefügt werden kann.

Die empfohlene Frequenz ist monatlich. Eine Site, die Features ausliefert, sammelt organisch Ereignistypen an; der Audit-Endpunkt ist der günstige Mechanismus, um Drift abzufangen.

Statnive Live für Sheet 16 konfigurieren

Statnive Live liefert eine Konfiguration, die die Sheet-16-Bedingungen out of the box erfüllt. Die Schritte des Betreibers:

  1. Wählen Sie die FR-Jurisdiktion. Das Site-Policy-Panel von Statnive Live stellt einen Elf-Jurisdiktions-Enum bereit. Die Auswahl FR richtet die Site-Policy auf französische Erwartungen aus. Der Hard-Rule-Validator verbietet permissive für FR nicht (nur DE hat diese Hard-Rule), aber defaultet auf consent-free, sodass die Sheet-16-Architektur am ersten Tag gilt.
  2. Bestätigen Sie den consent-free-Modus. Dies schaltet Cookies, localStorage und Fingerprinting im Tracker aus; aktiviert die serverseitige tägliche rotierende BLAKE3-HMAC-Besuchersignatur; aktiviert die Host-only-Referrer-Transform; aktiviert die IP-Kürzung; aktiviert die User-Agent-Minimierung. Die Konfiguration entspricht den oben in diesem Beitrag aufgeführten Sheet-16-Do’s.
  3. Beschränken Sie die Ereignis-Taxonomie. Führen Sie den Event-Audit-Endpunkt monatlich aus. Streben Sie cap_status: ok an. Wenn ein vierter Ereignistyp für einen bestimmten Marketing-Zweck erforderlich ist, verlässt dieser Zweck die Sheet-16-Ausnahme und tritt in einen Workflow mit Einwilligung ein.
  4. Veröffentlichen Sie die Selbstbewertungs-Attestierung. Ein kurzer Absatz auf der Datenschutzerklärung der Website: „D’après notre auto-évaluation, la solution Statnive Live, configurée en mode consent-free, est conforme aux critères établis par la CNIL [Link zu https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience], et peut-être mise en œuvre sans requérir le consentement des utilisateurs si elle est correctement configurée.” Keine „CNIL-zertifiziert”-Behauptung; kein CNIL-Logo.
  5. Veröffentlichen Sie den Artikel-21-Opt-out-Link. Statnive Live stellt POST /api/privacy/opt-out bereit und serviert eine Standard-Opt-out-Seite unter /privacy. Die Datenschutzerklärung der Website verlinkt darauf. Die Opt-out-Persistenz wird als unbedingt erforderlicher Cookie implementiert, der die Entscheidung des Nutzers ausdrückt — was gemäß ePrivacy Artikel 5 Abs. 3 zulässig ist, weil es die ausdrückliche Ablehnung des Nutzers umsetzt.
  6. Dokumentieren Sie die Interessenabwägung. Die Route /legal/lia von Statnive Live serviert eine Vorlage gemäß EDPB-Leitlinien 1/2024 — Interessenidentifikation → Erforderlichkeit → Abwägung. Passen Sie die Vorlage an den konkreten Verarbeitungskontext des Betreibers an, bewahren Sie die dokumentierte Version auf, aktualisieren Sie jährlich.
  7. Unterzeichnen Sie den Artikel-28-AVV. Wenn der Betreiber die gehostete (SaaS-)Variante von Statnive Live verwendet, ist Statnive ein Auftragsverarbeiter gemäß DSGVO Artikel 28. Der AVV ist unter /legal/dpa verfügbar und ohne Verkaufsgespräch herunterladbar. Wenn der Betreiber selbst hostet, ist Statnive überhaupt kein Auftragsverarbeiter — der Betreiber ist alleiniger Verantwortlicher und es gibt keinen Statnive ↔ Betreiber-AVV zu unterzeichnen.

Das Ergebnis ist eine Konfiguration, die die Sheet-16-Bedingungen kumulativ erfüllt und auch vorwärtskompatibel mit dem Vorschlag Digital Omnibus Artikel 88a Abs. 3 lit. c ist. Der Betreiber, der dies heute einsetzt, muss nicht neu architektieren, falls und wann der Kommissionstext zum Gesetz wird.

FAQ — Deckt Sheet 16 E-Commerce-Konversionsereignisse ab?

Nein. Ein Konversionsereignis ist ein vierter Ereignistyp jenseits der Sheet-16-Drei-Ereignis-Obergrenze. Einen Kauf als „Funktionsinteraktion” (d.h. einen Klick auf die „Bestellung aufgeben”-Schaltfläche) zu behandeln, rettet die Ausnahme nicht, weil der Betreiber auch den Wert des Kaufs, die Produktliste und oft die Erst-vs.-Wiederkehrenden-Kunden-Attribution will — und jedes davon erweitert die Ereignis-Taxonomie über die Sheet-16-Grenze hinaus.

Das robuste Deployment ist Split-Modus. Reichweitenmessung läuft im consent-free-Modus unter Sheet 16. E-Commerce-Attribution läuft als separater, einwilligungspflichtiger Workflow — entweder als Consented-Mode-Ergänzung zum selben Statnive-Live-Deployment oder über einen separaten, vollständig einwilligungspflichtigen Webanalyse-Pfad. Die Reichweitenmessungs-Kennzahlen (Besucher, Sitzungen, Seiten) bleiben einwilligungsfrei; die E-Commerce-Kennzahlen (Umsatz, Bestellungen, Lifetime Value) erfordern ein Banner.

Dies ist derselbe Split, den CNIL in Sheet 16 für werbezweckliche Cookies beschreibt. Sheet 16 ist absichtlich eng; ein Betreiber, der E-Commerce-Attribution will, befindet sich in einem anderen regulatorischen Rahmen.

Was das einem Betreiber gibt

Das praktische Betreiberergebnis aus einem Sheet-16-konfigurierten Deployment:

  • Kein Cookie-Banner erforderlich für den Reichweitenmessungs-Workflow unter den kumulativ erfüllten Bedingungen. Die CNIL war klar, dass die Ausnahme real ist und dass korrekt konfigurierte Tools qualifizieren.
  • Eine dokumentierte Grundlage zum Vorzeigen, falls die CNIL prüft. Selbstbewertungs-Attestierung + LIA + Per-Site-Event-Audit-Log sind das Antwort-Pack des Betreibers.
  • Eine Konfiguration, die EU-weit überlebt, weil die strenge Sheet-16-Architektur auch Italiens Garante-, Spaniens AEPD- und die Niederlande-AP-Ausnahmen durch Konstruktion erfüllt. Die Land-für-Land-Karte zeigt die Deltas.
  • Ein Mess-Stack, der nicht 55,6 % kleiner ist als die Realität. Plausibles Cookie-Banner-Studie ist die kanonische Referenz für den Anteil der Besucher, die ein Banner ablehnen oder schließen und aus der Webanalyse herausfallen. Eine einwilligungsfreie Architektur sieht diese Besucher.

Was es nicht gibt: E-Commerce-Attribution, verhaltensbasierte Werbung, Retargeting, Cross-Device-Deduplizierung, Session-Replay, Heatmaps oder A/B-Test-Varianten-Attribution per User-Identität. Jedes davon erfordert einen separaten Einwilligungs-Flow. Die CNIL ist explizit, dass Sheet 16 die Reichweitenmessungs-Ausnahme ist, keine allgemeine Marketing-Webanalyse-Ausnahme.

Der Trade-off ist klar: Der Betreiber erhält unblockierte Sichtbarkeit auf die Kennzahlen, die tägliche Produktentscheidungen treiben, im Austausch dafür, keine Marketing-Attributions-Flows auf demselben Code-Pfad zu bauen. Für die meisten Betreiber ist das der richtige Trade-off — und es ist derjenige, den Sheet 16 verfügbar zu machen wurde entworfen.

Was zu tun und was zu lassen

TunNicht tun
Den Tracker auf ≤3 Ereignistypen beschränken (Seitenpräsenz + Funktionsinteraktion + Timing) und monatlich via GET /api/admin/event-audit auditieren.Einen vierten Ereignistyp für E-Commerce-Konversionen innerhalb des einwilligungsfreien Deployments hinzufügen — das disqualifiziert die Sheet-16-Ausnahme.
Eine datierte Selbstbewertungs-Attestierung mit der wörtlichen CNIL-Formulierung veröffentlichen („D’après notre auto-évaluation … peut-être mise en œuvre sans requérir le consentement des utilisateurs si elle est correctement configurée”).„CNIL-zertifiziert” behaupten oder das CNIL-Logo verwenden. Die CNIL hat ihr Evaluierungsprogramm am 1. Januar 2026 eingestellt — Betreiber bewerten sich selbst.
Die FR-Jurisdiktion in Statnive Live setzen, auf consent-free-Modus defaulten und prüfen, dass Host-only-Referrer + IP-Kürzung beim Eingang aktiv sind.Google Analytics 4 (oder jedes sGTM-vorgeschaltete GA4) betreiben und es Sheet-16-konform nennen. CNIL war explizit: GA4 besteht den Test nicht.
Einen parallelen Consented-Mode-Flow für E-Commerce-Attribution betreiben; die Reichweitenmessungs-Schicht einwilligungsfrei halten.Reichweitenmessung mit E-Commerce-Attribution vermischen. Sheet 16 ist die Reichweitenmessungs-Ausnahme, keine allgemeine Marketing-Webanalyse-Ausnahme.
Eine Interessenabwägung gemäß EDPB-Leitlinien 1/2024 pflegen, die die Artikel-6-Grundlage für die Post-Sheet-16-Personendaten-Verarbeitung abdeckt.Sheet-16-Compliance als die gesamte DSGVO-Analyse behandeln. Die Ausnahme deckt nur die ePrivacy-Artikel-5(3)-Einwilligung ab; Artikel-6-Rechtsgrundlage ist separat.

Das Fazit

Frankreichs CNIL hat die detaillierteste, operatorfreundlichste Reichweitenmessungs-Einwilligungs-Ausnahme der EU gebaut. Die kumulativen Bedingungen sind eng, die Frist ist der 1. Januar 2026, die Selbstbewertungs-Haltung hat das frühere Evaluierungsprogramm ersetzt, und die Konfiguration, die in Frankreich qualifiziert, qualifiziert auch in Italien, Spanien und den Niederlanden durch Konstruktion. Deutschland bleibt der Ausreißer — siehe die § 25-TDDDG-Tiefenanalyse — und der Betreiber, der für Deutschland konfiguriert, ist auch für Frankreich konfiguriert.

Statnive Live liefert die Sheet-16-Architektur standardmäßig in seinem consent-free-Modus. Der Elf-Jurisdiktions-Enum, die vier Einwilligungsmodi, der täglich rotierende Salt, der gehashte Cookie-ID im Ruhezustand, der Host-only-Referrer, die 25-Monats-Rollup-Aufbewahrung und der Event-Audit-Endpunkt sind alle in der Box. Die CNIL-Selbstbewertungs-Attestierung, die LIA-Vorlage, die Datenschutzerklärungs-Klauseln und der Artikel-28-AVV werden aus dem Binary unter /legal/* ausgeliefert. Die Bereitstellungsarbeit liegt beim Betreiber; die Architektur ist erledigt.

Für den breiteren Leitfaden siehe den EU-Leitfaden für einwilligungsfreie Webanalyse 2026. Für den News-Aspekt und die vorgeschlagene EU-weite Harmonisierung siehe den Digital-Omnibus-Beitrag. Für warum Deutschland anders ist, siehe den TDDDG-Beitrag. Und dafür, wie dieselbe Architektur Auskunfts- und Löschungs-Anfragen handhabt, siehe den DSAR-Beitrag.

Dies ist Datenschutz-Forschung, keine Rechtsberatung. Statnive Live, konfiguriert im consent-free-Modus für die FR-Jurisdiktion, ist konfigurierbar zur Erfüllung der CNIL-Reichweitenmessungs-Ausnahme, wenn entsprechend einer dokumentierten Interessenabwägung und der CNIL-Selbstbewertung eingesetzt. Dies ist keine CNIL-Zertifizierung. Jeder Statnive-Kunde bleibt Verantwortlicher und ist für seine eigene Konfiguration und DSFA verantwortlich. Konsultieren Sie qualifizierten Rechtsbeistand in Frankreich vor der Veröffentlichung.

Stand der regulatorischen Verweise zum 13. Mai 2026: CNIL Sheet n°16; CNIL „Cookies: solutions for audience measurement tools” vom 4. Juli 2025 (Compliance-Frist 1. Januar 2026 ist nun verstrichen; Evaluierungsprogramm an diesem Datum eingestellt; Selbstbewertungs-Regime seitdem in Kraft); CNIL Konsolidierte Cookie-Empfehlung vom 16. Januar 2026 (substantielle Sheet-16-Bedingungen in der Konsolidierung unverändert); CNIL Endgültige Empfehlung zu Tracking-Pixeln vom 14. April 2026 (Zustellbarkeitsmess-Ausnahme; außerhalb des Sheet-16-Bereichs); CNIL-Selbstbewertungs-PDF (Juli 2025); CNIL Beschluss SAN-2020-013 (Amazon, 7. Dezember 2020); CNIL Google-Entscheidung vom 7. Dezember 2020 (€100m); CNIL-Entscheidungen vom 6. Januar 2022 (Google €150m, Facebook €60m); CNIL formelle Mitteilung vom 10. Februar 2022 (Google Analytics, Kapitel V); CNIL Beschluss SAN-2025-005 vom 1. September 2025 (€150m gegen INFINITE STYLES SERVICES CO. LIMITED — Shein); CNIL Beschluss SAN-2025-006 vom 1. September 2025 (€325m insgesamt gegen Google LLC und Google Ireland Ltd); CNIL €3,5 Mio. Cookie-/Übermittlung-an-soziales-Netzwerk-Bußgeld veröffentlicht am 22. Januar 2026 (Entscheidung 30. Dezember 2025, in Zusammenarbeit mit 16 europäischen DPA-Pendants angenommen); EDPB-Leitlinien 2/2023 v2.0 vom 7. Oktober 2024; EDPB-Leitlinien 1/2024 vom 8. Oktober 2024. CNIL 2026 Vollzugsprioritäten (Ankündigung Januar 2026): Rekrutierung, Einheitliches Wählerregister (REU), Sportverbände — Cookies sind kein angegebener Prioritätsfokus, obwohl der Vollzug fortgesetzt wird.

Statnive kostenlos herunterladen