E-Mail-Compliance ist eines dieser Themen, das Menschen ignorieren, bis es sie Geld kostet. Und es kann sehr viel Geld kosten.
Das regulatorische Umfeld für E-Mail-Marketing variiert von Land zu Land erheblich. Was in den USA völlig legal ist, kann in Kanada oder Australien massive Bußgelder nach sich ziehen. Wenn Sie international versenden – was die meisten Unternehmen tun – müssen Sie die Regeln in jeder Jurisdiktion kennen, in der Ihre Abonnenten leben.
Es geht dabei nicht nur darum, Bußgelder zu vermeiden. Compliance schafft Vertrauen. Und in einer Ära, in der Verbraucher bewusster mit ihrer Privatsphäre umgehen als je zuvor, übersetzt sich Vertrauen direkt in Engagement und Umsatz.
Dieses Kapitel behandelt die wichtigsten Regelungen, die praktischen Schritte zur Einhaltung der Vorschriften und die neuen technischen Anforderungen, die jeden Absender betreffen.
GDPR (EU)
Die Datenschutz-Grundverordnung bleibt das strengste und einflussreichste E-Mail-Datenschutzgesetz weltweit. Wenn Sie EU-Abonnenten haben, gilt die GDPR für Sie – unabhängig davon, wo Ihr Unternehmen ansässig ist.
Die Einwilligung unter der GDPR muss freiwillig, spezifisch, informiert und eindeutig sein. Das ist eine hohe Messlatte. Vorangekreuzte Kästchen zählen nicht. Gebündelte Einwilligungen ("Anmelden und dem Marketing zustimmen") zählen nicht, es sei denn, die Marketing-Einwilligung ist von der Dienstregistrierung getrennt. Schweigen zählt nicht. Inaktivität zählt nicht.
Sie müssen den Leuten genau sagen, wofür sie sich anmelden. "Newsletter abonnieren" ist akzeptabel. "Mit der Erstellung eines Kontos stimmen Sie dem Empfang von Werbemitteilungen zu", vergraben in Paragraph 47 Ihrer Nutzungsbedingungen, ist es nicht.
Das Recht auf Vergessenwerden bedeutet, dass Sie die Daten einer Person "ohne unangemessene Verzögerung" löschen müssen, wenn sie dies verlangen. In der Praxis bedeutet das innerhalb von 30 Tagen. Dies umfasst alle personenbezogenen Daten in allen Ihren Systemen, nicht nur Ihrem ESP. CRM-Daten, mit ihrer E-Mail verknüpfte Kaufhistorie, Analysedaten – alles. Erstellen Sie einen dokumentierten Prozess zur Bearbeitung dieser Anfragen, bevor Sie eine erhalten, denn Sie werden sie erhalten.
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen bedeutet, dass Sie Ihre Systeme von Anfang an unter Berücksichtigung des Datenschutzes aufbauen müssen, nicht nachträglich. Erfassen Sie nur, was Sie benötigen. Speichern Sie es sicher. Löschen Sie es, wenn es nicht mehr notwendig ist.
Für Einwilligungsaufzeichnungen bewahren Sie die Dokumentation 3 bis 7 Jahre nach Ihrem letzten Versand an diesen Abonnenten auf. Erfassen Sie wann, wie und wozu sie zugestimmt haben und welche Informationen ihnen zu diesem Zeitpunkt präsentiert wurden. Wenn ein Regulierer fragt, müssen Sie nachweisen können, dass die Einwilligung gültig war. Screenshots Ihrer Anmeldeformulare zum Zeitpunkt der Einwilligung, mit Zeitstempel und archiviert, sind Ihre beste Verteidigung.
Erneuern Sie die Einwilligung alle 2 Jahre. Senden Sie eine Re-Permission-Kampagne an Abonnenten, von denen Sie seit 24 Monaten nichts gehört haben. Diejenigen, die erneut bestätigen, sind wirklich interessiert. Diejenigen, die es nicht tun, sollten entfernt werden. Eine kleinere, konforme Liste ist besser als eine große, rechtlich fragwürdige.
GDPR-Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist. In allen Branchen wurden erhebliche Bußgelder verhängt. Das ist kein theoretisches Risiko.
CAN-SPAM (USA)
CAN-SPAM ist die permissivste der wichtigsten E-Mail-Regelungen. Es ist auch die am meisten missverstandene.
Die Schlüsselregeln sind unkompliziert. Verwenden Sie keine irreführenden Header, Absendernamen oder Betreffzeilen. Ihr "Von"-Name sollte genau angeben, wer die E-Mail sendet. Die Betreffzeile darf den Inhalt der E-Mail nicht täuschend beschreiben. "Re: Ihre Bestellung", wenn es keine Bestellung gab, ist ein Verstoß.
Jede kommerzielle E-Mail muss eine physische Postanschrift enthalten. Ein Postfach oder eine virtuelle Büro-Adresse ist akzeptabel. Sie müssen Ihre Privatadresse nicht veröffentlichen. Dienste wie Earth Class Mail oder iPostal1 bieten virtuelle Geschäftsadressen, die diese Anforderung für unter $15 pro Monat erfüllen.
Sie müssen Opt-out-Anfragen innerhalb von 10 Werktagen nachkommen. Ihr Abmeldemechanismus muss mindestens 30 Tage nach dem Versand der E-Mail weiterhin funktionieren. Verlangen Sie nicht, dass sich Leute anmelden, um sich abzumelden. Erheben Sie keine Gebühr. Verlangen Sie keine anderen Informationen als die E-Mail-Adresse. Lassen Sie sie nicht fünf Seiten durchklicken, um den Vorgang abzuschließen.
Hier liegt das Missverständnis bei den meisten: CAN-SPAM erlaubt es Ihnen technisch gesehen, jeden anzumailen, der sich nicht abgemeldet hat. Sie benötigen keine vorherige Einwilligung. Aber "rechtlich erlaubt" und "kluge Idee" sind verschiedene Dinge. E-Mails an Personen zu senden, die nicht darum gebeten haben, von Ihnen zu hören, zerstört Ihre Absender-Reputation, generiert Beschwerden und senkt die E-Mail-Zustellbarkeit. Nur weil Sie es können, heißt es nicht, dass Sie es sollten.
Verstöße sind mit Strafen von bis zu $51.744 pro E-Mail belegt. Das ist pro einzelner E-Mail, nicht pro Kampagne. Eine Kampagne an 10.000 Personen könnte theoretisch zu über $500 Millionen an Bußgeldern führen. Es erreicht selten dieses Niveau, aber die FTC hat Fälle verfolgt, die zu Millionen an Strafen führten.
Der Bundesstaat Washington hat eine zusätzliche Ebene: $500 pro Empfänger für irreführende Betreffzeilen. Wenn Sie E-Mails an Washington-Einwohner senden (und das tun Sie wahrscheinlich), müssen Ihre Betreffzeilen korrekt sein.
CASL (Kanada)
Kanadas Anti-Spam-Gesetzgebung ist deutlich strenger als CAN-SPAM. Wenn Sie kanadische Abonnenten haben, passen Sie genau auf.
CASL erfordert entweder ausdrückliche oder implizite Einwilligung, bevor kommerzielle elektronische Nachrichten gesendet werden. Ausdrückliche Einwilligung bedeutet, dass jemand aktiv zugestimmt hat, Ihre E-Mails zu erhalten. Implizite Einwilligung ist enger gefasst, als es klingt.
Implizite Einwilligung existiert in zwei Situationen. Erstens, wenn Sie eine bestehende Geschäftsbeziehung haben (jemand hat von Ihnen gekauft, einen Vertrag geschlossen oder eine Anfrage gestellt), können Sie ihnen E-Mails senden. Aber die implizite Einwilligung aus einem Kauf läuft 2 Jahre nach der Transaktion ab. Die implizite Einwilligung aus einer Anfrage läuft 6 Monate nach der Anfrage ab. Danach benötigen Sie eine ausdrückliche Einwilligung oder hören auf zu senden.
Das bedeutet, dass Sie ein System zur Verfolgung der Ablaufdaten der Einwilligung benötigen. Wenn jemand am 15. März 2024 von Ihnen gekauft hat, läuft Ihre implizite Einwilligung am 15. März 2026 ab. Sie sollten weit vor diesem Datum eine Einwilligungs-Erneuerungskampagne starten und die implizite Einwilligung in eine ausdrückliche umwandeln, solange Sie noch das Recht haben, ihnen E-Mails zu senden.
Die Strafen sind schwer. Bis zu $10 Millionen CAD pro Verstoß für Unternehmen. CASL beinhaltet auch ein privates Klagerecht, was bedeutet, dass Einzelpersonen Sie direkt verklagen können. Die praktische Auswirkung ist, dass Unternehmen mit erheblichem kanadischen Publikum häufig für alle kanadischen Kontakte standardmäßig auf ausdrückliches Opt-in setzen, weil das Risiko, bei der impliziten Einwilligung einen Fehler zu machen, zu hoch ist.
CCPA (Kalifornien)
Der California Consumer Privacy Act ist kein E-Mail-spezifisches Gesetz, betrifft aber E-Mail-Vermarkter, die Daten über kalifornische Einwohner besitzen.
Sie müssen bei der Erhebung eine Mitteilung bereitstellen, die die Kategorien der gesammelten personenbezogenen Daten und die Zwecke der Erhebung auflistet. Dies gilt für Ihre Anmeldeformulare und Datenschutzrichtlinien.
Einwohner Kaliforniens haben das Recht zu erfahren, welche personenbezogenen Daten Sie gesammelt haben, das Recht auf Löschung und das Recht, dem Verkauf ihrer personenbezogenen Daten zu widersprechen. Wenn Sie Abonnentendaten an Dritte verkaufen oder weitergeben (für Werbung, Datenanreicherung oder Listenmiete), benötigen Sie einen "Do Not Sell My Personal Information"-Mechanismus.
Strafen betragen $2.500 pro unbeabsichtigtem Verstoß und $7.500 pro vorsätzlichem Verstoß. Der Generalstaatsanwalt von Kalifornien und die California Privacy Protection Agency haben beide Durchsetzungsbefugnis.
Die CPRA (California Privacy Rights Act) erweiterte die CCPA, fügte das Recht hinzu, ungenaue Informationen zu korrigieren, und schuf eine neue Kategorie "sensibler personenbezogener Daten" mit zusätzlichen Schutzmaßnahmen. Wenn Sie in Ihrem E-Mail-Marketing genaue Geolokalisierung, rassische oder ethnische Herkunft, Gesundheitsdaten oder ähnliche sensible Kategorien erfassen (durch Umfragen, Präferenzzentren oder Kaufdaten), gelten die zusätzlichen Anforderungen der CPRA.
Australisches Spam-Gesetz
Da ich dies aus australischer Perspektive schreibe, verdient dieses Gesetz besondere Aufmerksamkeit.
Der Spam Act 2003 verlangt drei Dinge für jede kommerzielle elektronische Nachricht: Einwilligung, Absenderidentifikation und eine funktionierende Abmeldemöglichkeit.
Die Einwilligung kann ausdrücklich (jemand hat sich angemeldet) oder abgeleitet (es besteht eine bestehende Geschäftsbeziehung) sein. Aber im Gegensatz zu CAN-SPAM können Sie jemandem, der sich nicht angemeldet hat oder keine bestehende Beziehung zu Ihrem Unternehmen hat, keine E-Mails senden. Kalt-E-Mails an gekaufte Listen sind in Australien illegal. Ohne Ausnahme.
Jede kommerzielle E-Mail muss klar identifizieren, wer sie gesendet hat, und genaue Kontaktdaten enthalten. Und jede E-Mail muss einen Abmeldemechanismus enthalten, der funktioniert und innerhalb von 5 Werktagen beachtet wird.
Die Strafen sind erheblich. Die Australian Communications and Media Authority (ACMA) kann bei schwerwiegenden Verstößen Bußgelder von bis zu $2,22 Millionen AUD pro Tag verhängen. Sie haben Fälle gegen australische Unternehmen und internationale Unternehmen verfolgt, die an australische Empfänger senden. Die ACMA ist bei der Durchsetzung immer aktiver geworden und koordiniert sich mit internationalen Regulierungsbehörden.
Für australische Unternehmen, die international versenden, müssen Sie trotzdem den Spam Act für alle aus Australien gesendeten Nachrichten einhalten, unabhängig davon, wo sich der Empfänger befindet. Und wenn Sie ein internationales Unternehmen sind, das an australische Empfänger sendet, gilt der Spam Act auch für Sie.
Compliance bei Kalt-E-Mails
Die Compliance bei Kalt-E-Mails ist ein Flickenteppich unterschiedlicher Regeln je nach Standort Ihrer Empfänger. Machen Sie einen Fehler, setzen Sie sich einem erheblichen rechtlichen Risiko aus.
USA (CAN-SPAM): Die permissivste Jurisdiktion für B2B-Kalt-E-Mails. Es ist keine vorherige Einwilligung erforderlich. Sie müssen einen klaren Opt-out-Mechanismus, Ihre physische Adresse und genaue Absenderinformationen angeben. Das ist der Grund, warum die meisten Kalt-E-Mail-Tools und -Strategien von US-amerikanischen Unternehmen stammen. Die USA sind der einzige große Markt, in dem B2B-Kalt-E-Mails ohne vorherige Einwilligung ausdrücklich legal sind.
Vereinigtes Königreich (PECR): B2B-Kalt-E-Mails sind nach dem Prinzip des "Soft Opt-in" erlaubt. Sie können jemanden an seiner Geschäftsadresse anmailen, wenn die Nachricht für seine berufliche Rolle relevant ist. Sie müssen in jeder Nachricht eine klare Opt-out-Möglichkeit angeben. Für B2C-Kalt-E-Mails ist eine vorherige Einwilligung erforderlich. Nach dem Brexit hat das Vereinigte Königreich ein eigenes Datenschutzregime (UK GDPR), das eng an die EU-GDPR angelehnt ist, aber vom ICO durchgesetzt wird.
Europäische Union (ePrivacy-Richtlinie): Dies variiert von Land zu Land, da jeder EU-Mitgliedstaat die Richtlinie unterschiedlich umgesetzt hat. Deutschland ist das strengste, erfordert Opt-in-Einwilligung für praktisch alle kommerziellen E-Mails einschließlich B2B. Frankreich, Italien und die Niederlande sind unter den Bestimmungen des berechtigten Interesses permissiver für B2B. Die meisten EU-Länder erlauben B2B-Kalt-E-Mails mit einer klaren Opt-out-Möglichkeit und einem legitimen geschäftlichen Grund. Die bevorstehende ePrivacy-Verordnung (die sich seit Jahren in der Entwicklung befindet) könnte diese Regeln in der gesamten EU harmonisieren.
Kanada (CASL): Einwilligung ist erforderlich. Sie können die implizite Einwilligung aus einer bestehenden Geschäftsbeziehung nutzen, aber Kaltakquise bei Personen, mit denen Sie nie interagiert haben, erfordert zunächst eine ausdrückliche Einwilligung. Einige Praktiker argumentieren, dass eine veröffentlichte Geschäfts-E-Mail eine implizite Einwilligung schafft, aber das wurde in der Durchsetzung nicht klar getestet. Ich würde mich auf dieses Argument nicht verlassen.
Australien (Spam Act): Einwilligung ist erforderlich. Keine Kalt-E-Mails ohne eine vorherige Beziehung. Das ist die restriktivste wichtige Jurisdiktion für Kaltakquise.
Die praktische Schlussfolgerung: Führen Sie getrennte Listen nach Jurisdiktion. Kennzeichnen Sie jeden Abonnenten mit seinem Land. Wenden Sie die Regeln seiner Jurisdiktion an, nicht Ihre eigenen. Im Zweifelsfall wenden Sie den strengeren Standard an. Tools wie Instantly, Lemlist und Apollo ermöglichen es Ihnen, Interessenten nach Land zu filtern, was eine jurisdiktionsbasierte Compliance in großem Maßstab handhabbar macht.
Praktisches Einwilligungsmanagement
Theorie ist eine Sache. Die Implementierung konformer Einwilligungssammlung in großem Maßstab ist eine andere.
Double Opt-in bleibt der Goldstandard. Jemand meldet sich an, erhält eine Bestätigungs-E-Mail und klickt auf einen Link, um sein Abonnement zu bestätigen. Dies gibt Ihnen einen klaren, dokumentierten Einwilligungsnachweis und eliminiert gefälschte Anmeldungen, Tippfehler und Spam-Fallen. Ja, Sie verlieren 15-20 % der Anmeldungen, die nicht bestätigen. Diese Personen wären sowieso keine engagierten Abonnenten geworden.
Personalisierte Einwilligungs-E-Mails erhalten etwa 15 % mehr Opt-ins als generische. Den Namen des Abonnenten einzubeziehen, auf das zu verweisen, wofür er sich angemeldet hat, und zu erklären, was er erhalten wird, macht es wahrscheinlicher, dass er auf diesen Bestätigungsknopf klickt.
Regelmäßige Einwilligungserinnerungen erhöhen die Einwilligungsraten um 25 %. Wenn jemand nach 24 Stunden nicht bestätigt hat, senden Sie eine Erinnerung. Wenn er nach 72 Stunden nicht bestätigt hat, senden Sie noch eine. Danach lassen Sie es gut sein. Drei Versuche ist der optimale Punkt. Mehr als das beginnt aggressiv zu wirken.
Für Organisationen, die die Einwilligung über mehrere Jurisdiktionen und Produktlinien hinweg verwalten, ist eine Consent Management Platform (CMP) die Investition wert. Tools wie OneTrust, Cookiebot oder TrustArc automatisieren die Einwilligungssammlung, führen Prüfpfade und bewältigen die Komplexität unterschiedlicher Regelungen in verschiedenen Märkten.
Ann Handley macht den Punkt, dass die Achtung von Zielgruppendaten nicht nur eine rechtliche Verpflichtung ist, sondern ein Wettbewerbsvorteil. In einer Welt, in der Verbraucher sich zunehmend bewusst sind, wie ihre Daten verwendet werden, gewinnen Marken, die Daten sorgfältig behandeln, Vertrauen. Vertrauen gewinnt Aufmerksamkeit. Aufmerksamkeit gewinnt Umsatz.
Ein-Klick-Abmeldung (RFC 8058)
Dies ist die bedeutendste technische Compliance-Änderung der letzten Jahre.
Google und Yahoo verlangen nun List-Unsubscribe-Header für Massenversender (alle, die täglich mehr als 5.000 E-Mails an Gmail- oder Yahoo-Adressen senden). Das ist nicht optional. Wenn Sie die richtigen Header nicht einfügen, werden Ihre E-Mails zunehmend in den Spam-Ordner gefiltert oder vollständig abgelehnt.
RFC 8058 legt fest, wie die Ein-Klick-Abmeldung funktioniert. Die E-Mail enthält zwei Header: List-Unsubscribe (mit einer HTTPS-URL und/oder einer Mailto-Adresse) und List-Unsubscribe-Post (mit List-Unsubscribe=One-Click). Wenn ein Empfänger in seinem E-Mail-Client auf Abmelden klickt, wird eine einzelne POST-Anfrage an die URL gesendet. Keine Landing Page erforderlich. Keine zusätzlichen Schritte. Keine "Sind Sie sicher?"-Bestätigungen.
Sie müssen die Abmeldung innerhalb von 2 Tagen beachten. Nicht die 10 Werktage wie die allgemeine CAN-SPAM-Anforderung. Zwei Tage für die Ein-Klick-Abmeldung.
Die gute Nachricht ist, dass die meisten ESPs dies jetzt automatisch handhaben. Klaviyo, Mailchimp, ActiveCampaign, Brevo und andere enthalten standardmäßig die richtigen Header. Wenn Sie eine benutzerdefinierte Versandinfrastruktur verwenden, müssen Sie die Header selbst implementieren. Die Implementierung ist unkompliziert, muss aber gründlich getestet werden.
Wenn Sie nicht sicher sind, ob Ihre E-Mails die richtigen Header enthalten, überprüfen Sie es. Senden Sie sich selbst eine Test-E-Mail, zeigen Sie den rohen Nachrichtenquellcode an und suchen Sie nach List-Unsubscribe- und List-Unsubscribe-Post-Headern. Wenn diese fehlen, sprechen Sie mit Ihrem ESP oder Ihrem Entwicklungsteam.
Eine wichtige Nuance: Die Ein-Klick-Abmeldung sollte von der spezifischen Mailing-Liste abmelden, nicht unbedingt von allen Ihren Kommunikationen. Wenn sich jemand über einen Klick von Ihren Werbe-E-Mails abmeldet, sollte er weiterhin seine transaktionalen E-Mails erhalten (Bestellbestätigungen, Quittungen, Versandupdates). Konfigurieren Sie Ihren Abmelde-Endpunkt, um diesen Unterschied korrekt zu handhaben.
Datenschutz und Datenverarbeitung
Über die Einhaltung spezifischer Vorschriften hinaus gibt es ein breiteres Prinzip: Erfassen Sie nur, was Sie benötigen, und schützen Sie, was Sie erfassen.
Datensparsamkeit ist nicht nur eine GDPR-Anforderung. Es ist eine gute Praxis. Jede Daten, die Sie erfassen, sind Daten, die Sie sicher speichern, genau pflegen und bei Bedarf löschen müssen. Wenn Sie Geburtsdatum, Geschlecht, Standort und Unternehmensgröße eines Abonnenten erfassen, fragen Sie sich, ob Sie all diese Daten tatsächlich in Ihrer E-Mail-Personalisierung verwenden. Wenn die Antwort Nein ist, hören Sie auf, sie zu erfassen. Jedes Feld in Ihrem Anmeldeformular reduziert die Konversionsrate, und jeder ungenutzte Datenpunkt erhöht Ihre Haftung.
Cookie-Einwilligung interagiert mit E-Mail-Tracking auf Weisen, die die meisten Vermarkter nicht berücksichtigen. Wenn ein Abonnent von Ihrer E-Mail auf Ihre Website klickt, setzt Ihre Website Cookies für Analysen und Retargeting. Wenn dieser Abonnent in der EU ist und auf Ihrer Website nicht in Cookies eingewilligt hat, könnten Sie auf der E-Mail-Seite konform sein, aber auf der Web-Seite nicht. Stellen Sie sicher, dass Ihr Cookie-Einwilligungsbanner den Klickverkehr aus E-Mails korrekt behandelt.
Apples Mail-Datenschutz (MPP) hat das Öffnungs-Tracking grundlegend verändert. MPP lädt E-Mail-Inhalte (einschließlich Tracking-Pixel) beim Zustellen der E-Mail vorab, unabhängig davon, ob der Empfänger die E-Mail tatsächlich öffnet. Für Apple-Mail-Benutzer sind Ihre Öffnungsraten künstlich aufgebläht. Je nach Ihrer Zielgruppe könnten 40-60 % Ihrer Liste Apple-Mail-Benutzer sein.
Das bedeutet nicht, dass Öffnungsraten nutzlos sind. Es bedeutet, dass sie weniger zuverlässig sind als früher. Verwenden Sie Click-Through-Rate und Konversionsrate als Ihre primären Engagement-Metriken. Verwenden Sie die Öffnungsrate als Richtungsindikator, nicht als präzises Maß. Wenn Ihre Öffnungsrate über Nacht um 15 Punkte sinkt, stimmt wahrscheinlich etwas nicht. Aber optimieren Sie nicht für kleine Öffnungsraten-Variationen, wenn ein großer Teil dieser Öffnungen maschinengeneriert ist.
Der Datenschutztrend bewegt sich in eine Richtung: mehr Schutz, weniger Tracking. Die ePrivacy-Verordnung der EU, wenn sie endlich kommt, wird die Regeln wahrscheinlich weiter verschärfen. Andere Jurisdiktionen folgen Europas Beispiel. Bauen Sie Ihr E-Mail-Programm um Erstanbieter-Daten (was Abonnenten Ihnen sagen und was sie auf Ihren Eigenschaften tun) auf, anstatt auf Drittanbieter-Tracking. Die Programme, die sich an diese Realität anpassen, werden diejenigen übertreffen, die sich dagegen stellen.