Zurück zum Blog
Anleitungen & How-tos2026-03-15·12 Min. Lesezeit

Cold Email Compliance: Was B2B-Absender 2026 wissen müssen

Von Ibrahim DemolCEO IBLeadAktualisiert am 12. Juni 2026

Cold Emails sind nicht illegal — aber die Compliance für Cold Emails ist komplexer, als die meisten Absender realisieren. Die Kluft zwischen "technisch legal" und "tatsächlich sicher" hat sich 2025 und 2026 erheblich vergrößert. Wenn Sie es falsch machen, drohen Geldstrafen von bis zu 53.088 $ pro Email in den USA oder 20 Millionen € unter GDPR.

Dieser Leitfaden behandelt die relevanten Gesetze — USA, EU, Kanada, UK, Australien — mit echten Geldstrafen, die Unternehmen tatsächlich gezahlt haben, und einer Checkliste, die Sie vor Ihrer nächsten Kampagne verwenden können.


Ist Cold Emailing tatsächlich illegal?

Cold Emailing ist in den meisten Ländern legal. Aber "legal" hängt von drei Dingen ab: wo der Empfänger geografisch sitzt, ob er ein Unternehmen oder eine Privatperson ist und woher seine Email-Adresse stammt.

Hier ist ein konkretes Beispiel. Sie senden eine Email an einen VP of Operations in einem Logistikunternehmen in Houston. CAN-SPAM regelt diese Interaktion — keine vorherige Zustimmung erforderlich. Jetzt senden Sie dieselbe Email an einen freiberuflichen Berater für Lieferketten in Frankfurt. GDPR tritt in Kraft. Freiberufler werden nach EU-Recht als Privatpersonen eingestuft. Dieselbe Email, völlig unterschiedliche rechtliche Risiken.

Das anwendbare Recht wird nicht durch den Absenderstandort bestimmt. Es wird durch den Standort des Empfängers bestimmt.


Cold Email vs Spam: Der rechtliche Unterschied

Diese beiden Begriffe werden oft synonym verwendet. Das sollten sie nicht.

Eine Cold Email wird an eine bestimmte Person gesendet, über etwas, das für sie relevant ist, von einem identifizierbaren Absender, der eine echte Abmeldemöglichkeit bietet. Spam ist massenhaft, allgemein, anonym, ohne Ausweg. Gerichte und Aufsichtsbehörden behandeln sie sehr unterschiedlich.

Was eine Cold Email legal macht:

  • Sie haben den Empfänger recherchiert
  • Die Nachricht ist relevant für seine Rolle oder Branche
  • Ihr Name und Unternehmen sind klar sichtbar
  • Es gibt einen funktionierenden Abmeldelink

Was eine Email zu Spam macht:

  • Keine Recherche, keine Personalisierung
  • Falsche oder versteckte Absenderinformationen
  • Irreführende Betreffzeilen
  • Eine Liste, die von einem unbekannten Anbieter gekauft wurde

Die Unterscheidung betrifft nicht das Volumen. Das Versenden von 5.000 recherchierten, personalisierten Emails mit voller Transparenz ist Cold Outreach. Das Versenden von 50 irrelevanten Emails von einer gefälschten Adresse ist Spam.


Cold Email Gesetze nach Ländern: Übersicht 2026

Jedes Land hat seine eigenen Regeln aufgestellt. Eine Email, die von Miami nach Chicago legal ist, kann eine formelle Beschwerde auslösen, wenn der Empfänger in Toronto sitzt.

Vereinigte Staaten: CAN-SPAM-Gesetz

CAN-SPAM funktioniert nach einem Opt-out-Modell. Keine vorherige Zustimmung erforderlich — das ist global ungewöhnlich. Aber die Regeln, die Sie befolgen müssen, sind nicht verhandelbar.

Die 7 CAN-SPAM-Anforderungen:

  1. Ehrliche "Von", "An" und "Antwort-An"-Felder
  2. Betreffzeile, die den Inhalt widerspiegelt — kein Köder und Wechsel
  3. Klare Identifikation als kommerzielle Nachricht
  4. Physische Postadresse enthalten
  5. Opt-out-Mechanismus erklärt
  6. Opt-outs innerhalb von 10 Werktagen bearbeitet
  7. Sie sind für die Einhaltung verantwortlich, auch wenn eine Agentur in Ihrem Namen sendet

Die Strafe für Verstöße: 53.088 $ pro individueller Email (inflationsbereinigter Betrag der FTC von 2025). In schwerwiegenden Fällen können die Gesamtsummen 2.000.000 $ erreichen.

Echter Fall: Im August 2024 verhängte die FTC eine Geldstrafe von 2,95 Millionen $ gegen Verkada — die größte CAN-SPAM-Strafe in der Geschichte. Ihr Vergehen: das Versenden von Marketing-Emails ohne funktionierende Abmeldelinks. Das war's. Kein Phishing, kein Betrug. Nur defekte Abmelde-Buttons. Sie erhielten auch 20 Jahre lang eine obligatorische Aufsicht durch die FTC.

Europäische Union: GDPR

GDPR verbietet Cold Emails nicht. Was es regelt, ist die Verarbeitung persönlicher Daten einer Person ohne rechtlichen Grund. Eine Email-Adresse, die den Namen einer Person enthält — wie [email protected] — gilt unter der Verordnung als persönliche Daten.

Die meisten B2B-Absender verwenden "berechtigtes Interesse" als ihre rechtliche Grundlage. Der Test hat drei Teile:

  1. Haben Sie einen echten geschäftlichen Zweck?
  2. Ist Email ein angemessener Weg, um dies zu erreichen?
  3. Überwiegt das Recht der Person auf Privatsphäre Ihren Grund, sie zu kontaktieren?

Ein Angebot an einen relevanten Entscheidungsträger in einem gut passenden Unternehmen besteht normalerweise. Eine Massenmail an eine gekaufte Liste besteht fast nie.

Wichtige Unterscheidung: Ein Freiberufler, Einzelunternehmer oder unabhängiger Berater wird unter GDPR als Einzelperson eingestuft — nicht als Unternehmen. B2C-Regeln gelten. Viele Agenturen übersehen dies und senden das, was sie für B2B-Outreach halten, an Personen, die rechtlich als Verbraucher gelten.

Echte Geldstrafen:

  • Orange (Frankreich): 50 Millionen € im Dezember 2024 — für das Einfügen von Werbung in transaktionale Emails ohne Zustimmung
  • Carrefour: 3,05 Millionen € — weil sie Abmeldeanfragen nicht bearbeitet haben
  • BBVA (Spanien): 2 Millionen € — für SMS-Marketing ohne Zustimmung

Die GDPR-Behörden hatten bis Januar 2025 insgesamt 5,88 Milliarden € an Geldstrafen verhängt. Rund 35 % stammen aus Verstößen gegen die Zustimmung. Und die CNIL erhöhte die Inspektionen bei KMU um 300 % zwischen 2023 und 2024.

Kanada: CASL

CASL funktioniert nach der gegenteiligen Philosophie von CAN-SPAM. Sie benötigen ausdrückliche oder stillschweigende Zustimmung, bevor Sie etwas senden. Stillschweigende Zustimmung existiert — sie deckt bestehende Geschäftsbeziehungen und öffentlich aufgeführte Email-Adressen ab — aber sie hat Ablaufregeln, von denen die meisten Absender nichts wissen.

Strafen: bis zu 10 Millionen $ pro Verstoß für Unternehmen. Das gilt pro Fall, nicht pro Kampagne.

CASL ist keine weichere Version von CAN-SPAM. Es ist ein völlig anderes Rahmenwerk.

Vereinigtes Königreich: PECR + UK GDPR

Nach dem Brexit behielt das Vereinigte Königreich seine eigene Version der GDPR und fügte PECR hinzu. Für B2B Cold Emails ist das Vereinigte Königreich etwas nachsichtiger als die EU. Unternehmens-Email-Adressen sind im Allgemeinen fair game, wenn Sie eine Abmeldemöglichkeit einfügen.

Der Haken: Einzelunternehmer und kleine Partnerschaften werden als Einzelpersonen eingestuft. B2C-Regeln gelten. Viele in Großbritannien ansässige Freiberufler fallen in diese Kategorie und die Absender realisieren es nicht, bis sich jemand beschwert.

Australien: Spam Act 2003

Ausdrückliche oder stillschweigende Zustimmung ist erforderlich. Geldstrafen können bis zu 1,38 Millionen AUD betragen. "Stillschweigende Zustimmung" umfasst bestehende Geschäftsbeziehungen und öffentlich aufgeführte Kontaktdaten — aber Sie müssen dokumentieren, warum Sie glaubten, dass die Zustimmung stillschweigend war.

Vollständige Vergleichstabelle

Rechtsordnung Gesetz Vorherige Zustimmung erforderlich Maximalstrafe B2B-Ausnahmen
Vereinigte Staaten CAN-SPAM-Gesetz Nein (Opt-out-Modell) 53.088 $/Email Keine — B2B eingeschlossen
Europäische Union GDPR Berechtigtes Interesse ODER Zustimmung 20 Millionen € oder 4 % des Umsatzes Allgemeine Geschäftsmails können ausgenommen sein
Kanada CASL Ja (ausdrücklich oder stillschweigend) 10 Millionen $/Verstoß Begrenzte stillschweigende Zustimmung
Vereinigtes Königreich PECR + UK GDPR Weiche Opt-in für B2B Durchsetzungsmaßnahmen B2B hat mehr Flexibilität
Australien Spam Act 2003 Ja (ausdrücklich oder stillschweigend) 1,38 Millionen AUD Stillschweigende Zustimmung möglich

GDPR Cold Email Compliance: Die B2B-Checkliste für 2026

Gehen Sie dies vor jeder EU-zielgerichteten Kampagne durch:

  • Ihr Grund für das berechtigte Interesse ist dokumentiert — nicht nur in Ihrem Kopf
  • Der Empfänger passt wirklich zu dem, was Sie anbieten
  • Ihre Identität und Unternehmensdetails sind in der Email klar sichtbar
  • Der Abmeldelink funktioniert und ist leicht zu finden
  • Sie können ehrlich und konkret auf "Wie haben Sie meine Email erhalten?" antworten
  • Sie speichern keine Daten, die Sie für die Ansprache nicht benötigen
  • Opt-outs werden sofort bearbeitet
  • Ihre Aufzeichnungen würden standhalten, wenn ein Regulierer Sie morgen überprüfen würde

Der Dokumentationsteil ist wichtiger, als die meisten Absender realisieren. "Berechtigtes Interesse" in Ihrer Datenschutzrichtlinie zu schreiben, reicht nicht aus. Sie benötigen eine echte Bewertung, die Sie vorzeigen können, wenn Sie danach gefragt werden.


2026 Email-Authentifizierung: Die neue Compliance-Ebene

Dieser Abschnitt existierte vor zwei Jahren nicht in Compliance-Leitfäden. Jetzt ist er genauso wichtig wie der rechtliche Rahmen — denn Sie können 100 % rechtlich konform sein und trotzdem jede Email zurückgewiesen werden.

SPF, DKIM, DMARC sind jetzt Pflicht

Im Februar 2024 kündigten Google und Yahoo an, dass jeder, der mehr als 5.000 Emails pro Tag sendet, SPF, DKIM und DMARC ordnungsgemäß konfiguriert haben muss. Sie verlangen auch einen Ein-Klick-Abmeldelink und eine Spam-Beschwerderate von unter 0,3 %.

Microsoft folgte im Mai 2025 — und ging noch weiter. Domains, die Authentifizierungsprüfungen nicht bestehen, werden nicht in den Spam-Ordner verschoben. Sie werden direkt abgelehnt. Fehler 550. Die Verbindung wird geschlossen. Die Email ist weg.

Authentifizierung ist jetzt eine harte Voraussetzung. Ihre Einhaltung von CAN-SPAM kann makellos sein, Ihre GDPR-Dokumentation makellos — das alles zählt nicht, wenn Ihre DNS-Einträge nicht korrekt sind.


Best Practices für rechtlich sichere Cold Email-Kampagnen

1. Empfänger vor dem Senden recherchieren

Können Sie in einem Satz erklären, warum Sie genau diese Person kontaktieren? Wenn nicht, senden Sie nicht. Was machen sie? Was macht ihr Unternehmen? Gibt es ein realistisches Szenario, in dem sie das wollen, was Sie anbieten? Wenn Ihre ehrliche Antwort ist: "Ich habe keine Ahnung, ich habe nur ihre Email" — das ist Spam mit besserer Formatierung.

2. Personalisieren Sie für echte Relevanz

Eine Buchhaltungsfirma mit 4 Personen in Tulsa und ein Fortune 500-Technologieunternehmen in San Jose benötigen nicht dieselbe Email. Sie stehen nicht vor denselben Problemen oder arbeiten nicht im selben Maßstab. Verweisen Sie auf ihre Branche. Erwähnen Sie etwas Spezifisches zu ihrer Situation. Beweisen Sie, dass Sie 30 Sekunden damit verbracht haben, über sie zu lernen.

3. Alle rechtlichen Elemente einfügen

Ihr echter Name. Ihr Unternehmen. Ihre physische Adresse. Eine Betreffzeile, die nicht lügt. Ein Abmeldelink, der funktioniert. Das klingt offensichtlich — aber Verkada hat den Abmeldelink übersehen und es hat sie 2,95 Millionen $ plus 20 Jahre bundesstaatliche Aufsicht gekostet.

4. Abmeldungen sofort bearbeiten

CAN-SPAM sagt 10 Werktage. GDPR sagt jetzt sofort. Der einfachste Ansatz: Bearbeiten Sie jede Abmeldung, sobald sie eingeht, unabhängig davon, wo die Person lebt. Es ist weniger kompliziert, als unterschiedliche Regeln für verschiedene Rechtsordnungen aufrechtzuerhalten.

5. Wissen, woher Ihre Daten kommen

Hier beginnen etwa 80 % der Compliance-Probleme. Nicht der Text. Nicht die Betreffzeile. Die Liste.

Eine CSV, die aus einer Facebook-Anzeige gekauft wurde. Eine Tabelle, die seit 2019 herumgereicht wird. Ein Scraping-Tool, das ohne Zustimmung ausgeführt wird. All dies sind Haftungsrisiken.

Wenn ein Regulierer fragt: "Wie haben Sie die Email-Adresse dieser Person erhalten?" — und 2026 fragen sie mehr als früher — brauchen Sie eine echte Antwort. "Wir haben eine Liste gekauft" ist keine echte Antwort unter GDPR.

Compliance beginnt mit Daten, die Sie tatsächlich auf eine Quelle zurückverfolgen können. IBLead zieht Geschäftskontakte direkt aus öffentlichen Google Maps-Einträgen — jeder Lead hat einen nachweisbaren Ursprung. Sie können für 10.000 Leads Kontakte im Wert von 52 $ exportieren, die jeweils mit einem echten, indizierten Unternehmensprofil verknüpft sind. Jetzt kostenlos starten — 200 credits inklusive


Rechtliche Fehler bei Cold Emails, die Sie Geld kosten werden

Den Kauf von Email-Listen. Unter GDPR erben Sie, wenn Sie eine Liste kaufen, die Haftung dafür, wie jede Adresse darauf gesammelt wurde. Wenn der Anbieter sie illegal erhalten hat, ist das jetzt Ihr rechtliches Problem. Nicht ihres. Ihres.

Falsche Betreffzeilen. "Re: Unser Anruf letzte Woche", wenn kein Anruf stattfand. Die FTC nennt das Täuschung. Es ist ausdrücklich unter CAN-SPAM verboten und verschärft die Strafen für alles andere, was Sie falsch machen.

Keine Bearbeitung von Abmeldungen. Carrefour — ein multinationaler Einzelhändler mit einer großen Rechtsabteilung — zahlte 3,05 Millionen €, weil sie Personen, die auf Abmelden geklickt hatten, nicht entfernt haben. Das kann jeder Organisation ohne automatisierte Systeme passieren.

Fehlende physische Adresse. Kleines Detail, harte Anforderung unter CAN-SPAM. Fügen Sie es einmal in Ihre Email-Signaturvorlage ein und denken Sie nie wieder daran.

Keine Email-Authentifizierung. Seit 2024 lehnen Gmail, Yahoo und Microsoft alle Emails von Domains ohne ordnungsgemäßes SPF, DKIM und DMARC ab oder verschieben sie in den Spam-Ordner. Es ist nicht optional.


FAQ: Fragen zur Cold Email Compliance beantwortet

Ja. CAN-SPAM ist ein Opt-out-System — Sie benötigen keine Erlaubnis, bevor Sie Kontakt aufnehmen. Sie benötigen ehrliche Header, eine physische Adresse und einen funktionierenden Abmeldemechanismus. Verstöße kosten bis zu 53.088 $ pro Email.

Es kann sein. Die meisten B2B-Absender verwenden "berechtigtes Interesse" als ihre rechtliche Grundlage — einen dokumentierten geschäftlichen Grund für die Ansprache, bei dem die Datenschutzrechte des Empfängers nicht überwiegen. B2C Cold Emails erfordern fast immer eine ausdrückliche Zustimmung.

Benötige ich die Erlaubnis, um B2B-Kontakte kalt zu emailen?

In den USA, nein — CAN-SPAM verlangt das nicht. In Europa benötigen Sie entweder ausdrückliche Zustimmung oder eine dokumentierte Rechtfertigung für das berechtigte Interesse. In Kanada benötigen Sie ausdrückliche oder stillschweigende Zustimmung, Punkt.

Kann ich Email-Listen für Cold Outreach kaufen?

Nichts hindert Sie rechtlich daran. Aber Sie erben unbekannte GDPR-Haftung dafür, wie diese Adressen gesammelt wurden. Die Engagement-Raten werden schlecht sein. Die Bounce-Raten werden hoch sein, was Ihren Absender-Ruf schädigt. Eine ordnungsgemäß erstellte Liste übertrifft eine gekaufte Liste jedes Mal.

Was passiert, wenn ich gegen CAN-SPAM verstoße?

Geldstrafen bis zu 53.088 $ pro Email, wobei schwerwiegende Fälle bis zu 2.000.000 $ insgesamt erreichen können. Verkada erhielt eine Geldstrafe von 2,95 Millionen $ plus 20 Jahre FTC-Compliance-Überwachung — wegen fehlender Abmeldelinks.

Gilt GDPR für Cold Emails?

Wenn der Empfänger in der EU ist und die Email-Adresse ihn persönlich identifiziert — wie [email protected] — dann ja, gilt GDPR. Generische Postfächer wie [email protected] fallen wahrscheinlich nicht in seinen Geltungsbereich. Jede Adresse mit einem Namen ist GDPR-Gebiet.

Es gibt kein Gesetz, das eine Zahl angibt. Aber nach 3 oder 4 Follow-ups steigen die Spam-Beschwerderaten merklich. Jedes Follow-up benötigt weiterhin eine Abmeldemöglichkeit. Und wenn sich jemand bereits abgemeldet hat — sind Sie fertig. Nicht "noch ein Versuch." Fertig.


Erstellen Sie Ihre Liste mit Daten, die Sie zurückverfolgen können

Cold Email Compliance ist nicht kompliziert, wenn Sie den Rahmen verstehen. Die USA bieten Ihnen die größte Flexibilität. Kanada bietet Ihnen die geringste. Europa liegt in der Mitte, mit einem berechtigten Interesse, das für echtes B2B-Outreach funktioniert.

Der Teil, der die meisten Absender stolpern lässt, ist nicht der Text oder die Betreffzeile. Es sind die Daten. Woher stammen diese Email-Adressen? Können Sie es beweisen? Können Sie es einem Regulierer beweisen?

IBLead indiziert über 50 Millionen Unternehmen in 37 Ländern, alle aus öffentlichen Google Maps-Einträgen bezogen. Jeder Kontakt hat einen klaren, zurückverfolgbaren Ursprung. Sie filtern nach Stadt, Kategorie, Google-Bewertung oder Technologie-Stack — und exportieren dann sofort. Kein Warten, kein Scraping in Echtzeit. Die Daten sind bereits vorhanden, wöchentlich aktualisiert.

Erhalten Sie 200 credits kostenlos und sehen Sie, wie Ihre nächste Kampagnenliste aussieht, wenn Sie genau wissen, woher jeder Kontakt stammt.

Jetzt kostenlos starten — 200 credits inklusive

Bereit loszulegen?

Zugriff auf jedes Google Maps Unternehmen, angereichert mit E-Mails und rechtlichen Daten.

IBLead kostenlos testen