Cold Email Compliance: Was B2B-Absender 2026 wissen müssen
Cold Emails sind nicht illegal — aber die Compliance für Cold Emails ist komplexer, als die meisten Absender realisieren. Die Kluft zwischen "technisch legal" und "tatsächlich sicher" hat sich 2025 und 2026 erheblich vergrößert. Wenn Sie es falsch machen, drohen Geldstrafen von bis zu 53.088 $ pro Email in den USA oder 20 Millionen € unter GDPR.
Dieser Leitfaden behandelt die relevanten Gesetze — USA, EU, Kanada, UK, Australien — mit echten Geldstrafen, die Unternehmen tatsächlich gezahlt haben, und einer Checkliste, die Sie vor Ihrer nächsten Kampagne verwenden können.
Ist Cold Emailing tatsächlich illegal?
Cold Emailing ist in den meisten Ländern legal. Aber "legal" hängt von drei Dingen ab: wo der Empfänger geografisch sitzt, ob er ein Unternehmen oder eine Privatperson ist und woher seine Email-Adresse stammt.
Hier ist ein konkretes Beispiel. Sie senden eine Email an einen VP of Operations in einem Logistikunternehmen in Houston. CAN-SPAM regelt diese Interaktion — keine vorherige Zustimmung erforderlich. Jetzt senden Sie dieselbe Email an einen freiberuflichen Berater für Lieferketten in Frankfurt. GDPR tritt in Kraft. Freiberufler werden nach EU-Recht als Privatpersonen eingestuft. Dieselbe Email, völlig unterschiedliche rechtliche Risiken.
Das anwendbare Recht wird nicht durch den Absenderstandort bestimmt. Es wird durch den Standort des Empfängers bestimmt.
Cold Email vs Spam: Der rechtliche Unterschied
Diese beiden Begriffe werden oft synonym verwendet. Das sollten sie nicht.
Eine Cold Email wird an eine bestimmte Person gesendet, über etwas, das für sie relevant ist, von einem identifizierbaren Absender, der eine echte Abmeldemöglichkeit bietet. Spam ist massenhaft, allgemein, anonym, ohne Ausweg. Gerichte und Aufsichtsbehörden behandeln sie sehr unterschiedlich.
Was eine Cold Email legal macht:
- Sie haben den Empfänger recherchiert
- Die Nachricht ist relevant für seine Rolle oder Branche
- Ihr Name und Unternehmen sind klar sichtbar
- Es gibt einen funktionierenden Abmeldelink
Was eine Email zu Spam macht:
- Keine Recherche, keine Personalisierung
- Falsche oder versteckte Absenderinformationen
- Irreführende Betreffzeilen
- Eine Liste, die von einem unbekannten Anbieter gekauft wurde
Die Unterscheidung betrifft nicht das Volumen. Das Versenden von 5.000 recherchierten, personalisierten Emails mit voller Transparenz ist Cold Outreach. Das Versenden von 50 irrelevanten Emails von einer gefälschten Adresse ist Spam.
Cold Email Gesetze nach Ländern: Übersicht 2026
Jedes Land hat seine eigenen Regeln aufgestellt. Eine Email, die von Miami nach Chicago legal ist, kann eine formelle Beschwerde auslösen, wenn der Empfänger in Toronto sitzt.
Vereinigte Staaten: CAN-SPAM-Gesetz
CAN-SPAM funktioniert nach einem Opt-out-Modell. Keine vorherige Zustimmung erforderlich — das ist global ungewöhnlich. Aber die Regeln, die Sie befolgen müssen, sind nicht verhandelbar.
Die 7 CAN-SPAM-Anforderungen:
- Ehrliche "Von", "An" und "Antwort-An"-Felder
- Betreffzeile, die den Inhalt widerspiegelt — kein Köder und Wechsel
- Klare Identifikation als kommerzielle Nachricht
- Physische Postadresse enthalten
- Opt-out-Mechanismus erklärt
- Opt-outs innerhalb von 10 Werktagen bearbeitet
- Sie sind für die Einhaltung verantwortlich, auch wenn eine Agentur in Ihrem Namen sendet
Die Strafe für Verstöße: 53.088 $ pro individueller Email (inflationsbereinigter Betrag der FTC von 2025). In schwerwiegenden Fällen können die Gesamtsummen 2.000.000 $ erreichen.
Echter Fall: Im August 2024 verhängte die FTC eine Geldstrafe von 2,95 Millionen $ gegen Verkada — die größte CAN-SPAM-Strafe in der Geschichte. Ihr Vergehen: das Versenden von Marketing-Emails ohne funktionierende Abmeldelinks. Das war's. Kein Phishing, kein Betrug. Nur defekte Abmelde-Buttons. Sie erhielten auch 20 Jahre lang eine obligatorische Aufsicht durch die FTC.
Europäische Union: GDPR
GDPR verbietet Cold Emails nicht. Was es regelt, ist die Verarbeitung persönlicher Daten einer Person ohne rechtlichen Grund. Eine Email-Adresse, die den Namen einer Person enthält — wie [email protected] — gilt unter der Verordnung als persönliche Daten.
Die meisten B2B-Absender verwenden "berechtigtes Interesse" als ihre rechtliche Grundlage. Der Test hat drei Teile:
- Haben Sie einen echten geschäftlichen Zweck?
- Ist Email ein angemessener Weg, um dies zu erreichen?
- Überwiegt das Recht der Person auf Privatsphäre Ihren Grund, sie zu kontaktieren?
Ein Angebot an einen relevanten Entscheidungsträger in einem gut passenden Unternehmen besteht normalerweise. Eine Massenmail an eine gekaufte Liste besteht fast nie.
Wichtige Unterscheidung: Ein Freiberufler, Einzelunternehmer oder unabhängiger Berater wird unter GDPR als Einzelperson eingestuft — nicht als Unternehmen. B2C-Regeln gelten. Viele Agenturen übersehen dies und senden das, was sie für B2B-Outreach halten, an Personen, die rechtlich als Verbraucher gelten.
Echte Geldstrafen:
- Orange (Frankreich): 50 Millionen € im Dezember 2024 — für das Einfügen von Werbung in transaktionale Emails ohne Zustimmung
- Carrefour: 3,05 Millionen € — weil sie Abmeldeanfragen nicht bearbeitet haben
- BBVA (Spanien): 2 Millionen € — für SMS-Marketing ohne Zustimmung
Die GDPR-Behörden hatten bis Januar 2025 insgesamt 5,88 Milliarden € an Geldstrafen verhängt. Rund 35 % stammen aus Verstößen gegen die Zustimmung. Und die CNIL erhöhte die Inspektionen bei KMU um 300 % zwischen 2023 und 2024.
Kanada: CASL
CASL funktioniert nach der gegenteiligen Philosophie von CAN-SPAM. Sie benötigen ausdrückliche oder stillschweigende Zustimmung, bevor Sie etwas senden. Stillschweigende Zustimmung existiert — sie deckt bestehende Geschäftsbeziehungen und öffentlich aufgeführte Email-Adressen ab — aber sie hat Ablaufregeln, von denen die meisten Absender nichts wissen.
Strafen: bis zu 10 Millionen $ pro Verstoß für Unternehmen. Das gilt pro Fall, nicht pro Kampagne.
CASL ist keine weichere Version von CAN-SPAM. Es ist ein völlig anderes Rahmenwerk.
Vereinigtes Königreich: PECR + UK GDPR
Nach dem Brexit behielt das Vereinigte Königreich seine eigene Version der GDPR und fügte PECR hinzu. Für B2B Cold Emails ist das Vereinigte Königreich etwas nachsichtiger als die EU. Unternehmens-Email-Adressen sind im Allgemeinen fair game, wenn Sie eine Abmeldemöglichkeit einfügen.
Der Haken: Einzelunternehmer und kleine Partnerschaften werden als Einzelpersonen eingestuft. B2C-Regeln gelten. Viele in Großbritannien ansässige Freiberufler fallen in diese Kategorie und die Absender realisieren es nicht, bis sich jemand beschwert.
Australien: Spam Act 2003
Ausdrückliche oder stillschweigende Zustimmung ist erforderlich. Geldstrafen können bis zu 1,38 Millionen AUD betragen. "Stillschweigende Zustimmung" umfasst bestehende Geschäftsbeziehungen und öffentlich aufgeführte Kontaktdaten — aber Sie müssen dokumentieren, warum Sie glaubten, dass die Zustimmung stillschweigend war.
Vollständige Vergleichstabelle
| Rechtsordnung | Gesetz | Vorherige Zustimmung erforderlich | Maximalstrafe | B2B-Ausnahmen |
|---|---|---|---|---|
| Vereinigte Staaten | CAN-SPAM-Gesetz | Nein (Opt-out-Modell) | 53.088 $/Email | Keine — B2B eingeschlossen |
| Europäische Union | GDPR | Berechtigtes Interesse ODER Zustimmung | 20 Millionen € oder 4 % des Umsatzes | Allgemeine Geschäftsmails können ausgenommen sein |
| Kanada | CASL | Ja (ausdrücklich oder stillschweigend) | 10 Millionen $/Verstoß | Begrenzte stillschweigende Zustimmung |
| Vereinigtes Königreich | PECR + UK GDPR | Weiche Opt-in für B2B | Durchsetzungsmaßnahmen | B2B hat mehr Flexibilität |
| Australien | Spam Act 2003 | Ja (ausdrücklich oder stillschweigend) | 1,38 Millionen AUD | Stillschweigende Zustimmung möglich |
GDPR Cold Email Compliance: Die B2B-Checkliste für 2026
Gehen Sie dies vor jeder EU-zielgerichteten Kampagne durch:
- Ihr Grund für das berechtigte Interesse ist dokumentiert — nicht nur in Ihrem Kopf
- Der Empfänger passt wirklich zu dem, was Sie anbieten
- Ihre Identität und Unternehmensdetails sind in der Email klar sichtbar
- Der Abmeldelink funktioniert und ist leicht zu finden
- Sie können ehrlich und konkret auf "Wie haben Sie meine Email erhalten?" antworten
- Sie speichern keine Daten, die Sie für die Ansprache nicht benötigen
- Opt-outs werden sofort bearbeitet
- Ihre Aufzeichnungen würden standhalten, wenn ein Regulierer Sie morgen überprüfen würde
Der Dokumentationsteil ist wichtiger, als die meisten Absender realisieren. "Berechtigtes Interesse" in Ihrer Datenschutzrichtlinie zu schreiben, reicht nicht aus. Sie benötigen eine echte Bewertung, die Sie vorzeigen können, wenn Sie danach gefragt werden.
2026 Email-Authentifizierung: Die neue Compliance-Ebene
Dieser Abschnitt existierte vor zwei Jahren nicht in Compliance-Leitfäden. Jetzt ist er genauso wichtig wie der rechtliche Rahmen — denn Sie können 100 % rechtlich konform sein und trotzdem jede Email zurückgewiesen werden.
SPF, DKIM, DMARC sind jetzt Pflicht
Im Februar 2024 kündigten Google und Yahoo an, dass jeder, der mehr als 5.000 Emails pro Tag sendet, SPF, DKIM und DMARC ordnungsgemäß konfiguriert haben muss. Sie verlangen auch einen Ein-Klick-Abmeldelink und eine Spam-Beschwerderate von unter 0,3 %.
Microsoft folgte im Mai 2025 — und ging noch weiter. Domains, die Authentifizierungsprüfungen nicht bestehen, werden nicht in den Spam-Ordner verschoben. Sie werden direkt abgelehnt. Fehler 550. Die Verbindung wird geschlossen. Die Email ist weg.
Authentifizierung ist jetzt eine harte Voraussetzung. Ihre Einhaltung von CAN-SPAM kann makellos sein, Ihre GDPR-Dokumentation makellos — das alles zählt nicht, wenn Ihre DNS-Einträge nicht korrekt sind.
Best Practices für rechtlich sichere Cold Email-Kampagnen
1. Empfänger vor dem Senden recherchieren
Können Sie in einem Satz erklären, warum Sie genau diese Person kontaktieren? Wenn nicht, senden Sie nicht. Was machen sie? Was macht ihr Unternehmen? Gibt es ein realistisches Szenario, in dem sie das wollen, was Sie anbieten? Wenn Ihre ehrliche Antwort ist: "Ich habe keine Ahnung, ich habe nur ihre Email" — das ist Spam mit besserer Formatierung.
2. Personalisieren Sie für echte Relevanz
Eine Buchhaltungsfirma mit 4 Personen in Tulsa und ein Fortune 500-Technologieunternehmen in San Jose benötigen nicht dieselbe Email. Sie stehen nicht vor denselben Problemen oder arbeiten nicht im selben Maßstab. Verweisen Sie auf ihre Branche. Erwähnen Sie etwas Spezifisches zu ihrer Situation. Beweisen Sie, dass Sie 30 Sekunden damit verbracht haben, über sie zu lernen.
3. Alle rechtlichen Elemente einfügen
Ihr echter Name. Ihr Unternehmen. Ihre physische Adresse. Eine Betreffzeile, die nicht lügt. Ein Abmeldelink, der funktioniert. Das klingt offensichtlich — aber Verkada hat den Abmeldelink übersehen und es hat sie 2,95 Millionen $ plus 20 Jahre bundesstaatliche Aufsicht gekostet.
4. Abmeldungen sofort bearbeiten
CAN-SPAM sagt 10 Werktage. GDPR sagt jetzt sofort. Der einfachste Ansatz: Bearbeiten Sie jede Abmeldung, sobald sie eingeht, unabhängig davon, wo die Person lebt. Es ist weniger kompliziert, als unterschiedliche Regeln für verschiedene Rechtsordnungen aufrechtzuerhalten.
5. Wissen, woher Ihre Daten kommen
Hier beginnen etwa 80 % der Compliance-Probleme. Nicht der Text. Nicht die Betreffzeile. Die Liste.
Eine CSV, die aus einer Facebook-Anzeige gekauft wurde. Eine Tabelle, die seit 2019 herumgereicht wird. Ein Scraping-Tool, das ohne Zustimmung ausgeführt wird. All dies sind Haftungsrisiken.
Wenn ein Regulierer fragt: "Wie haben Sie die Email-Adresse dieser Person erhalten?" — und 2026 fragen sie mehr als früher — brauchen Sie eine echte Antwort. "Wir haben eine Liste gekauft" ist keine echte Antwort unter GDPR.
Compliance beginnt mit Daten, die Sie tatsächlich auf eine Quelle zurückverfolgen können. IBLead zieht Geschäftskontakte direkt aus öffentlichen Google Maps-Einträgen — jeder Lead hat einen nachweisbaren Ursprung. Sie können für 10.000 Leads Kontakte im Wert von 52 $ exportieren, die jeweils mit einem echten, indizierten Unternehmensprofil verknüpft sind. Jetzt kostenlos starten — 200 credits inklusive
Rechtliche Fehler bei Cold Emails, die Sie Geld kosten werden
Den Kauf von Email-Listen. Unter GDPR erben Sie, wenn Sie eine Liste kaufen, die Haftung dafür, wie jede Adresse darauf gesammelt wurde. Wenn der Anbieter sie illegal erhalten hat, ist das jetzt Ihr rechtliches Problem. Nicht ihres. Ihres.
Falsche Betreffzeilen. "Re: Unser Anruf letzte Woche", wenn kein Anruf stattfand. Die FTC nennt das Täuschung. Es ist ausdrücklich unter CAN-SPAM verboten und verschärft die Strafen für alles andere, was Sie falsch machen.
Keine Bearbeitung von Abmeldungen. Carrefour — ein multinationaler Einzelhändler mit einer großen Rechtsabteilung — zahlte 3,05 Millionen €, weil sie Personen, die auf Abmelden geklickt hatten, nicht entfernt haben. Das kann jeder Organisation ohne automatisierte Systeme passieren.
Fehlende physische Adresse. Kleines Detail, harte Anforderung unter CAN-SPAM. Fügen Sie es einmal in Ihre Email-Signaturvorlage ein und denken Sie nie wieder daran.
Keine Email-Authentifizierung. Seit 2024 lehnen Gmail, Yahoo und Microsoft alle Emails von Domains ohne ordnungsgemäßes SPF, DKIM und DMARC ab oder verschieben sie in den Spam-Ordner. Es ist nicht optional.
FAQ: Fragen zur Cold Email Compliance beantwortet
Ist Cold Emailing in den USA legal?
Ja. CAN-SPAM ist ein Opt-out-System — Sie benötigen keine Erlaubnis, bevor Sie Kontakt aufnehmen. Sie benötigen ehrliche Header, eine physische Adresse und einen funktionierenden Abmeldemechanismus. Verstöße kosten bis zu 53.088 $ pro Email.
Ist Cold Emailing in der EU unter GDPR legal?
Es kann sein. Die meisten B2B-Absender verwenden "berechtigtes Interesse" als ihre rechtliche Grundlage — einen dokumentierten geschäftlichen Grund für die Ansprache, bei dem die Datenschutzrechte des Empfängers nicht überwiegen. B2C Cold Emails erfordern fast immer eine ausdrückliche Zustimmung.
Benötige ich die Erlaubnis, um B2B-Kontakte kalt zu emailen?
In den USA, nein — CAN-SPAM verlangt das nicht. In Europa benötigen Sie entweder ausdrückliche Zustimmung oder eine dokumentierte Rechtfertigung für das berechtigte Interesse. In Kanada benötigen Sie ausdrückliche oder stillschweigende Zustimmung, Punkt.
Kann ich Email-Listen für Cold Outreach kaufen?
Nichts hindert Sie rechtlich daran. Aber Sie erben unbekannte GDPR-Haftung dafür, wie diese Adressen gesammelt wurden. Die Engagement-Raten werden schlecht sein. Die Bounce-Raten werden hoch sein, was Ihren Absender-Ruf schädigt. Eine ordnungsgemäß erstellte Liste übertrifft eine gekaufte Liste jedes Mal.
Was passiert, wenn ich gegen CAN-SPAM verstoße?
Geldstrafen bis zu 53.088 $ pro Email, wobei schwerwiegende Fälle bis zu 2.000.000 $ insgesamt erreichen können. Verkada erhielt eine Geldstrafe von 2,95 Millionen $ plus 20 Jahre FTC-Compliance-Überwachung — wegen fehlender Abmeldelinks.
Gilt GDPR für Cold Emails?
Wenn der Empfänger in der EU ist und die Email-Adresse ihn persönlich identifiziert — wie [email protected] — dann ja, gilt GDPR. Generische Postfächer wie [email protected] fallen wahrscheinlich nicht in seinen Geltungsbereich. Jede Adresse mit einem Namen ist GDPR-Gebiet.
Wie viele Follow-up-Emails kann ich legal senden?
Es gibt kein Gesetz, das eine Zahl angibt. Aber nach 3 oder 4 Follow-ups steigen die Spam-Beschwerderaten merklich. Jedes Follow-up benötigt weiterhin eine Abmeldemöglichkeit. Und wenn sich jemand bereits abgemeldet hat — sind Sie fertig. Nicht "noch ein Versuch." Fertig.
Erstellen Sie Ihre Liste mit Daten, die Sie zurückverfolgen können
Cold Email Compliance ist nicht kompliziert, wenn Sie den Rahmen verstehen. Die USA bieten Ihnen die größte Flexibilität. Kanada bietet Ihnen die geringste. Europa liegt in der Mitte, mit einem berechtigten Interesse, das für echtes B2B-Outreach funktioniert.
Der Teil, der die meisten Absender stolpern lässt, ist nicht der Text oder die Betreffzeile. Es sind die Daten. Woher stammen diese Email-Adressen? Können Sie es beweisen? Können Sie es einem Regulierer beweisen?
IBLead indiziert über 50 Millionen Unternehmen in 37 Ländern, alle aus öffentlichen Google Maps-Einträgen bezogen. Jeder Kontakt hat einen klaren, zurückverfolgbaren Ursprung. Sie filtern nach Stadt, Kategorie, Google-Bewertung oder Technologie-Stack — und exportieren dann sofort. Kein Warten, kein Scraping in Echtzeit. Die Daten sind bereits vorhanden, wöchentlich aktualisiert.
Erhalten Sie 200 credits kostenlos und sehen Sie, wie Ihre nächste Kampagnenliste aussieht, wenn Sie genau wissen, woher jeder Kontakt stammt.
Bereit loszulegen?
Zugriff auf jedes Google Maps Unternehmen, angereichert mit E-Mails und rechtlichen Daten.
IBLead kostenlos testenVerwandte Artikel
10 Bewährte Tipps, um Kunden zu mehr Google-Bewertungen auf Maps zu bewegen
Erfahren Sie 10 umsetzbare Strategien zur Steigerung von Google Maps-Bewertungen. Timing, Anreize, QR-Codes und Antworttaktiken, die wirklich funktionieren.
7 Kaltakquise-E-Mail-Fehler, die du vermeiden solltest: Beispiele & Vorlagen
Vermeide diese 7 Kaltakquise-E-Mail-Fehler, die die Antwortrate töten. Echte Beispiele, AIDA-Vorlagen und bewährte Lösungen für bessere Ansprache.
ABM Google Maps Daten: Der umfassende strategische Leitfaden
Erfahren Sie, wie ABC Account-Based Marketing Google Maps Daten 208% mehr Umsatz generiert.