Checkliste zur Cold-Email-Compliance für B2B: CAN-SPAM, DSGVO, PECR

Was Compliance bei Cold-B2B-Email bedeutet

Compliance bei Cold-B2B-Emails ist kein einmaliges juristisches Häkchen. Es ist die tägliche Gewohnheit, Nachrichten zu verschicken, die ehrlich, respektvoll und leicht zu stoppen sind. Ein Empfänger sollte sofort erkennen können, wer du bist, warum du dich meldest und wie er sich abmelden kann, ohne lange suchen zu müssen.

Die meisten Spam-Beschwerden entstehen nicht, weil ein Unternehmen bewusst Regeln brechen wollte. Sie entstehen, wenn sich kleine Lücken summieren: ein verwirrender Absendername, eine unbeaufsichtigte „Antwort zum Abmelden“, wieder importierte abgemeldete Kontakte oder Botschaften, die irrelevant oder irreführend wirken.

Eine nützliche Checkliste konzentriert sich auf Ergebnisse:

• Klare Identität (keine vagen Marken oder irreführenden Header)
• Schnelle, zuverlässige Opt-out-Verarbeitung (über alle Listen und Postfächer hinweg)
• Ehrliches Targeting (du kontaktierst Personen, denen es vernünftig nutzen kann)

Das hier ist praktische Anleitung, keine Rechtsberatung. Wenn du in vielen Ländern tätig bist, in regulierten Branchen arbeitest oder sensible Daten verarbeitest, hol rechtlichen Rat ein.

Welche Regeln greifen: CAN-SPAM vs DSGVO vs PECR

Beginne mit drei Fragen: Wo bist du, wo ist der Empfänger und ist die Nachricht B2B oder B2C? In vielen Fällen bestimmt der Aufenthaltsort des Empfängers, was du tun musst.

Für die meisten Teams fällt Outreach in diese Bereiche:

• US-Empfänger: CAN-SPAM ist die Basis. Es geht um klare Identifikation, ehrliche Betreffzeilen, eine gültige Postanschrift und ein funktionierendes Opt-out.
• EU/EEA-Empfänger: Die DSGVO greift, weil du personenbezogene Daten verarbeitest. Eine Arbeits‑Email kann weiterhin personenbezogen sein.
• UK-Empfänger: Die UK-DSGVO gilt für Daten und PECR ergänzt zusätzliche Regeln für elektronische Werbung. PECR ist häufig die strengere Ebene.

B2B vs B2C: die Abkürzung (und ihre Grenzen)

B2B ist kein Freibrief. Manche Regeln behandeln Firmenadressen anders als Verbraucheradressen, aber du brauchst immer einen klaren Zweck und ein einfaches Opt-out.

Als Faustregel:

• B2B: Du kannst oft auf berechtigtes Interesse nach DSGVO bauen, aber nur, wenn die Email für die Rolle der Person relevant ist.
• B2C und Einzelunternehmer: Zustimmung wird strenger erwartet, und PECR kann besonders restriktiv sein.

Wenn du nicht sicher bist, ob ein Kontakt geschäftlich oder privat ist (z. B. ein Kleinunternehmer mit persönlicher Adresse), behandle ihn als höheres Risiko.

Wann du Beratung brauchst

Hol dir rechtliche Hilfe, bevor du skalierst, wenn eines dieser Dinge zutrifft: du schreibst in viele Länder, zielst auf sensible Branchen (Gesundheit, Finanzen, Kinderbetreuung), deine Rechtsgrundlage ist unklar oder du willst gekaufte Listen oder gescrapte Daten verwenden, die du nicht rechtfertigen kannst.

Identifikationsgrundlagen: wer du bist und warum du emailst

Empfänger beschweren sich, wenn Cold-Email heimlich wirkt. Die meisten Compliance-Probleme beginnen genau hier. Deine Aufgabe ist es, klar zu machen, wer du bist, wie man dich erreicht und warum du sie ausgesucht hast.

Verwende einen echten Absendernamen, der zu einer realen Person oder einem Team passt. Halte das Reply-to-Postfach funktionsfähig und überwacht. Wenn jemand mit „falsche Adresse“ oder „bitte entfernen“ antwortet, behandle das als Teil deines Opt-out-Signals.

Dein „From“-Feld und die Betreffzeile sollten zum Inhalt passen. Vermeide Tricks wie „Re:“ oder „Fwd:“, wenn kein vorheriger Thread existiert, oder Betreffzeilen, die eine Beziehung suggerieren, die du nicht hast. Selbst wenn das nicht überall eindeutig illegal ist, sorgt es für Spam-Beschwerden und verschlechtert die Zustellbarkeit.

Füge eine gültige physische Postanschrift in die Fußzeile ein. Für Firmen nutze dein Büro oder die eingetragene Adresse. Für kleine Teams verwende eine registrierte Geschäftsadresse, die du verantworten kannst.

Eine einfache Identitätsprüfung sieht so aus:

• Absendername stimmt mit einer realen Person oder einem Team in deinem Unternehmen überein
• Reply-to-Postfach funktioniert und wird täglich geprüft
• Betreffzeile spiegelt wider, worum es in der Email geht
• Fußzeile enthält deinen Firmennamen und eine gültige Postanschrift
• Ein klarer Satz erklärt, warum du sie kontaktierst

Der letzte Punkt ist am wichtigsten. Beispiel: „Ich melde mich, weil Sie das Marketing bei einem UK-SaaS-Unternehmen leiten und wir Teams helfen, manuelle Lead-Routing-Aufgaben zu reduzieren.“ Das ist spezifisch und macht die Logik deiner Zielgruppe leicht nachvollziehbar.

DSGVO-Rechtsgrundlage und Targeting für B2B-Outreach

Die DSGVO verbietet Cold-B2B-Email nicht, verlangt aber einen klaren Grund für die Nutzung personenbezogener Daten. Formuliere deinen Zweck in einfachen Worten: was du anbietest, wem es hilft und warum die Person, die du ausgewählt hast, ein sinnvoller Match ist.

Für viele B2B-Kampagnen ist die Rechtsgrundlage berechtigtes Interesse (nicht Zustimmung). Zustimmung ist schwer nachzuweisen und schnell falsch angewendet, wenn du nicht zeigen kannst, wann und wie sie erteilt wurde.

Eine einfache Legitimate Interest Assessment (LIA) hält dich ehrlich und auditierbar:

• Notwendigkeit: Ist Email notwendig, oder könntest du das Ziel ohne personenbezogene Daten erreichen?
• Abwägung: Würde der Empfänger diese Nachricht in seiner Rolle vernünftigerweise erwarten?
• Schutzmaßnahmen: Was mindert die Auswirkung (klare Identität, einfaches Opt-out, kurze Aufbewahrung)?

Targeting ist genauso wichtig wie Formulierungen. Ein guter Test lautet: „Wenn diese Person meine Email an ihr Datenschutzteam weitergeben würde, könnte ich die Relevanz in einem Satz erklären?“ Einen Operations Director zu einem Tool anzuschreiben, das manuelle Reports reduziert, ist leichter zu rechtfertigen als alle Mitarbeitenden eines Unternehmens anzuschreiben.

Begrenze die Datennutzung: Sammle nur, was du brauchst (Name, Rolle, Unternehmen, Arbeits-Email). Vermeide sensible Daten, vermeide „gruselige“ Anreicherungen und lösche Leads, die nicht passen.

Wenn du willst, dass das später standhält, dokumentiere das LIA-Ergebnis und die Targeting‑Logik pro Kampagne. Es kann eine kurze Notiz sein, aber sie sollte existieren.

Prospect-Daten: Beschaffung, Relevanz und sichere Grenzen

Compliance beginnt mit den Daten, die du nutzt. Wenn du nicht erklären kannst, wo eine Email-Adresse herkommt und warum diese Person passt, gehst du bereits vermeidbare Risiken ein.

Notiere die Quelle jeder Kontaktliste und bewahre sie bei den Kampagnen-Notizen auf. Wenn du aus einem Anbieter exportiert hast, vermerke den Anbieternamen, die verwendeten Filter (Branche, Standort, Jobtitel) und das Exportdatum. Wenn du es selbst gesammelt hast (Events, eingehende Formulare, Empfehlungen), notiere wann und wie.

Mach vor dem Versand eine schnelle Qualitätsprüfung. Das reduziert Beschwerden und Bounces und gibt dir Antworten, falls später Fragen kommen.

Prüfe, ob die Rolle relevant ist (Titel, Abteilung, Seniorität), das Unternehmen zu deinem Ziel passt (Größe, Branche, Region) und die Daten aktuell genug sind. Jobwechsel und verwaiste Postfächer sorgen für Bounces.

Geschäftliche Emails ([email protected]) sind in der Regel die sicherere Default‑Wahl für B2B-Outreach. Persönlich anmutende Adressen, die beruflich genutzt werden, können sensibler sein und höhere Beschwerderaten haben, behandle sie also vorsichtig. Wenn du eine persönliche Adresse kontaktierst, solltest du erklären können, warum das notwendig und relevant war, und bereit sein, sofort zu stoppen, wenn darum gebeten wird.

Vermeide Sonderfälle, die eine normale Kampagne in ein Compliance-Problem verwandeln. Ziel oder schließe sensiblen Informationen aus (Gesundheit, Politik, Religion, Gewerkschaftszugehörigkeit o. Ä.). Vermeide auch Adressen, bei denen die Zuständigkeit unklar ist, wie geteilte Postfächer, die die falsche Person erreichen könnten.

Opt-out-Verarbeitung und Unsubscribe-Workflow

Ein verlässlicher Opt-out-Prozess schützt dich am schnellsten. Wenn jemand „stop“ sagt, ist die einzige sichere Reaktion zu stoppen — überall, wo du ihn anschreiben könntest.

Unter CAN-SPAM müssen Opt-outs klar und einfach nutzbar sein. Der Mechanismus muss funktionieren, du darfst Leute nicht durch Hürden zwingen, und du musst die Anfrage innerhalb von 10 Geschäftstagen erfüllen. Keine Gebühren, keine zusätzlichen persönlichen Daten über das zur Identifikation Nötige verlangen und die Email-Adresse nach dem Opt-out nicht verkaufen oder weitergeben.

Unter der DSGVO (und oft PECR im UK) ist es in der Praxis strenger: wenn jemand der Direktwerbung widerspricht, musst du das Marketing einstellen. Behandle Widersprüche als sofortige Opt-outs und halte eine Suppressions-Historie, damit sie später nicht wieder hinzugefügt werden.

Ein Unsubscribe-Workflow, der hält

Nutze eine gemeinsame Suppression-Liste über Team und Tools hinweg. Wenn Marketing, Sales und SDRs jeweils eigene „Do not email“-Listen pflegen, wirst du Leute übersehen.

Halte es konsistent:

• Erfasse Opt-outs aus allen Quellen: Link‑Klicks, Formulare und Antwort‑Emails.
• Wende Unterdrückung auf Kontakt‑Ebene an und auf Domain‑Ebene, wenn gewünscht (z. B. „nicht an irgendjemanden bei unserer Firma mailen“).
• Synchronisiere Suppression mit allen sendenden Postfächern und Sequenzen vor dem nächsten Versand.
• Sende nur dann eine kurze Bestätigung, wenn sie erforderlich oder klar erwartet ist, und dann stop.
• Logge, wer sich abgemeldet hat, wann und wie (z. B. „Antwort: bitte stoppen“).

Schwierige Antworten handhaben (Stopp, Abwesenheit, Policy-Anfragen)

Eine Antwort mit „stop“, „unsubscribe“, „remove me“ oder „do not contact“ ist ein Opt-out, auch wenn die Person keinen Link geklickt hat.

Out-of-Office ist keine Zustimmung und kein Opt-out. Pausiere und versuche es später wieder, aber behandle es nicht als Engagement.

Wenn ein Prospect antwortet „Bitte entfernen Sie mich und kontaktieren Sie niemanden bei unserer Domain“, behandel das als Domain‑Unterdrückungsanfrage und stelle sicher, dass dein System zukünftige Sends an diese Domain verhindert.

Aufbewahrung von Nachweisen, die einer Prüfung standhalten

Wenn sich jemand beschwert, fragen Regulierer und Mailbox-Anbieter oft dasselbe: Warum habt ihr diese Person kontaktiert, was habt ihr gesendet und wie habt ihr ihre Entscheidungen respektiert? Klare Aufzeichnungen verwandeln eine stressige Situation in eine ruhige, schnelle Antwort.

Du brauchst keinen juristischen Aktenschrank. Du brauchst Notizen, die ein Kollege Monate später verstehen kann.

Bewahre diese Aufzeichnungen auf:

• Rechtsgrundlage (für DSGVO): warum diese Person ein relevanter Geschäftskontakt ist und warum das Outreach angemessen war.
• Datenquelle und Datum: woher du die Email hattest, wann du sie gesammelt hast und Kontext.
• Kampagneninhalte: die genauen Templates, Betreffzeilen und Termine, an denen die Sequenz lief.
• Opt-out‑Nachweis: was die Anfrage war, wann sie einging und wann der Versand gestoppt wurde.
• Suppression‑Historie: Beleg, dass die Adresse für künftige Sends blockiert ist.

Aufbewahrung sollte einfach sein: behalte Records nur so lange, wie sie für Compliance, Beschwerden und Zustellbarkeit nützlich sind, und lösche oder anonymisiere sie danach. Viele Teams wählen ein fixes Fenster (z. B. 6–24 Monate nach letztem Kontakt) und kürzen es, wenn der Prospect Löschung verlangt. Was auch immer du wählst, halte es schriftlich und wende es konsequent an.

Das größte operative Risiko ist das Wiedereinfügen abgemeldeter Personen. Behandle deine Suppression-Liste als „nicht kontaktieren“, nicht als „aus dieser Kampagne entfernen“. Schütze sie so, dass Importe sie nicht überschreiben.

Wenn du eine leichte Lösung für ein kleines Team möchtest, kannst du behalten:

• Ein Kampagnendokument pro Sequenz (Zielgruppen-Notizen, Templates, Versanddaten)
• Ein Prospekt-Sheet mit Quelle, Datum der Sammlung, Relevanznotiz und zuletzt kontaktiertem Datum
• Ein schreibgeschütztes Suppression-Sheet mit Email, Grund, Datum und wer es verarbeitet hat

Eine wiederverwendbare Pre-Send-Routine

Eine Routine verhindert leicht übersehene Fehler (z. B. ein kaputtes Opt-out), die Beschwerden auslösen. Halte sie kurz genug, um sie jedes Mal durchzuführen.

Eine 10-Minuten Pre-Send-Routine

1. Segment prüfen. Wer ist in der Liste, welche Rolle zielt ihr an und warum ist euer Angebot relevant? Für DSGVO-getriebenes Outreach schreibe einen Satz, der deine Rechtsgrundlage und den erwarteten Nutzen für den Prospect erklärt.

2. Identitätsdetails in der Email verifizieren. Prüfe, dass der „From“-Name zu einer realen Person oder einem Team passt, das Reply-to überwacht wird, der Betreff zur Nachricht passt und die Fußzeile Unternehmensangaben sowie ggf. Postanschrift enthält.

3. Opt-out-Pfad prüfen. Verwende klare Formulierungen (z. B. „Antworten Sie mit 'unsubscribe' und ich schreibe nicht mehr“). Teste den Pfad. Bestätige, dass die Adresse schnell und zuverlässig unterdrückt wird, ohne zusätzliche Schritte wie Login.

4. Finales QA-Senden. Schicke die exakte Nachricht an dich und ein Teammitglied. Achte auf fehlerhafte Personalisierung, falsche Firmennamen, merkwürdige Tracking-Texte und Formatierungsprobleme auf dem Mobilgerät. Lass dein Teammitglied auch das Opt-out testen.

Häufige Fehler, die zu Beschwerden oder Bußgeldern führen

Die meisten Cold-Email-Probleme sind keine komplizierten Rechtsfragen. Es sind Gewohnheiten, die Menschen getäuscht, unterbrochen oder ignoriert fühlen lassen.

Ein häufiger Fehler ist persönlicher Stil, der verschleiert, wer schreibt. Wenn die erste Zeile wie eine 1:1-Notiz wirkt, der Absendername, die Firma oder der Grund aber vage sind, fühlen sich Empfänger getäuscht. Besser: klare Identifikation—echter Firmenname, echtes Reply-to und ein Satz, warum du sie ausgewählt hast.

Ein weiteres Problem ist ein schwer zugängliches Opt-out. Nutzer sind genervt, wenn der Abmeldetext winzig, versteckt oder mit zusätzlichen Schritten verbunden ist (Login, langes Formular oder „Antwort STOP“, das niemand bearbeitet). Mach es offensichtlich und erfülle es schnell.

Der Fehler, der wiederholte Beschwerden erzeugt, ist das Wiedereinfügen abgemeldeter Kontakte nach einem neuen Listenimport. Auch wenn die Absicht gut ist, erlebt der Empfänger es als Missachtung ihrer Wahl.

Fehlende Aufzeichnungen sind leiser, aber riskant. Wenn du nicht erklären kannst, wo ein Kontakt herkommt und warum Outreach relevant war, tust du dich schwer mit Beschwerden oder Datenanfragen.

Die häufigsten Muster:

• Unklare Absenderidentität oder irreführende „persönliche“ Formulierung
• Verstecktes oder kompliziertes Opt-out
• Keine gemeinsame Suppression-Liste oder Suppression wird nicht über Tools und Importe hinweg angewendet
• Keine Notizen zu Quelle, Datum und Grund des Outreach
• Versand an breite Titel ohne klaren Relevanzbezug

Kurze Compliance-Checkliste vor dem Start einer Sequenz

Kurz vor dem Versand prüfe die wenigen Dinge, die den größten Schaden anrichten, wenn sie falsch sind: Identität, Relevanz, Opt-out und Nachweis.

Bestätige:

• Identität: Absendername, Firmenname und Postanschrift sind vorhanden und konsistent.
• Grund: Du kannst in einem Satz sagen, warum diese Rolle oder Firma passt und auf welche Regel du dich stützt.
• Opt-out: Die Abmeldeoption ist leicht zu finden und funktioniert per einem Klick oder einfacher Antwort.
• Unterdrückung: Abgemeldete Personen sind überall blockiert, nicht nur in einer Sequenz.
• Beweislage: Du kannst Herkunft der Daten, Segmentkriterien und die exakte versandte Copy abrufen.

Beispiel: Ein kleines Team schreibt US- und UK-Prospects an

Ein Zwei-Personen-SDR-Team bewirbt ein Angebot: eine 15-minütige Demo eines Workflow-Tools. Sie wollen 400 US-Prospects und 200 UK-Prospects anschreiben, gezogen von einem seriösen B2B-Datenanbieter, gefiltert nach Rolle, Unternehmen und Arbeits-Email.

Sie halten die Struktur konsistent: ein klarer Betreff, ein Grund für die Kontaktaufnahme und ein einfacher Call-to-Action. Die Fußzeile enthält einen echten Firmennamen, eine physische Postanschrift und eine Ein-Klick-Abmeldung.

Für die UK-Liste dokumentieren sie das DSGVO-berechtigte Interesse vor dem Versand. Eine einseitige Notiz reicht, wenn sie spezifisch ist:

• Zweck: relevante Jobrollen zu einem B2B-Produkt-Demo kontaktieren
• Notwendigkeit: Email ist im Vergleich zum Anruf der am wenigsten aufdringliche Kanal
• Abwägung: nur Arbeits-Emails, keine sensiblen Daten, einfaches Opt-out in jeder Nachricht
• Relevanz: warum diese Rolle und Unternehmensart zum Angebot passen
• Quelle und Datum: woher die Daten stammen und wann sie gesammelt wurden

Wenn Antworten eintreffen, behandeln sie jede Reaktion als Compliance-Ereignis. Interessierte Antworten werden gebucht. Unsubscribe- oder „remove me“-Antworten werden sofort unterdrückt. Bounces werden entfernt und untersucht. Abwesenheitsantworten pausieren und werden nach dem Rückkehrdatum erneut versucht.

Compliance wiederholbar machen, wenn du skalierst

Wenn die Checkliste funktioniert, verlasse dich nicht auf Erinnerung. Mach daraus ein kurzes SOP, das jedes Teammitglied vor dem Versand einer Sequenz abarbeitet. Halte es so simpel, dass ein neues SDR es befolgen kann, und streng genug, dass die langweiligen Teile (Identität, Opt-outs, Aufzeichnungen) nicht übersprungen werden.

Es hilft außerdem, Verantwortliche zu benennen. Geteilte Aufgaben werden oft zu niemandes Aufgabe. Definiere, wer Kopien absegnet, wer Suppression verwaltet, wer Datenquellen freigibt und wer die Belege pflegt.

Wenn das Volumen wächst, reduzieren weniger bewegliche Teile Fehler. Wenn du alles an einem Ort haben willst, kombiniert LeadTrain (leadtrain.app) Domains, Mailboxen, Warm-up, Multi-Step-Sequenzen und KI-gestützte Antwortklassifikation, was dabei helfen kann, Abmeldungen schneller zu erkennen und eine Prüfspur pro Kampagne zu behalten.

Lege eine vierteljährliche Überprüfung fest, damit dein Prozess nicht driftet. Überprüfe Templates und Identifikationsdetails, bestätige, dass Datenquellen noch passend und dokumentiert sind, teste Opt-out-Flows und stelle sicher, dass die Suppression-Liste überall angewendet wird. Wenn du einen neuen Absender hinzufügst oder in einen neuen Markt expandierst, behandle das wie einen Launch: Führe zuerst das SOP aus, dann erhöhe das Volumen.