emailr_
Alle Artikel
explainer·8 min

Was ist CASL? Kanadisches Anti-Spam-Gesetz erklärt

compliancecasllegal

Zusammenfassung

CASL ist das kanadische Anti-Spam-Gesetz, das vor dem Versenden kommerzieller E-Mails an Empfänger in Kanada eine ausdrückliche Einwilligung verlangt. Es ist strenger als CAN-SPAM, mit Strafen von bis zu $10 Millionen pro Verstoß. Wenn du E-Mails an Empfänger in Kanada sendest, musst du CASL verstehen.

Ein US-Softwareunternehmen hat CASL auf die harte Tour kennengelernt. Es hatte die gesamte Liste – inklusive kanadischer Abonnenten – mit demselben Opt-out-Ansatz angeschrieben, der unter CAN-SPAM funktioniert. Dann erhielten sie eine Mitteilung der Canadian Radio-television and Telecommunications Commission. Die Untersuchung dauerte Monate, verursachte erhebliche Anwaltskosten und endete mit einer Compliance-Verpflichtung, die eine komplette Überarbeitung ihres gesamten E-Mail-Programms erforderte.

CASL (Canada's Anti-Spam Legislation) ist eines der strengsten Anti-Spam-Gesetze der Welt. Anders als das Opt-out-Modell von CAN-SPAM verlangt CASL eine Opt-in-Einwilligung, bevor du kommerzielle elektronische Nachrichten sendest. Wenn du kanadische Abonnenten hast, gilt CASL für dich – unabhängig davon, wo dein Unternehmen sitzt.

Was CASL abdeckt

CASL reguliert kommerzielle elektronische Nachrichten (CEMs), die nach Kanada gesendet werden oder aus Kanada stammen. Dazu gehören E-Mail, SMS und einige Social-Media-Nachrichten.

Eine Nachricht ist „kommerziell“, wenn eines ihrer Ziele darin besteht, zur Teilnahme an einer kommerziellen Aktivität zu ermutigen. Marketing-E-Mails qualifizieren sich offensichtlich. Aber auch E-Mails, die dein Unternehmen indirekt fördern – Newsletter, die Produkte erwähnen, transaktionale E-Mails mit Werbeinhalten, sogar manche Nachrichten zur Beziehungspflege.

Der geografische Geltungsbereich ist breit. CASL gilt, wenn die Nachricht an eine kanadische Adresse gesendet wird, aus Kanada gesendet wird oder in Kanada abgerufen wird. Wenn du kanadische Abonnenten hast, gilt CASL, selbst wenn du anderswo ansässig bist.

CASL umfasst außerdem die Installation von Computerprogrammen und die Veränderung von Übertragungsdaten. Für die meisten E-Mail-Marketer sind jedoch die CEM-Bestimmungen entscheidend.

Die Einwilligungsanforderung

Die Kernanforderung von CASL ist die Einwilligung, bevor kommerzielle Nachrichten gesendet werden. Das unterscheidet sich grundlegend vom Opt-out-Ansatz von CAN-SPAM.

Ausdrückliche Einwilligung ist der Goldstandard. Der Empfänger hat ausdrücklich zugestimmt, Nachrichten von dir zu erhalten. Er hat ein Kästchen angeklickt, einen Button gedrückt oder anderweitig aktiv eingewilligt. Du hast einen Nachweis darüber, wann und wie die Einwilligung erteilt wurde.

Implizite Einwilligung gibt es nur in begrenzten Fällen. Du hast eine bestehende Geschäftsbeziehung (sie haben innerhalb der letzten zwei Jahre bei dir gekauft oder in den letzten sechs Monaten angefragt). Sie haben ihre E-Mail-Adresse gut sichtbar veröffentlicht, ohne anzugeben, dass sie keine kommerziellen Nachrichten wünschen. Sie haben dir ihre Visitenkarte gegeben.

Implizite Einwilligung ist temporär und begrenzt. Einwilligung aus Geschäftsbeziehungen erlischt nach zwei Jahren ohne Transaktionen. Einwilligung aufgrund einer Anfrage erlischt nach sechs Monaten. Einwilligung aufgrund veröffentlichter Adresse deckt nur Nachrichten ab, die für ihre berufliche Rolle relevant sind.

Ausdrückliche Einwilligung läuft nicht ab (sofern nicht widerrufen), weshalb der Aufbau einer Liste mit ausdrücklicher Einwilligung der nachhaltige Weg ist.

Gültige Einwilligung einholen

CASL stellt spezifische Anforderungen daran, wie Einwilligung eingeholt werden muss.

Einwilligung muss Opt-in sein, nicht Opt-out. Vorab angekreuzte Kästchen zählen nicht. Versteckte Klauseln in langen Vereinbarungen zählen nicht. Der Empfänger muss eine aktive Handlung vornehmen, um einzuwilligen.

Du musst dich klar identifizieren. Die Einwilligungsanfrage muss deinen Namen (oder den Namen der Person, in deren Auftrag du die Einwilligung einholst) und Kontaktinformationen enthalten.

Du musst den Zweck beschreiben. Welche Arten von Nachrichten wirst du senden? „Marketing-E-Mails“ ist zu vage. „Wöchentlicher Newsletter über Softwareentwicklung“ ist besser.

Du musst erklären, wie die Einwilligung widerrufen werden kann. Schon beim Einwilligen müssen Empfänger wissen, dass sie sich später abmelden können.

Du musst Nachweise aufbewahren. Dokumentiere, wann die Einwilligung eingeholt wurde, wie sie eingeholt wurde und wozu die Person eingewilligt hat. Wenn du herausgefordert wirst, musst du nachweisen können, dass du eine gültige Einwilligung hattest.

Anforderungen an Nachrichten

Auch mit gültiger Einwilligung verlangt CASL spezifische Elemente in jeder kommerziellen Nachricht.

Identifikation: Die Nachricht muss klar erkennen lassen, wer sie sendet. Dein Name oder Firmenname muss enthalten sein, zusammen mit Kontaktinformationen (Postanschrift und entweder Telefonnummer, E-Mail oder Webadresse).

Abmeldemechanismus: Jede Nachricht muss einen funktionierenden Abmeldemechanismus enthalten. Er muss kostenlos, leicht zugänglich und mindestens 60 Tage nach dem Versand gültig sein.

Verarbeitung von Abmeldungen: Du musst Abmeldewünsche innerhalb von 10 Geschäftstagen respektieren. Sobald sich jemand abmeldet, darfst du ihm keine kommerziellen Nachrichten mehr senden (rein transaktionale Nachrichten sind weiterhin zulässig).

Diese Anforderungen gelten für jede kommerzielle Nachricht – unabhängig von der Art der Einwilligung.

Strafen und Durchsetzung

CASL-Sanktionen sind hart, deshalb ist Compliance wichtig.

Verwaltungsrechtliche Geldstrafen können für Einzelpersonen bis zu $1 Million pro Verstoß und für Unternehmen bis zu $10 Millionen pro Verstoß betragen. „Pro Verstoß“ kann „pro Nachricht“ bedeuten, sodass eine Kampagne an Tausende Empfänger theoretisch zu enormer Haftung führen könnte.

Die CRTC (Canadian Radio-television and Telecommunications Commission) setzt CASL durch. Sie ist gegen kanadische und ausländische Unternehmen vorgegangen – mit Strafen von Tausenden bis zu Millionen von Dollars.

Geschäftsführer und leitende Angestellte können persönlich haftbar sein, wenn sie Verstöße angewiesen, genehmigt oder daran mitgewirkt haben. Das ist nicht nur ein Unternehmensrisiko.

Ein privates Klagerecht war geplant, wurde jedoch auf unbestimmte Zeit ausgesetzt. Derzeit kann nur die CRTC Verstöße verfolgen, aber das könnte sich ändern.

Compliance-Verpflichtungen sind eine häufige Lösung. Unternehmen verpflichten sich zu konkreten Compliance-Maßnahmen, oft inklusive externer Audits, im Gegenzug für reduzierte Strafen. Diese sind öffentlich und können dem Ruf schaden.

CASL vs CAN-SPAM

Die Unterschiede zu verstehen hilft, wenn du an US-Regeln gewöhnt bist.

Einwilligungsmodell: CAN-SPAM erlaubt Opt-out (senden, bis sie sich abmelden). CASL verlangt Opt-in (nicht senden, bis sie einwilligen). Das ist der grundlegende Unterschied.

Strafen: CAN-SPAM-Strafen liegen maximal bei $46,517 pro Verstoß. CASL-Strafen können bis zu $10 Millionen reichen. Die Risiken sind unter CASL höher.

Zeit für Abmeldungen: CAN-SPAM verlangt die Umsetzung von Abmeldungen innerhalb von 10 Geschäftstagen. CASL verlangt ebenfalls 10 Geschäftstage. Hier ähnlich.

Ausnahmen für transaktionale Nachrichten: Beide Gesetze nehmen rein transaktionale Nachrichten aus, aber die Ausnahmen unter CASL sind enger. Werbeinhalte in transaktionalen E-Mails sind unter CASL riskanter.

Wenn du CASL einhältst, erfüllst du in der Regel auch CAN-SPAM. Umgekehrt nicht.

Praktische Compliance-Schritte

CASL-Compliance in dein E-Mail-Programm einzubauen, erfordert konkrete Maßnahmen.

Segmentiere deine Liste nach Geografie. Identifiziere kanadische Abonnenten, damit du CASL-Anforderungen gezielt auf sie anwenden kannst. Wenn du die Geografie nicht bestimmen kannst, wende CASL-Standards auf alle an.

Prüfe deine Einwilligungsnachweise. Hast du für kanadische Abonnenten dokumentierte ausdrückliche Einwilligungen? Wenn du dich auf implizite Einwilligung stützt: Ist sie noch gültig (innerhalb der Fristen)? Entferne Abonnenten ohne gültige Einwilligung.

Aktualisiere deinen Anmeldeprozess. Stelle sicher, dass die Einwilligung Opt-in ist, dich klar identifiziert, beschreibt, was du senden wirst, und erklärt, wie man sich abmeldet. Bewahre Einwilligungsnachweise auf.

Überprüfe deine E-Mail-Inhalte. Identifiziert jede Nachricht dich mit den erforderlichen Kontaktinformationen? Hat jede Nachricht einen funktionierenden Abmeldemechanismus?

Schule dein Team. Alle, die an E-Mail-Marketing beteiligt sind, müssen die CASL-Anforderungen verstehen. Fehler entstehen oft durch Unkenntnis der Regeln.

Erwäge Re-Permission-Kampagnen. Wenn deine Einwilligungsnachweise unklar sind, schafft das erneute Einholen der Einwilligung saubere Nachweise. Du wirst einige Abonnenten verlieren, aber für die verbleibenden hast du belastbare Einwilligungen.

Häufige CASL-Fehler

Mehrere Fehler sorgen regelmäßig für CASL-Probleme.

Annehmen, dass CAN-SPAM-Compliance ausreicht. Tut sie nicht. Die Opt-in-Anforderung von CASL ist grundlegend anders.

Vorab angekreuzte Einwilligungsboxen. Diese ergeben keine gültige Einwilligung unter CASL. Einwilligung muss aktiv erfolgen.

Vage Einwilligungssprache. „Wir dürfen Sie kontaktieren“ ist nicht spezifisch genug. Beschreibe, was du tatsächlich senden wirst.

Kein Tracking der Einwilligung. Wenn du nicht nachweisen kannst, wann und wie jemand eingewilligt hat, hast du faktisch keine Einwilligung.

Ignorieren des Ablaufs impliziter Einwilligung. Einwilligung aus Geschäftsbeziehungen läuft ab. Wenn du seit zwei Jahren keine Transaktion mit jemandem hattest, ist die implizite Einwilligung weg.

Werbliche Inhalte in transaktionalen E-Mails. Das kann eine ausgenommene transaktionale Nachricht in eine regulierte kommerzielle Nachricht verwandeln, die eine Einwilligung erfordert.

Frequently asked questions

Gilt CASL, wenn ich nicht in Kanada bin?

Ja, wenn du kommerzielle Nachrichten an Empfänger in Kanada sendest. CASL gilt basierend darauf, wo die Empfänger sind, nicht wo du dich befindest.

Darf ich jemanden per E-Mail kontaktieren, der mir seine Visitenkarte gegeben hat?

Ja, das schafft implizite Einwilligung für Nachrichten, die für ihre berufliche Rolle relevant sind. Aber implizite Einwilligung ist begrenzt – für laufendes Marketing ist ausdrückliche Einwilligung besser.

Was, wenn ich nicht erkennen kann, ob ein Abonnent Kanadier ist?

Wenn du die Geografie nicht bestimmen kannst, ist der sicherste Ansatz, für alle CASL-Standards anzuwenden. Das vereinfacht zudem die Compliance.

Brauchen transaktionale E-Mails unter CASL eine Einwilligung?

Rein transaktionale Nachrichten (Bestellbestätigungen, Versandbenachrichtigungen, Konto-Hinweise) sind im Allgemeinen ausgenommen. Aber wenn du Werbeinhalte hinzufügst, kann die Ausnahme entfallen.

e_

Geschrieben vom emailr-Team

Wir bauen Email-Infrastruktur für Entwickler

Weiterlesen

explainer

Warum landen E-Mails im Spam?

10 minexplainer

Was ist SPF? Kompletter Leitfaden für Entwickler

8 minexplainer

Was ist E-Mail-Spoofing und wie man es verhindert

8 min

Bereit zum Senden?

Hol dir deinen API-Schlüssel und sende deine erste E-Mail in unter 5 Minuten. Keine Kreditkarte erforderlich.

Kostenlos startenMit dem Vertrieb sprechen