Was ist der CAN-SPAM-Act?

Der CAN-SPAM Act ist ein Gesetz, das E-Mails und andere Nachrichten von kommerziellen Unternehmen regelt.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Erklären, welche E-Mails dem Gesetz unterliegen
  • Die Best Practices für Compliance verstehen
  • Den CAN-SPAM Act der Datenschutzrichtlinie für elektronische Kommunikation vergleichen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist der CAN-SPAM-Act?

Der CAN-SPAM Act ist ein US-amerikanisches Gesetz, das eine Reihe von Anforderungen an E-Mails und andere Nachrichten von kommerziellen Einrichtungen, wie Unternehmen, Vermarktern und gemeinnützigen Organisationen, vorschreibt. E-Mails, die unter das Gesetz fallen, müssen Regeln in Bezug auf Betreffzeilen, Angaben und Header befolgen. Außerdem gibt das Gesetz den Empfängern das Recht, die Löschung aus E-Mail-Listen zu verlangen, und legt die Strafen für Unternehmen fest, die gegen das Gesetz verstoßen.

Der vollständige Name des Gesetzes ist Controlling the Assault of Non-Solicited Pornography and Marketing Act. Es wurde im Jahr 2003 verabschiedet und wird von der Federal Trade Commission durchgesetzt. Es ersetzt einige, aber nicht alle Arten von Anti-Spam-Gesetzen, die von einzelnen Bundesstaaten erlassen wurden.

Für welche Arten von Nachrichten gilt der CAN-SPAM Act?

Der CAN-SPAM Act gilt für alle kommerziellen Nachrichten, einschließlich E-Mails, unabhängig davon, ob sie an Verbraucher oder Unternehmen gerichtet sind. Die FTC definiert eine „kommerzielle Nachricht“ als „jede elektronische E-Mail-Nachricht, deren Hauptzweck die kommerzielle Werbung oder Förderung eines kommerziellen Produkts oder Dienstes ist“. Selbst wenn ein Empfänger seine vorherige Zustimmung gibt, muss ein Unternehmen alle Aspekte des Gesetzes beachten.

Einige US-Gerichte haben den Begriff „elektronische Post“ so ausgelegt, dass er auch Nachrichten umfasst, die an den Posteingang eines Nutzers sozialer Medien gesendet oder auf dessen Pinnwand oder Feed gepostet werden. Die FTC sagt, dass das Gesetz auch für einige Arten von Textnachrichten gilt.

Fallen Transaktions-E-Mails unter das Gesetz?

Der Hauptzweck der Nachricht muss ein kommerzieller Inhalt sein, damit der CAN-SPAM Act Anwendung findet. Wenn sie sich auf eine laufende oder bereits vereinbarte Transaktion zwischen dem Unternehmen und dem Empfänger bezieht, wie z. B. eine Bestätigung eines Kaufs oder eine Aktualisierung der Sendungsverfolgung für eine Sendung, dann fällt sie nicht unter das Gesetz. Auf der Website der FTC finden Sie weitere Details zu diesem Thema.

Stellen Sie sich zum Beispiel vor, Alice kauft online ein Buch und erhält eine Bestätigungs-E-Mail – da sich diese auf eine laufende Transaktion bezieht, fällt sie nicht unter das CAN-SPAM-Gesetz. Wenn der Verkäufer ihr später eine Marketing-E-Mail über eine Werbeaktion schickt, muss diese Marketing-E-Mail den Regeln des Gesetzes entsprechen.

Was sind die Best Practices, um die Einhaltung der Vorschriften zu gewährleisten?

Die Regeln des CAN-SPAM-Gesetzes sind recht einfach. E-Mail-Versender können die Einhaltung der Vorschriften durch folgende Maßnahmen sicherstellen:

  • Wählen Sie eine Betreffzeile, die sich eindeutig auf den Hauptinhalt der E-Mail bezieht
  • Machen Sie deutlich, dass es sich bei der E-Mail um eine Werbung handelt – seien Sie nicht irreführend
  • Geben Sie irgendwo in der Nachricht eine physische Adresse des Unternehmens an
  • Bieten Sie den Empfängern die Möglichkeit, sich abzumelden (keine weiteren E-Mails mehr zu erhalten)
  • Stellen Sie sicher, dass die Header-Informationen der E-Mail korrekt sind, einschließlich des Domainnamens und der E-Mail-Adresse des Absenders sowie der Felder „Von“, „An“ und „Antwort-an“

Wie verhält sich der CAN-SPAM Act zur Datenschutzrichtlinie für elektronische Kommunikation der Europäischen Union?

Die Datenschutzrichtlinie für elektronische Kommunikation regelt unerwünschte E-Mails, die Verwendung von Cookies, die Minimierung von Daten und andere Aspekte des Datenschutzes. Es handelt sich um eine Richtlinie, d. h. alle EU-Staaten müssen sie übernehmen, dürfen sie aber auch als eigene Gesetzgebung übernehmen. Eine ePrivacy Regulation ist in Vorbereitung und wird letztendlich die Datenschutzrichtlinie für elektronische Kommunikation außer Kraft setzen.

Der größte Unterschied zwischen der Datenschutzrichtlinie für elektronische Kommunikation und dem CAN-SPAM Act besteht darin, dass erstere vorschreibt, dass man sich für den Erhalt von E-Mails anmelden muss, während letztere nur die Möglichkeit vorsieht, sich dagegen zu entscheiden.

Die Zustimmungspflicht der Richtlinie gilt jedoch nicht, wenn eine Organisation eine bestehende Geschäftsbeziehung mit dem Empfänger hat. Ein Ausschluss besteht auch für die „Vermarktung ähnlicher Produkte oder Dienstleistungen“ an einen Empfänger, solange dasselbe Unternehmen, das ursprünglich die E-Mail-Adresse der Person gesammelt hat, der Absender ist.

Darüber hinaus schreibt die Datenschutzrichtlinie für elektronische Kommunikation Folgendes vor:

  • E-Mails müssen eine Möglichkeit zur Abmeldung enthalten
  • Die Identität des Absenders darf nicht irreführend sein
  • E-Mails müssen eine gültige Absenderadresse enthalten

Wie funktioniert das Abmeldeverfahren?

Unternehmen verwenden Abmeldelisten, auch Suppression Lists genannt, um die E-Mail-Adressen früherer Empfänger, die sich abgemeldet haben, zu verfolgen.

CAN-SPAM enthält mehrere Regeln für die Abmeldung von E-Mails:

  • Das Unternehmen muss die Abmeldeanfrage innerhalb von 10 Werktagen bearbeiten
  • Das System, das die Abmeldung ermöglicht, muss mindestens 30 Tage nach dem Versand der Nachricht gültig sein
  • Es muss eine Option geben, um alle zukünftigen Nachrichten anzuhalten; ein Unternehmen kann eine weitere Option hinzufügen, um nur bestimmte Arten von kommerziellen Nachrichten abzubestellen, z. B. wenn ein Nutzer E-Mails über Veranstaltungen erhalten, aber keine Ankündigungen über neue Produkte erhalten möchte

Unternehmen haben die Wahl, wie sie die Abmeldung vornehmen – sie können eine E-Mail-Adresse angeben, an die sich der Empfänger wenden kann, oder sie können eine andere internetbasierte Methode verwenden, z. B. einen Link zu einer Website mit einem Formular zum Ausfüllen.

Welche Strafen drohen bei einem Verstoß gegen den CAN-SPAM Act?

Die Strafen können bis zu 43.792 $ für jede einzelne Nachricht betragen, und es können mehrere Parteien für dieselbe Nachricht haftbar gemacht werden. Unternehmen sind für das Verhalten von Dritten verantwortlich, die sie für Marketingzwecke beauftragen.

Insbesondere sind Privatpersonen nicht klagebefugt im Rahmen des Gesetzes. Stattdessen reichen die FTC, Staatsanwälte und Internetprovider im Namen eines Nutzers Klage ein.

Wie können Empfänger Verstöße gegen CAN-SPAM melden?

Die FTC empfiehlt drei Möglichkeiten für Beschwerden:

  • Melden Sie den Absender bei der FTC selbst
  • Leiten Sie die Nachricht an einen E-Mail-Anbieter weiter oder wählen Sie die Option, eine Nachricht als Spam zu markieren
  • Leiten Sie die Nachricht an den E-Mail-Provider des Absenders weiter, sofern dies möglich ist

Wie können Unternehmen verhindern, dass sich Spammer als ihre E-Mail Domain ausgeben?

Manchmal versenden Spammer E-Mails, die gegen das CAN-SPAM-Gesetz verstoßen, und verwenden dabei den Markennamen eines seriösen Unternehmens – eine Technik, die als Domain-Spoofing bekannt ist. Sie verwenden Domain-Spoofing, um die E-Mails seriöser erscheinen zu lassen und mehr Nutzer dazu zu verleiten, die E-Mail zu lesen und auf eingebettete Links zu klicken.

Der CAN-SPAM Act bestraft Unternehmen zwar nicht für E-Mails, die von Spammern verschickt werden, die sich als diese ausgeben, aber Unternehmen können ein paar Schritte unternehmen, um es anderen Parteien zu erschweren, ihre Domains zu fälschen.

Mit dem Cloudflare Email Security DNS Wizard ist es möglich, DKIM, SPF und DMARC – drei Arten von E-Mail-Authentifizierungsmethoden – zu konfigurieren, um Domain-Spoofing zu verhindern.