Compliance: TCPA, CAN-SPAM, GDPR, CASL
Marketing-Compliance ist einer der wenigen Bereiche, wo "gut genug" Sammelklagen, Bußgelder oder eine schwarz markierte Absender-Domain bedeutet. Engage wurde mit Compliance, die zur Warteschlangen- und Versandzeit erzwungen wird, gebaut.
Keine Rechtsberatung
Dieses Dokument erklärt, wie Engage Compliance-Kontrollen implementiert. Es ist keine Rechtsberatung. Konsultieren Sie für Ihre Jurisdiktion einen Compliance-Anwalt.
TCPA (US-SMS)
Der Telephone Consumer Protection Act regelt SMS-Marketing in den USA. Engage implementiert:
STOP-Keyword-Handling
Der Telnyx-Webhook-Handler läuft synchron bei jeder eingehenden SMS. Bei Treffer auf:
STOPSTOPALLCANCELUNSUBSCRIBEENDQUIT
(case-insensitive, getrimmt) macht Engage sofort:
- Eine globale SMS-Sperrung für die Absender-Nummer einfügen.
- Eine
engage_compliance_audit_log-Zeile schreiben. - Die carrier-erforderliche Bestätigungs-SMS zurückgeben ("Sie wurden abgemeldet. START zum erneuten Anmelden.").
Die Sperrung ist global - kein Operator auf der Plattform kann diese Nummer erneut anschreiben.
Ruhezeiten
Der Dispatcher erzwingt 21-9 Uhr empfänger-lokale Ruhezeiten auf SMS. Bei gesetztem customers.timezone wird diese Zeitzone verwendet.
Sendungen während Ruhezeiten werden in der Warteschlange bis 9 Uhr gehalten.
Double-Opt-In-Staaten
Einige US-Staaten verlangen Double-Opt-In für Marketing-SMS (CA, MA, FL, WA, OK, wachsende Liste). Engage zeichnet die Opt-in-Methode auf:
| Methode | Bedeutung |
|---|---|
single | Fahrer hat Kästchen bei Anmeldung angekreuzt |
double | Bestätigt über zweite SMS oder E-Mail |
imported | War in importierter Liste - vorsichtig |
transactional_inferred | Operationale SMS, aber kein explizites Marketing-Opt-in |
10DLC
US-Carrier verlangen 10DLC-Markenregistrierung. Levy sponsort zentral. Bei neuem Subaccount und fehlender SMS-Aktivierung Support kontaktieren.
CAN-SPAM (US-E-Mail)
Erforderliche Footer-Elemente
Jede Marketing-E-Mail muss enthalten:
- Ihre Rechtsanschrift aus
subaccounts.legal_address. Bei leerem Feld blockt Engage das Veröffentlichen. - Einen Abmeldelink via
{{unsubscribe.url}}.
List-Unsubscribe-Header
List-Unsubscribe: <https://[ihre-domain]/api/engage/u/[token]>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Diese Header aktivieren den "Abmelden"-Button oben in Gmail. Bei Klick POSTet Gmail an Ihre URL.
Der List-Unsubscribe-Post: List-Unsubscribe=One-Click-Header ist RFC 8058.
Wahrheitsgemäße Betreffzeile
CAN-SPAM verlangt Betreffzeilen, die "den Inhalt der Nachricht genau widerspiegeln". Engage erzwingt das nicht programmatisch - Sie müssen ehrliche Betreffzeilen schreiben.
GDPR (EU)
Consent-Records
Jede Consent-Entscheidung wird unveränderlich aufgezeichnet. Bei:
- Marketing-Consent-Box bei Anmeldung
- Kanal-Schalter im Präferenzzentrum
- Ein-Klick-Abmeldung
- Support-Anfrage zum Opt-out
...schreibt Engage Zeile in engage_compliance_audit_log mit:
- Kunden-ID
- Die Änderung
- Zeitstempel
- IP-Adresse (falls verfügbar)
- User-Agent (falls verfügbar)
Diese Zeilen sind append-only.
Recht auf Vergessenwerden
Bei GDPR-Artikel-17-Ausübung:
customers-Zeile alsis_deleted = truemarkiert.- Alle
journey_runssetzenexited_at. - PII-Felder in
engagement_eventswerden null gesetzt. - Audit-Log-Zeile zur RTBF-Aktion bleibt.
Rechtsgrundlage
Die Rechtsgrundlage für Marketing-Sendungen ist Consent - was Opt-in bedeutet, nicht "haben sich angemeldet, also implizit zugestimmt".
Datenresidenz
EU-Fahrerdaten in EU-Postgres-Regionen bei entsprechend konfiguriertem Subaccount.
CASL (Kanada)
CASL ist strenger als CAN-SPAM und verlangt ausdrückliche Zustimmung.
Ausdrückliche Zustimmung
Sie brauchen eine positive, dokumentierte Consent-Aktion. Implizite Zustimmung ist in engen Fällen zulässig.
Für kanadische Fahrer sollte opt_in_method single oder double sein.
10 Jahre Audit-Aufbewahrung
CASL verlangt 10-jährige Aufbewahrung. Engage behält engage_compliance_audit_log-Zeilen unbegrenzt standardmäßig.
Abmeldung innerhalb von 10 Tagen
CASL verlangt 10 Werktage. Engage ehrt sofort (Sekunden).
Andere Frameworks
| Framework | Wo gilt | Engage-Unterstützung |
|---|---|---|
| PECR | UK | GDPR-Kontrollen vererbt |
| LGPD | Brasilien | Wie GDPR |
| CPRA | Kalifornien | RTBF + Opt-out automatisch |
| VCDPA | Virginia | Wie CPRA |
| CTDPA | Connecticut | Wie VCDPA |
Wie Engage Compliance durchsetzt
Bei Veröffentlichung
Kann nicht veröffentlicht werden, wenn:
- Vorlage
{{unsubscribe.url}}fehlt - Vorlage
{{subaccount.legal_address}}fehlt subaccounts.legal_addressleer- Audience enthält Fahrer ohne Consent
Bei Warteschlangenzeit
- Sperrlisten-Lookup
- Kanal-Consent-Check
- Ruhezeiten-Check (nur SMS)
Bei Versand
- Letzter Sperrlisten-Check
- List-Unsubscribe-Header angehängt
- DKIM-Signatur via Postmark
Bei Webhook
- STOP-Keyword-Erkennung
- Bounce-/Beschwerde-Verarbeitung
- Audit-Log-Zeile
Audit-Trail
Die engage_compliance_audit_log-Tabelle ist Ihr Compliance-Beweis. Export via:
- Engage > Einstellungen > Compliance > Audit-Log exportieren
- Daten via API abfragbar
Mindestens 10 Jahre Historie behalten.
Best Practices
- Consent bei Anmeldung explizit erfassen.
- Consent nicht nachträglich auffüllen.
- Importierte Listen prüfen.
- Abmelde-Flow testen.
Hilfe nötig?
Bei Compliance-Fragen: support@levyelectric.com. Für rechtliche Fragen Compliance-Anwalt konsultieren.