По данным Clifford Chance, в сентябре 2025 года UK ICO опубликовал обновлённые разъяснения по recognised legitimate interest - это первое существенное обновление позиции регулятора по теме B2B outreach за несколько лет. ICO явно подтвердил: B2B холодный email не запрещён, но требует документированного обоснования. Параллельно французская CNIL и немецкий DSK ужесточили практику enforcement - первые штрафы за недокументированный B2B outreach пошли в 2025 году.
Ситуация изменилась не в правовой базе - GDPR не переписывали. Изменилась практика применения. Регуляторы перешли от разработки правил к их принудительному исполнению. Для EU B2B SaaS компаний это означает: делать outreach по-прежнему можно, но теперь нужно уметь это доказать.
Ниже - что реально законно, чем отличаются страны, и как построить compliant outbound без потери эффективности.
Правовая база: legitimate interest против consent
GDPR не запрещает холодный B2B email. Статья 6(1)(f) разрешает обработку персональных данных на основании legitimate interest (законный интерес) при выполнении трёхшагового теста.
Тест legitimate interest состоит из трёх частей:
Первое - purpose test: у вас есть реальный, конкретный законный интерес. Для B2B outreach это звучит как “продвижение продукта потенциальным клиентам в релевантном сегменте”. Формулировка должна быть специфичной, а не общей.
Второе - necessity test: обработка данных необходима для достижения цели, и нет менее инвазивного способа её достичь. Для холодного email этот тест проходится легко - других способов контакта с конкретным человеком попросту нет.
Третье - balancing test: ваш интерес не перевешивает права субъекта данных на приватность. Здесь имеет значение: насколько данные чувствительны (рабочий email - нет), насколько предсказуем для человека такой контакт (профессиональный email - да), есть ли понятный opt-out.
Consent в B2B outreach - практически мёртвая опция. Требовать предварительного согласия перед холодным письмом противоречит самой логике outbound. Legitimate interest - единственно работающий правовой базис.
Важно: GDPR регулирует обработку персональных данных. Корпоративные email вида info@company.com формально не являются персональными данными. Но большинство рабочих email идентифицируют конкретного человека (firstname@company.com) - и попадают под GDPR.
Различия по странам: PECR, UWG, CNIL
Поверх GDPR каждая страна имеет собственное законодательство об электронных коммуникациях. Это создаёт дополнительный уровень требований.
UK - PECR (Privacy and Electronic Communications Regulations)
После Brexit UK живёт по UK GDPR + PECR. PECR регулирует именно электронные сообщения, а не просто обработку данных. Для B2B: PECR позволяет холодный email на корпоративные адреса без предварительного consent при условии, что получатель - юридическое лицо или индивидуальный предприниматель. Для физических лиц (sole trader) - нужен consent или soft opt-in.
UK ICO в 2025 году уточнил: рабочий email сотрудника компании может использоваться для B2B outreach под legitimate interest, если контакт релевантен рабочей роли получателя.
Германия - UWG (Gesetz gegen den unlauteren Wettbewerb)
Германия - самая строгая юрисдикция. UWG § 7 требует предварительного согласия для любых рекламных email, включая B2B. Исключение существует, но узкое: предыдущие деловые отношения с клиентом плюс предложение аналогичного продукта. Холодный outreach в Германии без prior relationship - высокий регуляторный риск. DSK (немецкий аналог CNIL) активно штрафует за нарушения с 2024 года.
Практика для Германии: первый контакт - через LinkedIn (не email), получить мягкое подтверждение интереса, и только после этого переходить к email-переписке.
Франция - CNIL
CNIL занимает промежуточную позицию. Legitimate interest для B2B признаётся, но CNIL требует, чтобы данные были получены из “легитимного профессионального источника” - LinkedIn, отраслевой директорий, публичный сайт компании. Купленные списки без прозрачного источника - красная зона. Opt-out должен быть в каждом письме и обрабатываться немедленно.
LinkedIn Outreach: правила платформы и GDPR
LinkedIn outreach юридически проще, чем холодный email, по одной причине: пользователь разместил свои данные в профессиональном публичном контексте, что создаёт разумное ожидание профессионального контакта.
Но есть ограничения с двух сторон.
Правила LinkedIn: массовая автоматизированная рассылка connection requests запрещена Terms of Service. LinkedIn активно блокирует аккаунты, которые отправляют более 50-100 connection requests в неделю с признаками автоматизации. InMail через Sales Navigator - официальный compliant-канал, но дорогой.
GDPR-аспект: скрейпинг LinkedIn для создания outreach-списков - серая зона. LinkedIn запрещает это в ToS. CNIL и ICO признавали отдельные случаи скрейпинга нарушением GDPR. Безопасная позиция: использовать данные только тех, кто уже в вашей сети или кто нашёл вас через поиск.
Для EU B2B SaaS mid-market эффективная связка: LinkedIn для первого касания (warm connection request с персональным сообщением) - email для продолжения после принятия запроса.
Что делает outreach compliant
Четыре практических требования:
Documented Legitimate Interest Assessment (LIA). ICO публикует бесплатный шаблон LIA. Это не юридическое требование само по себе, но единственное доказательство в случае жалобы или расследования. LIA занимает 1-2 часа на сегмент аудитории и подтверждает, что вы прошли трёхшаговый тест.
Явный и работающий opt-out. В каждом письме - ссылка или инструкция для отказа. Обработка opt-out - в течение 24-48 часов. Список отписавшихся (suppression list) хранится и применяется ко всем будущим кампаниям. Это не рекомендация - это правовое требование.
Релевантность как защита. Legitimate interest тест легче проходится, когда предложение действительно релевантно роли и компании получателя. Массовый спам по купленной базе - плохой legitimate interest. Персонализированное сообщение VP of Sales в SaaS-компании нужного размера о продукте для sales teams - сильный legitimate interest.
Прозрачный источник данных. В письме или по запросу вы должны объяснить, где получили контактные данные. “Нашёл в вашем LinkedIn-профиле” - ок. “Купил базу” - красная зона.
Персонализация без нарушений
GDPR не запрещает персонализацию. Он регулирует обработку данных. Разница принципиальная.
Данные из публичных профессиональных источников можно использовать: должность, компания, индустрия, локация, публичные посты. Это всё, что человек сам разместил в профессиональном контексте.
Нельзя использовать: данные третьих сторон без согласия, чувствительные категории (здоровье, политические взгляды), данные полученные через технические методы без осведомлённости субъекта.
Сильная персонализация в EU B2B: упомянуть конкретную боль индустрии, релевантный кейс, публичный trigger (компания привлекла раунд, запустила новый продукт, выросла до нужного размера). Это одновременно и лучшая персонализация, и самое сильное подтверждение legitimate interest.
Инструменты для EU-compliant outreach
Apollo.io - в 2024-2025 обновил compliance features для EU: GDPR-compliant data sourcing, suppression list management, opt-out tracking. Данные верифицируются из публичных источников.
Lemlist - французский инструмент, изначально строился с GDPR-mindset. Встроенные opt-out механики, blacklist management, EU-hosted данные опционально.
LinkedIn Sales Navigator - официальный compliant-канал для LinkedIn outreach. Дорого (от €100/мес на пользователя), но юридически чисто.
Clay - enrichment платформа, которая агрегирует из множества источников. Требует проверки источников каждого провайдера на GDPR-compliance. Гибкий но требует работы.
Инструменты, которые предлагают “verified EU emails” из непрозрачных источников - красная зона. Источник данных должен быть проверяем.
Метрики EU B2B outbound
Бенчмарки холодного email для EU B2B в 2025-2026:
- Open rate: 35-50% при хорошей персонализации и верифицированных адресах
- Reply rate: 3-8% для холодного, 8-15% для warm (post-LinkedIn)
- Positive reply rate: 1-3% от отправленных
- Opt-out rate: менее 1% при правильной сегментации - хороший знак
LinkedIn connection acceptance rate для персонализированных запросов в EU mid-market: 25-40%. Для шаблонных - 10-15% и риск бана аккаунта.
Для EU B2B SaaS с ACV 20K+ реалистичные ожидания: 500 персонализированных контактов в месяц дают 10-20 позитивных ответов и 3-7 квалифицированных разговоров. Масштабирование через качество, а не объём - основной принцип в EU-контексте.
Вывод
- GDPR не запрещает B2B cold email - legitimate interest работает при соблюдении трёхшагового теста
- Германия - отдельный кейс: без prior relationship email в рекламных целях высокорискован
- Документированный LIA - не формальность, а единственная защита при расследовании
- LinkedIn - юридически чище как первый контакт, но массовая автоматизация нарушает ToS платформы
- Персонализация из публичных профессиональных источников - compliant и более эффективна
- Opt-out механика и suppression list - обязательные технические требования, не опция