Spring til indhold
GDPR & Compliance

GDPR og email marketing: den komplette guide for danske virksomheder

Hvad må du og hvad må du ikke? Consent, dataresidens, ret-til-sletning og audit trails — forklaret uden jura-sprog. Praktisk guide til email marketing der overholder loven.

HT
Hermod Team · AI-powered email marketing

Du ved godt at du skal overholde GDPR. Det ved alle. Men når det kommer til den praktiske hverdag med email marketing, bliver det hurtigt uklart: Hvornår skal du have samtykke? Hvad med eksisterende kunder? Hvor meget skal du dokumentere? Og hvad sker der egentlig hvis du gør det forkert?

Denne guide er skrevet til danske virksomheder der bruger email marketing og vil gøre det lovligt — uden at drukne i juridisk tekst.

De tre søjler: samtykke, gennemsigtighed og kontrol

GDPR handler i bund og grund om tre ting når det gælder email marketing:

1. Samtykke. Du skal have lov til at sende. Og den lov skal være givet frivilligt, med klar information om hvad personen siger ja til.

2. Gennemsigtighed. Dine kontakter skal vide hvad du gør med deres data. Hvem er den dataansvarlige? Hvad bruger du data til? Hvor længe gemmer du dem?

3. Kontrol. Dine kontakter skal kunne trække samtykke tilbage, bede om at se deres data, og bede om at blive slettet. Ikke i morgen — nu.

Samtykke: hvad tæller og hvad tæller ikke

Det mest misforståede område. Her er reglerne i praksis:

Det tæller som gyldigt samtykke:

  • En checkbox der IKKE er pre-checked, med klar tekst om hvad personen tilmelder sig
  • Dobbelt opt-in (bekræftelsesmail efter tilmelding) — ikke et krav i sig selv, men den stærkeste form for dokumentation
  • Separat samtykke per formål — ét samtykke til nyhedsbrev, et andet til produktopdateringer
  • Tidsstempel, IP-adresse og den præcise tekst der blev vist ved tilmelding

Det tæller IKKE:

  • Pre-checked bokse — ugyldigt samtykke under GDPR
  • “Ved at bruge denne hjemmeside accepterer du…” — for vagt og passivt
  • Koblet samtykke (“acceptér vores nyhedsbrev for at downloade e-bogen”) — skal være frivilligt
  • Mundtligt samtykke uden dokumentation — kan ikke bevises

Hvad med eksisterende kunder?

Her bliver det mere nuanceret. Hvis en person allerede er kunde, kan du i visse tilfælde sende relaterede produkter eller services via email baseret på “legitim interesse” — men kun til B2B og kun hvis:

  • Du klart informerede ved købet om at du ville sende marketing
  • Indholdet relaterer sig til det de allerede har købt
  • De nemt kan afmelde sig (unsubscribe i hver email)
  • Du har lavet en interesseafvejning der er dokumenteret

For B2C er reglerne strammere. Her bør du altid have eksplicit samtykke.

Dataresidens: hvor er dine kontakters data?

Det er ikke nok at din email-platform er “GDPR-compliant”. Du skal også vide hvor data fysisk befinder sig. Hvis du overvejer at skifte platform, kan vores sammenligning af Mailchimp-alternativer hjælpe dig med at vurdere dine muligheder.

Spørgsmål du skal kunne svare på:

  • I hvilket land hoster din email-platform dine kontakter?
  • Overføres data til lande uden for EU/EØS?
  • Hvis ja, under hvilket retsgrundlag? (Standard Contractual Clauses? EU-US Data Privacy Framework?)
  • Har du en databehandleraftale (DPA) med din platform?

De fleste amerikanske platforme (Mailchimp, ActiveCampaign, HubSpot) behandler data i USA. Det er teknisk lovligt under EU-US Data Privacy Framework — men det er den tredje aftale af sin art. De to foregående blev underkendt af EU-Domstolen.

EU-hostede platforme (Brevo, MailerLite, Hermod) eliminerer dette spørgsmål helt.

Ret-til-sletning: det er ikke valgfrit

Når en kontakt beder om at blive slettet, har du 30 dage til at slette alle personlige data. Ikke bare afmelde dem — slette dem. Det inkluderer:

  • Kontaktinformation (navn, email, adresse, telefon)
  • Engagement-data (hvad de har åbnet, klikket, købt)
  • Custom fields og tags
  • Historiske data i rapporter (skal anonymiseres)

De fleste email-platforme gør dette til en manuel process. Du skal finde kontakten, slette dem, og dokumentere at det er gjort. Moderne platforme automatiserer det.

Audit trail: dokumentér alt

Hvis Datatilsynet banker på døren, skal du kunne bevise at du overholder loven. En audit trail dokumenterer:

  • Hvornår hvert samtykke blev givet
  • Den præcise tekst der blev vist
  • IP-adresse og kilde (hvilken formular, hvilken side)
  • Hvornår samtykke blev trukket tilbage (hvis relevant)
  • Hvornår data blev slettet på anmodning
  • Hvem der foretog handlingen (person eller system)

Unsubscribe: gør det nemt

Hver marketing email skal have et synligt unsubscribe-link. Ingen undtagelser. Og unsubscribe skal virke med ét klik — ikke en survey, ikke en “er du sikker?”-side, ikke en login.

Teknisk set kræver RFC 8058 at emails inkluderer en List-Unsubscribe header der tillader one-click unsubscribe direkte fra email-klienten. Gmail og Apple Mail bruger dette til at vise en “afmeld”-knap i toppen af emailen. Korrekt opsætning af SPF, DKIM og DMARC sikrer desuden at dine emails autentificeres korrekt og ikke ender i spam.

Praktisk tjekliste

Her er hvad du skal have på plads:

Indsamling af kontakter:

  • Opt-in formular med klar consent-tekst (ikke pre-checked)
  • Separat samtykke per formål (nyhedsbrev, produkt-updates, etc.)
  • Dokumentér hvornår, hvor og hvordan samtykket blev givet
  • Overvej dobbelt opt-in for ekstra dokumentation

Sending af emails:

  • Unsubscribe-link i hver email
  • List-Unsubscribe header for one-click afmelding
  • Tydelig afsender-identifikation
  • Fysisk adresse i email-footer (krav i mange jurisdiktioner)

Data management:

  • Databehandleraftale (DPA) med din email-platform
  • Ved hvor dine kontakters data fysisk befinder sig
  • Process for ret-til-sletning (helst automatiseret)
  • Regelmæssig oprydning af inaktive kontakter

Dokumentation:

  • Audit trail for samtykke
  • Dokumenteret interesseafvejning (hvis du bruger legitim interesse)
  • Privatlivspolitik der dækker email marketing
  • Oversigt over databehandlere (din email-platform, analytics, etc.)

Hermod AI Insight

Hermod håndterer consent tracking, audit trails og ret-til-sletning automatisk. Hvert samtykke logges med tidsstempel, IP-adresse og den præcise tekst — klar til hvis Datatilsynet spørger.

Ofte stillede spørgsmål

Skal jeg have samtykke for at sende marketing emails?
Ja. I EU kræver GDPR og ePrivacy-direktivet udtrykkeligt samtykke (opt-in) før du sender marketing emails. Samtykket skal være frivilligt, specifikt, informeret og utvetydigt ifølge [GDPR artikel 7](https://gdpr-info.eu/art-7-gdpr/). Pre-checked bokse tæller ikke.
Hvad er forskellen på samtykke og legitim interesse?
Samtykke kræver aktiv handling fra kontakten (opt-in). Legitim interesse er et andet retsgrundlag der kan bruges til B2B-kommunikation under visse betingelser, men det kræver en dokumenteret interesseafvejning og gælder ikke for cold B2C emails.
Hvor længe må jeg gemme kontaktdata?
GDPR siger ikke et specifikt antal dage. Men du skal have en dataminimeringspolitik der sikrer at du ikke opbevarer data længere end nødvendigt for formålet. En tommelfingerregel: slet inaktive kontakter der ikke har interageret i 12-24 måneder.
Hvad sker der hvis jeg overtræder GDPR?
Datatilsynet kan udstede bøder op til 20 mio. EUR eller 4% af global årsomsætning (det højeste). I praksis er bøderne i Danmark typisk lavere, men [Datatilsynet](https://www.datatilsynet.dk/) har skærpet tilsynet markant siden 2023.