Die Struktur der Reform 2024-2026

Die Reform wird in zwei Tranchen eingeführt, und nur die erste ist vollständig umgesetzt. Das Verständnis der Reihenfolge ist wichtig, um zu wissen, was rechtlich in Kraft ist, im Vergleich zu dem, was noch kommt.

Tranche 1 — In Kraft ab 2024-2025

Der Privacy and Other Legislation Amendment Act 2024, der im November 2024 in Kraft gesetzt wurde, brachte mehrere bereits geltende Änderungen mit sich:

• Gesetzlicher Schadensersatz für schwerwiegende Eingriffe in die Privatsphäre — Einzelpersonen können direkt wegen schwerwiegender Datenschutzverletzungen klagen, ohne einen Verstoß gegen den Privacy Act selbst nachweisen zu müssen
• Neue zivilrechtliche Sanktionen — das OAIC kann Sanktionen für jeden Eingriff in die Privatsphäre verlangen, nicht nur für schwerwiegende oder wiederholte Verstöße
• Transparenzanforderungen für automatisierte Entscheidungsfindung — Einrichtungen müssen offenlegen, wenn mithilfe automatisierter Systeme wesentliche Entscheidungen über Einzelpersonen getroffen werden
• Doxxing ist strafbar — die vorsätzliche Veröffentlichung personenbezogener Daten zur Verursachung von Schaden ist nun eine Straftat
• Children's Online Privacy Code — das OAIC ist verpflichtet, einen verbindlichen Kodex für Dienste zu entwickeln, auf die Kinder wahrscheinlich zugreifen werden, wobei der Kodex für 2026 geplant ist

Tranche 2 — Unter aktiver Konsultation für 2026-2027

Die zweite Tranche umfasst die strukturelleren Änderungen und durchläuft 2025 und 2026 das Regierungsverfahren. Erwartete Elemente umfassen:

• Abschaffung oder erhebliche Einschränkung der Kleinunternehmerausnahme, die derzeit Unternehmen mit einem Jahresumsatz unter AUD 3 Millionen befreit
• Einen klareren Fairness- und Angemessenheitstest, der auf jeden Umgang mit personenbezogenen Daten unabhängig von der Einwilligung angewendet wird
• Explizite Regulierung der gezielten Werbung, wahrscheinlich mit Opt-in-Einwilligung für sensible Kategorien
• Ein neues Recht auf Löschung, das das australische Recht näher an die GDPR bringt
• Strengere Kontrollen bei grenzüberschreitenden Datenübermittlungen

Was nach australischem Recht als personenbezogene Daten gilt

Der australische Privacy Act definiert personenbezogene Daten weit gefasst. Er umfasst alle Informationen über eine identifizierte oder vernünftigerweise identifizierbare Person, und das OAIC interpretiert vernünftigerweise identifizierbar so, dass es Online-Kennungen, Geräte-IDs, IP-Adressen in Kombination mit anderen Daten und Werbe-IDs einschließt. In der Praxis verarbeiten Cookies, Pixel-Tracking, Geräte-Fingerprinting und für Cross-Site-Werbung verwendete Identitätsgraphen alle personenbezogene Daten nach australischem Recht und fallen vollständig in den Geltungsbereich der Einhaltung der Australian Privacy Principles (APP).

Wie die Cookie-Einwilligung nach australischem Recht im Jahr 2026 funktioniert

Das australische Recht verlangt derzeit kein vollständiges GDPR-artiges Opt-in-Banner für alle Cookies. Aber es ist auch keine Freizone, und mehrere neuere Entwicklungen haben die Anforderungen verschärft.

APP 3 — Erhebung erfordert Benachrichtigung

Das Australian Privacy Principle 3 verlangt, dass personenbezogene Daten nur auf rechtmäßige und faire Weise unter Angabe des Zwecks erhoben werden. Für Cookies, die personenbezogene Daten erheben, bedeutet das, dass vor oder zum Zeitpunkt der Erhebung eine sichtbare, informative Benachrichtigung vorgelegt werden muss. Verdecktes Tracking erfüllt APP 3 nicht.

APP 6 — Nutzung und Offenlegung erfordern Zweckübereinstimmung

Personenbezogene Daten dürfen nur für den Zweck, für den sie erhoben wurden, für einen vernünftigerweise damit zusammenhängenden sekundären Zweck oder mit Einwilligung der Person verwendet werden. Das Teilen von Cookie-abgeleiteten Daten mit einer digitalen Werbeplattform für kontextübergreifende Verhaltenswerbung fällt typischerweise außerhalb des primären Zwecks, was es in Richtung Einwilligung drängt.

OAIC-Leitlinien zum Tracking

Die OAIC-Leitlinien von 2024 zu Tracking-Technologien sind eindeutig: Einrichtungen sollten einen klaren Mechanismus bereitstellen, über den Einzelpersonen dem Tracking widersprechen können, und für jeden Anwendungsfall, der sensible Informationen oder die Profilerstellung für wesentliche Entscheidungen umfasst, erwartet das OAIC eine Opt-in-Einwilligung. Das platziert gezielte Werbung, programmatisches Retargeting, Session-Replay und Verhaltensanalysen in der Praxis fest im Opt-in-Bereich, auch wenn das Gesetz es noch nicht in jedem Fall vorgeschrieben hat.

Die praktische CMP-Konfiguration für 2026

Die meisten in Australien tätigen Publisher betreiben jetzt ein CMP, das ein Drei-Zustands-Banner präsentiert: Akzeptieren, Ablehnen und Anpassen. Für EU- oder UK-Traffic ist Opt-in streng. Für australischen Traffic ist Opt-in der empfohlene Standard für gezielte Werbung und Session-Replay, während Analytics oft unter einem Benachrichtigungs-und-Auswahl-Modell betrieben werden kann, solange IP-Anonymisierung und Datensparsamkeit vorhanden sind.

Der gesetzliche Schadensersatz — Was er tatsächlich ermöglicht

Der neue gesetzliche Schadensersatz ist in praktischer Hinsicht die bedeutendste Änderung für digitale Werbetreibende. Bisher konnte nur das OAIC Datenschutzrechte durchsetzen, und individuelle Rechtsmittel waren begrenzt. Der gesetzliche Schadensersatz ändert das.

Was ist ein schwerwiegender Eingriff in die Privatsphäre?

Der Anspruch umfasst vorsätzliches oder rücksichtsloses Verhalten, das einen schwerwiegenden Eingriff in die Privatsphäre verursacht, entweder durch Eindringen in die Abgeschiedenheit oder durch Missbrauch privater Informationen. Gerichte werden die Schwere gegen das öffentliche Interesse und andere Überlegungen abwägen.

Warum Werbetreibende aufhorchen sollten

Aggressives Tracking, insbesondere Session-Replay, das Tastatureingaben und Cursor-Verhalten auf sensiblen Seiten erfasst, Fingerprinting, das das Opt-out eines Nutzers umgeht, oder die unbefugte Verknüpfung anonymen Verhaltens mit einer namentlich genannten Identität — all das sind nun plausible Tatsachengrundlagen für einen Schadensersatzanspruch. Erwarten Sie, dass Klägeranwälte 2026 damit beginnen werden, die Grenzen auszutesten. Australien hat nicht die Sammelklagenkultur der Vereinigten Staaten, aber Verbandsklageformen sind möglich und einige Kanzleien positionieren sich offensichtlich dafür.

Children's Online Privacy Code

Der Children's Online Privacy Code ist das einzeln spezifischste Stück neuer Regulierung für Publisher, deren Websites wahrscheinlich von Kindern aufgerufen werden.

Wer im Geltungsbereich liegt

Der Kodex gilt für Social-Media-Dienste, relevante elektronische Dienste, auf die Kinder wahrscheinlich zugreifen werden, und bestimmte bezeichnete Internetdienste. In der Praxis reicht das weit über reine Kinderseiten hinaus — jede Plattform für breite Zielgruppen, auf die eine nennenswerte Anzahl Minderjähriger zugreift, wird wahrscheinlich erfasst, und das OAIC wird voraussichtlich eine inklusive Auslegung vornehmen.

Im Kodex erwartete Kernpflichten

• Datenschutzfreundliche Standardeinstellungen für Nutzer unter 18 Jahren
• Einschränkungen bei gezielter Werbung für Minderjährige
• Verbote von Dark Patterns, die Kinder zu schwächeren Datenschutzeinstellungen drängen
• Altersgerechte Erklärungen zum Datenumgang
• Bewertungen des Kindeswohls vor der Bereitstellung von Funktionen, die ihre personenbezogenen Daten verarbeiten

Was jetzt vorzubereiten ist

Publisher, deren Zielgruppe eine erhebliche Anzahl von Besuchern unter 18 Jahren umfasst, sollten damit beginnen, ihren Tracking-Stack, ihre Werbekonfiguration und ihre Standardeinstellungen zu überprüfen bevor der Kodex abgeschlossen ist. Nachträgliche Anpassungen sind typischerweise teurer und störender als die Gestaltung von Compliance von Anfang an im Stack.

Durchsetzungshaltung im Jahr 2026

Das OAIC hat zusammen mit den Reformen erheblich erweiterte Ressourcen erhalten. Die Prüfungstätigkeit hat zugenommen, und der Kommissar hat einen öffentlicheren Durchsetzungsansatz signalisiert.

In Kraft befindliche Sanktionen

Die maximale Zivilstrafe für schwerwiegende oder wiederholte Eingriffe in die Privatsphäre beträgt das Höhere von AUD 50 Millionen, dem Dreifachen des durch das Verhalten erlangten Vorteils oder 30 Prozent des bereinigten Umsatzes der Einrichtung während des Verstoßzeitraums. Die Reform führte auch eine zweite Ebene von Sanktionen für jeden Eingriff in die Privatsphäre ein, der den Schweregrad-Schwellenwert nicht erreicht, und gibt dem OAIC kalibrierte Durchsetzungsinstrumente.

Meldepflichtige Datenpannen

Australien hat seit 2018 ein obligatorisches Datenpannen-Meldeschema, und das OAIC war nach den großen australischen Datenpannen-Vorfällen von 2022 und 2023 sichtlich aggressiv bei der Durchsetzung. Jeder Cookie- oder Tracking-bezogene Vorfall, der zu einer unbefugten Offenlegung führt, fällt wahrscheinlich in den Geltungsbereich.

Grenzüberschreitende Übermittlungen und globaler Traffic

Das Australian Privacy Principle 8 verlangt, dass Einrichtungen angemessene Schritte unternehmen, um sicherzustellen, dass Empfänger im Ausland personenbezogene Daten in Übereinstimmung mit den APPs verarbeiten. Für einen Publisher, der globale Ad-Tech-Lösungen einsetzt, bedeutet das entweder eine Jurisdiktion mit im Wesentlichen ähnlichen Gesetzen, eine vertragliche verbindliche Zusage des ausländischen Empfängers oder die informierte Einwilligung der Person.

Übermittlungen in die Vereinigten Staaten

Den US wird derzeit nicht bescheinigt, im Wesentlichen ähnliche Gesetze zu haben. Übermittlungen an US-Ad-Tech-Anbieter erfordern daher entweder verbindliche vertragliche Zusagen oder ausdrückliche Einwilligung. Publisher, die sich auf Data Privacy Framework-Zertifizierungen verlassen — die EU-US-Übermittlungen abdecken — sollten beachten, dass diese Zertifizierungen das australische APP-8-Erfordernis nicht automatisch erfüllen.

Audit-Checkliste für australischen Traffic im Jahr 2026

• Das CMP präsentiert klare Optionen „Akzeptieren“, „Ablehnen“ und „Anpassen“ mit gleichwertiger visueller Prominenz für australischen Traffic
• Gezielte Werbung, Retargeting und Session-Replay erfordern Opt-in-Einwilligung; Analytics laufen unter Benachrichtigung und Datensparsamkeit
• Die Datenschutzrichtlinie identifiziert klar Cookies, Pixel-Tracking und Werbe-IDs mit einer Zweckerklärung, die auf APP 3 und APP 6 ausgerichtet ist
• Grenzüberschreitende Übermittlungsmechanismen sind für jeden nicht-australischen Verarbeiter dokumentiert (Anbieterliste, vertragliche Schutzmaßnahmen oder Einwilligung)
• Automatisierte Entscheidungsfindung wird offengelegt, wenn wesentliche Entscheidungen mithilfe solcher Systeme getroffen werden
• Die Bereitschaftsbewertung für den Children's Online Privacy Code ist abgeschlossen, mit verfügbaren datenschutzfreundlichen Standardeinstellungen für erkannte minderjährige Nutzer
• Die Doxxing-Risikoprüfung ist für jede Funktionalität abgeschlossen, die nutzereingereichte personenbezogene Daten veröffentlichen könnte
• Der Datenpannen-Reaktionsplan ist auf das 30-Tage-Meldezeitfenster und das aktuelle OAIC-Berichtsformat abgestimmt

Der Ausblick für 2026

Australien befindet sich inmitten eines strukturellen Wandels von einem leichteren Datenschutzregime zu einem, das den europäischen und kalifornischen Rahmenbedingungen zunehmend ähnelt — mit seinen eigenen australischen Besonderheiten. Die erste Tranche ist bereits durchsetzbar und gestaltet die Rechtsprechung bereits neu. Die zweite Tranche, einschließlich der Einschränkung der Kleinunternehmerausnahme und der expliziten Regulierung gezielter Werbung, wird voraussichtlich 2026 oder 2027 in Kraft treten. Publisher und Werbetreibende, die in einen GDPR-tauglichen Einwilligungs-Stack investiert haben, verfügen bereits über den Großteil der Infrastruktur, die sie für die Compliance benötigen. Diejenigen, die sich auf Australiens historisch leichtere Haltung verlassen haben, treten mit bekannten Lücken in das neue Regime ein. Der richtige Schritt ist, diese Lücken jetzt zu schließen — bevor der gesetzliche Schadensersatz, der Kinderkodex oder eine OAIC-Prüfung die Frage in einem Zeitrahmen erzwingen, den niemand kontrolliert.