Hong Kong PDPO Cookie-Einwilligung Compliance-Leitfaden für Publisher im Jahr 2026

Hongkongs Personal Data (Privacy) Ordinance (PDPO) ist eines der ältesten umfassenden Datenschutzgesetze Asiens und trat 1996 in Kraft. Für den Großteil seiner Geschichte nahm das PDPO eine seltsame Stellung ein: strukturell solide, entwickelte sich aber langsam durch Auslegung statt durch Änderungen. Der Privacy Commissioner for Personal Data (PCPD) war der aktive Motor dieser Entwicklung und veröffentlichte Leitlinien, die den operativen Standard Hongkongs schrittweise an europäische Normen angeglichen haben, während sich die zugrundeliegende Gesetzgebung weniger dramatisch verändert hat als in Singapur, Australien oder sogar Mainland China. Die Änderungen von 2021 befassten sich speziell mit Doxing, aber das umfassendere Datenschutzregime funktioniert weiterhin unter dem ursprünglichen PDPO-Rahmen, wie er durch fast drei Jahrzehnte PCPD-Leitlinien interpretiert wurde. Für Publisher und SaaS-Betreiber, die Hongkonger Traffic bedienen — einem Markt, der eine der größten Konzentrationen von Finanzdienstleistungsaktivitäten in Asien und einen bedeutenden Anteil des regionalen E-Commerce umfasst — ist das PDPO-Compliance-Bild im Jahr 2026 eines mit einem reifen Regulierer, moderat strengen Standards und ungewöhnlich klaren Leitliniendokumenten. Dieser Artikel erläutert, was das PDPO verlangt, wo der PCPD den Rahmen auf Online-Tracking angewendet hat, und die betrieblichen Auswirkungen auf das Cookie-Banner-Design.

Das PDPO im Überblick

Das PDPO ist um sechs Data Protection Principles (DPPs) organisiert, die die Erhebung, Richtigkeit, Aufbewahrung, Nutzung, Sicherheit und Offenheit personenbezogener Daten regeln. Die Grundsätze sind fast zwei Jahrzehnte älter als die GDPR und verwenden eine etwas andere Terminologie, aber die inhaltlichen Standards haben sich durch Auslegung angeglichen. DPP1 (Zweck und Art der Erhebung), DPP3 (Nutzung personenbezogener Daten) und DPP5 (allgemein zugängliche Informationen) sind die Grundsätze, die für Online-Tracking am direktesten relevant sind.

Die Verordnung gilt für jeden Datennutzer — Hongkongs Begriff für das, was die GDPR als Verantwortlichen bezeichnet — der die Erhebung, Speicherung, Verarbeitung oder Nutzung personenbezogener Daten kontrolliert. Der territoriale Geltungsbereich war ein umstrittener Bereich: Das PDPO geht extraterritorialen Doktrinen voraus, und der PCPD hat historisch eine konservativere Sichtweise als der EDPB zur Offshore-Durchsetzung eingenommen. In der Praxis beansprucht der PCPD die Zuständigkeit über Offshore-Betreiber, die auf in Hongkong ansässige Personen abzielen oder Hongkonger Daten mit ausreichendem Bezug verarbeiten, und Betreiber, die Hongkonger Traffic bedienen, sollten planen, als ob der extraterritoriale Geltungsbereich gilt.

Wie das PDPO Cookies und Online-Tracking behandelt

Das PDPO enthält keine cookie-spezifische Bestimmung; die Einwilligungs- und Informationspflichten ergeben sich aus den DPPs und aus dem PCPD 2022 Guidance Note zu Online-Tracking und Behavioral Advertising. Der Leitfaden ist eines der klarsten Dokumente zur asiatischen Cookie-Compliance und formuliert Erwartungen, die eng mit der Position der EDPB Cookie Banner Taskforce übereinstimmen.

Ausdrückliche Einwilligung für nicht wesentliches Tracking

Die Position des PCPD ist, dass die Einwilligung für nicht wesentliches Tracking ausdrücklich sein muss. Implizite Einwilligung, fortgesetzte Nutzung und vorangekreuzte Kästchen erfüllen nicht das Erfordernis von DPP1 für spezifisch und informiert, wenn es im Online-Kontext ausgelegt wird. Der Guidance Note nennt ausdrücklich Scrollen-als-Einwilligung als fehlerhaftes Muster.

Granulare Kategoriesteuerungen

Banner müssen dem Benutzer ermöglichen, Kategorien unabhängig zu akzeptieren und abzulehnen. Der Leitfaden behandelt den Einzel-Button alles akzeptieren ohne ein gleichwertiges Ablehnen als strukturellen Fehler und identifiziert die Falschkennzeichnung von Marketing-Cookies als streng notwendig als gesonderten Verstoß.

Inhalt der Datenschutzmitteilung

DPP5 war historisch einer der am aktivsten durchgesetzten Grundsätze. Datenschutzmitteilungen müssen den Datennutzer, die Zwecke, die Empfänger (einschließlich Übermittlungsempfänger), den Rechtsrahmen nach DPP6 (Zugang und Berichtigung) und eine Kontaktstelle für Anfragen identifizieren. Der PCPD hat klargestellt, dass allgemeine Boilerplate-Hinweise DPP5 nicht erfüllen — die Offenlegung muss die tatsächliche Verarbeitung widerspiegeln.

Grenzüberschreitende Übermittlung (Section 33)

Section 33 des PDPO regelt grenzüberschreitende Übermittlungen und war für den Großteil der Geschichte der Verordnung das ungewöhnlichste Merkmal des Regimes: Der Abschnitt wurde 1995 verabschiedet, aber vom Staatssekretär nie in Kraft gesetzt. Der PCPD hat dennoch Mustervertragsklauseln herausgegeben und betrachtet Section-33-ähnliche Schutzmaßnahmen als in der Praxis erforderlich für Übermittlungen in Nicht-Hongkong-Jurisdiktionen. Der Rechtsstatus ist mehrdeutig — Section 33 ist Gesetz, aber nicht operativ — aber die betriebliche Erwartung entspricht dem Chapter V der GDPR.

Die Durchsetzungshaltung des PCPD

Der PCPD operiert mit einem charakteristischen Durchsetzungsstil, der sich von größeren europäischen Datenschutzbehörden auf drei beobachtbare Weisen unterscheidet.

Intensive Nutzung von Compliance-Untersuchungen

Das primäre Durchsetzungsinstrument des PCPD ist die Compliance-Untersuchung, die in einem Durchsetzungsbescheid statt einer Geldstrafe gipfelt. Bescheide erfordern eine Abhilfe innerhalb eines festgelegten Zeitrahmens und werden in der Regel ohne finanzielle Sanktion gelöst. Zivilrechtliche Sanktionen existieren, wurden aber sparsam eingesetzt.

Öffentlicher Kommentar als Durchsetzungssignal

Der PCPD veröffentlicht detaillierte Untersuchungsberichte für hochkarätige Fälle, die in Abwesenheit starker präzedenzschaffender Bußgelder als Fallrecht fungieren. Betreiber lesen diese Berichte sorgfältig, weil sie spezifische Erwartungen formulieren, die möglicherweise nicht in formalen Leitlinien erscheinen.

Koordination mit dem Festland

Grenzüberschreitende Untersuchungen, die Datenflüsse zwischen Hongkong und Mainland China betreffen, werden zunehmend durch koordinierte Verfahren mit der Cyberspace Administration of China abgewickelt. Die extraterritoriale Reichweite des PIPL und Hongkongs Position im wirtschaftlichen Rahmen der Greater Bay Area machen diese Koordination betrieblich folgenreicher, als sie in den meisten Jurisdiktionen wäre.

Eine praktische Compliance-Checkliste

Sechs konkrete Fragen, die für jedes Cookie-Banner zu beantworten sind, das Hongkonger Traffic bedient.

Wo Hongkong in einen Multi-Jurisdiktions-Stack passt

Hongkong ist das ausgereifteste Datenschutzregime in Greater China und dient als de-facto-Einstiegspunkt für grenzüberschreitende Datenflüsse zwischen Mainland China und dem Rest der Welt. Für Publisher, die auf pan-asiatische Operationen hinarbeiten, steht das PDPO neben Singapurs PDPA, Japans APPI und Südkoreas PIPA als die vier betrieblich bedeutendsten asiatischen Regime. Das PDPO ist das permissivste der vier auf dem Papier, aber das anspruchsvollste in Bezug auf Dokumentationsqualität, weil der untersuchungsgesteuerte Durchsetzungsstil des PCPD eine gut geschriebene Datenschutzmitteilung zur stärksten einzelnen Verteidigungslinie macht. Eine nach europäischen Standards aufgebaute CMP-Architektur bewältigt den Großteil der Hongkonger Compliance mit zwei Ergänzungen: Traditional Chinese-Sprachunterstützung und das grenzüberschreitende Übermittlungs-Dokumentationsmuster, das Section 33 impliziert, auch wenn es nicht formell in Kraft ist. Für Betreiber, die Hongkong von offshore aus bedienen, ist die praktische Haltung, den PCPD 2022 Guidance Note als maßgebliches Dokument zu behandeln und gegen seine spezifischen Fehlermuster zu entwerfen, statt gegen den älteren PDPO-Text allein.

← Blog Alle lesen →