Was das UU PDP abdeckt und wen es betrifft

Das UU PDP ist Indonesiens erstes umfassendes Datenschutzgesetz. Vor seiner Verabschiedung waren die Datenschutzregeln in Indonesien auf sektorale Regelungen verteilt — Bankwesen, Telekommunikation, E-Commerce, elektronische Systeme. Das UU PDP konsolidiert diese zu einem einzigen horizontalen Regelwerk, das für jeden Verantwortlichen oder Auftragsverarbeiter gilt, der personenbezogene Daten indonesischer Betroffener verarbeitet, unabhängig davon, wo der Verantwortliche niedergelassen ist.

Diese extraterritoriale Reichweite ist für ausländische Publisher die wichtigste Tatsache. Ein in den USA, der EU oder Singapur ansässiger Publisher, der Inhalte an Nutzer liefert, die sich physisch in Indonesien befinden, unterliegt dem UU PDP. Der Präsenztest ist funktional, nicht formal: Wenn der Verantwortliche indonesische Nutzer anspricht — durch Bahasa Indonesia-Inhalte, indonesische Zahlungsoptionen oder geografisch ausgerichtete Werbung — gilt das UU PDP in vollem Umfang.

Der Einwilligungsstandard nach Article 22

Article 22 des UU PDP definiert die Einwilligung und ist der Grundstein jedes Cookie-Banners, das auf indonesischen Traffic ausgerichtet ist. Der Artikel verlangt, dass die Einwilligung:

• Ausdrücklich ist — Schweigen, vorausgefüllte Kästchen und die Fortsetzung der Website-Nutzung stellen keine Einwilligung dar. Der Nutzer muss eine positive Handlung vornehmen.
• Spezifisch ist — die Einwilligung muss an einen definierten Verarbeitungszweck geknüpft sein. Ein einziger Accept-All-Button, der zehn verschiedene Zwecke abdeckt, ist äußerst angreifbar.
• Informiert ist — die betroffene Person muss vor der Einwilligung die Identität des Verantwortlichen, die Datenkategorien, die Zwecke, die Aufbewahrungsfrist, die Empfänger und ihre Rechte erhalten.
• Schriftlich dokumentiert oder elektronisch aufgezeichnet ist — Article 22(3) verlangt, dass der Verantwortliche die Einwilligung nachweisen kann. Ein zeitgestempeltes Einwilligungsprotokoll, das einem gehashten Nutzeridentifikator zugeordnet ist, erfüllt diese Anforderung; eine vage Behauptung, dass der Nutzer auf Akzeptieren geklickt hat, nicht.
• Unter gleichwertigen Bedingungen widerrufbar ist — der Widerruf muss genauso einfach sein wie die ursprüngliche Erteilung. Ein Ablehnungspfad, der drei Klicks erfordert, während die Annahme einen erfordert, ist nicht konform.

Fachleute werden diese Anforderungen wiedererkennen: Sie entsprechen nahezu eins zu eins dem Article 7 der DSGVO. Die Unterschiede liegen im Umfang und der Durchsetzung, nicht im Konzept.

Rechtsgrundlagen jenseits der Einwilligung

Wie die DSGVO erkennt das UU PDP für bestimmte Verarbeitungen andere Rechtsgrundlagen als die Einwilligung an. Article 20 listet sechs Rechtsgrundlagen auf: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigtes Interesse. Für die meisten Cookie- und Tracking-Aktivitäten steht jedoch realistisch nur die Einwilligung zur Verfügung, da die strikte Notwendigkeitsausnahme für Cookies, die zur Erbringung eines vom Nutzer angeforderten Dienstes unerlässlich sind, eng gefasst ist und sich nicht auf Werbung oder Analysen erstreckt.

Die Ausnahme der strikten Notwendigkeit

Session-Cookies, Login-Cookies, Sprachpräferenz-Cookies und Warenkorb-Cookies fallen unter Vertragserfüllung oder berechtigtes Interesse mit sehr geringem Risiko. Sie erfordern keine ausdrückliche Einwilligung, obwohl ihre Kategorien weiterhin in der Datenschutzerklärung offengelegt werden müssen. Alles andere — Analysen, Werbung, Retargeting, Drittanbieter-Pixel, Fingerprinting — erfordert eine Einwilligung gemäß Article 22.

Kinderdaten

Article 25 verlangt die elterliche Einwilligung für jede Verarbeitung von Daten betroffener Personen unter 18 Jahren. Dies ist strenger als das DSGVO-Standard-Digitaleinwilligungsalter von 16 Jahren (das Mitgliedstaaten auf 13 senken können). Ein Publisher, der kindgerechte Inhalte auf Bahasa Indonesia anbietet, sollte die Schwelle als 18 behandeln und einen elterlichen Verifikationsablauf konfigurieren, kein Selbsterklärungskästchen.

Grenzüberschreitende Datenübertragungen

Article 56 regelt die Übertragung personenbezogener Daten außerhalb Indonesiens. Ein Verantwortlicher darf Daten nur dann in ein anderes Land übertragen, wenn mindestens eine von drei Bedingungen erfüllt ist: Das Zielland hat ein angemessenes Schutzniveau für personenbezogene Daten vergleichbar mit dem UU PDP, es sind geeignete Garantien vorhanden, oder die betroffene Person hat ausdrücklich in die Übertragung eingewilligt.

Das indonesische Ministerium für Kommunikation und Informatik (Kominfo) hat noch keine Angemessenheitsliste veröffentlicht. In der Praxis stützen sich Publisher, die Daten in GDPR-Jurisdiktionen, in die Vereinigten Staaten, nach Singapur oder nach Australien übertragen, auf geeignete Garantien — typischerweise Standardvertragsklauseln, die an das UU PDP angepasst sind, mit einer verbindlichen Klausel, dass nachgelagerte Unterauftragsverarbeiter die UU PDP-Rechte einhalten. Für Werbetechnologie-Anbieter, die aus mehreren Regionen operieren, muss Ihr Datenverarbeitungsvertrag spezifizieren, welche Regionen indonesische Nutzerdaten verarbeiten und welche Garantien bei jedem Schritt gelten.

Betroffenenrechte und das 72-Stunden-Fenster

Das UU PDP gewährt indonesischen Betroffenen Rechte, die denen der DSGVO sehr ähnlich sind: Auskunft, Berichtigung, Löschung, Widerspruch gegen die Verarbeitung, Datenportabilität und das Recht, automatisierte Entscheidungen anzufechten. Zwei Besonderheiten sind für Publisher relevant.

Erstens verlangt Article 30, dass der Verantwortliche auf einen Rechteantrag innerhalb einer angemessenen Zeit antwortet, die die Durchführungsverordnung auf drei Werktage für die Bestätigung und maximal vierzehn Werktage für die inhaltliche Antwort festgelegt hat. Das ist schneller als die einmonatige DSGVO-Standardfrist.

Zweitens verlangt Article 46 die Meldung einer Verletzung des Schutzes personenbezogener Daten an die betroffenen Personen und an die Datenschutzbehörde innerhalb von 3 x 24 hours — also 72 Stunden nach dem Zeitpunkt, zu dem der Verantwortliche von der Verletzung Kenntnis erlangt hat. Die Uhr beginnt zu laufen, wenn der Verantwortliche die Verletzung bestätigt hat, nicht wenn er sie hätte entdecken können.

Sanktionen und jüngste Durchsetzung

Das UU PDP-Sanktionssystem hat mehr Biss, als viele Publisher anfangs erkannt haben. Article 57 sieht Verwaltungssanktionen von bis zu 2 % des Jahresumsatzes vor. Article 67 to 73 sehen strafrechtliche Sanktionen von bis zu sechs Jahren Freiheitsstrafe und Geldstrafen von bis zu 6 Milliarden rupiah für die schwerwiegendsten Verstöße vor, einschließlich unzulässiger Erhebung personenbezogener Daten und unzulässiger Offenlegung.

Bis 2025 befand sich die Durchsetzung in einer sanften Anlaufphase, in der Kominfo Warnbriefe und Abhilfeanordnungen anstelle von Bußgeldern ausstellte. Diese Phase endete Anfang 2026. Die erste große Verwaltungssanktion nach dem UU PDP — gegen einen inländischen E-Commerce-Betreiber im März 2026 für unzureichende Meldung einer Datenpanne und fehlende elterliche Einwilligung bei einer auf Minderjährige ausgerichteten Produktlinie — setzte ein klares Signal, dass die Durchsetzung nun aktiv ist.

Wie ein konformes Publisher-Banner aussieht

Für einen Publisher, der 2026 indonesischen Traffic bedient, ist die praktische Konfiguration:

Das Banner auf Bahasa Indonesia lokalisieren

Die Anforderung der informierten Einwilligung aus Article 22 wird nicht durch ein englischsprachiges Banner erfüllt, das einem Bahasa-sprechenden Nutzer angezeigt wird. Das CMP muss indonesische Nutzer erkennen — per Geolokalisierung, IP oder Accept-Language-Header — und das Banner, die Datenschutzerklärung und die granularen Einstellungen auf Bahasa Indonesia ausliefern.

Einwilligung nur als Opt-in behandeln

Kein Tracking-, Werbe- oder Analyse-Script darf ausgelöst werden, bevor der Nutzer ausdrücklich zugestimmt hat. Vorausgefüllte Kategorien, implizite Einwilligung durch weiteres Surfen und Hinweise „by using this site you agree“ sind allesamt nicht konform.

Dokumentierte Einwilligungsprotokolle führen

Article 22(3) ist eindeutig: Der Verantwortliche muss in der Lage sein, Belege vorzulegen. Ein Einwilligungsprotokoll, das einen Nutzeridentifikator einem Zeitstempel, der Version des angezeigten Banners und den getroffenen Entscheidungen zuordnet, ist das Dokument, das Kominfo bei jeder Prüfung oder Beschwerdeuntersuchung anfordern wird.

Widerruf wirklich gleichwertig gestalten

Ein dauerhaft schwebendes Einwilligungssymbol, eine Ein-Klick-Ablehnung auf der Seite der Datenschutzeinstellungen oder ein deutliches Abonnement in jeder datenspeichernden E-Mail — jedes ist eine vernünftige Umsetzung. Ein vergrabener Link in einer 4000 Wörter langen Datenschutzerklärung ist es nicht.

Alles zusammenführen

Das UU PDP ist kein DSGVO-Klon, aber es ist nah genug daran, dass Publisher mit ausgereiften europäischen Compliance-Programmen ihre bestehende Einwilligungsinfrastruktur mit gezielten Anpassungen auf Indonesien ausweiten können: Bahasa-Lokalisierung, eine Altersschwelle von 18 Jahren für die elterliche Einwilligung, die 72-stündige Verletzungsmeldung und Standardvertragsklauseln, die das UU PDP ausdrücklich abdecken. Publisher ohne diese Infrastruktur sollten das UU PDP als Auslöser betrachten, sie aufzubauen. Die indonesische Durchsetzung ist jetzt aktiv, und die Kosten für Abhilfemaßnahmen nach Beginn einer Kominfo-Untersuchung sind einheitlich höher als die Kosten, das Banner vor dem Start richtig zu konfigurieren.