Leitfaden zur Cookie-Einwilligung nach dem israelischen Privacy Protection Law: Compliance mit Amendment 13 für Publisher

Das israelische Privacy Protection Law hat eine lange Geschichte. Das ursprüngliche Gesetz stammt aus dem Jahr 1981, die Privacy Protection Authority — die Datenschutzaufsichtsbehörde des Landes — wurde 2006 gegründet, und die EU hat Israel seit 2011 als angemessenes Drittland für die Übermittlung personenbezogener Daten anerkannt, als eines von nur wenigen Ländern mit diesem Status. Während des größten Teils dieser Zeit waren die materiellen Standards weitgehend an die GDPR angelehnt, doch die Durchsetzungsarchitektur war leichter und die technischen Einzelheiten weniger ausgearbeitet. Amendment 13, das im August 2025 in Kraft trat, ändert dies. Die Novelle modernisiert den Einwilligungsstandard, erweitert den Rechterahmen, verschärft die Regeln für grenzüberschreitende Datenübermittlungen und stärkt die Durchsetzungsbefugnisse der Privacy Protection Authority erheblich. Für Publisher, die in Israel tätig sind oder israelischen Traffic ansprechen — einen Markt mit einer der digital aktivsten Bevölkerungen weltweit — bedeutet dies praktisch, dass die Anforderungen an Cookie-Einwilligungen und Online-Tracking-Compliance nun deutlich näher am europäischen Standard liegen. Dieser Leitfaden erläutert, was sich geändert hat, wie der aktuelle Betriebsstandard aussieht und worauf Publisher ihre Anpassungsmaßnahmen konzentrieren sollten.

Das Privacy Protection Law im Jahr 2026

Das israelische Rahmenwerk besteht aus drei Ebenen: dem Privacy Protection Law selbst (dem Hauptgesetz), den Privacy Protection Regulations (die operative Details ausfüllen, insbesondere die Data Security Regulations von 2017) und den Richtlinien und Positionspapieren der Privacy Protection Authority. Amendment 13 ändert die erste Ebene und löst Aktualisierungen der zweiten aus; die dritte — die Auslegungshinweise der Behörde — wird seit Inkrafttreten der Novelle fortlaufend aktualisiert.

Die Grundprinzipien sind jedem vertraut, der mit der GDPR arbeitet: Rechtsgrundlage, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Rechenschaftspflicht. Die Rechtsgrundlagen nach israelischem Recht umfassen Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, öffentliches Interesse und berechtigtes Interesse, jeweils mit eigenem Anwendungsbereich. Für Online-Tracking sind die relevanten Grundlagen die Einwilligung und unter engen Voraussetzungen das berechtigte Interesse — dasselbe Rahmenwerk, das die meisten Betreiber bereits kennen.

Was Amendment 13 tatsächlich geändert hat

Die Novelle geht über Cookie-Einwilligungen hinaus, aber vier Änderungen sind für Online-Publisher am wichtigsten.

Verschärfter Einwilligungsstandard

Die Novelle verschärft die Definition der Einwilligung dahingehend, dass sie freiwillig, spezifisch, informiert und unmissverständlich erteilt werden muss — eine Formulierung, die eng an GDPR Article 4(11) angelehnt ist. Stillschweigende Einwilligung und die Weiternutzung als Einwilligung, die unter der älteren Auslegung zweideutig akzeptabel waren, sind nun eindeutig unzureichend für nicht-essentielles Tracking.

Erweiterte Betroffenenrechte

Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsrechte werden präzisiert und erweitert. Die Novelle führt ausdrückliche Fristen für Antworten ein (45 Tage, in komplexen Fällen um 30 verlängerbar) und stellt die Pflicht des Publishers klar, einen eindeutigen Weg zur Ausübung der Rechte bereitzustellen.

Verschärftes Rahmenwerk für grenzüberschreitende Übermittlungen

Übermittlungen in nicht-angemessene Drittländer erfordern nun ausdrückliche Schutzmaßnahmen — Standardvertragsklauseln, BCR oder bestimmte Ausnahmen. Das Rahmenwerk ist näher an Chapter V der GDPR als der ältere israelische Ansatz, und die Behörde hat begonnen, Musterklauseln zu veröffentlichen, die den EU-SCCs ähneln.

Stärkere Durchsetzungsbefugnisse

Die Verwaltungsstrafen wurden erheblich angehoben. Die Höchststrafe ist an einen Prozentsatz des Unternehmensumsatzes mit einer hohen absoluten Obergrenze gekoppelt, ähnlich der abgestuften Struktur der GDPR. Die Behörde hat erweiterte Ermittlungsbefugnisse erhalten, einschließlich der Möglichkeit, die Vorlage von Dokumenten zu erzwingen und Vor-Ort-Inspektionen durchzuführen.

Cookie-Einwilligung nach dem geänderten Standard

Das Privacy Protection Law enthält keine Cookie-spezifische Bestimmung wie die ePrivacy-Richtlinie der EU. Stattdessen ergibt sich die Einwilligungspflicht aus dem allgemeinen Einwilligungsstandard und aus den Auslegungshinweisen der Behörde. Die 2026 veröffentlichte Leitlinie zum Online-Tracking, die kurz nach Inkrafttreten von Amendment 13 erschien, formuliert Erwartungen, die eng an die Kriterien der EDPB Cookie Banner Taskforce angelehnt sind.

Erforderliche Banner-Elemente

Die Behörde erwartet, dass Banner eine ausdrückliche Ablehnungsoption auf der ersten Ebene enthalten, granulare Kategoriekontrollen, die strikt notwendige Cookies von Analytics und Marketing trennen, sowie einen klaren Widerrufsmechanismus. Vorangekreuzte Kontrollkästchen und irreführendes Link-Design sind ausdrückliche Mängel. Die Erwartung ist eine Angleichung an europäische Normen, und jedes Banner, das einer EU-Prüfung standhält, wird auch die Behörde zufriedenstellen.

Anforderung der hebräischen Sprache

Banner, die israelischen Traffic bedienen, sollten auf Hebräisch verfügbar sein. Die Behörde hat dies nicht als strikte Anforderung formalisiert, aber in ihren Leitlinien angemerkt, dass die Verfügbarkeit auf Hebräisch Teil des Kriteriums der «informierten» Einwilligung für hebräischsprachige Zielgruppen ist.

Dokumentation und Rechenschaftspflicht

Der Grundsatz der Rechenschaftspflicht im israelischen Recht entspricht dem der GDPR. Publisher müssen in der Lage sein, Einwilligungsentscheidungen auf Verlangen nachzuweisen. Audit-taugliche Protokollierung — Zeitstempel, Banner-Version, Auswahl, Besucherjurisdiktion — ist die praktische Anforderung.

Die EU-Angemessenheitsfrage

Israels EU-Angemessenheitsentscheidung ist eines der strategisch wichtigsten Merkmale seines Datenschutzregimes. Die Entscheidung von 2011 ermöglicht den Fluss personenbezogener Daten aus der EU nach Israel ohne zusätzliche Schutzmaßnahmen, wodurch israelische Betreiber für europäische Unternehmen deutlich attraktivere Partner sind als Betreiber in nicht-angemessenen Drittländern. Das periodische Überprüfungsverfahren der Kommission verlangt, dass Israels Rahmenwerk mit den europäischen Standards Schritt hält. Amendment 13 war in erheblichem Maße durch das Ziel motiviert, die Angemessenheit über den nächsten Überprüfungszyklus hinaus aufrechtzuerhalten.

Für Publisher bedeutet dies praktisch, dass die Einhaltung des geänderten israelischen Rahmenwerks nicht nur der Vermeidung inländischer Durchsetzungsmaßnahmen dient, sondern auch der Wahrung des Angemessenheitsstatus des Landes und des damit verbundenen privilegierten Zugangs zu europäischen Datenflüssen. Die Durchsetzungsprioritäten der Behörde spiegeln dies wider — Mängel im Banner-Design auf israelischen Websites werden von der Behörde ernster genommen als dieselben Mängel in nicht-angemessenen Drittländern, da sie systemische Auswirkungen auf die Angemessenheit haben.

Die Durchsetzungshaltung der Privacy Protection Authority

Die Behörde agiert innerhalb des Justizministeriums, verfügt aber über erhebliche operative Unabhängigkeit. Ihre Durchsetzungshaltung war historisch maßvoll — Kapazitätsaufbau, Branchenkonsultationen und gezielte öffentlichkeitswirksame Fälle statt Massenabstrafen — aber das erweiterte Instrumentarium von Amendment 13 hat das Muster spürbar verändert.

Auslöser für Ermittlungen

Die Behörde leitet Ermittlungen hauptsächlich über drei Kanäle ein: Beschwerden von Betroffenen, Meldungen von Datenschutzverletzungen und sektorale Überprüfungen. Online-Publisher geraten tendenziell über den ersten Kanal ins Blickfeld — eine Beschwerde über Banner-Design oder Tracking-Verhalten wird oft zum Ausgangspunkt.

Sanktionierungspraxis

Die Bußgelder der Behörde nach Amendment 13 folgen einem Muster: Zunächst wird eine Nachbesserungsfrist angeboten, und Geldstrafen werden nur verhängt, wenn die Nachbesserung unvollständig ist oder verweigert wird. Das Signal ist, dass eine gutgläubige Compliance-Haltung auch dann zählt, wenn Mängel vorliegen.

Koordination mit EU-Regulierungsbehörden

Die Behörde beteiligt sich aktiv an den Koordinierungsmechanismen im Stil von Article 29, die angemessene Drittländer einbeziehen. Die Durchsetzungspositionen orientieren sich tendenziell an EDPB-Leitlinien, und grenzüberschreitende Beschwerden, die EU- und israelischen Traffic betreffen, werden zunehmend in koordinierten Verfahren behandelt.

Eine praktische Compliance-Checkliste

Sechs konkrete Fragen, die für jedes Cookie-Banner beantwortet werden sollten, das israelischen Traffic bedient.

Wo Israel im globalen Bild steht

Israels Amendment 13 spiegelt ein breiteres Muster wider: Jurisdiktionen, die vor der GDPR existierten, modernisieren ihre Rahmenwerke, um die Ausrichtung an europäischen Standards beizubehalten. Japan, das Vereinigte Königreich, Südkorea und Brasilien haben ähnliche Wege eingeschlagen. Für Publisher, die in diesen Märkten tätig sind, bedeutet dies praktisch, dass eine einzige CMP-Infrastruktur, die nach europäischen Standards aufgebaut ist, den größten Teil der regulatorischen Landschaft abdeckt — Israels Rahmenwerk liegt nach der Novelle eindeutig innerhalb dieses Rahmens. Der strategische Wert ist zweifach: inländische Compliance plus fortgesetzte Teilnahme an der privilegierten Datenflussbziehung mit der EU, die der Angemessenheitsstatus bietet. Die Investition in eine ordnungsgemäße Banner-Architektur und Einwilligungsprotokollierung, die durch die europäische Compliance bereits gerechtfertigt ist, stellt in Israel eine unmittelbarer vertretbare Investition dar als in den meisten nicht-angemessenen Drittländern.

← Blog Alle lesen →