Malaysia PDPA 2024-Novelle: Cookie-Consent-Compliance-Leitfaden für Publisher im Jahr 2026
Malaysias Gesetz zum Schutz personenbezogener Daten von 2010 war bei seinem Inkrafttreten im Jahr 2013 eines der früheren umfassenden Datenschutzgesetze in Südostasien. Im ersten Jahrzehnt war der Betriebsstandard relativ leicht: Das Personal Data Protection Department (JPDP, jetzt PDP) betrieb ein aktives Registrierungsregime für Datennutzer in sieben erfassten Tätigkeitskategorien, aber die Durchsetzung gegenüber allgemeinen Online-Betreibern war moderat, und der Einwilligungsstandard wurde weitgehend als permissiv interpretiert. Das Änderungsgesetz von 2024, das im October 2024 die Royal Assent erhielt und im Laufe des Jahres 2025 schrittweise in Kraft trat, veränderte diese Haltung grundlegend. Die Novelle führte obligatorische Datenschutzbeauftragte für Verantwortliche oberhalb von Schwellenwerten, obligatorische Datenpannenbenachrichtigung innerhalb von 72 Stunden, das Recht auf Datenportabilität und einen umbenannten Regulierer mit schärferen Durchsetzungsbefugnissen ein und bestätigte Anforderungen an grenzüberschreitende Übermittlungen, die im Rahmen des ursprünglichen Gesetzes mehrdeutig umgesetzt worden waren. Für Publisher und SaaS-Betreiber, die malaysischen Datenverkehr bedienen — ein Markt, der eines der aktivsten Fintech- und Digital-Wirtschafts-Ökosysteme in ASEAN umfasst — stellt das geänderte PDPA eine bedeutsame betriebliche Veränderung dar. Dieser Leitfaden erläutert, was sich 2024 geändert hat, wie der PDP den geänderten Einwilligungsstandard für Online-Tracking interpretiert hat und wo die praktische Compliance-Arbeit fokussiert werden muss.
Das PDPA 2026 — Überblick nach der Novelle
Das geänderte PDPA ist weiterhin um die sieben Grundsätze in Section 5 strukturiert: Allgemein, Bekanntmachung und Wahl, Offenlegung, Sicherheit, Aufbewahrung, Datenintegrität und Zugang. Der Grundsatz der Bekanntmachung und Wahl in Section 7 ist für die Cookie-Einwilligung am folgenreichsten und verpflichtet Datennutzer, eine schriftliche Bekanntmachung sowohl auf Englisch als auch auf Bahasa Malaysia bereitzustellen und vor der Verarbeitung eine Einwilligung einzuholen (oder sich auf einen alternativen Rechtsgrund in Section 6 zu stützen).
Drei strukturelle Änderungen der Novelle 2024 sind für Online-Publisher betrieblich relevant. Erstens verfügt das umbenannte Personal Data Protection Department nun über die ausdrückliche Befugnis, administrative Sanktionen zu verhängen, die an einen Prozentsatz des Jahresumsatzes gekoppelt sind, und ersetzt damit das ältere Pauschalbuß-System. Zweitens gilt die obligatorische DPO-Benennung nach Section 12A für Verantwortliche, die bestimmte Schwellenwerte überschreiten — die meisten werbefinanzierten Publisher und SaaS-Betreiber überschreiten diese Schwellenwerte. Drittens erfordert das neue Section 12B eine Datenpannenbenachrichtigung an den PDP innerhalb von 72 Stunden nach Kenntnisnahme, wobei eine Benachrichtigung der betroffenen Personen erforderlich ist, wenn erheblicher Schaden wahrscheinlich ist.
Wie das geänderte PDPA Cookies und Online-Tracking behandelt
Das PDPA enthält keine cookie-spezifische Bestimmung. Die Einwilligungs- und Informationspflichten ergeben sich aus den Sections 5, 6 und 7 des Gesetzes und dem 2025 Public Consultation Paper on Online Tracking des PDP, das die regulatorischen Erwartungen nach der Novelle zu Cookie-Bannern und Verhaltensadvertising formulierte. Vier Punkte haben die größte betriebliche Auswirkung.
Bestätigende Einwilligung für nicht-essentielles Tracking
Das Konsultationsdokument 2025 lehnte implizite Einwilligung, fortgesetzte Nutzung und vorangekreuzte Felder als Verstoß gegen den Grundsatz der Bekanntmachung und Wahl bei Auslegung im Online-Kontext ab. Für nicht-essentielle Cookies ist eine explizite bestätigende Handlung erforderlich, was die malaysische Praxis mit der Position der EDPB Cookie Banner Taskforce in Einklang bringt.
Anforderung einer zweisprachigen Bekanntmachung
Section 7(3) verlangt, dass der Datenschutzhinweis und der Einwilligungsmechanismus sowohl auf Englisch als auch auf Bahasa Malaysia verfügbar sind. Dies war ein Merkmal des ursprünglichen Gesetzes, das durch die Novelle bestätigt wurde; der PDP ist zunehmend explizit, dass einsprachige englische Banner die Anforderung für Zielgruppen, die malaysische Einwohner bedienen, nicht erfüllen.
Granulare Kategoriesteuerungen
Das Konsultationsdokument erwartet, dass Banner dem Nutzer ermöglichen, Kategorien unabhängig zu akzeptieren und abzulehnen. Ein Einzel-Schaltfläche-Alles-akzeptieren-Banner ohne Granularität wird als Mangel im Rahmen der Verhältnismäßigkeitsauslegung von Section 5(c) behandelt (die Erhebung darf nicht „übermäßig" sein).
Grenzüberschreitende Übermittlungen (Section 129)
Section 129 des ursprünglichen PDPA verlangte, dass grenzüberschreitende Übermittlungen an einen Empfänger in einem „whitelisted" Land erfolgen (eine Liste, die der Minister führen sollte, die aber nie wirksam veröffentlicht wurde). Die Novelle 2024 ersetzt dies durch einen praktikableren Rahmen: Übermittlungen können in Länder mit vergleichbarem Schutzniveau, unter geeigneten vertraglichen Garantien oder mit ausdrücklicher Einwilligung erfolgen. Der PDP hat Mustervertragsklauseln ähnlich den EU SCCs herausgegeben.
Die Durchsetzungshaltung des PDP 2026
Die Haltung des Personal Data Protection Department nach der Novelle unterscheidet sich vom Ansatz davor in drei beobachtbaren Punkten.
Aktive sektorale Kontrollen
Der PDP hat Fintech, E-Commerce und digitale Kreditvergabe seit Inkrafttreten der Novelle für proaktive Kontrollen priorisiert. Diese Kontrollen beginnen in der Regel mit einem Registrierungsaudit und eskalieren zu einer umfassenderen Inspektion, wenn die Registrierung nicht aktuell ist.
Hochkarätige Bußgelder
Das neue System administrativer Sanktionen hat größere und öffentlich sichtbarere Bußgelder als das ältere Pauschalbuß-Modell hervorgebracht. Mehrere Telekommunikations- und Fintech-Betreiber erhielten 2025 achtstellige Ringgit-Bußgelder, die der PDP genutzt hat, um zu signalisieren, dass die Novelle echten Biss hat.
ASEAN-Regulierungskoordination
Der PDP nimmt am ASEAN Data Management Framework-Workstream teil und koordiniert mit Singapurs PDPC, Thailands PDPC und den Philippinen NPC. Grenzüberschreitende Untersuchungen mit malaysischem und anderem ASEAN-Datenverkehr werden zunehmend durch koordinierte Verfahren bearbeitet.
Eine praktische Compliance-Checkliste
Sechs konkrete Fragen, die für jeden Cookie-Banner, der malaysischen Datenverkehr bedient, beantwortet werden müssen.
- Ist der Verantwortliche beim PDP registriert? Wenn die Verarbeitung unter eine erfasste Kategorie fällt, bestätigen Sie, dass die Registrierung aktuell ist. Die Novelle 2024 erweiterte den praktischen Umfang der Registrierung.
- Ist ein DPO benannt? Section 12A erfordert eine Benennung oberhalb der Schwellenwerte. Bestätigen Sie, dass die Benennung dokumentiert ist und die Kontaktdaten des DPO im Datenschutzhinweis veröffentlicht sind.
- Ist die Bekanntmachung zweisprachig? Englisch und Bahasa Malaysia sind beide nach Section 7(3) erforderlich.
- Gibt es eine explizite Ablehnung auf der ersten Ebene? Der Ablehnungspfad muss sich auf derselben Oberfläche wie die Annahme befinden. Scrollen als Einwilligung erfüllt das Konsultationsdokument 2025 nicht.
- Sind grenzüberschreitende Übermittlungen dokumentiert? Identifizieren Sie jedes Nicht-Malaysia-Ziel und den Section 129-Mechanismus, der die Übermittlung genehmigt.
- Ist die Datenpannenreaktion eingerichtet? Bestätigen Sie, dass cookie-bezogene Vorfälle den Section 12B-Benachrichtigungs-Workflow mit einer 72-Stunden-Uhr ab Kenntnisnahme auslösen.
Malaysias Stellung in einem Multi-Jurisdiktions-Stack
Malaysia ist neben Singapur, Thailand und den Philippinen eines der vier betrieblich folgenreichsten Datenschutzregime in ASEAN. Die Novelle 2024 schloss den größten Teil der Lücke zwischen dem ursprünglichen PDPA und dem GDPR, was bedeutet, dass eine nach europäischen Standards gebaute CMP-Architektur jetzt den Großteil der malaysischen Compliance mit drei spezifischen Ergänzungen abdeckt: zweisprachiger (Englisch + Bahasa Malaysia) Banner und Bekanntmachung, PDP-Registrierung, wo Schwellenwerte für erfasste Kategorien gelten, und der Section 12B-Datenpannenbenachrichtigungs-Workflow mit seiner 72-Stunden-Uhr. Für Publisher, die auf pan-ASEAN-Operationen hinarbeiten, ist das geänderte PDPA eine bedeutsame Vorlage — neuere regionale Gesetze orientieren sich wahrscheinlich an seiner Struktur — und die betrieblichen Ergänzungen sind auf einem bereits eingesetzten europäischen Consent-Stack handhabbar.