Leitfaden zur Cookie-Einwilligungs-Compliance gemäß dem New Zealand Privacy Act 2020 für Publisher im Jahr 2026

New Zealand ist einer der kleineren Märkte, der sein Gewicht in der Datenschutzregulierung überproportional einsetzt. Der Privacy Act 2020 ersetzte das Statut von 1993 durch einen modernisierten Rahmen, der das Land den europäischen Standards deutlich angenähert hat, und der Office of the Privacy Commissioner (OPC) ist seit Inkrafttreten des neuen Gesetzes ein aktiver und ungewöhnlich kommunikativer Regulator. Für Publisher und SaaS-Betreiber, die New-Zealand-Traffic bedienen, hat sich die praktische Compliance-Frage mit der OPC-Leitlinie von 2025 zum Online-Tracking wesentlich verändert, die die Einwilligungs- und Informationsgrundsätze des Gesetzes ausdrücklich auf Cookies, Pixel und verhaltensbasierte Werbung angewendet hat. Das Gesetz ist kein GDPR — es gibt bedeutsame Unterschiede — aber der operationelle Standard ist jetzt nah genug, dass die meisten Teams, die nach europäischen Normen bauen, die Prüfung in New Zealand mit kleineren Konfigurationsänderungen bestehen werden. Dieser Leitfaden erläutert, was das Gesetz erfordert, was die OPC-Leitlinie von 2025 geändert hat und wo die praktische Compliance-Arbeit landen muss.

Der Privacy Act 2020 im Überblick

Der Privacy Act 2020 ist um dreizehn Informationsdatenschutzprinzipien (IPPs) strukturiert, die regeln, wie Behörden personenbezogene Informationen sammeln, verwenden, speichern und offenlegen. Die IPPs gehen dem Gesetz konzeptionell voraus — sie gehen auf das Statut von 1993 zurück — aber ihre Auslegung und Durchsetzung wurde 2020 wesentlich modernisiert. Das Gesetz gilt für jede Behörde, die personenbezogene Informationen über Einwohner von New Zealand sammelt oder hält, mit extraterritorialer Reichweite: Ein Offshore-Publisher, der New-Zealand-Besucherdaten verarbeitet, fällt genauso in den Anwendungsbereich wie eine EU-Behörde unter dem GDPR.

Die folgenreichste Änderung der Modernisierung von 2020 war die Einführung eines obligatorischen Regimes zur Meldung von Datenschutzverstößen: Jeder Verstoß, der wahrscheinlich schwerwiegenden Schaden verursacht, muss dem OPC und den betroffenen Personen gemeldet werden. Für Online-Publisher ist die praktische Implikation, dass Cookie-bezogene Vorfälle — ein Tracking-Pixel, das vor der Einwilligung ausgelöst wird und Identifikatoren an einen Dritten weitergibt, ein falsch konfiguriertes CMP, das Einwilligungsentscheidungen offengelegt hat, ein Sicherheitsvorfall, der Cookie-Audit-Protokolle betrifft — Meldepflichten auslösen können, die unter dem älteren Regime nicht bestanden.

Wie das Gesetz Cookies und Online-Tracking behandelt

Das Gesetz enthält keine Cookie-spezifische Vorschrift, was historisch einige Betreiber dazu veranlasste anzunehmen, dass Cookies außerhalb seines Anwendungsbereichs lägen. Die OPC-Leitlinie von 2025 schloss diese Auslegungslücke ausdrücklich. Cookies und Pixel, die personenbezogene Informationen sammeln — und der OPC definiert personenbezogene Informationen weit genug, um Geräteidentifikatoren, IP-Adressen in Kombination mit Verhaltensdaten und probabilistische Geräte-Fingerabdrücke einzuschließen — unterliegen den Sammlungs- und Offenlegungsgrundsätzen des Gesetzes genauso wie jede andere Identifikationsfläche.

Die für das Online-Tracking wichtigsten IPPs sind:

Die Kombination ist funktional ähnlich den GDPR-Regeln zu Rechtsgrundlage, Transparenz, Zweckbindung und grenzüberschreitendem Datentransfer, mit einer an den New-Zealand-Rahmen angepassten Terminologie. Der OPC hat klargestellt, dass die Standards übereinstimmen, auch wenn die Rechtssprache sich unterscheidet.

Was die Online-Tracking-Leitlinie von 2025 geändert hat

Der OPC veröffentlichte Anfang 2025 eine umfassende Online-Tracking-Leitlinie, die spezifische Erwartungen an Cookie-Banner, Einwilligungsaufzeichnungen und Datenweitergabe an Dritte formulierte. Vier Punkte haben den größten operationellen Einfluss.

Ausdrückliche Einwilligung für nicht wesentliches Tracking

Die Leitlinie ist eindeutig, dass Scrollen-als-Einwilligung, fortgesetzte-Nutzung-als-Einwilligung und stillschweigende Einwilligung IPP 1 und IPP 3 für nicht wesentliches Tracking nicht erfüllen. Eine ausdrückliche bestätigende Handlung ist erforderlich. Dies brachte New Zealand in Übereinstimmung mit der Position der EDPB Cookie Banner Taskforce.

Granulare Kategoriesteuerungen

Der OPC erwartet, dass Banner streng notwendige Cookies von Analyse- und Marketing-Cookies trennen, wobei der Besucher Kategorien unabhängig akzeptieren kann. Gebündeltes Alles-Akzeptieren ohne Granularität wird als Mangel behandelt.

Dokumentation von Offshore-Übertragungen

IPP 12 hat mehr Biss als die ältere Auslegung. Für Cookies, die Daten an US-amerikanische Ad-Tech-Anbieter weiterleiten, muss der Publisher die Schutzmaßnahmen nachweisen können, unter denen die Übertragung stattfindet — typischerweise vertragliche Schutzmaßnahmen oder, wo verfügbar, den Angemessenheits-äquivalenten Status des Empfängers. Der OPC hat darauf hingewiesen, dass wir verwenden Google Analytics keine ausreichende Antwort mehr in einer Anfrage ist.

Barrierefreiheit für Te Reo Māori

Die Leitlinie von 2025 enthält eine spezifische Sprache zur Barrierefreiheit von Te Reo Māori bei Datenschutzerklärungen. Der OPC hat zweisprachige Banner nicht zu einer strikten Anforderung gemacht, hat aber die Verfügbarkeit von Te Reo als bedeutsamen Indikator für die Compliance in gutem Glauben für Behörden, die Māori-Gemeinschaften bedienen, gekennzeichnet. Mehrere große New-Zealand-Publisher sind seit der Veröffentlichung der Leitlinie zu zweisprachigen Bannern übergegangen.

Die Durchsetzungshaltung des Office of the Privacy Commissioner

Der OPC agiert auf drei strukturelle Weisen, die für die Compliance-Planung wichtig sind, anders als größere europäische Datenschutzbehörden.

Beschwerdebasierte Priorisierung

Der OPC priorisiert beschwerde-basierte Ermittlungen gegenüber proaktiven Prüfungen. Die praktische Implikation ist, dass der häufigste Weg in eine OPC-Untersuchung eine Nutzerbeschwerde ist, was eine reaktionsfähige Beschwerdebehandlung und einen dokumentierten Prüfpfad besonders wichtig macht.

Compliance-Hinweise vor Bußgeldern

Das Gesetz von 2020 gibt dem OPC die Befugnis, Compliance-Hinweise auszustellen, die eine spezifische Abhilfe innerhalb eines festgelegten Zeitrahmens erfordern. Zivilrechtliche Strafen existieren, sind aber typischerweise eine Rückfallposition, wenn ein Hinweis ignoriert oder vorsätzlich verletzt wird. Eine gutgläubige Abhilfe als Reaktion auf einen Hinweis schließt die Angelegenheit normalerweise ohne finanzielle Konsequenzen ab.

Koordinierung mit Offshore-Regulatoren

Der OPC beteiligt sich aktiv an der Global Privacy Assembly und unterhält Arbeitsbeziehungen mit dem EDPB, dem UK ICO und dem Forum der Asia Pacific Privacy Authorities. Grenzüberschreitende Ermittlungen mit New-Zealand- und europäischem Traffic werden zunehmend durch koordinierte Verfahren gehandhabt.

Eine praktische Compliance-Checkliste

Sechs konkrete Fragen, die für jeden Cookie-Banner zu beantworten sind, der New-Zealand-Traffic bedient.

Wo New Zealand in einem Multi-Jurisdiktions-Stack passt

Für Publisher, die in der gesamten Anglosphäre tätig sind — Australien, UK, Kanada, USA und New Zealand — ist der Privacy Act 2020 fest in dem GDPR-ausgerichteten Rahmen verankert, auf den sich die großen englischsprachigen Rechtsordnungen zusammengeführt haben. Eine nach europäischen Standards aufgebaute CMP-Architektur bewältigt die New-Zealand-Compliance mit geringer Konfiguration: Te-Reo-Māori-Sprachunterstützung, IPP-12-Übertragungsdokumentation und OPC-konformes Beschwerdemanagement sind die spezifischen Ergänzungen, in die es sich lohnt zu investieren. Der strategische Wert liegt darin, dass New Zealand historisch als Testmarkt für Produkteinführungen internationaler SaaS-Betreiber genutzt wurde, was bedeutet, dass die hier eingesetzte Compliance-Position oft eine Vorschau auf das ist, was der Rest der Anglosphäre sehen wird. Es von Anfang an richtig zu machen ist ein bedeutsamer operativer Vorteil und keine routinemäßige Lokalisierungsübung.

← Blog Alle lesen →