Nigeria Data Protection Act 2023: Leitfaden zur Cookie-Consent-Compliance für Publisher im Jahr 2026
Nigeria operierte jahrelang unter der Nigeria Data Protection Regulation 2019 (NDPR), einer Nebenverordnung, die von NITDA erlassen wurde und GDPR-ähnliche Pflichten ohne die volle gesetzliche Autorität eines eigentlichen Datenschutzgesetzes auferlegte. Der Nigeria Data Protection Act 2023 (NDPA) änderte das. Vom Nationalparlament verabschiedet und im June 2023 unterzeichnet, ist das Gesetz Nigerias erstes umfassendes Datenschutzgesetz und gründete die Nigeria Data Protection Commission (NDPC) als eigenständige Aufsichtsbehörde mit Durchsetzungsbefugnissen, die materiell stärker sind als die von NITDA unter dem alten Regime. Für Publisher, SaaS-Betreiber und Ad-Tech-Anbieter, die nigerianischen Traffic bedienen — ein Markt, der mit dem Wachstum von Fintech, E-Commerce und der breiteren westafrikanischen Digitalwirtschaft rasch expandiert ist — hat die NDPA die Compliance-Messlatte neu gesetzt. Dieser Leitfaden erläutert, was das Gesetz verlangt, wie die NDPC es für Online-Tracking ausgelegt hat und wie die praktische Compliance-Arbeit im Jahr 2026 aussieht.
Die NDPA im Überblick
Die NDPA ist um sechs Kernprinzipien herum aufgebaut, die klar den Grundsätzen aus Article 5 der GDPR entsprechen: Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Sicherheit. Das Gesetz gilt für jeden Verantwortlichen oder Auftragsverarbeiter, der personenbezogene Daten von in Nigeria befindlichen Personen verarbeitet, mit einem extraterritorialen Anwendungsbereich, der Article 3 der GDPR widerspiegelt. Ein Offshore-Publisher, der nigerianische Besucher bedient, fällt eindeutig in den Anwendungsbereich, unabhängig davon, wo der Publisher ansässig ist.
Die Rechtmäßigkeitsgründe des Gesetzes nach Section 25 sind ebenfalls vertraut: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse und berechtigtes Interesse. Für Online-Tracking sind die relevanten Grundlagen Einwilligung und — unter engen, gut dokumentierten Umständen — berechtigtes Interesse. Die Allgemeine Anwendungs- und Umsetzungsrichtlinie (GAID) der NDPC aus dem Jahr 2025 stellte klar, dass der Einwilligungsstandard für nicht wesentliche Cookies dem der GDPR funktionell entspricht: frei erteilt, spezifisch, informiert, unmissverständlich und so leicht widerrufbar, wie er erteilt wurde.
Der Wechsel von der NDPR zur NDPA
Drei Änderungen zwischen dem alten NDPR-Regime und der neuen NDPA sind für Online-Publisher am wichtigsten.
Gesetzliche Durchsetzungsbefugnisse
Die Autorität von NITDA unter der NDPR beruhte auf einer Nebenverordnung, die die Stärke der Rechtsmittel begrenzte, die die Behörde verfolgen konnte. Die NDPC agiert auf Basis von Primärrecht und kann Compliance-Anordnungen erlassen, Verwaltungsbußgelder verhängen, die an einen Prozentsatz des Jahresumsatzes geknüpft sind, und bei vorsätzlichen Verstößen Strafanzeige erstatten. Der Wechsel von regulatorischer Überzeugungsarbeit hin zu gesetzlicher Durchsetzung ist die bedeutsamste operationelle Änderung.
Pflichtanforderungen für Datenschutzbeauftragte
Die NDPA verpflichtet Verantwortliche, die bestimmte Verarbeitungsschwellenwerte überschreiten, einen Datenschutzbeauftragten (DPO) zu benennen und sich bei der NDPC zu registrieren. Die Schwellenwerte erfassen die meisten relevanten Online-Publisher und SaaS-Betreiber, die nigerianische Nutzer bedienen.
Rahmen für grenzüberschreitende Übermittlungen
Die NDPA kodifizierte grenzüberschreitende Übermittlungsregeln, die die NDPR nur lose behandelt hatte. Sections 41-43 verlangen, dass Übermittlungen in nicht angemessene Länder auf Basis eines von mehreren aufgeführten Mechanismen erfolgen — Angemessenheitsentscheidung, verbindliche interne Datenschutzvorschriften, vertragliche Schutzgarantien oder spezifische Ausnahmen — wobei die NDPC eine Liste zugelassener Instrumente veröffentlicht.
Wie die NDPA Cookies und Online-Tracking behandelt
Die NDPA enthält keine cookie-spezifische Bestimmung; die Einwilligungs- und Informationspflichten folgen aus dem allgemeinen Rahmen. Die GAID der NDPC und eine Reihe öffentlicher Leitlinien, die 2024 und 2025 veröffentlicht wurden, formulierten spezifische Erwartungen für Online-Tracking.
Ausdrückliche Einwilligung für nicht wesentliche Cookies
Die Haltung der NDPC ist mit der EDPB-Cookie-Banner-Taskforce und den gleichwertigen Positionen vergleichbarer afrikanischer Aufsichtsbehörden (Kenias ODPC, Südafrikas Information Regulator) abgestimmt. Scrollen als Einwilligung, fortgesetzte Nutzung als Einwilligung und vorausgefüllte Häkchen sind explizite Mängel.
Granulare Kategoriensteuerung
Banner müssen streng notwendige Cookies von Analyse- und Marketing-Cookies trennen, wobei jede Kategorie unabhängig steuerbar sein muss. Gebündeltes „Alle akzeptieren" ohne Granularität wird als Verstoß gegen das Kriterium der „Spezifität" des Einwilligungsstandards gewertet.
Dokumentierte Rechtsgrundlage
Section 26 der NDPA kodifiziert die Rechenschaftspflicht — Verantwortliche müssen auf Anfrage ihre Rechtsgrundlage für jede Verarbeitungstätigkeit nachweisen können. Für Cookie-Deployments bedeutet das eine prüfungstaugliche Einwilligungsprotokollierung: Zeitstempel, Banner-Version, die Entscheidung des Nutzers und die beanspruchte Rechtsgrundlage für jede aktivierte Kategorie.
Offenlegung grenzüberschreitender Übermittlungen
Für Cookies, die Daten an Anbieter außerhalb Nigerias weiterleiten — die meisten US-ansässigen Ad-Tech-Anbieter, EU-ansässige Analyseplattformen — muss der Datenschutzhinweis den Empfänger der Übermittlung und die Schutzgarantie, unter der die Übermittlung erfolgt, benennen. Allgemeine Formulierungen wie „wir nutzen Dritte" erfüllen die Erwartungen der NDPC nicht.
Die Durchsetzungshaltung der Nigeria Data Protection Commission
Die NDPC ist seit ihrer Gründung im Jahr 2023 bewusst öffentlichkeitsorientiert aufgetreten. Ihre Durchsetzungshaltung folgt drei beobachtbaren Mustern.
Prominente frühe Fälle
Die NDPC hat sichtbare frühe Fälle gegen bekannte Betreiber priorisiert, um Präzedenzfälle zu schaffen und Ernsthaftigkeit zu signalisieren. Mehrere Fintech- und Telekommunikationsbetreiber erhielten in den Jahren 2024 und 2025 Compliance-Anordnungen mit öffentlicher Kommunikation zu den Korrekturmaßnahmen.
Sektorale Überprüfungen
Über beschwerdegetriebene Fälle hinaus hat die NDPC sektorale Überprüfungen von Fintech-, Gesundheits- und E-Commerce-Betreibern durchgeführt. Die Überprüfungen beginnen typischerweise mit einer Anforderung von Dokumentation (Datenschutzhinweise, Einwilligungsprotokolle, Anbieterlisten) und eskalieren je nach dem, was die Dokumentation offenbart.
Koordinierung mit afrikanischen und europäischen Aufsichtsbehörden
Die NDPC nimmt am Datenfluss-Arbeitsstrang der Continental Free Trade Area der African Union teil und unterhält Arbeitsbeziehungen mit dem EDPB und den wichtigsten nationalen Datenschutzbehörden. Grenzüberschreitende Untersuchungen mit nigerianischem und europäischem Traffic werden zunehmend im Rahmen koordinierter Verfahren bearbeitet.
Eine praktische Compliance-Checkliste
Sechs konkrete Fragen, die für jeden Cookie-Banner beantwortet werden müssen, der nigerianischen Traffic bedient.
- Gibt es eine explizite Ablehnung auf der ersten Ebene? Ein ausdrückliches Opt-in ist Pflicht; Scrollen als Einwilligung und vorausgefüllte Häkchen bestehen die GAID nicht.
- Sind die Kategorien granular? Notwendige, Analyse- und Marketing-Cookies müssen separat steuerbar sein.
- Ist der DPO benannt und registriert? Falls die Verarbeitung den Registrierungsschwellenwert der NDPC überschreitet, ist zu bestätigen, dass die DPO-Benennung und die NDPC-Registrierung vorliegen.
- Sind grenzüberschreitende Übermittlungen dokumentiert? Jedes nicht-nigerianische Ziel und die gemäß Sections 41-43 autorisierende Schutzgarantie sind zu benennen.
- Entspricht der Datenschutzhinweis der NDPA? Es ist sicherzustellen, dass der Hinweis Verantwortlichen, Zwecke, Empfänger, Aufbewahrungsdauer und das Rechterahmen gemäß Section 33 benennt.
- Ist die Einwilligungsprotokollierung prüfungstauglich? Zeitstempel, Banner-Version, Entscheidung und Rechtsgrundlage müssen auf Anfrage abrufbar sein.
Nigerias Stellung in einem Multi-Jurisdiktions-Stack
Nigeria ist nach Nutzerzahl der größte digitale Markt in Africa, und die NDPA wird zunehmend zur Vorlage, auf die andere afrikanische Jurisdiktionen bei der Modernisierung ihrer eigenen Rechtsrahmen verweisen. Eine nach europäischen Standards aufgebaute Compliance-Architektur bewältigt die nigerianische Compliance mit denselben kleineren Konfigurationsanpassungen, die Neuseeland erfordert: DPO-Benennung, wo Schwellenwerte gelten, NDPC-konforme Übermittlungsdokumentation und englischsprachige Offenlegungen, die nigerianische Sprachkonventionen respektieren. Für Publisher, die panafrikaner Betrieb aufbauen, steht die NDPA neben Kenias DPA 2019, Südafrikas POPIA und Ägyptens aufkommendem Rahmen als die vier operationell folgenreichsten afrikanischen Regime. Nigerianische Compliance richtig umzusetzen ist in ihrem eigenen Markt bedeutsam und signalisiert dem Rest die kontinentale Bereitschaft.