Sri Lanka PDPA Cookie-Einwilligung Compliance-Leitfaden: Act No. 9 of 2022 für Publisher ab 2026 in Kraft
Sri Lanka verbrachte mehr als ein Jahrzehnt im Gesetzgebungsprozess, bevor sein Gesetz zum Schutz personenbezogener Daten schließlich als Act No. 9 of 2022 verabschiedet und vom Speaker am 19 March 2022 zertifiziert wurde. Das Gesetz übernimmt die breite Architektur, die seit der DSGVO zum weltweiten Standard geworden ist — Zweckbeschränkung, Rechtsgrundlage, Betroffenenrechte, Rechenschaftspflicht, Kontrollen grenzüberschreitender Übermittlungen, Meldung von Datenschutzverletzungen und eine unabhängige Aufsichtsbehörde mit Befugnissen zur Verhängung von Bußgeldern — bettet sie jedoch in ein Regime ein, das auf die kommerziellen und verfassungsrechtlichen Realitäten Südasiens zugeschnitten ist. Das Gesetz trat ab dem 17 March 2023 stufenweise in Kraft, wobei die inhaltlichen Pflichten 18 Monate später aktiviert wurden und die Durchsetzungsvorschriften schrittweise im Laufe des Jahres 2025 und bis 2026 eingeführt wurden. Für Publisher und jede andere Stelle, die personenbezogene Daten von Personen in Sri Lanka verarbeitet, ist die Konsequenz direkt: Eine Cookie-Einwilligungsstrategie, die das bisherige Flickwerk sektorbezogener Regeln erfüllte, reicht nicht mehr aus, und eine Strategie, die die DSGVO erfüllt, erfüllt die PDPA nur dann, wenn die Integration für die spezifischen Punkte konfiguriert ist, an denen die beiden Regime voneinander abweichen.
Was die Sri Lanka PDPA tatsächlich verlangt
Die PDPA gilt für die Verarbeitung personenbezogener Daten von Betroffenen, die sich in Sri Lanka befinden, unabhängig davon, wo der Verantwortliche oder der Auftragsverarbeiter ansässig ist, sowie für in Sri Lanka niedergelassene Verantwortliche und Auftragsverarbeiter unabhängig davon, wo sich die Betroffenen befinden. Die extraterritoriale Reichweite spiegelt Art. 3 DSGVO wider und bedeutet, dass ein Publisher ohne srilankisches Büro, aber mit srilankischen Lesern, App-Installationen oder zahlenden Kunden unmittelbar in den Anwendungsbereich fällt. Personenbezogene Daten werden weit gefasst als alle Informationen definiert, die sich auf eine identifizierte oder identifizierbare lebende natürliche Person beziehen; besondere Kategorien — darunter biometrische, genetische, finanzielle, Gesundheits-, Rassen-, ethnische Daten sowie Daten zu religiöser Überzeugung, politischer Meinung und Vorstrafen — unterliegen strengeren Regeln.
Das Gesetz legt sieben wesentliche Datenschutzgrundsätze, sechs Rechtsgrundlagen für die Verarbeitung, das Standardpaket an Betroffenenrechten — Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit, soweit technisch durchführbar — sowie eine Aufsichtsbehörde fest, die Data Protection Authority of Sri Lanka, mit der Befugnis, Anordnungen zu erlassen, Bußgelder bis zu LKR 10 Millionen pro Verstoß zu verhängen und schwerwiegende Angelegenheiten zur strafrechtlichen Verfolgung zu verweisen.
Wie die PDPA speziell mit Cookie-Einwilligungen umgeht
Die PDPA enthält keine gesonderte ePrivacy-ähnliche Bestimmung zu Cookies, wie dies die ePrivacy-Richtlinie der EU tut. Stattdessen ordnet sie die Cookie-Verarbeitung dem allgemeinen DSGVO-ähnlichen Einwilligungsrahmen zu: Jede Verarbeitung personenbezogener Daten, die sich auf eine Einwilligung als Rechtsgrundlage stützt, muss auf der Grundlage einer klaren aktiven Handlung eingeholt werden, mit der die betroffene Person ihr Einverständnis zum Ausdruck bringt — freiwillig, spezifisch, informiert und unmissverständlich. Die DPA hat konsistent im Einklang mit dem globalen Trend darauf hingewiesen, dass vorangekreuzte Felder, Weitersurfen-Formulierungen und gebündelte Einwilligungsbanner keine gültigen Einwilligungsformen im Sinne des Gesetzes sind.
Die praktische Auswirkung ist dieselbe Haltung, die Publisher im EWR bereits pflegen: Cookies und vergleichbare Speicherungs- und Zugriffstechnologien, die für die Erbringung des Dienstes nicht unbedingt erforderlich sind, dürfen nicht gesetzt werden, bevor der Nutzer aktiv in sie eingewilligt hat. Unbedingt erforderliche Cookies — Sitzungskennungen, Warenkorbinhalte, Sicherheits-Token, Load-Balancing-Cookies — können ohne Einwilligung gesetzt werden, da sie unter die Rechtsgrundlage des berechtigten Interesses fallen, die mit dem vom Nutzer aktiv angeforderten Dienst verknüpft ist. Alles andere, einschließlich Analyse, Werbung, Personalisierung, A/B-Tests, Session-Replay und jeglicher Drittanbieter-Tag, erfordert eine vorherige Einwilligung.
Wie sich die PDPA von der DSGVO unterscheidet
Drei Unterschiede sind für die Integrationsschicht relevant. Erstens enthält der Katalog der Rechtsgrundlagen der PDPA eine Grundlage für öffentliches Interesse und eine für rechtliche Verpflichtung, die Art. 6 DSGVO nahesteht, jedoch nicht die eigenständige berechtigte Interessen-Grundlage in der Form, auf die sich europäische Publisher bei der Werbemessung stützen. Das PDPA-Äquivalent ist enger gefasst und erfordert einen dokumentierten Abwägungstest, der zusammen mit dem Verarbeitungsverzeichnis des Verantwortlichen hinterlegt und der DPA auf Anfrage zur Verfügung gestellt wird. Zweitens verlangen die Regeln für grenzüberschreitende Übermittlungen der PDPA, dass die DPA Zielländer benennt; Übermittlungen in nicht benannte Länder erfordern entweder eine ausdrückliche Einwilligung, von der DPA genehmigte vertragliche Garantien oder eine der engen Ausnahmen. Drittens ist die Meldefrist für Datenschutzverletzungen der PDPA bei Hochrisiko-Verletzungen kürzer und bei Niedrigrisiko-Verletzungen länger als die pauschale 72-Stunden-Regel der DSGVO — Verantwortliche müssen ohne unnötige Verzögerung melden und, sofern durchführbar, innerhalb eines Zeitrahmens, den die DPA-Leitlinien im Laufe der stufenweisen Inkraftsetzung verschärft haben.
Wie ein PDPA-konformes Cookie-Banner aussieht
Die technischen Anforderungen konvergieren mit dem, was jede moderne CMP bereits erzeugt, aber die Beschriftung und das Einwilligungsprotokoll müssen die srilankischen Besonderheiten widerspiegeln. Das Banner der ersten Ebene muss dem Nutzer eine echte Wahl bieten — akzeptieren, ablehnen, verwalten — wobei die Ablehnungsoption mindestens so prominent ist wie die Akzeptanzauswahl. Gebündelte Einwilligung ist verboten, daher muss die zweite Ebene eine kategorieweise Einwilligung ermöglichen, die mindestens Analyse, Werbung und jede von grenzüberschreitenden Übermittlungen abhängige Verarbeitung abdeckt. Kategorien müssen standardmäßig auf aus gestellt sein; das Banner darf keine Tags laden, bis der Nutzer sie aktiv aktiviert hat.
Die vom Banner aufgerufene Datenschutzerklärung muss den Verantwortlichen, die Kategorien der erhobenen personenbezogenen Daten, die Rechtsgrundlage für jeden Verarbeitungszweck, die Datenspeicherdauer, die Kategorien der Empfänger einschließlich der außerhalb Sri Lankas tätigen Auftragsverarbeiter, die Rechte der betroffenen Person nach der PDPA und die Kontaktdaten der DPA für Beschwerden benennen. Eine Erklärung, die den Anforderungen von Art. 13 DSGVO entspricht, weist substanzielle Überschneidungen auf, jedoch müssen die Zeilen zu DPA-Kontakt und Zielland der grenzüberschreitenden Übermittlung explizit ergänzt werden.
Das Integrationsmuster, das eine DPA-Prüfung besteht
Die Referenzimplementierung hat vier bewegliche Teile. Das erste ist eine CMP, die eine kategorieweise Einwilligung mit Standard-Aus unterstützt und die Nutzerwahl über einen strukturierten Einwilligungs-String offenlegt, den der Publisher in einem Einwilligungsprotokoll festhalten kann. Das zweite ist eine Tag-Ladeebene — typischerweise ein serverseitiger Tag-Manager oder ein CMP-nativer Script-Gate — die den Einwilligungsstatus strikt durchsetzt, bevor sie das Setzen von nicht notwendigen Cookies erlaubt. Das dritte ist ein serverseitiges Einwilligungsprotokoll, das für jedes Einwilligungsereignis die Nutzerwahl je Kategorie, den Zeitstempel, die Version des Einwilligungsbanners, die IP-Adresse (gekürzt oder gehasht, wenn der Verantwortliche entschieden hat, dass dies seiner Datensparsamkeitsanalyse entspricht) sowie die erteilten versus abgelehnten Kategorien aufzeichnet. Das vierte ist ein Widerrufspfad, der mindestens so einfach ist wie das ursprüngliche Erteilen der Einwilligung — ein dauerhafter Link zur erneuten Banner-Öffnung in der Fußzeile ist das Muster, das die DPA mit Verweis auf internationale Best Practices stillschweigend gebilligt hat.
- Analyse-Tags dürfen erst geladen werden, nachdem die Analyse-Kategorie erteilt wurde; Google Analytics 4, Adobe Analytics, Matomo, Amplitude und Mixpanel unterstützen alle eine einwilligungsabhängige Konfiguration, die jedes Cookie-Schreiben verhindert, bevor das Gate aufgeht.
- Werbe-Tags — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatische Header-Bidder — müssen entsprechend abgesichert werden; überträgt der Werbepartner Daten außerhalb Sri Lankas, muss die Zielländer-Jurisdiktion des Partners in der Datenschutzerklärung erscheinen.
- Session-Replay- und Heatmap-Tools — Hotjar, Microsoft Clarity, FullStory — müssen hinter einem separaten, strengeren Gate liegen, weil die DPA im Einklang mit dem EDPB das Rendern von Eingabefeldern als eine Kategorie eingestuft hat, die eine ausdrückliche und granulare Einwilligung erfordert.
- Offenlegungen grenzüberschreitender Übermittlungen müssen spezifisch für jede Empfängerjurisdiktion sein, nicht generisch. Die DPA hat darauf hingewiesen, dass Daten werden von Dienstleistern weltweit verarbeitet keine ausreichende Offenlegung ist.
Validierungs- und Auditposition für 2026
Eine vertretbare srilankische Implementierung muss 2026 vier Prüfungen bestehen. Erstens muss eine saubere Browsersitzung, die von einer srilankischen IP-Adresse bedient wird, vor der Bestätigung des Banners null nicht notwendige Cookies erzeugen. Zweitens muss der Alles-ablehnen-Pfad zu derselben Haltung führen wie eine Sitzung ohne Aktion — keine Analyse-Tags, keine Werbe-Tags, keine Session-Replay-Skripte, nur das unbedingt erforderliche Set. Drittens muss ein Alles-akzeptieren-Flow die Tags erzeugen, in die der Nutzer eingewilligt hat, und das Einwilligungsprotokoll muss den entsprechenden Datensatz enthalten. Viertens muss ein Widerrufsflow weitere Tag-Auslösungen sofort stoppen, die während der Einwilligungssitzung gesetzten Cookies ablaufen lassen und alle nachgelagerten Lösch- oder Opt-out-Signale auslösen, die die Empfängerpartner verlangen.
Die Anforderung an den Prüfpfad ist das, was die PDPA 2026 am deutlichsten auszeichnet. Die DPA hat Leitlinien herausgegeben, die darauf hinweisen, dass Verantwortliche auf Anfrage in der Lage sein sollten, den spezifischen Einwilligungsdatensatz vorzulegen, der eine bestimmte Verarbeitungstätigkeit genehmigt hat. Das bedeutet, dass das Einwilligungsprotokoll nach Nutzerkennung oder Sitzungskennung abfragbar sein muss, für einen vom Verantwortlichen in seinem Aufbewahrungsplan dokumentierten Zeitraum aufbewahrt wird und in einem strukturierten Format exportierbar ist. Eine korrekt konfigurierte CMP mit einem serverseitigen Protokoll, kombiniert mit einer Tag-Ladeebene, die den Einwilligungsstatus durchsetzt, und einer Datenschutzerklärung, die jedes Ziel grenzüberschreitender Übermittlungen benennt, ist das, was die sri-lankische PDPA von einer regulatorischen Unbekannten in einen vertretbaren Teil der globalen Einwilligungsposition eines Publishers verwandelt.