```html

Das rechtliche Rahmenwerk der PDPL

PDPL gilt für die Verarbeitung personenbezogener Daten von Einwohnern der VAE, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der VAE stattfindet, und unabhängig davon, ob der Verantwortliche oder Auftragsverarbeiter in den VAE ansässig ist oder von außerhalb tätig ist. Der territoriale Anwendungsbereich ist daher extraterritorial, genauso wie GDPR – ein Verleger, der von London oder Singapur aus Daten von Einwohnern der VAE verarbeitet, unterliegt diesem Geltungsbereich. Die Aufsichtsbehörde ist das UAE Data Office, das unter demselben Legislativpaket gegründet wurde und eine gemessene, aber zunehmend aktive Haltung bei der Durchsetzung verfolgt hat.

Die Kernprinzipien der PDPL werden jedem, der mit GDPR gearbeitet hat, vertraut sein: rechtmäßige Grundlage, Zweckbindung, Datensparsamkeit, Genauigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Die rechtmäßigen Grundlagen gemäß Article 4 umfassen Zustimmung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse und berechtigte Interessen, jeweils mit eigenem Geltungsbereich und Bedingungen. Für Online-Tracking sind die relevanten Grundlagen Zustimmung und in engen Grenzen berechtigte Interessen. Vorinstallierte Cookies, die personenbezogene Daten ohne Zustimmung erfassen, sind ein Verstoß wie auch unter GDPR.

Was unter PDPL als personenbezogene Daten gilt

Die Definition personenbezogener Daten in PDPL ist breit und folgt GDPR eng: alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschließlich Online-Kennungen. Cookies, die ein Gerät dauerhaft identifizieren, IP-Adressen, die zusammen mit anderen Daten verarbeitet werden, Advertising-IDs und Fingerprinting-ähnliche Kennungen fallen alle in den Geltungsbereich. Die Implementierungsleitlinien des Data Office haben bestätigt, dass die Analyse, die auf Verhaltens- und Werbe-Cookies in der EU angewendet wird, in den VAE im Wesentlichen in derselben Form angewendet wird – was sich unterscheidet, ist die Durchsetzungsarchitektur, nicht die inhaltliche Norm.

PDPL definiert auch eine Kategorie sensibler personenbezogener Daten mit strengeren Behandlungsanforderungen, die Gesundheitsinformationen, genetische und biometrische Daten, religiöse Überzeugungen, Strafregister und ähnliche Kategorien abdecken. Cookies, die solche Daten erfassen, erfordern ausdrückliche Zustimmung und zusätzliche Schutzmaßnahmen.

Cookie-Zustimmung unter PDPL

PDPL enthält keine Cookie-spezifische Bestimmung wie die EU-ePrivacy-Richtlinie. Stattdessen ergibt sich die Zustimmungsanforderung aus Article 6, das den allgemeinen Standard für gültige Zustimmung festlegt: Sie muss spezifisch, unmissverständlich, informiert und freiwillig erteilt sein, und die betroffene Person muss die Zustimmung so leicht widerrufen können wie erteilt. Das Data Office hat diesen Standard dahingehend interpretiert, dass Folgendes erforderlich ist:

• Eine explizite bejahende Aktion vor dem Aktivieren nicht wesentlicher Cookies. Fortgesetztes Browsing, Scrollen oder implizite Zustimmung sind nicht ausreichend.
• Granulare Kategoriesteuerungen, die streng erforderliche Cookies von Analyse- und Werbe-Cookies trennen, mit der Möglichkeit für den Besucher, einige zu akzeptieren und andere abzulehnen.
• Ein klarer Widerrufsmechanismus, der von jeder Seite erreichbar ist, auf der Tracking aktiv ist, wobei der Widerruf sofort wirksam wird.
• Dokumentation der Zustimmungsentscheidung, die ausreicht, um die Rechenschaftspflicht gemäß Article 5 zu erfüllen.

In der Praxis ist dies derselbe operationale Standard, den ein Verleger für GDPR aufbauen würde. Ein Banner, der die Kriterien der EDPB Cookie Banner Taskforce erfüllt, wird PDPL erfüllen; einer, der diese nicht erfüllt, wird auch unter PDPL-Prüfung fehlschlagen.

Grenzüberschreitende Datenübertragungen

Eines der charakteristischsten Merkmale von PDPL ist sein Rahmen für grenzüberschreitende Übertragungen. Article 22 und Article 23 von PDPL legen die Bedingungen fest, unter denen personenbezogene Daten außerhalb der VAE übertragen werden dürfen, strukturiert nach Linien, die parallel zu, aber nicht identisch mit GDPR Chapter V verlaufen.

Angemessenheitsdesignationen

PDPL erlaubt dem Data Office, Länder als angemessenen Schutz gewährend zu designieren. Die aktuelle Liste ist kürzer als die der Europäischen Kommission und wird sich voraussichtlich weiterentwickeln. Bis ein Land designiert wird, erfordern Übertragungen einen der anderen rechtmäßigen Mechanismen.

Standardvertragliche Vereinbarungen

PDPL gestattet Übertragungen, die durch angemessene vertragliche Schutzmaßnahmen unterstützt werden, ähnlich den EU SCCs in der Struktur. Viele VAE-Verantwortliche arbeiten mit maßgeschneiderten vertraglichen Zusätzen, die das Data Office auf Anfrage überprüft.

Spezifische Abweichungen

Ausdrückliche Zustimmung, Vertragserfüllung und Abweichungen aus lebenswichtigen Interessen sind verfügbar, aber eng ausgelegt. Routinemäßige Zustimmung für Übertragungen – die unter GDPR oft als Ausnahme statt systematisch angesehen wird – wird hier ähnlich behandelt.

Für Online-Verleger ist die praktische Auswirkung, dass der Cookie-Zustimmungseintrag nun auch eine Transferverantwortungspflicht stützen muss. Wenn ein Besucher in den VAE Cookies akzeptiert, die seine Daten zu einem US-Ad-Tech-Anbieter leiten, muss das CMP das Transferinstrument, das diesen Fluss genehmigt, darstellen können.

Sektorale und Freizonenaspekte

Die Datenschutzlandschaft der VAE ist mehrschichtig. PDPL gilt breit, aber mehrere Freizonen – das Dubai International Financial Centre (DIFC), der Abu Dhabi Global Market (ADGM) und das Dubai Healthcare City – betreiben ihre eigenen Datenschutzregime, die der PDPL vorausgehen. DIFC Data Protection Law No. 5 of 2020 und die ADGM Data Protection Regulations 2021 sind beide GDPR-konform und gelten innerhalb ihrer jeweiligen Zonen. Verleger, die über mehrere Zonen tätig sind, müssen PDPL mit dem anwendbaren Freizonenschema abgleichen; in den meisten Fällen konvergieren die inhaltlichen Standards, aber der Aufsichtskanal unterscheidet sich.

Was das Data Office signalisiert hat

Das UAE Data Office war bei seiner Durchsetzungshaltung bewusst, mit Priorisierung von Kapazitätsaufbau, Sektorkonsultation und hochkarätigen Fällen über ein Regime hoher Bußgelder. Öffentliche Leitlinien haben Folgendes betont:

Banner-Design

Das Data Office hat sich EDPB-ähnlichen Kriterien zum Banner-Design angepasst und behandelt fehlende Ablehnungsschaltflächen, trügerisches Link-Styling und vorausgewählte Kontrollkästchen als häufige Mängel, die Abhilfe erfordern. Die Erwartung ist eine Konvergenz mit europäischen Normen.

Grenzüberschreitende Transparenz

Das Office hat signalisiert, dass internationale Übertragungen ein besonderer Fokus sein werden, besonders wo personenbezogene Daten an Jurisdiktionen ohne designierte Angemessenheit geleitet werden. Dokumentation des Transfermechanismus wird als Rechenschaftspflicht, nicht optional, behandelt.

Offenlegung in arabischer Sprache

Obwohl PDPL Arabisch nicht vorschreibt, hat das Data Office angezeigt, dass Offenlegungen in Arabisch verfügbar sein sollten, wo die Zielgruppe überwiegend Arabisch sprechend ist, sowohl für Barrierefreiheit als auch für Beweiszwecke.

Eine praktische Compliance-Checkliste

Sechs konkrete Fragen, die für jeden Cookie-Banner mit VAE-Traffic beantwortet werden müssen.

1. Bejahte Zustimmung vor Tracking

Werden nicht wesentliche Cookies auf Script-Loader-Ebene blockiert, bis der Besucher eine bejahte Aktion durchführt? Vorladen des Banners über bereits aktive Tracker ist eine per-se-Verletzung.

2. Granulare Kategorien

Trennt das Banner notwendige, Analyse- und Werbeckategorien mit unabhängigen Schaltern? Gebündelte Accept-all ohne Granularität ist ein Mangel.

3. Verfügbarkeit in arabischer Sprache

Erkennt das Banner Arabisch sprechende Besucher und präsentiert sich standardmäßig auf Arabisch, mit Englisch als umschaltbare Alternative? Das Data Office hat Sprachbarrierefreiheit explizit gekennzeichnet.

4. Zugang zum Widerruf

Ist die Widerrufskontrolle persistent und von jeder Seite erreichbar? Mehrschrittige Einstellungen, die in einem Footer-Link verborgen sind, erfüllen nicht den „so leicht zu widerrufen wie zu erteilen"-Standard.

5. Dokumentation grenzüberschreitender Übertragung

Ist für jeden Cookie, der eine internationale Übertragung auslöst, der Transfermechanismus (Angemessenheit, vertragliche Schutzmaßnahme, Abweichung) dokumentiert und auf Anfrage darstellbar?

6. Zustimmungsprotokollierung

Zeichnet das System jede Zustimmungsentscheidung mit Zeitstempel, Banner-Version, Wahl und Besucherjurisdizione auf, damit der Verleger einer Data Office-Anfrage mit Nachweisen antworten kann?

Wo PDPL in die regionale Situation passt

PDPL der VAE ist eines von mehreren Golf-Datenschutzrahmen, die in den letzten Jahren in Kraft getreten sind – PDPL Saudi-Arabiens, Personal Data Protection Law von Bahrain, Personal Data Privacy Law von Katar und Personal Data Protection Law von Oman alle arbeiten nebeneinander. Die inhaltlichen Standards in der gesamten Region konvergieren auf GDPR-abgestimmte Prinzipien, mit nationalen Variationen in Aufsichtsarchitektur, Transfermechanismen und sektoralen Ausnahmen. Für Verleger, die über den Golf tätig sind, führt einmaliges Bauen zum höheren Standard – granulare Zustimmung, persistenter Widerruf, dokumentierte Übertragungen, Unterstützung arabischer Sprache, prüfungssicheres Logging – regionale Compliance durch dieselbe CMP-Infrastruktur durch, die europäische Compliance handhabt. Die VAE sind in vieler Hinsicht der regionale Indikator: Wo sich das Data Office bewegt, folgen benachbarte Aufsichtsbehörden tendenziell.

```