Leitfaden zur Einhaltung des ägyptischen Datenschutzgesetzes Nr. 151 von 2020 für Cookie-Einwilligungen: Das Playbook 2026 für Publisher
Ägyptens Datenschutzgesetz Nr. 151 von 2020 — üblicherweise als ägyptischer PDPL bezeichnet — wurde am 15. Juli 2020 erlassen und trat am 14. Oktober 2020 in Kraft. Während des größten Teils des seitdem vergangenen Zeitraums sorgte das Fehlen von Durchführungsverordnungen dafür, dass das Gesetz eher als Grundsatzerklärung denn als durchsetzbares Regime galt. Das änderte sich, als das Zentrum zum Schutz personenbezogener Daten — die nach dem Gesetz eingerichtete Regulierungsbehörde, die dem Ministerium für Kommunikation und Informationstechnologie angegliedert ist — seinen Betriebsrahmen, die Lizenzanforderungen und die Durchführungsverordnungen veröffentlichte, die das Gesetz zur späteren Erlass überlassen hatte. Bis 2026 ist das Regime vollständig operativ, der Lizenzierungsweg für Datenverantwortliche und -verarbeiter ist aktiv, und Publisher, die in Ägypten tätig sind oder Ägypten anvisieren, unterliegen einem inländischen Einwilligungsstandard, der näher an der DSGVO liegt als an jedem älteren regionalen Modell. Die Konsequenz für Cookie-Einwilligungen ist direkt: Ein Banner, das in Ägypten unter dem alten Regime funktionierte, reicht jetzt nicht mehr aus, und ein Banner, das die DSGVO erfüllt, erfüllt den PDPL nur dann, wenn die Integration die Punkte berücksichtigt, an denen die beiden Rahmen divergieren.
Was der ägyptische PDPL tatsächlich verlangt
Das Gesetz gilt für die Verarbeitung personenbezogener Daten ägyptischer Einwohner unabhängig davon, wo der Verantwortliche oder Verarbeiter ansässig ist, und für in Ägypten ansässige Verantwortliche und Verarbeiter unabhängig davon, wo sich die betroffenen Personen befinden. Diese extraterritoriale Reichweite spiegelt Artikel 3 der DSGVO wider und bedeutet, dass ein Publisher mit Sitz außerhalb Ägyptens, aber mit ägyptischen Lesern, App-Installationen oder zahlenden Kunden, klar im Anwendungsbereich liegt. Personenbezogene Daten werden weit definiert als alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, und sensible personenbezogene Daten — einschließlich Gesundheits-, biometrischer, genetischer, psychischer Gesundheits-, Finanz-, Glaubens-, politischer Meinungs- und strafrechtlicher Verurteilungsdaten — unterliegen einem höheren Einwilligungsschwellenwert und zusätzlichen Schutzmaßnahmen.
Das Gesetz legt Rechtsgrundlagen für die Verarbeitung fest, den Standard-Satz von Betroffenenrechten — Zugang, Berichtigung, Löschung, Einschränkung, Widerspruch und Portabilität — einen Verantwortlichen-Verarbeiter-Rechenschaftsrahmen, Pflichten zur Benachrichtigung bei Datenschutzverletzungen, Kontrollen für grenzüberschreitende Übertragungen und ein verwaltungsrechtliches Sanktionsregime mit Bußgeldern von 100.000 EGP für geringfügige Verstöße bis zu 5 Millionen EGP für schwerwiegende oder wiederholte Verstöße. Strafrechtliche Sanktionen gelten für die schwersten Kategorien, einschließlich unlizenzierter grenzüberschreitender Übertragungen und der Verarbeitung sensibler Daten ohne Genehmigung.
Wie der PDPL Cookie-Einwilligungen im Besonderen behandelt
Anders als die ePrivacy-Richtlinie der EU enthält der PDPL keine separate Bestimmung zu Cookies. Cookies und analoge Speicher- und Zugriffstechnologien fallen unter den allgemeinen Einwilligungsrahmen: Jede Verarbeitung personenbezogener Daten, die auf Einwilligung als Rechtsgrundlage beruht, muss auf der Grundlage einer ausdrücklichen, freiwilligen, spezifischen und dokumentierten Willenserklärung der betroffenen Person eingeholt werden. Das Zentrum zum Schutz personenbezogener Daten hat in seinen Leitlinien, die während der stufenweisen Inbetriebnahme der Verordnungen herausgegeben wurden, bestätigt, dass vorab angekreuzte Kästchen, konkludente Einwilligung aus fortgesetztem Surfen und gebündelte Einwilligungsbanner nicht dem Standard des Gesetzes entsprechen. Das stellt Ägypten fest in den globalen Trend und bedeutet, dass die praktische Haltung, die Publisher bereits für den EWR aufrechterhalten, der richtige Ausgangspunkt für ägyptischen Traffic ist.
Der praktische Effekt ist, dass Cookies und jede analoge Technologie, die für die Erbringung des Dienstes nicht unbedingt erforderlich sind, nicht gesetzt werden dürfen, bevor der Nutzer aktiv eingewilligt hat. Unbedingt notwendige Cookies — Sitzungsidentifikatoren, Warenkorbinhalte, Sicherheitstoken, Lastausgleichs-Cookies — können ohne Einwilligung gesetzt werden, da der Nutzer den Dienst aktiv angefordert hat. Alles andere — Analysen, Werbung, Personalisierung, A/B-Tests, Sitzungsaufzeichnung und jedes Drittanbieter-Tag — erfordert vorherige Einwilligung.
Wie der PDPL in der Praxis von der DSGVO abweicht
Drei Unterschiede sind auf der Integrationsebene wichtig. Erstens verlangt der PDPL, dass die Einwilligung zur Verarbeitung sensibler personenbezogener Daten schriftlich oder über ein dokumentiertes elektronisches Äquivalent eingeholt wird, das der Verantwortliche auf Anfrage vorlegen kann — ein höherer Beweisstandard als das DSGVO-Erfordernis der ausdrücklichen Einwilligung. Zweitens verhängt der PDPL ein Lizenzierungsregime: Verantwortliche und Verarbeiter müssen sich beim Zentrum zum Schutz personenbezogener Daten registrieren, und bestimmte Verarbeitungskategorien — einschließlich grenzüberschreitender Übertragungen und Direktmarketing — erfordern eine separate Betriebslizenz. Drittens erfordern die PDPL-Regeln für grenzüberschreitende Übertragungen entweder ein Angemessenheitsbeschluss des Zentrums, eine genehmigte vertragliche Schutzmaßnahme oder die ausdrückliche Einwilligung der betroffenen Person; Übertragungen in Jurisdiktionen ohne Beschlüsse oder Schutzmaßnahmen sind unabhängig von der eigenen Compliance-Position des Empfängers beschränkt.
Wie ein PDPL-konformes Cookie-Banner aussieht
Die technischen Anforderungen konvergieren mit dem, was jede moderne CMP bereits erzeugt, aber die Kennzeichnung, die Dokumentation und das Einwilligungsprotokoll müssen die ägyptischen Besonderheiten widerspiegeln. Das First-Layer-Banner muss dem Nutzer eine echte Wahl präsentieren — akzeptieren, ablehnen, verwalten — wobei die Ablehnungsoption mindestens ebenso prominent wie die Akzeptanzoption ist. Gebündelte Einwilligung ist verboten, sodass der zweite Layer eine kategoriebezogene Opt-in-Möglichkeit erlauben muss, die mindestens Analysen, Werbung und jede grenzüberschreitende Übertragung abhängige Verarbeitung abdeckt. Kategorien müssen standardmäßig deaktiviert sein; das Banner darf keine Tags laden, bis der Nutzer sie bejahend aktiviert hat.
Der vom Banner zugängliche Datenschutzhinweis muss den Verantwortlichen, die PDPL-Lizenznummer des Verantwortlichen, falls zutreffend, die Kategorien der erhobenen personenbezogenen Daten, die Rechtsgrundlage für jeden Verarbeitungszweck, die Datenspeicherungsdauer, die Kategorien der Empfänger einschließlich etwaiger Unterauftragsverarbeiter außerhalb Ägyptens, die Rechte der betroffenen Person nach dem Gesetz und die Kontaktdaten des Zentrums zum Schutz personenbezogener Daten für Beschwerden identifizieren. Ein Hinweis, der dem Standard von Artikel 13 DSGVO entspricht, wird sich erheblich überschneiden, aber die ägyptische Lizenz und die Kontaktzeilen des Zentrums müssen explizit hinzugefügt werden.
Das Integrationsmuster, das eine Überprüfung durch das Zentrum zum Schutz personenbezogener Daten besteht
Die Referenzimplementierung hat vier bewegliche Teile. Das erste ist eine CMP, die kategoriebezogene, standardmäßig deaktivierte Opt-ins unterstützt und die Wahl des Nutzers über eine strukturierte Einwilligungszeichenfolge offenlegt, die der Publisher aufbewahren kann. Das zweite ist eine Tag-Lade-Schicht — ein serverseitiger Tag-Manager oder eine CMP-native Gate — die den Einwilligungsstatus streng durchsetzt, bevor ein nicht wesentlicher Cookie gesetzt wird. Das dritte ist ein Einwilligungsprotokoll, serverseitig gespeichert, das für jedes Einwilligungsereignis die Wahl des Nutzers pro Kategorie, den Zeitstempel, die Bannerversion und einen gekürzten oder gehashten IP-Identifikator aufzeichnet, sodass der Verantwortliche den Eintrag auf Anfrage des Zentrums vorlegen kann. Das vierte ist ein Widerrufspfad, der mindestens so einfach ist wie die ursprüngliche Erteilung — typischerweise ein dauerhafter Link zum Wiederöffnen des Banners in der Fußzeile.
- Analyse-Tags — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — dürfen erst nach Erteilung der Analysekategorie geladen werden. Jede Plattform unterstützt eine einwilligungsgesteuerte Konfiguration, die jeden Cookie-Schreibvorgang verhindert, bevor das Gate wechselt.
- Werbe-Tags — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatische Header-Bidder — müssen ähnlich gesteuert werden, und wenn der Werbepartner Daten außerhalb Ägyptens überträgt, muss die Empfängerjurisdiktion im Datenschutzhinweis erscheinen. Die allgemeine Offenlegung Verarbeitung durch globale Dienstleister ist nach den Leitlinien des Zentrums nicht ausreichend.
- Sitzungsaufzeichnungs- und Heatmap-Tools — Hotjar, Microsoft Clarity, FullStory — müssen hinter einem separaten, strengeren Gate stehen, da das Zentrum dem Standpunkt des EDPB zugestimmt hat, dass das Rendern von Eingabefeldern eine ausdrückliche und granulare Einwilligung erfordert.
- Grenzüberschreitende Übertragungsoffenlegungen müssen für jede Empfängerjurisdiktion spezifisch sein und die Rechtsgrundlage für die Übertragung referenzieren — eine genehmigte vertragliche Schutzmaßnahme, ein Angemessenheitsbeschluss oder ausdrückliche Einwilligung der betroffenen Person.
Validierung, Lizenzierung und Prüfungsposition für 2026
Eine verteidigungsfähige ägyptische Implementierung im Jahr 2026 muss vier technische Prüfungen bestehen. Erstens muss eine saubere Browsersitzung, die von einer ägyptischen IP-Adresse bedient wird, null nicht wesentliche Cookies erzeugen, bevor das Banner aktiviert wurde. Zweitens muss der Alles-ablehnen-Pfad zur gleichen Position wie eine Sitzung ohne Aktion führen — keine Analyse-Tags, keine Werbe-Tags, keine Sitzungsaufzeichnungsskripte. Drittens muss ein Alles-akzeptieren-Fluss nur die Tags erzeugen, denen der Nutzer zugestimmt hat, und das Einwilligungsprotokoll muss einen übereinstimmenden Eintrag enthalten. Viertens muss ein Widerrufsfluss sofort weitere Tag-Auslösungen stoppen, die während der eingewilligten Sitzung gesetzten Cookies ablaufen lassen und alle nachgelagerten Löschungs- oder Opt-out-Signale auslösen, die die Empfängerpartner erfordern.
Über die technischen Prüfungen hinaus ist es die Lizenzierung und Prüfungsposition, die eine Implementierung verteidigungsfähig macht. Verantwortliche, die personenbezogene Daten ägyptischer Einwohner über die von den Durchführungsverordnungen festgelegten Schwellenwerte hinaus verarbeiten, müssen beim Zentrum zum Schutz personenbezogener Daten registriert sein, und der Registrierungseintrag — zusammen mit dem Einwilligungsprotokoll, dem Datenschutzhinweis, den Ergebnissen der Datenschutz-Folgenabschätzung für höherrisikobehaftete Verarbeitungen und etwaigen grenzüberschreitenden Übertragungsgenehmigungen — bildet die Dokumentation, die das Zentrum bei einer Compliance-Überprüfung anfordern kann. Eine korrekt konfigurierte CMP mit einem serverseitigen Protokoll, einer Tag-Lade-Schicht, die den Einwilligungsstatus durchsetzt, einem Datenschutzhinweis, der jedes grenzüberschreitende Übertragungsziel benennt, und der Lizenzierungsdokumentation in der Akte — das ist es, was den ägyptischen PDPL von einer regulatorischen Unbekannten zu einem verteidigungsfähigen Teil der MENA-Regionseinwilligungsposition eines Publishers macht.