Wenn Ihre digitale Plattform oder Ihr ISP Benutzer in den VAE bedient, gibt es einen neuen Regulierungsrahmen, den Sie kennen müssen – und die Uhr tickt.
Das Bundesgesetz Nr. 26 von 2025 über die digitale Sicherheit von Kindern (das „CDS-Bundesgesetz“) trat am 1. Januar 2026 in Kraft und gewährt betroffenen Unternehmen bis zu einem Jahr Zeit, um die vollständige Einhaltung zu erreichen. Das bedeutet, dass die Frist der 1. Januar 2027 ist, es sei denn, das Kabinett verlängert sie.
Dabei handelt es sich nicht nur um eine weitere Regelung, die man ablegen muss. Das CDS-Gesetz hat eine extraterritoriale Reichweite, gilt für jede Plattform, die sich an Benutzer in den VAE richtet, unabhängig davon, wo Sie ansässig sind, und führt Verpflichtungen ein, die echte Ingenieursarbeit erfordern – Systeme zur Altersüberprüfung, KI-basierte Inhaltsmoderation, Filterung auf Netzwerkebene und mehr.
Egal, ob Sie eine Social-Media-Plattform, ein Online-Spiel, einen ISP oder einen von Kindern genutzten digitalen Dienst betreiben, hier erfahren Sie, was Sie wissen und was Sie tun müssen.
Was das Gesetz abdeckt
Das CDS-Gesetz gilt für zwei Kategorien von Unternehmen:
Digitale Plattformen – soziale Netzwerke, Messaging-Apps, Online-Gaming-Plattformen, Content-Streaming-Dienste und alle digitalen Dienste, die für Kinder in den VAE zugänglich sind.
Internetdienstanbieter (ISPs) – alle Unternehmen, die Benutzern in den VAE Internetzugang bereitstellen.
Entscheidend ist, dass das Gesetz exterritoriale Geltungsbereich hat. Wenn Ihre Plattform auf Benutzer in den VAE abzielt – durch Unterstützung der arabischen Sprache, lokale Zahlungsmethoden, VAE-spezifische Inhalte oder Werbung in den VAE – sind Sie abgesichert. Sie benötigen keine physische Präsenz im Land.
Schlüsseldefinitionen
- Kind: Jede Person unter 18 Jahren
- Mindestalter für soziale Medien: 15 Jahre (mit obligatorischer Altersüberprüfung)
- Kinder unter 13 Jahren: Es gelten besondere erweiterte Schutzmaßnahmen
- Schädliche Inhalte: Inhalte, die ein Risiko für die körperliche, geistige oder moralische Entwicklung von Kindern darstellen
Die Compliance-Checkliste
1. Altersverifizierung (muss jetzt aktiv sein)
Alle Plattformen müssen Mechanismen zur Altersüberprüfung implementieren. Für Benutzer unter 15 Jahren ist der Zugriff auf soziale Medien eingeschränkt. Für Benutzer unter 13 Jahren gelten zusätzliche Anforderungen an die Einwilligung der Eltern.
Was zu tun ist:
- Implementieren Sie eine strenge Altersüberprüfung bei der Registrierung (nicht nur eine Selbstdeklaration).
- Beschränken Sie die Social-Media-Funktionen auf Benutzer unter 15 Jahren
- Konten von Benutzern unter 13 Jahren für die Verarbeitung der elterlichen Einwilligung kennzeichnen
- Dokumentieren Sie Ihre Methodik zur Altersüberprüfung
2. Standardeinstellungen für hohen Datenschutz für Kinder
Kinderkonten müssen standardmäßig die höchsten Datenschutzeinstellungen verwenden. Dies ist nicht optional – es ist das Gesetz.
Was zu tun ist:
- Überprüfen Sie die aktuellen Standardeinstellungen für Nebenkonten
- Für Benutzer unter 18 Jahren standardmäßig auf maximale Privatsphäre umstellen
- Entfernen Sie Kinderprofile aus der Suchmaschinenindizierung
- Standortfreigabe standardmäßig deaktivieren
3. Datenerfassungsbeschränkungen für unter 13-Jährige
Keine Datenerhebung oder -verarbeitung von Kindern unter 13 Jahren ohne ausdrückliche Zustimmung der Eltern. Dazu gehört ein Verbot von:
- Kommerzielle Nutzung von Kinderdaten
- Gezielte Werbung für Benutzer unter 13 Jahren
- Verhaltensverfolgung und Profilerstellung
Was zu tun ist:
- Implementieren Sie einen Workflow für die Einwilligung der Eltern (überprüfbar, nicht nur E-Mail-Opt-in).
- Blockieren Sie sämtliches Anzeigen-Targeting und -Tracking für Konten unter 13 Jahren
- Erstellen Sie separate Datenverarbeitungsworkflows für Benutzer unter 13 Jahren
- Bereiten Sie Zeitpläne für die Datenaufbewahrung und -löschung für diese Kohorte vor
4. KI-basierte Content-Moderation
Plattformen müssen eine KI-basierte proaktive Erkennung und Entfernung schädlicher Inhalte bereitstellen. Dies geht über die reaktive Berichterstattung hinaus – Sie benötigen Systeme, die schädliche Inhalte erkennen und darauf reagieren, bevor sie gemeldet werden.
Was zu tun ist:
- Implementieren oder aktualisieren Sie die KI-Inhaltsmoderation für Kindersicherheitskategorien
- Richten Sie automatisierte Arbeitsabläufe zum Entfernen illegaler untergeordneter Inhalte ein
- Richten Sie sofortige Meldekanäle an die Behörden der VAE ein
- Genauigkeit der Dokumentenmoderation und Falsch-Positiv-Raten
5. Inhaltsfilterung auf ISP-Ebene
ISPs müssen eine Inhaltsfilterung auf Netzwerkebene implementieren und den Abonnenten Kindersicherungsfunktionen zur Verfügung stellen.
Was zu tun ist (ISPs):
- Setzen Sie eine Filterung auf DNS-Ebene oder Deep Packet Inspection für schädliche Inhalte ein
- Bieten Sie allen Abonnenten Dashboards zur Kindersicherung an
- Richten Sie Meldemechanismen für schädliche Inhalte ein, die in Ihrem Netzwerk entdeckt werden
- Implementieren Sie altersbeschränkte Zugriffskonfigurationen
6. Kindersicherung und Aufklärung
Sowohl Plattformen als auch ISPs müssen zugängliche Kindersicherungstools und Maßnahmen zur Sensibilisierung für digitale Sicherheit bereitstellen.
Was zu tun ist:
- Erstellen oder integrieren Sie Dashboards zur Kindersicherung
- Geben Sie den Eltern klare Anweisungen zum Einrichten von Einschränkungen
- Veröffentlichen Sie digitale Sicherheitsressourcen und Leitfäden zur Berichterstattung
- Bieten Sie regelmäßig Sicherheitshinweise und Tipps an
7. Online-Spiele und Wettbeschränkungen
Plattformen, die Online-Spiele oder kommerzielles Glücksspiel anbieten, müssen verhindern, dass Kinder auf Wettfunktionen zugreifen, einschließlich glücksspielbezogener Werbung und auf Minderjährige abzielender Datennutzung.
Was zu tun ist:
- Geoblock- oder Age-Gate-Glücksspielinhalte
- Entfernen Sie Glücksspielanzeigen aus allen Inhalten, die für Minderjährige zugänglich sind
- Überprüfe In-Game-Käufe und Lootbox-Mechaniken auf Einhaltung des Kinderschutzes
8. Risikostufenklassifizierung
Das Kabinett wird digitale Plattformen in Risikostufen mit entsprechenden Verpflichtungen einteilen. Für Plattformen mit höherem Risiko (z. B. soziale Medien mit umfassender Benutzerinteraktion) gelten strengere Anforderungen.
Was zu tun ist:
- Führen Sie eine Selbsteinschätzung der Risikostufe Ihrer Plattform durch
- Bereiten Sie eine erweiterte Compliance-Dokumentation vor, wenn Sie wahrscheinlich als risikoreich eingestuft werden
- Ziehen Sie einen Rechtsberater hinzu, der mit der Regulierungslandschaft der VAE vertraut ist
Zeitleiste und Strafen
Das Gesetz ist bereits ab dem 1. Januar 2026 in Kraft. Das einjährige Umsetzungsfenster bedeutet:
- Jetzt – 31. Dezember 2026: Implementierungszeitraum
- 1. Januar 2027: Vollständige Einhaltung erforderlich
- Nach Januar 2027: Die Durchsetzungsmaßnahmen beginnen
Zu den Strafen bei Nichteinhaltung können gehören:
- Plattformblockierung in den VAE
- Aussetzung oder Schließung des Dienstes
- Verwaltungsstrafen (Beträge werden vom Kabinett festgelegt)
- Potenzielle strafrechtliche Verantwortlichkeit für schwerwiegende Verstöße im Zusammenhang mit Inhalten zur Ausbeutung von Kindern
Wie es mit dem bestehenden Datenschutzrecht der VAE zusammenwirkt
Das CDS-Gesetz bietet sofortigen, durchsetzbaren Schutz, während die umfassenderen Ausführungsbestimmungen des Gesetz zum Schutz personenbezogener Daten (PDPL) der VAE noch ausstehen. Für Kinder unter 13 Jahren füllt das CDS-Gesetz die Lücke effektiv mit spezifischen, umsetzbaren Anforderungen – der Zustimmung der Eltern zur Datenverarbeitung, Werbeverboten und Tracking-Einschränkungen, die über die allgemeinen PDPL-Bestimmungen hinausgehen.
Für Unternehmen bedeutet dies, dass das CDS-Gesetz nicht auf PDPL wartet. Compliance-Verpflichtungen gelten ab sofort.
Wo die meisten Unternehmen etwas falsch machen
Basierend auf unserer Analyse sind hier die häufigsten Lücken, die wir sehen:
- Unterschätzung der extraterritorialen Reichweite – Wenn Sie Benutzer in den VAE haben, sind Sie abgesichert. Zeitraum.
- Altersüberprüfung als nachträglicher Einfall – Eine Selbsterklärung („klicken Sie auf „Bestätigen Sie, dass Sie 18 sind“) reicht nicht aus. Gerichte und Aufsichtsbehörden erwarten eine substanzielle Überprüfung.
- Keine KI-Moderationspipeline – Reaktive, vom Benutzer gemeldete Moderation erfüllt nicht die Anforderung der „proaktiven Erkennung“.
- ISP-Pflichten außer Acht lassen – Auch wenn Sie kein ISP sind, müssen Ihr CDN und Ihre Hosting-Anbieter möglicherweise die Filterung koordinieren.
- Einverständnis der Eltern als Kontrollkästchen – Für die überprüfbare Zustimmung der Eltern ist mehr als eine E-Mail erforderlich. Die Standards der „überprüfbaren elterlichen Einwilligung“ der EU-DSGVO sind ein nützlicher Maßstab.
Ihre nächsten Schritte
Die Compliance-Uhr läuft. Hier erfahren Sie, was Sie in diesem Quartal priorisieren sollten:
Sofort (Q3 2026):
- Führen Sie eine Lückenanalyse anhand der 8 Punkte der Checkliste oben durch
- Beauftragen Sie einen Rechtsberater der VAE mit digitaler Regulierungskompetenz
- Beginnen Sie mit dem Entwurf und der Beschaffung eines Altersüberprüfungssystems
Kurzfristig (Q4 2026):
- Stellen Sie Arbeitsabläufe zur Altersüberprüfung und zur Einwilligung der Eltern bereit
- Implementieren Sie die Moderation von KI-Inhalten zur Kindersicherheit
- Konfigurieren Sie Standardeinstellungen für hohen Datenschutz für Nebenkonten
Vor dem 1. Januar 2027:
- Vollständige Filterung auf ISP-Ebene (falls zutreffend)
- Fertigstellung der Risikostufendokumentation
- Durchführung von Compliance-Prüfungen und -Behebungen
Haftungsausschluss: Dieser Artikel bietet allgemeine Hinweise und stellt keine Rechtsberatung dar. Das Kabinett der VAE kann zusätzliche Durchführungsbestimmungen erlassen, die sich auf Compliance-Verpflichtungen auswirken. Ziehen Sie einen qualifizierten Rechtsberater für gebietsspezifische Beratung hinzu.
Lesen Sie weiter: aratechs Compliance- und Sicherheitsdienste für digitale Plattformen in den VAE