Von Dr. Stephan Jäger
Rechtliche Rahmenbedingungen können mit technischem Fortschritt nicht mithalten
Technisch und faktisch ist der digitale Wandel in Teilen der MENA-Region schon sehr weit fortgeschritten – teilweise weiter als in Europa. Wer sich etwa in der Golfregion aufhält, stellt sehr schnell fest, welch große Bedeutung elektronische Kommunikationsmittel und soziale Netzwerke im Alltag dort haben – dieVereinigten Arabischen Emirate etwa haben laut jüngsten Statistiken die höchste smartphonepenetration rate der Welt, dicht gefolgt vom Oman.
Die rechtlichen Rahmenbedingen bleiben demgegenüber deutlich zurück: Zwar gibt es in den meisten Ländern der Region schon seit einiger Zeit Gesetze über die Verwendung elektronischer Kommunikationsmittel im Rechtsverkehr („E-Commerce Laws“) und gegen Straftaten im Internet („Cybercrime Laws“) und ansatzweise sehen Verbraucherschutzgesetze auch einen gewissen Schutz vor missbräuchlicher Verwendung persönlicher Daten vor; allerdings verläuft die Umsetzung – mit Unterschieden zwischen den einzelnen Ländern – weiterhin schleppend.
Aus rechtlicher Sicht spielt beim digitalen Wandel neben den genannten Regelungskomplexen (und einigen anderen, etwa dem Schutz des geistigen Eigentums) der Schutz persönlicher Daten eine zentrale Rolle. In Europa ist dieser Aspekt durch das Inkrafttreten der EU-Datenschutzgrundverordnung (der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EGDSGVO, DSGVO) in das allgemeine Bewusstsein getreten – und auch in der MENA-Region hat die DSGVO in sehr vielen Ländern den Anlass zu eigenen Gesetzgebungstätigkeiten gegeben. Im Folgenden wird daher ein Überblick über den gegenwärtigen Stand der Gesetzeslage gegeben – nicht zuletzt auch, weil der Datenschutz für Unternehmen, die in der Region tätig sind, ein wesentlicher Bestandteil der Compliance sein wird.
Die Pioniere
Unangefochtener Vorreiter in der Region ist Tunesien, wo bereits im Jahr 2004 das Gesetz über den Schutz persönlicher Daten (Gesetz Nr. 2004-63) in Kraft getreten ist und im Jahr 2008 eine Datenschutzbehörde (die Instance nationale de protection des données personnelles, INPDP) eingerichtet wurde; Tunesien ist auch der einzige Staat der Region, der dem Übereinkommen 108 des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (und zwar im Jahr 2017) beigetreten ist (Marokko hat den Beitritt beantragt). Mit einem neuen Gesetz, das seit 2018 beraten wird, soll der Schutz persönlicher Daten weitestgehend an die DSGVO angeglichen werden.
In Marokko gilt seit 2009 das Gesetz Nr. 09-08 betreffend den Schutz von natürlichen Personen im Hinblick auf persönliche Daten vom 18. Februar 2009; zuständig für die Umsetzung ist die nationale Datenschutzkommission (Commission nationale de contrôle de la protection des données à caractèrepersonnel, CNDP).
In Katar ist ein Datenschutzgesetz zwar erst viel später in Kraft getreten, nämlich im Jahr 2017 mit dem Gesetz zum Schutz persönlicher Daten (Gesetz Nr.13/2016); damit war das Land jedochVorreiter in der Golfregion, was die Gesetzgebung angeht. Allerdings wird das Gesetz – soweit ersichtlich – mangels Durchführungsverordnung und operativer Aufsichtsbehörde bisher noch nicht umgesetzt.
Die Freizonen in Dubai, Abu Dhabi und Katar
Gewissermaßen außer Konkurrenz laufen die Freizonen in den VAE und Katar, deren Rechtssysteme jeweils an englische Vorbilder angelehnt sind und die deshalb auch schon früh Datenschutzgesetze eingeführt haben.
Auch hier war wieder Katar, genauer das Qatar Financial Centre (QFC), am schnellsten, und zwar mit den QFC Data Protection Regulations von 2005 und den dazu erlassenen Data Protection Rules 2005; einen Tag vor dem Inkrafttreten der DSGVO wurde ein QFC Data Protection Directorate eingerichtet.
Die Pendants zum QFC in Dubai und Abu Dhabi, das Dubai International Financial Centre (DIFC) und der Abu Dhabi Global Market (ADGM) haben seit 2007 beziehungsweise 2015 Datenschutzgesetze: Im DIFC gilt das Data Protection Law, DIFC Law No. 1 of 2007, das im Januar 2018 auf internationalen Stand gebracht wurde, und das möglicherweise bald von einem neuen Gesetz auf Grundlage der DSGVO ersetzt wird; im ADGM gelten seit 2015 die Data Protection Regulations, die ebenfalls im Jahr 2018 auf den neuesten Stand gebracht wurden. Seit 2008 gibt es auch ein Datenschutzgesetz in der Dubai Healthcare City (DHCC), seit 2013 gilt die DHCC Health Data Protection RegulationNo 7 of 2013.
Die Newcomer
In einer Reihe von Ländern sind jüngst Datenschutzgesetze erlassen worden:
In Bahrain ist am 12. Juli 2018 das Gesetz zum Schutz persönlicher Daten (Gesetz Nr. 30/2018) erlassen worden; es trat am 1. August 2019 in Kraft. Das Gesetz ist eng an die DSGVO angelehnt und dient auch der Absicht, in Bahrain einen attraktiven Standort für Datencenter einzurichten.
Im Oktober 2018 ist im Libanon das Gesetz über elektronische Rechtsgeschäfte und persönliche Daten (Gesetz 81/2018) erlassen worden; der Schutz ist aber im Vergleich zur DSGVO nur unzureichend, weswegen das Gesetz insoweit auch verbreitet kritisiert wird.
In Algerien gilt seit Juni 2018 das Gesetz betreffend den Schutz persönlicher Daten (Gesetz 18-07); auch dieses Gesetz ist eng an die DSGVO angelehnt und soll ein Jahr ab Einrichtung der zuständigen Datenschutzbehörde verbindlich werden.
In Ägypten ist ein Datenschutzgesetz am 17. Juni 2019 vom Parlament verabschiedet worden; es ist bisher noch nicht erlassen worden und es ist daher noch unklar, wann es in Kraft treten wird. Es entspricht in weiten Teilen der DSGVO.
Die Nachzügler
Zu den Staaten, die bisher noch keine (allgemeinen) Datenschutzgesetze erlassen haben, zählen zum einen die von (Bürger-)Kriegen heimgesuchten Länder Irak (einschließlich der autonomen Region Kurdistan), Syrien, Irak, Jemen und Libyen.
Daneben aber – auffälligerweise – die GCC-Mitgliedsstaaten Saudi-Arabien, Kuwait, Oman und die Vereinigten Arabischen Emirate (VAE) (außerhalb der oben genannten Freizonen); in den VAE und Saudi-Arabien wird aber noch in diesem, spätestens im nächsten Jahr mit dem Erlass von DSGVO-basierten Gesetzen gerechnet.
In Jordanien liegt schließlich seit 2014 ein Entwurf für ein Datenschutzgesetz vor; es ist derzeit aber unklar, wann und in welcher Form es in Kraft treten wird.
Es zeigt sich, dass der Datenschutz – von den Ausnahmen Tunesien und Marokko abgesehen – bisher in der MENA-Region kaum eine Rolle gespielt hat; im Zusammenhang mit dem Inkrafttreten der DSGVO ist aber eine erhöhte, fast schon hektische Gesetzgebungstätigkeit in der MENA-Region zu verzeichnen, und mittelfristig ist davon auszugehen, dass alle Länder ein der DSGVO ähnliches Schutzniveau gesetzlich vorschreiben werden. Ob und inwieweit dies dann aber auch tatsächlich umgesetzt wird, bleibt – wie immer in der Region – abzuwarten.
Dr. Stephan Jäger ist Rechtsanwalt und Ägyptologe sowie Schatzmeister im EMA-Vorstand. Er hat in Tübingen, Göttingen, Berlin und Paris studiert und seine Staatsexamina in Tübingen und Berlin abgelegt. Seit fast 20 Jahren berät er im Recht der Staaten der MENA-Region, mit einem besonderen Schwerpunkt im Vertriebsrecht, im Recht der ausländischen Investitionen und im Projektgeschäft. Er war zwölf Jahre lang Partner einer auf den Nahen Osten spezialisierten Kanzlei und gründete Anfang 2018 eine eigene Kanzlei unter dem Namen Jäger Heintel Rechtsanwälte.