Datenschutz in den Vereinigten Arabischen Emiraten

​veröffentlicht am 25. März 2020 | Lesedauer ca. 4 Minuten

Spätestens mit Inkrafttreten der Datenschutz-Grundverordnung in der Europäischen Union ist das Thema Datenschutz auch außerhalb juristischer Fachkreise wieder ver­mehrt zum Gesprächsthema geworden. Das zunehmende Interesse der breiten Öffent­lich­keit im Bereich Datenschutz zum Anlass genommen, sollen die nachfolgenden Aus­führungen dazu dienen einen ersten Einblick in das Datenschutzrecht der Vereinigten Arabischen Emirate (VAE) zu geben.
 

Zu Beginn ist festzuhalten, dass derzeit für die Vereinigten Arabischen Emirate kein einheitliches, in sich geschlossenes, Datenschutzgesetz existiert. Lediglich vereinzelt und sehr verstreut finden sich gesetzliche Bestimmungen, die den Datenschutz zum Gegenstand haben. Die wichtigsten Regelungen haben wir im Folgenden überblicksweise dargestellt:

• UAE Constitution (Federal Law 1 of 1971)

  Bereits die Verfassung der VAE (UAE Constitution; Federal Law 1 of 1971) enthält in Artikel 31 eine Regelung zur Kommunikationsfreiheit einschließlich der Vertraulichkeit der Kommunikation und bildet damit eine wichtige verfassungsrechtliche Grundlage für den Datenschutz. Eine einfachgesetzliche Umsetzung dieser Verfassungsnorm findet sich bspw. in Artikel 380 des Penal Code, der Verletzungen des „Kommunikations­ge­heimnisses“ unter Strafe stellt.

• UAE Penal Code (Federal Law 3 of 1987)

  Das Strafgesetz der VAE (UAE Penal Code) enthält in Artikel 379 die derzeit wohl wichtigste – da allgemein­gültige – datenschutzrechtliche Norm in den VAE. Diese lautet auszugsweise in der – offiziellen,  rechtlich jedoch unverbindlichen – englischen Sprachfassung:
   
  “… whoever by virtue of his profession, craft, position or art is entrusted with a secret and divulge it in cases other than those allowed by law or if used for his own personal interest or for the interest of another person, unless authorized by the confiding person to disclose or use it...“
   
  Strafbar macht sich damit also derjenige, der unbefugter Weise ein „Geheimnis“ preisgibt oder dieses für sachfremde Zwecke nutzt. Der Begriff des Geheimnisses ist dabei nicht näher definiert. Er wird jedoch nach weit verbreiteter Ansicht im Sinne „personenbezogener Daten“ verstanden und daher recht weit ausgelegt. Das „Geheimnis“ umfasst daher also bspw. auch Name, Geburtstag, Geschlecht und ähnliche persönliche Informationen. Ergänzend ist an der Stelle zu erwähnen, dass auch die Artikel 378 und 380 des Penal Code Regelungen von datenschutzrechtlicher Relevanz enthalten. So schützt Artikel 378 den höchstpersönlichen Lebensbereich vor ungewollten Ton- und Bildaufnahmen, während Artikel 380 das Kommunikationsge­heimnis schützt (vgl. oben).

• Federal Decree-Law No. 5 of 2012 on Combating Cybercrimes (amended by Federal Law No. 12/2016)

  Das Gesetz zielt auf den umfassenden Schutz von IT-Systemen vor unberechtigten Zugriffen ab und enthält dabei auch Regelungen zum Schutz digitaler Daten. Es enthält jedoch keine Regelungen zum zulässigen Umgang mit Daten, sondern stellt vielmehr allein die missbräuchliche Verwendung von IT-Systemen, die Weitergabe hierdurch erlangter vertraulicher Informationen sowie  entsprechende Eingriffe in die Privatsphäre unter Strafe. Im Rahmen des Datenschutzes entfalten dabei insbesondere die Artikel 21 und 22 des Gesetzes Bedeutung.

• Local Dubai Law No. 26 of 2015 Regulating Data Dissemination and Exchange in the Emirate of Dubai (Dubai Data Law)

  Ergänzend zu den oben genannten Regelungen gilt – ausschließlich – im Emirat Dubai ergänzend das „Dubai Data Law“.
   
  Dieses Gesetz betrifft Daten mit Bezug zum Emirat Dubai und richtet sich ausschließlich an Regierungs­stellen der Vereinigten Arabischen Emiraten bzw. Dubais sowie näher bestimmte Individuen, die mit Regierungsdaten betraut sind. Im Mittelpunkt steht dabei stets die Idee, Dubai als sog. „Smart City“ zu positionieren. Entsprechend regelt das Gesetz hauptsächlich die Verteilung und Weitergabe von Daten zwischen den genannten offiziellen Stellen sowie gegenüber privaten Dritten. Dabei unterscheidet das Gesetz zwei Arten von Daten „Open Data“ und „Shared Data“. Während erstere weitestgehend uneingeschränkt weitergegeben werden dürfen, unterliegen letztere umfangreichen Beschränkungen. 

• TRA Consumer Protection Regulation

  In der Verordnung der Telecommunications Regulatory Authority (TRA), betreffend den Verbraucherschutz, befindet sich ebenfalls eine datenschutzrechtliche Spezialregelung (Nr. 13 der Verordnung). Sie bezieht sich alleine auf den Datenschutz von Kunden zugelassener Telekommunikationsanbieter. Die Anbieter sind hiernach grundsätzlich verpflichtet, die Kundendaten vor unberechtigtem Zugriff zu schützen, insbesondere deren unberechtigte Offenlegung bzw. Nutzung zu verhindern. Des Weiteren wird klargestellt, dass eine Weitergabe der Kundendaten an unbeteiligte Dritte grundsätzlich die Zustimmung des Kunden voraussetzt und auch eine Möglichkeit bestehen muss, diese Zustimmung zu widerrufen („opt-out“).

• TRA Internet Access Management Policy

  Auch dieses ebenfalls von der TRA begründete Regelungswerk datenschutzrechtliche Bestimmungen. So ermöglicht bzw. verpflichtet es zugelassene Telekommunikationsanbieter dazu, Websperren einzurichten, um den Zugriff auf verbotene Inhalte zu sperren. Welche Inhalte hierunter fallen, lässt sich ebenfalls dem Regelungswerk entnehmen. Bspw. genannt seien hier Seiten mit pornographischem Inhalt, aber auch solche, die die Privatsphäre anderer beeinträchtigen (Annex 1 Nr. 5 der Regularien). 
   

• Regulatory Framework for Stored Values and Electronic Payment Systems (Electronic Payments Regulation)

  Die von der Zentralbank der VAE herausgegebene „Electronic Payments Regulation“ betrifft speziell Anbieter im elektronischen Zahlungsverkehr und verpflichtet sie im Wesentlichen dazu, alle Benutzer- und Trans­aktionsdaten, im Rahmen der Zahlungen, innerhalb der VAE zu speichern. Zudem ist die Nutzung und Weitergabe dieser Daten streng limitiert. So darf eine Datenweitergabe grundsätzlich nur zur Geldwäsche­prävention bzw. Terrorismusbekämpfung erfolgen.

Neben den genannten rechtlichen Regelungen, die für die gesamten Vereinigten Arabischen Emirate bzw. das gesamte Emirat Dubai (Dubai Data Law) gelten, ist zu berücksichtigen, dass auch innerhalb der einzelnen Free Zones gesonderte datenschutzrechtliche Regelungen existieren können.
 

So hat z.B. das Dubai International Financial Centre (DIFC) ein eigenes Datenschutzgesetz, das  DIFC Data Protection Law (DIFC Law No. 1 of 2007, geändert durch DIFC Law No. 5 of 2012). Es regelt im Bereich des DIFC die Erhebung, den Umgang, die Verwendung sowie die Offenlegung personenbezogener Daten. Ebenso benennt dieses Gesetz die Rechte Betroffener sowie die Möglichkeiten des Datenschutzbeauftragten. Flankiert wird dieses Gesetz durch eine Datenschutzverordnung (Data Protection Regulations).

Neben der DIFC besitzen derzeit außerdem auch der Abu Dhabi Global Market (ADGM Data Protection Regulations 2018) und die Dubai Healthcare City (DHCC Health Data Protection Regulation No. 7 of 2013) eigene Datenschutzregularien.

Viele der oben aufgeführten Regelungen gehören jedoch möglicherweise schon bald der Vergangenheit an. Noch im Jahr 2020 ist die Einführung eines allgemein gültigen Datenschutzgesetzes in den Vereinigten Arabischen Emiraten geplant. Sinn und Zweck dieses Gesetzes wird sein, die Privatsphäre besser zu schützen, in dem die Erhebung und Verwendung personenbezogener Daten weitergehend als bislang reguliert wird. Dies soll insbesondere den Missbrauch von Daten einschränken und betrügerischem Verhalten präventiv entgegenwirken.

Sollten Sie zu einem der angesprochenen Punkte Fragen haben oder unsere Unterstützung benötigen, können Sie uns jederzeit, auch telefonisch kontaktieren.