Datenschutz in Dubai: Das “DIFC Data Protection Law”

Dubai hat sich in den vergangenen Jahren unter anderem als Outsourcing-Metropole etabliert. In unserer heutigen Rechtskolumne analysiert Dr. Sebastian Kraska vom IITR gemeinsam mit Rechtsreferendar Dr. Stephan Gärtner die datenschutzrechtlichen Bestimmungen in Dubai und die möglichen wirtschaftspolitischen Auswirkungen.

Die Vereinigten Arabischen Emirate (VAE) sind eine Föderation von sieben Emiraten, darunter auch das Emirat Dubai. Das gemeinsame Bundesrecht der VAE regelt Auswärtige Angelegenheiten, Polizei, Verteidigung, Geheimdienst, Verkehrswesen, Erziehung, Gesundheitspolitik, Währung, Pass- und Ausländerrecht. Jedoch üben die einzelnen Emirate auch auf diese Politikfelder großen Einfluss aus; erst recht gilt dies in ihren eigenen Kompetenzfeldern.

Das Bundesrecht, aber auch das Recht der einzelnen Emirate unterliegt im Grundsatz der folgenden Normen-Hierarchie: 1. Verfassung, 2. Bundes- und Emiratsgesetzgebung, 3. Schari’a, 4. Handelsbräuche und Praxis. Nach Saudi-Arabien sind die VAE die zweitgrößte Volkswirtschaft der Region.

Datenschutzregelungen in Dubai

In Dubai selbst sind Handel, Tourismus, Finanzdienstleistungen, Luft- und Frachtverkehr nur einige der dort bedeutenden Wirtschaftssektoren. Der Emir von Dubai rief am 16. Februar 2002 das Dubai International Financial Centre (DIFC) ins Leben. Dafür gilt innerhalb der DIFC ein Sonderrecht, das unter anderem auch ein Datenschutzgesetz beinhaltet, das “DIFC Data Protection Law 2007 DIFC Law No. 1 of 2007” (im Folgenden als “DPL-DIFC 07” bezeichnet).

Auslegungsrahmen: Verfassung der VAE

Als Auslegungsgrenze dieses Datenschutzgesetzes ist die Verfassung der VAE zu berücksichtigen. Sie selber sieht kein eigenes Grundrecht auf informationelle Selbstbestimmung vor. Dennoch gilt nach Artikel 26 der Verfassung die Freiheit der Person; aus der sich Teilaspekte des Datenschutzes ergeben können.

Gestaltung des DPL-DIFC 07

Das DPL-DIFC 07 ist übersichtlich gestaltet. Es besteht aus 35 so genannten ‘Articles’, die in ihrem Umfang den deutschen Paragraphen ähneln. Hinzu tritt ein so genannter ‘Schedule’ mit drei weiteren Artikel. Insgesamt erinnert das Regelungskonzept an die angelsächsische Gesetzgebung, insbesondere an den britischen Data Protection Act 1998 (im Folgenden als “DPA 1998” bezeichnet).

Das DPL-DIFC 07 im Überblick

An weniger bedeutende Ordnungsvorschriften, etwa zur Zitierweise oder Anwendbarkeit, schließen sich allgemeinverbindliche Regeln zur Zulässigkeit einer Datenverarbeitung an. Darauf folgen Vorschriften zum Datentransfer ins Ausland, zu Transparenz-Pflichten, zu Sicherheitsfragen und zu den Rechten der Betroffenen – mit Ausnahme des Schadenersatzanspruches, der in einem extra Artikel geregelt ist.

Danach räumt der DPL-DIFC 07 dem Thema Aufsichtsbehörde einen vergleichsweise großen Raum ein. Artikel 34 regelt die Zugangsmöglichkeit zu Gericht. Darauf folgt das ‘Schedule’ mit erläuternden Vorschriften.

Articles 8 bis 16: Allgemeine Regelungen

Dieser Abschnitt kann als Allgemeiner Teil des Datenschutzrechts bezeichnet werden. Artikel 8 DPL-DIFC 07 regelt die Datenschutzprinzipien; etwa den Zweckbindungsgrundsatz oder die Datenrichtigkeit. Auffällig sind die Ähnlichkeiten zum Wortlaut des britischen DPA 1998. Zudem lässt sich festhalten, dass die Datenschutzprinzipien in einigen Teilen denen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr teilweise wortgenau übernommen wurden.

Verbot mit Erlaubnisvorbehalt: Artikel 9 DPL-DIFC 07 installiert das Verbot mit Erlaubnisvorbehalt. In der Vorschrift heißt es: “Personal Data may only be processed if.” Mithin gilt auch hier der europäische Grundsatz des Regel-Ausnahme-Prinzips: danach sind Datenverarbeitungen grundsätzlich unzulässig und nur ausnahmsweise gerechtfertigt, nämlich wenn der Betroffene entweder eingewilligt hat oder das Gesetz die Verarbeitung erlaubt.

Einwilligung muss schriftlich erteilt werden: Eine Einwilligung kommt nach dem Datenschutzrecht in Dubai nur dann als Erlaubnisgrund in Betracht, wenn sie schriftlich erteilt wird.

Datenverarbeitung ohne Einwilligung: Es gibt daneben vier einwilligungsunabhängigen Tatbestände. Diese lassen sich dahingehend zusammenfassen, dass eine Verarbeitung ohne Einwilligung nur zulässig ist, wenn überwiegende Interessen Dritter oder des Allgemeinwohls dies rechtfertigen. Artikel10 DPL-DIFC 07 verengt diese Erlaubnistatbestände für die Kategorie der sensiblen Daten, ähnlich wie unter dem Regime der europäischen Datenschutzrichtlinie.

Regelung des technischen Datenschutzes

Von herausragender Bedeutung ist zudem Artikel 16 DPL-DIFC 07. Hiernach ist jede verantwortliche Stelle dazu verpflichtet, folgendes einzurichten: “Appropriate technical and organizational measures to protect Personal Data against wilful, negligent, accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access and against all other unlawful forms of Processing, in particular where the Processing of Personal Data is performed pursuant to Article 10 or Article 12 above.”. Die Parallelen zu den europäischen Vorgaben sind hier unübersehbar.

Rechte der Betroffenen

Die Rechte der Betroffenen sind in den Artikeln 17 und 18 DPL-DIFC 07 geregelt. Sie umfassen das Recht auf Auskunft, Berichtigung, Löschung und Sperrung. Die Voraussetzungen entsprechen im Wesentlichen den europäischen Standards (Art. 12 ff. Datenschutzrichtlinie). Eine Löschung ist jedenfalls erforderlich, wenn die Speicherung unzulässig ist.

Datenschutz-Aufsicht in Dubai

Teile 4 und 5 des DPL-DIFC 07 widmen sich der Aufsichtsbehörde, die in Dubai als “Commissioner of Data Protection” bezeichnet wird. Die Artikel 21 bis 24 DPL-DIFC 07 setzen sich mit den Aufgaben und Beginn und Ende der Amtszeit des Commissioner auseinander. Artikel 25 DPL-DIFC 07 umschreibt die grundsätzlichen Befugnisse der Aufsichtsbehörde. Hierbei hat sie viele Einzelbefugnisse (etwa ein eigenes Klagerecht.

Von Bedeutung ist ein weiterer Absatz in dem Artikel 25 DPL-DIFC 07. Dort heißt es: “The Commissioner of Data Protection has power to do whatever he deems necessary, for or in connection with, or reasonably incidental to, the performance of his functions.”

Fazit

Das im Jahr 2007 geschaffene Datenschutzrecht in Dubai wurde stark an das europäische Recht angelehnt. Unterschiede gibt es bei der Ausführlichkeit der gesetzlichen Regelungen: im DPL-DIFC 07 sind Generalklauseln und kurze Normen die Regel; in europäischen Gesetzen ist dies eher die Ausnahme. Dubai wählt mit diesen gesetzlichen Regelungen einen für die Region interessanten Schritt zur Stärkung der eigenen Wirtschaftsregion, da langfristig die Auslagerung von Datenverarbeitungsprozessen aus Europa in vergleichbar regulierte Regionen einfacher möglich sein sollte.