Datenschutz in Dubai: das DIFC Data Protection Law
Beitrag von Herrn Rechtsreferendar Dr. Stephan Gärtner, Berlin
06.09.2011 - Der folgende Beitrag untersucht die datenschutzrechtlichen Bestimmungen in Dubai, die im DIFC Data Protection Law 2007 DIFC Law No. 1 of 2007 (im Folgenden als „DPL-DIFC 07“ bezeichnet) geregelt werden und untersucht die möglichen wirtschaftspolitischen Auswirkungen.
Dubai als Teil der VAE
Die Vereinigten Arabischen Emirate (VAE) sind eine Föderation von sieben Emiraten, darunter auch das Emirat Dubai. Das gemeinsame Bundesrecht der VAE regelt Auswärtige Angelegenheiten, Polizei, Verteidigung, Geheimdienst, Verkehrswesen, Erziehung, Gesundheitspolitik, Währung, Pass- und Ausländerrecht. Jedoch üben die einzelnen Emirate auch auf diese Politikfelder großen Einfluss aus; erst Recht gilt dies in ihren eigenen Kompetenzfeldern. Das Bundesrecht, aber auch das Recht der einzelnen Emirate unterliegt im Grundsatz der folgenden Normenhierarchie: 1. Verfassung, 2. Bundes- und Emiratsgesetzgebung, 3. Schari’a, 4. Handelsbräuche und Praxis. Nach Saudi-Arabien sind die VAE die zweitgrößte Volkswirtschaft der Region.
Datenschutzregelungen in Dubai
In Dubai selbst sind Handel, Tourismus, Finanzdienstleistungen, Luft- und Frachtverkehr nur einige der dort bedeutenden Wirtschaftssektoren. Der Emir von Dubai rief am 16. Februar 2002 das Dubai International Financial Centre (DIFC) ins Leben. Dafür gilt innerhalb der DIFC ein Sonderrecht, das u.a. auch ein Datenschutzgesetz beinhaltet.
Auslegungsrahmen: Verfassung der VAE
Als Auslegungsgrenze dieses Datenschutzgesetzes ist die Verfassung der VAE zu berücksichtigen. Sie selber sieht kein eigenes Grundrecht auf informationelle Selbstbestimmung vor. Dennoch gilt nach Artikel 26 der Verfassung die Freiheit der Person; aus der sich Teilaspekte des Datenschutzes ergeben können.
Gestaltung des DPL-DIFC 07
Das DPL-DIFC 07 ist übersichtlich gestaltet. Es besteht aus 35 so genannten „Articles“, die in ihrem Umfang den deutschen Paragraphen (§§) ähneln. Hinzutritt ein so genannter „Schedule“ mit drei weiteren „Articles“. Insgesamt erinnert das Regelungskonzept an die angelsächsische Gesetzgebung, insbesondere an den britischen Data Protection Act 1998 (im Folgenden als „DPA 1998“ bezeichnet).
Das DPL-DIFC 07 im Überblick
An weniger bedeutende Ordnungsvorschriften, etwa zur Zitierweise oder Anwendbarkeit („Articles“ 1 bis 7 DPL-DIFC 07), schließen sich allgemeinverbindliche Regeln zur Zulässigkeit einer Datenverarbeitung („Articles“ 8 bis 10 DPL-DIFC 07) an. Darauf folgen Vorschriften zum Datentransfer ins Ausland („Articles“ 11 bis 12 DPL-DIFC 07), zu Transparenzpflichten („Articles“ 13 bis 14 DPL-DIFC 07), zu Sicherheitsfragen („Articles“ 15 bis 16 DPL-DIFC 07) und zu den Rechten der Betroffenen („Articles“ 17 bis 18 DPL-DIFC 07); mit Ausnahme des Schadenersatzanspruches, der in „Article“ 35 DPL-DIFC 07 geregelt ist. Danach räumt der DPL-DIFC 07 dem Thema Aufsichtsbehörde einen vergleichsweise großen Raum ein („Articles“ 19 bis 33 DPL-DIFC 07). „Article“ 34 DPL-DIFC 07 regelt die Zugangsmöglichkeit zu Gericht. Darauf folgt das „Schedule“ mit erläuternden Vorschriften.
Aufbau des DPL-DIFC 07
- Das DPL-DIFC 07 ist wie folgt aufgebaut:
- Part 1 (Articles 1 – 7): GENERAL
- Part 2 (Articles 8 – 16): GENERAL REGULATIONS ON THE PROCESSING OF PERSONAL DATA
- Part 3 (Articles 17 – 18): RIGHTS OF DATA SUBJECTS
- Part 4 (Articles 19 – 20): NOTIFICATIONS TO THE COMMISSIONER OF
- DATA PROTECTION
- Part 5 (Articles 21 – 31): COMMISSIONER OF DATA PROTECTION
- Part 6 (Articles 32 – 35): REMEDIES, LIABILITY AND SANCTIONS SCHEDULE
„Articles“ 8 bis 16: Allgemeine Regelungen
Dieser Abschnitt kann als Allgemeiner Teil des Datenschutzrechts bezeichnet werden. „Article“ 8 DPL-DIFC 07 regelt die Datenschutzprinzipien; etwa den Zweckbindungsgrundsatz oder die Datenrichtigkeit. Auffällig sind die Ähnlichkeiten zum Wortlaut des britischen DPA 1998. Zudem lässt sich festhalten, dass die Datenschutzprinzipien in einigen Teilen denen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr teilweise wortgenau übernommen wurden.
So regelt „Article“ 8 DPL-DIFC 07 die folgenden Datenschutzprinzipien:
- Verarbeitung nach Recht und Gesetz, Treu und Glauben („Article“ 8 (1) (a))
- Zweckbindungsgrundsatz („Article“ 8 (1) (b))
- Datenrichtigkeit („Article“ 8 (1) (c) (d), (2))
- Datensparsamkeit (v.a. in zeitlicher Hinsicht) („Article“ 8 (1) (e))
Verbot mit Erlaubnisvorbehalt
„Article“ 9 DPL-DIFC 07 installiert das Verbot mit Erlaubnisvorbehalt. In der Vorschrift heißt es: „Personal Data may only be processed if”. Mithin gilt auch hier der europäische Grundsatz des Regel-Ausnahme-Prinzips: danach sind Datenverarbeitungen grundsätzlich unzulässig und nur ausnahmsweise gerechtfertigt, nämlich wenn der Betroffene entweder eingewilligt hat oder das Gesetz die Verarbeitung erlaubt.
Einwilligung muss schriftlich erteilt werden
Eine Einwilligung kommt nach dem Datenschutzrecht in Dubai nur dann als Erlaubnisgrund in Betracht, wenn sie schriftlich erteilt wird („Article“ 9 (1) (a) DPL-DIFC 07).
Datenverarbeitung ohne Einwilligung
Es gibt daneben vier einwilligungsunabhängigen Tatbestände („Article“ 9 (1) (b) – (f) DPL-DIFC 07). Diese lassen sich dahingehend zusammenfassen, dass eine Verarbeitung ohne Einwilligung nur zulässig ist, wenn überwiegende Interessen Dritter oder des Allgemeinwohls dies rechtfertigen. „Article“ 10 DPL-DIFC 07 verengt diese Erlaubnistatbestände für die Kategorie der sensiblen Daten, ähnlich wie unter dem Regime der europäischen Datenschutzrichtlinie.
Regelung des technischen Datenschutzes
Von herausragender Bedeutung ist zudem „Article“ 16 DPL-DIFC 07. Hiernach ist jede verantwortliche Stelle verpflichtet, „appropriate technical and organizational measures to protect Personal Data against wilful, negligent, accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access and against all other unlawful forms of Processing, in particular where the Processing of Personal Data is performed pursuant to Article 10 or Article 12 above” einzurichten. Die Parallelen zu den europäischen Vorgaben sind hier unübersehbar.
Rechte der Betroffenen
Die Rechte der Betroffenen sind in den „Articles“ 17 – 18 DPL-DIFC 07 geregelt. Sie umfassen das Recht auf Auskunft, Berichtigung, Löschung und Sperrung („Article „17 DPA-DIFC 07). Die Voraussetzungen entsprechen im Wesentlichen den europäischen Standards (Artt. 12 ff. Datenschutzrichtlinie). Eine Löschung ist jedenfalls erforderlich, wenn die Speicherung unzulässig ist.
Datenschutz-Aufsicht in Dubai
Teile 4 und 5 des DPL-DIFC 07 widmen sich der Aufsichtsbehörde, die in Dubai als „Commissioner of Data Protection“ bezeichnet wird. Die „Articles“ 21 bis 24 DPL-DIFC 07 setzen sich mit den Aufgaben und Beginn und Ende der Amtszeit des Commissioner auseinander. „Article“ 25 DPL-DIFC 07 umschreibt die grundsätzlichen Befugnisse der Aufsichtsbehörde. Hierbei hat sie viele Einzelbefugnisse (etwa ein eigenes Klagerecht in „Article“ 25 (3) (d) DPL-DIFC 07).
Von Bedeutung ist zudem „Article“ 25 (4) DPL-DIFC 07. Dort heißt es: „The Commissioner of Data Protection has power to do whatever he deems necessary, for or in connection with, or reasonably incidental to, the performance of his functions.“
Fazit
Das im Jahr 2007 geschaffene Datenschutzrecht in Dubai wurde stark an das europäische Recht angelehnt. Unterschiede gibt es bei der Ausführlichkeit der gesetzlichen Regelungen: im DPL-DIFC 07 sind Generalklauseln und kurze Normen die Regel; in europäischen Gesetzen ist dies eher die Ausnahme. Dubai wählt mit diesen gesetzlichen Regelungen einen für die Region interessanten Schritt zur Stärkung der eigenen Wirtschaftsregion, da langfristig die Auslagerung von Datenverarbeitungsprozessen aus Europa in vergleichbar regulierte Regionen einfacher möglich sein sollte.