Rechtsbericht | Golfkooperationsrat | Datenschutzrecht
Datenschutzrecht in Mitgliedstaaten des Golfkooperationsrates
Mit Ausnahme Kuwaits sind mittlerweile in allen Ländern des Golfkooperationsrats eigene Datenschutzgesetze in Kraft. In Saudi-Arabien steht die endgültige Umsetzung noch aus.
21.07.2022
Von Jakob Kemmer | Bonn
Seit der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 besteht eine erhöhte Sensibilität in Bezug auf die Verarbeitung von personenbezogenen Daten. Das europäische Regelwerk gilt vielerorts als Maßstab für einen rechtlichen Rahmen im Bereich des Datenschutzes. Auch die Mitgliedstaaten des Golfkooperationsrates (GCC) orientieren sich in ihren Datenschutzgesetzgebungen an der DSGVO.
Katar
Den Anfang machte am 16. November 2016 Katar mit dem Gesetz über den Schutz personenbezogener Daten. Das Gesetz regelt die faire und rechtmäßige Erhebung, Verwendung und Weitergabe personenbezogener Daten.
Ebenso schreibt es die Verpflichtung fest, Personen vor Beginn der Verarbeitung über die Art und Weise und die Zwecke der Verarbeitung personenbezogener Daten zu informieren
Elektronisches Marketing an Einzelpersonen ist in Katar durch das Datenschutzgesetz seit 2016 nur auf der Grundlage der vorherigen Zustimmung der Person erlaubt. Darüber hinaus führte das Gesetz eine Reihe von individuellen Rechten ein: so können Betroffene eine einmal gegebene Einwilligung zur Datenverarbeitung widerrufen oder die Berichtigung oder Löschung personenbezogener Daten verlangen.
Einen besonderen Schutz räumt das Gesetz personenbezogenen Daten ein, die sich zum Beispiel auf die ethnische Herkunft oder die religiöse Überzeugung beziehen. Diese Daten dürfen nur mit einer Genehmigung des Ministeriums für Verkehr und Kommunikation verarbeitet werden.
Hinweis: GTAI-Länderbericht Recht kompakt Katar (2019)
Bahrain
Am 1. August 2019 trat auch im Königreich Bahrain ein Gesetz über den Schutz personenbezogener Daten in Kraft, das sich an die DSGVO der EU anlehnt. Es handelt sich somit um das zweite nationale Gesetz in der Golfregion, das sich direkt mit dem Recht auf den Schutz personenbezogener Daten beschäftigt.
Es erlegt sogenannten Verantwortlichen, die personenbezogene Daten sammeln, bestimmte Verpflichtungen in Bezug auf deren Verwendung auf. Das Gesetz verlangt beispielsweise konkret von Unternehmen, dass sie personenbezogene Daten nach Treu und Glauben verarbeiten sowie Personen darüber informieren, wann genau ihre personenbezogenen Daten erhoben werden. Ebenso sieht das Datenschutzgesetz von Bahrain Individualrechte vor, die bei Verletzung der Pflichten zur Datenverarbeitung gegenüber einem Unternehmen geltend gemacht werden können. Über diese Rechte muss ein Unternehmen im Vorfeld einer Datenverarbeitung potentiell Betroffene ausdrücklich informieren.
VAE
Die Vereinigten Arabischen Emirate (VAE) haben am 2. Januar 2022 ein Bundesgesetz über den Schutz personenbezogener Daten erlassen. Dieses Gesetz markiert den Beginn einer neuen Entwicklung von Gesetzgebungsbestrebungen im Datenschutzrecht am Golf.
Denn das Datenschutzgesetz der VAE reklamiert für sich einen extraterritorialen Geltungsbereich. Damit gilt es nicht nur für Unternehmen mit Sitz in den VAE, die personenbezogene Daten im Ausland verarbeiten, sondern auch für Unternehmen mit Sitz außerhalb der VAE, die personenbezogene Daten innerhalb der VAE verarbeiten.
Die Verarbeitung personenbezogener Daten muss auch in den VAE nach Treu und Glauben, auf transparente und rechtmäßige Weise sowie für einen bestimmten und eindeutigen Zweck erfolgen. Personenbezogene Daten müssen richtig sein und sich auf den Zweck beschränken, für den die Verarbeitung erforderlich ist. Darüber hinaus sollten technische Maßnahmen getroffen werden, um unrichtige personenbezogene Daten zu berichtigen oder zu löschen. Personenbezogene Daten dürfen zudem nicht aufbewahrt werden, nachdem der Zweck der Verarbeitung erfüllt ist.
Auch nach dem Datenschutzgesetz der VAE haben die betroffenen Personen eine Reihe von Rechten, die mit denen anderer Datenschutzgesetze im GCC vergleichbar sind.
Ein neuer Aspekt des Datenschutzgesetzes der VAE ist die Möglichkeit, Daten in Länder außerhalb der VAE zu übermitteln. Voraussetzung dafür ist, dass ein Land über ein mit den VAE übereinstimmendes Schutzniveau für Datenverarbeitung verfügt.
Hinweis: GTAI-Länderbericht Recht kompakt VAE (2020) sowie Gesetze in den VAE (2020)
Oman
Das neue Gesetz zum Schutz personenbezogener Daten in Oman vom 9. Februar 2022 ist das jüngste seiner Art im Nahen Osten. Nach dem Wortlaut des Gesetzes sind solche Daten geschützt, die eine natürliche Person identifizieren oder sie direkt oder indirekt mittels Zuordnung zu einer oder mehreren Identifikationsnummern identifizierbar machen. Dazu gehören beispielsweise der Name, die Personennummer oder auch andere elektronische Identifikatoren.
Es gibt jedoch eine Liste von Ausnahmen, in denen die Bestimmungen des Datenschutzgesetzes nicht anwendbar sind. Dazu gehören unter anderem Daten, die den Schutz der nationalen Sicherheit oder des öffentlichen Interesses betreffen.
Das Gesetz verpflichtet Organisationen und Unternehmen, personenbezogene Daten im Rahmen von Transparenz, Ehrlichkeit und Achtung der Menschenwürde zu verarbeiten und räumt Einzelpersonen ebenso bestimmte individuelle Rechte ein.
Saudi-Arabien
Saudi-Arabien hat sein erstes umfassendes Datenschutzgesetz zwar bereits im September 2021 im Gesetzblatt veröffentlicht. Das Gesetz tritt aber erst am 17. März 2023 in Kraft.
Das Gesetz soll alle Informationen schützen, die in irgendeiner Form eine Person direkt oder indirekt identifizieren können. Dazu gehören ausdrücklich der Name einer Person, ihre Adressen und Kontaktnummern sowie Fotos und Videoaufnahmen.
Das Gesetz gilt für jede Art der Verarbeitung personenbezogener Daten durch Unternehmen oder öffentliche Stellen in Saudi-Arabien. Ebenso fällt die Verarbeitung personenbezogener Daten von in Saudi-Arabien ansässigen Personen durch außerhalb des Königreichs ansässige Stellen in den Anwendungsbereich. Nicht einbezogen ist allerdings die Verarbeitung personenbezogener Daten für den persönlichen und familiären Gebrauch.
Die Rechte der betroffenen Personen ähneln weitestgehend denen der bereits bestehenden Datenschutzgesetze innerhalb des GCC. Neu ist in Saudi-Arabien, dass sich Organisationen, die personenbezogene Daten erheben, in einem elektronischen Portal registrieren lassen müssen.
Hinweis: GTAI-Länderbericht Recht kompakt Saudi-Arabien (2021) sowie Gesetze in Saudi-Arabien (2021)