Datenschutz in Dubai: das “DIFC Data Protection Law”

Der folgende Beitrag untersucht die datenschutzrechtlichen Bestimmungen in Dubai, die im DIFC Data Protection Law 2007 DIFC Law No. 1 of 2007 (im Folgenden als „DPL-DIFC 07“ bezeichnet) geregelt werden und untersucht die möglichen wirtschaftspolitischen Auswirkungen.

Dubai als Teil der VAE

Die Vereinigten Arabischen Emirate (VAE) sind eine Föderation von sieben Emiraten, darunter auch das Emirat Dubai. Das gemeinsame Bundesrecht der VAE regelt Auswärtige Angelegenheiten, Polizei, Verteidigung, Geheimdienst, Verkehrswesen, Erziehung, Gesundheitspolitik, Währung, Pass- und Ausländerrecht. Jedoch üben die einzelnen Emirate auch auf diese Politikfelder großen Einfluss aus; erst Recht gilt dies in ihren eigenen Kompetenzfeldern. Das Bundesrecht, aber auch das Recht der einzelnen Emirate unterliegt im Grundsatz der folgenden Normenhierarchie: 1. Verfassung, 2. Bundes- und Emiratsgesetzgebung, 3. Schari’a, 4. Handelsbräuche und Praxis. Nach Saudi-Arabien sind die VAE die zweitgrößte Volkswirtschaft der Region.

Datenschutzregelungen in Dubai

In Dubai selbst sind Handel, Tourismus, Finanzdienstleistungen, Luft- und Frachtverkehr nur einige der dort bedeutenden Wirtschaftssektoren. Der Emir von Dubai rief am 16. Februar 2002 das Dubai International Financial Centre (DIFC) ins Leben. Dafür gilt innerhalb der DIFC ein Sonderrecht, das u.a. auch ein Datenschutzgesetz beinhaltet.

Auslegungsrahmen: Verfassung der VAE

Als Auslegungsgrenze dieses Datenschutzgesetzes ist die Verfassung der VAE zu berücksichtigen. Sie selber sieht kein eigenes Grundrecht auf informationelle Selbstbestimmung vor. Dennoch gilt nach Artikel 26 der Verfassung die Freiheit der Person; aus der sich Teilaspekte des Datenschutzes ergeben können.

Gestaltung des DPL-DIFC 07

Das DPL-DIFC 07 ist übersichtlich gestaltet. Es besteht aus 35 so genannten „Articles“, die in ihrem Umfang den deutschen Paragraphen (§§) ähneln. Hinzutritt ein so genannter „Schedule“ mit drei weiteren „Articles“. Insgesamt erinnert das Regelungskonzept an die angelsächsische Gesetzgebung, insbesondere an den britischen Data Protection Act 1998 (im Folgenden als „DPA 1998“ bezeichnet).

Das DPL-DIFC 07 im Überblick

An weniger bedeutende Ordnungsvorschriften, etwa zur Zitierweise oder Anwendbarkeit („Articles“ 1 bis 7 DPL-DIFC 07), schließen sich allgemeinverbindliche Regeln zur Zulässigkeit einer Datenverarbeitung („Articles“ 8 bis 10 DPL-DIFC 07) an. Darauf folgen Vorschriften zum Datentransfer ins Ausland („Articles“ 11 bis 12 DPL-DIFC 07), zu Transparenzpflichten („Articles“ 13 bis 14 DPL-DIFC 07), zu Sicherheitsfragen („Articles“ 15 bis 16 DPL-DIFC 07) und zu den Rechten der Betroffenen („Articles“ 17 bis 18 DPL-DIFC 07); mit Ausnahme des Schadenersatzanspruches, der in „Article“ 35 DPL-DIFC 07 geregelt ist. Danach räumt der DPL-DIFC 07 dem Thema Aufsichtsbehörde ein…