8.4 Afrikas wachsender Rechtsrahmen

Afrika entwickelt sich zu einem zunehmend regulierten Kontinent in Sachen Datenschutz. Für deutsche Organisationen mit Geschäftstätigkeit in Afrika – ob in der Entwicklungszusammenarbeit, im Handel oder bei digitalen Diensten – ist ein Grundverständnis der wichtigsten nationalen Gesetze unverzichtbar.

Südafrika: Protection of Personal Information Act (POPIA)

Südafrikas POPIA ist das ausgereifteste Datenschutzgesetz des Kontinents und seit dem 1. Juli 2021 vollständig in Kraft. Das Gesetz strukturiert Datenschutz entlang von 8 Bedingungen (Conditions for Lawful Processing): Haftbarkeit, Verarbeitungseinschränkung, Zweckspezifikation, weitere Verarbeitungseinschränkung, Informationsqualität, Offenheit, Sicherheitsmaßnahmen und Betroffenenpartizipation. Der Information Regulator ist als unabhängige Durchsetzungsbehörde tätig und kann Bußgelder verhängen sowie strafrechtliche Verfolgung einleiten.

Nigeria: NDPR und NDPA

Nigeria verfügt seit 2019 über die Nigeria Data Protection Regulation (NDPR) und seit 2023 über den Nigeria Data Protection Act (NDPA), der die NDPR ablöst und stärkt. Der NDPA etabliert die Nigeria Data Protection Commission (NDPC) als unabhängige Behörde. Als bevölkerungsreichstes Land Afrikas mit wachsender digitaler Wirtschaft wird Nigerias Datenschutzrahmen international immer bedeutsamer.

Kenia: Data Protection Act (2019)

Kenias Data Protection Act von 2019 lehnt sich erkennbar an die DSGVO an: Er regelt Einwilligung, Betroffenenrechte und grenzüberschreitende Übermittlungen und hat den Office of the Data Protection Commissioner (ODPC) geschaffen. Kenia hat sich damit als einer der regulatorischen Vorreiter Ostafrikas positioniert.

Marokko: Gesetz 09-08

Marokko verfügt bereits seit 2009 über ein Datenschutzgesetz (Loi 09-08), das durch die Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) durchgesetzt wird. Als erstes nordafrikanisches Land mit einem solchen Gesetz nimmt Marokko eine Vorreiterrolle ein.

AU Malabo-Konvention

Die Afrikanische Union verabschiedete 2014 die Malabo-Konvention (Convention on Cyber Security and Personal Data Protection). Sie sieht einen kontinentalen Rahmen für Datenschutz und Cybersicherheit vor. Problem: Die Konvention benötigt 15 Ratifizierungen, um in Kraft zu treten – Stand 2024 haben erst wenige Länder ratifiziert, was ihren praktischen Wert bislang begrenzt.

Ehrliche Einschätzung

Die Gesetze existieren – die Durchsetzungskapazitäten sind jedoch ungleichmäßig. Budgets, Fachpersonal und Behördenunabhängigkeit variieren erheblich zwischen den Ländern. Ein weiterer Trend: Immer mehr afrikanische Länder fordern Datensouveränität und lokale Verarbeitungspflichten, was für multinationale Unternehmen Infrastrukturentscheidungen beeinflusst. Deutsche Organisationen mit Afrika-Bezug sollten länderspezifische Rechtsberatung einholen und Entwicklungen in der Regulierungspraxis verfolgen.