- Ein neues UAE-Datenschutzgesetz (Federal Decree-Law No. 45/2021) tritt in Kraft und gilt voraussichtlich ab 20. September 2022 für Datenverarbeitung, auch ausserhalb der VAE.
- Das Gesetz regelt rechtmässige Datenverarbeitung, Betroffenenrechte, Datenschutzbeauftragte, Meldungen von Verletzungen und grenzüberschreitende Datenübermittlungen; DIFC und ADGM ausgenommen.
Die Vereinigten Arabischen Emirate haben Ende November 2021 neue Datenschutzvorschriften erlassen (Medienmitteilung), das Federal Decree-Law No. 45 of 2021.
Das neue Gesetz gilt für die Bearbeitung von Personendaten auch durch Verantwortliche ausserhalb der UAE, soweit Bearbeitungstätigkeiten betroffene Personen in den VAE betreffen. Nicht anwendbar ist das Gesetz aber auf Gesundheitsdaten und Bank- und Kreditdaten, die durch eigene Erlasse geregelt sind.
Das Gesetz wird voraussichtlich am 2. Januar 2022 veröffentlicht, und Durchführungsverordnungen werden bis zum 20. März 2022 erwartet. Unternehmen müssen das Gesetz sechs Monate nach der Veröffentlichung der Durchführungsverordnung einhalten, also voraussichtlich ab dem 20. September 2022.
Das Gesetz enthält Vorschriften u.a. zu folgenden Themen:
- rechtmässige Verarbeitung von personenbezogenen Daten;
- Bestellung von Datenschutzbeauftragten
- Bearbeitungverzeichnis;
- Auftragsbearbeitung;
- Folgenabschätzungen,
- Meldungen von Datenschutzverletzungen,
- Rechte der betroffenen Personen;
- grenzüberschreitende Datenübermittlung.
Das Gesetz gilt nicht für Freizonen mit eigenen Datenschutzgesetzen. Dies bezieht sich auf das Dubai International Financial Centre (DIFC) und Abu Dhabi International Financial Centre (ADGM), die beide über eigene Datenschutzbestimmungen verfügen.