Der Kenya Data Protection Act ist seit November 2019 in Kraft getreten. Seit ca. 4 Monaten ist nun auch die Datenschutzbehörde gegründet und der Data Commissioner Ms. Immaculate Kassait, MBS ernannt. Seit letzter Woche liegen nun auch die Regulations – also die Verwaltungsvorschriften – als Entwurf zur öffentlichen Diskussion aus.
Insgesamt gibt es 3 Regulations, die zur Diskussion stehen:
- Data Protection (General) Regulations, 2021
- Data Protection (Compliance and Enforcement) Regulations, 2021
- Data Protection (Registration of Data Controllers and Data Processors) Regulations, 2021
Auffällig ist, dass der Kenya Data Protection Act 2019 General Regulations nicht von der Datenschutzbehörde eingebracht wurden, sondern vom Ministerium für ICT. Damit wird der Idee einer unabhängigen, starken Behörde von vorne herein der Boden entzogen. Zumal in dem Entwurf auch das Ministerium für Ausnahmegenehmigungen verantwortlich zeichnet.
Datenschutz in Kenya
Grundsätzlich ist Datenschutz ein sehr hohes Recht in Kenya. Es ist qua Artikel 31 in der kenyanischen Verfassung von 2010 verankert. Mit dem Gesetz von 2019 bekam dieser Artikel erstmals Leben eingehaucht. Allerdings war schon zum Zeitpunkt der Veröffentlichung des Gesetzes klar, dass in letzter Minute gepfuscht, bzw. Interessen bedient wurde. Die Sanktionen für Verstöße wurden auf 1% des Jahresumsatzes oder 5 Mio Ksh (ungefähr 50.000 €) festgelegt. Der Satz “what ever is higher” wurde jedoch auf “what ever is lower” geändert, so das faktisch eine Deckelung der Strafzahlungen bei 50.000 € eintritt. Das Gesetz ist damit ein zahnloser Tiger, insbesondere für größere, multinationale Firmen, die sich für kleines Geld frei kaufen werden.
Mit den neuen Regulations wird klar, wo eigentlich Geld verdient werden soll: mit Registrierungen und Zertifizierungen von Firmen. Mal wieder wird in Kenya eine gute Gesetzes-Idee missbraucht und zur Gelddruckmaschine umfunktioniert.
Vom Datenschutz betroffene Unternehmen
Grundsätzlich ist fast jedes Unternehmen von der Registrierung betroffen. Abhängig von der Zahl der Mitarbeiter und des jährlichen Umsatzes fallen mindestens 4.000 Ksh (< 10 Mitarbeiter, < 2 Mio Ksh Umsatz p.a.) für die Erstregistrierung an. In der Spitze können bis zu 40.000 Ksh für Unternehmen größer 99 Mitarbeiter und mehr als 50 Mio Ksh Jahresumsatz anfallen. Nur ein geringer Rabatt wird für die Erneuerung der Registrierung nach einem Jahr gewährt. Die Abnahme einer Datenschutz-Folgeabschätzung (nicht die DSFA selbst!) wird mit 15.000 Ksh in Rechnung gestellt. Für eine Zertifizierung (für das es noch keinerlei Programm und keine Prüfungsordnung gibt) werden stattliche 250.000 Ksh (ca. 2.500 €) aufgerufen. Zum Vergleich: die DEKRA Prüfung wird mit 300 € in Rechnung gestellt.
Etliche andere Positionen wie “Audit fee”, “Compliance Support fee” oder “3rd Party Due Diligence fee” werden gar nicht spezifiziert, sondern lediglich mit “Determined by scope” angegeben. In einem zutiefst korrupten Behördenapparat wie in Kenya ist das in meinen Augen die freundliche Umschreibung von “für passendes Geld finden wir eine Lösung”.
Kenya first!
Eine weitere Auffälligkeit ist dass explizit auf Data on Rest in Kenya wertgelegt wird. Ausländische Dienste bedürfen eines vergleichbaren Datenschutzniveaus wie Kenya. Das geht – wie schon in Europa – klar in Richtung USA und deren Player Google, Amazon, Facebook, etc. und der Verwässerung des dortigen Datenschutz durch den Zugriff via Patriot Act. Das ist aber auch in soweit bemerkenswert, da es auf dem afrikanischen Kontinent die “African Union Convention on Cyber Security and Personal Data Protection” gibt. Wer auch immer diese Convention ratifiziert hat, wird als vertrauenswürdig angesehen. Fun fact: Kenya gehört nicht zu den Unterzeichnern.
Kenya Data Protection Act 2019 im Vergleich zur DSGVO
Im Allgemeinen finden sich sehr viele Dinge der DSGVO auch im Kenya DPA 2019 wieder. Allerdings wird im Gesetz sehr viel mehr als in der DSGVO auf “Consent” abgehoben. Erst mit den Regulations zieht auch der “legitimate interest” in die Auslegung ein.
Fazit
Es wird hoffentlich im Rahmen der öffentlichen Anhörung diese Woche noch reichlich Änderungswünsche geben. Und noch mehr muss man hoffen, das einige dieser Änderungen auch umgesetzt werden. So sehr in Deutschland und Europa zu Unrecht beklagt wird, das der Datenschutz alles mögliche an guten Ideen und Geschäftsmodellen kille, in Kenya kann dies mit den vorliegenden Regulations zur bitteren Realität werden.