African Data Law: Wann dürfen afrikanische Unternehmen Daten in die EU übermitteln?

Januar 16, 2026
, 2:33 p.m.
, African Data Law, DSGVO Gesetze, Verordnungen, Entscheidungen

Afrika-EU-Datenströme sind wichtig …

Wer eine digital souveräne EU will, muss auch konkurrenzfähige Produkte schaffen. Und damit meine ich nicht nur die Konkurrenzfähigkeit auf dem EU-Markt, sondern international. Anders ausgedrückt: EU-Dienste werden sich nur etablieren, wenn auch Unternehmen auf anderen Kontinenten sie nutzen. Afrika ist hier ein spannender Markt.

Aus Sicht der EU ist dieser Kontinent ein schnell wachsender Wirtschafts‑ und Handelspartner mit großer Bedeutung für Rohstoffe, Energie, Agrarprodukte und zunehmend auch digitale Dienstleistungen. Grund genug, sich um sichere Datenströme zwischen Afrika und der EU zu kümmern.

Wenn aber EU-Dienste für afrikanische Unternehmen interessant werden sollen, stellt sich die Frage, ob sie überhaupt Daten nach Europa übermitteln dürfen. Grund genug für STANHOPE, diese Richtung des Datenflusses einmal genauer zu betrachten.

Afrikanisches Datenschutzrecht …

Auch der afrikanische Kontinent beschäftigt sich zunehmend mit dem grenzüberschreitenden Datenschutzrecht. Das gilt sowohl für Datenflüsse zwischen afrikanischen Staaten als auch für Datenströme, die Afrika verlassen. Und wenn man nach datenschutzrechtlichen Vorgaben sucht, ist der erste, wichtige Akteur die Afrikanische Union (AU). Sie ist der zentrale politische Zusammenschluss von afrikanischen Staaten, der die Integration des Kontinents vorantreiben und gemeinsame Normen – etwa im Wirtschafts‑ und IT‑Recht – entwickeln soll.

Für die Praxis von Unternehmen ist die AU deshalb relevant, weil sie gemeinsame rechtliche Rahmenwerke schafft, die später in nationale Gesetze umgesetzt werden und so unmittelbar den rechtlichen Rahmen für Geschäftsmodelle bestimmen. Zu den rechtlich verbindlichen Instrumenten zählen insbesondere „Treaties/ Conventions/ Charters/ Protocols“, also klassische völkerrechtliche Verträge, die von den Mitgliedstaaten gezeichnet und ratifiziert werden. Daneben erlassen ihre Organe „Regulations“, „Directives“, „Decisions“ und „Declarations“, wobei Regulations grundsätzlich allgemeinverbindlich und unmittelbar anwendbar sein können, Directives hingegen eher zielgerichtete Vorgaben sind, die national ausgestaltet werden müssen.

Zur Durchsetzung AU‑rechtlicher Instrumente existiert eine eigene Gerichtsbarkeit. Der Afrikanische Gerichtshof für Menschen‑ und Völkerrechte (African Court on Human and Peoples’ Rights, ACtHPR) entscheidet bereits heute über Verletzungen der Afrikanischen Menschenrechtscharta; perspektivisch soll es einen zusammengeführten Gerichtshof geben, der sowohl allgemeine AU‑Verträge als auch Menschenrechtsfragen auslegt. Nationale Gerichte bleiben aber erste Instanz für die Anwendung nationalen Rechts; AU‑Gerichte schaffen Leitentscheidungen zur Auslegung von AU‑Verträgen, die von nationalen Gerichten und Behörden bei der Interpretation der transformierten Normen herangezogen werden und damit den Rahmen für die Anwendung etwaiger Datenschutz‑ und Transferregelungen national prägen.

In puncto Datenschutz ist mit der „African Union Convention on Cyber Security and Personal Data Protection“ (kurz: Malabo‑Konvention) zu beachten. Es handelt sich seinem Titel nach um eine „Convention“, also um ein vergleichsweise verbindliches Regelwerk. Sie wurde 2014 von der Versammlung der Staats‑ und Regierungschefs der AU in Malabo angenommen und ist am 8. Juni 2023 in Kraft getreten. Sie regelt in drei Teilen elektronische Transaktionen, Cybersicherheit/Cybercrime sowie den Schutz personenbezogener Daten. Ihre Geltung hängt allerdings von der Umsetzung in das nationale Recht der AU-Mitgliedstaaten ab.

Rechtliche Vorgaben aus Afrika …

Die Frage, wann ein afrikanisches Unternehmen Daten in die EU schicken darf, beantwortet Artikel 14 Absatz 6 der Malabo-Konvention. Danach ist die Übermittlung personenbezogener Daten in einen Nicht-AU-Staat zunächst einmal nur zulässig, wenn dort ein angemessener Schutz für die Privatsphäre, Freiheiten und andere Grundrechte besteht. Ist das nicht der Fall, kann die Datenübermittlung durch eine vorherige, behördliche Zustimmung gerechtfertigt werden.

Ein aufschlussreiches Umsetzungsbeispiel finden wir in Rwanda. Es sei erwähnt, dass diverse Indizes, die von Nichtregierungsorganisationen herausgegeben werden, dieses zentralafrikanischen Land in puncto Demokratie, Freiheit und insbesondere Pressefreiheit eher im unteren Bereich verorten. Dieser Beitrag kann und will das nicht verschweigen; und gleichzeitig auch nicht den Zeigefinger erheben. Auf dem Papier jedenfalls erscheint das „Law No 058/2021 of 13/10/2021“ (Datenschutzgesetz von Rwanda) modern und regelt die Frage des internationalen Datentransfers sehr präzise.

In Artikel 48 sind detaillierte Vorgaben gemacht, die an Artikel 14 Absatz 6 der Malabo-Konvention angelehnt, wenn auch viel präziser sind. In Artikel 48 des rwandischen Datenschutzgesetzes heißt es wörtlich:

Article 48: Sharing and transfer of personal data outside Rwanda

The data controller or the data processor may share or transfer personal data to a third party outside Rwanda if:

1° he or she has obtained authorisation from the supervisory authority after providing proof of appropriate safeguards with respect to the protection of personal data;

2° the data subject has given his or her consent;

3° the transfer is necessary:

for the performance of a contract between the data subject and the data controller or the implementation of precontractual measures taken in response to the data subject’s request;
for the performance of a contract concluded in the interest of the data subject between the data controller and a third party;
for public interest grounds;
for the establishment, exercise or defence of a legal claim;
to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving his or her consent;
for the purposes of compelling legitimate interests pursued by the data

controller or by the data processor, which are not overridden by the interests, rights and freedoms of the data subject, and when:

the transfer is not repetitive and concerns only a limited number of data subjects;
the data controller or the data processor has assessed all the circumstances surrounding the data transfer and has, on the basis of that assessment, provided suitable safeguards with regard to the protection of personal data;
for the performance of international instruments ratified by Rwanda.

The supervisory authority may put in place a regulation determining another reason of sharing or transferring personal data to a third party outside Rwanda.

Grob gesagt, ist es wie folgt:

Die Übermittlung ist zulässig, wenn entweder die zuständige Aufsichtsbehörde die sie genehmigt oder eine der vielen, jedoch eng begrenzten Ausnahmen greift (z. B. zur Vertragserfüllung, zum Schutz lebenswichtiger Interessen, zur Geltendmachung von Rechtsansprüchen usw.). Bemerkenswert ist, dass es – anders als mit Blick auf Artikel 45 DSGVO – hier keine Listen von sicheren Drittländern existieren, sondern die Entscheidungen tatsächlich durch die Behörden im Einzelfall getroffen werden.

Überdies müssen rwandische Unternehmen, die Daten in die EU übermitteln wollen, mit den Empfängern einen Vertrag schließen. Dies folgt aus Artikel 49 des rwandischen Datenschutzgesetzes. Dort heißt es wörtlich:

Article 49: Contract for transfer of personal data

The data controller or the data processor who authorises a person to access personal data, share or transfer them to a third party outside Rwanda, enters into a written contract with such a person setting out the respective roles and responsibilities of each party to ensure compliance with this Law.

The supervisory authority may, by a regulation, determine the form of the contract to be used for transfers of personal data outside Rwanda.

Provisions of Items 1o and 3° a), b) and d) of Article 48 of this Law do not apply to activities carried out by a public body in the exercise of its functions.

The supervisory authority may require the data controller or the data processor to demonstrate their compliance with the provisions of this Article, and in particular, with personal data security safeguards and interests referred to in Item 3° f) of Article 48 of this Law.

The supervisory authority, in order to protect the rights and freedoms of the data subject, may prohibit or suspend the transfer of personal data outside Rwanda.

EU-Unternehmen, die sich dafür interessieren Daten aus Rwanda entgegenzunehmen, mithin auf diesem Markt digital aktiv zu werden, können hierfür einen Mustervertrag verwenden, den die zuständige Aufsichtsbehörde in Rwanda bereitstellt und der zumindest äußerlich an die EU-Standardvertragsklauseln erinnert.

Fazit …

Es gibt viele gute Gründe für EU-Unternehmen, Afrika als Markt für sich zu entdecken. Digitale Dienste passen sehr gut zu diesem Kontinent und die Datenschutzversessenheit der EU könnte mit Blick auf die starke Konkurrenz ein echtes USP sein.

Das setzt allerdings voraus, dass EU-Unternehmen schon jetzt damit beginnen auch rechtliche Themen aus afrikanischer Perspektive zu denken. Das Datenschutzrecht drängt sich hier ja geradezu auf.

In der Afrikanischen Union gibt es mit der Malabo-Konvention einen interessanten Rahmen, der allerdings in den einzelnen Mitgliedstaaten durchaus unterschiedlich gehandhabt wird. Das Beispiel Rwanda zeigt, dass die Vorgaben häufig sehr präzise sind und nicht selten auf den Einzelfall abstellen.