African Data Law: DSGVO trifft Malabo-Konvention / Datenschutzverträge auf Augenhöhe gestalten

Februar 7, 2026
, 9:00 a.m.
, African Data Law, DSGVO Gesetze, Verordnungen, Entscheidungen

Hinweis zur Terminologie: Wenn in dieser Beitragsreihe von „Afrika“ oder „afrikanischem Datenschutzrecht“ die Rede ist, beziehen wir uns primär auf den rechtlichen Rahmen der Afrikanischen Union (AU) und die dort verabschiedete Malabo-Konvention als gemeinsamen Nenner. Uns ist bewusst, dass der afrikanische Kontinent aus 54 souveränen Staaten mit jeweils eigenständigen und höchst unterschiedlichen Rechtsordnungen besteht. Die individuellen nationalen Gesetze – wie etwa der südafrikanische POPIA oder der kenianische Data Protection Act – können im Einzelfall spezifische Anforderungen stellen, die über den allgemeinen AU-Rahmen hinausgehen.

Afrikanische Partner …

Mit einer Partnerschaft ist es so eine Sache; sie ist v.a. dann erfolgreich, wenn sie in beide Richtungen funktioniert. In unserer Reihe „African Data Law“ beschäftigen wir uns mit Datenflüssen zwischen Afrika und Europa und umgekehrt.

Dabei ist es natürlich legitim, zu hoffen, dass EU-Unternehmen in Afrika Software finden, bei der Performance, Sicherheit und ein neuer Blickwinkel stimmen.

Auf der anderen Seite wäre es auch interessant, in Afrika neue Kunden zu gewinnen. Das setzt aber voraus, dass EU-Unternehmen ihren afrikanischen Partnern Verträge anbieten können, die für diese Partner auch tragbar sind.

Und dieser Bedarf ist durch aus da: Denn aus der EU-Perspektive bewegen sich afrikanische Unternehmen in einem noch immer wachsenden Markt, der Rohstoffe, Energie, Agrarprodukte und zunehmend auch digitale Dienstleistungen bietet.

Und ich wiederhole es gern noch einmal: Wer auf diesem Markt Kunden gewinnen will, muss lernen, Verträge zu schreiben, die es afrikanischen Unternehmen leicht machen, EU-Unternehmen zu beauftragen. Insbesondere Unternehmen, die personenbezogene Daten verarbeiten (z.B. Software-as-a-Service-Anbieter) müssen ihre EU-typischen Auftragsverarbeitungsvereinbarungen (AVV, DPA) überdenken, denn afrikanische Rechtsordnungen gehen hier eigene Wege.

Vergleich AVV (Artikel 28 DSGVO) und Processor (Malabo-Konvention) …

In unserer Reihe „African Data Law“, ich hatte es oben schon angedeutet, beschäftigen wir uns intensiv mit dem afrikanischen Datenschutzrecht. Wie es grundsätzlich funktioniert, erläutern wir in unserem Beitrag „African Data Law: Wann dürfen afrikanische Unternehmen Daten in die EU übermitteln?“ (deutsche Version | englische Version)

Grob gesagt, regelt jedes Afrikanische Land das Datenschutzrecht selbst, aber viele von ihnen orientieren sich an einer Konvention der Afrikanischen Union (AU), nämlich an der „African Union Convention on Cyber Security and Personal Data Protection“ (kurz: Malabo‑Konvention). Wer also einen ersten, groben Überblick auf die Erwartungshaltung afrikanischer B2B-Kunden sucht, wird hier durchaus fündig.

Und hier wird es etwas komplexer. Es lohnt sich, die Regelungen zur Auftragsverarbeitung in Afrika mit den Regelungen der DSGVO, insbesondere Artikel 28 DSGVO, zu vergleichen:

Begriffsbestimmung:
- In Artikel 4 Ziffer 8 DSGVO ist genau geregelt, was ein Auftragsverarbeiter ist, nämlich eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- In Artikel 1 der Malabo-Konvention heißt es dazu: „Sub-contractor means any natural or legal person, public or private, any other organization or association that processes data on behalf of the data controller“.
- Beide Vorgaben sind fast deckungsgleich.
Auswahlpflicht:
- Artikel 28 Absatz 1 DSGVO regelt, dass Verantwortliche nur mit solchen Auftragsverarbeiterin zusammenarbeiten dürfen, die die Daten hinreichend sicher verarbeiten.
- Artikel 13 principle 6 lit. b Malabo-Konvention regelt, dass der Verantwortliche („controller“) nur solche Auftragsverarbeiter („processor“) mit der Verarbeitung von Daten betraut, die hinreichende Garantien abgeben können. Es wird ergänzt, dass sowohl der Auftragsverarbeiter als auch der Verantwortliche verpflichtet sind, die Sicherheit herzustellen.
- Im Ergebnis ähneln sich diese Vorgaben sehr, wobei die DSGVO beim Pflichtenkanon sehr viel genauer ist, während die Malabo-Konvention eher darauf abstellt, dass auch Verantwortliche und Auftragsverarbeiter gleichwertige Pflichten in puncto Sicherheit haben.
Genehmigung Unterauftragsverarbeiter:
- Artikel 28 Absatz 2, 4 DSGVO verlangen, dass sich Verantwortliche und Auftragsverarbeiter über die Hinzunahme von Unterauftragsverarbeitern einigen. In der Regel ist hier mindestens ein Widerspruchsrecht des Verantwortlichen und in einigen Fällen sogar ein Zustimmungserfordernis in AVVs zu finden.
- Die Malabo-Konvention ist hier deutlich weniger strikt. Zwar müssen Verantwortliche (und wohl auch Auftragsverarbeiter) in der Regel ihrer Aufsichtsbehörde mitteilen, ob sie Auftragsverarbeiter (und somit wohl auch Unterauftragsverarbeiter) einsetzen (vgl. Artikel 10 Ziffer 6 lit. j Malabo-Konvention), aber eine Genehmigung ist hier nicht erforderlich; im Übrigen auch nicht seitens des Verantwortlichen.
- Die beiden Datenschutzkodifikationen weichen hier deutlich voneinander ab. Dabei ist die afrikanische Variante nicht weniger anspruchsvoll, da es hier offenbar den Vertragsparteien überlassen wird, Regelungen zu finden. Das sollte bei Entwurf oder Prüfung einer „afrikanischen AVV“ daher ein wichtiger Schwerpunkt sein, um Missverständnisse zu vermeiden.
Erfordernis einer Vereinbarung:
- Artikel 28 Absatz 3 DSGVO schreibt unmissverständlich vor, dass die Verantwortliche und Auftragsverarbeiter die Regelungen der Auftragsverarbeitung festhalten müssen, in der Regel mit einer Vereinbarung. Hierbei gibt es genaue Vorgaben, was zu regeln ist.
- Die Malabo-Konvention regelt ein solches Erfordernis nicht ausdrücklich. Allerdings darf aus den Artikeln 1, 13 (principle 6 lit. b) und Artikel 10 (Ziffer 6 lit. j) Malabo-Konvention geschlossen werden, dass dieser Vorgang eine gewisse Bedeutung hat. Afrikanische Unternehmen werden also auch hier ein gewisses Regelungsbedürfnis haben. Bemerkenswert ist insbesondere, dass Staaten wie Rwanda hier sogar Mustervereinbarungen zur Verfügung stellen.
- Es ist nicht so, dass es in Afrika überhaupt keine Regelungen zu einer vertraglichen Grundlage einer Auftragsverarbeitung gibt, jedoch sind hier die Gestaltungsspielräume viel größer als in der EU. Diese Spielräume sollten EU-Unternehmen aktiv nutzen, wenn sie von afrikanischen Unternehmen beauftragt werden.

Worauf EU-Unternehmen achten sollten …

Die Malabo-Konvention ist ein schöner erster Aufschlag, wenn man sich mit Kunden aus Afrika beschäftigen will. Aber sie ist nur ein Rahmenwerk, dass afrikanische Staaten jeweils unterschiedlich ausfüllen. Doch nahezu allen afrikanischen Rechtsordnungen ist gemein, dass sie das Thema Auftragsverarbeitung kennen und regeln, den Parteien im Ergebnis aber viele Freiheiten lassen.

In der EU ansässige Unternehmen sollten bei der Prüfung von Vertragsentwürfen aus Afrika u.a. folgendes bedenken:

1 Vorauswahl zum anwendbaren Recht

Zunächst sollte geklärt werden, ob der Vertrag dem afrikanischen Recht oder dem EU-Recht unterliegen soll. Und aus der EU-Perspektive lohnt es sich, über die Anwendung afrikanischen Rechts in Verträgen mit afrikanischen Unternehmen nachzudenken. Natürlich gibt es auch hier Grenzen, die EU-Unternehmen nicht überschreiten dürfen. Gleichzeitig ist es aber sowohl eine Frage des Respekts als auch des Marketings, ob ein Vertrag nach afrikanischem Recht entwickelt wird oder nicht.

2 Konkretisierung der Rechtswahl

Sofern das EU-Recht gelten soll, sollte genau geschaut werden, welche Widersprüche es gibt, um diese im Vertrag möglichst schonend aufzulösen. Denn Verträge sollten für keine der beiden Seite eine allzu große Zumutun sein.

Fällt die Entscheidung auf afrikanisches Recht, ist das eine durchaus wichtige Entscheidung. Wichtig ist dabei v.a., dass die Malabo-Konvention nur ein Rahmenwerk ist, weshalb das jeweilige Landesrecht noch einmal genau angeschaut werden sollte. Denn es gibt überall Besonderheiten.

Wer übrigens glaubt, dass die Unterschiede zu groß sind, ist eingeladen, sich einmal die Musterverträge, die in Rwanda verwendet werden, anzuschauen (Download). Das sind Vereinbarungen, mit denen viele EU-Unternehmen gut umgehen können. Hierzu werde ich noch einen gesonderten Blogbeitrag schreiben.

3 Regelungen zur Zusammenarbeit mit den nationalen Behörden

Unabhängig davon, welches Recht gilt, empfiehlt es sich, in den Verträgen mit afrikanischen Partnern den Umgang mit nationalen Aufsichtsbehörden zu regeln. Denn in vielen afrikanischen Staaten spielen die Aufsichtsbehörden eine große Rolle im Wirtschaftsverwaltungsrecht. Ein gutes Beispiel dafür ist Artikel 10 der Malabo-Konvention.

Wichtig ist, das geregelt werden sollte, wer den Behörden Meldungen, Anträge usw. übermittelt und wie die Haftungsverteilung ist, wenn die Behörden als entscheiden als gewünscht.

4 Besonderes Augenmerk auf Technische und Organisatorische Maßnahmen

Selbst die Artikel 24, 25, 32 DSGVO sind – gemessen an der hohen Bedeutung des Themas „Sicherheit“ – sehr allgemein formuliert. Ich würde es „Generalklausel Plus“ nennen. Gerade in puncto Auftragsverarbeitung wäre auch in der EU ein konkreter Katalog, wie es ihn etwa früher im alten BDSG gab, wünschenswert.

Gleichwohl sind diese Regelungen – zumindest im Bereich der Auftragsverarbeitung – im afrikanischen Recht noch generalklauselartiger.

Hier aber besteht ein Risiko. Denn egal, welches Recht nun gewählt wurde, könnten beide Parteien dazu neigen, die Allgemeinheit dieser Regelungen dafür zu nutzen, Sicherheitsstandards aufzuweichen. Erstens sollte das nie für die Rechtswahl entscheidend sein und zweitens lohnt es sich auch nicht.

Denn wenn etwas schiefläuft, stellt sich so oder so die Haftungsfragen. Und deren Klärung ist gerade bei internationalen Vertragsverhältnissen immer viel zu teuer.

Daher empfiehlt es sich klare Vorgaben zum Thema Sicherheit zu regeln.

5 Ort der Datenverarbeitung

Mindestens genauso wichtig, wie die Wahl des Rechts, ist der Klassiker des Ortes der Datenverarbeitung. Randnotiz: Ich weigere mich, pauschal vom Speicherort zu schreiben. Denn Datenverarbeitung erschöpft sich nicht in der Speicherung, daher ist Ort der Datenverarbeitung präziser.

Mit Blick auf den Ort der Verarbeitung ist zu differenzieren:

Ist das EU-Unternehmen der Auftraggeber (bzw. Verantwortlicher) und das afrikanische Unternehmen der Auftragnehmer (bzw. Auftragsverarbeiter), so sollte möglichst der Speicherort in der EU liegen. Eine Trennung von Software und Speicherort ist zumindest anzusprechen, dank der guten Verfügbarkeit von Cloud-Technologie ist das heute durchaus diskutabel. Allerdings sollte niemand an der Realität vorbei diskutierten. Eine echte Partnerschaft kann bedeuten, dass EU-Unternehmen auch hier über Kompromisse nachdenken sollten, wie Binding Corporate Rules oder Standard Contractual Clauses. Für den Fall, dass man sich für SCCs entscheidet, dürfte das Transfer Impact Assessment sehr wichtig sein. Und spätestens hier sollten sich auch EU-Unternehmen mit dem nationalen Recht des jeweiligen afrikanischen Staates beschäftigen. Das dürfte spannend sein.
Ist es umgekehrt, ist also das afrikanische Unternehmen Auftraggeber, sieht es natürlich anders aus. Ob die Daten nun in Afrika oder in der EU oder ganz woanders verarbeitet werden, kann dann nur in Übereinstimmung mit dem Auftraggeber geklärt werden. Wann das jeweilige afrikanische Unternehmen einen solchen Drittlandtransfer akzeptieren kann oder ablehnen muss, haben wir bereits in unserem Beitrag Beitrag „African Data Law: Wann dürfen afrikanische Unternehmen Daten in die EU übermitteln?“ (deutsche Version | englische Version) geklärt.

6 Unterauftragsverarbeiter

Auch hier lassen sowohl die EU-Rechtsordnung als auch die afrikanischen Gesetze den Vertragsparteien einigen Spielraum. Gerade hier besteht dann aber das Risiko, zu glauben, dass das afrikanische Recht hier liberaler sei. Denn mehr Freiheit bedeutet auch höhere Haftungsrisiken. Um diesen zu begegnen, empfiehlt es sich, ganz unabhängig von der Rechtswahl, eine sehr klare Regelung aufzunehmen.

7 Die üblichen Punkte

Natürlich sollten Haftungsregelungen, Schiedsklauseln, Gerichtsstandsvereinbarungen usw. in Betracht gezogen werden. Das ist aber keine datenschutzrechtliche Besonderheit, der wir nachgehen wollen. Es sei aber erwähnt, dass neben der Auftragsverarbeitung auch gute, schuldrechtliche Hauptverträge helfen können.

8 Präventionsstrategie

Anders als in der EU gelten in den AU-Mitgliedstaaten jeweils eigene Datenschutzgesetze, die sich zwar an der Malabo-Konvention orientieren und dennoch ihre Eigenheiten haben. Daher ist es sehr wohl möglich, dass sich das Recht in afrikanischen Ländern auch schneller entwickelt oder ändert.

Daher ist es erforderlich, die Rechtsordnung vor Ort und allgemeine Trends im afrikanischen Datenschutzrecht gut zu beobachten. Denn auch EU-Unternehmen sollten schnell auf Änderungen reagieren können. Das „Tempo“ der EU in Sachen Gesetzgebung mag in mach anderem Land sogar noch übertroffen werden.

Autor: Rechtsanwalt Dr. Stephan Gärtner, vgl. Impressum