Ägyptens Datenschutzgesetz hört am 1. November 2026 auf, eine reine Papierübung zu sein. Der kenianische Senat berät über ein eigenes Gesetz zur künstlichen Intelligenz, das einen KI-Beauftragten schaffen würde, der Verstöße mit Bußgeldern von bis zu 5 Millionen Schilling ahnden könnte. Die nigerianische Aufsichtsbehörde hat Verantwortlichen bereits mitgeteilt, dass eine versäumte Compliance-Prüfung 10 Millionen Naira oder 2 % des Jahresumsatzes kosten kann, je nachdem, welcher Betrag höher ist. Dennoch haben nur 16 der 55 Mitgliedstaaten der Afrikanischen Union den einen Vertrag ratifiziert, der all dies harmonisieren soll, die Konvention von Malabo, und keine der vier größten Volkswirtschaften des Kontinents, Südafrika, Nigeria, Kenia oder Ägypten, gehört dazu.
Diese Kluft zwischen kontinentalem Anspruch und nationaler Realität prägt die KI- und Datenregulierung in Afrika im Jahr 2026. Compliance-Teams können sich nicht, wie zunehmend in der EU, auf ein einziges Regelwerk stützen. Stattdessen verfolgen sie vier oder fünf nationale Regime, die sich unterschiedlich schnell entwickeln, eine Strategie der Afrikanischen Union, die sich noch in der frühen Umsetzungsphase befindet, sowie einen europäischen AI Act, dessen extraterritoriale Reichweite bereits afrikanische Unternehmen erfasst, die europäische Kunden bedienen.
Nichts davon ist theoretisch. Es entscheidet, ob das Kreditscoring-Modell eines Fintechs aus Lagos vor dem Start eine Datenschutz-Folgenabschätzung benötigt, ob ein Health-Tech-Unternehmen aus Johannesburg weiterhin Diagnosesoftware an eine europäische Krankenhausgruppe verkaufen kann, und ob das automatisierte Kreditentscheidungssystem eines Kreditgebers aus Nairobi künftig einer eigenen KI-Aufsichtsbehörde statt nur einer Datenschutzbehörde Rechenschaft ablegen muss.
Gibt es ein einheitliches afrikanisches Gesetz für KI und Daten?
Nein. Die kontinentale Strategie der Afrikanischen Union für künstliche Intelligenz, die der Exekutivrat am 18. und 19. Juli 2024 in Accra gebilligt hat, gibt eine politische Richtung vor und keine verbindlichen Regeln, und ihr eigener Umsetzungsplan sieht eine Phase 1, den Aufbau von Governance-Strukturen und nationalen Strategien, von 2025 bis 2026 vor, wobei die Kernprojekte erst 2028 anlaufen. Das einzige Instrument mit tatsächlicher Rechtskraft, die Konvention von Malabo über Cybersicherheit und den Schutz personenbezogener Daten, trat am 8. Juni 2023 in Kraft, nachdem Mauretanien als fünfzehnter Staat ratifiziert hatte, doch Stand 2026 haben erst 16 der 55 AU-Mitglieder ratifiziert. Unternehmen mit grenzüberschreitender Tätigkeit in Afrika müssen sich daher weiterhin Land für Land durch nationales Recht bewegen, statt sich auf ein harmonisiertes kontinentales Regime verlassen zu können.
Was verlangt das nigerianische Datenschutzgesetz im Jahr 2026?
Der Nigeria Data Protection Act 2023 verlieh der nigerianischen Datenschutzkommission eigenständige gesetzliche Durchsetzungsbefugnisse, verstärkt durch die General Application and Implementation Directive, die im September 2025 in Kraft trat. Jede Organisation, die als Verantwortlicher oder Auftragsverarbeiter von Daten von größerer Bedeutung eingestuft wird, muss sich bei der Kommission registrieren und jährlich einen Bericht zur Compliance-Prüfung im Datenschutz einreichen, der normalerweise bis zum 31. März fällig ist, wobei die Kommission die Frist für den Prüfzyklus 2025 auf den 30. Mai 2026 verlängert hat. Vertreter der Behörde haben signalisiert, dass Strafen für einen versäumten oder mangelhaften Prüfbericht inzwischen bis zu 10 Millionen Naira oder 2 % des jährlichen Bruttoumsatzes erreichen können, je nachdem, welcher Betrag höher ist, ein deutlicher Wandel gegenüber der beratenden Haltung der früheren Nigeria Data Protection Regulation. Ein KI-spezifisches Gesetz existiert noch nicht, sodass automatisierte Entscheidungsfindung mit personenbezogenen Daten über die allgemeinen Bestimmungen des Gesetzes zur rechtmäßigen Verarbeitung und zu den Rechten betroffener Personen geregelt wird.
Reguliert Südafrika KI, oder nur Daten?
Vorerst nur Daten, und selbst dort sind die Vorgaben zu KI noch dünn. Section 71 des Protection of Personal Information Act schränkt Entscheidungen ein, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche oder ähnlich erhebliche Wirkungen entfalten, eine Bestimmung, die strukturell Artikel 22 der DSGVO ähnelt, doch die südafrikanische Information Regulator hatte Anfang 2026 noch keine eigene Leitlinie, Rechtsprechung oder Durchsetzungsposition dazu veröffentlicht. Die Behörde hat bestätigt, dass sie im Geschäftsjahr 2026/27 Leitlinien zu Folgenabschätzungen für personenbezogene Informationen veröffentlichen wird, die zugleich als Grundlage für die KI-Risikobewertung dienen sollen. Getrennt davon hat das Department of Communications and Digital Technologies im April 2026 seine Entwurf der nationalen KI-Politik zur öffentlichen Konsultation gestellt und dabei ein gesamtstaatliches Modell vorgeschlagen, bei dem die bestehenden Aufsichtsbehörden, die Information Regulator, die ICASA, die Wettbewerbskommission und die Finanzaufsichtsbehörden, ihre jeweiligen Zuständigkeiten behalten und sich über ein neues National AI Regulatory Forum abstimmen, statt eine einzige KI-Behörde zu schaffen. Die Durchsetzungsbefugnisse nach dem POPIA selbst bleiben real: Das maximale Bußgeld beträgt 10 Millionen Rand je Verstoß, und die Information Regulator verhängte im Juli 2023 ihre erste Geldstrafe, 5 Millionen Rand gegen das Department of Justice and Constitutional Development.
Wie nah ist Kenia an einem eigenen KI-Gesetz?
Näher als die meisten Länder des Kontinents, aber noch nicht am Ziel. Kenias Artificial Intelligence Bill, 2026, eingebracht von Senatorin Karen Nyamu, würde ein unabhängiges Office of the Artificial Intelligence Commissioner schaffen, das befugt wäre, KI-Systeme zu prüfen, ein öffentliches Register hochriskanter Systeme zu führen und ein risikobasiertes Regime durchzusetzen, das sich teilweise am europäischen AI Act orientiert. Der Gesetzentwurf verknüpft die Pflichten für Hochrisiko-KI ausdrücklich mit dem bestehenden Data Protection Act, 2019, und verlangt von Anbietern die Durchführung von Datenschutz-Folgenabschätzungen sowie, wenn automatisierte Entscheidungen rechtliche oder ähnlich erhebliche Wirkungen entfalten, die Garantie eines Rechts auf menschliches Eingreifen. Er benötigt noch die Zustimmung der Nationalversammlung sowie die Unterschrift des Präsidenten, bevor er in Kraft treten kann. Bis dahin bleibt das Office of the Data Protection Commissioner, das auf Grundlage des Data Protection Act und der National Artificial Intelligence Strategy 2025 bis 2030 Kenias tätig ist, die einzige Stelle, die KI-nahe Verarbeitung aktiv beaufsichtigt, mit der Befugnis, Verstöße zu untersuchen und Verwaltungsstrafen zu verhängen.
Was ändert sich für Unternehmen, wenn Ägyptens Datenschutzgesetz voll in Kraft tritt?
Ägyptens Gesetz zum Schutz personenbezogener Daten, seit 2020 in Kraft, aber ohne Durchführungsbestimmungen nie voll operativ, erhielt seine Ausführungsverordnungen schließlich per Dekret Nr. 816 aus 2025 des Ministers für Telekommunikation, veröffentlicht im November 2025. Diese Veröffentlichung setzte eine einjährige Übergangsfrist in Gang, die am 1. November 2026 endet. Danach erhält das Personal Data Protection Center die volle Befugnis, Organisationen zu lizenzieren, zu inspizieren und zu sanktionieren, die in Ägypten personenbezogene Daten verarbeiten. Die Verordnungen befassen sich direkt, aber eng begrenzt mit KI: Verantwortliche, die personenbezogene Daten zum Training oder Betrieb von KI-Modellen nutzen, müssen dies im Einklang mit "lokal, regional und international anerkannten" Standards tun, ein Verweis auf die nicht bindende Egyptian Charter for Responsible Artificial Intelligence des National Council for Artificial Intelligence. Ägypten hat weiterhin kein eigenständiges KI-Gesetz, sodass die Charta als weiche Leitlinie oberhalb des verbindlichen Datenschutzrechts fungiert.
Warum ist der europäische AI Act für ein Unternehmen ohne EU-Büro relevant?
Weil das Gesetz Ergebnisse regelt, nicht Standorte. Nach Artikel 2 Absatz 1 Buchstabe c gilt der europäische AI Act für Anbieter und Betreiber außerhalb der Union, sobald die Ausgabe ihres KI-Systems innerhalb der Union genutzt wird, dieselbe extraterritoriale Logik, die die DSGVO zu einer globalen statt rein europäischen Compliance-Referenz gemacht hat. Ein nigerianisches Fintech, das KI-Kreditscoring für Kunden der europäischen Diaspora betreibt, oder ein südafrikanisches Diagnostikunternehmen, das seine Software an eine europäische Krankenhausgruppe lizenziert, fällt unabhängig vom Standort seiner Server in den Anwendungsbereich. Die Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck traten bereits im August 2025 in Kraft, und die wichtigste Compliance-Frist für Hochrisikosysteme, unter anderem für Entscheidungen zu Beschäftigung, Kredit und Versicherung, fällt auf den 2. August 2026. Diese Pflichten kommen zu jedem bereits geltenden nationalen Datenschutzrecht hinzu, statt es zu ersetzen.
| Jurisdiktion | Kerngesetz | Aufsichtsbehörde | Meilenstein 2026 |
|---|---|---|---|
| Nigeria | Data Protection Act 2023 + GAID 2025 | Nigeria Data Protection Commission | Prüfberichte 2025 fällig am 30. Mai 2026, Bußgelder bis 10 Millionen Naira oder 2 % |
| Südafrika | POPIA, Entwurf der nationalen KI-Politik | Information Regulator | PIIA-Leitlinien zu KI im Geschäftsjahr 2026/27 erwartet |
| Kenia | Data Protection Act 2019, AI Bill 2026 anhängig | Office of the Data Protection Commissioner | AI Bill wartet auf Zustimmung der Nationalversammlung und Unterschrift des Präsidenten |
| Ägypten | Personal Data Protection Law 151/2020 + Verordnungen | Personal Data Protection Center | Übergangsfrist endet am 1. November 2026, danach volle Durchsetzung |
Was sollten Compliance-Teams tun, bevor die Strategie der AU aufholt?
Jede Jurisdiktion sollte für sich verfolgt werden, statt auf eine kontinentale Harmonisierung zu warten, die nach dem eigenen Zeitplan der AU vor 2028 nicht ausgereift sein wird. Das AfCFTA-Digitalhandelsprotokoll, dessen acht ergänzende Anhänge zu Datenflüssen, digitaler Identität und neuen Technologien im Februar 2025 verabschiedet wurden, weist auf einen freieren grenzüberschreitenden Datenverkehr hin, doch seine fünfjährige Übergangsphase bedeutet, dass nationale Regeln noch jahrelang das Tagesgeschäft der Compliance bestimmen. Obsidian verfolgt jedes dieser Regime, Nigerias NDPA und GAID, Südafrikas POPIA und ihre sich weiterentwickelnde KI-Politik, Kenias Data Protection Act und den anhängigen AI Bill, Ägyptens PDPL und ihre Frist im November 2026, sowie die darüberliegenden Instrumente der AU und der AfCFTA, jeweils anhand ihrer offiziellen Tier-0-Quellen, mit Warnmeldungen in dem Moment, in dem sich ein Amtsblatt, eine Verordnung oder der Status eines Gesetzentwurfs ändert. Für Teams, die zusätzlich verstehen müssen, wie diese Regime mit dem europäischen AI Act oder der DSGVO zusammenwirken, beantwortet Obsidians KI-Begleiter Fragen auf Basis derselben verifizierten Quellenbasis statt der Vermutung eines allgemeinen Modells, und die MCP-Integration bringt dieselben regulatorischen Daten direkt in die KI-Assistenten, die Compliance- und Rechtsteams bereits täglich nutzen.
Die nächsten zwölf Monate werden die Jurisdiktionen, die von der Politikpapier-Phase zur Durchsetzung übergehen, von jenen trennen, die noch entwerfen. Ägyptens Übergangsfrist endet im November, Kenias Gesetzentwurf könnte noch vor Jahresende verabschiedet werden, und Südafrikas Information Regulator hat sich zu ihren ersten KI-relevanten Leitlinien verpflichtet. Auf den kontinentalen Rahmen der Afrikanischen Union zu warten, um diese Unterschiede aufzulösen, ist keine Compliance-Strategie. Kontinuierliches Monitoring je Jurisdiktion ist es, und es lohnt sich zu prüfen, was ein Plan, der genau auf diese Abdeckung zugeschnitten ist, vor der nächsten Frist kostet.