Am 1. Januar 2026 begann das Dubai International Financial Centre mit der Durchsetzung von Regulation 10 seines Data Protection Law, der ersten verbindlichen Regel am Golf, die ein KI-System selbst und nicht nur die von ihm verarbeiteten personenbezogenen Daten zum Gegenstand der Regulierung macht. Jede im DIFC registrierte Einheit, die über ein autonomes oder halbautonomes System eine „High Risk Processing Activity" betreibt, muss nun eine dokumentierte Datenschutz-Folgenabschätzung vorweisen, einen Autonomous Systems Officer benennen und auf Anfrage algorithmische Nachweise für die Auslöser menschlicher Eingriffe vorlegen. Sechzehn Tage zuvor, am 16. Januar 2026, bestätigte die saudische Datenschutzbehörde etwas fast ebenso Bedeutsames: 48 Durchsetzungsentscheidungen gegen Organisationen wegen Verstößen gegen das Personal Data Protection Law des Königreichs, mit Bußgeldern von bis zu SAR 5 Millionen pro Verstoß, die sich bei wiederholten Verstößen verdoppeln.
Keine dieser Entwicklungen entstammt einem einheitlichen Middle East AI Act, denn ein solches Gesetz existiert in der gesamten Region nicht. Stattdessen bewegen sich vier Jurisdiktionen mit unterschiedlichem Tempo auf unterschiedlichen rechtlichen Grundlagen: Die VAE legen KI-spezifische Freihandelszonen-Regeln über ein föderales Datenschutzgesetz, dem auch nach mehr als vier Jahren noch die Ausführungsbestimmungen fehlen, Saudi-Arabien setzt sein Datenschutzgesetz konsequent durch, während sein KI-Rahmenwerk weitgehend freiwillig bleibt, Katar leitet die KI-Compliance über ein Datenschutzgesetz aus dem Jahr 2016 und unverbindliche NCSA-Leitlinien, und Israel hat sein gesamtes Datenschutzgesetz in einem Schritt überarbeitet und setzt es nun aktiv durch.
Am 16. April 2026 startete die saudische SDAIA gemeinsam mit den VAE, Katar und Oman die MENA AI Harmonisation Initiative, ein Versuch, Meldepflichten bei Verstößen, Grundsätze für den ethischen Einsatz von KI und Regeln für grenzüberschreitende Datenflüsse anzugleichen, ohne die nationalen Gesetze zu einem einzigen Regelwerk zu verschmelzen. Für ein Compliance-Team bedeutet das: vier Regulierungsbehörden, vier unterschiedliche Durchsetzungshaltungen und ein entstehendes, aber noch unvollständiges Konvergenzprojekt, die gleichzeitig im Blick behalten werden müssen.
Welche Regulierungsbehörden bestimmen tatsächlich die KI- und Datenaufsicht im Nahen Osten?
Vier Behörden mit vier unterschiedlichen Mandaten. In den VAE verwaltet das föderale UAE Data Office das Federal Decree-Law No. 45 of 2021 auf dem Festland, während der DIFC Commissioner of Data Protection Regulation 10 speziell für KI innerhalb der DIFC-Freihandelszone durchsetzt und der Abu Dhabi Global Market unter seinen eigenen Data Protection Regulations ein paralleles Regime betreibt. In Saudi-Arabien setzt die Saudi Data and Artificial Intelligence Authority über ihre Committees for Reviewing Violations das verbindliche Personal Data Protection Law durch und veröffentlicht zugleich das nicht bindende AI Adoption Framework sowie die Generative AI Guidelines, die zunehmend Voraussetzung für staatliche Aufträge sind. In Katar setzt das Compliance and Data Protection Department der National Cyber Security Agency das Personal Data Privacy Protection Law durch und hat 2024 KI-Sicherheitsleitlinien veröffentlicht, während die Qatar Central Bank verbindliche KI-Pflichten für lizenzierte Finanzinstitute vorschreibt. In Israel setzt die Privacy Protection Authority das neu überarbeitete Privacy Protection Law durch und behandelt ihre eigenen Richtlinien als faktisch verbindliches Recht. Nachzuvollziehen, welche dieser vier Behörden einen bestimmten KI-Einsatz tatsächlich reguliert, ist genau die Art von Frage, die Jurisdiktion für Jurisdiktion beantwortet werden muss, und für die Obsidians regulatorisches Monitoring entwickelt wurde: mit belegten, datierten Zitaten statt einem allgemeinen Eindruck von „Golf-KI-Regulierung".
Verfügen die VAE tatsächlich über ein verbindliches KI-Gesetz?
Kein eigenständiges, aber zwei verbindliche Regelwerke erfassen KI bereits indirekt. Das föderale PDPL, das Federal Decree-Law No. 45 of 2021, trat am 2. Januar 2022 in Kraft und gilt extraterritorial für jede Verarbeitung personenbezogener Daten von Einwohnern der VAE, einschließlich der Daten, die KI-Systeme für Training, Profiling und automatisierte Entscheidungen nutzen. Die Ausführungsbestimmungen waren innerhalb von sechs Monaten nach Veröffentlichung des Gesetzes fällig, also etwa im März 2022, und waren Mitte 2026 immer noch nicht erlassen, sodass die konkreten Bußgeldhöhen, in der Rechtskommentierung mit einer Spanne von AED 50.000 bis AED 5 Millionen pro Verstoß beziffert, ohne endgültigen gesetzlichen Rahmen bleiben.
Innerhalb der DIFC-Freihandelszone besteht diese Lücke nicht. Regulation 10 des DIFC Data Protection Law, seit 2023 in Kraft und ab dem 1. Januar 2026 aktiv durchgesetzt, verpflichtet jeden Controller oder Processor, der ein autonomes oder halbautonomes System einsetzt, vor der Inbetriebnahme eine Datenschutz-Folgenabschätzung durchzuführen und ein Register der KI-Verarbeitungstätigkeiten zu führen. Bei High Risk Processing muss die Einheit zusätzlich einen Autonomous Systems Officer benennen und Nachweise über die Algorithmen vorhalten, die menschliche Eingriffe auslösen. Ein Unternehmen, das dasselbe KI-gestützte Kreditbewertungstool über eine DIFC-Einheit und eine Festland-Einheit der VAE betreibt, steht im einen Fall vor der dokumentierten DPIA- und Officer-Pflicht aus Regulation 10 und im anderen Fall vor den allgemeinen PDPL-Pflichten der noch ausstehenden föderalen Ausführungsbestimmungen.
Ist die Durchsetzung des saudischen PDPL real oder noch weitgehend theoretisch?
Real, und sie nimmt zu. Das PDPL, erlassen durch Royal Decree No. M/19 of 2021 und im März 2023 geändert, trat am 14. September 2023 vollständig in Kraft, mit einer einjährigen Übergangsfrist, die am 14. September 2024 endete. Die SDAIA bestätigte am 16. Januar 2026, dass ihre Committees for Reviewing Violations im vorangegangenen Jahr 48 Durchsetzungsentscheidungen erlassen hatten, wobei unrechtmäßige Erhebung oder Verarbeitung ohne gültige Rechtsgrundlage, unbefugte Offenlegung, unzureichende technische Schutzmaßnahmen und Marketing ohne Einwilligung als wiederkehrende Verstoßarten genannt wurden. Bußgelder erreichen SAR 5 Millionen pro Verstoß und verdoppeln sich bei wiederholten Verstößen auf SAR 10 Millionen, und die vorsätzliche Offenlegung sensibler personenbezogener Daten zieht separate strafrechtliche Sanktionen von bis zu zwei Jahren Freiheitsstrafe und einer Geldstrafe von SAR 3 Millionen nach sich. Organisationen, die über einen Verstoß benachrichtigt werden, haben mitunter nur fünf Tage Zeit zu reagieren.
Die KI-Governance selbst bleibt weicheres Recht. Das AI Adoption Framework der SDAIA und die Generative AI Guidelines von 2024 sind für die meisten Anwendungen im Privatsektor rechtlich nicht bindend, doch die SDAIA-Akkreditierung nach diesem Rahmenwerk wird zunehmend zur Voraussetzung für staatliche Aufträge, und Saudi-Arabien hat 2026 zu seinem „Year of Artificial Intelligence" erklärt, ein Signal dafür, dass gerade diese freiwillige Ebene als Nächstes verbindlich werden dürfte.
Vergleich der KI- und Datenaufsichtsregime im Nahen Osten, Mitte 2026
| Jurisdiktion | Verbindliches Datenschutzgesetz | KI-spezifische verbindliche Regel | Durchsetzungshaltung 2026 |
|---|---|---|---|
| VAE (föderal) | PDPL, Decree-Law 45/2021, in Kraft seit 2022, Ausführungsbestimmungen weiterhin ausstehend | Keine auf föderaler Ebene | Leitlinien und Einzelfallmaßnahmen des Data Office |
| VAE (DIFC) | DIFC Data Protection Law | Regulation 10, durchgesetzt ab 1. Januar 2026 | Aktiv, DPIA- und Officer-Pflichten werden geprüft |
| Saudi-Arabien | PDPL, vollständig durchsetzbar seit September 2024 | Keine verbindliche; AI Adoption Framework freiwillig | Aktiv, 48 bestätigte Entscheidungen mit Stand Januar 2026 |
| Katar | PDPPL, Law No. 13 of 2016 | Zentral keine verbindliche Regel; QCB-Vorgaben binden nur Banken | Außerhalb des Finanzsektors leitlinienbasiert |
| Israel | Privacy Protection Law, Amendment 13 vom August 2025 | Keine eigene Regel; über allgemeine Datenschutzpflichten abgedeckt | Aktiv seit Januar 2026, DPO-Durchsetzung läuft |
Was verlangt Katar tatsächlich von einem KI-System, das personenbezogene Daten verarbeitet?
Zunächst Compliance mit dem Datenschutzgesetz von 2016, dann KI-spezifische Leitlinien. Das Personal Data Privacy Protection Law, Katars ursprüngliches Gesetz von 2016 und das erste umfassende Datenschutzgesetz im GCC, bleibt die verbindliche Basis und wird von der National Cyber Governance and Assurance Affairs Division innerhalb der National Cyber Security Agency durchgesetzt. Die im Februar 2024 veröffentlichten Guidelines for Secure Adoption and Usage of Artificial Intelligence der NCSA sind freiwillig, behandeln aber speziell Datenminimierung, Zweckbindung, Bias-Kontrollen und Prüfbarkeit für KI-Systeme, und die Behörde hat gewarnt, dass ihre Nichtbeachtung dennoch ein Risiko unter dem verbindlichen PDPPL schaffen kann. Der einzige Bereich, in dem KI-Compliance bereits verpflichtend statt nur beratend ist, ist der Finanzsektor: Die KI-Leitlinie der Qatar Central Bank schreibt lizenzierten Instituten verbindliche Transparenz-, Einwilligungs- und Datenverarbeitungspflichten vor, während die Qatar Financial Markets Authority im Mai 2025 einen Entwurf für KI-Vorschriften zirkulierte, der die verbindliche Reichweite weiter ausdehnen würde. Im Qatar Financial Centre registrierte Einheiten unterliegen wiederum einem dritten Regime, den QFC Data Protection Regulations von 2021, das zusätzlich zu den jeweils geltenden PDPPL- oder NCSA-Vorgaben zur Anwendung kommt.
Warum wurde die Durchsetzung des Datenschutzes in Israel 2026 plötzlich so konsequent?
Weil ein vier Jahrzehnte altes Gesetz in einem einzigen Schritt neu gefasst wurde und dessen Übergangsfristen inzwischen abgelaufen sind. Amendment 13 zum Privacy Protection Law von 1981 trat am 14. August 2025 in Kraft und führte für berechtigte Organisationen die verpflichtende Benennung eines Data Protection Officer, eine erweiterte Definition sensibler Daten, die auch KI-verarbeitete Informationen erfasst, sowie administrative Geldsanktionen ein, die die Privacy Protection Authority ohne vorheriges Gerichtsverfahren verhängen kann. Die PPA gewährte für die DPO-Pflicht eine befristete Übergangsfrist, die am 31. Oktober 2025 endete, und ist eigenen Angaben zufolge seit Januar 2026 von Leitlinien zu proaktiver Durchsetzung übergegangen, einschließlich Audits, Untersuchungen und strafrechtlichen Meldungen. Sanktionen können mehrere Millionen Schekel erreichen, mit Multiplikatoren für die Verarbeitung großer Datenmengen oder sensibler Daten, und Einzelpersonen können gesetzlichen Schadensersatz von bis zu ILS 100.000 geltend machen, ohne einen tatsächlichen Schaden nachweisen zu müssen, eine niedrigere Schwelle als in den meisten anderen Datenschutzregimen der Region.
Was sollte ein Team für KI- und Datenaufsicht im Nahen Osten als Nächstes tun?
Zunächst trennen, welche Einheiten einer harten Durchsetzung unterliegen und welche noch auf Basis von Leitlinien agieren. Eine DIFC-Einheit, die KI mit personenbezogenen Daten betreibt, befindet sich bereits in einem aktiv durchgesetzten Regime mit dokumentierter DPIA-Pflicht; eine saudische Einheit außerhalb des Finanzsektors sieht sich heute einer harten PDPL-Durchsetzung gegenüber, vorerst aber nur freiwilligen KI-Leitlinien; eine katarische Einheit außerhalb des Bankwesens hat bei KI-spezifischen Regeln noch echten Spielraum, obwohl ihr zugrunde liegendes Datenschutzgesetz bereits vollständig verbindlich ist; und jeder israelische Betrieb muss seine DPO-Frage sofort klären, nicht erst auf einer künftigen Roadmap.
Nichts davon erfordert es, auf den Abschluss der MENA AI Harmonisation Initiative zu warten, die vier Rechtssysteme angleicht, die ohnehin nie zu einem einzigen verschmelzen sollten. Obsidian verfolgt das UAE Data Office, den DIFC Commissioner, die SDAIA, die NCSA, die QFMA und die israelische PPA als getrennte Tier-0-Quellen auf Ebene von Jurisdiktion und Rahmenwerk, sodass eine Frist für die Regulation-10-Zertifizierung oder eine neue SDAIA-Durchsetzungsentscheidung noch in der Woche ihrer Veröffentlichung den richtigen Compliance-Verantwortlichen erreicht. Der KI-Begleiter beantwortet jurisdiktionsübergreifende Fragen wie „Benötigt unsere DIFC-Einheit für dieses konkrete Tool einen Autonomous Systems Officer" mit einer belegten Quellenangabe statt mit einem allgemeinen Eindruck, und Teams, die bereits eigene KI-Assistenten betreiben, können dieselben verifizierten Daten über Obsidians MCP anbinden. Wie die vollständige Abdeckung von KI-, Daten- und digitaler Governance funktioniert, zeigt die Preise-Seite, die genau für diese Art von Multi-Regulator-Exposition entwickelt wurde.