Kenia verschärft Datenschutz im Transportsektor

Heute endet die Frist für Stellungnahmen zu einem neuen Regelwerk für Transport- und Logistikunternehmen.

Der Vorstoß kommt nicht überraschend: Kenias Verkehrsbranche hat sich in den vergangenen Jahren rasant digitalisiert. Ob Minibusse (Matatus), internationale Ride-Sharing-Dienste oder nationale Logistikfirmen – sie alle sammeln täglich Unmengen an Daten. Von digitalen Tickets über GPS-Tracking bis hin zu Standortdaten aus Apps. Bislang fehlte ein spezifischer Rechtsrahmen dafür.

Die rechtssichere Dokumentation von Datenflüssen ist auch hierzulande eine zentrale Pflicht für jedes Unternehmen. Diese kostenlose Excel-Vorlage hilft Ihnen dabei, Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO zeitsparend und fehlerfrei zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Wer ist betroffen?

Die neuen Richtlinien gelten für eine breite Palette von Akteuren: Betreiber öffentlicher Verkehrsmittel, Busunternehmen, Logistikdienstleister – aber auch Flug-, Bahn- und Schifffahrtsgesellschaften. Sie alle werden künftig offiziell als Datenverantwortliche oder Auftragsverarbeiter eingestuft. Eine Pflichtregistrierung bei der ODPC ist Voraussetzung für die rechtliche Betriebserlaubnis.

Im Kern geht es um Transparenz: Unternehmen müssen genau definieren, warum sie Telefonnummern, Ausweisdaten oder digitale Zahlungsinformationen erheben. Die Behörde stellt klar: Datensammlung muss auf das Nötigste beschränkt bleiben. Passagierdaten sind kein Freibrief für ungefragtes Marketing oder kommerzielle Ausbeutung.

Strengere Regeln für Überwachung

Besonders heikel: Systeme mit Dauerüberwachung. Wer CCTV in Bussen einsetzt oder Fahrzeuge in Echtzeit trackt, muss künftig eine Datenschutz-Folgenabschätzung durchführen. Diese Prüfung soll Risiken erkennen, bevor sie entstehen – und sicherstellen, dass Sicherheitsmaßnahmen im Verhältnis zur Sensibilität der Daten stehen.

Besonders bei Überwachungssystemen und komplexen Datenverarbeitungen ist eine Risikoanalyse gesetzlich vorgeschrieben. Ein kostenloser Leitfaden beantwortet die wichtigsten Fragen zur DSFA-Pflicht und liefert direkt die passende Muster-Vorlage mit. Rechtssichere Datenschutzfolgenabschätzung in wenigen Schritten erstellen

Meldefristen und Daten-Lokalisierung

Ein echter Paradigmenwechsel betrifft die Meldung von Sicherheitsvorfällen: Datenverantwortliche müssen Pannen innerhalb von 72 Stunden melden. Dienstleister, die technische Systeme betreiben, haben sogar nur 48 Stunden Zeit, um den Hauptverantwortlichen zu informieren. Schluss mit stundenlangem Verschweigen von Datenlecks.

Hinzu kommt eine strategische Komponente: Für geschützte Computersysteme im Verkehrsbereich müssen Unternehmen Kopien personenbezogener Daten auf Servern in Kenia vorhalten. Internationale Anbieter wie Uber oder Bolt müssten ihre Infrastruktur wohl umbauen – die Behörde will direkten Zugriff ohne Umwege über ausländische Rechtsräume.

Harte Strafen bei Verstößen

Die ODPC macht ernst: Wer gegen Auflagen verstößt, zahlt bis zu fünf Millionen Kenia-Schilling (rund 36.000 Euro) oder ein Prozent des Jahresumsatzes – je nachdem, was höher ist. Bei schweren Verstößen drohen bis zu zwei Jahre Haft oder der Entzug der Betriebslizenz.

Der Druck auf die Unternehmen wächst. Allein 2025 bearbeitete die Behörde rund 96 Beschwerden – fast doppelt so viele wie im Vorjahr. Erst kürzlich wurden Firmen empfindlich bestraft, weil sie Kundendaten ohne Einwilligung für Werbung nutzten. Der Vorstoß in den Transportsektor folgt ähnlichen Spezialregelungen für Telekommunikation und Finanzbranche.

Vorgeschichte: Automatisiertes Bußgeld-System gestoppt

Die Dringlichkeit klarer Regeln zeigte sich erst im März 2026: Die kenianische Verkehrsbehörde NTSA startete ein automatisiertes System, das Bußgelder per SMS verschickte. Der Oberste Gerichtshof stoppte die Durchsetzung jedoch vorläufig – wegen Bedenken zu Verfassungsrechten und Datenschutz. Kritiker bemängelten damals, dass solche Systeme einen robusten Datenschutzrahmen brauchen, etwa für die Genauigkeit der Messgeräte und den Umgang mit biometrischen Fahrerdaten.

Was kommt als Nächstes?

Nach Ablauf der Konsultationsfrist beginnt die finale Überprüfungsphase. Die ODPC wird die Eingaben von Mobilitätsplattformen und Branchenverbänden auswerten. Eine Übergangsfrist nach Veröffentlichung der endgültigen Fassung steht noch nicht fest. Klar ist aber: Die Zeit der freiwilligen Einhaltung ist vorbei.

Für kleinere Betreiber – etwa Matatu-Genossenschaften oder unabhängige Spediteure – wird der Wandel zur Herausforderung. Sie müssen Datenschutzbeauftragte benennen und detaillierte Verarbeitungsverzeichnisse führen. Ein erheblicher bürokratischer Aufwand. Die Behörde hält dagegen: Diese Schritte seien unverzichtbar, um Vertrauen in Kenias digitale Wirtschaft aufzubauen. Je stärker Transportsysteme mit Mobile Payment und biometrischer Identifikation verwoben werden, desto wichtiger wird der neue Rechtsrahmen – als Blaupause für die Balance zwischen Mobilitätsinnovation und Grundrecht auf Privatsphäre.

de | wirtschaft | 69338836 |