Korte Law international boutique law firm
  1. Homepage EN

Datenschutzrecht in Marokko: Loi 09-08 im Überblick

Von Zakaria Korte, Korte Law in Kooperation mit Amereller

Datenschutzrecht in Marokko (Loi 09-08)

Dieser Fachartikel bietet einen strukturierten Überblick über das marokkanische Datenschutzrecht nach dem Gesetz Nr. 09-08, erläutert die Rolle der Aufsichtsbehörde CNDP und analysiert zentrale Compliance-Pflichten. Zudem werden wesentliche Gemeinsamkeiten und Unterschiede zur DSGVO dargestellt sowie praxisorientierte Empfehlungen für Unternehmen in Marokko gegeben.

Einordnung und Anwendungsbereich des Gesetzes Nr. 09-08

Das Gesetz Nr. 09-08 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bildet den Kern des marokkanischen Datenschutzrechts. Es gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für nichtautomatisierte Verarbeitungen, sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Maßgeblich ist dabei, dass sich die Daten auf eine identifizierte oder identifizierbare natürliche Person beziehen und eine verantwortliche Stelle in Marokko tätig ist oder Verarbeitungen in Marokko stattfinden.

Der sachliche Anwendungsbereich erfasst eine breite Palette betrieblicher Verarbeitungsvorgänge, von Personal- und Kundenverwaltung über Videoüberwachung bis hin zu Marketing und Cloud-gestützten Diensten. Ausgenommen sind in engen Grenzen Verarbeitungen für ausschließlich persönliche oder familiäre Zwecke, wobei auch hierbei ein faktischer Außenbezug—etwa durch Veröffentlichung im Internet—den Anwendungsbereich eröffnen kann. Spezielle Regeln bestehen für Datenkategorien, die aufgrund ihres erhöhten Schutzbedarfs als sensibel gelten, etwa Gesundheitsdaten, biometrische Daten, Daten zur rassischen oder ethnischen Herkunft, religiösen oder politischen Überzeugung oder Gewerkschaftszugehörigkeit. Für diese sensiblen Daten kommen regelmäßig erhöhte Rechtfertigungs- und Genehmigungserfordernisse in Betracht.

Die Aufsichtsbehörde CNDP

Die Commission Nationale de contrôle de la protection des données à caractère personnel (CNDP) ist die unabhängige Aufsichtsbehörde, die die Anwendung des Gesetzes überwacht und seine Durchsetzung sicherstellt. Zu ihren Aufgaben gehören die Entgegennahme und Prüfung von Meldungen und Genehmigungsanträgen, die Erstellung von Leitlinien, die Durchführung von Kontrollen, die Entgegennahme von Beschwerden betroffener Personen und die Verhängung verwaltungsrechtlicher Maßnahmen. In bestimmten Fällen arbeitet die CNDP mit der Staatsanwaltschaft zusammen und kann Sachverhalte weiterleiten, die verwaltungsrechtlich nicht hinreichend sanktionierbar sind oder strafrechtliche Relevanz haben könnten.

Die CNDP veröffentlicht regelmäßig Orientierungshilfen zu spezifischen Verarbeitungstypen, etwa Videoüberwachung, biometrische Erfassung oder grenzüberschreitende Datenübermittlungen. Praxisrelevant ist zudem, dass die CNDP Listen und Standardformulare für Meldungen bereithält und in Einzelfällen branchenspezifische Kodizes oder „Referenzrahmen“ genehmigt.

Verarbeitungsgrundsätze

Das Gesetz verankert Grundprinzipien, die den gesamten Lebenszyklus personenbezogener Daten prägen. Zentrale Leitlinien sind Rechtmäßigkeit, Transparenz und Verhältnismäßigkeit. Daten dürfen nur für eindeutige, legitime Zwecke erhoben werden und müssen dem Zweck angemessen sowie auf das Notwendige beschränkt sein. Unvereinbare Weiterverarbeitungen sind unzulässig, es sei denn, eine gesetzliche Erlaubnis oder eine erneute, wirksame Einwilligung liegt vor.

Richtigkeit und Aktualität der Daten sind sicherzustellen; unzutreffende Daten sind zu berichtigen oder zu löschen. Ferner gilt das Prinzip der Speicherbegrenzung: Daten dürfen nur so lange identifizierbar gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Verantwortliche haben angemessene technische und organisatorische Maßnahmen zur Gewährleistung von Integrität und Vertraulichkeit zu ergreifen. Schließlich ist Transparenz gegenüber den betroffenen Personen sicherzustellen, insbesondere durch Informationen bei der Erhebung über Verantwortlichenidentität, Verarbeitungszwecke, Empfänger oder Empfängerkategorien, etwaige Übermittlungen in Drittländer sowie die Betroffenenrechte.

Rechtmäßigkeitsgrundlagen und Einwilligung

Die Verarbeitung personenbezogener Daten bedarf einer tragfähigen Rechtsgrundlage. Das Gesetz anerkennt die Verarbeitung insbesondere, wenn die betroffene Person zuvor eindeutig eingewilligt hat, wenn die Verarbeitung zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, wenn eine gesetzliche Verpflichtung besteht, wenn lebenswichtige Interessen der betroffenen Person oder einer anderen Person es erfordern, oder wenn die Verarbeitung im Rahmen öffentlicher Aufgaben erfolgt. Auch berechtigte Interessen des Verantwortlichen können die Verarbeitung rechtfertigen, sofern diese die Grundrechte der betroffenen Person nicht überwiegen; hier verlangt die Praxis der CNDP eine sorgfältige Interessenabwägung und erhöhte Transparenz.

Die Einwilligung muss frei, spezifisch und informiert erfolgen. Sie soll auf einer klaren, verständlichen Information beruhen, die Verarbeitungszwecke, Empfänger und die Möglichkeit des Widerrufs umfasst. Für sensible Daten sind erhöhte Anforderungen üblich; hier wird in der Regel eine ausdrückliche Einwilligung verlangt, es sei denn, eine spezifische gesetzliche Ausnahme oder ein überwiegendes öffentliches Interesse greift. Im Beschäftigungskontext begegnet Einwilligungen eine besondere Skepsis wegen Abhängigkeitsverhältnissen, weshalb alternative Rechtsgrundlagen vorzugswürdig sind, wo verfügbar.

Betroffenenrechte

Betroffene Personen haben ein Bündel an Rechten, die der Kontrolle über ihre Daten dienen. Das Auskunftsrecht umfasst Informationen über die Identität des Verantwortlichen, die verarbeiteten Datenkategorien, Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und—soweit einschlägig—Übermittlungen in Drittländer. Das Berichtigungsrecht erlaubt die Korrektur unrichtiger oder unvollständiger Daten. Das Löschrecht greift bei unrechtmäßiger Verarbeitung, Zweckfortfall oder übermäßiger Speicherung.

Bedeutsam ist auch das Widerspruchsrecht. Betroffene können aus legitimen, überwiegenden Gründen der Verarbeitung widersprechen; für Direktmarketing besteht regelmäßig ein besonders niedrigschwelliger Widerspruchsmaßstab. Soweit automatisierte Einzelentscheidungen maßgebliche Wirkung entfalten, ist eine menschliche Überprüfung sicherzustellen. Verantwortliche müssen effiziente Verfahren vorhalten, um Anträge fristgerecht zu bearbeiten, und die Betroffenen über den Ausgang informieren. Die CNDP kann bei Streitigkeiten oder Untätigkeit des Verantwortlichen angerufen werden.

Datenübermittlungen in Drittländer

Grenzüberschreitende Datenübermittlungen sind zulässig, wenn ein angemessenes Schutzniveau im Empfängerland besteht oder besondere Garantien vorgesehen sind. Die CNDP führt hierfür in der Praxis eine Liste von Ländern, die ein adäquates Schutzniveau gewährleisten. Übermittlungen in Länder ohne anerkanntes Schutzniveau bedürfen in der Regel einer ausdrücklichen Genehmigung der CNDP oder müssen auf gesetzlich vorgesehene Ausnahmen gestützt werden, etwa die ausdrückliche, informierte Einwilligung der betroffenen Person, die Erforderlichkeit zur Vertragserfüllung, die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder wichtige öffentliche Interessen.

In Outsourcing- und Cloud-Szenarien mit globalen Anbietern stellt die Transferrechtfertigung einen Kernpunkt der Compliance dar. Verantwortliche sollten Transferinstrumente dokumentieren, vertragliche Zusicherungen (einschließlich technisch-organisatorischer Maßnahmen, Unterauftragsverhältnisse, Audit-Rechte und Zugriffsregelungen) vorsehen und, sofern erforderlich, CNDP-Autorisierungen einholen. Die konkrete Ausgestaltung hängt von der jeweiligen Datenkategorie, dem Transferzweck und der Rolle der beteiligten Parteien ab.

Datensicherheit

Das Gesetz verpflichtet Verantwortliche, geeignete technische und organisatorische Sicherheitsmaßnahmen zu implementieren, um Verlust, unbefugte Offenlegung, Zugriff, Veränderung oder Zerstörung personenbezogener Daten zu verhindern. Das geforderte Sicherheitsniveau richtet sich nach Art der Daten, Umfang und Kontext der Verarbeitung sowie den Risiken für die Rechte und Freiheiten der Betroffenen. Hierzu gehören unter anderem Zugriffskontrollen, Verschlüsselung sensibler Daten, Protokollierung, Trennung von Umgebungen, sichere Softwareentwicklung, Patch- und Schwachstellenmanagement sowie Schulungen des Personals. Bei Verarbeitung durch Auftragsverarbeiter ist vertraglich sicherzustellen, dass ein gleichwertiges Schutzniveau eingehalten wird und Weisungsgebundenheit sowie Kontrollrechte der verantwortlichen Stelle effektiv umgesetzt werden.

Anders als die DSGVO normiert das marokkanische Recht traditionell keine generelle, fristgebundene Meldepflicht bei Datenschutzverletzungen. In der Praxis empfiehlt sich gleichwohl ein internes Incident-Response- und Eskalationsverfahren, das die Risikobewertung, Beweissicherung, Abhilfe- und Benachrichtigungsschritte vorausschauend regelt. Branchenrechtliche Anforderungen—etwa im Finanzsektor oder in regulierten Telekommunikationsumgebungen—können ergänzende Vorgaben zur Meldung von Sicherheitsvorfällen enthalten.

Meldepflichten und Verfahren gegenüber der CNDP

Kernstück des Regelungssystems ist die präventive Kontrolle durch Melde- und Genehmigungspflichten. Grundsätzlich sind Verarbeitungen bei der CNDP zu melden, bevor sie aufgenommen werden. Für bestimmte Verarbeitungskategorien, insbesondere die Verarbeitung sensibler Daten, biometrischer Merkmale, Videoüberwachung unter bestimmten Konstellationen, die Verwendung nationaler Identifikatoren oder Verarbeitungen mit hohem Risiko für die Privatsphäre, ist regelmäßig eine vorherige Genehmigung erforderlich. Die Einordnung als melde- oder genehmigungspflichtig richtet sich nach dem konkreten Verarbeitungsvorhaben und einschlägigen CNDP-Leitlinien.

Verantwortliche müssen die erforderlichen Unterlagen vollständig einreichen, darunter Angaben zu Verantwortlichen- und Verarbeitungsidentität, Zwecken, Datenkategorien, Empfängern, Speicherdauern, Sicherheitsmaßnahmen, Übermittlungen in Drittländer sowie gegebenenfalls eingesetzten Auftragsverarbeitern. Änderungen wesentlicher Parameter—etwa neue Zwecke, zusätzliche Datenkategorien, andere Empfänger oder Transfers—sind der CNDP vor Aufnahme der geänderten Verarbeitung anzuzeigen bzw. erneut genehmigen zu lassen, wenn die Änderung genehmigungspflichtige Elemente berührt. Die Dokumentation der Kommunikation mit der Behörde und die interne Konsistenz der gemeldeten Prozesse sind in Audits regelmäßig ein Schwerpunkt.

Registrierung und organisatorische Pflichten

Neben der Einreichung von Meldungen und Genehmigungsanträgen verlangt das Gesetz eine klare Verantwortungszuteilung und interne Organisation. Die verantwortliche Stelle hat die Einhaltung der Grundprinzipien sicherzustellen, Mitarbeiter zur Vertraulichkeit zu verpflichten und angemessene Richtlinien und Verfahren einzuführen. Soweit Auftragsverarbeiter eingesetzt werden, sind diese sorgfältig auszuwählen, vertraglich zu binden und zu überwachen. Verträge sollten Weisungsrechte, Sicherheitsstandards, Unterauftragsvergabe, Rückgabe- oder Löschpflichten bei Vertragsende sowie Prüf- und Auditklauseln enthalten.

Auch wenn das Gesetz keine umfassende Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten in der Breite der DSGVO kennt, ist ein aktuelles, strukturiertes Verarbeitungsverzeichnis in der Praxis unverzichtbar, um gegenüber der CNDP die Kohärenz zwischen der tatsächlichen Verarbeitung und den gemeldeten Informationen zu belegen. Schulungs- und Sensibilisierungsmaßnahmen, insbesondere für Front- und IT-Personal, sind essenziell, um die praktische Wirksamkeit der Datenschutz-Compliance sicherzustellen.

Sanktionen und Durchsetzung

Die CNDP verfügt über eine Bandbreite verwaltungsrechtlicher Befugnisse. Sie kann Verwarnungen aussprechen, Anordnungen zur Herstellung eines rechtmäßigen Zustands erlassen, die Aussetzung oder Untersagung bestimmter Verarbeitungen verfügen, Löschungen anordnen und Genehmigungen widerrufen. In gravierenden Fällen oder bei Nichtbefolgung ihrer Anordnungen informiert sie die zuständigen Strafverfolgungsbehörden. Das Gesetz sieht strafrechtlich sanktionierte Verstöße vor, unter anderem für unbefugte Verarbeitung, fehlende Meldung oder Genehmigung, unrechtmäßige Offenlegung, Missachtung von Verboten oder die unzulässige Übermittlung in Drittländer. Sanktionen umfassen Geldstrafen und—für bestimmte Tatbestände—auch Freiheitsstrafen. Die Höhe der Sanktionen richtet sich nach dem konkreten Verstoß und kann empfindlich ausfallen.

Neben behördlichen Maßnahmen drohen zivilrechtliche Haftungsrisiken, etwa Schadensersatzansprüche Betroffener bei rechtswidriger Datenverarbeitung. Reputationsschäden und vertragliche Konsequenzen, insbesondere in internationalen Lieferketten, sind weitere Risikodimensionen, die in der Compliance-Strategie zu berücksichtigen sind.

Vergleich zur DSGVO

Das marokkanische Datenschutzrecht und die DSGVO teilen grundlegende Prinzipien: rechtmäßige, zweckgebundene, transparente und datensparsame Verarbeitung, Sicherstellung der Datenqualität, Betroffenenrechte, Sicherheitsanforderungen sowie die Aufsicht durch eine unabhängige Behörde. Gleichwohl bestehen markante Unterschiede in Systematik, Instrumentarium und Sanktionsarchitektur.

Ein wesentlicher Unterschied liegt in der präventiven Kontrolle durch Meldungs- und Genehmigungspflichten gegenüber der CNDP, während die DSGVO stärker auf interne Rechenschaftspflichten, Datenschutz-Folgenabschätzungen und risikobasierte Eigenverantwortung setzt. Die DSGVO normiert extraterritoriale Anwendbarkeit, umfassende Pflichten für Auftragsverarbeiter, kurze Fristen für die Meldung von Datenschutzverletzungen, ein ausdrückliches Recht auf Datenübertragbarkeit und teilweise detailreichere Transparenzanforderungen. Das marokkanische Recht kennt demgegenüber keine pauschale 72-Stunden-Pflicht zur Meldung von Datenpannen, kein obligatorisches Data-Protection-Officer-Regime allgemeiner Art und kein Bußgeldsystem mit umsatzbezogenen Höchstbeträgen, sondern kombiniert verwaltungsrechtliche Maßnahmen der CNDP mit strafrechtlichen Sanktionen.

Bei den Rechtmäßigkeitsgrundlagen bestehen Überschneidungen, doch verlangt die Praxis unter Loi 09-08 häufig eine stärkere Betonung klarer, informierter Einwilligungen oder konkreter gesetzlicher Erlaubnistatbestände. Der Transferrahmen ist genehmigungs- und adäquanzlistenbasiert; Standardvertragsklauseln nach EU-Muster sind nicht ohne Weiteres als eigenständiger Freifahrtschein anerkannt, sondern in ein CNDP-geprägtes Genehmigungs- und Garantiesystem einzubetten. Schließlich sind bestimmte Spezialthemen—etwa nationale Identifikatoren, biometrische Verfahren oder CCTV—unter Loi 09-08 teils detailliert durch CNDP-Praxis geregelt, wodurch eine stärker kasuistische Compliance-Praxis entsteht.

Branchen- und Sektorregulierung

In regulierten Sektoren existieren zusätzliche Vorgaben, die parallel zu Loi 09-08 zu beachten sind. Im Finanzsektor enthalten aufsichtsrechtliche Regelwerke Anforderungen an Informationssicherheit, Auslagerungsmanagement und Incident-Handling. Banken und Zahlungsdienstleister müssen bei Auslagerungen und Cloud-Nutzung strikt auf Datenlokalisierung, Zugriffsrechte und die Einbindung der Aufsicht achten; Datentransfers ins Ausland erfordern nicht nur datenschutzrechtliche, sondern häufig auch bankaufsichtliche Freigaben oder Notifikationen.

Im Telekommunikationssektor bestehen besondere Regeln zum Schutz der Kommunikations- und Verkehrsdaten, zur Abhörsicherheit und zum Spam-Schutz, verbunden mit regulatorischen Melde- und Kooperationspflichten gegenüber der zuständigen Fachaufsicht. Anbieter elektronischer Kommunikationsdienste müssen neben der Loi 09-08 branchenspezifische Geheimhaltungspflichten, Speicherfristen und Sicherheitsanforderungen beachten.

Im Gesundheitswesen gelten strenge Vertraulichkeitspflichten, die ärztliche Schweigepflicht und die besondere Sensibilität von Gesundheitsdaten. Elektronische Patientenakten, Telemedizin und Gesundheitsplattformen erfordern erhöhte Sicherheitsniveaus, fein granulierte Zugriffsrechte und—je nach Verarbeitung—vorherige Genehmigungen durch die CNDP. Forschungsvorhaben, die Gesundheitsdaten nutzen, unterliegen regelmäßig aggregierten oder pseudonymisierten Verarbeitungskonzepten und transparenten Einwilligungs- bzw. Ethikverfahren.

Schließlich ist auch der öffentliche Sektor erfasst: Behörden müssen das Datenschutzrecht einhalten und unterliegen für bestimmte Datenkategorien und Übermittlungen an Drittstaaten denselben oder strengeren Anforderungen. Videoüberwachung im öffentlichen Raum, biometrische Identifikationssysteme oder Registerdaten erfordern eine besonders sorgfältige Abwägung und in der Regel CNDP-Beteiligung.

Praxis der CNDP zur Videoüberwachung, Biometrie und Identifikatoren

Die CNDP hat für bestimmte Verarbeitungstypen besondere Leitlinien etabliert. Videoüberwachung ist ein sensibler Bereich, weil sie systematisch Personen erfasst. In der Regel sind präzise Zwecke (Sicherheits- und Zutrittskontrolle), Speicherfristen, Beschilderung, Beschränkung des Sichtfelds und rollenbasierte Zugriffsrechte festzulegen. Offene, unbegrenzte Überwachung ist unzulässig; Aufzeichnungen sind zeitnah zu löschen, sofern kein sicherheitsrelevanter Vorfall die längere Aufbewahrung rechtfertigt. Je nach Konfiguration kann eine Genehmigung erforderlich sein.

Biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung unterliegen strengen Voraussetzungen. Ihre Zulässigkeit setzt in der Praxis entweder eine ausdrückliche, informierte Einwilligung oder eine andere tragfähige Rechtsgrundlage voraus, flankiert von hohen Sicherheitsmaßnahmen und einer Verhältnismäßigkeitsprüfung, ob mildere Mittel zur Zweckerreichung genügen. Die CNDP verlangt hier regelmäßig eine vorherige Genehmigung und detaillierte technische Dossiers.

Die Verwendung nationaler Identifikatoren und Ausweisnummern ist restriktiv zu handhaben und bedarf besonderer Rechtfertigung; routinemäßige Kopien und Scans von Ausweisdokumenten, etwa zur einfachen Identitätsbestätigung ohne rechtliche Pflicht, sind kritisch zu prüfen und oft zu vermeiden oder durch datensparsame Verfahren zu ersetzen.

Vertragsmanagement und Auftragsverarbeitung

Verantwortliche, die externe Dienstleister einsetzen, bleiben für die Rechtmäßigkeit und Sicherheit der Verarbeitung verantwortlich. Auftragsverarbeitungsverträge sollten präzise Weisungen, ein hinreichendes Sicherheitsniveau, Melde- und Unterstützungspflichten des Auftragsverarbeiters, Beschränkungen der Unterauftragsvergabe, Auditrechte, Datenrückgabe oder -löschung am Ende der Leistungserbringung sowie Regelungen zu internationalen Transfers enthalten. Bei konzerninternen Service-Centern sind Governance-Strukturen und Verantwortlichkeitsabgrenzungen transparent zu dokumentieren; konzerninterne Richtlinien ersetzen keine behördlichen Genehmigungen.

Compliance-Empfehlungen für die Praxis

Unternehmen in Marokko sollten einen strukturierten, risikobasierten Ansatz verfolgen. Ausgangspunkt ist eine vollständige Erhebung der Verarbeitungstätigkeiten über alle Geschäftsbereiche, einschließlich Shadow-IT, Marketing, HR, Lieferkette und extern vergebene Prozesse. Auf dieser Basis werden Datenkategorien, Zwecke, Rechtsgrundlagen, Empfänger und Speicherdauern validiert und in einem Verarbeitungsverzeichnis dokumentiert, das mit den (geplanten) CNDP-Meldungen abgeglichen wird.

Für jede Verarbeitung ist zu prüfen, ob eine einfache Meldung ausreicht oder eine vorherige Genehmigung einzuholen ist, etwa bei sensiblen Daten, Videoüberwachung oder biometrischen Verfahren. Grenzüberschreitende Datenflüsse sind detailliert zu kartieren; je nach Zielland und Übermittlungszweck sind Adäquanzfeststellungen, Garantien und—falls erforderlich—CNDP-Genehmigungen einzuholen. Vertragsbeziehungen mit Auftragsverarbeitern werden auf Datenschutzklauseln, Subunternehmerketten, Sicherheitsstandards und Auditierbarkeit geprüft und gegebenenfalls nachgeschärft.

Parallel sind technische und organisatorische Maßnahmen zu stärken: rollenbasierte Zugriffskonzepte, Verschlüsselung, Netzwerksicherheit, Logging und Monitoring, sichere Softwareentwicklung, Identitäts- und Rechtemanagement sowie ein belastbares Backup- und Restore-Konzept. Ein internes Verfahren zum Umgang mit Sicherheitsvorfällen stellt sicher, dass Risiken umgehend adressiert, Beweise gesichert und erforderliche interne oder externe Eskalationen vorgenommen werden. Auch ohne generelle Pannenmeldepflicht empfiehlt sich ein dokumentiertes Incident-Management, das—in regulierten Sektoren—Branchenvorgaben integriert.

Transparenz und Betroffenenorientierung sind operationell zu verankern: Datenschutzinformationen werden klar, prägnant und in geeigneter Sprache bereitgestellt; Einwilligungen werden granular, freiwillig und nachweisbar eingeholt; Widerspruchs- und Auskunftswege sind einfach zugänglich, mit verbindlichen Fristen und Qualitätsstandards. Schulungen für Mitarbeitende, insbesondere mit Kunden- oder Systemzugriff, sind regelmäßig zu planen und durchzuführen. Ein wiederkehrendes Audit- und Verbesserungsprogramm stellt sicher, dass Änderungen in Prozessen, Systemen oder Lieferketten zeitnah in die Datenschutzsteuerung und—falls relevant—die CNDP-Kommunikation einfließen.

Für multinationale Gruppen empfiehlt sich eine Harmonisierungsstrategie, die die Anforderungen der Loi 09-08 mit globalen Standards vereint. Wo DSGVO-konforme Prozesse bereits etabliert sind, können diese als „High-Water-Mark“ dienen; allerdings sind die besonderen marokkanischen Melde- und Genehmigungsregeln zwingend zu integrieren. In der Praxis bedeutet dies häufig, dass neben internen Risikobewertungen auch formelle CNDP-Verfahren einzuplanen sind, bevor neue Datenprodukte, Videoüberwachungslösungen oder biometrische Zutrittssysteme in Betrieb gehen.

Besonderheiten bei Marketing, Cookies und Online-Diensten

Im Bereich Direktmarketing ist die Grenze zwischen berechtigtem Interesse und erforderlicher Einwilligung sorgfältig zu ziehen. Transparenz, einfache Widerspruchsmöglichkeiten und die Beachtung von Opt-out/Opt-in-Anforderungen sind entscheidend. Bei Telemarketing, E-Mail- und SMS-Kampagnen sind neben der Loi 09-08 auch telekommunikations- und verbraucherrechtliche Vorgaben zu beachten, die zusätzliche Einwilligungs- und Abmeldeanforderungen enthalten können.

Bei Online-Diensten und mobilen Anwendungen sind Informationen zur Datenerhebung und -nutzung vor der Verarbeitung bereitzustellen. Für nicht erforderliche Cookies und Tracking-Technologien ist regelmäßig eine informierte Einwilligung einzuholen, während technisch notwendige Cookies auf eine zweckgebundene, transparente Verarbeitung gestützt werden können. Drittlandstransfers im Rahmen von Analytics- oder CDN-Diensten sind gesondert zu prüfen und erforderlichenfalls in ein CNDP-Genehmigungs- oder Garantieszenario einzubetten.

Interne Governance und Rechenschaft

Effektiver Datenschutz verlangt klare Zuständigkeiten. Auch wenn kein gesetzlicher Zwang zur Benennung eines Datenschutzbeauftragten in allgemeiner Form besteht, ist die Etablierung einer zentralen Datenschutzfunktion empfehlenswert, die Richtlinien setzt, Verfahren standardisiert, Meldungen und Genehmigungen koordiniert, Schulungen verantwortet und als Ansprechpartner für die CNDP fungiert. Ergänzend sollten ein Privacy-by-Design/-Default-Ansatz in der Produktentwicklung und ein formales Change-Management sicherstellen, dass neue oder geänderte Verarbeitungen vorab eine Datenschutzprüfung durchlaufen und—soweit einschlägig—rechtzeitig CNDP-Verfahren initiiert werden.

Wesentlich ist die Nachweisführung. Entscheidungen über Rechtsgrundlagen, Interessenabwägungen, Risikobewertungen, Sicherheitsmaßnahmen und Betroffenenkommunikation sind nachvollziehbar zu dokumentieren. Diese Rechenschaftspflicht erleichtert Audits, verkürzt Abstimmungen mit der CNDP und reduziert Haftungsrisiken in strittigen Situationen.

Fazit

Das marokkanische Datenschutzrecht nach Loi 09-08 verbindet klassische Datenschutzgrundsätze mit einer ausgeprägten präventiven Kontrolle durch Meldungs- und Genehmigungsverfahren bei der CNDP. Für die Praxis bedeutet dies, dass Compliance nicht allein eine Frage interner Richtlinien, sondern in vielen Konstellationen auch ein formelles Verwaltungsverfahren ist. Die größten Risikofelder liegen in sensiblen Datenkategorien, Videoüberwachung, biometrischen Anwendungen, internationalen Datenübermittlungen und im Zusammenspiel mit branchenspezifischen Regulierungen.

Unternehmen, die ihre Prozesse an den Grundprinzipien ausrichten, Transparenz leben, Rechtsgrundlagen belastbar wählen, Sicherheitsmaßnahmen risikoadäquat skalieren und die CNDP-Anforderungen von Beginn an in ihre Projekt- und Produktplanung integrieren, schaffen eine robuste, praxistaugliche Compliance-Basis. Ein kohärentes Governance-Modell, klare Verträge mit Dienstleistern, gelebte Betroffenenrechte sowie sorgfältig dokumentierte Entscheidungen sind die tragenden Säulen. Wer zusätzlich die Stärken eines DSGVO-orientierten Reifegrads nutzt und mit den lokalen Besonderheiten der Loi 09-08 verzahnt, minimiert Rechts- und Reputationsrisiken und sichert langfristig das Vertrauen von Kunden, Mitarbeitenden und Aufsichtsbehörden in Marokko.

Verwandte Artikel

Für fachkundige Beratung, kontaktieren Sie Korte Law.

Back to "Korte Law" homepage