KI-Regulierung im Nahen Osten: 14 Länder bewertet, verglichen und kartiert

Kein einheitliches KI-Gesetz. Die Regulierung ist trotzdem schon da.

Wer auf ein Pendant zum EU AI Act für den Nahen Osten wartet, wird lange warten. Die Region baut KI-Governance über 3 separate Kanäle auf: nationale KI-Strategien und Ethik-Chartas (meist unverbindlich, aber mit wachsendem Gewicht), Datenschutzgesetze (verbindlich und zunehmend durchgesetzt) und Branchenregulierer (besonders Zentralbanken), die operative KI-Leitlinien herausgeben.

Wir haben 14 Jurisdiktionen untersucht, sie anhand von 10 Governance-Dimensionen bewertet und die Ergebnisse in 3 Stufen geordnet.

Die 3 Kanäle der KI-Governance

Der erste Kanal sind nationale KI-Strategien und Ethik-Chartas. Alle Tier-1-Länder und die meisten Tier-2-Länder haben sie veröffentlicht. Sie setzen Erwartungen für Transparenz, Fairness, menschliche Aufsicht und Rechenschaftspflicht. Sie sind meist unverbindlich. Aber sie gewinnen echtes Gewicht durch einen Mechanismus, den wir "Soft-Law-Verhärtung" nennen: Beschaffungsstellen der Regierung referenzieren sie in Ausschreibungen, Regulierer integrieren sie in Prüfungsrahmen, und große Unternehmen betten sie in Lieferantenverträge ein. Diese Dokumente nur als "unverbindlich" abzutun, unterschätzt das Compliance-Risiko.

Der zweite Kanal ist Datenschutzrecht. Das ist der verbindliche Kern. Die VAE, Saudi-Arabien, Katar, Oman, Ägypten, Bahrain, Jordanien und Kuwait haben alle Datenschutzgesetze erlassen oder sind dabei, sie umzusetzen. Für KI-Systeme, die personenbezogene Daten verarbeiten, entstehen konkrete Pflichten: Rechtsgrundlage, Datenminimierung, Sicherheitskontrollen, grenzüberschreitende Übertragungsbeschränkungen und in einigen Fällen Schutzmaßnahmen bei automatisierten Entscheidungen.

Der dritte Kanal sind Branchenregulierer. Finanzaufsichtsbehörden sind vorn dabei. Die Leitlinien der Zentralbank der VAE von 2026 zum verantwortungsvollen Einsatz von KI/ML, die KI-Richtlinie der Qatar Central Bank und die ADGM-Regelungen zu KI und Big-Data-Analysen sind die compliance-spezifischsten Instrumente, die wir gefunden haben. Sie schaffen Aufsichtserwartungen, die über nationale Chartas hinausgehen: Governance-Rahmen, Genehmigungsverfahren, Monitoring, Transparenz und Verbraucherbeschwerdemanagement.

Reifegradscores für 14 Länder

Wir haben jedes Land anhand von 10 Dimensionen auf einer Skala von 0-5 bewertet (maximal 50 Punkte):

1. Vorhandensein und Spezifität einer nationalen KI-Strategie
2. Veröffentlichte KI-spezifische Leitlinien oder ethische Rahmenwerke
3. Verbindliche KI-spezifische Regulierung
4. Reife und Durchsetzbarkeit des Datenschutzregimes
5. KI-Leitlinien von Branchenregulierern
6. KI-Beschaffungsstandards im öffentlichen Sektor
7. Dedizierte KI-Governance-Institutionen
8. Nachgewiesene Durchsetzungskapazität
9. Grenzüberschreitende Daten-Governance-Regeln
10. Verfügbarkeit von operativen Tools und Vorlagen

Die Ergebnisse teilen sich in 3 Stufen:

Tier 1 (Fortgeschritten/Operativ, 27-36 Punkte): VAE (36), Saudi-Arabien (35), Israel (31), Katar (30), Oman (28), Ägypten (27). Diese Länder haben verbindliche Datenschutzregime, veröffentlichte KI-Governance-Instrumente und branchenspezifische regulatorische Aktivitäten. Sie unterscheiden sich in der Herangehensweise: Die VAE betreiben ein geschichtetes Multi-Regulierer-System, Saudi-Arabien zentralisiert über SDAIA, Katar lenkt KI-Kontrollen über seine Zentralbank, Israel setzt auf Soft Law und Risikomanagement im öffentlichen Sektor.

Tier 2 (Aufstrebend, 18-26 Punkte): Bahrain (26), Jordanien (22), Kuwait (18). Solide Datenschutzgrundlagen, weniger KI-spezifische operative Instrumente. Bahrain ist mit einem eigenen PDPL und beschaffungsorientierter KI-Leitlinie (entwickelt mit dem World Economic Forum) am nächsten an Tier 1.

Tier 3 (Früh, 1-12 Punkte): Libanon (12), Irak (7), Palästina (5), Syrien (4), Jemen (1). Partielle digitale Rahmenwerke, in einigen Fällen politische Instabilität und begrenzt zugängliche Primärquellen.

Wie die Top-3-Länder im Vergleich abschneiden

VAE und Saudi-Arabien führen, aber ihre Ansätze sehen in der Praxis unterschiedlich aus. Die Stärke der VAE liegt in der Breite: konsistente Ergebnisse über Strategie, KI-Leitlinien, Branchenregeln, öffentlichen Sektor und Tooling. Saudi-Arabien konzentriert die Macht bei SDAIA und punktet stärker bei der institutionellen Struktur. Katars Ergebnisse sind enger: stark bei Strategie, Datenschutz und Branchenregeln (durch die Zentralbank), aber schwächer bei Tooling und grenzüberschreitender Governance.

Heatmap der regulatorischen Abdeckung

Die Heatmap zeigt, wo Governance konzentriert ist und wo Lücken bestehen.

• Datenschutz ist die konsistenteste Dimension. Tier-1-Länder erreichen alle 3-4 Punkte beim Datenschutz. Datenschutzrecht ist damit der zuverlässigste Compliance-Anker der Region.
• Verbindliche KI-spezifische Regulierung existiert kaum. Kein Land erreicht mehr als 2 Punkte in dieser Dimension. Die Region steuert KI über Datenschutzrecht und Branchenleitlinien, nicht über dedizierte KI-Gesetze.
• Tooling und operative Leitlinien variieren stark. VAE und Israel erreichen 4 beim Tooling (Vorlagen, Self-Assessment-Tools, Implementierungsleitfäden). Die meisten anderen Länder liegen bei 1-2.
• Tier 3 ist flächendeckend dünn. Irak und Palästina haben institutionelle Aktivitäten (Oberstes KI-Komitee, Cybercrime-Gesetz), aber kaum Durchsetzung, Branchenregeln oder operatives Tooling.

Tier-1-Score-Aufschlüsselung

Die gestapelte Aufschlüsselung zeigt, wie jedes Tier-1-Land seine Gesamtpunktzahl aufbaut. Datenschutz und Strategie sind durchgehend stark. Die Unterschiede entstehen bei Branchenregeln, Tooling und institutioneller Struktur. Die Schwelle für "Fortgeschritten" (35 Punkte) überschreiten nur VAE und Saudi-Arabien.

Durchsetzung kommt über Datenschutz, nicht über KI-Recht

Regulierer warten nicht auf KI-spezifische Gesetzgebung. Durchsetzung kommt zuerst über Datenschutzkanäle:

• Freihandelszone-Durchsetzung. Der DIFC-Datenschutzbeauftragte hat Durchsetzungsentscheidungen erlassen. Das ADGM-Datenschutzamt hat Compliance-Leitlinien veröffentlicht und Aufsichtsprüfungen durchgeführt. Das sind die strukturiertesten Durchsetzungskapazitäten für datenbezogene KI-Pflichten in der Region.
• Zentralbank-Aufsicht. Finanzregulierer können KI-Erwartungen in reguläre Prüfungszyklen einbeziehen. Die Leitlinien der Zentralbank der VAE von 2026 schaffen Verbraucherschutz- und verantwortungsvolle KI-Erwartungen für jedes lizenzierte Finanzinstitut.
• PDPL-Aktivierung. Saudi-Arabiens SDAIA hat begonnen, die PDPL-Durchsetzung umzusetzen. Ägyptens Ausführungsverordnungen (Dekret 816/2025) schaffen einen Compliance-Zeitplan. Bahrains PDPA hat Durchsetzungsbefugnisse unter Gesetz 30/2018.

Wenn Ihr KI-System personenbezogene Daten in einer dieser Jurisdiktionen verarbeitet, befinden Sie sich bereits im Zuständigkeitsbereich eines aktiven Regulierers.

Regionale Meilensteine

Die Zeitleiste zeigt eine Beschleunigung seit 2021. Davor veröffentlichte die Region hauptsächlich Strategien und Chartas. Seit 2021: Die VAE erließen ihr PDPL, Saudi-Arabien setzte sein PDPL und Durchführungsverordnungen um, Oman erließ sein PDPL, Jordanien verabschiedete ein neues PDPL, Ägypten erließ Ausführungsverordnungen, und die Zentralbank der VAE veröffentlichte ihre KI-Leitlinien. Das Tempo verbindlicher Instrumente nimmt zu.

Was das für Compliance-Teams bedeutet

Wenn Sie KI-Governance im Nahen Osten betreiben:

1. Beginnen Sie mit Datenschutz. Datenschutzrecht ist überall die verbindliche Basis. Ordnen Sie Ihre KI-Systeme dem geltenden Datenschutzregime in jeder Jurisdiktion zu (und achten Sie auf Fragmentierung: Die VAE allein haben 3 Regime: föderales, DIFC, ADGM).
2. Branchenspezifische Anforderungen darauf aufbauen. Im Finanzdienstleistungsbereich schaffen die Leitlinien der VAE-Zentralbank und der Qatar Central Bank echte Aufsichtserwartungen. Behandeln Sie diese nicht als optional.
3. Soft Law nicht ignorieren. Nationale KI-Chartas und Ethikprinzipien werden in der Praxis durch Beschaffung, Aufsicht und vertragliche Weitergabe verbindlich.
4. NIST AI RMF für jurisdiktionsübergreifende Kohärenz nutzen. Die Funktionen GOVERN, MAP, MEASURE, MANAGE bieten eine Basis, die in der gesamten Region funktioniert und sich auch auf die risikobasierte Struktur des EU AI Act abbilden lässt.
5. Regulierungsfähige Nachweise jetzt aufbauen. Datenschutz-Durchsetzung kommt zuerst, branchenspezifische KI-Aufsicht folgt. Dokumentation bereit zu haben, ist besser als nach einer Aufsichtsanfrage zu improvisieren.

Vollständigen Bericht herunterladen

Die vollständige Studie umfasst alle 14 Länderdossiers, Branchenvertiefungen (Finanzdienstleistungen, öffentlicher Sektor, Gesundheitswesen), regulatorische Vergleichstabellen, Framework-Mapping gegen EU AI Act und NIST AI RMF sowie Durchsetzungsfallstudien.

Vollständiges White Paper herunterladen (PDF)