Zum Hauptinhalt springen
Anteil des Nichtöl-BIP: 55% reales BIP 2025 |Saudi-Arbeitslosigkeit: 7,2% Q4 2025 |PIF-Vermögen: $925 Mrd. Schätzung 2025 |FDI / BIP: 2,8% letzter Wert 2025 |Erwerbsquote Frauen: 35,0% letzter Wert 2025 |Kreditrating: Aa3/A+/A+ Moody's/Fitch/S&P |BIP-Wachstum: 4,5% real 2025 |Umrah-Pilger: 18 Mio.+ aus dem Ausland 2025 |Anteil des Nichtöl-BIP: 55% reales BIP 2025 |Saudi-Arbeitslosigkeit: 7,2% Q4 2025 |PIF-Vermögen: $925 Mrd. Schätzung 2025 |FDI / BIP: 2,8% letzter Wert 2025 |Erwerbsquote Frauen: 35,0% letzter Wert 2025 |Kreditrating: Aa3/A+/A+ Moody's/Fitch/S&P |BIP-Wachstum: 4,5% real 2025 |Umrah-Pilger: 18 Mio.+ aus dem Ausland 2025 |
Startseite Enzyklopädie der Vision 2030 Saudi-Arabiens Datenschutzgesetz (PDPL): Vollständiger Leitfaden
Ebene 2 Programm

Saudi-Arabiens Datenschutzgesetz (PDPL): Vollständiger Leitfaden

Vollständiger Leitfaden zum Datenschutzgesetz Saudi-Arabiens: Konformitätsanforderungen, Durchsetzung, Rechte betroffener Personen und Auswirkungen auf Unternehmen.

Donovan Vanderbilt · · 4 Min. Lesezeit
Saudi-Arabiens Datenschutzgesetz (PDPL): Vollständiger Leitfaden — Enzyklopädie — Saudi Vision 2030

Saudi-Arabiens Datenschutzgesetz (Personal Data Protection Law, PDPL), erlassen durch den königlichen Erlass M/19 im September 2021 und durchgesetzt seit September 2023, stellt die erste umfassende Datenschutzgesetzgebung des Königreichs dar. Das PDPL schafft einen Rahmen, der die Erhebung, Verarbeitung, Speicherung und Übermittlung personenbezogener Daten regelt und Saudi-Arabien an internationale Datenschutzstandards angleicht, während es zugleich das besondere regulatorische Umfeld des Königreichs widerspiegelt. Unternehmen, die in Saudi-Arabien tätig sind oder Daten aus Saudi-Arabien verarbeiten, müssen die Anforderungen des PDPL verstehen und einhalten, um erhebliche Sanktionen zu vermeiden.

Hintergrund und gesetzgeberischer Kontext

Das PDPL wurde unter der Zuständigkeit der Saudischen Behörde für Daten und künstliche Intelligenz (SDAIA) entwickelt, die die Umsetzung und Durchsetzung des Gesetzes beaufsichtigt. Vor dem PDPL wurde der Datenschutz in Saudi-Arabien durch ein Flickwerk branchenspezifischer Vorschriften geregelt, darunter Bestimmungen im Gesetz zur Bekämpfung der Cyberkriminalität und im E-Commerce-Gesetz. Das PDPL führt diese fragmentierten Regeln in einem einzigen, umfassenden Statut zusammen, das branchen- und sektorenübergreifend gilt. Das Gesetz spiegelt das Bestreben Saudi-Arabiens im Rahmen der Vision 2030 wider, eine moderne digitale Wirtschaft aufzubauen, die ausländische Investitionen und Technologieunternehmen anzieht und zugleich die Datenschutzrechte der Bürger wahrt.

Anwendungsbereich und Anwendbarkeit

Das PDPL gilt für jede Verarbeitung personenbezogener Daten, die innerhalb Saudi-Arabiens erfolgt, sowie für die Verarbeitung personenbezogener Daten saudischer Einwohner durch Stellen mit Sitz außerhalb des Königreichs. Personenbezogene Daten sind weit gefasst und umfassen alle Daten, die eine Person unmittelbar oder mittelbar identifizieren können, einschließlich Namen, Identifikationsnummern, Standortdaten, Online-Kennungen und biometrischer Daten. Das Gesetz erfasst sowohl private als auch öffentliche Stellen, mit bestimmten Ausnahmen für persönliche oder familiäre Nutzung, Tätigkeiten der Strafverfolgung sowie Daten, die zu statistischen oder Archivzwecken verarbeitet werden, sofern angemessene Schutzvorkehrungen bestehen.

Rechte der betroffenen Personen

Das PDPL gewährt betroffenen Personen einen umfassenden Katalog an Rechten über ihre personenbezogenen Daten. Einzelpersonen haben das Recht, über die Erhebung und den Zweck der Verarbeitung ihrer Daten informiert zu werden, das Recht auf Zugang zu ihren Daten, das Recht, die Berichtigung unrichtiger Daten zu verlangen, und das Recht, die Löschung ihrer Daten zu verlangen, wenn diese für den Zweck, zu dem sie erhoben wurden, nicht mehr erforderlich sind. Betroffene Personen haben zudem das Recht, ihre Einwilligung jederzeit zu widerrufen, sowie das Recht, ihre Daten zur Übertragbarkeit in einem maschinenlesbaren Format zu erhalten. Verantwortliche müssen Anträgen betroffener Personen innerhalb festgelegter Fristen nachkommen und dürfen für die Erfüllung dieser Anträge keine überhöhten Gebühren erheben.

Einwilligung und rechtmäßige Verarbeitung

Die Einwilligung ist die primäre Rechtsgrundlage für die Verarbeitung personenbezogener Daten nach dem PDPL. Die Einwilligung muss ausdrücklich, informiert und freiwillig erteilt werden und den Zweck der Verarbeitung angeben. Das Gesetz erkennt auch alternative Rechtsgrundlagen für die Verarbeitung an, darunter die vertragliche Notwendigkeit, die Erfüllung rechtlicher Verpflichtungen, den Schutz lebenswichtiger Interessen sowie die berechtigten Interessen des Verantwortlichen, sofern diese die Grundrechte der betroffenen Person nicht überwiegen. Sensible personenbezogene Daten, darunter Gesundheitsdaten, genetische Daten, biometrische Daten sowie Daten, die religiöse oder politische Überzeugungen offenbaren, erfordern eine ausdrückliche Einwilligung und unterliegen zusätzlichen Schutzvorkehrungen.

Grenzüberschreitende Datenübermittlung

Das PDPL knüpft die Übermittlung personenbezogener Daten außerhalb Saudi-Arabiens an strenge Bedingungen. Übermittlungen sind nur in Länder zulässig, die ein angemessenes Datenschutzniveau bieten, wie es die zuständige Behörde bestimmt, oder wenn angemessene Schutzvorkehrungen bestehen, etwa verbindliche unternehmensinterne Vorschriften, Standardvertragsklauseln oder die ausdrückliche Einwilligung der betroffenen Person. Die von der SDAIA erlassenen Durchführungsvorschriften enthalten weitere Einzelheiten zu den Mechanismen und Bedingungen grenzüberschreitender Übermittlungen. Unternehmen müssen Folgenabschätzungen für Übermittlungen durchführen und Unterlagen führen, die die Einhaltung dieser Anforderungen belegen.

Konformitätspflichten für Unternehmen

Organisationen, die personenbezogene Daten verarbeiten, müssen robuste Rahmenwerke für die Daten-Governance einrichten, um das PDPL einzuhalten. Zu den zentralen Pflichten gehören die Bestellung eines Datenschutzbeauftragten, sofern erforderlich, die Führung von Verzeichnissen der Verarbeitungstätigkeiten, die Durchführung von Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen, die Umsetzung angemessener technischer und organisatorischer Sicherheitsmaßnahmen sowie die Benachrichtigung der zuständigen Behörde und der betroffenen Personen im Falle einer Datenschutzverletzung. Datenschutzrichtlinien müssen transparent, zugänglich und in arabischer Sprache abgefasst sein. Unternehmen sollten zudem Praktiken der Datenminimierung umsetzen und sicherstellen, dass sie nur die für festgelegte, legitime Zwecke erforderlichen Daten erheben.

Sanktionen und Durchsetzung

Das PDPL sieht erhebliche Sanktionen bei Nichtkonformität vor. Verstöße können zu Geldbußen von bis zu 5 Millionen Saudi-Riyal (rund 1,33 Millionen US-Dollar) führen, wobei bei Wiederholungstaten höhere Sanktionen möglich sind. Strafrechtliche Sanktionen, einschließlich einer Freiheitsstrafe von bis zu zwei Jahren, gelten für Verstöße im Zusammenhang mit der Offenlegung sensibler Daten in der Absicht, Schaden zuzufügen. Die zuständige Behörde ist befugt, Ermittlungen durchzuführen, Verwarnungen auszusprechen, Abhilfemaßnahmen anzuordnen und Geldbußen zu verhängen. Es ist zu erwarten, dass die Durchsetzungsmaßnahmen zunehmen, sobald der regulatorische Rahmen reift und die Organisationen ihre Übergangsfristen zur Konformität abgeschlossen haben.

Auswirkungen auf die Vision 2030 und die digitale Wirtschaft

Das PDPL ist ein entscheidender Wegbereiter der digitalen Transformation Saudi-Arabiens im Rahmen der Vision 2030. Es unterstützt die breitere Agenda der regulatorischen Reformen des Königreichs. Indem das Gesetz klare Datenschutzstandards schafft, baut es Vertrauen in die digitale Wirtschaft auf, fördert die Einführung von Cloud-Computing und künstlicher Intelligenz und positioniert Saudi-Arabien als glaubwürdigen Standort für internationale Technologieunternehmen und datengetriebene Geschäftsmodelle. Die Angleichung des Gesetzes an globale Standards wie die Datenschutz-Grundverordnung (DSGVO) der EU erleichtert grenzüberschreitende Datenflüsse und kommerzielle Partnerschaften und unterstützt die Integration des Königreichs in die globale digitale Wirtschaft.