Der saudische Rahmen für Data Governance ist das Regelwerk für personenbezogene Daten, den behördlichen Datenaustausch, grenzüberschreitende Transfers und die Compliance im KI-Zeitalter im Königreich. Er stützt sich auf das Datenschutzgesetz (Personal Data Protection Law, PDPL) und wird von der SDAIA beaufsichtigt, wodurch der Schutz der Privatsphäre mit der von der Vision 2030 angestrebten digitalen Wirtschaft verknüpft wird.
Das Datenschutzgesetz
Das PDPL ist der Eckpfeiler der saudischen Data Governance. Das Gesetz schafft eine umfassende Regelung für die Erhebung, Verarbeitung, Speicherung, Übermittlung und Löschung personenbezogener Daten durch öffentliche wie private Stellen, die innerhalb des Königreichs tätig sind oder personenbezogene Daten saudischer Einwohner verarbeiten. Seine Struktur baut auf internationalen Datenschutzgrundsätzen auf, einschließlich derjenigen, die in der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union zum Ausdruck kommen, und enthält zugleich Bestimmungen, die auf den saudischen rechtlichen und institutionellen Kontext zugeschnitten sind.
Zu den zentralen Bestimmungen des PDPL zählen Anforderungen an eine rechtmäßige Grundlage für die Datenverarbeitung, wobei die Einwilligung den primären Mechanismus bildet, ergänzt um festgelegte Ausnahmen für vertragliche Notwendigkeit, lebenswichtige Interessen, rechtliche Verpflichtungen und berechtigte Interessen. Den betroffenen Personen werden Rechte eingeräumt, darunter der Zugang zu ihren personenbezogenen Daten, die Berichtigung von Ungenauigkeiten, die Löschung von Daten, die für ihren ursprünglichen Zweck nicht mehr erforderlich sind, sowie das Recht, die Einwilligung zu widerrufen. Die Verantwortlichen sind verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, unbefugter Offenlegung, Veränderung oder Zerstörung zu schützen.
Das PDPL begründet Pflichten zur Meldung von Datenschutzverletzungen und verpflichtet die Verantwortlichen, die zuständige Behörde und unter bestimmten Umständen die betroffenen Personen innerhalb festgelegter Fristen nach Entdeckung einer Verletzung zu benachrichtigen. Das Gesetz regelt außerdem grenzüberschreitende Datentransfers und legt die Bedingungen fest, unter denen personenbezogene Daten außerhalb des Königreichs übermittelt werden dürfen, einschließlich Angemessenheitsprüfungen des Datenschutzniveaus der empfangenden Rechtsordnung.
Die regulatorische Rolle der SDAIA
Die saudische Behörde für Daten und Künstliche Intelligenz (SDAIA) wurde 2019 mit einem breiten Mandat gegründet, das die nationale Data Governance, die KI-Strategie und die Entwicklung der datengetriebenen Wirtschaft Saudi-Arabiens umfasst. Die regulatorische Funktion der SDAIA im Rahmen des PDPL umfasst den Erlass von Durchführungsverordnungen, Leitfäden und sektorspezifischen Standards, die Überwachung der Compliance, die Untersuchung von Beschwerden sowie die Verhängung von Sanktionen bei Verstößen.
Die institutionelle Positionierung der SDAIA spiegelt die Auffassung der saudischen Regierung wider, dass Data Governance und Künstliche Intelligenz untrennbar miteinander verbunden sind. Das Doppelmandat der Behörde ermöglicht es ihr, die Erfordernisse des Datenschutzes mit der Förderung der Datennutzung zu wirtschaftlichem und gesellschaftlichem Nutzen in Einklang zu bringen, einschließlich der Entwicklung von KI-Anwendungen, die auf den Zugang zu hochwertigen Datensätzen angewiesen sind. Dieser integrierte Ansatz vermeidet die Fragmentierung, die entstehen kann, wenn Datenschutz- und Dateninnovationsfunktionen in getrennten Institutionen angesiedelt sind.
Die Behörde hat eine Reihe von Durchführungsverordnungen, Leitlinien und Compliance-Rahmen veröffentlicht, die die allgemeinen Bestimmungen des PDPL konkretisieren. Dazu zählen detaillierte Vorgaben zu Einwilligungsmechanismen, Datenschutz-Folgenabschätzungen, Mechanismen für Datentransfers sowie sektorspezifische Anforderungen für risikoreiche Verarbeitungstätigkeiten, darunter Gesundheitsdaten, Finanzdaten und biometrische Daten.
Compliance-Anforderungen
Die Einhaltung des saudischen Rahmens für Data Governance stellt erhebliche Anforderungen an Organisationen, die im Königreich tätig sind. Stellen, die personenbezogene Daten verarbeiten, sind verpflichtet, unter den in den Durchführungsverordnungen festgelegten Umständen Datenschutzbeauftragte zu benennen, Verzeichnisse von Verarbeitungstätigkeiten zu führen, Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungsvorgänge durchzuführen und technische Schutzmaßnahmen wie Verschlüsselung, Zugriffskontrollen und Protokollierung umzusetzen.
Die extraterritoriale Reichweite des PDPL erstreckt die Pflichten auf Stellen außerhalb Saudi-Arabiens, die personenbezogene Daten saudischer Einwohner verarbeiten – eine Bestimmung, die das Gesetz an den globalen Trend angleicht, die Zuständigkeit auf ausländische Datenverarbeiter auszudehnen. Internationale Unternehmen mit saudischen Kunden oder Geschäftstätigkeiten müssen ihre Compliance-Pflichten nach dem PDPL prüfen und geeignete Maßnahmen ergreifen.
Sanktionen bei Verstößen umfassen finanzielle Strafen, die mehrere Millionen Saudi-Riyal pro Verstoß erreichen können, mit der Möglichkeit verschärfter Strafen bei wiederholten oder vorsätzlichen Verstößen. Das Sanktionsregime ist darauf ausgelegt, eine spürbare Abschreckung zu erzielen und zugleich die Verhältnismäßigkeit zu Art und Schwere des Verstoßes zu wahren.
Datenlokalisierung und grenzüberschreitende Transfers
Die Datenlokalisierung ist eine bedeutende Dimension des saudischen Rahmens. Das PDPL und seine Durchführungsverordnungen legen die Bedingungen für die Übermittlung personenbezogener Daten außerhalb des Königreichs fest und tragen dabei sowohl Erwägungen der nationalen Sicherheit und Souveränität als auch dem Schutz der Privatsphäre Rechnung. Transfers sind in Rechtsordnungen zulässig, die ein angemessenes Datenschutzniveau bieten, oder unter Nutzung von Standardvertragsklauseln, verbindlichen internen Datenschutzvorschriften oder anderen genehmigten Transfermechanismen.
Die Lokalisierungsanforderungen greifen mit der umfassenderen digitalen Infrastrukturstrategie des Königreichs ineinander, die große internationale Cloud-Dienstleister dazu bewogen hat, Rechenzentrumsbetriebe innerhalb Saudi-Arabiens aufzubauen. Die Verfügbarkeit inländischer Cloud-Infrastruktur ermöglicht es Organisationen, die Lokalisierungsanforderungen zu erfüllen und zugleich globale Technologieplattformen zu nutzen – eine Entwicklung, die von der SDAIA und der Behörde für Kommunikation, Raumfahrt und Technologie aktiv gefördert wurde.
Offene Daten und behördlicher Datenaustausch
Der Rahmen für Data Governance reicht über den Schutz der Privatsphäre hinaus und umfasst das behördliche Datenmanagement sowie Open-Data-Initiativen. Die über die SDAIA verwaltete Open-Data-Politik Saudi-Arabiens legt Grundsätze und Anforderungen für die Veröffentlichung behördlicher Datensätze in maschinenlesbaren Formaten fest. Das nationale Open-Data-Portal bietet Zugang zu tausenden Datensätzen aus den Bereichen Wirtschaftsstatistik, Geoinformation, Gesundheitsdaten und Umweltindikatoren und fördert damit Transparenz, Forschung und kommerzielle Innovation.
Rahmen für den behördlichen Datenaustausch legen Protokolle für den sicheren Austausch von Daten zwischen staatlichen Stellen fest und begegnen der historischen Fragmentierung, die die behördenübergreifende Koordination beeinträchtigt hat. Das Nationale Datenmanagementbüro innerhalb der SDAIA setzt Standards für Datenqualität, Klassifizierung und Lebenszyklusmanagement im gesamten Regierungssektor.
Strategische Bedeutung
Der saudische Rahmen für Data Governance erfüllt strategische Funktionen, die über die regulatorische Compliance hinausreichen. Durch die Schaffung eines glaubwürdigen Datenschutzregimes signalisiert das Königreich internationalen Unternehmen, Technologiekonzernen und Investoren, dass Saudi-Arabien ein vertrauenswürdiges Umfeld für datenintensive Tätigkeiten bietet. Diese Glaubwürdigkeit ist wesentlich, um die ausländischen Direktinvestitionen in Technologie, Finanzdienstleistungen und digitalen Handel anzuziehen, die die Diversifizierungsstrategie der Vision 2030 erfordert.
Der Rahmen unterstützt außerdem die Entwicklung eigener Daten- und KI-Kompetenzen. Klare Regeln für die Erhebung, Verarbeitung und den Austausch von Daten ermöglichen es saudischen Forschern, Start-ups und etablierten Unternehmen, datengetriebene Produkte und Dienste in einem berechenbaren rechtlichen Umfeld zu entwickeln. Die Bestimmungen des PDPL zur Datenverarbeitung im öffentlichen Interesse und zu Forschungszwecken schaffen Wege für eine nutzbringende Datenverwendung, die die Bestimmungen zum Schutz der Privatsphäre ergänzen.
