Überblick
Die Regulierung von Datenschutz und Privatsphäre in Saudi-Arabien zentriert sich heute auf das Personendatenschutzgesetz (PDPL), die Aufsicht durch die SDAIA, Cybersicherheitskontrollen und Regeln für den grenzüberschreitenden Datentransfer. Der Rahmen spiegelt die rasche Digitalisierung des Königreichs und seinen Anspruch wider, zu einem regionalen Knotenpunkt für Technologie, künstliche Intelligenz und die digitale Wirtschaft zu werden.
Das PDPL, das von der Saudi Data and Artificial Intelligence Authority (SDAIA) verwaltet wird, ist die erste umfassende Datenschutzgesetzgebung des Königreichs. Es begründet individuelle Datenrechte, betriebliche Compliance-Pflichten, Regeln für den grenzüberschreitenden Datentransfer sowie Anforderungen an die Datenlokalisierung, die gemeinsam den Daten-Governance-Rahmen Saudi-Arabiens an internationale Standards heranführen. Ergänzend zum PDPL verwaltet die Nationale Cybersicherheitsbehörde (NCA) einen parallelen Regulierungsrahmen für die Cybersicherheit von kritischen Infrastrukturen, staatlichen Stellen und Unternehmen des Privatsektors.
Für Unternehmen, die im saudischen Markt tätig sind oder ihn bedienen, birgt die regulatorische Landschaft von Datenschutz und Cybersicherheit inzwischen Compliance-Implikationen, die wesentlich, durchsetzbar und zunehmend zentral für den Marktzugang und die betriebliche Lizenzierung sind.
Das Personendatenschutzgesetz
Anwendungsbereich und Geltung
Das PDPL gilt für die Verarbeitung personenbezogener Daten, die innerhalb Saudi-Arabiens erfolgt, sowie für die Verarbeitung personenbezogener Daten von in Saudi-Arabien ansässigen Personen durch Stellen außerhalb des Königreichs. Diese extraterritoriale Reichweite bedeutet, dass internationale Unternehmen, die saudische Kunden bedienen oder in Saudi-Arabien entstandene Daten verarbeiten, den PDPL-Pflichten unterliegen können, unabhängig davon, wo sich ihre Datenverarbeitungsinfrastruktur befindet.
Personenbezogene Daten sind weit gefasst und umfassen alle Daten, die eine natürliche Person unmittelbar oder mittelbar identifizieren können. Sensible personenbezogene Daten – darunter Gesundheitsdaten, genetische Daten, Bonitätsdaten, Strafregisterdaten, Daten über die rassische oder ethnische Herkunft sowie Daten über religiöse oder politische Überzeugungen – unterliegen einem erhöhten Schutz und zusätzlichen Verarbeitungsbedingungen.
Das PDPL gilt für Stellen des öffentlichen wie des privaten Sektors, wobei bestimmte Ausnahmen für personenbezogene Daten bestehen, die zu rein persönlichen oder familiären Zwecken verarbeitet werden, für Daten, die von zuständigen Behörden zu Sicherheits- und Strafverfolgungszwecken verarbeitet werden, sowie für anonymisierte Daten, die nicht re-identifiziert werden können.
Rechtsgrundlagen für die Verarbeitung
Das PDPL bestimmt die Einwilligung als primäre Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich erteilt werden und kann jederzeit widerrufen werden. Das Gesetz erkennt darüber hinaus weitere Rechtsgrundlagen an, darunter die Erfüllung eines Vertrags, die Erfüllung einer rechtlichen Verpflichtung, den Schutz lebenswichtiger Interessen, die Wahrnehmung einer Aufgabe im öffentlichen Interesse sowie die berechtigten Interessen des Verantwortlichen, vorbehaltlich einer Abwägung gegen die Rechte der betroffenen Person.
Für sensible personenbezogene Daten sind die Rechtsgrundlagen restriktiver. Die Verarbeitung sensibler Daten erfordert in der Regel eine ausdrückliche Einwilligung oder die Erfüllung spezifischer Bedingungen mit Bezug zum Arbeitsrecht, zur öffentlichen Gesundheit, zu Rechtsansprüchen oder zu einem erheblichen öffentlichen Interesse.
Individuelle Datenrechte
Das PDPL gewährt betroffenen Personen ein umfassendes Bündel an Rechten, deren Wahrnehmung die Stellen ermöglichen müssen. Dazu zählen das Recht auf Information über Verarbeitungstätigkeiten, das Auskunftsrecht bezüglich der beim Verantwortlichen gespeicherten personenbezogenen Daten, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung personenbezogener Daten (vorbehaltlich gesetzlicher Ausnahmen), das Recht auf Datenübertragbarkeit sowie das Recht, der Verarbeitung unter bestimmten Umständen zu widersprechen.
Betroffene Personen haben zudem das Recht, über jede Datenschutzverletzung informiert zu werden, die ein hohes Risiko für ihre Rechte darstellt, sowie das Recht, bei der SDAIA Beschwerden über mutmaßliche Verstöße gegen das PDPL einzureichen.
Betriebliche Compliance-Pflichten
Stellen, die personenbezogene Daten verarbeiten, müssen einen umfassenden Compliance-Rahmen umsetzen. Zu den zentralen Pflichten zählen das Führen von Verzeichnissen der Verarbeitungstätigkeiten, die Durchführung von Datenschutz-Folgenabschätzungen bei risikoreichen Verarbeitungen, die Bestellung eines Datenschutzbeauftragten, sofern erforderlich, die Umsetzung angemessener technischer und organisatorischer Sicherheitsmaßnahmen, die Meldung von Datenschutzverletzungen an die SDAIA und die betroffenen Personen sowie die Sicherstellung, dass Auftragsverarbeiter (Dritte, die Daten im Auftrag des Verantwortlichen verarbeiten) durch vertragliche Pflichten gebunden sind, die den PDPL-Anforderungen entsprechen.
Der Grundsatz der Datenminimierung verlangt, dass personenbezogene Daten nur in dem für den festgelegten Zweck erforderlichen Umfang erhoben und nur so lange gespeichert werden, wie es zur Erfüllung dieses Zwecks notwendig ist. Die Pflichten zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design und by Default) verlangen, dass der Datenschutz in die Gestaltung von Systemen und Prozessen integriert und nicht nachträglich aufgesetzt wird.
Aufsicht durch die SDAIA
Institutionelle Rolle
Die Saudi Data and Artificial Intelligence Authority fungiert als Aufsichtsbehörde für den Datenschutz in Saudi-Arabien. Das Mandat der SDAIA reicht über den Datenschutz hinaus und umfasst die Politik zur künstlichen Intelligenz, die Daten-Governance und die Entwicklung der Datenwirtschaft des Königreichs. Dieses Doppelmandat spiegelt die Erkenntnis der Regierung wider, dass Datenschutz und datengetriebene Innovation einander ergänzende und nicht konkurrierende Ziele sind.
Die SDAIA ist zuständig für den Erlass von Durchführungsverordnungen und Leitlinien, die Überwachung der Einhaltung des PDPL, die Untersuchung von Beschwerden und die Verhängung von Sanktionen bei Verstößen. Die Behörde hat eine Reihe von Durchführungsverordnungen erlassen, die detaillierte Leitlinien zu spezifischen PDPL-Anforderungen bereitstellen, darunter zu Datentransfers, Einwilligungsverwaltung, Meldung von Datenschutzverletzungen und Datenschutz-Folgenabschätzungen.
Durchsetzung und Sanktionen
Das PDPL begründet einen Sanktionsrahmen, der Bußgelder von bis zu fünf Millionen Saudi-Riyal für Verstöße vorsieht, mit höheren Sanktionen bei wiederholten oder besonders schwerwiegenden Verstößen. Strafrechtliche Sanktionen, einschließlich Freiheitsstrafe, können bei bestimmten Verstößen greifen, etwa bei der unbefugten Offenlegung sensibler personenbezogener Daten in Schädigungsabsicht. Die SDAIA ist befugt, die Einstellung von Verarbeitungstätigkeiten, die Löschung rechtswidrig erhobener Daten sowie die Veröffentlichung von Durchsetzungsentscheidungen anzuordnen.
Die Durchsetzungshaltung hat sich von anfänglicher Beratung und Sensibilisierung während der Übergangsphase hin zu aktiver Compliance-Überwachung und -Durchsetzung entwickelt. Stellen, die keine PDPL-Compliance-Programme umgesetzt haben, sehen sich einem steigenden regulatorischen Risiko gegenüber.
Grenzüberschreitender Datentransfer
Transferbeschränkungen
Das PDPL erlegt der Übermittlung personenbezogener Daten außerhalb Saudi-Arabiens Beschränkungen auf. Grenzüberschreitende Transfers sind nur zulässig, wenn das Empfängerland ein angemessenes Datenschutzniveau (nach Feststellung der SDAIA) bietet oder wenn spezifische Garantien bestehen. Die SDAIA hat Kriterien zur Beurteilung der Angemessenheit veröffentlicht und Mechanismen benannt, über die Transfers in Ermangelung einer Angemessenheitsfeststellung legitimiert werden können.
Zu den zulässigen Transfermechanismen zählen verbindliche unternehmensinterne Vorschriften für konzerninterne Transfers, von der SDAIA genehmigte Standardvertragsklauseln sowie die ausdrückliche Einwilligung der betroffenen Person (wobei die alleinige Stützung auf die Einwilligung Einschränkungen unterliegt). Der Transfer muss zudem für eine der anerkannten Rechtsgrundlagen der Verarbeitung erforderlich sein, und der Verantwortliche muss eine Transfer-Folgenabschätzung durchführen, sofern die Angemessenheit der Empfängerrechtsordnung nicht festgestellt wurde.
Praktische Implikationen
Für multinationale Unternehmen hat der Rahmen für grenzüberschreitende Transfers erhebliche betriebliche Implikationen. Datenflüsse zwischen den in Saudi-Arabien ansässigen Betrieben und der internationalen Zentrale, Dienstleistern oder verbundenen Unternehmen müssen erfasst, bewertet und durch geeignete Transfermechanismen abgesichert werden. Cloud-Computing-Vereinbarungen, die globale Verwaltung von Personaldaten, die Analyse von Kundendaten und die grenzüberschreitende Zahlungsabwicklung erfordern allesamt eine sorgfältige Ausgestaltung, um die PDPL-Compliance sicherzustellen.
Anforderungen an die Datenlokalisierung
Das PDPL enthält Bestimmungen zur Datenlokalisierung, die verlangen, dass bestimmte Kategorien personenbezogener Daten innerhalb Saudi-Arabiens gespeichert werden. Die konkreten Kategorien, die den Lokalisierungsanforderungen unterliegen, sowie die Bedingungen, unter denen Ausnahmen gewährt werden können, sind in den Durchführungsverordnungen der SDAIA festgelegt.
Die Datenlokalisierung hat erhebliche Investitionen in die in Saudi-Arabien ansässige Rechenzentrumsinfrastruktur ausgelöst; internationale Cloud-Dienstleister errichten oder erweitern lokale Rechenzentren, um Kunden zu bedienen, die eine Datenresidenz innerhalb des Königreichs wahren müssen. Das Zusammentreffen von Lokalisierungsanforderungen und dem Anspruch des Königreichs, ein regionaler Rechenzentrumsknotenpunkt zu werden, schafft sowohl Compliance-Pflichten als auch kommerzielle Chancen im Sektor der Dateninfrastruktur.
Cybersicherheitsregulierung
Nationale Cybersicherheitsbehörde (NCA)
Die 2017 per Königlichem Dekret gegründete NCA ist die nationale Behörde für Cybersicherheitspolitik, Regulierung und Vorfallreaktion. Das Mandat der NCA erstreckt sich auf staatliche Stellen, kritische nationale Infrastrukturen sowie Organisationen des Privatsektors, deren Tätigkeit für die nationale Sicherheit oder die wirtschaftliche Stabilität von wesentlicher Bedeutung ist.
Essential Cybersecurity Controls
Die NCA hat die Essential Cybersecurity Controls (ECC) erlassen, ein umfassendes Bündel an Cybersicherheitsanforderungen, die für alle staatlichen Stellen und Betreiber kritischer Infrastrukturen gelten. Die ECC decken Cybersicherheits-Governance, Vermögenswertverwaltung, Identitäts- und Zugriffsverwaltung, Informationsschutz, Netzsicherheit, Anwendungssicherheit, Vorfallmanagement und Geschäftskontinuität ab.
Die Einhaltung der ECC ist für Stellen in ihrem Geltungsbereich verpflichtend, und die NCA führt Bewertungen zur Überprüfung der Compliance durch. Nichteinhaltung kann Durchsetzungsmaßnahmen einschließlich betrieblicher Beschränkungen und Sanktionen nach sich ziehen.
Sektorspezifische Cybersicherheit
Über die ECC hinaus gelten sektorspezifische Cybersicherheitsvorschriften für Finanzinstitute (im Rahmen des Cybersicherheitsrahmens der SAMA), Gesundheitsdienstleister, Telekommunikationsbetreiber und Stellen des Energiesektors. Diese sektorspezifischen Rahmenwerke bauen auf der ECC-Grundlinie auf und ergänzen Anforderungen, die auf die spezifischen Risikoprofile und betrieblichen Merkmale des jeweiligen Sektors zugeschnitten sind.
Der von der SAMA verwaltete Cybersicherheitsrahmen für den Finanzsektor ist besonders umfassend und deckt die Governance der Informationssicherheit, das Cyber-Risikomanagement, den Sicherheitsbetrieb, das Sicherheitsmanagement von Drittparteien sowie die Meldung von Cybervorfällen ab.
Schutz kritischer Infrastrukturen
Die NCA hat kritische nationale Infrastruktursektoren ausgewiesen und für Stellen, die innerhalb dieser Sektoren tätig sind, verschärfte Cybersicherheitsanforderungen festgelegt. Das Ausweisungsverfahren berücksichtigt die potenziellen Auswirkungen einer Störung auf die nationale Sicherheit, die öffentliche Sicherheit, die wirtschaftliche Stabilität und das Gemeinwohl. Betreiber kritischer Infrastrukturen unterliegen verschärften Anforderungen an Überwachung, Meldung und Vorfallreaktion.
Zusammenspiel mit anderen Regulierungsrahmen
Datenschutz- und Cybersicherheitspflichten treten in mehreren Dimensionen mit anderen regulatorischen Anforderungen in Wechselwirkung. Daten des Finanzsektors unterliegen sowohl den PDPL-Anforderungen als auch den Daten-Governance- und Cybersicherheitsrahmen der SAMA. Gesundheitsdaten unterliegen den PDPL-Anforderungen und den Datenvorschriften des Gesundheitssektors. Beschäftigungsdaten müssen den PDPL-Anforderungen und den arbeitsrechtlichen Bestimmungen zur Privatsphäre von Beschäftigten entsprechen.
Das Zusammenspiel zwischen dem PDPL und sektorspezifischen Vorschriften erfordert eine sorgfältige Analyse, um sicherzustellen, dass die Einhaltung eines Rahmenwerks keine Konflikte mit einem anderen erzeugt. Die SDAIA hat ihre Absicht bekundet, Leitlinien zum Zusammenspiel zwischen dem PDPL und sektorspezifischen Datenvorschriften herauszugeben, um die Compliance-Komplexität zu verringern.
Ausblick
Die regulatorische Landschaft von Datenschutz und Cybersicherheit in Saudi-Arabien wird sich weiterhin rasch entwickeln. Die SDAIA hat Pläne angekündigt, zusätzliche Durchführungsverordnungen zu künstlicher Intelligenz, automatisierter Entscheidungsfindung und der Nutzung personenbezogener Daten im Kontext neuer Technologien zu erlassen. Die NCA weitet den Geltungsbereich ihrer Cybersicherheitsrahmen schrittweise aus und vertieft ihre Durchsetzungskapazitäten.
Für Unternehmen ist die Entwicklungsrichtung klar: Die Daten-Governance wird zu einem wesentlichen Compliance-Feld, das eigene Ressourcen, Governance-Strukturen und technische Fähigkeiten erfordert. Der Anspruch des Königreichs, eine datengetriebene Wirtschaft zu entwickeln und ein regionaler Knotenpunkt für künstliche Intelligenz und digitale Dienste zu werden, schafft ein regulatorisches Umfeld, in dem robuster Datenschutz zugleich Compliance-Pflicht und Wettbewerbsvorteil ist.
Unternehmen, die in umfassende Datenschutz- und Cybersicherheitsprogramme investieren, sind besser positioniert, um Zugang zu öffentlichen Aufträgen zu erhalten (bei denen Compliance zunehmend eine Beschaffungsvoraussetzung ist), Vertrauen bei saudischen Verbrauchern und Geschäftspartnern aufzubauen und die sich wandelnde regulatorische Landschaft ohne Störungen zu bewältigen. Die Kosten der Nichteinhaltung – finanzielle Sanktionen, betriebliche Beschränkungen und Reputationsschäden – steigen parallel zur Ausgereiftheit der Durchsetzungskapazitäten der SDAIA und der NCA.