Datenschutz in Saudi-Arabien – der Countdown zum Personal Data Protection Law läuft

PrintMailRate-it

​​​​​veröffentlicht am 12. März 2024 | Lesedauer ca. 5 Minuten

  

In knapp einem halben Jahr ist die Umsetzung des saudischen Datenschutzrechts beabsichtigt. Nachdem im September 2023 die endgültige Fassung der Imple­men­tierungs­verordnung zum Datenschutzgesetz (Administrative Decision No. 1516/1445) verabschiedet wurde, sollen die Regelungen nach aktuellem Stand ein Jahr später – am 14. September 2024 – in Kraft treten. Dies stellt einen weiteren Meilenstein auf dem Weg des PDPL (Cabinet Decision No. 98/1443) als erstes Datenschutzgesetz Saudi-Arabiens dar. In Aufbau und Inhalt weist das Gesetz wesentliche Ähnlichkeiten zur Datenschutz Grundverordnung (DSGVO) auf und orientiert sich damit maßgeblich an deren Werten. 


 

  
Betroffene Unternehmen sollten in Hinsicht auf das baldige Inkrafttreten der Regelungen ihre daten­schutz­rechtlichen Prozesse innerhalb Saudi-Arabiens auf deren Vereinbarkeit mit den Vorschriften des Daten­schutz­gesetzes überprüfen. Daher werden nachfolgend die Gemeinsamkeiten und Unterschiede der Regelungen beleuchtet und die zu erwartenden Auswirkungen dargestellt. Ein besonderes Augenmerk liegt dabei auf dem für betroffene Unternehmen besonders praxisrelevanten Datentransfer in das Königreich.

  

Wesentlicher Inhalt des PDPL

Wie auch innerhalb der DSGVO, sind im PDPL allgemeine Grund- und Verarbeitungsprinzipien verankert, aus denen sich die wesentlichen Bestimmungen für die Verarbeitung personenbezogener Daten ableiten lassen. Hierzu zählen u.a. die Grundsätze der Zweckbindung, Datenminimierung, Speicherbegrenzung sowie die Integrität und Vertraulichkeit der Datenverarbeitung. Ähnlich ausgestaltet sind zudem sowohl die verschie­denen Rechtsgrundlagen, unter deren Voraussetzungen Daten verarbeitet werden dürfen (Artikel 5,6), als auch die Rechte, die den von einer Verarbeitung betroffenen Personen zustehen (Artikel 4). Die Ausrichtung des PDPL an der DSGVO spiegelt sich weiterhin auch in den verschiedenen Datenschutz Instrumentarien und Mechanismen wider, die das PDPL vorsieht. So lassen sich hier u.a. bereits bekannte Maßnahmen, wie das Verzeichnis über Verarbeitungstätigkeiten (Artikel 31), die Durchführung von Datenschutz-Folgen­ab­schät­zungen (Artikel 25 Implementierungsverordnung) oder die Bestellung eines Datenschutzbeauftragten (Artikel 32 Implementierungsverordnung), wiederfinden.
  
Internationale Praxisrelevanz bringt das PDPL zudem insbesondere aufgrund seines exterritorialen Anwen­dungsbereichs mit sich. Angelehnt an das Niederlassungs- und Marktortprinzip der DSGVO, findet die PDPL Anwendung zum einen auf jede Verarbeitung personenbezogener Daten, die in Saudi-Arabien erfolgt, und zum anderen auf die Verarbeitung personenbezogener Daten von Personen mit Wohnsitz im Königreich. In letzterem Fall spielt es dabei keine Rolle, ob der Verantwortliche seinen Sitz in Saudi-Arabien oder außerhalb, z.B. in der EU, hat.
  
Nicht zu vernachlässigen sind ferner die Sanktionen, die das PDPL für Verstöße gegen die Daten­schutz­bestimmungen bereithält. Je nach Verstoß sehen die Strafvorschriften (Artikel 35) Freiheitsstrafen von bis zu zwei Jahren oder Geldstrafen in Höhe von bis zu 5 Mio. Saudi-Riyal, bei wiederholten Verstößen sogar bis zu 10 Mio. Saudi-Riyal, also umgerechnet bis zu 2.5 Mio. Euro, vor. 
  

Gesetzesentwicklungen

Der erste Entwurf des PDPL vom 24. September 2021 wurde zunächst durch Decision No. 1516/1445 vom 23. März 2023 und im September 2023 erneut durch die Durchführungsverordnung (Administrative Decision No. 1516/1445) konkretisiert sowie teilweise auch modifiziert. Besonderes Augenmerk ist dabei auf nachfolgende Abänderungen der ursprünglichen Fassung zu legen:
  • Die ursprüngliche Fassung des PDPL beinhaltete ausschließlich eine Einwilligung der betroffenen Person sowie einige, eng umfasste Ausnahmetatbestände als Rechtsgrundlage für eine Verarbeitung ihrer personenbezogenen Daten (Artikel 5). Diese Beschränkung wurde inzwischen aufgehoben. Verarbeitungen können nun auch auf die aus der DSGVO bekannte Verarbeitungsgrundlage eines berechtigten Interesses (Artikel 16 Durchführungsverordnung) gestützt werden. Dies gilt jedoch nicht für die Verarbeitung sensibler personenbezogener Daten.
  • Der Artikel 3 des ursprünglichen PDPL, der eine Liste der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten gemäß den Artikeln 6, 10 und 15 der PDPL enthielt, wurde gestrichen.
  • Die Betroffenenrechte können nunmehr unabhängig von der Rechtsgrundlage der zugrundliegenden Datenverarbeitung ausgeübt werden. Die Wahrnehmung der Rechte war zunächst auf Verarbeitungen beruhend auf einer Einwilligung, einem überwiegenden berechtigten Interesse des Verantwortlichen oder einer Vertragsausführung beschränkt.
   

Differenzen zwischen PDPL und DSGVO

Trotz überwiegender und ganz offensichtlicher Vergleichbarkeit des PDPL mit der DSGVO finden sich im saudischen Datenschutzrecht auch einige wesentliche Abweichungen von den europäischen Bestimmungen. Einige der Differenzen dürften dabei erhebliche Auswirkungen auf die Datenschutzpraxis der betroffenen Unternehmen haben. 
  
Der wohl größte Unterschied besteht im Bereich der Verarbeitungsgrundlagen. Während den Verantwortlichen im Rahmen der DSGVO der gesamte Katalog des Art. 6 DSGVO zur Verfügung steht, beschränkt sich das PDPL in erster Linie auf eine Einwilligung und lässt neben einigen Sondertatbeständen zusätzlich nur die berechtigten Interessen des Betroffenen und des Verantwortlichen als Rechtsgrundlage genügen. Das berechtigte Interesse des Verantwortlichen besteht gem. Artikel 1 Nr. 6 (Durchführungsverordnung) in jedem notwendigen Bedürfnis des Verantwortlichen, das die Verarbeitung für einen bestimmten Zweck erforderlich macht, sofern dadurch die Rechte und Interessen der Betroffenen nicht beeinträchtigt werden. Als Auslegungshilfe kann der eng umgrenzte Artikel 16 Abs. 2 herangezogen werden, der ein derartiges Interesse u.a. in der die Aufdeckung von Betrug sowie dem Schutz der Netz- und Informationssicherheit sieht. Es bleibt abzuwarten, inwiefern sich ein berechtigtes Interesse der Verantwortlichen auch auf weitere, insbesondere wirtschaftliche Interessen erstrecken lässt. Angesichts des Erfordernisses eines „notwendigen Bedürfnisses“ dürfte das einen hohen Argumentationsaufwand mit sich bringen. Fehlt eine konkrete Einwilligung, wird sich die Datenverarbeitung zum Zwecke einer Vertragserfüllung zwischen Verantwortlichem und Betroffenen damit nur noch mit einem berechtigten Interesse des Betroffenen begründen lassen. Dies dürfte für betroffene Unternehmen zu einem erhöhten Aufwand und Rechtsunsicherheiten führen. 
  
Aus der Perspektive der Verantwortlichen vorteilhaft ist schließlich die Bemessungsgrundlage der Sanktionen bei Datenschutzverstößen. Im Gegensatz zur DSGVO kennt das PDPL keine Geldstrafe, deren Höhe sich nach dem Jahresumsatz der Unternehmen richtet. Selbst bei Berücksichtigung der maximalen Geldstrafe des PDPL von 10 Mio. Saudi-Riyal bei wiederholten Datenschutzverletzung, fällt eine mögliche Geldstrafe weitaus geringer aus als ein nach der DSGVO mögliches Bußgeld in Höhe von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des Unternehmens.  
  

Datentransfer

Für Unternehmen mit datenschutzrechtlichem Bezug zum Königreich Saudi-Arabien stellt der Im- oder Export personenbezogener Daten tägliche Praxis dar. Egal ob das Kundendaten eines gemeinsamen CRM-Systems betrifft oder Beschäftigtendaten im Rahmen von Shared Services wie einem HR-Controlling oder einer zentralisierten Lohnbuchhaltung, jeder Datentransfer stellt eine Verarbeitung dar und bedarf damit einer entsprechenden Rechtsgrundlage. Aufgrund der extraterritorialen Anwendungsbereiche von PDPL und DSGVO ist dabei zunächst zu prüfen, welchem Datenschutzgesetz das jeweils verantwortliche Unternehmen unterliegt. Hierbei sind insbesondere das Niederlassungs- und Marktortprinzip der DSGVO zu berücksichtigen. Da derzeit noch kein Angemessenheitsbeschluss der EU-Kommission für das Königreich Saudi-Arabien vorliegt, ist anschließend zu klären, auf welche Rechtsgrundlage sich ein Datentransfer stützen lässt. Neben den in der Praxis bisher nur vereinzelt genutzten Binding Corporate Rules dürfte hier in den meisten Fällen auf die Standardvertragsklauseln (SCCs) zurückgegriffen werden. Bei Verwendung der SCC sollte insbesondere auf die Auswahl der richtigen Module und eine hinreichend konkrete Beschreibung der Verarbeitungsprozesse geachtet werden. Zudem ist besonderes Augenmerk auf das stets vor der Übermittlung durchzuführende Transfer Impact Assessment (TIA) zu legen. Ähnlich wie im Rahmen von Datenschutzfolgenabschätzungen dient diese Maßnahme der Evaluierung etwaiger Risiken, die mit einem Datentransfer in das Zielland einhergehen. 
  
Um empfindlichen Sanktionen vorzubeugen, sollten verantwortliche Unternehmen die dargestellten Überlegungen anstellen und die Einzelfallumstände für jedes Transferszenario gründlich prüfen. Verstöße im Zusammenhang mit grenzüberschreitendem Datentransfer können mit einer Haftstrafe von bis zu einem Jahr und/oder einer Geldstrafe von bis zu 1 Million Saudi-Riyal (ca. 250.000 Euro) geahndet werden.
  

Praktische Auswirkungen

Unternehmen, die im Königreich Saudi-Arabien tätig sind, sollten die verbleibende Zeit bis zum Inkrafttreten des PDPL im September 2024 nutzen, um ihre Datenschutz Compliance in Hinblick auf die Bestimmungen des PDPL zu überprüfen. Aufgrund der weitreichenden Übereinstimmungen dürften Unternehmen, die bereits die Bestimmungen der DSGVO wirksam umsetzen, auch hinsichtlich des PDPL gut aufgestellt sein. Zur Über­prüfung eignen sich im Wesentlichen die internen Kontroll- und Auditmaßnahmen, die sich auch zur Überprüfung der DSGVO Compliance bewährt haben. Besondere Aufmerksamkeit ist auf den Daten­transfer zu richten. Aufgrund der nach wie vor ungeklärten Fragen zu Drittlandsübermittlungen und Unsicher­heiten bei der Verwendung der Standardvertragsklauseln sehen sich viele Unternehmen hier noch einer gewissen Rechts­unsicherheit ausgesetzt. Lohnend ist zudem auch ein Blick auf die Ver­arbei­tungs­grund­lagen. Sofern möglich, sollten sich Unternehmen dabei um eine wirksame Einwilligung der Betroffenen in die Datenverarbeitung bemühen. 
  

Handreichungen der saudischen Datenschutzbehörde

Es empfiehlt sich, die weiteren Entwicklungen zu beobachten und etwaige Stellung­nahmen der Datenschutzbehörden zu berücksichtigen. Hilfreich können insbesondere die nachfolgend dargestellten Handreichungen der saudischen Datenschutzbehörde sein:

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu