Datenschutz in Saudi-Arabien – der Countdown zum Personal Data Protection Law läuft

Wie auch innerhalb der DSGVO, sind im PDPL allgemeine Grund- und Verarbeitungsprinzipien verankert, aus denen sich die wesentlichen Bestimmungen für die Verarbeitung personenbezogener Daten ableiten lassen. Hierzu zählen u.a. die Grundsätze der Zweckbindung, Datenminimierung, Speicherbegrenzung sowie die Integrität und Vertraulichkeit der Datenverarbeitung. Ähnlich ausgestaltet sind zudem sowohl die verschie­denen Rechtsgrundlagen, unter deren Voraussetzungen Daten verarbeitet werden dürfen (Artikel 5,6), als auch die Rechte, die den von einer Verarbeitung betroffenen Personen zustehen (Artikel 4). Die Ausrichtung des PDPL an der DSGVO spiegelt sich weiterhin auch in den verschiedenen Datenschutz Instrumentarien und Mechanismen wider, die das PDPL vorsieht. So lassen sich hier u.a. bereits bekannte Maßnahmen, wie das Verzeichnis über Verarbeitungstätigkeiten (Artikel 31), die Durchführung von Datenschutz-Folgen­ab­schät­zungen (Artikel 25 Implementierungsverordnung) oder die Bestellung eines Datenschutzbeauftragten (Artikel 32 Implementierungsverordnung), wiederfinden.

  

Internationale Praxisrelevanz bringt das PDPL zudem insbesondere aufgrund seines exterritorialen Anwen­dungsbereichs mit sich. Angelehnt an das Niederlassungs- und Marktortprinzip der DSGVO, findet die PDPL Anwendung zum einen auf jede Verarbeitung personenbezogener Daten, die in Saudi-Arabien erfolgt, und zum anderen auf die Verarbeitung personenbezogener Daten von Personen mit Wohnsitz im Königreich. In letzterem Fall spielt es dabei keine Rolle, ob der Verantwortliche seinen Sitz in Saudi-Arabien oder außerhalb, z.B. in der EU, hat.

  

Nicht zu vernachlässigen sind ferner die Sanktionen, die das PDPL für Verstöße gegen die Daten­schutz­bestimmungen bereithält. Je nach Verstoß sehen die Strafvorschriften (Artikel 35) Freiheitsstrafen von bis zu zwei Jahren oder Geldstrafen in Höhe von bis zu 5 Mio. Saudi-Riyal, bei wiederholten Verstößen sogar bis zu 10 Mio. Saudi-Riyal, also umgerechnet bis zu 2.5 Mio. Euro, vor. 

  

Der erste Entwurf des PDPL vom 24. September 2021 wurde zunächst durch Decision No. 1516/1445 vom 23. März 2023 und im September 2023 erneut durch die Durchführungsverordnung (Administrative Decision No. 1516/1445) konkretisiert sowie teilweise auch modifiziert. Besonderes Augenmerk ist dabei auf nachfolgende Abänderungen der ursprünglichen Fassung zu legen:

   

Trotz überwiegender und ganz offensichtlicher Vergleichbarkeit des PDPL mit der DSGVO finden sich im saudischen Datenschutzrecht auch einige wesentliche Abweichungen von den europäischen Bestimmungen. Einige der Differenzen dürften dabei erhebliche Auswirkungen auf die Datenschutzpraxis der betroffenen Unternehmen haben. 

  

Der wohl größte Unterschied besteht im Bereich der Verarbeitungsgrundlagen. Während den Verantwortlichen im Rahmen der DSGVO der gesamte Katalog des Art. 6 DSGVO zur Verfügung steht, beschränkt sich das PDPL in erster Linie auf eine Einwilligung und lässt neben einigen Sondertatbeständen zusätzlich nur die berechtigten Interessen des Betroffenen und des Verantwortlichen als Rechtsgrundlage genügen. Das berechtigte Interesse des Verantwortlichen besteht gem. Artikel 1 Nr. 6 (Durchführungsverordnung) in jedem notwendigen Bedürfnis des Verantwortlichen, das die Verarbeitung für einen bestimmten Zweck erforderlich macht, sofern dadurch die Rechte und Interessen der Betroffenen nicht beeinträchtigt werden. Als Auslegungshilfe kann der eng umgrenzte Artikel 16 Abs. 2 herangezogen werden, der ein derartiges Interesse u.a. in der die Aufdeckung von Betrug sowie dem Schutz der Netz- und Informationssicherheit sieht. Es bleibt abzuwarten, inwiefern sich ein berechtigtes Interesse der Verantwortlichen auch auf weitere, insbesondere wirtschaftliche Interessen erstrecken lässt. Angesichts des Erfordernisses eines „notwendigen Bedürfnisses“ dürfte das einen hohen Argumentationsaufwand mit sich bringen. Fehlt eine konkrete Einwilligung, wird sich die Datenverarbeitung zum Zwecke einer Vertragserfüllung zwischen Verantwortlichem und Betroffenen damit nur noch mit einem berechtigten Interesse des Betroffenen begründen lassen. Dies dürfte für betroffene Unternehmen zu einem erhöhten Aufwand und Rechtsunsicherheiten führen. 

  

Aus der Perspektive der Verantwortlichen vorteilhaft ist schließlich die Bemessungsgrundlage der Sanktionen bei Datenschutzverstößen. Im Gegensatz zur DSGVO kennt das PDPL keine Geldstrafe, deren Höhe sich nach dem Jahresumsatz der Unternehmen richtet. Selbst bei Berücksichtigung der maximalen Geldstrafe des PDPL von 10 Mio. Saudi-Riyal bei wiederholten Datenschutzverletzung, fällt eine mögliche Geldstrafe weitaus geringer aus als ein nach der DSGVO mögliches Bußgeld in Höhe von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des Unternehmens.  

  

Für Unternehmen mit datenschutzrechtlichem Bezug zum Königreich Saudi-Arabien stellt der Im- oder Export personenbezogener Daten tägliche Praxis dar. Egal ob das Kundendaten eines gemeinsamen CRM-Systems betrifft oder Beschäftigtendaten im Rahmen von Shared Services wie einem HR-Controlling oder einer zentralisierten Lohnbuchhaltung, jeder Datentransfer stellt eine Verarbeitung dar und bedarf damit einer entsprechenden Rechtsgrundlage. Aufgrund der extraterritorialen Anwendungsbereiche von PDPL und DSGVO ist dabei zunächst zu prüfen, welchem Datenschutzgesetz das jeweils verantwortliche Unternehmen unterliegt. Hierbei sind insbesondere das Niederlassungs- und Marktortprinzip der DSGVO zu berücksichtigen. Da derzeit noch kein Angemessenheitsbeschluss der EU-Kommission für das Königreich Saudi-Arabien vorliegt, ist anschließend zu klären, auf welche Rechtsgrundlage sich ein Datentransfer stützen lässt. Neben den in der Praxis bisher nur vereinzelt genutzten Binding Corporate Rules dürfte hier in den meisten Fällen auf die Standardvertragsklauseln (SCCs) zurückgegriffen werden. Bei Verwendung der SCC sollte insbesondere auf die Auswahl der richtigen Module und eine hinreichend konkrete Beschreibung der Verarbeitungsprozesse geachtet werden. Zudem ist besonderes Augenmerk auf das stets vor der Übermittlung durchzuführende Transfer Impact Assessment (TIA) zu legen. Ähnlich wie im Rahmen von Datenschutzfolgenabschätzungen dient diese Maßnahme der Evaluierung etwaiger Risiken, die mit einem Datentransfer in das Zielland einhergehen. 

  

Um empfindlichen Sanktionen vorzubeugen, sollten verantwortliche Unternehmen die dargestellten Überlegungen anstellen und die Einzelfallumstände für jedes Transferszenario gründlich prüfen. Verstöße im Zusammenhang mit grenzüberschreitendem Datentransfer können mit einer Haftstrafe von bis zu einem Jahr und/oder einer Geldstrafe von bis zu 1 Million Saudi-Riyal (ca. 250.000 Euro) geahndet werden.

  

Unternehmen, die im Königreich Saudi-Arabien tätig sind, sollten die verbleibende Zeit bis zum Inkrafttreten des PDPL im September 2024 nutzen, um ihre Datenschutz Compliance in Hinblick auf die Bestimmungen des PDPL zu überprüfen. Aufgrund der weitreichenden Übereinstimmungen dürften Unternehmen, die bereits die Bestimmungen der DSGVO wirksam umsetzen, auch hinsichtlich des PDPL gut aufgestellt sein. Zur Über­prüfung eignen sich im Wesentlichen die internen Kontroll- und Auditmaßnahmen, die sich auch zur Überprüfung der DSGVO Compliance bewährt haben. Besondere Aufmerksamkeit ist auf den Daten­transfer zu richten. Aufgrund der nach wie vor ungeklärten Fragen zu Drittlandsübermittlungen und Unsicher­heiten bei der Verwendung der Standardvertragsklauseln sehen sich viele Unternehmen hier noch einer gewissen Rechts­unsicherheit ausgesetzt. Lohnend ist zudem auch ein Blick auf die Ver­arbei­tungs­grund­lagen. Sofern möglich, sollten sich Unternehmen dabei um eine wirksame Einwilligung der Betroffenen in die Datenverarbeitung bemühen.