Da Saudi-Arabien zu einem immer attraktiveren Markt wird und die Webpräsenz der dortigen Unternehmen wächst, rückt der Schutz personenbezogener Daten des Landes (PDPL) in den Fokus. Sind Sie bereit für PDPL?
Das saudi-arabische Gesetz zum Schutz personenbezogener Daten (PDPL) regelt, wie im Land tätige Unternehmen Daten über Einwohner des Königreichs erheben, verwenden, speichern, übertragen, weitergeben und aktualisieren. Mit wenigen Ausnahmen dürfen personenbezogene Daten nicht ohne die Zustimmung des Nutzers/Dateneigentümers verarbeitet werden, und der Zweck der Verarbeitung kann nicht geändert werden. Die saudische Behörde für Daten und künstliche Intelligenz ist für die Erteilung von Lizenzen an Organisationen zuständig, deren Aktivitäten in den Zuständigkeitsbereich des PDPL fallen.
Um die PDPL einzuhalten, müssen Unternehmen Folgendes verwalten:
Richtlinien zur Datenverarbeitung:
Legen Sie klare Richtlinien für den Umgang mit personenbezogenen Daten fest
Zustimmung:
Holen Sie vor der Datenerfassung eine klare Einwilligung ein
Datenschutz:
Schützen Sie personenbezogene Daten vor Verstößen
Transparenz:
Sorgen Sie für Transparenz bei der Datenerfassung und -nutzung
Verbraucherrechte:
Ermöglichen Sie Einzelpersonen die Ausübung ihrer Rechte in Bezug auf ihre Daten
Das saudi-arabische Datenschutzgesetz gilt für im Land tätige Unternehmen und verpflichtet diese, Daten über Saudi-Araber ausschließlich zum Zweck der Bereitstellung von Waren und Dienstleistungen oder zur Überwachung des Verhaltens von Website-Besuchern zu erheben, zu verwenden, weiterzugeben, zu speichern, zu aktualisieren oder zu übermitteln.
Wie die meisten anderen Datenschutzgesetze gilt das saudi-arabische Datenschutzgesetz auch für Unternehmen, die nicht physisch im Land präsent sind.
Das PDPL gewährt saudischen Einwohnern sehr ähnliche Rechte in Bezug auf ihre personenbezogenen Daten wie andere Datenschutzgesetze, wie beispielsweise die DSGVO. Dazu gehören:
Zugriff auf ihre personenbezogenen Daten und Informationen zur Verarbeitung dieser Daten zu verlangen
Ungenauigkeiten in ihren Daten korrigieren
Die Löschung ihrer personenbezogenen Daten zu verlangen, mit bestimmten Ausnahmen
Fordern Sie Informationen zur Rechtsgrundlage und zum Zweck der Datenerhebung an
Unter bestimmten Umständen der Verarbeitung ihrer Daten widersprechen
Das PDPL verpflichtet Unternehmen, personenbezogene Daten (einschließlich über Cookies erfasster Daten) mit Zustimmung des Benutzers zu verarbeiten, außer unter bestimmten Umständen.
Die Nichteinhaltung des saudi-arabischen PDPL kann erhebliche Strafen nach sich ziehen, darunter Geldstrafen, Gefängnisstrafen und Schadensersatzansprüche. Verstöße können zu Geldstrafen von bis zu 5 Millionen Saudi-Riyal (1,3 Millionen US-Dollar) pro Verstoß führen, wobei sich die Geldstrafe bei Wiederholungstätern verdoppeln kann. Die vorsätzliche Offenlegung sensibler Daten kann zu einer Freiheitsstrafe von bis zu zwei Jahren führen. Betroffene Personen können zudem Schadensersatzansprüche geltend machen.
Die Einhaltung der PDPL und ein „Consent-First“-Ansatz können durch die Befolgung einer Reihe bewährter Methoden beschleunigt werden:
Führen Sie Datenprüfungen durch:
Datenpraktiken an PDPL-Anforderungen ausrichten
Datenschutzrichtlinien aktualisieren:
Stellen Sie sicher, dass Datenschutzhinweise den Verbrauchern klar machen, wie sie mit dem Datenschutz umgehen, welche Rechte sie haben und wie sie diese Rechte ausüben können.
Implementieren Sie das Einwilligungsmanagement:
Kontrollieren Sie die Cookie-Zustimmung und -Überwachung mit einer umfassenden Zustimmungsverwaltungsplattform wie CookieHub
Mitarbeiterschulung:
Stellen Sie sicher, dass die Mitarbeiter die Bedeutung des Datenschutzes kennen und wissen, welche Schritte sie unternehmen können, um die Einhaltung des PDPL zu unterstützen.
Das PDPL gilt für die Verarbeitung personenbezogener Daten durch öffentliche und private Einrichtungen in Saudi-Arabien. Es gilt auch für Einrichtungen außerhalb des Königreichs, sofern diese personenbezogene Daten von in Saudi-Arabien ansässigen Personen verarbeiten. Das Gesetz soll die Privatsphäre von Einzelpersonen schützen und regeln, wie personenbezogene Daten erhoben, verwendet, gespeichert und weitergegeben werden.
Unter dem PDPL sind personenbezogene Daten alle Informationen – unabhängig von ihrer Quelle oder Form – zu verstehen, die eine Person direkt oder indirekt identifizieren können. Dazu gehören Daten wie Namen, Identifikationsnummern, Kontaktdaten und persönliche Merkmale.
Sensible Daten sind eine besondere Kategorie personenbezogener Daten, die aufgrund ihrer Natur einen höheren Schutz erfordern. Laut PDPL gehören dazu Daten über die rassische oder ethnische Herkunft einer Person, religiöse oder philosophische Überzeugungen, politische Meinungen, Gesundheit, genetische und biometrische Informationen sowie das Strafregister.
Die Saudi Data & Artificial Intelligence Authority (SDAIA) ist über ihr National Data Management Office (NDMO) für die Überwachung und Durchsetzung des PDPL verantwortlich. Die SDAIA erlässt Vorschriften, überwacht deren Einhaltung und gibt Leitlinien zu bewährten Verfahren für den Datenschutz heraus.
Das PDPL sieht bestimmte Ausnahmen vor. Dazu gehören die Verarbeitung personenbezogener Daten für nichtkommerzielle Zwecke sowie die Verarbeitung zu Sicherheits- oder Rechtszwecken. Auch staatliche Stellen können in bestimmten Fällen ausgenommen sein, insbesondere wenn die nationale Sicherheit oder das öffentliche Interesse betroffen sind.
Offizielle Informationen, Ressourcen und regulatorische Leitlinien finden Sie auf der Website des National Data Management Office (NDMO). Aktualisierungen und Durchsetzungsdetails sind auch über die Saudi Data & Artificial Intelligence Authority (SDAIA) verfügbar.
©2025 CookieHub ehf.
