Bahrain Personal Data Protection Law

Bahrain PDPL Compliance-Leitfaden

Bahrains Personal Data Protection Law (Gesetz Nr. 30 von 2018) legt umfassende Datenschutzanforderungen fest. Ob Sie eine in Bahrain ansaessige Einrichtung sind oder Daten von Einwohnern Bahrains verarbeiten, wir helfen Ihnen, vollstaendige Compliance mit klaren Prozessen und Nachweisen zu erreichen.

Compliance-Bewertung starten Beratung buchen

Was ist das Bahrain PDPL?

Das Bahrain Personal Data Protection Law (PDPL), auch bekannt als Gesetz Nr. 30 von 2018, ist Bahrains umfassende Datenschutzgesetzgebung. Es trat am 1. August 2019 in Kraft und legt den rechtlichen Rahmen fuer die Verarbeitung personenbezogener Daten im Koenigreich Bahrain fest.

Aufsichtsbehoerde: Das Gesetz wird von der Personal Data Protection Authority (PDPA) beaufsichtigt, die unter dem Ministerium fuer Justiz, Islamische Angelegenheiten und Waqf operiert. Die PDPA hat Durchsetzungsbefugnisse, einschliesslich Untersuchungen, Audits und Strafverhaengung.

In Kraft seit

1. August 2019

Rechtsstatus

Verbindliches Gesetz mit Strafandrohung

Orientiert sich an DSGVO-Grundsaetzen und ergaenzt Saudi PDPL und UAE PDPL.

Wer muss die Vorschriften einhalten?

In Bahrain ansaessige Organisationen

Jede Einrichtung, die personenbezogene Daten in Bahrain verarbeitet

Verantwortliche Stellen

Einrichtungen, die Zwecke und Mittel der Verarbeitung bestimmen

Auftragsverarbeiter

Dienstleister, die Daten im Auftrag von Verantwortlichen verarbeiten

Auslaendische Einrichtungen

Organisationen, die Waren/Dienstleistungen fuer Einwohner Bahrains anbieten

Finanzinstitute

Banken, Versicherer und Zahlungsdienstleister in Bahrain

Gesundheitsdienstleister

Krankenhaeuser, Kliniken, die Patientengesundheitsdaten verarbeiten

Wie VerifyWise die Bahrain-PDPL-Compliance unterstuetzt

Umfassende Faehigkeiten, die jede Anforderung des Gesetzes adressieren

Inventar und Zuordnung personenbezogener Daten

Registrieren Sie alle Verarbeitungstaetigkeiten mit strukturierten Metadaten zu Zweck, Rechtsgrundlage, Datenkategorien und Aufbewahrungsfristen. Die Plattform fuehrt das Verarbeitungsverzeichnis, das Artikel 7 des Bahrain PDPL vorschreibt.

Adressiert: Artikel 7: Verarbeitungsaufzeichnungen und Transparenzpflichten

Einwilligungsverwaltung und Rechtsgrundlagen-Nachverfolgung

Erfassen und dokumentieren Sie Einwilligungen mit Zeitstempel, Zweck und Widerrufsmechanismen. Verfolgen Sie alternative Rechtsgrundlagen fuer die Verarbeitung und fuehren Sie Nachweise ueber die rechtmaessige Verarbeitungsgrundlage.

Adressiert: Artikel 5: Bedingungen fuer die rechtmaessige Verarbeitung und Einwilligungsanforderungen

Erfuellung von Betroffenenrechten

Verwalten Sie Auskunftsanfragen, Berichtigungen, Loeschungen und Widerspruchs-Workflows mit integrierten Antwortfristen. Erstellen Sie Berichte, die die Einhaltung der Betroffenenrechtsverpflichtungen nachweisen.

Adressiert: Artikel 8-13: Betroffenenrechte (Auskunft, Berichtigung, Loeschung, Widerspruch)

Dokumentation der Sicherheitsmassnahmen

Dokumentieren Sie technische und organisatorische Sicherheitsmassnahmen zum Schutz personenbezogener Daten. Fuehren Sie Nachweise ueber Verschluesselung, Zugriffskontrollen, Pseudonymisierung und Sicherheitsrichtlinien.

Adressiert: Artikel 6: Sicherheits- und Schutzpflichten

Vorfallmanagement bei Datenschutzverletzungen

Verfolgen Sie Datenschutzverletzungen mit strukturierten Workflows fuer die Benachrichtigung der Datenschutzbehoerde und betroffener Personen. Fuehren Sie Zeitleisten zu Vorfaellen und Nachweise ueber Abhilfemassnahmen.

Adressiert: Artikel 21: Anforderungen zur Benachrichtigung bei Datenschutzverletzungen

Compliance bei grenzueberschreitender Datenuebermittlung

Dokumentieren Sie grenzueberschreitende Datenuebermittlungen mit Angemessenheitsentscheidungen, Standardvertragsklauseln oder verbindlichen Unternehmensregeln. Verfolgen Sie Uebermittlungsmechanismen und fuehren Sie Folgeabschaetzungen fuer Uebermittlungen.

Adressiert: Artikel 19: Beschraenkungen fuer grenzueberschreitende Datenuebermittlungen

Alle Verarbeitungstaetigkeiten werden mit Zeitstempeln, Rechtsgrundlagen-Dokumentation und Genehmigungs-Workflows nachverfolgt. Dieser Pruefpfad demonstriert die Einhaltung der PDPL-Verpflichtungen und liefert Nachweise fuer Anfragen der Personal Data Protection Authority.

Vollstaendige Bahrain-PDPL-Anforderungsabdeckung

VerifyWise bietet dedizierte Kontrollen fuer alle wesentlichen PDPL-Pflichten

PDPL-Compliance-Kontrollen

Kontrollen mit dediziertem Tooling

100%

Abdeckung ueber alle Kategorien

Rechtmaessige Verarbeitung8/8

Einwilligung, berechtigtes Interesse, gesetzliche Verpflichtungen

Betroffenenrechte6/6

Auskunft, Berichtigung, Loeschung, Widerspruch, Uebertragbarkeit

Sicherheit & Schutz7/7

Technische und organisatorische Massnahmen

Rechenschaftspflicht5/5

Dokumentation, DSB, Benachrichtigung bei Datenschutzverletzungen

Entwickelt fuer Bahrain-PDPL-Compliance

Artikelgenaue Zuordnung

Kontrollen spezifischen PDPL-Artikeln und -Pflichten zugeordnet

Betroffenen-Portal

Self-Service-Portal fuer Rechtsanfragen und Einwilligungsverwaltung

PDPA-Berichterstattung

Berichte fuer Audits der Personal Data Protection Authority erstellen

GCC-Mehrfachgerichtsbarkeit

Einheitliche Compliance fuer Bahrain-, Saudi-, UAE-, Katar-Datenschutzgesetze

Sechs zentrale Datenschutzgrundsaetze

Kernprinzipien, die alle Verarbeitungen personenbezogener Daten nach dem Bahrain PDPL regeln

Rechtmaessigkeit, Fairness & Transparenz

Personenbezogene Daten rechtmaessig, fair und transparent verarbeiten. Betroffene muessen ueber die Verarbeitung informiert werden.

Kernanforderungen

• Rechtsgrundlage fuer die Verarbeitung
• Klare Datenschutzhinweise
• Transparente Kommunikation

Zweckbindung

Personenbezogene Daten fuer festgelegte, eindeutige und legitime Zwecke erheben. Keine weitere Verarbeitung, die mit diesen Zwecken unvereinbar ist.

Kernanforderungen

• Festgelegte Zwecke
• Ausdrueckliche Dokumentation
• Nur vereinbare Nutzung

Datenminimierung

Nur personenbezogene Daten erheben, die angemessen, relevant und auf das fuer die Verarbeitungszwecke Notwendige beschraenkt sind.

Kernanforderungen

• Erforderlichkeitspruefung
• Verhaeltnismaessige Erhebung
• Regelmaessige Ueberpruefungen

Richtigkeit

Sicherstellen, dass personenbezogene Daten korrekt und aktuell sind. Ungenaue Daten muessen unverzueglich geloescht oder berichtigt werden.

Kernanforderungen

• Datenueberpruefung
• Aktualisierungsmechanismen
• Korrekturverfahren

Speicherbegrenzung

Personenbezogene Daten nur so lange aufbewahren, wie es fuer die Zwecke, fuer die sie erhoben wurden, erforderlich ist.

Kernanforderungen

• Aufbewahrungsfristen
• Loeschverfahren
• Archivierungsrichtlinien

Integritaet & Vertraulichkeit

Personenbezogene Daten sicher mit geeigneten technischen und organisatorischen Massnahmen verarbeiten.

Kernanforderungen

• Sicherheitsmassnahmen
• Zugriffskontrollen
• Vertraulichkeitsschutz

Betroffenenrechte

Sechs grundlegende Rechte, die das Bahrain PDPL Einzelpersonen gewaehrt

Recht auf Auskunft

Betroffene koennen eine Bestaetigung anfordern, ob ihre personenbezogenen Daten verarbeitet werden, und eine Kopie der Daten erhalten.

Frist: Innerhalb von 30 Tagen nach Antrag

• Verarbeitung bestaetigen
• Datenkopie bereitstellen
• Zwecke und Empfaenger offenlegen

Recht auf Berichtigung

Betroffene koennen die Berichtigung ungenauer oder unvollstaendiger personenbezogener Daten verlangen.

Frist: Ohne unangemessene Verzoegerung

• Richtigkeit ueberpruefen
• Korrekturen vornehmen
• Dritte benachrichtigen, wenn zutreffend

Recht auf Loeschung

Betroffene koennen die Loeschung personenbezogener Daten verlangen, wenn diese nicht mehr erforderlich sind oder die Einwilligung widerrufen wird.

Frist: Ohne unangemessene Verzoegerung

• Loeschgruende bewerten
• Daten loeschen
• Auftragsverarbeiter benachrichtigen

Recht auf Widerspruch

Betroffene koennen der Verarbeitung auf Grundlage berechtigter Interessen oder fuer Direktmarketing widersprechen.

Frist: Sofort bei Marketing

• Widerspruch einhalten
• Verarbeitung einstellen
• Entscheidung dokumentieren

Recht auf Widerruf der Einwilligung

Betroffene koennen ihre Einwilligung jederzeit widerrufen, wenn die Verarbeitung auf Einwilligung basiert.

Frist: Sofortige Wirkung

• Einfacher Widerruf
• Verarbeitung einstellen
• Widerrufsnachweis fuehren

Recht auf Datenuebertragbarkeit

Betroffene koennen ihre Daten in einem strukturierten, gaengigen, maschinenlesbaren Format anfordern.

Frist: Innerhalb von 30 Tagen nach Antrag

• Strukturiertes Format
• Maschinenlesbar
• Uebertragung an anderen Verantwortlichen wenn moeglich

20-Wochen-Implementierungsfahrplan

Ein praktischer Weg zur Bahrain-PDPL-Compliance mit klaren Meilensteinen

Phase 1Wochen 1-4

Datenerfassung & -zuordnung

Dateninventar ueber Systeme durchfuehren
Datenfluesse und Verarbeitungstaetigkeiten kartieren
Rechtsgrundlage fuer jede Verarbeitung identifizieren
Datenkategorien und Aufbewahrung dokumentieren

Phase 2Wochen 5-8

Governance & Richtlinien

Datenschutzbeauftragten ernennen, wenn erforderlich
Datenschutzrichtlinien und -hinweise entwickeln
Verfahren fuer Betroffenenrechte erstellen
Reaktionsplan fuer Datenschutzverletzungen aufstellen

Phase 3Wochen 9-14

Sicherheit & Kontrollen

Technische Sicherheitsmassnahmen implementieren
Zugriffskontrollen und Verschluesselung bereitstellen
Datenaufbewahrungs-Verfahren einrichten
Mechanismen fuer grenzueberschreitende Uebermittlungen erstellen

Phase 4Wochen 15-20

Operationalisierung

Mitarbeiter ueber PDPL-Pflichten schulen
Einwilligungsverwaltungs-Tools implementieren
Workflows fuer Betroffenenrechte testen
Compliance-Audit und Abhilfe durchfuehren

Strafen & Durchsetzung

Erhebliche Strafen bei Nichteinhaltung

Das Bahrain PDPL sieht sowohl Freiheitsstrafen als auch Geldstrafen vor. Die Personal Data Protection Authority verfuegt ueber Durchsetzungsbefugnisse einschliesslich Untersuchungen, Audits und Strafverhaengung.

Hoher Schweregrad

Verarbeitung ohne Rechtsgrundlage

Freiheitsstrafe und/oder Geldstrafe bis zu 20.000 BHD

Hoher Schweregrad

Unterlassung der Meldung einer Datenschutzverletzung

Freiheitsstrafe und/oder Geldstrafe bis zu 10.000 BHD

Hoher Schweregrad

Nicht autorisierte grenzueberschreitende Uebermittlung

Freiheitsstrafe und/oder Geldstrafe bis zu 15.000 BHD

Mittlerer Schweregrad

Verweigerung von Betroffenenrechten

Geldstrafe bis zu 5.000 BHD

Mittlerer Schweregrad

Ungenuegend Sicherheitsmassnahmen

Geldstrafe bis zu 10.000 BHD

Mittlerer Schweregrad

Unterlassung der Fuehrung von Aufzeichnungen

Geldstrafe bis zu 3.000 BHD

Wichtig: Strafen koennen sowohl Freiheitsstrafen als auch Geldstrafen umfassen. Gerichte koennen auch die Einstellung rechtswidriger Verarbeitung, Datenloeschung und Veroeffentlichung von Verstoessen anordnen. Die Personal Data Protection Authority fuehrt regelmaessige Audits und Untersuchungen durch.

Compliance-Bewertung starten

Richtlinienvorlagen

Bahrain-PDPL-Richtlinienvorlagen

Zugang zu sofort einsetzbaren Datenschutz-Richtlinienvorlagen, die an den Anforderungen des Bahrain PDPL ausgerichtet sind

Kernrichtlinien

• Datenschutzrichtlinien-Vorlage
• Auftragsverarbeitungsvertrag
• Einwilligungsverwaltungsrichtlinie
• Datenaufbewahrungsrichtlinie
• Datenschutzhinweis-Vorlage
• Cookie-Richtlinie
+ 5 weitere Richtlinien

Rechte & Verfahren

• Verfahren fuer Betroffenenrechte
• Auskunftsverfahren
• Berichtigungsverfahren
• Loeschverfahren
• Widerspruchsbearbeitung
• Verfahren zur Datenuebertragbarkeit
+ 4 weitere Verfahren

Sicherheit & Compliance

• Datensicherheitsrichtlinie
• Verfahren zur Meldung von Datenschutzverletzungen
• Richtlinie fuer grenzueberschreitende Uebermittlungen
• DSB-Satzungsvorlage
• Due-Diligence-Pruefung Dritter
• PDPA-Audit-Vorbereitung
+ 3 weitere Richtlinien

Alle Richtlinienvorlagen durchsuchen

Wie sich das Bahrain PDPL vergleicht

Die Beziehung zwischen dem Bahrain PDPL und anderen wichtigen Datenschutzgesetzen verstehen

Aspekt	Bahrain PDPL	DSGVO	Saudi PDPL
Geltungsbereich	Verarbeitung personenbezogener Daten in Bahrain	Daten von EU-Einwohnern weltweit	Verarbeitung personenbezogener Daten in Saudi-Arabien
Rechtsstatus	Gesetz Nr. 30 von 2018 (verbindlich)	EU-Verordnung 2016/679 (verbindlich)	Koenigliches Dekret M/19 (verbindlich)
Inkrafttreten	1. August 2019	25. Mai 2018	14. September 2023
Strafen	Bis zu 20.000 BHD + Freiheitsstrafe	Bis zu 20 Mio. EUR oder 4 % des Umsatzes	Bis zu 3 Mio. SAR
DSB-Anforderung	Erforderlich fuer bestimmte Verantwortliche	Erforderlich fuer Behoerden/Grossverarbeitung	Erforderlich fuer bestimmte Einrichtungen
Meldung bei Datenschutzverletzung	Benachrichtigung an Behoerde und Betroffene	72 Stunden an Behoerde, Betroffene benachrichtigen	Innerhalb von 72 Stunden an Behoerde
Grenzueberschreitende Uebermittlungen	Angemessenheitsentscheidung oder Schutzmassnahmen erforderlich	Angemessenheitsentscheidung oder geeignete Schutzmassnahmen	Angemessenheitsbewertung oder genehmigter Mechanismus
Einwilligungsalter	Elterliche Einwilligung fuer Minderjaehrige unter 18	16 Jahre (EU-Mitgliedstaaten koennen auf 13 senken)	Elterliche Einwilligung fuer Minderjaehrige
Aufsichtsbehoerde	Personal Data Protection Authority	Nationale Datenschutzbehoerden	Saudi Data & AI Authority (SDAIA)

Profi-Tipp: Organisationen, die im gesamten GCC taetig sind, sollten einheitliche Compliance-Programme implementieren.Saudi PDPL,UAE PDPL undKatar PIPLteilen aehnliche Grundsaetze mit dem Bahrain PDPL.

Mehrfachgerichtsbarkeits-Compliance besprechen

Haeufig gestellte Fragen

Haeufige Fragen zur Bahrain-PDPL-Compliance

Das Bahrain Personal Data Protection Law (PDPL) ist das Gesetz Nr. 30 von 2018, das am 1. August 2019 in Kraft trat. Es reguliert die Verarbeitung personenbezogener Daten in Bahrain und legt Datenschutzrechte fuer Einzelpersonen fest. Das Gesetz wird von der Personal Data Protection Authority unter dem Ministerium fuer Justiz, Islamische Angelegenheiten und Waqf beaufsichtigt. Besuchen Sie die offizielle PDPA-Website fuer vollstaendige Details.

Das Bahrain PDPL gilt fuer jede Organisation, die personenbezogene Daten in Bahrain verarbeitet, unabhaengig davon, ob die Organisation in Bahrain ansaessig ist. Dies umfasst Verantwortliche, Auftragsverarbeiter und auslaendische Einrichtungen, die Waren oder Dienstleistungen fuer Einwohner Bahrains anbieten. Sowohl oeffentliche als auch private Organisationen muessen die Vorschriften einhalten.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natuerliche Person beziehen. Dies umfasst Namen, Identifikationsnummern, Standortdaten, Online-Kennungen und Faktoren der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitaet. Besondere Kategorien sensibler Daten (Gesundheit, biometrisch, rassische Herkunft, religioese Ueberzeugungen) haben zusaetzlichen Schutz.

Die Einwilligung ist eine von mehreren Rechtsgrundlagen fuer die Verarbeitung personenbezogener Daten nach Artikel 5. Die Verarbeitung ist auch rechtmaessig, wenn sie fuer die Vertragsdurchfuehrung, die Einhaltung gesetzlicher Verpflichtungen, den Schutz lebenswichtiger Interessen, Aufgaben im oeffentlichen Interesse oder berechtigte Interessen (ausser bei Kinderdaten) erforderlich ist. Die Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein. Fuer sensible Daten ist eine ausdrueckliche Einwilligung erforderlich.

Artikel 21 verlangt von Verantwortlichen, die Personal Data Protection Authority unverzueglich ueber Datenschutzverletzungen zu informieren. Wenn die Verletzung voraussichtlich ein hohes Risiko fuer die Rechte und Freiheiten der Betroffenen mit sich bringt, muss der Verantwortliche auch die betroffenen Personen direkt benachrichtigen. Die Benachrichtigung sollte die Art der Verletzung, wahrscheinliche Folgen und ergriffene Abhilfemassnahmen enthalten.

Artikel 22 verlangt von bestimmten Verantwortlichen die Ernennung eines Datenschutzbeauftragten (DSB). Dies umfasst oeffentliche Stellen, Einrichtungen, deren Kerntaetigkeiten eine umfangreiche systematische Ueberwachung umfassen, oder eine umfangreiche Verarbeitung sensibler Daten. Der DSB muss ueber Expertenwissen im Datenschutzrecht und in der Praxis verfuegen und unabhaengig taetig sein.

Artikel 19 beschraenkt grenzueberschreitende Datenuebermittlungen. Uebermittlungen sind in Laender mit angemessenem Datenschutzniveau (wie von der Personal Data Protection Authority festgestellt) oder bei geeigneten Schutzmassnahmen wie verbindlichen Unternehmensregeln, Standardvertragsklauseln oder genehmigten Verhaltenskodizes zulaessig. Eine spezifische Einwilligung kann Uebermittlungen unter bestimmten Umstaenden ebenfalls rechtfertigen.

Das Bahrain PDPL teilt viele Grundsaetze mit der DSGVO, einschliesslich Rechtmaessigkeit, Transparenz, Zweckbindung, Datenminimierung und Sicherheit. Wesentliche Unterschiede umfassen den territorialen Geltungsbereich (Bahrain vs. EU), Strafhoehe (bis zu 20.000 BHD vs. bis zu 20 Mio. EUR/4 % des Umsatzes) und einige verfahrensmaessige Unterschiede bei Fristen fuer die Meldung von Datenschutzverletzungen und DSB-Ernennungsanforderungen. Organisationen, die in beiden Rechtsordnungen taetig sind, sollten ihre Compliance-Programme aufeinander abstimmen.

Das Bahrain PDPL sieht je nach Verstoss sowohl Freiheitsstrafen als auch Geldstrafen vor. Strafen koennen bis zu 20.000 BHD fuer schwerwiegende Verstoesse wie Verarbeitung ohne Rechtsgrundlage oder nicht autorisierte grenzueberschreitende Uebermittlungen erreichen. Die Unterlassung der Meldung von Datenschutzverletzungen kann zu Geldstrafen bis zu 10.000 BHD fuehren. Gerichte koennen auch die Einstellung rechtswidriger Verarbeitung und Datenloeschung anordnen.

Artikel 6 verlangt, dass personenbezogene Daten nur so lange aufbewahrt werden, wie es fuer die Zwecke erforderlich ist, fuer die sie erhoben wurden. Organisationen muessen Aufbewahrungsfristen auf der Grundlage gesetzlicher Anforderungen, vertraglicher Verpflichtungen und berechtigter Geschaeftsbeduerfnisse festlegen. Daten muessen sicher geloescht oder anonymisiert werden, wenn sie nicht mehr benoetigt werden, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.

Artikel 6 schreibt angemessene technische und organisatorische Sicherheitsmassnahmen zum Schutz personenbezogener Daten gegen unbefugten Zugriff, Zerstoerung, Verlust, Veraenderung oder Offenlegung vor. Erforderliche Massnahmen haengen von Art und Risiken der Verarbeitung ab, umfassen aber typischerweise Verschluesselung, Zugriffskontrollen, Pseudonymisierung, regelmaessige Sicherheitstests und Verfahren zur Vorfallreaktion.

Das Bahrain PDPL ist Teil einer breiteren GCC-Bewegung hin zu umfassendem Datenschutz. Aehnliche Gesetze gibt es in Saudi-Arabien (PDPL), den VAE (PDPL) und Katar (PIPL). Diese Gesetze teilen gemeinsame Grundsaetze, unterscheiden sich aber in Geltungsbereich, Strafen und spezifischen Anforderungen. Organisationen, die im gesamten GCC taetig sind, sollten einheitliche Compliance-Programme implementieren, die alle anwendbaren Gesetze adressieren.

Ja, VerifyWise bietet dedizierte Bahrain-PDPL-Compliance-Module, einschliesslich Inventar personenbezogener Daten, Einwilligungsverwaltung, Workflows fuer Betroffenenrechte, Verfahren zur Meldung von Datenschutzverletzungen und Dokumentation grenzueberschreitender Uebermittlungen. Unsere Plattform ordnet Kontrollen spezifischen PDPL-Artikeln zu und erstellt Nachweise fuer regulatorische Audits und Anfragen der Personal Data Protection Authority.

Bereit fuer die Bahrain-PDPL-Compliance?

Starten Sie Ihre Compliance-Reise mit unserer gefuehrten Bewertung und Implementierungstools, die an Bahrains Personal Data Protection Law ausgerichtet sind.

Compliance-Bewertung starten Beratung vereinbaren