Saudisches Datenschutzgesetz

Leitfaden zur Einhaltung des saudischen PDPL

Das saudische Personal Data Protection Law legt umfassende Datenschutzpflichten fuer Organisationen fest, die personenbezogene Daten in KSA verarbeiten. Mit vollstaendiger Durchsetzung seit September 2024 helfen wir Ihnen, die Compliance mit klaren Prozessen und pruefbereiter Dokumentation zu erreichen.

Compliance-Bewertung startenBeratung buchen

Was ist das saudische PDPL?

Das saudische Personal Data Protection Law (PDPL) ist die umfassende Datenschutzverordnung des Koenigreichs, erlassen durch Koenigliches Dekret M/19 von 2021. Durchfuehrungsverordnungen wurden im September 2023 erlassen, mit vollstaendiger Durchsetzung ab dem 14. September 2024.

Warum das jetzt wichtig ist: Das PDPL ist mit SDAIA vollstaendig durchsetzbar, die Compliance-Audits und Untersuchungen durchfuehrt. Organisationen drohen Geldbussen bis zu SAR 5 Millionen und moegliche strafrechtliche Sanktionen bei Verstoessen. Fruehe Compliance zeigt Engagement fuer den Datenschutz.

Regulierungsbehoerde

SDAIA / NDMO-Aufsicht

Durchsetzung

Aktiv seit Sep. 2024

Regional taetig? Beruecksichtigen Sie die Compliance mit Bahrain PDPL, Katar PDPL und VAE PDPL.

Wer muss die Vorschriften einhalten?

Organisationen in Saudi-Arabien

Alle Einrichtungen, die personenbezogene Daten im KSA-Gebiet verarbeiten

Verarbeiter von Daten saudischer Einwohner

Organisationen ausserhalb der KSA, die Daten saudischer Einwohner verarbeiten

Regierungsbehoerden

Oeffentliche Einrichtungen, die Buergerdaten verarbeiten

Privatunternehmen

Unternehmen, die Kunden- oder Mitarbeiterdaten erheben

Gesundheitsdienstleister

Medizinische Einrichtungen, die Patienteninformationen verarbeiten

Finanzinstitute

Banken und Fintechs, die Finanzdaten verarbeiten

Wie VerifyWise die Einhaltung des saudischen PDPL unterstuetzt

Dedizierte Funktionen fuer jede PDPL-Anforderung

Inventarisierung und Zuordnung personenbezogener Daten

Fuehren Sie umfassende Verzeichnisse der Verarbeitungstaetigkeiten mit Datenkategorien, Zwecken, Rechtsgrundlagen und Aufbewahrungsfristen. Die Plattform strukturiert Ihr Dateninventar zum Nachweis der PDPL-Compliance und zur Beantwortung von SDAIA-Anfragen.

Adressiert: Artikel 7 (Verarbeitungsverzeichnisse), Artikel 4 (Zweckbindung)

Verwaltung der Betroffenenrechte

Verfolgen Sie Auskunfts-, Berichtigungs-, Loeschungs- und Uebertragbarkeitsanfragen mit Pruefpfaden und reagieren Sie darauf. Die Plattform gewaehrleistet fristgerechte Antworten innerhalb der PDPL-Fristen und pflegt Compliance-Nachweise.

Adressiert: Artikel 5-11 (Betroffenenrechte), Artikel 27 (Antwortfristen)

Sicherheits- und Vertraulichkeitskontrollen

Dokumentieren Sie technische und organisatorische Massnahmen zum Schutz personenbezogener Daten. Die Plattform pflegt Nachweise ueber Sicherheitskontrollen, Verfahren zur Vorfallreaktion und Workflows zur Meldung von Verletzungen gemaess den PDPL-Anforderungen.

Adressiert: Artikel 22 (Sicherheit), Artikel 23 (Meldung von Verletzungen)

Verfolgung grenzueberschreitender Uebermittlungen

Registrieren Sie internationale Datenuebermittlungen mit Angemessenheitsbewertungen und SDAIA-Genehmigungsverfolgung. Die Plattform dokumentiert Uebermittlungsmechanismen, Schutzmassnahmen und pflegt erforderliche Genehmigungen.

Adressiert: Artikel 32 (Internationale Uebermittlungen), Artikel 33 (Angemessener Schutz)

Einwilligungs- und Rechtsgrundlagendokumentation

Verfolgen Sie Einwilligungserteilungen, Widerrufe und alternative Rechtsgrundlagen fuer die Verarbeitung. Die Plattform pflegt Nachweise ueber gueltige Einwilligungen und Rechtsgrundlagen fuer jede Verarbeitungstaetigkeit.

Adressiert: Artikel 6 (Einwilligungsanforderungen), Artikel 12 (Rechtsgrundlagen)

DSB-Ernennung und Governance

Verwalten Sie DSB-Ernennungsanforderungen, Governance-Strukturen und Rechenschaftsrahmenwerke. Die Plattform verfolgt Compliance-Verantwortlichkeiten und pflegt organisatorische Richtlinien gemaess PDPL.

Adressiert: Artikel 17 (DSB-Ernennung), Artikel 29 (Rechenschaftspflicht)

Alle Compliance-Aktivitaeten werden mit Zeitstempeln, verantwortlichen Personen und Genehmigungsworkflows verfolgt. Dieser Pruefpfad demonstriert systematische Compliance fuer SDAIA-Anfragen und Durchsetzungsmassnahmen.

Vollstaendige PDPL-Anforderungsabdeckung

VerifyWise bietet dedizierte Tools fuer alle wesentlichen PDPL-Pflichten

26

PDPL-Kontrollanforderungen

26

Kontrollen mit dedizierten Tools

100%

Abdeckung aller Anforderungen

Rechtmaessigkeit & Transparenz8/8

Rechtsgrundlage, Einwilligung, Transparenzhinweise

Betroffenenrechte7/7

Auskunft, Berichtigung, Loeschung, Uebertragbarkeit

Grenzueberschreitende Uebermittlungen5/5

Angemessener Schutz, SDAIA-Genehmigung

Sicherheit & Vertraulichkeit6/6

Technische, organisatorische Schutzmassnahmen

Entwickelt fuer die Einhaltung des saudischen PDPL

SDAIA-bereite Dokumentation

Nachweispakete fuer Audits und Anfragen

Automatisierung der Betroffenenrechte

30-Tage-Fristenverfolgung mit Pruefpfaden

Verfolgung grenzueberschreitender Uebermittlungen

Angemessenheitsbewertungen und SDAIA-Genehmigungsworkflows

Multi-Jurisdiktions-Zuordnung

Zuordnung zu GCC- und internationalen Datenschutzgesetzen

Acht zentrale PDPL-Grundsaetze

Grundlegende Prinzipien fuer die rechtmaessige Verarbeitung personenbezogener Daten

Rechtmaessigkeit

Personenbezogene Daten duerfen nur auf den im PDPL festgelegten gueltigen Rechtsgrundlagen verarbeitet werden.

Kernanforderungen

  • • Gueltige Rechtsgrundlage
  • • Dokumentierte Begruendung
  • • Zweckausrichtung

Transparenz

Betroffenen muessen klare Informationen ueber die Datenverarbeitung bereitgestellt werden.

Kernanforderungen

  • • Datenschutzhinweise
  • • Einfache Sprache
  • • Zugaengliche Informationen

Zweckbindung

Daten fuer spezifische, ausdrueckliche Zwecke erheben und Sekundaernutzung vermeiden.

Kernanforderungen

  • • Definierte Zwecke
  • • Keine Zweckentfremdung
  • • Zweckdokumentation

Datenminimierung

Erhebung auf das fuer die angegebenen Zwecke notwendige Mass beschraenken.

Kernanforderungen

  • • Erforderlichkeitspruefung
  • • Verhaeltnismaessige Erhebung
  • • Regelmaessige Ueberpruefung

Richtigkeit

Sicherstellen, dass personenbezogene Daten richtig und aktuell gehalten werden.

Kernanforderungen

  • • Richtigkeitspruefung
  • • Aktualisierungsmechanismen
  • • Korrekturverfahren

Speicherbegrenzung

Personenbezogene Daten nur so lange aufbewahren, wie fuer die Zwecke erforderlich.

Kernanforderungen

  • • Aufbewahrungsplaene
  • • Loeschverfahren
  • • Regelmaessige Ueberpruefung

Vertraulichkeit & Sicherheit

Personenbezogene Daten mit angemessenen technischen und organisatorischen Massnahmen schuetzen.

Kernanforderungen

  • • Sicherheitskontrollen
  • • Zugriffsbeschraenkungen
  • • Verschluesselungsstandards

Rechenschaftspflicht

Einhaltung der PDPL-Pflichten nachweisen und Aufzeichnungen fuehren.

Kernanforderungen

  • • Dokumentation
  • • Compliance-Nachweise
  • • Pruefbereitschaft

Betroffenenrechte gemaess PDPL

Sieben umfassende Rechte fuer Einzelpersonen

Recht auf Information

Betroffene muessen klare Informationen ueber die Datenverarbeitung erhalten.

Umsetzung

  • • Datenschutzhinweise bei der Erhebung
  • • Offenlegung des Verarbeitungszwecks
  • • Information ueber Datenempfaenger

Recht auf Auskunft

Personen koennen Zugang zu ihren personenbezogenen Daten verlangen.

Umsetzung

  • • Auskunftsverfahren
  • • 30-Tage-Antwortfrist
  • • Datenuebertragbarkeitsformat

Recht auf Berichtigung

Betroffene koennen die Korrektur unrichtiger Daten verlangen.

Umsetzung

  • • Korrektur-Workflows
  • • Ueberpruefungsverfahren
  • • Benachrichtigung Dritter

Recht auf Loeschung

Personen koennen die Loeschung verlangen, wenn die Rechtsgrundlage entfaellt.

Umsetzung

  • • Loeschverfahren
  • • Pruefung der Rechtsgrundlage
  • • Vollstaendige Loeschung

Recht auf Datenerhalt

Betroffene koennen ihre Daten in einem nutzbaren Format erhalten.

Umsetzung

  • • Strukturierter Datenexport
  • • Maschinenlesbares Format
  • • Option der direkten Uebermittlung

Recht auf Widerruf der Einwilligung

Einfacher Widerruf der Einwilligung ohne Auswirkung auf fruehere Verarbeitungen.

Umsetzung

  • • Widerrufsmechanismen
  • • Gleiche Einfachheit wie bei der Erteilung
  • • Verarbeitungseinstellung

Recht auf Widerspruch gegen automatisierte Entscheidungen

Widerspruch gegen Entscheidungen, die ausschliesslich auf automatisierter Verarbeitung beruhen.

Umsetzung

  • • Option der menschlichen Ueberpruefung
  • • Erklaerung der Logik
  • • Recht auf Anfechtung

Offizielle Ressourcen

SDAIA-Website besuchen →

18-Wochen-Implementierungsfahrplan

Ein praktischer Weg zur Einhaltung des saudischen PDPL mit klaren Meilensteinen

Phase 1Wochen 1-4

Datenerfassung & Lueckenanalyse

  • Alle Verarbeitungstaetigkeiten personenbezogener Daten inventarisieren
  • Rechtsgrundlagen und Zwecke dokumentieren
  • Grenzueberschreitende Datenuebermittlungen identifizieren
  • Aktuelle PDPL-Compliance-Luecken bewerten
Phase 2Wochen 5-8

Governance & Richtlinien

  • DSB ernennen, falls erforderlich
  • PDPL-konforme Richtlinien entwickeln
  • Datenschutzhinweise und Einwilligungsformulare erstellen
  • Verfahren fuer Betroffenenrechte festlegen
Phase 3Wochen 9-14

Sicherheit & Kontrollen

  • Technische Sicherheitsmassnahmen implementieren
  • Organisatorische Schutzmassnahmen etablieren
  • Verfahren zur Meldung von Verletzungen erstellen
  • Nachweise ueber Sicherheitskontrollen dokumentieren
Phase 4Wochen 15-18

Ueberwachung & kontinuierliche Compliance

  • Compliance-Ueberwachung etablieren
  • Mitarbeiter zu PDPL-Pflichten schulen
  • Lieferantenpruefung implementieren
  • Auf SDAIA-Anfragen vorbereiten

Strafen und Durchsetzung

SDAIAs Durchsetzungsbefugnisse und Konsequenzen von Verstoessen verstehen

Verwaltungsgeldbussen

Bis zu SAR 5 Millionen fuer Verstoesse

  • Schweregrad-basierte Strafen
  • Multiplikatoren bei mehrfachen Verstoessen
  • Oeffentliche Bekanntmachung von Verstoessen

Strafrechtliche Sanktionen

Bis zu 2 Jahre Freiheitsstrafe fuer bestimmte Delikte

  • Unrechtmaessige Offenlegung
  • Verarbeitung ohne Rechtsgrundlage
  • Unterlassene Meldung von Verletzungen

Durchsetzungsbehoerde

SDAIA ueber das National Data Management Office

  • Untersuchungsbefugnisse
  • Compliance-Audits
  • Korrekturmassnahmen-Anordnungen

Weitere Konsequenzen

Geschaeftseinschraenkungen und Reputationsschaeden

  • Aussetzung des Geschaeftsbetriebs
  • Oeffentliche Durchsetzungsmitteilungen
  • Verlust des Kundenvertrauens

Aktives Durchsetzungsumfeld

SDAIA ueberwacht die Compliance aktiv durch Audits, Untersuchungen und Beschwerdebearbeitung. Organisationen sollten kontinuierliche Compliance-Bereitschaft mit dokumentierten Nachweisen ueber Datenschutzpraktiken, DSB-Aufsicht (wo erforderlich) und systematische Bearbeitung von Betroffenenrechten aufrechterhalten.

72 Std.

Frist fuer Verletzungsmeldung

30 Tage

Antwort auf Betroffenenrechte

SAR 5 Mio.

Maximale Verwaltungsgeldbusse

Richtlinienvorlagen

Vollstaendige PDPL-Richtliniensammlung

Zugriff auf ueber 25 einsatzbereite Datenschutzrichtlinienvorlagen, die an das saudische PDPL, die DSGVO und andere GCC-Datenschutzgesetze angepasst sind

Kern-Compliance

  • • Datenschutzrichtlinie
  • • Vorlage fuer Datenschutzerklaerung
  • • Einwilligungsverwaltungsrichtlinie
  • • Rechtsgrundlagen-Dokumentation
  • • Verzeichnis der Verarbeitungstaetigkeiten
  • • DSB-Ernennungsurkunde
  • + 3 weitere Richtlinien

Rechte & Uebermittlungen

  • • Verfahren fuer Betroffenenrechte
  • • Auskunftsprozess
  • • Loeschungs- & Berichtigungsrichtlinie
  • • Richtlinie fuer grenzueberschreitende Uebermittlungen
  • • Richtlinie zur Weitergabe an Dritte
  • • Datenuebertragbarkeitsstandards
  • + 2 weitere Richtlinien

Sicherheit & Verletzungen

  • • Datensicherheitsrichtlinie
  • • Reaktionsplan bei Verletzungen
  • • Verfahren zur Vorfallbenachrichtigung
  • • Aufbewahrungs- & Loeschrichtlinie
  • • Lieferantenpruefung
  • • Mitarbeiterschulungsprogramm
  • + 2 weitere Richtlinien
Alle Richtlinienvorlagen durchsuchen

Wie sich das saudische PDPL vergleicht

Das Verhaeltnis zwischen regionalen und internationalen Datenschutzgesetzen verstehen

AspektSaudi PDPLDSGVOBahrain PDPLVAE PDPL
Geltungsbereich
Saudi-Arabien und KSA-EinwohnerEU- und EWR-BetroffeneBahrain und bahrainische EinwohnerVAE und VAE-Einwohner
Durchsetzungsdatum
14. September 202425. Mai 20181. August 20192. Januar 2022
Regulierungsbehoerde
SDAIA / NDMONationale Datenschutzbehoerden / EDPBPDPOTDRA / Lokale Datenschutzbehoerden
Hoechststrafe
SAR 5 Mio. (~$1,3 Mio.)20 Mio. EUR oder 4 % UmsatzBHD 20.000 (~$53.000)AED 5 Mio. (~$1,36 Mio.)
DSB-Anforderung
Risikobasiert (bestimmte Faelle)Risikobasiert (fuer viele verpflichtend)Optional, aber empfohlenRisikobasiert je Emirat
Einwilligungsstandard
Ausdruecklich fuer sensible DatenAusdruecklich fuer sensible DatenAusdruecklich fuer sensible DatenAusdruecklich fuer sensible Daten
Grenzueberschreitende Uebermittlungen
Angemessener Schutz + GenehmigungAngemessenheit oder SchutzmassnahmenPDPO-Benachrichtigung erforderlichAngemessener Schutz erforderlich
Meldung von Verletzungen
72 Stunden an SDAIA72 Stunden an Datenschutzbehoerde72 Stunden an BehoerdeOhne unangemessene Verzoegerung an Behoerde
Am besten geeignet fuer
Geschaeftstaetigkeit im KSA-MarktEU-MarktzugangGeschaeftstaetigkeit in BahrainPraesenz auf dem VAE-Markt

Regionale Geschaefte: Organisationen, die im gesamten GCC-Raum taetig sind, sollten einen einheitlichen Compliance-Ansatz in Betracht ziehen.Bahrain PDPL,Katar PDPL undVAE PDPLteilen aehnliche Prinzipien mit jurisdiktionsspezifischen Besonderheiten.

Multi-Jurisdiktions-Compliance besprechen

Haeufig gestellte Fragen

Haeufige Fragen zur Einhaltung des saudischen PDPL

Das Personal Data Protection Law (PDPL) ist Saudi-Arabiens umfassende Datenschutzverordnung, erlassen durch Koenigliches Dekret M/19 von 2021. Durchfuehrungsverordnungen wurden im September 2023 erlassen, mit vollstaendiger Durchsetzung ab dem 14. September 2024 nach einer Uebergangsfrist. Es wird von der Saudi Data & Artificial Intelligence Authority (SDAIA) durch das National Data Management Office (NDMO) reguliert.
Das PDPL gilt fuer jede Organisation, die personenbezogene Daten innerhalb Saudi-Arabiens verarbeitet oder personenbezogene Daten saudischer Einwohner unabhaengig vom Standort der Organisation verarbeitet. Dies umfasst sowohl Verantwortliche als auch Auftragsverarbeiter und erstreckt sich auf Privatunternehmen, Regierungsbehoerden und internationale Organisationen mit saudischen Geschaeften oder saudischen Kunden.
Die DSB-Ernennung ist fuer Organisationen verpflichtend, deren Kerntaetigkeiten die grossangelegte Verarbeitung sensibler personenbezogener Daten, grossangelegte systematische Ueberwachung oder wie von SDAIA basierend auf einer Risikobewertung bestimmt umfassen. Auch wenn nicht verpflichtend, zeigt die Ernennung eines DSB Engagement fuer die Compliance und gilt als Best Practice.
Verwaltungsgeldbussen koennen je nach Schwere des Verstosses bis zu SAR 5 Millionen ($1,3 Millionen USD) betragen. Bestimmte schwerwiegende Delikte koennen zu strafrechtlichen Sanktionen einschliesslich bis zu 2 Jahren Freiheitsstrafe fuehren. Weitere Konsequenzen umfassen die Aussetzung des Geschaeftsbetriebs, oeffentliche Bekanntmachung von Verstoessen und Reputationsschaeden. SDAIA verfuegt ueber Untersuchungs- und Durchsetzungsbefugnisse zur Sicherstellung der Compliance.
Obwohl von der DSGVO inspiriert, hat das saudische PDPL eigene Anforderungen. Beide erfordern eine rechtmaessige Verarbeitungsgrundlage, Betroffenenrechte und Sicherheitsmassnahmen. Wesentliche Unterschiede umfassen die SDAIA-Genehmigung fuer grenzueberschreitende Uebermittlungen (vs. Angemessenheitsbeschluesse), niedrigere Hoechststrafen und spezifische Bestimmungen im Einklang mit dem saudischen Rechtsrahmen. Organisationen, die in beiden Rechtsordnungen taetig sind, sollten ueberlappende und einzigartige Anforderungen beruecksichtigen.
Grenzueberschreitende Uebermittlungen personenbezogener Daten aus Saudi-Arabien erfordern entweder: (1) Uebermittlung in ein Land mit von SDAIA festgestelltem angemessenem Datenschutzniveau oder (2) ausdrueckliche Genehmigung von SDAIA. Organisationen muessen geeignete Schutzmassnahmen implementieren und die Dokumentation von Uebermittlungsmechanismen, Zielen und Rechtsgrundlagen pflegen.
Organisationen muessen SDAIA innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung personenbezogener Daten benachrichtigen, die Risiken fuer Betroffene birgt. Die Benachrichtigung betroffener Personen ist erforderlich, wenn die Verletzung ein hohes Risiko mit sich bringt. Die Dokumentation aller Verletzungen (ob meldepflichtig oder nicht) muss zum Nachweis der Compliance gefuehrt werden.
Eine typische PDPL-Compliance-Implementierung dauert 4-5 Monate, abhaengig von Organisationsgroesse, Datenverarbeitungskomplexitaet und bestehendem Datenschutz-Reifegrad. Organisationen sollten in den Anfangsphasen die Datenerfassung, DSB-Ernennung falls erforderlich, Richtlinienentwicklung und Verfahren fuer Betroffenenrechte priorisieren.
Das PDPL gewaehrt Betroffenen sieben zentrale Rechte: (1) Recht auf Information, (2) Recht auf Auskunft, (3) Recht auf Berichtigung, (4) Recht auf Loeschung, (5) Recht auf Datenerhalt (Uebertragbarkeit), (6) Recht auf Widerruf der Einwilligung und (7) Recht auf Widerspruch gegen automatisierte Entscheidungen. Organisationen muessen Rechtsanfragen innerhalb von 30 Tagen beantworten und Pruefpfade fuehren.
Das PDPL enthaelt spezifische Bestimmungen fuer automatisierte Entscheidungsfindung und Profiling. Betroffene haben das Recht, Entscheidungen zu widersprechen, die ausschliesslich auf automatisierter Verarbeitung beruhen und rechtliche Auswirkungen haben oder sie erheblich beeintraechtigen. Organisationen muessen Informationen ueber die beteiligte Logik bereitstellen und Optionen zur menschlichen Ueberpruefung anbieten. Fuer umfassende KI-Governance siehe unsere KI-Risikomanagement-Loesungen.
Nein, die Einwilligung ist eine von mehreren Rechtsgrundlagen fuer die Verarbeitung. Das PDPL erkennt mehrere Gruende an, darunter vertragliche Notwendigkeit, rechtliche Verpflichtungen, lebenswichtige Interessen, oeffentliches Interesse und berechtigte Interessen. Fuer die Verarbeitung sensibler personenbezogener Daten (Gesundheit, biometrische, genetische, religioese, politische Daten etc.) ist jedoch eine ausdrueckliche Einwilligung erforderlich. Waehlen Sie die geeignetste Rechtsgrundlage fuer jede Verarbeitungstaetigkeit.
Das saudische PDPL ist Teil eines breiteren GCC-Trends hin zu umfassendem Datenschutz. Organisationen, die regional taetig sind, sollten Bahrain PDPL, Katar PDPL und VAE PDPL beruecksichtigen. Waehrend die Prinzipien uebereinstimmen, hat jedes Gesetz eigene Anforderungen, Durchsetzungsfristen und Regulierungsbehoerden.
Ja, VerifyWise bietet dedizierte Tools fuer die saudische PDPL-Compliance, einschliesslich Verarbeitungsverzeichnissen, Verwaltung der Betroffenenrechte, Einwilligungsverfolgung, Dokumentation grenzueberschreitender Uebermittlungen und Nachweise ueber Sicherheitskontrollen. Unsere Plattform pflegt pruefbereite Dokumentation und hilft Ihnen, die Compliance gegenueber SDAIA bei Anfragen oder Audits nachzuweisen.

Bereit, die Einhaltung des saudischen PDPL zu erreichen?

Starten Sie Ihre Compliance-Reise mit unserer geleiteten Bewertung und Dokumentationstools, die fuer SDAIA-Anforderungen entwickelt wurden.

Compliance-Bewertung startenBeratung planen
Saudi PDPL Compliance Guide | Data Protection | VerifyWise