Sie sind ein ausländisches Unternehmen, das in Deutschland investieren möchte?

Rechtsbericht Saudi-Arabien Datenschutz, Datensicherheit

Saudi-Arabien setzt neues Datenschutzrecht in Kraft

Das saudi-arabische Datenschutzrecht ähnelt in vielen Punkten dem der Europäischen Union. Trotz dieser Gemeinsamkeiten überwiegen die Unterschiede jenseits des Datenschutzes.

Von Sherif Rohayem | Bonn

Am 14. September 2024 endete die einjährige Schonfrist und die saudi-arabische Datenschutzverordnung (DSchVO) ist nach mehreren Verzögerungen in Kraft getreten. 

Grundsätzliches Verbot der Datenverarbeitung in Saudi-Arabien

Wie in der Datenschutzgrundverordnung (DSGVO) der Europäischen Union ist die Verarbeitung personenbezogener Daten im saudischen Datenschutzrecht als Verbot mit Ausnahmevorbehalt ausgestaltet. Folglich ist in Saudi-Arabien die Verarbeitung personenbezogener Daten grundsätzlich verboten, es sei denn eine Verarbeitung ist gesetzlich erlaubt. 

Der wichtigste Fall einer solchen Erlaubnis ist die (widerrufliche) Einwilligung der betroffenen Person gemäß Art. 5 DSchVO. Dazu listet Art. 6 DSchVO Tatbestände auf, die einer verantwortlichen Stelle (Controller) die Verarbeitung personenbezogener Daten auch ohne Einwilligung gestatten. 

Unbestimmte Rechtsbegriffe sorgen für Rechtsunsicherheit

Für die betriebliche Praxis ist der Tatbestand des „berechtigten Interesses“ am relevantesten. Danach dürfen personenbezogene Daten auch ohne Einwilligung des Betroffenen verarbeitet werden, wenn unter Berücksichtigung der Rechte der betroffenen Person die Verantwortliche ein berechtigtes Interesse für die Datenverarbeitung hat. Folglich läuft die Frage der Zulässigkeit auf eine Interessensabwägung ab. Diese Abwägung ist gegenwärtig besonders schwer, da weder eine gefestigte behördliche Praxis der zuständigen Behörde noch Rechtsprechung existieren. 

Bis zu den ersten Entscheidungen wird das saudische Datenschutzrecht für einige Rechtsunsicherheit sorgen. Geht es dagegen um besondere Kategorien personenbezogener Daten im Sinne des Art. 1 Nr. 12 DSchVO, liegen die Dinge auf der Hand: Solche Daten dürfen niemals ohne Einwilligung verarbeitet werden.    

Datenexport aus dem Königreich steht unter Vorbehalt 

Wie das EU-Recht verlangt auch die DSchVO im Falle einer Datenübermittlung ins Ausland, dass neben den allgemeinen Bedingungen einer Datenverarbeitung zusätzliche Voraussetzungen erfüllt werden. Gibt es also eine Einwilligung nach Art. 5 DSchVO oder greift ein Erlaubnistatbestand nach Art. 6 DSchVO, muss in einem zweiten Schritt geprüft werden, ob diese Datenverarbeitung auch außerhalb des Königreiches erlaubt ist. Art. 29 DSchVO regelt hierfür die Voraussetzungen. 

Zunächst muss der Verantwortliche mit dem Datenexport einen legitimen Zweck verfolgen. Art. 29 DSchVO listet die legitimen Zwecke auf, die mit einer grenzüberschreitenden Datenübermittlung verfolgt werden dürfen. Zulässige Zwecke sind neben nationalen Interessen die Erfüllung einer Verpflichtung gegenüber dem Betroffenen. Weitere Zwecke listet Art. 2 der Durchführungsverordnung zur grenzüberschreitenden Datenübermittlung:  

  • Die Erbringung einer Dienstleistung für den Betroffenen oder die Gewährung eines Vorteils zugunsten des Betroffenen; 
  • die Durchführung wissenschaftlicher Studien oder
  • wenn mit dem Datenexport Maßnahmen der zentralen Datenverarbeitung durchgeführt werden, die notwendig sind, damit der Verantwortliche seine Aktivitäten ausüben kann.

Der letztgenannte Zweck meint im unternehmerischen Zusammenhang wohl jene Fallgruppen, in denen Betriebe etwa ihre Personal- oder Kundenverwaltung oder ihre Buchhaltung an einen anderen Betrieb oder Betriebsteil auslagern.        

Gibt es einen legitimen Zweck ist ein Datenexport zulässig, wenn das Zielland ein angemessenes Datenschutzniveau hat, das dem saudi-arabischen ähnlich ist. Wie im Datenschutzrecht der EU bedarf es hierfür eines Angemessenheitsbeschlusses. Gegenwärtig führt Saudi-Arabien noch keine Liste der Länder mit angemessenem Datenschutzlevel. Insofern kommt es für die Zulässigkeit des Datenexports darauf an, ob der Verantwortliche eine der in Art. 4 Abs. 1 der Durchführungsverordnung zur grenzüberschreitenden Datenübermittlung gelisteten Schutzvorkehrungen trifft. Diese Schutzvorkehrungen, sogenannte geeignete Maßnahmen, sind die folgenden: 

  • Standardschutzklauseln der Saudi Data & AI Authority (SDAIA),
  • verbindliche interne Datenschutzvorschriften und
  • Datenschutzzertifikate akkreditierter Stellen.

Kein Angemessenheitsbeschluss für Saudi-Arabien trotz neuem Datenschutzrecht

Für den umgekehrten Fall, also des Datentransfers aus der EU in das Königreich, gilt die EU-DSGVO. Nach Art. 45 DSGVO ist ein Datenexport in ein Drittland zulässig, wenn die Europäische Kommission einen Angemessenheitsbeschluss zugunsten des Ziellandes erlassen hat. Ein solcher Angemessenheitsbeschluss für Saudi-Arabien ist absehbar nicht zu erwarten. Allerdings könnte wegen der DSchVO der Datenexport aus EU-Ländern in das Königreich auf der Basis geeigneter Garantien erleichtert werden. Wegen des Schrems II-Urteils des Europäischen Gerichtshofes vom 16.7.2020 muss auch bei der Verwendung geeigneter Garantien geprüft werden, ob etwa eine Standardschutzklausel in einem Land wie Saudi-Arabien wirksam ist. Nachdem das Königreich nun ein modernes Datenschutzrecht nach EU-Vorbild in Kraft gesetzt hat, ließe sich die Frage nach der Wirksamkeit europäischer Standardschutzklauseln in Saudi-Arabien mit "ja" beantworten. Eine solche Rechtsauffassung würde den Export personenbezogener Daten nach Saudi-Arabien erleichtern und damit einen Beitrag leisten, das Land zu einem attraktiveren Investitionsstandort zu machen.

Zum Thema:

nach oben
Feedback
Anmeldung

Bitte melden Sie sich auf dieser Seite mit Ihren Zugangsdaten an. Sollten Sie noch kein Benutzerkonto haben, so gelangen Sie über den Button "Neuen Account erstellen" zur kostenlosen Registrierung.