Bestellung von Datenschutzbeauftragten in Saudi-Arabien: Neue Anforderungen der SDAIA
Mit der Veröffentlichung der Durchführungsbestimmungen zum Personal Data Protection Law (PDPL) durch den Verwaltungsbeschluss Nr. 1516/1445 und der anschließenden Bekanntmachung ergänzender Regeln zur Bestellung von Datenschutzbeauftragten (Data Protection Officers, DPO) durch die Saudi Data and Art.ficial Intelligence Authority (SDAIA) wurde ein zentraler Baustein des saudischen Datenschutzrechts konkretisiert. Während Art. 30 Abs. 2 PDPL bereits die grundsätzliche Möglichkeit vorsah, datenverarbeitende Stellen zur Bestellung eines oder mehrerer Verantwortlicher für Datenschutzbelange zu verpflichten, schaffen die nun erlassenen untergesetzlichen Regelwerke erstmals Klarheit über die genauen Voraussetzungen, Aufgaben und Anforderungen an die Position des DPO im saudischen Recht.
Voraussetzungen für die Bestellpflicht
Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich aus einer risikobasierten Betrachtung der Datenverarbeitungstätigkeit. Sie gilt insbesondere für Organisationen, deren Kerntätigkeit in der systematischen und umfangreichen Verarbeitung personenbezogener Daten besteht. Dies umfasst beispielsweise digitale Plattformbetreiber, Finanzdienstleister, Gesundheitsdienstleister oder andere datengetriebene Geschäftsmodelle. Darüber hinaus sind auch solche Stellen zur Bestellung eines DPO verpflichtet, die besonders schützenswerte Kategorien personenbezogener Daten verarbeiten, wie etwa Gesundheitsdaten, biometrische Merkmale, genetische Informationen oder religiöse Überzeugungen. Auch öffentliche Stellen und Behörden unterliegen regelmäßig der Bestellpflicht. Schließlich sieht die SDAIA in Art. 40 der Durchführungsbestimmungen die Möglichkeit vor, datenverarbeitende Organisationen im Einzelfall zur Benennung eines DPO zu verpflichten, sofern aus Sicht der Aufsichtsbehörde ein erhöhtes Risiko für die Rechte und Freiheiten der betroffenen Personen vorliegt. Die gesetzliche Grundlage dieser Eingriffsbefugnis findet sich in Art. 30 Abs. 2 PDPL, der der SDAIA ausdrücklich erlaubt, die Voraussetzungen für eine solche Bestellpflicht durch ergänzende Regelungen zu konkretisieren.
Anforderungen an Qualifikation und Unabhängigkeit
Die Durchführungsbestimmungen formulieren auch konkrete Anforderungen an die Person des Datenschutzbeauftragten. So muss der DPO über einschlägige Fachkenntnisse im Bereich des Datenschutzrechts und der Datenschutzpraxis verfügen. Neben einem tiefen Verständnis des PDPL und seiner Durchführungsbestimmungen werden auch Kenntnisse internationaler Standards – insbesondere der EU-Datenschutz-Grundverordnung – sowie Erfahrung im Bereich der Datensicherheit und IT-Compliance erwartet. Der DPO kann sowohl intern aus dem Unternehmen selbst als auch extern bestellt werden, etwa durch eine spezialisierte Beratungsgesellschaft. In jedem Fall ist sicherzustellen, dass der Datenschutzbeauftragte seine Aufgaben unabhängig und ohne Interessenkonflikte wahrnehmen kann. Dies umfasst insbesondere organisatorische Maßnahmen, die eine Weisungsfreiheit sowie eine direkte Berichtslinie zur Geschäftsführung oder zu einem vergleichbar hochrangigen Organ gewährleisten. Art. 43 und 44 der Durchführungsbestimmungen betonen ausdrücklich die Schutzfunktion des DPO und seine Rolle als interne Kontrollinstanz in datenschutzrechtlicher Hinsicht.
Aufgabenbereich und Stellung des DPO
Der DPO ist in mehrfacher Hinsicht in die datenschutzrechtliche Governance des Unternehmens eingebunden. Er überwacht die Einhaltung des PDPL sowie aller ergänzenden Vorschriften und sorgt für deren praktische Umsetzung innerhalb der Organisation. Zu seinen Aufgaben zählt insbesondere die Beratung der Unternehmensleitung bei datenschutzrechtlichen Fragestellungen, die Begleitung von Datenschutz-Folgenabschätzungen bei risikobehafteten Verarbeitungsvorgängen, die Schulung der Mitarbeitenden sowie die Kommunikation mit der Aufsichtsbehörde SDAIA. Letzteres umfasst auch die Mitwirkung bei behördlichen Prüfungen und Auskunftsersuchen. Der DPO fungiert damit als zentraler Ansprechpartner sowohl innerhalb des Unternehmens als auch gegenüber externen Stellen. Art. 44 PDPL konkretisiert diese Rolle, indem es dem DPO eine koordinierende und beratende Funktion zuweist, die über rein formale Aufgaben hinausgeht. Es handelt sich somit nicht um eine symbolische Rolle, sondern um eine strategische Funktion im datenschutzrechtlichen Risikomanagement.
Organisatorische Einbindung und Ressourcen
Besondere Aufmerksamkeit widmen die Regelungen der organisatorischen Einbindung des DPO. Art. 45 der Durchführungsbestimmungen verpflichtet datenverarbeitende Stellen dazu, dem DPO alle erforderlichen Mittel zur Verfügung zu stellen, um seine Aufgaben wirksam erfüllen zu können. Dies umfasst sowohl personelle und technische Ressourcen als auch einen uneingeschränkten Zugang zu allen relevanten Informationen. Der Datenschutzbeauftragte muss frühzeitig in sämtliche datenbezogenen Entscheidungsprozesse eingebunden werden, um präventiv Einfluss nehmen zu können. Unternehmen müssen daher sicherstellen, dass der DPO nicht lediglich als Reaktion auf datenschutzrechtliche Vorfälle eingebunden wird, sondern proaktiv in Projektstrukturen und Entscheidungsabläufe integriert ist.
Sanktionen bei Verstößen gegen die Bestellpflicht
Die Nichteinhaltung der Pflicht zur Benennung eines Datenschutzbeauftragten oder eine mangelhafte Umsetzung der damit verbundenen organisatorischen Anforderungen kann empfindliche rechtliche Konsequenzen nach sich ziehen. Art. 41 PDPL sowie die ergänzenden Sanktionstatbestände in der Executive Regulation sehen vor, dass Verstöße gegen die Vorschriften zur DPO-Bestellung mit Geldbußen von bis zu fünf Millionen Saudi-Riyal geahndet werden können – umgerechnet etwa 1,2 Millionen Euro. In besonders schweren Fällen oder bei wiederholten Verstößen kann die Strafe nach Ermessen der SDAIA verdoppelt werden. Darüber hinaus ist die Behörde ermächtigt, zusätzliche verwaltungsrechtliche Maßnahmen zu verhängen, etwa die vorübergehende Einschränkung der Verarbeitungstätigkeit, die Verpflichtung zur öffentlichen Benennung des Verstoßes oder – im äußersten Fall – die Anordnung der Löschung unrechtmäßig verarbeiteter personenbezogener Daten. Diese strengen Sanktionen unterstreichen den verbindlichen Charakter der neuen Vorgaben und die wachsende Bedeutung des Datenschutzes im saudischen Recht.
Fazit und rechtliche Bewertung
Mit den neuen Regelungen zur Bestellung von Datenschutzbeauftragten konkretisiert die SDAIA eine der zentralen Governance-Komponenten des PDPL. Die Anforderungen orientieren sich erkennbar an internationalen Standards, insbesondere an den Strukturen der EU-Datenschutz-Grundverordnung, werden jedoch im Lichte der lokalen Besonderheiten des saudischen Rechtsraums weiterentwickelt. Unternehmen im Königreich sind nunmehr verpflichtet, ihre internen Datenschutzstrukturen auf diese neuen Anforderungen hin zu überprüfen. Die Bestellung eines DPO ist nicht länger nur eine theoretische Option, sondern – je nach Risikoprofil – eine klare gesetzliche Pflicht. Verstöße gegen die Bestellvorgaben oder eine unzureichende Umsetzung der organisatorischen Anforderungen können empfindliche Sanktionen nach sich ziehen. Insofern ist die Benennung eines qualifizierten und strukturell eingebundenen Datenschutzbeauftragten nicht nur ein Mittel zur Erfüllung gesetzlicher Pflichten, sondern ein wesentlicher Beitrag zur rechtskonformen, verantwortungsbewussten und vertrauensfördernden Verarbeitung personenbezogener Daten im saudischen Rechtsraum.
