Klausel (1) Zweck und Geltungsbereich

a. Der Zweck dieser Klauseln ist es, sicherzustellen, dass ein angemessenes Niveau des Schutzes personenbezogener Daten angewendet wird, das dem nach dem Gesetz zum Schutz personenbezogener Daten und seinen Durchführungsbestimmungen geltenden Schutzniveau entspricht, wenn ein angemessenes Niveau des Schutzes personenbezogener Daten außerhalb des Königreichs fehlt, indem die Verpflichtungen der an der Übertragung personenbezogener Daten in ein Land oder eine internationale Organisation beteiligten Parteien festgelegt werden, die kein angemessenes Niveau an Schutz personenbezogener Daten aufweisen. Anlage (1) zeigt die Daten für Datenexporteure und Datenimporteure.

b. Diese Klauseln gelten für die Übertragung personenbezogener Daten, wie in Anlage (2) („Zu übermittelnde oder offengelegte personenbezogene Daten“) angegeben.

Klausel (2) Änderungen und Auswirkungen 

a. Diese Klauseln legen angemessene Sicherheitsvorkehrungen fest, einschließlich des Rechts auf Beschwerde personenbezogener Datensubjekte, und können nicht geändert werden, es sei denn, um die geeignete Vorlage auszuwählen oder Informationen im Anhang hinzuzufügen oder zu aktualisieren.

b. Die Parteien können diese Klauseln in eine umfassende Vereinbarung aufnehmen oder andere Klauseln oder zusätzliche Garantien hinzufügen, sofern sie nicht direkt oder indirekt mit diesen Klauseln in Konflikt stehen oder die Grundrechte der personenbezogenen Datensubjekte verletzen.

c. Diese Klauseln entbinden keine Partei von ihren Verpflichtungen aus dem Gesetz und den Verordnungen, noch beeinträchtigen sie die Bestimmungen der im Königreich geltenden Gesetze und Verordnungen oder die Vereinbarungen, denen das Königreich angehört.

Klausel (3) Rechte personenbezogener Datensubjekte

a. Diese Standardvertragsklauseln gelten unbeschadet der Rechte der personenbezogenen Datensubjekte nach dem Gesetz und den Verordnungen.

b. Personenbezogene Datensubjekte, deren personenbezogene Daten von den Parteien auf der Grundlage dieser Standardvertragsklauseln übertragen werden, können die zuständige Behörde („Saudische Daten- und KI-Behörde“) benachrichtigen, wenn sie von einem Verstoß gegen diese Standardvertragsklauseln Kenntnis erhalten.

Klausel (4) Auslegung

a. Sofern der Kontext nichts anderes anfordert, haben die in diesen Klauseln verwendeten Wörter und Sätze die ihnen in Artikel (1) des Gesetzes zum Schutz personenbezogener Daten vorgegebene Bedeutung, die ihnen in Artikel (1) des durch Königlichen Erlass Nr. (M/19) vom 9.2.1443 AH erlassenen und durch Königlichen Erlass Nr. (M/148) vom 5.9.1444 AH, Artikel (1) der Durchführungsverordnung des PDPL und Artikel (1) der Verordnung über die Übertragung personenbezogener Daten außerhalb des Königreichs zugewiesen wird.

b. Diese Klauseln müssen in Hinblick auf und in Übereinstimmung mit den Bestimmungen des in Absatz (a) dieses Artikels genannten Gesetzes und der Verordnung gelesen und ausgelegt werden und dürfen nicht auf eine andere Weise ausgelegt werden, die mit den Bestimmungen des Gesetzes und der Verordnung unvereinbar ist.

Klausel (5) Konflikt 

Im Falle eines Konflikts zwischen diesen Klauseln und jeder Bestimmung in einer sonstigen Vereinbarung zwischen den Parteien gelten diese Klauseln.

Klausel (6) Details zu Übertragungen

Die Übertragung(en) sowie die Kategorien personenbezogener Daten und die Zwecke der Übertragungen sind im Anhang beschrieben.

Klausel (7) Hinzufügen neuer Parteien

a. Jeder Importeur personenbezogener Daten oder Exporteur personenbezogener Daten, der nicht Partei dieser Standardklauseln ist, kann diesen Standardvertragsklauseln beitreten, indem er die Anlage (1) ausfüllt und unterzeichnet, mit der Zustimmung der bestehenden Parteien. Das beitretende Unternehmen ist entweder der Importeur personenbezogener Daten oder der Exporteur personenbezogener Daten.

b. Sobald Anhang (1) ausgefüllt und unterzeichnet wurde, ist das beitretende Unternehmen Partei dieser Klauseln, und das neu beigetretene Unternehmen muss ab dem Datum des Beitritts die Verantwortlichkeiten in Abhängigkeit von der Art der am oder nach dem Datum des Beitritts aufgetretenen Verarbeitung personenbezogener Daten und Übertragungsvorgänge übernehmen und ist berechtigt, die seiner Rolle entsprechenden Rechte und Verpflichtungen auszuüben, wie in diesen Klauseln definiert.

Klausel (8) Geltendes Recht und Gerichtsstand

Diese Standardvertragsklauseln unterliegen dem anwendbaren Recht des Königreichs Saudi-Arabien. Jeder Streitfall, der sich aus der Anwendung der Bestimmungen dieser Klauseln ergibt, unterliegt der Gerichtsbarkeit des Königreichs und seinen Gerichten. Der Importeur personenbezogener Daten stimmt zu, sich in Bezug auf diese Standardvertragsklauseln dem Gerichtsstand des Königreichs Saudi-Arabien zu unterwerfen.

Klausel (9) Erfüllung der Anfragen der zuständigen Behörde

a. Jede Partei erklärt sich damit einverstanden, allen Anfragen der zuständigen Behörde in Bezug auf diese Standardvertragsklauseln oder die Verarbeitung übertragener personenbezogener Daten nachzukommen.

b. Der Importeur personenbezogener Daten stimmt zu und verpflichtet sich, mit der zuständigen Behörde zusammenzuarbeiten und allen ihren Anfragen und Anforderungen nachzukommen und die erforderlichen Dokumente und Informationen bereitzustellen, um die Einhaltung der Standardvertragsklauseln sicherzustellen.

c. Der Importeur personenbezogener Daten stimmt zu, die von der zuständigen Behörde ergriffenen Maßnahmen einzuhalten, einschließlich Korrekturmaßnahmen und Entschädigung.

Klausel (10) Vergütung

a. Wenn ein Streit zwischen dem personenbezogenen Datensubjekt und einer Partei über die Einhaltung der Standardvertragsklauseln auftritt, wird diese Partei alle erforderlichen Mittel ergreifen, um den Streit mit dem personenbezogenen Datensubjekt gütlich beizulegen, und alle Parteien müssen sich gegenseitig über das Bestehen eines solchen Streitfalls informieren, um sicherzustellen, dass er in Zusammenarbeit miteinander beigelegt wird.

b. Das personenbezogene Datensubjekt kann der zuständigen Behörde jede Beschwerde vorlegen, die sich aus der Anwendung der Bestimmungen dieser Standardvertragsklauseln ergibt, gemäß dem im Gesetz und in der Verordnung festgelegten Verfahren für die Einreichung von Beschwerden.

c. Das personenbezogene Datensubjekt hat das Recht, vor dem zuständigen Gericht eine Entschädigung für materielle oder immaterielle Schäden im Verhältnis zum Umfang des Schadens zu verlangen, der sich aus der Anwendung dieser Standardvertragsklauseln ergibt.

Klausel (11) Sicherheit personenbezogener Daten

a. Alle Parteien müssen die erforderlichen organisatorischen, administrativen und technischen Maßnahmen ergreifen, die sicherstellen, dass der Schutz personenbezogener Daten gegen jeden Verstoß in allen Phasen der Verarbeitung gewahrt wird, einschließlich der Sicherheit personenbezogener Daten während des Übertragungsvorgangs.  Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den aktuellen Stand der Technologie, die Implementierungskosten und die Art der übertragenen personenbezogenen Daten sowie die Art, den Geltungsbereich, den Kontext, die Zwecke, die mit der Verarbeitung der personenbezogenen Daten verbundenen Risiken und berücksichtigen insbesondere die Anwendung der Verschlüsselung oder Anonymisierung, einschließlich während der Übertragung personenbezogener Daten, wenn der Zweck der Datenverarbeitung auf diese Weise erreicht werden kann.

b. Der Exporteur personenbezogener Daten unterstützt den Importeur personenbezogener Daten bei der Erfüllung der erforderlichen Datensicherheitsanforderungen, und im Falle einer Verletzung personenbezogener Daten in Bezug auf die übertragenen personenbezogenen Daten, die vom Exporteur personenbezogener Daten im Rahmen dieser Standardvertragsklauseln verarbeitet werden, muss der Exporteur personenbezogener Daten den Importeur personenbezogener Daten unverzüglich benachrichtigen, nachdem er von einem solchen Verstoß Kenntnis erhalten hat und den Importeur personenbezogener Daten bei der Eindämmung eines solchen Verstoßes unterstützen.

c. Der Datenexporteur stellt sicher, dass die zur Verarbeitung der übertragenen personenbezogenen Daten befugten Personen an die Vertraulichkeit und die Nichtoffenlegung im Rahmen einer angemessenen rechtlichen Verpflichtung zur Vertraulichkeit und Nichtoffenlegung gebunden sind.

Klausel (12) Dauer und Kündigung

a. Wenn der Importeur personenbezogener Daten aus irgendeinem Grund seine Verpflichtungen aus diesen Standardvertragsklauseln nicht erfüllen kann, muss er den Exporteur personenbezogener Daten innerhalb (24) Stunden ab dem Zeitpunkt informieren, an dem er davon Kenntnis erhält.

b. Für den Fall, dass der Importeur personenbezogener Daten gegen diese Standardvertragsklauseln verstößt oder sie nicht einhalten kann, muss der Exporteur personenbezogener Daten die Übertragung personenbezogener Daten an den Importeur personenbezogener Daten unverzüglich einstellen, bis der Importeur personenbezogener Daten seine Rückkehr zur Einhaltung der Vorschriften erneut sicherstellt, sofern dem Importeur personenbezogener Daten eine Frist von (30) Tagen eingeräumt wird, verlängerbar um einen ähnlichen Höchstzeitraum, um seine Fähigkeit zur Einhaltung dieser Klauseln nachzuweisen, und wenn der Zeitraum abläuft, ohne dies zu erreichen, vereinbaren die beiden Parteien, den Vertrag zu kündigen, ohne Verantwortung für den Exporteur personenbezogener Daten oder den Datenverantwortlichen, je nachdem.

c. Der Exporteur personenbezogener Daten oder der Datenverantwortliche muss gegebenenfalls sicherstellen, dass alle zuvor an den Importeur personenbezogener Daten übertragenen personenbezogenen Daten vollständig gelöscht werden, bevor die Standardvertragsklauseln gemäß Absatz (b) oben beendet werden. Er muss auch sicherstellen, dass alle Kopien solcher personenbezogener Daten, die er hat, gelöscht werden.

d. Der Importeur personenbezogener Daten muss die Vernichtung der Daten dokumentieren, und diese Dokumentation muss dem Exporteur personenbezogener Daten oder dem Datenverantwortlichen auf Anfrage bereitgestellt werden.

e. Der Importeur personenbezogener Daten muss weiterhin sicherstellen – bis die Daten zerstört werden –, dass er diese Standardvertragsklauseln einhält.

Klausel (13) Schutz übertragener personenbezogener Daten

Der Exporteur personenbezogener Daten und der Importeur personenbezogener Daten verarbeiten die übertragenen personenbezogenen Daten gemäß der Art und dem Zweck der Übertragung wie folgt:

Klauseln für Datenverantwortliche an Datenverantwortliche

1. Verarbeitungsbeschränkungen

Der Importeur personenbezogener Daten ist verpflichtet, die übertragenen personenbezogenen Daten gemäß den in Anhang (2) aufgeführten Zwecken zu verarbeiten.

2. Erfüllung der Anfragen der zuständigen Behörde

2.1 Die Parteien stellen der zuständigen Behörde auf Anfrage und ohne unangemessene Verzögerung eine Kopie dieser Klauseln zur Verfügung, damit die zuständige Behörde ihre Befugnisse nach dem Gesetz und der Verordnung ausüben kann. Die zuständige Behörde kann alle zusätzlichen Informationen über die Übertragungen personenbezogener Daten anfordern.

2.2 Jede Partei erklärt sich damit einverstanden, allen Anfragen der zuständigen Behörde in Bezug auf diese Klauseln oder die Verarbeitung der übertragenen Daten nachzukommen. 

2.3 Auf Anfrage muss der Importeur personenbezogener Daten (entweder direkt oder über den Exporteur personenbezogener Daten) dem personenbezogenen Datensubjekt seine Identität und Kontaktdaten und die Kategorien personenbezogener Daten, die verarbeitet werden, offenlegen und eine Kopie dieser Elemente bereitstellen.

3. Die Mindestmenge an personenbezogenen Daten, die zur Erfüllung des Zwecks erforderlich sind 

Alle Parteien stellen sicher, dass die übertragenen personenbezogenen Daten ausreichend und auf den Mindestbetrag beschränkt sind, der zur Erfüllung der in Anhang (2) aufgeführten Zwecke erforderlich ist. Wenn eine Partei von einer Übertragung unnötiger personenbezogener Daten Kenntnis erhält, informiert diese Partei die andere(n) Partei(en), sobald sie davon Kenntnis erhält.

4. Aufbewahrung personenbezogener Daten 

Der Importeur personenbezogener Daten muss die übertragenen personenbezogenen Daten aufbewahren, wenn dies zur Erfüllung der in Anhang (2) aufgeführten Zwecke erforderlich ist, sofern der Importeur personenbezogener Daten die übertragenen personenbezogenen Daten ohne unangemessene Verzögerung löscht oder anonymisiert, außer in den folgenden Fällen: 

4.1 Wenn es einer rechtlichen Rechtfertigung nach dem Recht des Königreichs und dem Gesetz zum Schutz personenbezogener Daten und seiner Verordnung entspricht; in diesem Fall werden die Daten nach Ablauf des Zeitraums oder sobald der Zweck für die Erhebung erfüllt wurde, zerstört, je nachdem, welcher Zeitraum länger ist. 

4.2 Wenn die Aufbewahrung der übertragenen personenbezogenen Daten für einen zusätzlichen Zeitraum in direktem Zusammenhang mit einem vor einer Justizbehörde anhängigen Fall steht und eine solche Aufbewahrung für diesen Zweck erforderlich ist, werden die Daten nach Abschluss der Gerichtsverfahren in Bezug auf den Fall zerstört. 

4.3 Wenn die Aufbewahrung der übertragenen personenbezogenen Daten für einen zusätzlichen Zeitraum erforderlich ist, um das Leben des Datensubjekts oder seine lebenswichtigen Interessen zu schützen.

5. Sicherheit personenbezogener Daten und Benachrichtigungen über Verletzungen personenbezogener Daten

Die Parteien stellen sicher, dass die in Anhang (3) aufgeführten organisatorischen, administrativen und technischen Maßnahmen ein ausreichendes Schutzniveau für die übertragenen personenbezogenen Daten bereitstellen, um die Anforderungen des Artikels (19) des Gesetzes und des Artikels (23) der Durchführungsbestimmungen zu erfüllen. 

5.1 Der Importeur personenbezogener Daten muss die in Anhang (3) aufgeführten Sicherheitsmaßnahmen implementieren und diese Maßnahmen auf alle übertragenen personenbezogenen Daten anwenden, um die Sicherheit und den Schutz personenbezogener Daten gegen jeden Verstoß sicherzustellen, der zu einem Schaden für das personenbezogene Datensubjekt, unrechtmäßigen Handlungen, Verlust, Änderung, Offenlegung personenbezogener Daten oder unbefugtem Zugriff führen kann.

5.2 Der Importeur personenbezogener Daten muss die in Anhang (3) aufgeführten Sicherheitsmaßnahmen regelmäßig überprüfen, um sicherzustellen, dass sie wie erforderlich implementiert werden, und sie bei Bedarf aktualisieren, um die Einhaltung von Artikel (19) des Gesetzes und Artikel (23) der Durchführungsbestimmungen sicherzustellen. 

5.3 Wenn der Importeur personenbezogener Daten von einem Vorfall einer Datenverletzung Kenntnis erhält, der die übertragenen personenbezogenen Daten oder die Datensubjekte schädigen könnte oder mit ihren Rechten oder Interessen in Konflikt stehen könnte, muss der Importeur personenbezogener Daten die zuständige Behörde innerhalb (72) Stunden, nachdem er von dem Vorfall Kenntnis erhalten hat, gemäß den in Artikel (24) der Durchführungsbestimmungen des Gesetzes aufgeführten Anforderungen benachrichtigen. 

6. Sensible Daten 

Unbeschadet aller Einschränkungen in Bezug auf sensible Daten, die im Gesetz und in den Durchführungsbestimmungen des Gesetzes aufgeführt sind, muss der Exporteur personenbezogener Daten sicherstellen, dass der Importeur personenbezogener Daten zusätzliche Sicherheitsvorkehrungen, die den sensiblen Daten angemessen sind, ergreift und sicherstellt, dass sie bei der Verarbeitung vor allen Risiken geschützt sind, während er sicherstellt, dass die in Anhang (2) aufgeführten Einschränkungen und zusätzlichen Sicherheitsvorkehrungen angewendet werden. 

7. Nachfolgende Übertragung

7.1 Der Importeur personenbezogener Daten darf die übertragenen personenbezogenen Daten nicht an einen Dritten außerhalb des Königreichs übertragen oder offenlegen, es sei denn, diese Partei hat diesen Klauseln und in Übereinstimmung mit der geeigneten Vorlage und den Bestimmungen der Klausel (7) oben zugestimmt. 

7.2 Unbeschadet der Bestimmungen der Artikel (8) und (15) des Gesetzes und (17) der Durchführungsbestimmungen für das Gesetz gelten die Bestimmungen des Gesetzes und der Verordnung für die anschließende Übertragung personenbezogener Daten, die zuvor an ein Unternehmen außerhalb des Königreichs übertragen oder offengelegt wurden.

8. Zuweisen von Datenverarbeitern 

Der Importeur personenbezogener Daten ist verpflichtet, einen Datenverarbeiter auszuwählen, der ausreichende Garantien für den Schutz der übertragenen personenbezogenen Daten bietet, und die Vereinbarung mit dem Datenverarbeiter muss alle in Artikel (17) der Durchführungsbestimmungen aufgeführten Anforderungen enthalten, und die Verarbeitung basiert ausschließlich auf den Anweisungen des Datenimporteurs, sofern diese Anweisungen mit den in diesen Klauseln aufgeführten Anforderungen übereinstimmen.

9. Einhaltung dieser Klauseln 

9.1 Alle Parteien müssen der zuständigen Behörde auf Anfrage die vollständige Einhaltung dieser Klauseln nachweisen, und der Importeur personenbezogener Daten muss Dokumente in Bezug auf die unter seiner Aufsicht durchgeführten Aktivitäten zur Verarbeitung personenbezogener Daten führen, zusätzlich zu den Aufzeichnungen über die Aktivitäten zur Verarbeitung personenbezogener Daten, wie in Artikel (33) der Verordnung aufgeführt. 

9.2 Der Importeur personenbezogener Daten muss der zuständigen Behörde diese Dokumente auf Anfrage zur Verfügung stellen. 

10. Verantwortlichkeit 

10.1 Jede Partei ist der anderen Partei gegenüber für alle Schäden verantwortlich, die der anderen Partei als Folge eines Verstoßes gegen eine dieser Standardvertragsklauseln entstehen. 

10.2 Jede Partei ist dem personenbezogenen Datensubjekt gegenüber verantwortlich, unbeschadet der Rechenschaftspflicht des Exporteurs personenbezogener Daten nach dem Gesetz und der Verordnung, und das personenbezogene Datensubjekt hat Anspruch auf eine Entschädigung für alle materiellen und immateriellen Schäden, die von der fahrlässigen Partei verursacht werden, die das personenbezogene Datensubjekt schädigt. Wenn mehr als eine Partei dafür verantwortlich ist, dem personenbezogenen Datensubjekt als Folge des Verstoßes gegen diese Standardvertragsklauseln einen Schaden zuzufügen, werden die verantwortlichen Parteien gemeinsam oder einzeln verantwortlich gemacht, und das personenbezogene Datensubjekt hat das Recht, vor einem Gericht gegen jede dieser Parteien rechtliche Schritte zu ergreifen. 

10.3 Die Parteien vereinbaren, dass, wenn eine Partei die Verantwortung (b) übernimmt, sie berechtigt ist, von der/den anderen(n) Partei(en) den Teil der Vergütung zu verlangen, der seiner/ihrer Verantwortlichkeit für den Schaden entspricht.

10.4 Der Importeur personenbezogener Daten kann sich nicht auf das Verhalten des Datenverarbeiters oder Unterverarbeiters verlassen, um die Verantwortlichkeit zu vermeiden. 

11. Recht der personenbezogenen Datensubjekte 

11.1 Der Importeur personenbezogener Daten (mit der Unterstützung des Exporteurs personenbezogener Daten) muss sich gegebenenfalls mit allen Fragen oder Anfragen befassen, die vom Datensubjekt in Bezug auf die Verarbeitung personenbezogener Daten und die Ausübung der in Übereinstimmung mit dem Gesetz und der anwendbaren Verordnung aufgeführten Rechte erhalten wurden – ohne Verzögerung innerhalb eines Zeitraums von nicht mehr als dreißig (30) Tagen ab dem Datum des Eingangs einer solchen Anfrage. Dieser Zeitraum kann um einen ähnlichen Zeitraum bis zu maximal dreißig (30) Tage verlängert werden, wenn die Ausführung der Anfrage außergewöhnlichen Aufwand erfordert oder wenn der Importeur personenbezogener Daten viele Anfragen vom personenbezogenen Datensubjekt erhält. Das Datensubjekt wird im Voraus über diese Verlängerung und ihre Gründe informiert. 

11.2 Alle an das personenbezogene Datensubjekt gemachten Erklärungen müssen in einem klaren, lesbaren und zugänglichen Format präsentiert werden.

Anhang

Informationen in Anhang 1, 2 und 3 findest du in den Saudi-Datenschutzbestimmungen.