Was der PDPL tatsächlich ist

Der PDPL ist das erste umfassende Datenschutzgesetz Saudi-Arabiens. Es wurde 2021 durch königliches Dekret M/19 erlassen, im März 2023 geändert, um es stärker an den durch die DSGVO und ähnliche Regelwerke gesetzten globalen Standard anzupassen, und trat nach einer einjährigen Übergangsfrist am 14. September 2024 vollständig in Kraft. Das Gesetz ist Teil eines umfassenderen saudischen Datenverwaltungspakets, das die nationalen Übergangsdatenregeln, den Regulierungsrahmen für Cloud-Computing und die Informationsfreiheitsregeln der SDAIA umfasst — aber für Publisher ist der PDPL das Stück, das Cookies, Anzeigenverfolgung, Analysen und jede andere personenbezogene Datenverarbeitung im Zusammenhang mit einer Website oder App regelt.

Die Durchführungsverordnungen

Der PDPL ist kurz. Die Details befinden sich in zwei Durchführungsverordnungen, die SDAIA im September 2023 veröffentlichte und in den Jahren 2024 und 2025 verfeinerte: den Durchführungsverordnungen (allgemein) und den Verordnungen zur Übermittlung personenbezogener Daten (grenzüberschreitend). Zusammen geben diese Publishern konkrete Antworten auf Einwilligungsqualität, Aufbewahrung, Meldefristen bei Datenpannen und die Bedingungen für die Übermittlung von Daten saudischer Einwohner außerhalb des Königreichs. Wer noch ausschließlich mit dem Text von 2021 arbeitet, liest eine veraltete Karte.

Der Durchsetzungszeitplan, den Publisher kennen sollten

SDAIA gab Organisationen bis zum 14. September 2024 Zeit, vollständige Compliance zu erreichen. Die erste Welle von Prüfschreiben erging Ende 2024 an große Verantwortliche in Finanzen, Telekommunikation und Behördendiensten. Im Laufe des Jahres 2025 weitete sich das Auditprogramm auf werbefinanzierte Medien, E-Commerce und jede Plattform aus, die mehr als ein definiertes Volumen an Daten saudischer Einwohner verarbeitet. Bis 2026 hat SDAIA signalisiert, dass kleine und mittelgroße Publisher nun in den Anwendungsbereich fallen — insbesondere jeder Betreiber, dessen arabischsprachige Inhalte oder Werbeausgaben auf ein bewusstes Saudi-Publikum hinweisen.

Wen SDAIA als Verantwortlichen betrachtet

Der PDPL gilt extraterritorial. Sie benötigen weder ein saudisches Unternehmen, noch einen saudischen Server oder ein saudisches Bankkonto, um nach dem Gesetz Verantwortlicher zu sein. Wenn Ihre Website oder App personenbezogene Daten von Personen verarbeitet, die im Königreich ansässig sind, fallen Sie in den Anwendungsbereich. Für Publisher wird dieser Anknüpfungspunkt durch den routinemäßigen Ad-Tech-Datenfluss ausgelöst: IP-Adressen, Geräte-IDs, gehashte E-Mails, Verhaltenscookies und die Nutzeridentifikatoren, die durch programmatische Auktionen fließen, gelten alle als personenbezogene Daten, wenn sie mit einem saudischen Einwohner verknüpft sind.

Das Erfordernis eines lokalen Vertreters

Ausländische Verantwortliche ohne Präsenz im Königreich müssen einen bei SDAIA registrierten lokalen Vertreter ernennen. Der Vertreter ist rechtliche Anlaufstelle für Betroffenenanfragen und behördliche Korrespondenz. Kleinere Publisher regeln dies oft über ein Datenschutz-Dienstleistungsunternehmen, anstatt lokal zu gründen — aber die Ernennung ist obligatorisch, sobald die Schwelle der regelmäßigen saudischen Verarbeitung überschritten wird.

Szenarien gemeinsam Verantwortlicher im Ad-Tech-Bereich

Die Lieferkette, die einen programmatischen Anzeigenplatz monetarisiert — Ihr CMP, Ihr Ad-Server, die angebundenen SSPs, die bietenden DSPs, die Verifikationsanbieter und die Messungspartner — begründet gemeinsame und gesamtschuldnerische Verantwortlichenbeziehungen nach dem PDPL, genau wie unter der DSGVO. Publisher können die PDPL-Haftung nicht auf einen Anbieter abwälzen. SDAIA erwartet, dass der Publisher nachweist, dass jeder nachgelagerte Partner eine eigene Rechtsgrundlage und vertragliche Verpflichtungen hat, die dem entsprechen, was der Publisher beim Einwilligungsbanner versprochen hat.

Cookie-Einwilligung gemäß den Durchführungsverordnungen

Der PDPL erkennt Einwilligung als eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten an, und die Durchführungsverordnungen legen fest, wie eine gültige Einwilligung aussieht. Der Maßstab ist hoch — näher an der DSGVO als am CCPA — und deckt Cookies, Pixel, SDKs, Fingerprinting und jede andere Tracking-Technologie ab, die Daten auf dem Gerät eines Nutzers liest oder schreibt.

Was als gültige Einwilligung gilt

Die Einwilligung muss freiwillig, spezifisch, informiert und ausdrücklich erfolgen. Vorab angekreuzte Kästchen, Cookie-Walls, die Inhalte sperren, sofern der Nutzer nicht einwilligt, und vage Hinweise wie "durch Weitersurfen" erfüllen den Standard nicht. Der Nutzer muss eine eindeutige, bestätigende Handlung vornehmen — typischerweise ein Klick auf einen Akzeptieren-Button — und diese Handlung muss mit einer klaren Beschreibung der Verarbeitungszwecke verknüpft sein. Eine gebündelte Einwilligung, die Analysen, Werbung und Personalisierung in ein einziges Ja-oder-Nein fasst, ist ausdrücklich unzulässig.

Granulare Zweckkategorien

Die Leitlinien der SDAIA benennen die Zweckkategorien, die ein Publisher-CMP offenlegen sollte: unbedingt erforderlich, funktional, Analysen, Werbung, Personalisierung und jede Verarbeitung sensibler Daten wie Gesundheits- oder biometrische Schlussfolgerungen. Jede Kategorie benötigt einen eigenen Umschalter, eine eigene Zweckbeschreibung und eine eigene Anbieterliste. Das IAB Europe TCF v2.3-Framework, angemessen um PDPL-spezifischen Text auf Arabisch erweitert, ist der am häufigsten genutzte Weg, auf dem Publisher das Granularitätserfordernis erfüllen.

Widerruf und erneute Einwilligung

Das Recht, die Einwilligung zu widerrufen, muss ebenso einfach sein wie das Recht, sie zu erteilen. Ein schwebendes Einwilligungspräferenz-Symbol, ein Fußzeilenlink oder ein In-App-Einstellungspanel sind alle geeignet; eine versteckte, nur per E-Mail mögliche Abmeldung ist es nicht. Publisher sollten bei wesentlichen Änderungen — einem neuen Werbepartner, einem neuen Cookie-Zweck, einem neuen SDK — regelmäßige erneute Einwilligungen einplanen, und SDAIA erwartet, dass das CMP-Auditprotokoll jedes erneute Einwilligungsereignis mit einem Zeitstempel erfasst.

Grenzüberschreitende Übermittlungen und Datenlokalisierung

Die Verordnungen zur Übermittlung personenbezogener Daten sind der Teil des PDPL, der für Publisher am ehesten zum Stolperstein wird, weil in dem Moment, in dem die IP-Adresse eines saudischen Nutzers in eine programmatische Auktion eintritt, sie faktisch dorthin übermittelt wurde, wo die SSPs und DSPs operieren. SDAIA betrachtet dies nicht als freien Datenfluss.

Die Angemessenheitsliste und Standardverträge

Ein Verantwortlicher kann personenbezogene Daten über einen von drei primären Mechanismen außerhalb des Königreichs übermitteln: einen SDAIA-genehmigten Angemessenheitsbeschluss für das Empfängerland, einen SDAIA-genehmigten Standardvertrag oder ein verbindliches unternehmensinternes Regelwerk für konzerninterne Übermittlungen. Die Angemessenheitsliste enthält Stand 2026 eine kleine Anzahl von GCC-Nachbarstaaten und eine Handvoll europäischer Rechtssysteme, aber die meisten Ad-Tech-Ziele — einschließlich der USA — liegen außerhalb und erfordern entweder einen Standardvertrag oder eine Ausnahmeregelung.

Die Datentransfer-Folgenabschätzung

Für Hochrisiko-Übermittlungen verlangt SDAIA vor Beginn der Übermittlung eine dokumentierte Datentransfer-Folgenabschätzung (DTIA). Dies ist das saudische Pendant zur Transfer-Folgenabschätzung der EU nach Schrems II. Publisher sollten mit ihren CMP- und Ad-Tech-Anbietern zusammenarbeiten, um Muster-DTIAs für die wiederkehrenden programmatischen Datenflüsse zu erstellen und diese zu aktualisieren, sobald ein Anbieter seine Verarbeitungsstandorte ändert.

Praktische Compliance-Schritte für Publisher

Das PDPL-Programm gliedert sich in fünf operative Aufgaben, die sich sauber auf das bestehende CMP und den Ad-Stack eines Publishers abbilden. Keine davon ist jemandem unbekannt, der bereits DSGVO- oder LGPD-Compliance implementiert hat — der Unterschied liegt im Detail des saudischen Textes und den spezifischen Übermittlungsregeln.

CMP-Konfigurationscheckliste

Stellen Sie sicher, dass Ihr Einwilligungsbanner für KSA-Besucher auf Arabisch und für alle anderen auf Englisch angezeigt wird, dass die Zweckkategorien vollständig granular sind, dass der Ablehnen-Alle-Pfad ein Klick ist und visuell gleichwertig mit Alle-Akzeptieren, und dass der Einwilligungsstring über Google Consent Mode v2 oder Ihre TCF-Integration nach unten fließt. Stellen Sie sicher, dass Ihr CMP einen PDPL-spezifischen Einwilligungsnachweis mit Zeitstempel, Richtlinienversion und Nutzeridentifikator aufzeichnet, damit Audit-Antworten in Minuten statt Tagen zusammengestellt werden können.

Einwilligungsprotokolle und Prüfpfad

Die Auditteams der SDAIA verlangen Einwilligungsnachweise in einer vertrauten Form: Wer hat eingewilligt, wozu, wann, mit welcher Bannerversion und was wurde ihnen zum Zeitpunkt der Einwilligung mitgeteilt. Planen Sie die Aufbewahrung dieser Protokolle für mindestens zwei Jahre und speichern Sie sie so, dass CMP-Anbieterwechsel überstanden werden — der Export in ein im Eigentum des Verantwortlichen befindliches Data Warehouse ist das sauberste Muster.

Workflow für Betroffenenrechte

Der PDPL gewährt Auskunfts-, Berichtigungs-, Löschungs- und Übertragbarkeitsrechte mit Antwortfristen von dreißig Tagen. Ein Publisher mit einem einzigen privacy@-Posteingang und ohne Ticket-Workflow wird die Frist öfter verpassen als einhalten. Etablieren Sie einen dokumentierten Eingangs-bis-Antwort-Prozess, schulen Sie einen benannten Verantwortlichen und integrieren Sie den Workflow mit Ihren CMP- und Ad-Server-Einwilligungsdatensätzen, damit Löschanfragen nach unten weitergeleitet werden.

Das Fazit

Saudi-Arabiens PDPL ist 2026 kein weiches Regime, das Publisher hinter DSGVO und CCPA zurückstellen können. SDAIA hat die Finanzierung, die Auditkapazität und den politischen Rückhalt, um ihn durchzusetzen, und die Regeln für grenzüberschreitende Übermittlungen erzeugen insbesondere echte Reibung mit der globalen Ad-Tech-Lieferkette, um die Publisher Lösungen entwickeln müssen. Die gute Nachricht ist, dass der PDPL genug von der DSGVO übernimmt, dass ein Publisher mit einer ausgereiften europäischen Compliance-Haltung bereits den größten Teil des Weges zurückgelegt hat. Lokalisieren Sie Ihr Einwilligungsbanner auf Arabisch, ergänzen Sie Ihre bestehende TCF-Konfiguration um PDPL-spezifischen Zwecktext, dokumentieren Sie Ihre Übermittlungsmechanismen, ernennen Sie einen lokalen Vertreter, sofern Ihr Saudi-Traffic dies rechtfertigt, und Ihre KSA-Zielgruppe bleibt monetarisierbar, während die Betreiber, die PDPL als Papierübung abgetan haben, das Jahr 2026 damit verbringen, Prüfschreiben zu lesen.