Saudi-Arabien PDPL: Einhaltung des Schutzes personenbezogener Daten

Das Gesetz zum Schutz personenbezogener Daten (PDPL) Saudi-Arabiens, das am 16. September 2021 durch das königliche Dekret M/19 erlassen wurde und am 17. September 2023 in Kraft trat, stellt die erste umfassende Datenschutzgesetzgebung des Königreichs dar. Die PDPL wird von der Saudi Data and Artificial Intelligence Authority (SDAIA) verwaltet und gilt für Organisationen, die personenbezogene Daten saudischer Einwohner verarbeiten. Sie hat erhebliche Auswirkungen auf Unternehmen, die auf dem saudischen Markt tätig sind oder diesen bedienen.

Dem PDPL gingen seine Durchführungsbestimmungen (herausgegeben von SDAIA im März 2023) bei, die detaillierte Anforderungen an technische und organisatorische Maßnahmen, Verfahren zu den Rechten betroffener Personen und Bedingungen für die grenzüberschreitende Datenübertragung enthalten. Bei Nichteinhaltung können Geldstrafen von bis zu 5 Millionen SAR (1,33 Millionen US-Dollar) und bei kriminellen Verstößen eine Gefängnisstrafe von einem Jahr verhängt werden.

Wichtige Erkenntnisse

• Saudi PDPL gilt für jede Verarbeitung personenbezogener Daten von Einzelpersonen in Saudi-Arabien, unabhängig davon, wo sich die verarbeitende Stelle befindet
• Es bestehen acht Rechtsgrundlagen für die Verarbeitung; Die Einwilligung muss ausdrücklich, spezifisch, informiert und überprüfbar sein
• Sensible Daten (Gesundheit, Genetik, Kreditwürdigkeit, Vorstrafen, biometrische Daten, sexuelle Orientierung) erfordern eine ausdrückliche Einwilligung oder bestimmte gesetzliche Ausnahmen
• Grenzüberschreitende Übertragungen erfordern eine SDAIA-Genehmigung oder bestimmte Sicherheitsvorkehrungen – die Datenlokalisierung stellt eine erhebliche Compliance-Herausforderung dar
• Zu den Rechten der betroffenen Person gehören Zugriff, Berichtigung, Löschung, Übertragbarkeit und Widerspruch – mit einer Antwortfrist von 30 Tagen
• Die Ernennung eines Datenschutzbeauftragten ist für bestimmte Organisationen, die sensible Daten in großem Umfang verarbeiten, obligatorisch
• SDAIA kann Bußgelder bis zu 5 Millionen SAR verhängen und zu den Regulierungsbefugnissen gehört auch die Aussetzung der Datenverarbeitung
• Die PDPL gilt neben sektorspezifischen Vorschriften der Saudi Central Bank (SAMA) und anderer Regulierungsbehörden

---

Umfang und Anwendbarkeit der PDPL

Wer muss sich daran halten?

Das saudische PDPL (Königliches Dekret M/19 von 1443 AH / 2021) gilt für:

1. Verarbeitung in Saudi-Arabien: Jedes Unternehmen, das personenbezogene Daten auf saudi-arabischem Territorium verarbeitet
2. Verarbeitung der Daten von Einwohnern Saudi-Arabiens: Unternehmen außerhalb Saudi-Arabiens, die personenbezogene Daten von Personen mit Wohnsitz in Saudi-Arabien verarbeiten
3. Verarbeitung für in Saudi-Arabien ansässige Zwecke: Verarbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen an Einzelpersonen in Saudi-Arabien

Dieser extraterritoriale Geltungsbereich bedeutet, dass internationale Unternehmen, die saudische Kunden bedienen – darunter E-Commerce-Plattformen, SaaS-Anbieter und digitale Dienste – die PDPL einhalten müssen.

Schlüsseldefinitionen:

• Personenbezogene Daten: Alle Daten, die zur konkreten Identifizierung einer Person führen oder deren Identifizierung ermöglichen, einschließlich Name, persönliche Identifikationsnummer, Adresse, Kontaktnummern und alle anderen Daten, die die Person identifizieren
• Sensible personenbezogene Daten: Gesundheitsdaten, genetische Daten, Kredit- und Finanzdaten, Daten zu Personen mit besonderen Bedürfnissen, Vorstrafen, biometrische Daten, Daten, aus denen Rasse oder ethnische Herkunft, religiöse Überzeugungen hervorgehen, und Daten zum Privatleben, einschließlich sexueller Orientierung

Ausnahmen

Die PDPL gilt nicht für:

• Persönliche Daten, die von Regierungsbehörden zu Sicherheits- oder Justizzwecken gespeichert werden
• Daten verstorbener Personen (keine Bestimmungen über die Rechte der nächsten Angehörigen)
• Personenbezogene Daten, die für persönliche oder familiäre Zwecke verarbeitet werden
• Daten so anonymisiert, dass eine erneute Identifizierung unmöglich ist

---

Rechtsgrundlagen für die Verarbeitung

Die PDPL-Durchführungsverordnung legt die rechtlichen Grundlagen für die Verarbeitung personenbezogener Daten fest. Verantwortliche müssen für jede Verarbeitungstätigkeit die geltende Rechtsgrundlage dokumentieren:

Zustimmungsanforderungen gemäß PDPL:

• Muss eindeutig und spezifisch für den Verarbeitungszweck sein
• Kann nicht mit anderen Einwilligungen gebündelt werden
• Muss in einfacher Sprache und ohne Fachjargon verfasst sein
• Der Widerruf muss so einfach sein wie die Erteilung der Einwilligung
• Ein Einwilligungsprotokoll muss aufbewahrt werden
• Marketing und Werbung bedürfen einer gesonderten, ausdrücklichen Einwilligung

Sensible Daten: Die Verarbeitung erfordert eine ausdrückliche Einwilligung oder fällt unter eine der folgenden Bedingungen: gesetzliche Verpflichtung, Schutz lebenswichtiger Interessen der betroffenen Person oder anderer, medizinische Notwendigkeit mit Schweigepflicht im Gesundheitswesen, Verarbeitung im Zusammenhang mit Gerichtsverfahren oder wissenschaftliche Forschung mit angemessenen Garantien.

---

Rechte der betroffenen Person

Die PDPL gewährt den betroffenen Personen die folgenden Rechte mit einer allgemeinen Antwortfrist von 30 Tagen (mit Benachrichtigung auf 30 weitere Tage verlängerbar):

Recht auf Information: Betroffene Personen müssen vor oder zum Zeitpunkt der Datenerhebung über die Verarbeitungstätigkeiten informiert werden. Verantwortliche müssen Folgendes offenlegen: Identitäts- und Kontaktdaten, Zwecke, Rechtsgrundlage, Datenkategorien, Aufbewahrungsfrist, Rechte der betroffenen Person, Informationen zur grenzüberschreitenden Übertragung.

Auskunftsrecht: Betroffene Personen können eine Bestätigung darüber verlangen, ob ihre Daten verarbeitet werden, und eine Kopie erhalten. Die Antwort muss innerhalb von 30 Tagen erfolgen; ein kostenloses Exemplar alle 12 Monate (für zusätzliche Kopien sind Gebühren zulässig).

Recht auf Berichtigung: Betroffene Personen können die Berichtigung unrichtiger oder veralteter personenbezogener Daten verlangen.

Recht auf Löschung: Betroffene Personen können die Löschung beantragen, wenn der Zweck erfüllt wurde, die Einwilligung widerrufen wurde (ohne andere Rechtsgrundlage), die Daten unrechtmäßig erhoben wurden oder eine rechtliche Verpflichtung die Löschung erfordert. Ausnahmen umfassen gesetzliche Aufbewahrungspflichten, die Ausübung gesetzlicher Rechte und die Forschung im öffentlichen Interesse.

Recht auf Portabilität: Betroffene Personen können ihre Daten in einem strukturierten, maschinenlesbaren Format zur Übermittlung an einen anderen Verantwortlichen anfordern.

Widerspruchsrecht: Betroffene Personen können der Verarbeitung aufgrund berechtigter Interessen widersprechen (der Verantwortliche muss zwingende berechtigte Gründe nachweisen, die Vorrang vor den Interessen der betroffenen Person haben).

Recht auf Einschränkung der automatisierten Entscheidungsfindung: Betroffene Personen können eine menschliche Überprüfung wichtiger automatisierter Entscheidungen verlangen.

---

Pflichten des Verantwortlichen und Auftragsverarbeiters

Anforderungen an Datenschutzhinweise

Verantwortliche müssen eine klare, leicht zugängliche Datenschutzerklärung bereitstellen, die Folgendes abdeckt:

• Name und Kontaktinformationen des Unternehmens
• Kategorien der erhobenen personenbezogenen Daten
• Zwecke und Rechtsgrundlagen der Verarbeitung
• Wie Daten verwendet, offengelegt und übertragen werden
• Aufbewahrungsfristen für Daten
• Rechte der betroffenen Person und deren Ausübung
• Informationen zu etwaigen grenzüberschreitenden Überweisungen
• Kontaktinformationen für den Datenschutzbeauftragten (falls ernannt)

Datenschutzhinweise müssen für in Saudi-Arabien ansässige Unternehmen auf Arabisch verfasst sein (für Unternehmen, die saudische Verbraucher bedienen, gilt die Übersetzungspflicht).

Datenschutzbeauftragter (DSB)

Gemäß den PDPL-Durchführungsbestimmungen ist die Ernennung eines Datenschutzbeauftragten obligatorisch für:

• Verantwortliche verarbeiten in großem Umfang sensible personenbezogene Daten
• Verantwortliche, die eine groß angelegte systematische Überwachung der betroffenen Personen durchführen
• Öffentliche Stellen (mit Ausnahmen)

Der Datenschutzbeauftragte muss:

• Sie verfügen über Fachkenntnisse im Datenschutz und in der Informationssicherheit
• Berichten Sie direkt an die Geschäftsleitung
• Als Kontaktstelle für SDAIA und betroffene Personen fungieren
• Überwachen Sie die Einhaltung der PDPL
• Beratung zu DSFAs

Die Kontaktdaten des Datenschutzbeauftragten müssen in der Datenschutzerklärung offengelegt werden.

Datenschutz-Folgenabschätzungen (DPIAs)

Die Durchführungsbestimmungen verlangen DSFAs vor Verarbeitungsaktivitäten, die ein hohes Risiko für betroffene Personen darstellen können, einschließlich:

• Umfangreiche Verarbeitung sensibler Daten
• Systematische Profilierung der betroffenen Personen
• Verarbeitung mit neuartigen Technologien
• Verarbeitung von Kinderdaten in großem Maßstab

Die DPIA-Dokumentation muss aufbewahrt und SDAIA auf Anfrage zur Verfügung gestellt werden.

Sicherheitsanforderungen

Verantwortliche müssen technische und organisatorische Maßnahmen ergreifen, die der Sensibilität der Daten und den Risiken der Verarbeitung angemessen sind, einschließlich:

• Datenverschlüsselung bei Speicherung und Übertragung
• Zugangskontrollen nach dem Prinzip der geringsten Rechte
• Audit-Protokollierung für den Zugriff auf personenbezogene Daten
• Regelmäßige Sicherheitstests und Schwachstellenbewertungen
• Verfahren zur Reaktion auf Vorfälle
• Geschäftskontinuität und Notfallwiederherstellung für persönliche Datensysteme
• Sicherheitsbewertung des Anbieters und vertragliche Anforderungen

---

Grenzüberschreitende Datenübertragungen

Artikel 29 des PDPL sieht erhebliche Beschränkungen für die Übermittlung personenbezogener Daten außerhalb Saudi-Arabiens vor. Dies ist einer der operativ anspruchsvollsten Aspekte der PDPL-Compliance.

Zulässige Übertragungsmechanismen:

1. SDAIA-Genehmigung: Die Übertragung unterliegt der vorherigen Genehmigung durch SDAIA und den darin festgelegten Bedingungen
2. Angemessener Schutz: Übermittlung in ein Land mit einem angemessenen Datenschutzniveau (SDAIA führt eine genehmigte Liste)
3. Vertragliche Garantien: Übertragung im Rahmen von Verträgen, die angemessenen Schutz bieten und die SDAIA-Anforderungen erfüllen
4. Verbindliche Unternehmensregeln: Gruppeninterne Übertragungen im Rahmen genehmigter verbindlicher Unternehmensregeln
5. Einwilligung: Ausdrückliche, informierte Einwilligung der betroffenen Person
6. Vertragsnotwendigkeit: Übermittlung zur Vertragserfüllung mit der betroffenen Person erforderlich
7. Lebenswichtige Interessen: Übermittlung erforderlich, um lebenswichtige Interessen zu schützen, wenn keine Einwilligung eingeholt werden kann
8. Öffentliches Interesse: Übermittlung im öffentlichen Interesse mit angemessenen Sicherheitsvorkehrungen erforderlich

Überlegungen zur Datenlokalisierung: Branchenspezifische Vorschriften der SAMA (Saudi Arabian Monetary Authority), der Communications, Space and Technology Commission (CST) und des Gesundheitsministeriums sehen Datenlokalisierungsanforderungen für Finanz-, Telekommunikations- und Gesundheitsdaten vor. Cloud-Anbieter müssen für bestimmte regulierte Datenkategorien Rechenzentren in Saudi-Arabien unterhalten.

Praktische Auswirkungen: Viele multinationale Unternehmen mit Niederlassungen in Saudi-Arabien haben Datenresidenzlösungen implementiert – mithilfe von Cloud-Regionen in Saudi-Arabien (verfügbar bei AWS, Azure und Google Cloud) –, um komplexe Compliance bei grenzüberschreitenden Übertragungen zu vermeiden.

---

Benachrichtigung über Verstöße

Artikel 20 der PDPL verpflichtet die Verantwortlichen, SDAIA innerhalb von 72 Stunden nach Entdeckung eines Verstoßes, der ein Risiko für die Rechte oder Interessen der betroffenen Personen darstellt, über Verstöße gegen den Schutz personenbezogener Daten zu informieren.

Erforderlicher Inhalt der Verstoßmeldung:

• Art und Umstände des Verstoßes
• Kategorien und ungefähre Anzahl der betroffenen betroffenen Personen
• Kategorien und ungefähre Anzahl der betroffenen Datensätze
• Name und Kontaktdaten des Datenschutzbeauftragten oder eines anderen Ansprechpartners
• Wahrscheinliche Folgen des Verstoßes
• Maßnahmen, die ergriffen oder geplant wurden, um den Verstoß zu beheben

Benachrichtigung der betroffenen Personen: Unverzüglich erforderlich, wenn der Verstoß voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Die Meldung muss Folgendes enthalten: Was ist passiert, welche Daten waren betroffen, Maßnahmen, die betroffene Personen ergreifen können, um sich zu schützen, und Kontaktinformationen für weitere Anfragen.

---

SDAIA-Durchsetzung und Strafen

Regulierungsbefugnisse

SDAIA verfügt im Rahmen der PDPL über weitreichende Regulierungsbefugnisse:

• Herausgabe von Richtlinien und Vorschriften
• Untersuchung von Beschwerden von betroffenen Personen
• Durchführung von Audits bei Datenverantwortlichen
• Verhängung verwaltungsrechtlicher Sanktionen
• Aussetzung von Verarbeitungsaktivitäten, die gegen die PDPL verstoßen
• Weiterleitung strafrechtlicher Verstöße an die Staatsanwaltschaft

Strafen

Verwaltungsrechtliche Sanktionen:

• Geldstrafe von bis zu 1 Million SAR (267.000 USD) für Verstöße gegen die Rechte der betroffenen Person oder die Pflichten des Verantwortlichen
• Geldstrafe von bis zu 5 Mio. SAR (1,33 Mio. USD) für Verstöße im Zusammenhang mit sensiblen personenbezogenen Daten
• Bußgeld von bis zu 5 Millionen SAR für Verstöße gegen grenzüberschreitende Überweisungen
• Bei wiederholten Verstößen innerhalb von zwei Jahren können die Bußgelder verdoppelt werden

Strafrechtliche Sanktionen:

• Offenlegung oder Veröffentlichung sensibler Daten ohne Genehmigung: Freiheitsstrafe bis zu zwei Jahren und/oder Geldstrafe bis zu 3 Millionen SAR
• Übermittlung von Daten außerhalb Saudi-Arabiens zur Schädigung nationaler Interessen: Freiheitsstrafe bis zu einem Jahr und/oder Geldstrafe bis zu 1 Million SAR

Öffentliche Offenlegung: SDAIA veröffentlicht möglicherweise Informationen über Verstöße und Sanktionen, die im konzentrierten Geschäftsmarkt Saudi-Arabiens erhebliche Auswirkungen auf den Ruf haben.

---

Interaktion mit anderen saudischen Vorschriften

SAMA Cybersecurity Framework

Die Saudi Central Bank (SAMA) verfügt über ein eigenes Cybersecurity Framework (SAMACF), das für alle von der SAMA regulierten Unternehmen (Banken, Versicherungsunternehmen, Finanzierungsunternehmen) gilt. Der Rahmen umfasst:

• Datenklassifizierungs- und Schutzanforderungen im Einklang mit PDPL
• Anforderungen an die Reaktion und Benachrichtigung bei Vorfällen
• Risikomanagementpflichten Dritter
• Anforderungen an die Bewertung von Cloud-Dienstanbietern

SAMA-regulierte Unternehmen müssen sowohl SAMACF als auch PDPL einhalten, wobei die strengere Anforderung Vorrang hat.

CST-Vorschriften zum Schutz personenbezogener Daten (Telekommunikation)

Die Kommission für Kommunikation, Raumfahrt und Technologie hat telekommunikationsspezifische Datenschutzanforderungen erlassen, darunter Teilnehmerdatenschutz, Standortdatenbeschränkungen und Datenlokalisierung für Telekommunikationsbetreiber.

Vorschriften für den Gesundheitssektor

Das Gesundheitsministerium und der saudische Gesundheitsrat haben Anforderungen zum Schutz von Gesundheitsdaten erlassen, die Folgendes vorschreiben: Einwilligung des Patienten zur Datenweitergabe, Datenlokalisierung für Gesundheitsakten, spezifische Sicherheitsstandards für Gesundheitsinformationssysteme und Einschränkungen bei der Nutzung von Gesundheitsdaten für kommerzielle Zwecke.

---

Saudi-PDPL-Compliance-Checkliste

• PDPL-Anwendbarkeitsanalyse abgeschlossen (einschließlich extraterritorialer Geltungsbereich)
• Bestandsaufnahme personenbezogener Daten und sensibler Daten abgeschlossen
• Rechtsgrundlage für jede Verarbeitungstätigkeit dokumentiert
• Für die Verarbeitung sensibler Daten wird eine gesonderte ausdrückliche Einwilligung eingeholt
• Datenschutzhinweis auf Arabisch veröffentlicht (für saudische Benutzer) mit allen erforderlichen Offenlegungen
• DPO wird bei Bedarf ernannt; Kontaktinformationen finden Sie in der Datenschutzerklärung
• Verfahren zu den Rechten der betroffenen Personen dokumentiert mit 30-Tage-Reaktionsmechanismus
• Prozessorvereinbarungen mit PDPL-Anforderungen aktualisiert
• Bewertung der grenzüberschreitenden Übertragung abgeschlossen – SDAIA-genehmigte Mechanismen vorhanden
• Datenlokalisierungsbewertung für regulierte Sektoren (Finanzen, Gesundheit, Telekommunikation)
• DPIA für Verarbeitungsaktivitäten mit hohem Risiko durchgeführt
• Sicherheitsmaßnahmen werden im Verhältnis zur Datensensibilität umgesetzt
• 72-Stunden-Verfahren zur Meldung von Verstößen dokumentiert und getestet
• Aufbewahrungspläne dokumentiert und automatisierte Löschung konfiguriert
• Mitarbeiterschulung zu PDPL-Pflichten abgeschlossen

---

Häufig gestellte Fragen

Wann wurde Saudi-Arabiens PDPL durchsetzbar?

Das PDPL wurde im September 2021 durch das Königliche Dekret M/19 erlassen und seine Durchführungsbestimmungen wurden im März 2023 erlassen. Die Durchsetzung begann am 17. September 2023 – zwei Jahre nach Inkrafttreten des Gesetzes. SDAIA hat zunächst eine Schonfrist für die Vorbereitung auf die Einhaltung der Vorschriften angekündigt, die Durchsetzung ist jedoch bereits in Kraft. Unternehmen, die noch keine Compliance-Programme gestartet haben, sind einem echten regulatorischen Risiko ausgesetzt.

Gilt das saudische PDPL für mein Unternehmen außerhalb Saudi-Arabiens?

Ja, wenn Sie personenbezogene Daten von Personen mit Wohnsitz in Saudi-Arabien verarbeiten. Der extraterritoriale Geltungsbereich ähnelt dem Ansatz der DSGVO: Wenn Sie saudischen Einwohnern Waren oder Dienstleistungen anbieten oder Daten von saudischen Einwohnern zu irgendeinem Zweck verarbeiten, gilt die PDPL. Dazu gehören E-Commerce-Unternehmen, SaaS-Anbieter, digitale Dienste und alle Unternehmen mit saudischen Mitarbeitern (für deren Beschäftigungsdaten).

What are the data localisation requirements in Saudi Arabia?

Die PDPL selbst schreibt keine pauschale Datenlokalisierung vor – sie ermöglicht grenzüberschreitende Übertragungen über genehmigte Mechanismen. Allerdings führen branchenspezifische Vorschriften zu erheblichen Lokalisierungsanforderungen: SAMA-regulierte Finanzinstitute müssen die Finanzdaten ihrer Kunden in Saudi-Arabien aufbewahren; Gesundheitsdaten müssen in Saudi-Arabien für regulierte Gesundheitseinrichtungen gespeichert werden; Für Telekommunikationsteilnehmerdaten gelten besondere Anforderungen an den Wohnsitz. Die Cloud-Anbieter AWS, Microsoft Azure und Google Cloud haben alle Cloud-Regionen in Saudi-Arabien eingerichtet, um diesen Anforderungen gerecht zu werden.

Wie interagiert PDPL mit der DSGVO für multinationale Unternehmen?

Multinationale Unternehmen, die sowohl der DSGVO als auch der saudischen PDPL unterliegen, müssen beide Rahmenwerke gleichzeitig erfüllen. Sie haben ähnliche Grundsätze, unterscheiden sich jedoch in den Einzelheiten – die PDPL-Zustimmungsanforderungen, grenzüberschreitende Übertragungsmechanismen und Fristen für die Meldung von Verstößen unterliegen saudi-arabischen spezifischen Anforderungen. Die größte praktische Herausforderung ist der grenzüberschreitende Datenfluss: Der Datenfluss von Saudi-Arabien in EU-Länder entspricht nicht automatisch der saudischen PDPL, nur weil die DSGVO am Zielort gilt. Jede Übertragung muss anhand der PDPL-Mechanismen bewertet werden.

Was ist SDAIA und welche Befugnisse hat es?

SDAIA (Saudi Data and Artificial Intelligence Authority) ist die Regierungsbehörde, die für die Überwachung von Daten und KI in Saudi-Arabien zuständig ist. SDAIA wurde 2019 gegründet, verwaltet die PDPL und verfügt über weitreichende Regulierungs-, Ermittlungs- und Durchsetzungsbefugnisse. Es erlässt Richtlinien und Vorschriften, untersucht Beschwerden, führt Prüfungen durch, verhängt Verwaltungsstrafen und verweist Straftaten an die Staatsanwaltschaft. SDAIA verwaltet außerdem das National Data Governance Framework und überwacht die Entwicklung der Datenwirtschaft in Saudi-Arabien.

---

Nächste Schritte

Saudi-Arabiens wachsende digitale Wirtschaft und die Transformation im Rahmen der Vision 2030 schaffen neben immer strengeren regulatorischen Anforderungen erhebliche Geschäftsmöglichkeiten. Die Einhaltung der PDPL wird zu einer Voraussetzung für Geschäfte mit saudischen Regierungsstellen, Banken, Gesundheitsorganisationen und Unternehmenskunden.

ECOSIRE unterstützt Unternehmen bei der Einhaltung der saudischen PDPL-Konformität sowie anderer regionaler Datenschutzanforderungen. Zu unseren Dienstleistungen gehören die Bewertung von Compliance-Lücken, die Gestaltung von Datenschutzprogrammen, die technische Implementierung und das laufende Compliance-Management.

Weitere Informationen: ECOSIRE Services

Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Die saudischen PDPL-Anforderungen entwickeln sich durch SDAIA-Leitlinien und Durchsetzungsentscheidungen weiter. Wenden Sie sich an einen qualifizierten saudischen Rechtsberater, um spezifische Ratschläge für Ihre Organisation zu erhalten.