Wichtigste Erkenntnisse
- PDPL = Königlicher Erlass M/19 (erlassen am 16. September 2021, geändert durch M/148 im Jahr 2023): in Kraft seit 14. September 2023, vollständige Compliance erforderlich seit 14. September 2024. Aufsichtsbehörde: SDAIA (Saudi Data and Artificial Intelligence Authority).
- Keine pauschale Lokalisierungspflicht. Das PDPL ist ein regulierter *Übermittlungs*-Rahmen (Artikel 29), keine absolute In-Kingdom-Speicherregel — doch die Übermittlungsbedingungen sind streng und die SDAIA hat ihre Angemessenheits-Länderliste noch nicht veröffentlicht.
- Aktive Durchsetzung: Die Durchsetzungsausschüsse der SDAIA haben seit Beginn der vollständigen Durchsetzung im September 2024 48 förmliche Verstoßentscheidungen erlassen.
- Sanktionen: bis zu 5.000.000 SAR (~1,33 Mio. USD), verdoppelt bei Wiederholungstätern; strafrechtliche Geldbußen bis zu 3.000.000 SAR zuzüglich Strafverfolgung bei vorsätzlicher Offenlegung sensibler Daten.
- CLOUD-Act-Risiko: Cloud-Anbieter mit US-Hauptsitz (AWS, Azure, Google Cloud) können nach 18 U.S.C. § 2713 zur Herausgabe von Daten gezwungen werden, selbst aus Rechenzentren in der Saudi-Region. Es besteht kein bilaterales US-saudisches CLOUD-Act-Abkommen.
- SAMA ist strenger: Finanzinstitute müssen Kernbank-, Kunden- und Transaktionsdaten physisch im Königreich halten und vor der Nutzung eines Cloud-Dienstes eine vorherige Genehmigung der SAMA einholen.
- Lokale KI eliminiert Artikel 29 vollständig: Verlässt die Inferenz niemals Ihre Räumlichkeiten, gibt es keine zu regulierende grenzüberschreitende Übermittlung, und die CLOUD-Act-Angriffsfläche verschwindet.
- Keine Rechtsberatung. Konsultieren Sie Ihren Datenschutzbeauftragten und in Saudi-Arabien zugelassene Rechtsberatung, bevor Sie sich auf eine Compliance-Position in diesem Artikel verlassen.
📍 In einem Satz
Saudi-PDPL Artikel 29, die SAMA-Regeln für den Finanzsektor und der US-CLOUD Act machen gemeinsam lokale KI vor Ort zum am besten zu verteidigenden Compliance-Pfad für personenbezogene Daten im Königreich.
💬 In einfachen Worten
Das saudi-arabische Recht zwingt nicht alle Daten, im Land zu bleiben, doch die Übermittlung von Daten ins Ausland ist stark eingeschränkt. Der einfachste Weg zur Compliance ist, KI auf eigener Hardware innerhalb Saudi-Arabiens zu betreiben, sodass keine Daten jemals eine Grenze überschreiten.
Saudi-PDPL und SDAIA: Die regulatorische Landschaft
Das saudi-arabische Datenschutzgesetz wurde durch den Königlichen Erlass Nr. M/19 am 16. September 2021 erlassen, durch den Königlichen Erlass Nr. M/148 (27. März 2023) wesentlich geändert und mit seinen Durchführungsbestimmungen am 14. September 2023 in Kraft gesetzt. Es folgte eine einjährige Übergangsfrist; die vollständige Compliance ist für alle öffentlichen und privaten Stellen seit dem 14. September 2024 verpflichtend.
Die SDAIA (Saudi Data and Artificial Intelligence Authority) ist die zuständige Aufsichtsbehörde. Sie beaufsichtigt und setzt das PDPL durch, betreibt spezialisierte Durchsetzungsausschüsse und ist für die nationale Daten-Governance und KI-Strategie im Rahmen der Vision 2030 verantwortlich.
Die Durchsetzung ist real, nicht theoretisch. Seit Beginn der vollständigen Durchsetzung haben die Durchsetzungsausschüsse der SDAIA 48 förmliche Entscheidungen erlassen, die PDPL-Verstöße bestätigen. Häufige Verstoßkategorien sind die Verarbeitung personenbezogener Daten ohne gültige Rechtsgrundlage, unbefugte Offenlegung, Versäumnis bei der Umsetzung technischer und organisatorischer Schutzmaßnahmen sowie unerwünschtes Marketing.
Extraterritorialer Anwendungsbereich: Das PDPL gilt für jede Verarbeitung personenbezogener Daten von in Saudi-Arabien ansässigen Personen, unabhängig davon, wo sich die verarbeitende Organisation befindet — dasselbe Modell weiter Reichweite wie die GDPR.
Sensible personenbezogene Daten sind eine eigene Kategorie mit höherem Schutz, die sieben Arten umfasst: rassische oder ethnische Herkunft; religiöse, weltanschauliche oder politische Überzeugungen; Strafregister; zur Identifizierung genutzte biometrische Daten; genetische Daten; Gesundheitsdaten; und Daten, die auf eine unbekannte Abstammung hinweisen. Fortlaufende oder umfangreiche grenzüberschreitende Übermittlungen sensibler Daten erfordern eine verpflichtende Risikobewertung nach der Übermittlungsverordnung.
Sanktionen: Verwaltungsstrafen bis zu 5.000.000 SAR (~1,33 Mio. USD), die bei wiederholten Verstößen verdoppelt werden können; strafrechtliche Geldbußen bis zu 3.000.000 SAR zuzüglich möglicher Freiheitsstrafe bei vorsätzlicher Offenlegung sensibler personenbezogener Daten in Schädigungs- oder Bereicherungsabsicht.
Grenzüberschreitende Risiken von Cloud-KI: Artikel 29, CLOUD Act und SDAIA-Angemessenheit
Das Senden eines Prompts an eine Cloud-KI-API ist eine grenzüberschreitende Datenübermittlung in dem Moment, in dem dieser Prompt personenbezogene Daten enthält und der Inferenzserver außerhalb des Königreichs steht. Artikel 29 des PDPL regelt genau dieses Szenario.
Artikel 29 stellt drei kumulative Bedingungen an jede grenzüberschreitende Übermittlung: (1) Die Übermittlung darf die nationale Sicherheit oder die vitalen Interessen des Königreichs nicht beeinträchtigen; (2) die Empfängerjurisdiktion muss ein Datenschutzniveau bieten, das mindestens dem PDPL gleichwertig ist, wie von der SDAIA beurteilt; und (3) es dürfen nur die mindestens erforderlichen personenbezogenen Daten übermittelt werden (Datenminimierung).
Die SDAIA hat ihre Angemessenheits-Länderliste noch nicht veröffentlicht. Bis dahin können sich Organisationen nicht auf eine einfache Feststellung „dieses Land ist angemessen“ verlassen. In der Praxis hängen rechtmäßige Übermittlungen von SDAIA-ausgestellten Standardvertragsklauseln (SCCs, vier modulare Varianten), Binding Common Rules (BCRs) für konzerninterne Übermittlungen oder einem Akkreditierungszertifikat ab — wovon jedes rechtlichen Aufwand und fortlaufende Risikobewertungspflichten hinzufügt.
Der US-CLOUD Act (18 U.S.C. § 2713) ist das strukturelle Problem, das die meisten saudi-arabischen Unternehmen übersehen. Er verpflichtet Cloud-Anbieter mit US-Hauptsitz — AWS, Microsoft Azure, Google Cloud — Daten auf eine gültige US-Regierungsanordnung hin zu sichern und herauszugeben, *unabhängig davon, wo diese Daten physisch gespeichert sind*. Daten in einer AWS-Region Riad oder Azure Saudi-Arabien sind weiterhin erreichbar.
Dies erzeugt einen direkten Rechtskonflikt. Das saudi-arabische Cloud Computing Regulatory Framework (CCRF) verbietet Cloud-Dienstleistern, Abonnentendaten offenzulegen, außer soweit dies nach saudi-arabischem Recht erforderlich ist. Ein US-Anbieter, dem eine CLOUD-Act-Anordnung zugestellt wird, ist gleichzeitig durch US-Recht zur Offenlegung gezwungen und durch saudi-arabisches Recht daran gehindert. Es besteht kein bilaterales US-saudisches CLOUD-Act-Verwaltungsabkommen (nur das Vereinigte Königreich und Australien haben solche Abkommen mit den USA unterzeichnet), sodass es keinen sauberen Lösungsmechanismus gibt.
Die folgende Tabelle vergleicht die drei Einsatzmodelle anhand der zentralen saudi-arabischen Compliance-Dimensionen.
| Faktor | US-basierte Cloud-API | Cloud in Saudi-Region (AWS/Azure) | Lokale KI vor Ort |
|---|---|---|---|
| PDPL-Übermittlung nach Artikel 29 | Ausgelöst — SDAIA-Freigabe + Angemessenheit + SCCs erforderlich | Daten in KSA, aber Anbieter mit US-Hauptsitz — Angemessenheit weiterhin ungeklärt | Nicht ausgelöst — keine grenzüberschreitende Übermittlung |
| CLOUD-Act-Exposition | Hoch — US-Regierung kann Herausgabe erzwingen | Hoch — Server in der Saudi-Region bieten keinen CLOUD-Act-Schutz | Keine — Hardware im Königreich, außerhalb der US-Jurisdiktion |
| SAMA (Finanzsektor) | Nicht konform | Teilweise — Rechenzentrum in KSA + SAMA-Freigabe erforderlich | Vollständig konform |
| SDAIA-Durchsetzungsrisiko | Hoch | Mittel — CLOUD-Act-Lücke bleibt | Minimal |
| Risikobewertung sensibler Daten | Verpflichtend bei großem Umfang | Erforderlich für Übermittlungen sensibler Daten | Nicht erforderlich — keine grenzüberschreitende Übermittlung |
Wie lokale KI im Königreich die Compliance-Herausforderung löst
Der Betrieb von KI auf Hardware, die physisch innerhalb Saudi-Arabiens steht, eliminiert die grenzüberschreitende Übermittlung vollständig — und damit die schwierigsten Teile der PDPL-Compliance.
Artikel 29 ist schlicht nicht anwendbar. Verlassen ein Prompt und seine Inferenz niemals Ihre Räumlichkeiten, gibt es keine zu bewertende Übermittlung, keine Angemessenheitsfeststellung, auf die zu warten wäre, keine auszuführenden SCCs und keine einzureichende Übermittlungs-Risikobewertung. Die einzige komplexeste Pflicht des PDPL wird auf Architekturebene beseitigt.
Die CLOUD-Act-Angriffsfläche verschwindet. Daten, die auf Ihren eigenen GPUs hinter Ihrer eigenen Firewall verarbeitet werden, liegen nicht bei einem Anbieter mit US-Hauptsitz und sind daher für eine US-Regierungs-Herausgabeanordnung nicht erreichbar.
SAMA-Compliance wird unkompliziert. Finanzinstitute, die Kernbank- und Kundendaten im Königreich halten müssen, können KI-Inferenz auf derselben inländischen Infrastruktur betreiben, ohne separate Cloud-Freigabe und ohne zu überwachenden Datenabfluss.
Sie behalten einen vollständigen Audit-Trail. Jeder Prompt, jedes Modell und jede Ausgabe verbleibt in von Ihnen kontrollierten Protokollen — genau das, was SDAIA, SAMA und die NCA bei der Prüfung von Datenflüssen und Zugriffsaufzeichnungen erwarten.
Dies steht im Einklang mit der nationalen Ausrichtung. Saudi-Arabien hat 2026 zum Jahr der künstlichen Intelligenz erklärt, und der Entwurf des Global AI Hub Law (2025) behandelt Datensouveränität als strategische Priorität. Lokale KI im Königreich ist keine Behelfslösung — sie ist die Architektur, auf die das regulatorische Umfeld aktiv hinsteuert.
Werkzeuge und Modelle für den lokalen KI-Einsatz im Königreich
Ein produktiver lokaler KI-Stack benötigt eine Inferenz-Laufzeitumgebung, eine Serving-Schicht und ein Modell — alle quelloffen und auf in Saudi-Arabien gehosteter Hardware einsetzbar.
- Ollama — der einfachste Weg, offene Modelle lokal zu betreiben; einzeilige Modell-Pulls, eine OpenAI-kompatible API und GPU-Beschleunigung von Haus aus. Siehe Was sind lokale LLMs? für die Grundlagen.
- llama.cpp — die zugrunde liegende Inferenz-Engine für GGUF-quantisierte Modelle; maximale Kontrolle über Quantisierung, Kontextlänge und Hardware-Tuning für CPU oder GPU.
- vLLM — Serving mit hohem Durchsatz für Mehrbenutzer-Unternehmens-Workloads; Paged Attention und kontinuierliches Batching für gleichzeitige Anfragen in arabischer Sprache.
- Open WebUI — ein selbst gehostetes Chat-Frontend mit rollenbasierter Zugriffskontrolle und Audit-Protokollierung, geeignet für interne Teams.
- ALLaM 7B — das saudi-arabisch entwickelte arabische Modell (NCAI/SDAIA, jetzt HUMAIN), veröffentlicht unter Apache 2.0 mit GGUF-Quantisierungen auf Hugging Face, die direkt in Ollama und llama.cpp laufen. Das führende öffentlich selbst hostbare arabische Modell.
- Qwen2.5 — eine starke mehrsprachige Alternative, wenn Sie neben Arabisch eine breite Sprachabdeckung benötigen; prüfen Sie die Kompromisse in Mehrsprachige lokale LLMs.
- Hardware-Dimensionierung — ein 7B-Modell benötigt bei Q4_K_M etwa 6–8 GB VRAM; ein 70B-Modell benötigt 40–48 GB. Nutzen Sie den VRAM-Rechner, um Ihre In-Kingdom-GPUs vor der Beschaffung zu dimensionieren.
Sektor-Hinweise zu SAMA, Behörden und Gesundheitswesen
Sektorspezifische Regeln legen sich über das PDPL und sind häufig strenger — insbesondere bei der Datenlokalisierung.
Finanzdienstleistungen (SAMA). Die „Artificial Intelligence Principles for Financial Institutions“ (2023) der saudi-arabischen Zentralbank verpflichten alle SAMA-lizenzierten Stellen zu Anforderungen an KI-Governance, Risikomanagement und Rechenschaftspflicht. Das Cloud Computing Regulatory Framework der SAMA verlangt eine vorherige Freigabe vor der Nutzung eines Cloud-Dienstes, eine gesonderte Freigabe für Cloud außerhalb des Königreichs und schreibt vor, dass Kernbanksysteme, Kundendaten, Transaktionsaufzeichnungen und Zahlungs-Credentials physisch in Saudi-Arabien gehostet werden. Die National Cybersecurity Authority (NCA) setzt parallele Essential Cybersecurity Controls (ECC) durch. Für Finanz-KI ist Inferenz vor Ort der Weg des geringsten regulatorischen Widerstands.
Behörden und kritische Infrastruktur. Das Cloud Computing Regulatory Framework beschränkt Behörden und kritische nationale Infrastruktur bei der Nutzung ausländischer Cloud-Dienste für sensible Workloads. Der Entwurf des Global AI Hub Law (2025) stärkt souveräne Rechenzentrumsmodelle. Der lokale KI-Einsatz passt direkt zu dieser Haltung.
Gesundheitswesen. Gesundheitsdaten sind eine der sieben sensiblen Datenkategorien des PDPL und unterliegen daher den strengsten Übermittlungsbedingungen und verpflichtenden Risikobewertungen bei großem Umfang. Die Erwartungen des Gesundheitsministeriums an die Datenverarbeitung drängen stark zur Verarbeitung im Land. Lokale KI hält Patientendaten durchgängig vor Ort. Siehe die Checkliste für Sicherheit & Datenschutz lokaler LLMs für Verifikationsschritte.
Dies ist keine Rechtsberatung. Die regulatorische Auslegung hängt von Ihren konkreten Daten, Ihrem Sektor und Ihren Verarbeitungstätigkeiten ab. Konsultieren Sie Ihren Datenschutzbeauftragten und in Saudi-Arabien zugelassene Rechtsberatung, bevor Sie auf Grundlage dieses Leitfadens handeln.
Häufig gestellte Fragen: Saudi-PDPL und lokale KI
Verlangt das saudi-arabische PDPL, dass alle Daten in Saudi-Arabien bleiben?
Nein — das PDPL ist kein pauschales Datenlokalisierungsgesetz. Sein Artikel 29 ist ein regulierter Rahmen für grenzüberschreitende Übermittlungen: Übermittlungen ins Ausland sind nur zulässig, wenn sie die Bedingungen zu nationaler Sicherheit, angemessenem Schutz und Datenminimierung erfüllen. Da die SDAIA jedoch ihre Angemessenheits-Länderliste noch nicht veröffentlicht hat und Sektorregeln (SAMA, Gesundheit) eine In-Kingdom-Speicherung vorschreiben können, ist es oft der einfachste konforme Weg, Daten im Land zu halten.
Was ist die SDAIA und welche Befugnisse hat sie?
Die SDAIA (Saudi Data and Artificial Intelligence Authority) ist die zuständige Aufsichtsbehörde für das PDPL. Sie beaufsichtigt die Compliance, betreibt Durchsetzungsausschüsse, gibt Standardvertragsklauseln und Übermittlungsleitlinien heraus und kann Verwaltungsstrafen bis zu 5.000.000 SAR verhängen — verdoppelt bei Wiederholungstätern. Sie hat seit Beginn der vollständigen Durchsetzung im September 2024 48 förmliche Verstoßentscheidungen erlassen.
Wie gilt Artikel 29 des PDPL für Cloud-KI-Dienste?
Wenn ein Prompt personenbezogene Daten enthält und an einen Inferenzserver außerhalb des Königreichs gesendet wird, ist das eine grenzüberschreitende Übermittlung nach Artikel 29. Sie müssen die Prüfung der nationalen Sicherheit erfüllen, einen gleichwertigen Schutz in der Empfängerjurisdiktion nachweisen (typischerweise über SDAIA-SCCs, da noch keine Angemessenheitsliste existiert) und nur die mindestens erforderlichen Daten übermitteln. Lokale Inferenz vermeidet all dies.
Schützen mich AWS Riad oder Azure Saudi-Arabien vor PDPL-Risiken?
Teilweise. Das Hosting von Daten in einer saudi-arabischen Cloud-Region hilft bei der physischen Datenresidenz, doch der Anbieter hat weiterhin seinen US-Hauptsitz und unterliegt damit dem US-CLOUD Act, der unabhängig vom Speicherort die Herausgabe von Daten erzwingen kann. Auch die Angemessenheitsfrage für die Heimatjurisdiktion des Anbieters bleibt ungeklärt. Lokale KI vor Ort ist das einzige Modell, das beide Probleme beseitigt.
Was ist der CLOUD Act und warum ist er für saudi-arabische Unternehmen relevant?
Der US-CLOUD Act (18 U.S.C. § 2713) verpflichtet Cloud-Anbieter mit US-Hauptsitz, Daten auf eine gültige US-Regierungsanordnung hin herauszugeben, selbst wenn die Daten in einem ausländischen Rechenzentrum liegen. Für saudi-arabische Unternehmen kollidiert dies direkt mit dem Cloud Computing Regulatory Framework, das Anbietern die Offenlegung von Daten verbietet, außer soweit nach saudi-arabischem Recht erforderlich. Es besteht kein bilaterales US-saudisches CLOUD-Act-Abkommen zur Schlichtung des Konflikts.
Welche Sanktionen kann die SDAIA verhängen?
Verwaltungsstrafen bis zu 5.000.000 SAR (~1,33 Mio. USD), die bei wiederholten Verstößen verdoppelt werden können. Die vorsätzliche Offenlegung sensibler personenbezogener Daten in Schädigungs- oder Bereicherungsabsicht trägt strafrechtliche Sanktionen — Geldbußen bis zu 3.000.000 SAR und mögliche Freiheitsstrafe. Verwarnungen stehen als mildere Sanktion zur Verfügung.
Hat die SAMA gesonderte Datenlokalisierungsanforderungen?
Ja, und sie sind strenger als das allgemeine PDPL. Die SAMA verlangt von Finanzinstituten, Kernbanksysteme, Kundendaten, Transaktionsaufzeichnungen und Zahlungs-Credentials physisch in Saudi-Arabien zu halten, eine vorherige Freigabe vor der Nutzung eines Cloud-Dienstes einzuholen und eine gesonderte Freigabe für jede Cloud außerhalb des Königreichs zu erhalten. Die NCA setzt parallele Cybersicherheitskontrollen durch. KI vor Ort ist standardmäßig vollständig konform.
Welche sensiblen Datenkategorien erhalten nach dem PDPL eine strengere Behandlung?
Sieben Kategorien: rassische oder ethnische Herkunft; religiöse, weltanschauliche oder politische Überzeugungen; Strafregister; zur Identifizierung genutzte biometrische Daten; genetische Daten; Gesundheitsdaten; und Daten, die auf eine unbekannte Abstammung hinweisen. Fortlaufende oder umfangreiche grenzüberschreitende Übermittlungen dieser Kategorien erfordern eine verpflichtende Risikobewertung nach der Übermittlungsverordnung.
Beseitigt der lokale Betrieb von KI alle PDPL-Pflichten?
Nein — er beseitigt die Pflicht zur grenzüberschreitenden Übermittlung (Artikel 29), die schwierigste, doch Sie benötigen weiterhin eine Rechtsgrundlage für die Verarbeitung, müssen die Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung) wahren, technische und organisatorische Schutzmaßnahmen umsetzen und Audit-Protokolle führen. Der lokale Einsatz erleichtert die Erfüllung dieser verbleibenden Pflichten, weil alles unter Ihrer Kontrolle bleibt.
Was ist der Entwurf des saudi-arabischen Global AI Hub Law?
Es ist ein Gesetzesentwurf von 2025, der souveräne KI-Infrastruktur und Rechenzentrumsrahmen betont, die darauf ausgelegt sind, Daten und KI-Verarbeitung innerhalb des Königreichs zu halten und zugleich ausländische Investitionen anzuziehen. Zusammen mit der Erklärung des Kabinetts, 2026 zum Jahr der künstlichen Intelligenz zu machen, signalisiert er eine klare nationale Ausrichtung auf eine KI-Fähigkeit im Königreich — die der lokale Einsatz direkt unterstützt.
Muss ich bei Saudi-Einsätzen neben dem PDPL auch die DSGVO beachten?
Ja, wenn personenbezogene Daten von in der EU ansässigen Personen verarbeitet werden, gilt Artikel 44 der DSGVO parallel zum PDPL — Sie unterliegen dann einer doppelten Compliance, und beide Übermittlungsrahmen müssen gleichzeitig erfüllt werden. Für deutsche Organisationen empfiehlt sich eine Orientierung am BSI-Grundschutz für die technischen und organisatorischen Maßnahmen. Ein lokaler Einsatz innerhalb des Königreichs hilft beiden Regimen zugleich: Es gibt keine grenzüberschreitende Übermittlung nach Artikel 29 PDPL und keine Drittlandübermittlung nach Artikel 44 DSGVO, sofern die Daten Ihre Räumlichkeiten nicht verlassen.
Ist lokale KI-Infrastruktur in Saudi-Arabien für den deutschen Mittelstand geeignet?
Ja. Für den DACH-Mittelstand mit Geschäftstätigkeit am Golf vereinfacht lokale KI-Infrastruktur die Compliance erheblich: Eine einzige On-Premise-Architektur erfüllt PDPL, SAMA und — bei EU-Daten — die DSGVO zugleich, ohne separate Cloud-Genehmigungen und ohne zu überwachenden Datenabfluss. Die Ausrichtung am BSI-Grundschutz lässt sich auf eigener Hardware vollständig umsetzen, und Sie behalten die volle On-Premise-Kontrolle über jeden Prompt, jedes Modell und jedes Protokoll — ein klarer Vorteil gegenüber der Genehmigungskomplexität von Cloud-Diensten.
Quellen
- SDAIA — Personal Data Protection Law (offiziell) — sdaia.gov.sa
- ICLG — Data Protection Laws and Regulations: Saudi Arabia 2025–2026 — iclg.com
- A&O Shearman — Enforcement of the Saudi PDPL — aoshearman.com
- Clyde & Co — Enforcement of the Saudi PDP Law is live (March 2026) — clydeco.com
- King & Spalding — International Personal Data Transfers under the Saudi PDPL — kslaw.com
- Chambers & Partners — Data Protection & Privacy 2026: Saudi Arabia — chambers.com
- ITIF — Saudi Arabia Cross-Border Data Transfer Regulation (June 2025) — itif.org
- Kiteworks — SAMA Cloud Computing & Data Residency Compliance — kiteworks.com
- US Congress — CLOUD Act overview (18 U.S.C. § 2713) — congress.gov
- Simmons & Simmons — Cloud Computing Regulatory Framework (CCRF) in Saudi Arabia — simmons-simmons.com