Datenschutzkonformität für Ihr Unternehmen in der Türkei

von unserem deutschsprachigen CBBL-Anwalt Herrn Assoc. Prof. Dr. jur. Mehmet Köksal, Avukat, koksal@cbbl-lawyers.de, Tel. +90 - 212 276 98 20, https://koksal.av.tr/de


Wir helfen Ihnen dabei in der Türkei Datenschutzkonformität zu erreichen und rechtliche Risiken zu minimieren!

Einführung

Das türkische Datenschutzgesetz ist am 7. April 2016 in Kraft getreten: Grundsätzlich können personenbezogene Daten nicht ohne die ausdrückliche Zustimmung der betreffenden Person verarbeitet werden. Auch weitere Pflichten sind seitens der Datenverantwortlichen zu beachten. Bei besonderen personenbezogenen Daten gelten noch strengere Vorschriften.

Wichtig! Die Frist zur Registrierung und Eintragung ins Zentralregister (VERBIS) läuft am 31.12.2021 ab. Diese Frist wurde dreimal verlängert, und wird nicht noch einmal verlängert. Ab dem 1.1.2022 beginnt die Behörde zu prüfen, wer diese Pflicht erfüllt hat. Für das Versäumnis der Frist drohen Bußgelder von bis zu 2 Millionen TL.

Auch ausländische Unternehmen sind vom türkischen Datenschutzgesetz betroffen:

  • Juristische Personen, die im Ausland ansässig sind und in der Türkei Daten erheben
  • Türkische Niederlassungen der im Ausland ansässigen juristischen Personen
  • Verbindungsbüros der im Ausland ansässigen juristischen Personen 

Inhalt: 

1.    Wen betrifft das türkische Datenschutzgesetz?

2.    Was sind personenbezogene Daten in der Türkei?

3.    Was sind besondere personenbezogene Daten in der Türkei?

4.    Beispiele der Verarbeitung von personenbezogenen Daten in der Türkei

5.    Überblick der allgemeinen Pflichten nach türkischen Datenschutzrecht

6.    Welche sind die spezifischen Pflichten der Datenverarbeiter (Datenverantwortlichen) in der Türkei?

7.    Welche Rechte haben die Datensubjekte in der Türkei?
 

1. Wen betrifft das türkische Datenschutzgesetz?

Das türkische Datenschutzgesetz unterscheidet nicht danach, ob die verarbeitende Person im Inland oder im Ausland ansässig ist. Um von den Pflichten des türkischen Datenschutzgesetzes erfasst zu werden, ist es ausschlaggebend, dass die betreffende Person Daten von Personen verarbeitet, sammelt oder speichert, die entweder in der Türkei ansässig sind oder die türkische Staatsangehörigkeit haben.
 

2. Was sind personenbezogene Daten in der Türkei?

Personenbezogene Daten sind alle Daten, die Informationen enthalten, die auf eine identifizierbare natürliche Person zurückführen. Die betreffenden Informationen müssen nicht vertraulich sein, um als personenbezogene Daten zu gelten. Nicht nur elektronische oder handgeschriebene schriftliche Daten, sondern auch Audio- und Videodaten gehören zu personenbezogene Daten. Personenbezogene Daten einer verstorbenen Person müssen ebenfalls geschützt werden, sofern diese Auswirkungen auf Überlebende haben. Falls mit den vorliegenden Daten die Person kontaktiert werden kann, reicht dies in allen Fällen aus, diese als personenbezogene Daten einstufen zu können. Anonymisierte Daten sind keine personenbezogenen Daten.
 

3. Was sind besondere personenbezogene Daten in der Türkei?

Da ein enger Zusammenhang zwischen privaten personenbezogenen Daten und den Grundrechten und -Freiheiten des Einzelnen besteht, wurden Vorkehrungen getroffen, um diese Daten wirksamer zu schützen und unter besonderen Schutz zu stellen. Daten über die Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Sektenzugehörigkeit oder andere Überzeugungen, Verkleidung und Kleidung, Mitgliedschaft in Verbänden, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten sind solche personenbezogene Daten besonderer Art. Das gemeinsame Merkmal dieser Datengruppen ist die Gefahr der Diskriminierung, die als hoher Risikofaktor angesehen wird.
 

4. Beispiele der Verarbeitung von personenbezogenen Daten in der Türkei

  • Aufzeichnungen von Stimme oder Bild einer Person (z.B. zur Überwachung von einem Arbeitsplatz)
  • Abrufungen von Telefonnummer, E-Mail-Adresse oder IP-Adressen
  • Überprüfung oder Verarbeitung von Informationen, aus denen die Kreditwürdigkeit der Person hervorgeht
  • Übertragung von Informationen auf andere Behörden und/oder Verwendung für die Bereitstellung neuer Dienste

Alle Datenverarbeitungsaktivitäten, die nicht ausdrücklich bestimmt sind, fallen in den Geltungsbereich des Gesetzes.
 

5. Überblick der allgemeinen Pflichten nach türkischen Datenschutzrecht

Personenbezogene Daten dürfen nur in Übereinstimmung mit den in den Gesetzen festgelegten Verfahren und Grundsätzen verarbeitet werden. Darüber hinaus sind folgende Grundsätze einzuhalten:

a) Rechtmäßigkeit und Übereinstimmung mit den Regeln von Treu und Glauben

b) Genauigkeit und Aktualität, falls erforderlich

c) Verarbeitung zu bestimmten, eindeutigen und rechtmäßigen Zwecken

d) Relevant, beschränkt und verhältnismäßig für die Zwecke, für die sie verarbeitet werden.

e) Aufbewahrung für den Zeitraum, der durch die einschlägigen Rechtsvorschriften oder den Zweck, für den sie verarbeitet werden, vorgeschrieben ist.
 

6. Welche sind die spezifischen Pflichten der Datenverarbeiter (Datenverantwortlichen) in der Türkei?


- Anmeldungen bei VERBIS – Deadline: 31. Dezember 2021

Einführung (Begriffe):

Veri Sorumlusu (Datenverantwortlicher / Datenkontrolleur / DC)
ist eine (juristische oder natürliche) Person, die die Datenverarbeitungspläne erstellt, die Ziele und Mittel dazu bestimmt, und die verantwortlich für das System und dessen Schutz ist (s. auch Artikel 4 Abs. 7 der Richtlinie 95/46/EG).

Veri Sorumlusu Temsilcisi (Vertreter des Datenkontrolleurs / DCR)
ist die Person, die den ausländischen Datenkontrolleur in der Türkei vertritt. Diese Person kann entweder eine in der Türkei gegründete juristische Person sein oder eine natürliche Person. Wurde eine natürliche Person als DCR bestellt, so muss diese Person die türkische Staatsangehörigkeit besitzen (Artikel 4 Buchstabe p und Art. 11 Abs. 2 und 3 der Verordnung zum Datenschutzregister).

Veri Koruma Görevlisi (Datenschutz Beauftragte / DPO)
ist zu ernennen, wenn die Datenverarbeitung seitens einer öffentlichen Behörde erfolgt oder Daten von mehreren Personen in großen Mengen gesammelt und gespeichert werden. DPOs sind im türkischen Datenschutzgesetz nicht vorgesehen. DPOs sind in der europäischen Richtlinie geregelt.

1.      Im Ausland ansässige juristische Personen, die in der Türkei Daten erheben

Diese Personen müssen eine Person in der Türkei als DCR bestellen, und sich über diese als Datakontrolleur (DC) ins türkische Datenschutzregister eintragen lassen.

Die im Ausland ansässigen Personen können auch anderweitig in der Türkei beschäftigt sein. Diese können in der Türkei entweder eine Niederlassung (Şube) haben oder ein Verbindungsbüro. Der Beschluss des Aufsichtsamtes zum Datenschutz vom 23/07/2019 regelt, ob dann die Niederlassung oder das Verbindungsbüro selbst als DC eingetragen werden müssen.

2.    Türkische Niederlassungen der im Ausland ansässigen juristischen Personen

Der o.g. Beschluss wertete die Regelungen über Niederlassungen aus und kam zu dem Schluss, dass die Niederlassungen ausländischer juristischer Personen zwar keine Rechtspersönlichkeit haben, aber sie in der Türkei im Handelsregister wie andere Gesellschaften eingetragen sind und dadurch die Niederlassungen selbst auch als Datenverantwortliche ins Datenschutzregister einzutragen sind. Dies entspricht auch der Regelung in Artikel 4 der EU-Richtlinie und den Regelungen des türkischen Datenschutzgesetzes.

Weiterhin ist jedoch zu beachten , dass neben der Pflicht zur Registrierung der Niederlassung auch eine Pflicht für die im Ausland ansässige Hauptgesellschaft entstehen könnte, wenn der Hauptserver, auf dem persönliche Daten (auch die der Mitarbeiter der Niederlassung) gespeichert werden, im Ausland steht. Zumindest müsste in solchen Fällen ein Antrag auf Erlaubnis von Datentransfers ins Ausland gestellt werden.

3.    Verbindungsbüros der im Ausland ansässigen juristischen Personen

Ein Verbindungsbüro ist nicht verantwortlich als Datenkontrolleur und muss nicht als Datenkontrolleur ins türkische Datenschutzregister eingetragen werden. Allerdings werden zumindest die Daten von den Beschäftigten erfasst. Somit besagt das Aufsichtsamt, dass die Hauptgesellschaft, auch wenn diese sich im Ausland befindet, in der Türkei als Datenkontrolleur verantwortlich ist und sich ins Datenschutzregister einzutragen hat. 

a) Die Hauptgesellschaft eines Verbindungsbüros wird in der Türkei als Datenkontrolleur eigetragen.
b) Der Datenkontrolleur hat einen Vertreter in der Türkei zu benennen. Die Art und Weise der Ernennung wird in der diesbezüglichen Verordnung festgelegt. 
c) Der Vertreter des Datenkontrolleurs ist dann der Ansprechpartner des Aufsichtsamtes zum Datenschutz.


- Einholung der ausdrücklichen Zustimmung zur Verarbeitung und Übermittlung personenbezogener Daten

Grundsätzlich dürfen personenbezogene Daten nicht ohne ausdrückliche Zustimmung der betroffenen Person verarbeitet werden. Personenbezogene Daten dürfen ohne ausdrückliche Zustimmung der betroffenen Person nur dann verarbeitet werden, wenn eine der folgenden Bedingungen erfüllt ist:

a) Die Datenverarbeitung ist durch die Gesetze eindeutig vorgesehen,

b) sie ist zum Schutz des Lebens oder der körperlichen Unversehrtheit der Person oder einer anderen Person, die körperlich zur Erteilung der Einwilligung nicht in der Lage ist oder deren Einwilligung nicht rechtswirksam ist, zwingend erforderlich.

c) Die Verarbeitung personenbezogener Daten der Vertragsparteien ist erforderlich, sofern sie in direktem Zusammenhang mit dem Abschluss oder der Erfüllung dieses Vertrags steht.

d) Sie ist zwingend erforderlich, damit der Verantwortliche seinen gesetzlichen Verpflichtungen nachkommen kann.

e) Die betroffenen Daten werden von der betroffenen Person selbst der Öffentlichkeit zugänglich gemacht.

f) Die Datenverarbeitung ist für die Geltendmachung, Ausübung oder den Schutz eines Rechts erforderlich.

g) Es ist für die berechtigten Interessen des Verantwortlichen zwingend erforderlich, sofern diese Verarbeitung nicht die Grundrechte und Grundfreiheiten der betroffenen Person verletzt.


... für besondere personenbezogene Daten

Es ist untersagt, personenbezogene Daten besonderer Art ohne ausdrückliche Zustimmung der betroffenen Person zu verarbeiten.

Personenbezogene Daten besonderer Art, mit Ausnahme von Daten zu Gesundheit und Sexualleben, können in den gesetzlich vorgesehenen Fällen ohne ausdrückliche Zustimmung der betroffenen Person verarbeitet werden. 

Personenbezogene Daten über Gesundheit und Sexualleben dürfen ohne ausdrückliche Zustimmung der betroffenen Person nur von Personen oder befugten öffentlichen Einrichtungen und Organisationen verarbeitet werden, die zur Vertraulichkeit verpflichtet sind, zum Schutz der öffentlichen Gesundheit, zum Betrieb der Präventivmedizin, medizinischer Diagnose-, Behandlungs- und Pflegeleistungen, zur Planung und Verwaltung von Gesundheitsleistungen sowie deren Finanzierung. 

Es ist auch vorgesehen, dass bei der Verarbeitung personenbezogener Daten besonderer Art angemessene, von den Regulierungsbehörden festgelegte Maßnahmen ergriffen werden.


... bei Übermittlungen ins Ausland

Personenbezogene Daten dürfen ohne ausdrückliche Zustimmung der betroffenen Person nicht ins Ausland transferiert werden. Personenbezogene Daten können ohne ausdrückliche Zustimmung der betroffenen Person ins Ausland übermittelt werden, sofern eine der Ausnahmebedingungen vorliegt und

(a) im Ausland, in das die Daten übermittelt werden sollen, ein ausreichender Schutz gewährleistet ist,
(b) die für die Verarbeitung Verantwortlichen in der Türkei und im zugehörigen Ausland einen ausreichenden Schutz schriftlich gewährleisten und die Behörden eine solche Übermittlung genehmigt haben.

Die Behörden bestimmen und geben die Länder bekannt, in denen ein ausreichendes Schutzniveau gewährleistet ist.

In Fällen, in denen die Interessen der Türkei oder der betroffenen Person ernsthaft gefährdet werden, dürfen personenbezogene Daten unbeschadet der Bestimmungen internationaler Abkommen nur mit Zustimmung der Behörden und nach Einholung der Stellungnahme der entsprechenden öffentlichen Einrichtungen ins Ausland übermittelt werden.

Etwas problematisch ist derzeit die Beantragung der Datenübermittlung ins Ausland. Eine Liste sicherer Länder hat die Regulierungsbehörde noch nicht erstellt. Alle Anträge werden derzeit von Fall zu Fall geprüft.


- Weitere Pflichten bei allen personenbezogenen Daten:

a) Information der betroffenen Personen

Bei der Erhebung personenbezogener Daten ist der Verantwortliche oder die von ihm bevollmächtigte Person verpflichtet, die betroffenen Personen über Folgendes zu informieren: a) die Identität des Verantwortlichen und gegebenenfalls seines Vertreters, b) den Zweck der Datenverarbeitung; c) an wen und zu welchen Zwecken die verarbeiteten Daten weitergegeben werden dürfen, d) die Art und der Rechtsgrund der Erhebung personenbezogener Daten, e) die Rechte der betroffenen Person.

b) Gewährleistung der Datensicherheit

Der Daten-Verantwortliche muss alle erforderlichen technischen und administrativen Maßnahmen ergreifen, um ein ausreichendes Sicherheitsniveau zu gewährleisten, um: a) eine unrechtmäßige Verarbeitung personenbezogener Daten zu verhindern, b) einen unrechtmäßigen Zugriff auf personenbezogene Daten zu verhindern, c) die Aufbewahrung personenbezogener Daten sicherzustellen. Bei einer Verarbeitung personenbezogener Daten durch eine natürliche oder juristische Person im Auftrag des Daten-Verantwortlichen ist dieser gemeinsam mit diesen Personen für die Durchführung der vorgesehenen Maßnahmen verantwortlich. Darüber hinaus ist der Verantwortliche verpflichtet, zur Durchführung der Bestimmungen dieses Gesetzes erforderliche Kontrollen durchzuführen oder in seiner eigenen Einrichtung oder Organisation durchführen zu lassen. Die Daten-Verantwortlichen und Auftragsverarbeiter dürfen die personenbezogenen Daten, die sie erhoben haben, nicht an Dritte weitergeben, die gegen dieses Gesetz verstoßen, und verwenden diese Daten auch nicht für andere Zwecke als die Verarbeitung. Diese Verpflichtung besteht auch nach Ablauf ihrer Laufzeit fort. Falls die verarbeiteten Daten von anderen auf unrechtmäßige Weise erhoben werden, benachrichtigt der Verantwortliche die betroffene Person und den Vorstand innerhalb kürzester Zeit. Falls erforderlich, kann der Vorstand einen solchen Verstoß auf seiner offiziellen Website oder auf andere Weise, die er für angemessen hält, bekanntgeben.

c) Erstellung der Richtlinie zur Löschung, Vernichtung und Anonymisierung

Personenbezogene Daten werden von dem für die Daten-Verarbeitung Verantwortlichen von Amts wegen oder auf Verlangen der betroffenen Person gelöscht, vernichtet oder anonymisiert, wenn die Gründe, die die Verarbeitung erfordern, wegfallen.

d) Bei Bedarf: Weiterbildungen und Seminare für Mitarbeiter


- Bei der Verarbeitung besonderer personenbezogener Daten sind zusätzlich folgende Pflichten zu beachten:

a) Erstellung einer Sicherheitsrichtlinie für besondere personenbezogene Daten

b) Definition der Beschränkungen in Bezug auf Befugnisse, Aufsicht und Pflichten der Mitarbeiter, die an der Verarbeitung besonderer personenbezogener Daten beteiligt sind

c) Gewährleistung der Umweltsicherheit in Bezug auf besondere personenbezogene Daten, die in elektronischen und physischen Umgebungen verarbeitet werden, sowie die Übermittlung besonderer personenbezogener Daten sowie technische und administrative Maßnahmen.
 

7. Welche Rechte haben die Datensubjekte in der Türkei?

Jede Person hat das Recht, sich an den Daten-Verantwortlichen zu wenden, um:

a) zu erfahren, ob ihre personenbezogenen Daten verarbeitet werden oder nicht,

b) Auskunft zu verlangen, wenn ihre personenbezogenen Daten verarbeitet werden,

c) den Zweck der Verarbeitung ihrer Daten zu erfahren und zu erfahren, ob diese Daten bestimmungsgemäß verwendet werden,

d) zu erfahren an welche Dritte ihre personenbezogenen Daten im In- oder Ausland übermittelt werden,

e) gegebenenfalls die Berichtigung unvollständiger oder unrichtiger Daten zu verlangen,

f) die Löschung oder Vernichtung ihrer personenbezogenen Daten unter den in Artikel 7 festgelegten Bedingungen zu verlangen.

g) eine Benachrichtigung über die in Übereinstimmung mit den Buchstaben (e) und (f) durchgeführten Vorgänge an Dritte zu verlangen, an die ihre personenbezogenen Daten übermittelt wurden,

h) der ausschließlich automatisierten Verarbeitung ihrer personenbezogenen Daten, die für die betroffene Person nachteilige Folgen hat, zu widersprechen,

i) Ersatz des Schadens zu verlangen, der aus der unrechtmäßigen Verarbeitung ihrer personenbezogenen Daten entsteht.


Rechtssicher im Türkeigeschäft mit der führenden deutschsprachigen Wirtschaftskanzlei in der Türkei!

Wir bieten Full-Service-Dienstleistungen für Ihre Datenschutz-Compliance in der Türkei:

  • Vollständiger Datenschutz-Compliance-Check-up
  • Erstellung von Informations- und Einwilligungstexten
  • Erstellung von Richtlinien zur Löschung, Vernichtung und Anonymisierung sowie zur Verarbeitung personenbezogener Daten besonderer Art
  • Antrag auf Datenübermittlung ins Ausland
  • VERBIS Registrierungs- und Vertretungsdienste für ausländische Datenverantwortliche
  • Datenschutzkonformität mit Mitarbeitern in der Türkei (DSGVO und Arbeitsrecht)
  • und mehr ...
     

Sie wünschen weitere Informationen zum Datenschutz in der Türkei? Sprechen Sie uns an!

Unsere Datenschutzexperten Frau Kübra Köksal Yılmaz, LL.M, yilmaz@cbbl-lawyers.de, sowie Herr Prof. Dr. Mehmet Köksal, koksal@cbbl-lawyers.de, Tel. +90 - 212 276 98 20, stehen Ihnen gerne zur Verfügung.


Stand der Bearbeitung: Oktober 2021