Mit der Einhaltung des türkischen Datenschutzgesetzes (KVKK) wird es ernst! | Prighter
Blog
Hinweis: Beiträge werden automatisch aus dem Englischen übersetzt. Für den Originalinhalt besuchen Sie bitte unsere englische Seite. Einige Übersetzungen sind möglicherweise nicht perfekt; wir danken Ihnen für Ihr Verständnis.
Illustration of the Turkish flag.

Türkisches Datenschutzgesetz (KVKK), VERBIS-Registrierung und was vor dem 31. Dezember 2021 zu tun ist!

Andreas Maetzler, Michael Schweiger

Was ist KVKK?

Das türkische Datenschutzgesetz (türkisches Gesetz Nr. 6698 - KVKK) wurde im März 2016 verabschiedet und trat im April 2016 in Kraft. Unter anderem enthält Artikel 16 des KVKK eine Bestimmung, wonach sich alle für die Verarbeitung Verantwortlichen, die diesem Gesetz unterliegen, in einem Register für für die Verarbeitung Verantwortlicher (VERBIS) registrieren müssen. Außerdem müssen für die Verarbeitung Verantwortliche mit Sitz außerhalb der Türkei **einen Vertreter ben**ennen. Die Frist für die Einhaltung dieser Verpflichtungen wurde mehrmals verschoben und lief schließlich am 31. Dezember 2021 ab.

Finden Sie in diesem Artikel heraus, ob Ihre Organisation der KVKK unterliegt! Weitere Informationen finden Sie hier.

1. Ist Ihre Organisation der KVKK unterstellt?

Artikel 2 KVKK definiert den Geltungsbereich der türkischen Datenschutzverordnung. Die KVKK gilt für natürliche und juristische Personen, die personenbezogene Daten türkischer Datensubjekte verarbeiten. Ein “Datensubjekt” ist die Person, deren personenbezogene Daten verarbeitet werden. “Personenbezogene Daten” sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Die Definition des Begriffs “Verarbeitung” ist sehr weit gefasst und schließt jeden Vorgang ein, der mit den Daten durchgeführt wird, wie z. B. das Sammeln, Aufzeichnen, Speichern, Verändern, Übertragen usw. Das Gesetz unterscheidet nicht zwischen öffentlichen und privaten Stellen. Die festgelegten Verfahren und Grundsätze gelten generell für alle Organisationen.Ausnahmen von der Anwendbarkeit sind die Verarbeitung nur für Zwecke privater Haushalte, amtliche Statistiken mit anonymisierten Daten, die Verarbeitung durch Justizbehörden und die Verarbeitung für die öffentliche Ordnung.

2. Datenverantwortlicher Register VERBIS und VERBIS-Vertreter

Ein “für die Verarbeitung Verantwortlicher” gemäß Art. 4 Abs. 1 lit. i) KVKK ist eine juristische oder natürliche Person, die über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheidet. Artikel 16 KVKK schreibt vor, dass sich alle türkischen und nicht-türkischen für die Datenverarbeitung Verantwortlichen im Register der für die Datenverarbeitung Verantwortlichen (VERBIS) registrieren lassen müssen, bevor sie mit der Verarbeitung personenbezogener Daten beginnen. Nur bestimmte Berufsgruppen wie Notare, Anwaltskanzleien und Wirtschaftsprüfungsgesellschaften, Gewerkschaften und politische Parteien sind davon ausgenommen. Für nicht-türkische für die Datenverarbeitung Verantwortliche gibt es keinen Schwellenwert in Bezug auf den Umsatz oder die Zahl der Beschäftigten, so dass auch kleine nicht-türkische Organisationen der KVKK unterliegen.

Die VERBIS-Registrierung erfordert die Eingabe der Verarbeitungstätigkeiten eines Unternehmens mit:

  • die Datenkategorien,
  • die Kategorien der betroffenen Personen,
  • die Zwecke der Verarbeitung,
  • Rechtsgrundlage,
  • Datenübertragungen,
  • technische und organisatorische Maßnahmen und
  • Aufbewahrungsfrist.

Alle Änderungen dieser Aufzeichnungen müssen über VERBIS innerhalb von sieben Tagen nach der Änderung veröffentlicht werden.

Dieses Register ist unter der Aufsicht der türkischen Datenschutzbehörden zu veröffentlichen.

3. Anforderungen für nicht-türkische für die Verarbeitung Verantwortliche

Ähnlich wie Artikel 27 der Datenschutz-Grundverordnung enthält die türkische Datenschutzverordnung eine Bestimmung, die nur für ausländische für die Verarbeitung Verantwortliche gilt und sie verpflichtet, zusätzlich zur VERBIS-Registrierung einen Vertreter in der Türkei zu benennen. Anders als nach der DSGVO besteht für Datenverarbeiter keine Verpflichtung, einen Vertreter zu benennen. Es ist jedoch wichtig zu beachten, dass die Anwendbarkeit von KVKK nicht von der Menge der verarbeiteten Daten türkischer Betroffener abhängt. Wenn man also ein B2B-Dienstleister mit begrenzter Verkaufstätigkeit in der Türkei ist, schließt das die Anwendbarkeit der KVKK nicht per se aus.

Der Vertreter ist Ansprechpartner für die türkische Datenschutzbehörde und für die betroffenen Personen und übernimmt die Kommunikation mit diesen Akteuren. Die Tatsache, dass ein Unternehmen einen Vertreter benannt hat, muss der türkischen betroffenen Person mitgeteilt werden, wenn sie ihre personenbezogenen Daten erhebt, um ihren Informationspflichten nachzukommen. Die übliche Art und Weise, dieser Verpflichtung nachzukommen, ist die Aufnahme eines entsprechenden Hinweises in die Datenschutzbestimmungen. Darüber hinaus nimmt der Vertreter die Registrierung für VERBIS vor. Die herrschende Rechtsauffassung hält eine Registrierung durch einen ausländischen für die Verarbeitung Verantwortlichen selbst für unmöglich. Zumindest aus praktischer Sicht ist dies sinnvoll, denn der Versuch einer Selbstregistrierung durch einen ausländischen für die Datenverarbeitung Verantwortlichen wäre so, als hätte man selbst gegenüber der türkischen Datenschutzbehörde erklärt, dass man der Verpflichtung zur Bestellung eines Vertreters nicht nachkommt. In der DSGVO und der UK-GDPR findet sich eine Ausnahme für die Bestellung eines Vertreters für öffentliche Einrichtungen, d. h. öffentliche Universitäten und staatliche Einrichtungen müssen gemäß Artikel 27 (UK) DSGVO keinen Vertreter bestellen. Wie bereits erwähnt, unterscheidet die KVKK jedoch nicht zwischen privaten und öffentlichen Einrichtungen, sondern enthält nur Ausnahmen für präventive, schützende und nachrichtendienstliche Tätigkeiten öffentlicher Einrichtungen. Das Verfahren zur Ernennung eines Vertreters des für die Verarbeitung Verantwortlichen ist in der Türkei komplizierter als nach der DSGVO, da die Ernennung unterzeichnet und die Unterschrift notariell beglaubigt und apostilliert werden muss. Ein durchgängig digitaler Prozess ist nicht möglich.

4. Rechte der betroffenen Person nach KVKK

Wenn sie den türkischen Markt erschließen, sollten ausländische für die Datenverarbeitung Verantwortliche auch darauf vorbereitet sein, die Rechte der betroffenen Personen im Einklang mit dem KVKK zu behandeln. Artikel 10 KVKK verpflichtet die für die Datenverarbeitung Verantwortlichen , die betroffene Person über die Verarbeitung personenbezogener Daten zu informieren. Dies kann in den Datenschutzbestimmungen geschehen. Der für die Verarbeitung Verantwortliche muss über seine Identität, seinen Vertreter in der Türkei, die Zwecke der Verarbeitung, die Datenübermittlungen, die Rechtsgrundlage und über die von der KVKK gewährten Rechte der betroffenen Person informieren. Wir gehen davon aus, dass bei der Bewertung dieser Informationen ein ähnlicher Maßstab angelegt wird wie bei der Informationspflicht gemäß GDPR. Daher sollten die Informationen kurz, transparent, verständlich und in einer leicht zugänglichen Form sein, wobei eine klare und einfache Sprache zu verwenden ist. Neben dem Recht auf Information haben türkische Betroffene die folgenden Betroffenenrechte (DSRs):

  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Vergessenwerden
  • Recht auf Einschränkung
  • Recht auf Widerspruch gegen die Verarbeitung durch automatisierte Entscheidungsfindung
  • Recht auf Schadenersatz

Die türkische Datenschutzbehörde hat ein Kommuniqué veröffentlicht, in dem das Verfahren für den Antrag der betroffenen Person beschrieben wird. Der Antrag der betroffenen Person muss den Namen, die Anschrift, die Nummer des türkischen Staatsbürgers (TC), eine Kontaktmöglichkeit (E-Mail, Fax, Telefon) und natürlich den Gegenstand der DSR enthalten. Die Antwort des für die Verarbeitung Verantwortlichen muss dieselben Informationen enthalten.

5. Wie hoch sind die Geldbußen bei Nichteinhaltung?

Für Verstöße gegen die Offenlegungspflichten können im Jahr 2022 Geldbußen von bis zu 270.000 TL verhängt werden. Bei Verstößen gegen die Registrierungspflicht in VERBIS können jedoch deutlich höhere Geldbußen von bis zu 2 700 000 TL verhängt werden. Die Bußgelder in der Türkei werden jedes Jahr neu festgesetzt. Die Erhöhung von 2021 auf 2022 beträgt 36,20 %. Dies sollte bei der Arbeit an der Einhaltung der KVKK berücksichtigt werden.