Die intensiven Wirtschaftsbeziehungen zwischen Deutschland und der Türkei führen dazu, dass viele deutsche Unternehmen Niederlassungen in der Türkei haben. Diese Unternehmen, die ihren Sitz in der Türkei haben, aber auch die, die ihren Sitz im Ausland haben und in der Türkei Daten verarbeiten, stehen vor der Herausforderung, den Datenschutz nach türkischem Recht anzuwenden bzw. umzusetzen. In diesem Blogbeitrag möchten wir einen groben Überblick über das türkische Datenschutzgesetz geben und den Registrierungsprozess erläutern.

Was müssen Unternehmen im Rahmen des Datenschutzes beachten, wenn sie in der Türkei Niederlassungen besitzen und/oder Daten in der Türkei verarbeiten? Welche Pflichten haben sie?

Das türkische Datenschutzgesetz Nr. 6698 (KVKK) trat am 7.4.2016 in Kraft und orientiert sich an den Grundsätzen der Datenschutzgrundverordnung (DSGVO). Aus dem KVKK ergeben sich daher fast identische Pflichten eines Verantwortlichen.

Der Verantwortliche muss die Datenschutzgrundsätze aus dem 2. Abschnitt des türkischen Datenschutzgesetztes (Art. 4 ff. KVKK) einhalten und hat zudem die Pflichten,

  • die Informationspflichten umzusetzen (Art. 10 KVKK);
  • die Datensicherheit zu gewährleisten (Art. 12 KVKK);
  • die Registrierung der Datenverarbeitungsverfahren im öffentlichen Register der türkischen Datenschutzaufsichtsbehörde vorzunehmen (Art. 16 KVKK);
  • die Betroffenenanfragen zu beantworten (Art. 13 KVKK) und
  • die Anweisungen der Aufsichtsbehörde innerhalb von 30 Tagen nach Zustellung umzusetzen (Art. 15 KVKK).

Die Einhaltung und Umsetzung dieser Pflichten hat eine hohe Relevanz, da ein Verstoß gegen diese, wie es auch aus der DSGVO bekannt ist, sanktioniert werden kann. Verstöße gegen die Pflichten aus dem türkischen Datenschutzgesetz werden mit Verwaltungsstrafen geahndet. Danach kann z.B. ein Verstoß gegen Informationspflichten zur Folge haben, dass eine Geldstrafe von 5.000 bis 100.000 Türkische Lira (TL) von dem Unternehmen zu zahlen ist. Unzureichende Maßnahmen hinsichtlich der Datensicherheit werden mit 15.000 bis 1.000.000 TL geahndet. Sofern der Verantwortliche Entscheidungen der Aufsichtsbehörde nicht umsetzt, kann eine Geldstrafe von 25.000 bis 1.000.000 TL ergehen.

Weitere Pflichten, die sich aus dem KVKK ergeben, sind z. B. das Führen eines Inventars (Verarbeitungsverzeichnis), welches der Verantwortliche sowohl zu erstellen als auch zu pflegen hat. Anders als in der DSGVO besteht allerdings aus Art. 16 KVKK die Verpflichtung, Datenverarbeitungsverfahren in einem öffentlichen Register für Verantwortliche (VERBIS) zu dokumentieren.

Welche Unternehmen sind registrierungspflichtig?

Die türkische Aufsichtsbehörde (Kişisel Verileri Koruma Kurumu) hat mit der Entscheidung 2018/88 festgelegt, wer von der Registrierungspflicht betroffen ist.

Beginnend mit dem 1.10.2018 besteht diese Pflicht in folgenden Fällen:

  • Natürliche oder juristische Personen, die jährlich mehr als 50 Beschäftigte oder eine Unternehmensbilanz von mehr als 25 Mio. (TL) haben.
  • Natürliche und juristische Personen, die ihren Sitz außerhalb der Türkei haben.

Die Registrierungsfrist für die oben genannten Fälle sollte eigentlich am 30.9.2019 enden, wurde aber am 3.9.2019 bis zum 31.12.2019 verlängert.

Beginnend mit dem 1.1.2019 besteht die Registrierungspflicht ferner für

  • natürliche oder juristische Personen, die weniger als 50 Personen beschäftigen, eine Unternehmensbilanz mit weniger als 25 Mio. TL haben und deren Haupttätigkeit die Verarbeitung von besonderen Kategorien personenbezogener Daten darstellt.

In diesen Fällen endet die Registrierungsfrist am 31.3.2020.

  • Öffentliche Institutionen und Organisationen müssen die Registrierung seit dem 1.4.2019 vornehmen. Hier muss die Registrierung bis zum 30.6.2020 abgeschlossen sein.

Das türkische Datenschutzgesetz umschreibt in Art. 16 Abs. 2 grob die Ausnahmen der Registrierungspflicht und verweist gleichzeitig auf die Aufsichtsbehörde, welche weitere Ausnahmen benennen kann. Ein Ausnahmegrund kann danach z. B. die Datenverarbeitung zur Vorbeugung von Straftaten oder im Rahmen einer Strafermittlung sein.

Hinweis: Registrierungspflichtige Unternehmen sollten möglichst zeitnah den Zugang zu VERBIS beantragen und – sofern noch nicht geschehen – mit der Inventarerstellung beginnen, um innerhalb der Frist bis zum 31.12.2019 die Registrierung der Datenverarbeitung bei der Aufsichtsbehörde vornehmen zu können.

Registrierungsprozess

Sofern eine Registrierungspflicht besteht, wäre die erste Handlung, einen VERBIS Zugang zu beantragen. Hier stellt die Aufsichtbehörde ein Erstregistrierungsformular auf der Webseite zur Verfügung. Der Verantwortliche der Datenverarbeitung (das Unternehmen) erhält anschließend nach der Registrierung einen Benutzernamen und ein Kennwort zugesendet. Mit diesen Zugangsdaten ist der Zugriff auf VERBIS möglich. Im nächsten Schritt muss das registrierungspflichtige Unternehmen eine Kontaktperson benennen, die ihren Wohnsitz in der Türkei hat, die türkische Staatsangehörigkeit besitzt und mindestens 18 Jahre alt ist.

Verantwortliche mit Sitz im Ausland müssen einen Vertreter in der Türkei benennen, welcher die Kommunikation mit der Aufsichtsbehörde führt, auch zustellungs- und empfangsbevollmächtigt ist und die Registrierung der Datenverarbeitung vornimmt.

Hinweis: Sofern eine Registrierungspflicht besteht und diese nicht vorgenommen wurde, können verwaltungsrechtliche Sanktionen in Form von Geldstrafen von 20.000 bis hin zu 1.000.000 TL verhängt werden.

 Welche Angaben müssen im Register hinsichtlich der Datenverarbeitung geführt werden?

Angegeben werden müssen im Register gem. Art. 16 Abs. 3 KVKK:

  • Die Kontaktdaten des Verantwortlichen und dessen Vertreter bzw. eine Kontaktperson im Unternehmen,
  • der Zweck der Datenverarbeitung, Kategorien der betroffenen Personen und Daten,
  • Empfänger der Daten,
  • die Datenübermittlung ins Ausland,
  • die Technischen und Organisatorischen Maßnahmen und
  • die Aufbewahrungsdauer.

Für registrierungspflichtige Unternehmen besteht neben der Pflicht zur Registrierung in VERBIS zudem auch das Führen eines Inventars.

 Welche Anforderungen müssen bei der Erstellung des Inventars (Verarbeitungsverzeichnis) beachtet werden?

In einer gesonderten Richtlinie zum Register für Datenverantwortliche wird in Art. 5 die Pflicht zur Erstellung eines Inventars aufgeführt. Das Inventar ähnelt im Prinzip dem Verzeichnis von Verarbeitungstätigkeiten aus Art. 30 DSGVO. Gestützt auf die ausführlichen Angaben im Inventar soll das oben näher beschriebene Register vervollständigt werden.

Das Inventar ist nicht öffentlich zugänglich, soll der Aufsichtsbehörde eine Prüfung der Einhaltung aller datenschutzrechtlicher Vorgaben ermöglichen und auch der Eigenkontrolle des Verantwortlichen dienen.

In dem Inventar werden alle detaillierten Vorgänge eines Verarbeitungsverfahrens dokumentiert. Hingegen z. B. im Register in VERBIS nur die Kategorien und Oberbegriffe angegeben werden.

Die Mindestinhalte eines Inventars sind:

  • die Datenkategorien,
  • der Zweck und die Rechtsgrundlage der Verarbeitung,
  • die Empfänger/gruppen
  • die Gruppe der Betroffenen,
  • die maximale Aufbewahrungsdauer
  • Daten, die in ein Ausland übermittelt werden/ sollen
  • die Dokumentation der technischen und organisatorischen Maßnahmen.

Hinweis: Registrierungspflichtige Datenverantwortliche müssen demnach zusätzlich zum Register auch ein Inventar führen.

Weitere hilfreiche Ausführungen können auf der Webseite der türkischen Aufsichtsbehörde nachgelesen werden. Die KVKK stellt sehr detaillierte und umfassende Informationsmaterialen in türkischer Sprache zur Verfügung. Eine Darstellung der Datenschutzgrundsätze ist in englischer Sprache unter dem Titel „ Data protection in Turkey“ zu finden.