KI-Tools und Mitarbeiterdaten: KVKK-Pflichten für Arbeitgeber

KI-gestützte Produktivitätstracker, automatisierte Planungssysteme und Sprachanalyse-Tools gehören in vielen Unternehmen längst zum Arbeitsalltag — auch bei Firmen in der Türkei, darunter zahlreiche ausländische Gesellschaften mit Sitz in Antalya. Sobald diese Werkzeuge personenbezogene Daten von Beschäftigten verarbeiten, greift das türkische Datenschutzgesetz (Kişisel Verilerin Korunması Kanunu, KVKK). Wer als Arbeitgeber die einschlägigen Pflichten vernachlässigt, riskiert Bußgelder der Datenschutzbehörde, Mitarbeiterbeschwerden und empfindliche Reputationsschäden. Einen umfassenden Überblick über das KVKK-Recht finden Sie in unserem Artikel zum allgemeinen KI-Rechtsrahmen in der Türkei.

Welche Mitarbeiterdaten verarbeiten KI-Tools tatsächlich?

Die Bandbreite ist größer, als viele Arbeitgeber vermuten. Verbreitete KI-Anwendungen können Folgendes erfassen: Namen und Kontaktdaten, Kommunikationsmetadaten (wer schreibt wem, wann), Geräteprotokolle, Produktivitätskennzahlen, Standortdaten für mobil oder remote tätige Mitarbeiter sowie — in einer wachsenden Zahl von Fällen — biometrische Daten wie Gesichtsbilder für Zeiterfassungssysteme oder Stimmaufzeichnungen für KI-Transkription.

Biometrische Daten sind im KVKK eine Sonderkategorie. Artikel 6 des Gesetzes stuft biometrische und genetische Daten als besonders schutzwürdige Daten ein. Ihre Verarbeitung ist grundsätzlich verboten. Erlaubt ist sie nur, wenn eine der gesetzlich geregelten Ausnahmen greift — zum Beispiel ausdrückliche Einwilligung oder ein spezifischer gesetzlicher Erlaubnistatbestand — und zugleich die vom Datenschutzbeirat (KVKK-Behörde) vorgeschriebenen Sicherheitsmaßnahmen eingehalten werden. Unternehmen, die Gesichtserkennung oder KI-Sprachanalyse einsetzen wollen, sollten diese Anforderungen vor der Inbetriebnahme sorgfältig prüfen.

Die richtige Rechtsgrundlage nach dem KVKK

Nach KVKK Artikel 5 braucht jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Die ausdrückliche Einwilligung der Beschäftigten klingt naheliegend, erweist sich aber im Arbeitsverhältnis als rechtlich fragil: Aufgrund des strukturellen Machtgefälles zwischen Arbeitgeber und Arbeitnehmer kann eine in diesem Kontext erteilte Einwilligung häufig nicht als wirklich freiwillig gelten.

Belastbarere Grundlagen für den KI-Einsatz am Arbeitsplatz sind:

• Vertragserfüllung (Art. 5/2/c): Daten, die für die Durchführung des Arbeitsvertrags unmittelbar erforderlich sind, etwa die Entgeltabrechnung.
• Rechtliche Verpflichtung (Art. 5/2/ç): Verarbeitung, die das türkische Arbeitsrecht, Arbeitsschutzrecht oder Steuerrecht ausdrücklich vorschreibt.
• Berechtigtes Interesse (Art. 5/2/f): Das legitime betriebliche Interesse des Arbeitgebers — sofern es die Grundrechte der Beschäftigten nicht überwiegt. Diese Grundlage wird für betriebliches Monitoring am häufigsten herangezogen, setzt aber eine dokumentierte Verhältnismäßigkeitsprüfung voraus.

Praxishinweis: Allein auf die Einwilligung der Mitarbeiter zu setzen, ist in der Türkei keine verlässliche Strategie. Legen Sie eine tragfähige Rechtsgrundlage fest und dokumentieren Sie sie.

Informationspflichten vor dem Einsatz von KI-Tools

Bevor ein KI-Tool mit Mitarbeiterdaten in Betrieb geht, verlangt KVKK Artikel 10, dass Sie als Verantwortlicher Ihre Beschäftigten über Folgendes informieren: Ihre Identität als Verantwortlicher, den Verarbeitungszweck, an wen die Daten weitergegeben werden können und warum, die Erhebungsmethode sowie die Rechtsgrundlage, und schließlich die Rechte der Mitarbeiter nach Artikel 11. Diese Pflicht muss vor oder bei der Datenerhebung erfüllt sein.

Das bedeutet in der Praxis: Ihre betriebliche Datenschutzerklärung (aydınlatma metni) muss konkret das einzusetzende KI-Tool abdecken; allgemeine Klauseln genügen nicht. Wenn das Tool Mitarbeiterdaten an einen Drittanbieter — insbesondere an Dienste außerhalb der Türkei — weitergibt, muss auch dieser Vorgang gesondert offengelegt und gerechtfertigt werden. Einzelheiten zu den grenzüberschreitenden Datentransferregeln finden Sie in unserem Artikel zu KVKK und grenzüberschreitenden Datentransfers.

Rechte, auf die Ihre Mitarbeiter nicht verzichten können

KVKK Artikel 11 räumt jedem Betroffenen — einschließlich aller Beschäftigten — Rechte ein, die durch keine arbeitsvertragliche Klausel ausgeschlossen werden können. Dazu gehören das Recht zu erfahren, ob ihre Daten verarbeitet werden, das Recht auf Auskunft, das Recht auf Berichtigung fehlerhafter Daten und das Recht auf Löschung, wenn die Rechtsgrundlage für die Verarbeitung entfällt.

Ein Recht verdient im KI-Kontext besondere Aufmerksamkeit: das Recht, einer ausschließlich durch automatisierte Systeme erzeugten Entscheidung zu widersprechen (Art. 11/g). Erstellt ein KI-System eine Leistungsbeurteilung, einen Disziplinarhinweis oder eine Entlassungsempfehlung, ohne dass ein Mensch den Sachverhalt geprüft hat, können die betroffenen Mitarbeiter Widerspruch einlegen. Wer eine rein algorithmische HR-Entscheidung ohne menschliche Kontrolle umsetzt, riskiert sowohl datenschutzrechtliche Haftung als auch arbeitsrechtliche Folgen. Der Einsatz von KI im Personalwesen ist also zulässig — aber wesentliche Entscheidungen müssen von einer verantwortlichen Person getroffen oder zumindest überprüft werden.

Häufig gestellte Fragen

F: Reicht die Einwilligung der Mitarbeiter, um KI-Monitoring rechtlich abzusichern?

In der Regel nicht. Da Arbeitnehmer eine Anfrage ihres Arbeitgebers kaum frei ablehnen können, gilt ihre Zustimmung im KVKK-Sinne häufig nicht als freiwillig. Berechtigtes Interesse oder rechtliche Verpflichtung sind tragfähigere Grundlagen.

F: Wir nutzen ein US-amerikanisches KI-Tool zur Auswertung von Mitarbeiterkommunikation. Gilt das KVKK trotzdem?

Ja. Das KVKK gilt, wenn die Beschäftigten, deren Daten verarbeitet werden, in der Türkei tätig sind — unabhängig davon, wo der Tool-Anbieter seinen Sitz hat. Außerdem müssen Sie die Regeln für grenzüberschreitende Datentransfers einhalten.

F: Können Mitarbeiter einem KI-generierten Leistungs-Score widersprechen?

Ja, sofern der Score ausschließlich durch automatisierte Verarbeitung erstellt wurde und zu einer spürbaren Konsequenz führt — etwa einer Abmahnung oder Kündigung. Artikel 11/g des KVKK gewährt in diesen Fällen das Widerspruchsrecht. Eine menschliche Überprüfung ist vor Umsetzung der Maßnahme erforderlich.

F: Welche Zusatzanforderungen gelten für Gesichtserkennung im Betrieb?

Gesichtserkennung verarbeitet biometrische Daten, die nach KVKK Artikel 6 als besonders schutzwürdig eingestuft sind. Es gelten strengere Voraussetzungen: ausdrückliche Einwilligung oder ein spezifischer Erlaubnistatbestand, zusätzliche Sicherheitsmaßnahmen nach Vorgabe der KVKK-Behörde sowie eine Informationspflicht nach Artikel 10.

Wie Mona Hukuk Sie unterstützen kann

Unsere Kanzlei in Antalya berät Arbeitgeber und Arbeitnehmer zu KVKK-Compliance beim Einsatz von KI-Tools am Arbeitsplatz. Wir unterstützen Sie bei der Aktualisierung Ihrer Datenschutzerklärungen, der Bestimmung einer tragfähigen Rechtsgrundlage und der Begleitung von Verfahren vor der Datenschutzbehörde.

Kontaktieren Sie uns unter info@monahukuk.com oder rufen Sie +90 (242) 606 14 32 an, um einen Beratungstermin in Antalya zu vereinbaren.