Verarbeitung biometrischer Daten in der Türkei: KVKK-Regeln

Biometrische Systeme gehören in der Türkei längst zum Alltag — Fingerabdruckscanner an Bürotüren, Gesichtserkennung beim Hotel-Check-in, Handvenenleser statt Stechkarten. Wer diese Technologien als Unternehmen einsetzt, braucht eine solide rechtliche Grundlage. Das türkische Datenschutzgesetz, das Kişisel Verilerin Korunması Kanunu (KVKK), stuft biometrische Daten als die sensibelste Kategorie personenbezogener Daten ein und macht ihre Verarbeitung von strengen Voraussetzungen abhängig. Für ausländische Unternehmen und Investoren, die in Antalya oder anderswo in der Türkei tätig sind, ist die Einhaltung dieser Regeln keine Option — sie ist Pflicht.

Was das türkische Recht unter biometrischen Daten versteht

Das KVKK enthält keine eigene Definition biometrischer Daten, listet sie aber in Artikel 6 zusammen mit genetischen Daten, Gesundheitsdaten, religiösen Überzeugungen und dem Sexualleben ausdrücklich als besondere Kategorie personenbezogener Daten (özel nitelikli kişisel veri) auf. Türkische Gerichte haben sich bei der Auslegung an der EU-Datenschutz-Grundverordnung orientiert: Biometrische Daten sind solche, die aus der technischen Verarbeitung physischer, physiologischer oder verhaltensbezogener Merkmale resultieren und eine eindeutige Identifizierung einer Person ermöglichen — also Fingerabdruckschablonen, Gesichtsgeometrie, Iris-Scans oder Stimmprofile.

Fingerabdrucksysteme für die Zeiterfassung, Gesichtserkennungsgeräte für Zugangskontrollen und Handvenenleser fallen damit alle unter diesen Begriff. Sobald eine Technologie eine Person anhand körperlicher Merkmale identifiziert, verarbeitet sie mit hoher Wahrscheinlichkeit biometrische Daten im Sinne des KVKK.

Das Verarbeitungsverbot und seine Ausnahmen

Artikel 6 KVKK beginnt mit einem klaren Verbot: Die Verarbeitung besonderer Kategorien personenbezogener Daten — einschließlich biometrischer Daten — ist untersagt, es sei denn, ein gesetzlicher Erlaubnistatbestand greift. Die 2024 durch das Gesetz Nr. 7499 eingeführten Änderungen haben die Erlaubnistatbestände erweitert. Sie umfassen nun:

• Die freiwillig, informiert und ausdrücklich erklärte Einwilligung (açık rıza) der betroffenen Person
• Eine ausdrückliche gesetzliche Ermächtigung — das anwendbare Gesetz muss die Verarbeitung explizit erlauben
• Unaufschiebbare Notwendigkeit zum Schutz von Leben oder körperlicher Unversehrtheit, wenn die betroffene Person nicht einwilligen kann
• Daten, die die betroffene Person selbst öffentlich gemacht hat
• Notwendigkeit zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
• Gesundheitsversorgung und öffentliche Gesundheit (nur durch Fachkräfte mit Verschwiegenheitspflicht)
• Erfüllung rechtlicher Pflichten im Beschäftigungs-, Arbeitsschutz- und Sozialversicherungsbereich

Artikel 6 Absatz 4 KVKK fügt eine weitere Pflicht hinzu: Unabhängig vom gewählten Erlaubnistatbestand müssen bei der Verarbeitung besonderer Kategorien stets die vom Datenschutzrat (Kişisel Verilerin Korunması Kurulu) festgelegten Sicherheitsmaßnahmen eingehalten werden. Diese umfassen Verschlüsselung biometrischer Vorlagen, strenge Zugangskontrollen, Protokollierung von Zugriffen und Schulungen des Personals.

Einen systematischen Überblick über das KVKK bietet unser Artikel KVKK-Compliance in der Türkei.

Biometrie am Arbeitsplatz: Der Verhältnismäßigkeitstest

Besonders häufig vor Gericht gelangt ist der Einsatz biometrischer Systeme für die Arbeitszeiterfassung und Zugangskontrolle. Der türkische Danıştay (Staatsrat) hat in mehreren Entscheidungen eine einheitliche Linie entwickelt: Ein biometrisches System ist nicht schon deshalb rechtmäßig, weil es praktisch ist.

In einer Entscheidung aus dem Jahr 2022 hob die 12. Kammer des Danıştay eine behördliche Anordnung auf, die Beschäftigte zur Nutzung eines Fingerabdruckscanners für die Zeiterfassung verpflichtete. Das Gericht stellte weder eine ausdrückliche Rechtsgrundlage noch eine freiwillig erklärte Einwilligung fest. Darüber hinaus betonte es, dass selbst beim Vorliegen einer Einwilligung der Grundsatz der Verhältnismäßigkeit gewahrt sein muss: Wenn eine weniger invasive Methode — etwa eine Chipkarte oder ein PIN-System — denselben Zweck erfüllen kann, ist die Erhebung biometrischer Daten unverhältnismäßig und damit rechtswidrig. Dieser Grundsatz ist in Artikel 4 KVKK verankert, der Datensparsamkeit und Zweckbindung verlangt.

Eine Entscheidung aus dem Jahr 2023 bestätigte diese Linie für einen Handvenenleser. Das Gericht stellte fest, dass Alternativen im konkreten Betrieb funktioniert hätten — womit das biometrische System schlicht überflüssig und damit unzulässig war.

Das Fazit: Effizienzgewinne rechtfertigen keine biometrische Datenerhebung. Existiert eine mildere Alternative, kann das türkische Recht deren Einsatz vorschreiben.

Pflichten vor dem Einsatz biometrischer Systeme

Für Unternehmen — ob ortsansässige Firmen oder ausländische Gesellschaften mit Niederlassung in Antalya — ergibt sich vor jeder biometrischen Datenerhebung eine klare Aufgabenliste:

• Rechtsgrundlage klären. Stützt sich die Verarbeitung auf eine ausdrückliche Einwilligung oder auf eine gesetzliche Ermächtigung? Einwilligungen dürfen nicht in Arbeitsverträge integriert oder zur Bedingung des Gebäudezutritts gemacht werden.
• Verhältnismäßigkeit prüfen und dokumentieren. Warum ist Biometrie notwendig, und warum reicht keine weniger eingreifende Methode?
• Datenschutzinformation bereitstellen, bevor die Verarbeitung beginnt. Zum Verhältnis von Datenschutzinformation und Einwilligung siehe unseren Artikel Datenschutzhinweis und Einwilligung unter der KVKK.
• Sicherheitsmaßnahmen des Rates umsetzen — Verschlüsselung, Zugriffsbeschränkung, Protokollführung, regelmäßige Überprüfung.
• Speicherfristen festlegen und biometrische Vorlagen löschen oder anonymisieren, sobald der Zweck entfällt.
• VERBİS-Eintrag vornehmen, wenn Ihre Organisation als Datenverantwortlicher registrierungspflichtig ist. Biometrische Verarbeitungstätigkeiten müssen gesondert deklariert werden. Mehr dazu in unserem Leitfaden zum VERBİS-Datenverantwortlichen-Register.

Häufig gestellte Fragen

F: Darf ein Arbeitgeber in der Türkei Fingerabdruckscanner vorschreiben?

Grundsätzlich nein — ohne ausdrückliche gesetzliche Grundlage oder echte freiwillige Einwilligung ist dies rechtswidrig. Selbst bei erteilter Einwilligung muss die Verhältnismäßigkeit gewahrt sein. Existieren praktikable Alternativen, reicht eine Einwilligung allein nicht.

F: Gilt das KVKK auch für ausländische Unternehmen?

Ja. Das KVKK gilt für jede Stelle, die personenbezogene Daten von Personen in der Türkei verarbeitet, unabhängig davon, wo sie ihren Sitz hat.

F: Was droht bei unzulässiger Verarbeitung biometrischer Daten?

Der Datenschutzrat kann erhebliche Bußgelder verhängen. Daneben kann die Verarbeitung ohne Rechtsgrundlage strafrechtliche Folgen nach dem türkischen Strafgesetzbuch (Türk Ceza Kanunu) auslösen.

F: Was hat die KVKK-Reform 2024 an den Biometrie-Regeln geändert?

Das Gesetz Nr. 7499 hat Artikel 6 neu gefasst und die Liste der Verarbeitungserlaubnisse erweitert. Die Kernvoraussetzungen — Rechtsgrundlage, Verhältnismäßigkeit, Sicherheitsmaßnahmen — bleiben jedoch unverändert streng.

Wie Mona Hukuk Sie unterstützen kann

Unsere Kanzlei in Antalya berät internationale Unternehmen, Arbeitgeber und Technologieanbieter zu allen Fragen der KVKK-Compliance — von der rechtlichen Absicherung biometrischer Systeme über die Gestaltung von Einwilligungsverfahren bis zur Vertretung vor dem Datenschutzrat.

Kontaktieren Sie uns unter contact@monahukuk.com oder rufen Sie +90 (242) 606 14 32 an, um einen Beratungstermin in Antalya zu vereinbaren.