Cloud-Dienste in der Türkei: KVKK-Pflichten für Unternehmen

Cloud-Plattformen gehören heute zum Alltag vieler Unternehmen in der Türkei — ob SaaS-Tools, Remote-Speicher oder Infrastrukturservices. Was dabei häufig übersehen wird: Sobald personenbezogene Daten über einen Cloud-Anbieter fließen, greift das türkische Datenschutzgesetz (Kişisel Verilerin Korunması Kanunu, kurz KVKK) automatisch. Daraus entstehen konkrete rechtliche Pflichten — sowohl für das Unternehmen als auch für den Cloud-Anbieter. Der Danıştay (Staatsrat) hat in mehreren aktuellen Entscheidungen deutlich gemacht, dass die Verantwortung des Datenverantwortlichen bei der Beauftragung externer Auftragsverarbeiter uneingeschränkt bestehen bleibt.

Wer ist im KVKK was?

Das KVKK unterscheidet zwei Rollen. Der Datenverantwortliche (veri sorumlusu) ist das Unternehmen, das über Zweck und Mittel der Datenverarbeitung entscheidet — in der Regel also das Unternehmen, das den Cloud-Dienst bucht. Der Auftragsverarbeiter (veri işleyen) ist jede natürliche oder juristische Person, die auf Weisung und im Namen des Verantwortlichen personenbezogene Daten verarbeitet (KVKK Art. 3).

Ein Cloud-Anbieter erfüllt genau diese Definition: Ob Sie Kundendaten auf einem Fremdserver ablegen, Gehaltsabrechnungen über eine SaaS-Plattform abwickeln oder Ihr CRM in der Cloud betreiben — in all diesen Fällen verarbeitet der Anbieter Daten in Ihrem Auftrag. Für diese Konstellation gilt Art. 12 KVKK mit seinen besonderen Sicherheitspflichten.

Gemeinsame Haftung — Sie können sich nicht heraushalten

Das Prinzip, das viele Unternehmen überrascht: KVKK Art. 12 Abs. 2 bestimmt, dass Datenverantwortlicher und Auftragsverarbeiter gemeinsam dafür haften, dass alle erforderlichen technischen und organisatorischen Schutzmaßnahmen ergriffen werden.

In der Praxis bedeutet das: Wenn Ihr Cloud-Anbieter eine Sicherheitslücke hat oder keine angemessenen Maßnahmen trifft, kann Ihr Unternehmen trotzdem in die Haftung genommen werden — auch wenn der Fehler ausschließlich beim Anbieter liegt. Eine Klausel im Dienstleistungsvertrag, die dem Anbieter die alleinige Verantwortung zuweist, schützt Sie nicht. Das Gesetz ordnet die Mitverantwortung unabhängig von vertraglichen Absprachen an.

Der Danıştay hat diesen Grundsatz in Urteilen seiner 10. Kammer aus den Jahren 2023 und 2025 bekräftigt.

Was der Auftragsverarbeitungsvertrag enthalten muss

Bevor personenbezogene Daten an einen Cloud-Anbieter übermittelt werden, ist ein schriftlicher Auftragsverarbeitungsvertrag erforderlich. Das KVKK schreibt keine Musterform vor, doch die gemeinsame Haftung nach Art. 12 Abs. 2 und die Praxis des KVKK-Boards machen folgende Regelungen notwendig:

• Gegenstand und Zweck der Verarbeitung
• Konkrete technische und organisatorische Maßnahmen des Anbieters
• Recht des Verantwortlichen auf eigene oder beauftragte Audits (Art. 12 Abs. 3)
• Verbot der Nutzung der Daten außerhalb des vereinbarten Zwecks (Art. 12 Abs. 4)
• Pflicht des Anbieters zur unverzüglichen Meldung von Datenpannen, damit der Verantwortliche die Meldepflicht nach Art. 12 Abs. 5 einhalten kann

Art. 12 Abs. 4 bindet den Anbieter auch selbstständig: Auftragsverarbeiter dürfen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen nutzen — diese Pflicht gilt über das Ende des Vertragsverhältnisses hinaus.

Auslandsbezug: Wenn Server außerhalb der Türkei stehen

Viele große Cloud-Plattformen speichern Daten in Rechenzentren außerhalb der Türkei. In diesem Fall liegt eine grenzüberschreitende Übermittlung personenbezogener Daten im Sinne von KVKK Art. 9 vor, für die eigene Voraussetzungen gelten.

Die 2024 verabschiedeten Änderungen am KVKK haben den Übermittlungsrahmen neu strukturiert. Zulässig ist die Übermittlung, wenn das Empfängerland ein angemessenes Schutzniveau bietet (gemäß Feststellung des KVKK-Boards) oder — falls dies fehlt — wenn Standardvertragsklauseln vereinbart wurden oder in bestimmten Konstellationen eine ausdrückliche Einwilligung der Betroffenen vorliegt. Unternehmen mit ausländischer Cloud-Infrastruktur sollten die anwendbare Rechtsgrundlage klären, bevor Daten fließen.

Weitere Informationen finden Sie in unserem Artikel zu grenzüberschreitenden Datentransfers für auslandsgeführte Unternehmen.

VERBİS-Registrierung und Cloud-Daten

Unternehmen, die personenbezogene Daten verarbeiten — auch über Cloud-Dienste — und nicht unter die Ausnahmen des KVKK-Boards fallen, müssen sich im Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), dem türkischen Verarbeitungsverzeichnis, eintragen lassen. In dieser Registrierung sind alle Verarbeitungstätigkeiten, Datenkategorien und Übermittlungen — einschließlich cloudbasierter Speicherung — vollständig und korrekt anzugeben. Unvollständige Angaben können eigene Bußgeldverfahren auslösen.

Näheres erklärt unser Artikel zu VERBİS und der Registrierungspflicht in der Türkei.

Meldepflicht bei Sicherheitsvorfällen beim Anbieter

Tritt ein Datenschutzverstoß auf der Infrastruktur des Cloud-Anbieters auf, liegt die Meldepflicht nach KVKK Art. 12 Abs. 5 beim Datenverantwortlichen — also bei Ihrem Unternehmen. Sie müssen die Betroffenen und das KVKK-Board so schnell wie möglich benachrichtigen. Das KVKK-Board kann den Vorfall zudem auf seiner Website veröffentlichen.

Genau deshalb muss Ihr Auftragsverarbeitungsvertrag eine unverzügliche Informationspflicht des Anbieters vorsehen. Fehlt diese vertragliche Brücke, riskieren Sie, das Meldefenster zu verpassen. Unsere Kanzlei in Antalya hilft Ihnen, diese Mechanismen rechtssicher zu verankern.

Häufig gestellte Fragen

F: Können wir jeden beliebigen Cloud-Anbieter für türkische personenbezogene Daten nutzen?

Grundsätzlich ja — sofern der Anbieter angemessene Datenschutzbedingungen akzeptiert, ausreichende Sicherheitsmaßnahmen umsetzt und — bei Servern außerhalb der Türkei — die Anforderungen von KVKK Art. 9 erfüllt. Größe oder Bekanntheitsgrad des Anbieters ist für sich genommen kein Rechtfertigungsgrund.

F: Muss sich der Cloud-Anbieter ebenfalls in VERBİS registrieren?

Die Registrierungspflicht gilt für Datenverantwortliche, nicht für reine Auftragsverarbeiter. Falls der Anbieter Ihre Daten für eigene Zwecke nutzt — etwa zur Modellentwicklung — kann er selbst zum Datenverantwortlichen werden und eine eigene Registrierungspflicht auslösen.

F: Was passiert, wenn unser Cloud-Anbieter gehackt wird?

Als Datenverantwortlicher haften Sie gemeinsam und müssen bei Bekanntwerden des Vorfalls Betroffene und KVKK-Board informieren. Vertragliche Schadensersatzansprüche gegen den Anbieter können die Kosten mindern, heben aber die behördliche Verantwortung nicht auf.

F: Reicht eine mündliche oder E-Mail-Vereinbarung mit dem Anbieter aus?

Nein. Die gemeinsame Haftung nach Art. 12 Abs. 2 und die Prüfungsrechte nach Art. 12 Abs. 3 sind ohne einen schriftlichen Vertrag, der die jeweiligen Pflichten klar festlegt, praktisch nicht durchsetzbar.

Wie Mona Hukuk Sie unterstützen kann

Unsere Kanzlei berät Unternehmen in Antalya und im gesamten türkischen Markt — darunter zahlreiche internationale Mandanten — in Fragen der KVKK-Compliance, der Vertragsgestaltung mit Cloud-Anbietern und der Einrichtung datenschutzrechtlicher Governance-Strukturen. Wir prüfen Ihre bestehenden Cloud-Verträge, zeigen Lücken auf und begleiten Sie bei der Umsetzung.

Kontaktieren Sie uns unter contact@monahukuk.com oder rufen Sie +90 (242) 606 14 32 an, um einen Beratungstermin in Antalya zu vereinbaren.