KVKK 2024: Datenübermittlung ins Ausland aus der Türkei

Wenn Ihr Unternehmen in der Türkei tätig ist, aber an eine Muttergesellschaft oder Konzerngesellschaft im Ausland berichtet, übermitteln Sie nahezu täglich personenbezogene Daten über die Landesgrenzen hinweg: Gehaltsabrechnungen an ein deutsches HR-System, Kundendaten an ein in Irland gehostetes CRM, Support-Tickets an einen globalen Helpdesk. Bis vor Kurzem stützte sich der Großteil dieser grenzüberschreitenden Datenübermittlung auf eine einzige Rechtsgrundlage: die ausdrückliche Einwilligung der betroffenen Personen. Das hat sich 2024 geändert. Eine umfassende Reform des türkischen Datenschutzgesetzes (KVKK / Gesetz Nr. 6698) hat einen neuen Rahmen für Datenübermittlungen ins Ausland geschaffen. Er ähnelt der europäischen DSGVO, ist aber nicht mit ihr identisch. Ausländisch beherrschte Unternehmen in der Türkei haben jetzt mehrere legitime Wege, Daten zu übermitteln — jeder davon ist mit Dokumentations- und Meldepflichten verbunden, die es vorher nicht gab.

Was die KVKK-Reform 2024 tatsächlich verändert hat

Die Reform hat Artikel 9 des KVKK, der die grenzüberschreitende Datenübermittlung regelt, grundlegend überarbeitet. Nach den alten Regeln war eine Übermittlung außerhalb der Türkei in der Regel nur mit ausdrücklicher Einwilligung der betroffenen Person zulässig — es sei denn, das Zielland stand auf einer Liste von Ländern mit angemessenem Datenschutzniveau, die die KVKK-Behörde (Kişisel Verileri Koruma Kurulu) eigentlich führen sollte. Da diese Liste nie zustande kam, behalfen sich Unternehmen praktisch fast ausschließlich mit Einwilligungen. Diese sind im großen Maßstab schwer einzuholen und können jederzeit widerrufen werden.

Das neue System ersetzt diese Zweiteilung durch eine dreistufige Struktur: Angemessenheitsbeschlüsse, geeignete Garantien und besondere Situationen. Jede Stufe hat ihre eigenen Voraussetzungen, Dokumente und Meldepflichten.

Stufe 1: Angemessenheitsbeschlüsse

Die KVKK-Behörde kann jetzt Angemessenheitsbeschlüsse (yeterlilik kararı) erlassen, in denen sie feststellt, dass ein bestimmtes Land, ein Sektor oder eine internationale Organisation ein zur Türkei gleichwertiges Datenschutzniveau bietet. Fällt das Zielland unter einen solchen Beschluss, kann die Übermittlung ohne weitere Schutzmaßnahmen erfolgen — wie eine inländische Verarbeitung.

In der Praxis geht die Behörde mit Angemessenheitsbeschlüssen bislang zurückhaltend um. Die meisten Übermittlungen werden sich daher auf Stufe 2 stützen müssen.

Stufe 2: Geeignete Garantien

Liegt kein Angemessenheitsbeschluss vor, müssen Sie vor der Übermittlung eine der folgenden Garantien sicherstellen:

• Standardvertragsklauseln, von der KVKK-Behörde genehmigt und zwischen dem türkischen Datenexporteur und dem ausländischen Empfänger geschlossen. Der unterzeichnete Vertrag muss innerhalb von fünf Werktagen an die Behörde gemeldet werden.
• Verbindliche interne Datenschutzvorschriften (binding corporate rules) für konzerninterne Übermittlungen, vorbehaltlich der Genehmigung durch die Behörde.
• Zwischenstaatliche Abkommen zwischen öffentlichen Stellen — relevant nur für staatliche Datentransfers.
• Schriftliche Verpflichtungen beider Parteien mit konkreten Schutzzusagen, genehmigt durch die Behörde.

Für die meisten ausländisch beherrschten Unternehmen in Antalya und anderswo sind die Standardvertragsklauseln das meistgenutzte Instrument. Sie ähneln den DSGVO-SCC, sind aber nicht mit ihnen identisch — eine EU-Vorlage lässt sich nicht einfach übernehmen.

Stufe 3: Besondere Situationen

Die Reform erkennt zudem einen engen Katalog an Ausnahmen für gelegentliche Übermittlungen an: etwa, wenn die betroffene Person für genau diese Übermittlung ausdrücklich eingewilligt hat, wenn die Übermittlung zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist, zum Schutz lebenswichtiger Interessen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Diese Ausnahmen werden eng ausgelegt. Sie sind kein Ersatz für systematische Übermittlungen, die sich auf Stufe 1 oder Stufe 2 stützen sollten.

Was das für ausländisch beherrschte Unternehmen bedeutet

Unternehmen mit Muttergesellschaft, konzernweitem HR-System oder gemeinsamer Cloud-Plattform im Ausland müssen ihre Datenflüsse überprüfen und für jeden Fluss den passenden Rechtsweg wählen. Ein typisches Compliance-Projekt umfasst die Kartierung aller ausgehenden Datenflüsse, die Bestimmung von Verantwortlichem und Auftragsverarbeiter für jeden Fluss, die Wahl des passenden Übermittlungsmechanismus, das Unterzeichnen der erforderlichen Dokumente und die Aktualisierung der Datenschutzhinweise, damit die betroffenen Personen wissen, wohin ihre Daten gehen. Hinzu kommt eine laufende Dokumentationspflicht: Die KVKK-Behörde kann jederzeit Verträge und Datenfluss-Inventar anfordern.

Verstöße können Bußgelder der KVKK-Behörde, Beschwerden einzelner betroffener Personen und Reputationsschäden nach sich ziehen. Bei E-Commerce-Anbietern und SaaS-Unternehmen kann eine Vollstreckungsentscheidung das Onboarding von Kunden unmittelbar stören. Einen breiteren Überblick finden Sie in unserem KVKK-Compliance-Leitfaden und unserem Beitrag zur KVKK-Cookie-Politik im E-Commerce.

Häufig gestellte Fragen

F: Wir haben mit unserer europäischen Muttergesellschaft bereits DSGVO-konforme SCC abgeschlossen. Brauchen wir trotzdem türkische SCC?

Die beiden Systeme ähneln sich, sind aber nicht gleichwertig. Die Standardvertragsklauseln der KVKK-Behörde folgen einer eigenen Vorlage und müssen nach Unterzeichnung an die Behörde gemeldet werden. DSGVO-SCC allein genügen für Übermittlungen aus der Türkei nicht.

F: Funktioniert die ausdrückliche Einwilligung weiterhin als Übermittlungsgrundlage?

Ja, aber nur für gelegentliche Übermittlungen unter Stufe 3. Für die regelmäßigen Datenflüsse einer türkischen Tochtergesellschaft innerhalb eines internationalen Konzerns ist sie keine tragfähige Grundlage.

F: Drohen Bußgelder, wenn man dies falsch macht?

Ja. Die KVKK-Behörde kann Bußgelder verhängen, deren Höhe sich nach der Schwere des Verstoßes richtet. Wiederholte Verstöße, Massenverarbeitungen oder besondere Kategorien personenbezogener Daten erhöhen das Risiko deutlich.

F: Was gilt für Mitarbeiterdaten, die an ein ausländisches HR-System übermittelt werden?

Mitarbeiterdaten gehören zu den häufigsten grenzüberschreitenden Datenflüssen. Sie stützen sich meist auf Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften, ergänzt um aktualisierte Datenschutzhinweise und eine klare Dokumentation des gewählten Rechtswegs.

Wie Mona Hukuk Sie unterstützen kann

Unsere Kanzlei in Antalya berät ausländisch beherrschte Unternehmen zur KVKK-Compliance, hilft beim Mapping und Dokumentieren von Datenflüssen, entwirft Standardvertragsklauseln und meldet sie bei der KVKK-Behörde und unterstützt Projekte zu verbindlichen internen Datenschutzvorschriften innerhalb internationaler Konzerne. Wir arbeiten auf Türkisch und Englisch, damit Ihr Rechtsteam und unseres effizient zusammenarbeiten können.

Kontaktieren Sie uns unter info@monahukuk.com oder rufen Sie +90 (242) 606 14 32 an, um einen Beratungstermin in Antalya zu vereinbaren.