IT- & KI-Recht
Haftung von Unternehmen bei Cybersicherheitsvorfällen in der Türkei
Veröffentlicht 14. Juli 2026·5 Min. Lesezeit
RA Mona Hukuk Redaktionsteam - Antalya · Antalya Rechtsanwaltskammer
Ein Cyberangriff ist niemals nur eine technische Krise, sondern eine Quelle vielschichtiger rechtlicher Haftung. Unternehmen übersehen häufig die Folgen, die über die Meldung an die Datenschutzbehörde hinausreichen: Schadensersatzansprüche von Kunden, Strafverfahren gegen den Angreifer, Bußgelder und die Verantwortung des Vorstands. Dieser Leitfaden geht über die 72-Stunden-Meldepflicht nach dem türkischen Datenschutzgesetz (KVKK) hinaus — die wir in einem gesonderten Leitfaden behandeln — und erläutert die eigentlichen Rechtsrisiken, die ein Cybersicherheitsvorfall für Unternehmen mit sich bringt, entlang des türkischen Obligationengesetzes (TBK) und des türkischen Strafgesetzbuchs (TCK).
Die Meldung ist nur der Anfang
Die nach KVKK Art. 12 erforderliche Meldung einer Verletzung ist nicht die einzige Folge eines Vorfalls. Die erfolgte Meldung entbindet das Unternehmen weder von dem gegenüber Kunden geschuldeten Schadensersatz noch von einem Strafverfahren gegen den Täter oder von einem Bußgeld. Diese Folgen laufen auf voneinander unabhängigen rechtlichen Bahnen: Die Meldung ist eine verwaltungsrechtliche Pflicht, der Schadensersatz eine privatrechtliche Verpflichtung, und die strafrechtliche Ermittlung wird von der Staatsanwaltschaft von Amts wegen betrieben. Eine Strategie nach einem Vorfall muss daher weit umfassender sein als das Ausfüllen eines Meldeformulars.
Schadensersatzhaftung gegenüber Kunden und betroffenen Personen
Kunden, deren Daten offengelegt wurden, können vom Unternehmen Ersatz des erlittenen materiellen und immateriellen Schadens verlangen. Ein solcher Anspruch hat zwei mögliche Rechtsgrundlagen.
Vertragliche Haftung: Besteht zwischen Unternehmen und Kunde eine Dienstleistungsbeziehung und enthält der Vertrag eine ausdrückliche oder stillschweigende Zusicherung zur Datensicherheit, greift TBK Art. 112. Danach hat der Schuldner, wenn eine Verbindlichkeit nicht gehörig erfüllt wird, den daraus entstandenen Schaden des Gläubigers zu ersetzen, sofern er nicht nachweist, dass ihm kein Verschulden trifft. Entscheidend ist die Umkehr der Beweislast: Der Kunde muss das Verschulden des Unternehmens nicht beweisen; das Unternehmen muss nachweisen, dass es die erforderlichen Sicherheitsmaßnahmen getroffen hat und schuldlos war.
Deliktische Haftung: Fehlt eine vertragliche Beziehung, bestimmt TBK Art. 49, dass, wer einem anderen durch eine schuldhafte und rechtswidrige Handlung Schaden zufügt, diesen Schaden zu ersetzen hat. Eine unzureichende Sicherheitsinfrastruktur, nicht aktualisierte Systeme oder vernachlässigte Zugangskontrollen können das Verschulden des Unternehmens begründen. Zudem kann die "Haftung des Geschäftsherrn" nach TBK Art. 66 in Betracht kommen: Ein Arbeitgeber kann für den Schaden haften, den sein Arbeitnehmer bei der Ausführung der Arbeit Dritten zufügt, und entgeht der Haftung nur, wenn er nachweist, dass er bei Auswahl und Beaufsichtigung des Arbeitnehmers sowie bei der Organisation des Betriebsablaufs die erforderliche Sorgfalt beachtet hat.
Die strafrechtliche Dimension: Straftatbestände nach dem TCK
Die strafrechtliche Dimension eines Cybersicherheitsvorfalls richtet sich in erster Linie gegen den Täter. Drei zentrale Vorschriften des TCK (Gesetz Nr. 5237) stechen hervor:
- TCK Art. 243 — Eindringen in ein Informationssystem: Wer rechtswidrig in ein Informationssystem ganz oder teilweise eindringt oder dort verweilt, wird mit Freiheitsstrafe bis zu einem Jahr oder mit einer Geldstrafe bestraft. Werden dadurch die Daten im System zerstört oder verändert, erhöht sich die Strafe auf sechs Monate bis zwei Jahre.
- TCK Art. 244 — Behinderung oder Störung eines Systems, Zerstörung oder Veränderung von Daten: Wer den Betrieb eines Informationssystems behindert oder stört, wird mit einem bis fünf Jahren bestraft; wer Daten beschädigt, zerstört, verändert, unzugänglich macht oder an einen anderen Ort übermittelt, mit sechs Monaten bis drei Jahren. Wird die Tat gegen das System einer Bank, eines Kreditinstituts oder einer öffentlichen Einrichtung begangen, erhöht sich die Strafe um die Hälfte.
- TCK Art. 136 — Rechtswidrige Weitergabe oder Erlangung von Daten: Wer personenbezogene Daten rechtswidrig einem anderen weitergibt, verbreitet oder sich verschafft, wird mit zwei bis vier Jahren Freiheitsstrafe bestraft.
Obwohl diese Straftatbestände in erster Linie den Angreifer betreffen, ist das Unternehmen nicht gänzlich unantastbar. Ein Arbeitnehmer oder Geschäftsführer, der vorsätzlich oder grob fahrlässig die Verletzung erleichtert, kann eine Beteiligung an der rechtswidrigen Offenlegung von Daten darstellen; die vorsätzliche Weitergabe personenbezogener Daten an Dritte kann auch für Unternehmensverantwortliche zum Gegenstand einer Ermittlung nach Art. 136 werden.
Bußgelder und Cyberversicherung
Die verwaltungsrechtliche Sanktion ist eine dritte Folge, getrennt von Schadensersatz und Strafe. Nach KVKK Art. 18 kann gegen einen Verantwortlichen, der seine Datensicherheitspflichten nicht erfüllt, ein Bußgeld in Millionenhöhe verhängt werden, das jährlich nach dem gesetzlichen Neubewertungssatz angepasst wird. Die Verletzung der Meldepflicht und das Unterlassen von Datensicherheitsmaßnahmen sind eigenständige Verstoßkategorien und können gesondert geahndet werden.
Gegen diese Risikohäufung ist die Cyberversicherung ein zunehmend verbreitetes Instrument des Risikomanagements. Eine gut strukturierte Police kann Kosten der Vorfallbewältigung, forensische Untersuchungen, Schadensersatzansprüche Dritter und in manchen Fällen Verteidigungskosten im Zusammenhang mit Bußgeldern abdecken. Policen enthalten jedoch erhebliche Ausschlüsse; Vorsatz, grobe Fahrlässigkeit oder die Nichteinhaltung der erklärten Sicherheitsstandards können außerhalb des Deckungsschutzes bleiben.
Corporate Governance: Vorbereitung vor einem Vorfall
Der wirksamste Weg, die Haftung zu verringern, liegt in den vor einem Vorfall getroffenen Maßnahmen. Die Erstellung eines Notfallplans (Incident Response Plan), die Verschlüsselung von Daten, die Beschränkung von Zugriffsrechten und die Durchführung regelmäßiger Penetrationstests sind sowohl für die technische Widerstandsfähigkeit als auch für die Rechtsverteidigung entscheidend. Die Überwachung der Cybersicherheit auf Vorstandsebene und die Dokumentation getroffener Entscheidungen und Maßnahmen sind entscheidend, um bei Bedarf die Schuldlosigkeit des Unternehmens und seiner Leitungsorgane nachzuweisen. Eine schriftliche Dokumentation der getroffenen Maßnahmen bildet die Grundlage des entlastenden Beweises nach TBK Art. 112 und Art. 66.
Häufig gestellte Fragen
Unser Unternehmen hat die Datenschutzbehörde benachrichtigt; müssen wir noch etwas tun? Ja. Die Meldung ist nur eine verwaltungsrechtliche Pflicht. Das Risiko von Schadensersatz gegenüber Kunden, mögliche Strafverfahren und Bußgelder enden nicht mit der Meldung; sie erfordern eine gesonderte Rechtsstrategie.
Ist das Unternehmen haftbar, wenn der Angriff von einem externen Hacker ausgeführt wurde? Möglicherweise. Die strafrechtliche Verantwortung des Täters hebt die Schadensersatzhaftung des Unternehmens gegenüber Kunden nicht auf. Kann das Unternehmen nicht nachweisen, dass es die erforderlichen Sicherheitsmaßnahmen getroffen hat und schuldlos war, kann es weiterhin schadensersatzpflichtig bleiben.
Kann das Unternehmen für ein von einem Arbeitnehmer verursachtes Leck verantwortlich gemacht werden? Ja. Nach TBK Art. 66 haftet ein Arbeitgeber für den Schaden, den sein Arbeitnehmer bei der Ausführung der Arbeit Dritten zufügt; er kann der Haftung nur entgehen, wenn er die erforderliche Sorgfalt bei Auswahl, Beaufsichtigung und Betriebsorganisation nachweist.
Deckt die Cyberversicherung alle Schäden ab? Nein. Policen unterscheiden sich in Umfang und Ausschlüssen. Vorsatz, grobe Fahrlässigkeit oder die Nichteinhaltung zugesagter Sicherheitsstandards können außerhalb des Deckungsschutzes liegen; eine rechtliche Prüfung vor Abschluss der Police ist wichtig.
Wie Mona Hukuk helfen kann
Cybersicherheitsvorfälle begründen eine vielschichtige Haftung, die mit der Meldung beginnt und sich bis ins Schadensersatz- und Strafrecht erstreckt. Als Mona Hukuk unterstützen wir Unternehmen bei der Erstellung von Notfallplänen, der rechtlichen Risikobewertung nach einem Vorfall, der Verteidigung gegen Schadensersatzansprüche von Kunden, der Vertretung in Strafverfahren und der rechtlichen Prüfung von Cyberversicherungspolicen.
Für eine Beratung in Antalya schreiben Sie an contact@monahukuk.com oder rufen Sie +90 (242) 606 14 32 an.
Möchten Sie eine wöchentliche Zusammenfassung der Entwicklungen im türkischen Recht?
Mitteilungen aus dem Amtsblatt, Gerichtsentscheidungen und Gesetzesänderungen — wöchentlich per E-Mail. Kostenlos und jederzeit kündbar.
Verwandte Artikel
IT- & KI-Recht
.tr-Domain-Streitigkeiten in der Türkei: Ein Leitfaden
2. Juli 2026 · 5 Min. Lesezeit
Artikel lesenIT- & KI-Recht
Software-Escrow-Vereinbarungen in der Türkei: Leitfaden
22. Juni 2026 · 6 Min. Lesezeit
Artikel lesenIT- & KI-Recht
VERBİS: Das türkische Datenschutzregister im Überblick
9. Juni 2026 · 4 Min. Lesezeit
Artikel lesen