Meldepflicht bei Datenpannen nach dem türkischen KVKK: Was Unternehmen wissen müssen

Ein Ransomware-Angriff auf einen türkischen Server, ein Mitarbeiter, der versehentlich Kundendaten an eine falsche E-Mail-Adresse schickt, oder ein Dienstleister, der Zugriff auf personenbezogene Daten türkischer Kunden erlangt — jedes dieser Szenarien kann nach dem türkischen Datenschutzgesetz (KVKK, Gesetz Nr. 6698) eine fristgebundene Meldepflicht auslösen. Wer die DSGVO kennt, wird schnell Parallelen entdecken: Die türkische Regelung ähnelt Art. 33 und 34 DSGVO, weist aber im Detail eigene Besonderheiten auf.

Rechtsgrundlage: Art. 12 KVKK

Artikel 12 KVKK begründet die datensicherheitsrechtlichen Kernpflichten des Verantwortlichen. Dieser muss alle erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um die rechtswidrige Verarbeitung und den rechtswidrigen Zugriff auf personenbezogene Daten zu verhindern sowie deren Integrität zu gewährleisten — eine Formulierung, die § 64 BDSG bzw. Art. 32 DSGVO strukturell entspricht.

Der Meldeanlass ist in Abs. 5 geregelt: Gelangen personenbezogene Daten auf rechtswidrigem Weg in fremde Hände, muss der Verantwortliche dies unverzüglich sowohl den betroffenen Personen als auch der türkischen Datenschutzbehörde (KVK-Behörde, Kişisel Verileri Koruma Kurumu) melden.

Die 72-Stunden-Frist nach KVK-Beschluss Nr. 2019/10

Durch Beschluss Nr. 2019/10 hat die KVK-Behörde die Meldefrist konkretisiert: Verantwortliche müssen die Behörde innerhalb von 72 Stunden nach Kenntniserlangung benachrichtigen. Diese Frist stimmt mit Art. 33 Abs. 1 DSGVO überein und ist damit für Unternehmen mit EU-Hintergrund gut handhabbar. Wird die Frist nicht eingehalten, muss die Verzögerung begründet werden. Die Meldung an betroffene Personen erfolgt unverzüglich nach Bewertung des Risikos.

Inhalt der Behördenmeldung

Die Meldung erfolgt über das elektronische Formular auf der Website der KVK-Behörde und muss enthalten:

• Datum und Uhrzeit der Verletzung (soweit bekannt)
• Anzahl der betroffenen Personen und Datenkategorien
• Voraussichtliche Folgen der Verletzung
• Ergriffene oder geplante Abhilfemaßnahmen
• Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
• Begründung bei Fristüberschreitung

Protokolle, Incident-Reports und forensische Auswertungen sollten als Anlagen beigefügt werden.

Benachrichtigung betroffener Personen

Betroffene Personen sind zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten begründet — deckungsgleich mit Art. 34 DSGVO. Die Benachrichtigung muss Art und Umfang der Verletzung, ergriffene Maßnahmen und Kontaktmöglichkeiten nennen. Ist eine Einzelbenachrichtigung nicht praktikabel, ist eine öffentliche Bekanntmachung zulässig.

Praktischer Reaktionsplan: Schritt für Schritt

1. Sofortmaßnahmen. Betroffene Systeme isolieren, kompromittierte Zugänge sperren, weiteren Datenverlust stoppen.
2. Dokumentation. Welche Daten, wie viele Personen, welcher Angriffsweg — alles schriftlich festhalten.
3. Risikobeurteilung. Wie gravierend ist die Verletzung für die betroffenen Personen? Diese Einschätzung bestimmt Meldeumfang und -dringlichkeit.
4. 72-Stunden-Frist aktivieren. Ab Kenntniserlangung läuft die Frist. Sofort rechtliche Beratung einholen.
5. Meldung an die KVK-Behörde. Formular einreichen, verfügbare Informationen mitteilen, Lücken nachliefern.
6. Betroffenenbenachrichtigung. Risikogerecht und über geeignete Kanäle.
7. Aufzeichnung. Den gesamten Prozess dokumentieren — die Behörde behält sich Prüfungen vor.

Bußgelder nach KVKK

Bei Verstößen gegen datensicherheitsrechtliche Pflichten nach Art. 18 KVKK können Bußgelder bis zu zwei Millionen türkische Lira verhängt werden, jährlich angepasst durch den amtlichen Neubewertungskoeffizienten. Die Verletzung der Meldefrist bildet einen eigenständigen Bußgeldtatbestand, der zusätzlich geahndet werden kann.

Zum Vergleich: DSGVO-Bußgelder können bis zu 10 Mio. Euro bzw. 2 % des weltweiten Jahresumsatzes erreichen (Art. 83 Abs. 4 DSGVO); türkische Bußgelder bewegen sich derzeit in niedrigeren absoluten Beträgen, werden aber konsequent vollzogen.

Häufige Fragen

Muss jede Datenpanne der KVK-Behörde gemeldet werden? Nein. Nur Verletzungen, die ein Risiko für Betroffene begründen, lösen die Meldepflicht aus. Risikofreie Vorfälle müssen intern dokumentiert, aber nicht extern gemeldet werden.

Gilt KVKK auch für ausländische Unternehmen? Ja, wenn personenbezogene Daten in der Türkei ansässiger Personen im Rahmen von Waren- oder Dienstleistungsangeboten verarbeitet werden — unabhängig vom Unternehmenssitz.

Muss die Meldung vollständig sein, bevor sie eingereicht wird? Nein. Die KVK-Behörde akzeptiert sukzessive Meldungen — Erstmeldung mit verfügbaren Informationen, Ergänzung nach Ermittlungsabschluss.

Sind strafrechtliche Konsequenzen möglich? Ja. Unbefugte Datenweitergabe oder unbefugter Zugriff können nach Art. 136 des türkischen Strafgesetzbuches verfolgt werden.

Gibt es Meldepflichten auch gegenüber der Datenschutzbehörde des Heimatlandes? Ja, wenn DSGVO parallel anwendbar ist. In solchen Fällen sind sowohl die KVK-Behörde als auch die zuständige EU-Datenschutzaufsichtsbehörde zu benachrichtigen.

Wie Mona Hukuk Ihnen helfen kann

Im Krisenfall zählt jede Stunde. Mona Hukuk unterstützt Unternehmen bei der präventiven Ausarbeitung von Incident-Response-Plänen und begleitet im Ernstfall die Meldung an die KVK-Behörde, die Kommunikation mit betroffenen Personen und die Vertretung in behördlichen Untersuchungsverfahren.

Kontaktieren Sie uns unter contact@monahukuk.com oder rufen Sie +90 (242) 606 14 32 an.