IT- & KI-Recht
Verantwortlicher und Auftragsverarbeiter in der Türkei: Vertragspflichten
Veröffentlicht 14. Juli 2026·6 Min. Lesezeit
RA Mona Hukuk Redaktionsteam - Antalya · Antalya Rechtsanwaltskammer
Sobald ein Unternehmen Kundendaten bei einem Cloud-Anbieter speichert, die Lohnabrechnung auslagert oder mit einem Softwareanbieter zusammenarbeitet, stellt sich rasch eine rechtliche Frage: Wer ist der „Verantwortliche" und wer der „Auftragsverarbeiter"? Dabei handelt es sich nicht um eine bloß akademische Bezeichnung. Die Antwort bestimmt unmittelbar die Registrierungspflichten, die Sicherheitsverantwortung und den Vertrag, der zwischen den Parteien zu schließen ist. Dieser Beitrag untersucht die Abgrenzung der beiden Rollen nach dem Gesetz Nr. 6698 zum Schutz personenbezogener Daten (KVKK), die Verteilung der Sicherheitspflichten und den Grund, warum ein Auftragsverarbeitungsvertrag in der Geschäftspraxis unverzichtbar ist.
Die beiden Rollen nach KVKK Art. 3
Artikel 3 des KVKK definiert beide Rollen klar. Der Verantwortliche ist „die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und für die Einrichtung und Verwaltung des Datenregistrierungssystems verantwortlich ist". Der Auftragsverarbeiter ist „die natürliche oder juristische Person, die auf Grundlage der vom Verantwortlichen erteilten Befugnis in dessen Namen personenbezogene Daten verarbeitet".
Der Kern der Abgrenzung liegt in der Entscheidungsbefugnis. Die Partei, die entscheidet, zu welchem Zweck und mit welchen Mitteln Daten verarbeitet werden, ist der Verantwortliche. Die Partei, die die Verarbeitung ausschließlich nach diesen Weisungen und im Namen des Verantwortlichen ausführt, ist der Auftragsverarbeiter. Ein Hotel etwa erhebt Reservierungsdaten der Gäste zu eigenen Zwecken; das Cloud-Unternehmen, das diese Daten hostet, oder der Anbieter der Reservierungssoftware handelt als Auftragsverarbeiter nach den Weisungen des Hotels. Damit eine Partei als Auftragsverarbeiter gilt, muss sie Daten innerhalb des vom Verantwortlichen gesetzten Rahmens und nicht zu eigenen Zwecken verarbeiten; sobald sie beginnt, eigene Zwecke zu bestimmen, wird sie selbst zum Verantwortlichen.
Warum die Abgrenzung wichtig ist: VERBİS und Registrierung
Die Trennung der Rollen ist zunächst für die Pflicht zur Eintragung in das Register der Verantwortlichen (VERBİS) von Bedeutung. Nach KVKK Art. 16 trifft die Registrierungspflicht in der Regel die Verantwortlichen; der Ausschuss kann anhand objektiver Kriterien – etwa Art und Umfang der verarbeiteten Daten, gesetzliche Grundlage der Verarbeitung oder Übermittlung an Dritte – Ausnahmen festlegen. Folglich muss nicht jedes Unternehmen, sondern nur der in den Anwendungsbereich fallende Verantwortliche sich registrieren. Ein Unternehmen, das rein als Auftragsverarbeiter handelt, registriert sich allein aufgrund dieser Eigenschaft nicht; ist es jedoch hinsichtlich seiner eigenen Tätigkeiten Verantwortlicher, so ist es in dieser Eigenschaft verpflichtet. Umfang, Ausnahmen und Verfahren der VERBİS-Registrierung werden in einem gesonderten Leitfaden ausführlich behandelt; hier genügt der Hinweis, dass die Rollen die Registrierungspflicht bestimmen.
Sicherheitspflichten treffen beide Parteien (Art. 12)
KVKK Art. 12 regelt die Datensicherheitspflichten und stellt klar, dass die Verantwortung nicht nur auf einer Seite liegt. Der Verantwortliche muss alle technischen und organisatorischen Maßnahmen ergreifen, um ein angemessenes Sicherheitsniveau zu gewährleisten, damit die rechtswidrige Verarbeitung und der rechtswidrige Zugriff auf personenbezogene Daten verhindert und deren Aufbewahrung sichergestellt wird (Art. 12/1).
Der entscheidende Punkt steht im zweiten Absatz: Werden Daten von einer anderen Person im Namen des Verantwortlichen verarbeitet, so haftet der Verantwortliche für das Ergreifen dieser Maßnahmen gesamtschuldnerisch mit dem Auftragsverarbeiter (Art. 12/2). Der Verantwortliche kann sich seinen Pflichten nicht durch Auslagerung der Verarbeitung entziehen. Ferner bestimmt Art. 12/4, dass sowohl Verantwortliche als auch Auftragsverarbeiter die ihnen bekannt gewordenen personenbezogenen Daten nicht entgegen dem Gesetz offenlegen oder über den Verarbeitungszweck hinaus nutzen dürfen und dass diese Pflicht auch nach dem Ausscheiden fortbesteht. Die Pflicht zur Benachrichtigung des Ausschusses und der betroffenen Person im Fall einer Verletzung ergibt sich aus Art. 12/5. Kurz gesagt, ist die Last von Vertraulichkeit und Sicherheit auf jedes Glied der Kette verteilt.
Warum ein Auftragsverarbeitungsvertrag unverzichtbar ist
Hier tritt eine Besonderheit des türkischen Rechts hervor: Anders als Artikel 28 der EU-Datenschutz-Grundverordnung (DSGVO) enthält das KVKK keine Vorschrift, die zwischen Verantwortlichem und Auftragsverarbeiter ausdrücklich und in jedem Fall einen Vertrag bestimmten Inhalts vorschreibt. Dies ist ein echter Unterschied zur EU-Praxis und verdient sorgfältige Beachtung. Daraus darf jedoch nicht geschlossen werden, ein Vertrag sei entbehrlich. Angesichts der gesamtschuldnerischen Haftung nach Art. 12/2 und der Prüfpflicht nach Art. 12/3 wird es in der Praxis faktisch zwingend, die Aufsicht des Verantwortlichen über den Auftragsverarbeiter, die Grenzen der Weisungen und die Sicherheitsstandards in einem schriftlichen Auftragsverarbeitungsvertrag zu dokumentieren. Der Vertrag regelt sowohl das Innenverhältnis der Parteien bei der gemeinsamen Haftung als auch dient er als Nachweis der Einhaltung bei einer Prüfung durch den Ausschuss.
Was der Vertrag regeln sollte und grenzüberschreitende Nutzung
Ein sorgfältig ausgearbeiteter Auftragsverarbeitungsvertrag regelt typischerweise Folgendes:
- Umfang und Zweck der Verarbeitung — dass der Auftragsverarbeiter nur nach Weisung des Verantwortlichen und zum festgelegten Zweck handeln darf,
- Sicherheitsmaßnahmen — der Mindeststandard technischer und organisatorischer Maßnahmen nach Artikel 12,
- Zustimmung zu Unterauftragsverarbeitern — die vorherige Zustimmung des Verantwortlichen, bevor der Auftragsverarbeiter einen weiteren Dienstleister einbindet,
- Rückgabe oder Löschung der Daten bei Vertragsende — Rückgabe, Löschung oder Vernichtung der Daten bei Beendigung der Beziehung,
- Prüfrechte — die Befugnis des Verantwortlichen, den Auftragsverarbeiter zu prüfen oder prüfen zu lassen,
- Kette der Verletzungsmeldung — wie und innerhalb welcher Frist der Auftragsverarbeiter eine Verletzung an den Verantwortlichen melden muss.
Für ausländische Unternehmen, die die Verarbeitung an türkische Anbieter auslagern, kommt eine weitere Ebene hinzu: Die grenzüberschreitende Datenübermittlung unterliegt dem Regime nach KVKK Art. 9, und der Vertrag muss auch diese Übermittlungsbedingungen abdecken. Ebenso müssen türkische Unternehmen, die die Verarbeitung an einen ausländischen Anbieter auslagern, sowohl die Übermittlungsregeln als auch das Recht der Gegenseite prüfen. Daher muss der Vertrag bei grenzüberschreitenden Konstellationen nicht nur die Rollen, sondern auch die Rechtsgrundlage der Übermittlung ausdrücklich benennen.
Häufig gestellte Fragen
Kann ein Unternehmen gleichzeitig Verantwortlicher und Auftragsverarbeiter sein? Ja. So ist etwa eine Buchhaltungsfirma hinsichtlich ihrer eigenen Mitarbeiterdaten Verantwortliche und bei der Lohnabrechnung im Auftrag eines Kunden Auftragsverarbeiter. Die Rolle wird für jede Verarbeitungstätigkeit gesondert beurteilt.
Müssen sich Auftragsverarbeiter bei VERBİS registrieren? Die Registrierungspflicht gilt in der Regel für Verantwortliche. Ein Unternehmen, das ausschließlich als Auftragsverarbeiter handelt, registriert sich nicht aufgrund dieser Eigenschaft; ist es jedoch hinsichtlich seiner eigenen Tätigkeiten Verantwortlicher, kann es in dieser Eigenschaft verpflichtet sein.
Schreibt das KVKK einen Auftragsverarbeitungsvertrag zwingend vor? Das KVKK schreibt anders als Art. 28 DSGVO keine bestimmte Vertragsform in jedem Fall ausdrücklich vor. Aufgrund der gesamtschuldnerischen Haftung und der Prüfpflicht nach Artikel 12 ist ein schriftlicher Vertrag in der Geschäftspraxis jedoch faktisch unumgänglich.
Kann der Verantwortliche für ein Verschulden des Auftragsverarbeiters bestraft werden? Ja. Nach Art. 12/2 haften Verantwortlicher und Auftragsverarbeiter für das Ergreifen von Sicherheitsmaßnahmen gesamtschuldnerisch; der Verantwortliche kann sich seinen Pflichten nicht durch Auslagerung der Verarbeitung entziehen.
Wie Mona Hukuk helfen kann
Als Mona Hukuk unterstützen wir Unternehmen bei der Rollenbestimmung (Abgrenzung Verantwortlicher/Auftragsverarbeiter), beim Entwurf und der Verhandlung von Auftragsverarbeitungsverträgen, bei der Steuerung des VERBİS-Registrierungsverfahrens und bei der vertraglichen Gestaltung grenzüberschreitender Datenübermittlungen. Wir bieten umfassende Beratung sowohl für ausländische Unternehmen, die mit türkischen Anbietern arbeiten, als auch für türkische Unternehmen, die Anbieter im Ausland nutzen.
Für eine Beratung in Antalya schreiben Sie an contact@monahukuk.com oder rufen Sie +90 (242) 606 14 32 an.
Möchten Sie eine wöchentliche Zusammenfassung der Entwicklungen im türkischen Recht?
Mitteilungen aus dem Amtsblatt, Gerichtsentscheidungen und Gesetzesänderungen — wöchentlich per E-Mail. Kostenlos und jederzeit kündbar.
Verwandte Artikel
IT- & KI-Recht
.tr-Domain-Streitigkeiten in der Türkei: Ein Leitfaden
2. Juli 2026 · 5 Min. Lesezeit
Artikel lesenIT- & KI-Recht
Software-Escrow-Vereinbarungen in der Türkei: Leitfaden
22. Juni 2026 · 6 Min. Lesezeit
Artikel lesenIT- & KI-Recht
VERBİS: Das türkische Datenschutzregister im Überblick
9. Juni 2026 · 4 Min. Lesezeit
Artikel lesen