KVKK- und Cookie-Compliance für E-Commerce-Sites in der Türkei

E-Commerce ist ein Schnittfeld von KVKK und elektronischem Handelsrecht. Viele Aktivitäten — Kundenregistrierung, Zahlungsinformationen, Cookies, E-Mail-Versand, gezielte Werbung — schaffen nicht isolierte, sondern miteinander verflochtene Pflichten. Als Kanzlei, die in Antalya seit Jahren E-Commerce-Unternehmen berät, erläutern wir in diesem Leitfaden den grundlegenden Rechtsrahmen, mit dem ein Online-Shop konform sein muss.

Datenschutzposition eines E-Commerce-Unternehmens

Ein E-Commerce-Unternehmen verarbeitet personenbezogene Daten der Kundschaft an mehreren Stellen:

• Bei Registrierung und Login,
• Bei der Bestellung (Name, Adresse, Telefon, E-Mail),
• Bei der Zahlung (Kartendaten),
• Beim Versand (Weitergabe an Logistikdienstleister),
• Bei Marketing (Newsletter, gezielte Werbung),
• Bei der Verhaltensanalyse (Cookies und Tracking-Tools),
• Bei Retouren und Beschwerden.

Jede Stufe ist im Rahmen des KVKK zu prüfen.

Pflichten in der Registrierungsphase

Datenschutzhinweis

Bei der Registrierung muss ein Datenschutzhinweis (Aydınlatma Metni) vorgelegt werden. Er muss klar nennen:

• Wer der Verantwortliche ist,
• Welche Daten verarbeitet werden,
• Zu welchen Zwecken,
• An wen weitergegeben (Logistik, Zahlungsdienste, Cloud-Anbieter),
• Speicherfristen,
• Rechte der Betroffenen.

Bewährt hat sich die Platzierung des Hinweises vor dem "Ich akzeptiere"-Häkchen.

Ausdrückliche Einwilligung

Getrennt vom Datenschutzhinweis ist für die Datenverarbeitung zu Marketingzwecken eine ausdrückliche Einwilligung erforderlich. Diese Einwilligung:

• Darf nicht zur Pflicht für die Registrierung werden (vorab angekreuzte Checkbox ist unzulässig),
• Muss widerruflich sein,
• Muss themenbezogen sein (E-Mail, SMS, gezielte Werbung jeweils gesondert).

Cookie-Richtlinie

Cookies stellen Datenverarbeitung dar. Eine KVKK- und international konforme Cookie-Verwaltung:

Cookie-Banner

Beim ersten Besuch sollte ein Cookie-Banner angezeigt werden. Er sollte:

• Die verwendeten Cookies erläutern,
• Zwischen erforderlichen und optionalen Cookies unterscheiden,
• Optionalen Cookies eine separate Annahmemöglichkeit bieten,
• Ein-Klick-Annehmen/Ablehnen ermöglichen.

Cookie-Richtlinientext

Auf einer eigenen Seite sollte eine detaillierte Cookie-Richtlinie stehen. Sie sollte erklären:

• Liste aller Cookies,
• Anbieter (eigene Seite vs. Drittanbieter),
• Zweck,
• Speicherdauer,
• Wie der Nutzer Einstellungen ändern kann.

Drittanbieter-Cookies

Tools wie Google Analytics, Facebook Pixel und Hotjar verarbeiten personenbezogene Daten und übermitteln sie ins Ausland. Für ihre Nutzung:

• Ist eine ausdrückliche Einwilligung einzuholen,
• Ist einer der KVKK-Mechanismen für die grenzüberschreitende Übermittlung anzuwenden.

Bestell- und Zahlungsphase

Bei der Bestellung:

• Werden Daten zu Vertragsschluss und -erfüllung verarbeitet — die Rechtsgrundlage Vertrag genügt,
• Erfordert die Aufbewahrung von Zahlungsdaten zusätzliche Sicherheitsmaßnahmen,
• Sollte eine PCI-DSS-konforme Zahlungsinfrastruktur bevorzugt werden,
• Ist mit Zahlungsdienstleistern eine Auftragsverarbeitungsvereinbarung zu schließen.

Pflichten bei Fernabsatzverträgen

Verkäufe im E-Commerce gelten als Fernabsatzverträge. Pflichten:

• Vorvertragliche Information — Produktmerkmale, Preis, Versand, Lieferfrist, Widerrufsrecht usw.,
• Widerrufsrecht — in der Regel innerhalb einer bestimmten Frist nach Lieferung,
• Rückabwicklung — bei Widerruf,
• Bestellbestätigung und Vertragsversand an die Kundschaft.

Newsletter und SMS-Marketing

In der Türkei unterliegen elektronische Werbenachrichten (E-Mail, SMS, Instant Messaging) der Pflicht zur Eintragung in İYS (Nachrichtenmanagementsystem). Pflichten:

• Ohne vorherige ausdrückliche Einwilligung dürfen keine Werbenachrichten versandt werden,
• Das Recht zur Ablehnung muss in jeder Nachricht einfach ausgeübt werden können,
• An ablehnende Empfänger darf nicht erneut gesendet werden,
• Einwilligungsprüfung und -registrierung über İYS sind Pflicht.

Bei Verstößen drohen empfindliche Bußgelder.

Gezielte Werbung und Remarketing

Für gezielte Werbung (Facebook, Google Ads usw.) auf Basis des Nutzerverhaltens:

• Ist eine ausdrückliche Einwilligung erforderlich,
• Muss dieser Zweck im Datenschutzhinweis ausdrücklich genannt sein,
• Sind Vorschriften für die grenzüberschreitende Datenübermittlung zu beachten,
• Muss der Nutzer im Cookie-Banner ablehnen können.

Meldepflicht bei Datenpannen

Bei Cyberangriffen, Datenlecks oder Verstößen:

• Ist die Datenschutzbehörde so schnell wie möglich zu informieren,
• Sind betroffene Kundinnen und Kunden zu benachrichtigen,
• Sind konkrete Maßnahmen zur Schadensbegrenzung zu ergreifen.

Eine Verheimlichung oder verspätete Meldung führt zu zusätzlichen Sanktionen.

VERBİS-Eintrag

Übersteigen Kundenzahl und Verarbeitungsintensität bestimmte Schwellen, ist die VERBİS-Eintragung verpflichtend. Dabei werden:

• Datenkategorien,
• Zwecke,
• Empfänger,
• Speicherfristen

erklärt. Anschließend ist eine Speicher- und Löschrichtlinie zu erstellen.

Kunden in der EU und DSGVO

Türkische E-Commerce-Unternehmen, die an Kunden in Europa verkaufen, müssen auch die EU-DSGVO beachten. Sie weist viele Parallelen zum KVKK auf, bringt aber zusätzliche Pflichten:

• Bestellung eines Datenschutzbeauftragten (DPO) unter bestimmten Voraussetzungen,
• Datenschutz-Folgenabschätzung (DSFA),
• Bestellung eines Vertreters in der EU.

Verbraucherschiedsstelle und Verbrauchergericht

In Streitigkeiten mit Kunden:

• Werden Streitigkeiten unterhalb bestimmter Beträge bei der Verbraucherschiedsstelle (Tüketici Hakem Heyeti) verhandelt,
• Größere Streitigkeiten beim Verbrauchergericht,
• Können Kunden an ihrem Wohnort klagen — was für Unternehmen aus Antalya bundesweite Verfahren bedeuten kann.

Eine vorbereitete Beschwerde- und Kundenbetreuung senkt die Rechtskosten.

Praktische Compliance-Schritte

1. Datenschutzhinweise auf Hauptseiten,
2. Cookie-Banner und Cookie-Richtlinie,
3. İYS-Eintrag und Einwilligungsverwaltung,
4. Rechtskonforme Fernabsatzprozesse,
5. VERBİS-Eintrag und Speicher-/Löschrichtlinie,
6. Auftragsverarbeitungsverträge — mit Zahlungs-, Versand- und Hostingdienstleistern,
7. Reaktionsplan bei Datenpannen,
8. Mitarbeiterschulungen.

Wie Mona Hukuk Sie unterstützen kann

Für E-Commerce-Unternehmen in Antalya bietet MONA HUKUK eine durchgängige Compliance-Begleitung: Erstellung von Datenschutz- und Cookie-Richtlinien, İYS-Koordination, Fernabsatztexte, KVKK-Compliance und bei Bedarf zusätzliche DSGVO-Leistungen. In einem schnell wachsenden Markt stärken wir die rechtlichen Grundlagen Ihres Geschäfts und stellen das Risikomanagement auf eine professionelle Basis für nachhaltiges Wachstum.

Kontaktieren Sie uns unter contact@monahukuk.com oder rufen Sie +90 (242) 606 14 32 an, um einen Beratungstermin in Antalya zu vereinbaren.