KVKK-Compliance: Datenschutzpflichten in der Türkei

Das türkische Datenschutzgesetz KVKK (Kişisel Verilerin Korunması Kanunu) regelt die Verarbeitung personenbezogener Daten und enthält weitgehend zur DSGVO der EU parallele Bestimmungen. Es begründet Compliance-Pflichten für jede Organisation, die Kunden-, Mitarbeiter- oder Geschäftspartnerdaten verarbeitet. Für Unternehmen in Antalya in Tourismus, Gesundheit, Immobilien, Bildung und Technologie ist KVKK kein gewöhnliches Regelwerk, sondern ein ernstzunehmendes Compliance-Thema mit finanziellen, rechtlichen und reputativen Risiken. Dieser Leitfaden behandelt die Grundlagen der KVKK-Compliance und die zu unternehmenden Schritte.

Anwendungsbereich des KVKK

KVKK erfasst alle natürlichen und juristischen Personen, die personenbezogene Daten verarbeiten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen:

• Name, Nachname,
• türkische Personennummer / Ausländer-Identifikationsnummer,
• E-Mail, Telefon,
• IP-Adresse,
• Standortdaten,
• Gesundheitsdaten,
• sexuelle Orientierung,
• biometrische Daten,
• Mitarbeiter-Leistungsdaten,
• Kundenpräferenzen,
• Cookie-Daten.

Für besondere Kategorien personenbezogener Daten (Gesundheit, ethnische Herkunft, religiöse Überzeugung, biometrische Daten etc.) gelten zusätzliche Schutzregeln.

Verantwortlicher und Auftragsverarbeiter

KVKK definiert zwei Grundrollen:

• Verantwortlicher: bestimmt Zwecke und Mittel der Verarbeitung; verantwortlich für Aufbau und Pflege des Datenregistersystems.
• Auftragsverarbeiter: verarbeitet Daten im Auftrag und auf Grundlage einer Befugnis des Verantwortlichen.

Eine Gesellschaft ist regelmäßig der Verantwortliche; der genutzte Cloud-Anbieter oder die CRM-Software ist Auftragsverarbeiter.

Wesentliche Compliance-Pflichten

1. Aufklärungspflicht

Der Verantwortliche muss die betroffene Person, deren Daten verarbeitet werden, aufklären über:

• Identität des Verantwortlichen,
• Zwecke der Verarbeitung,
• Empfänger,
• Erhebungsmethode und Rechtsgrundlage,
• Rechte der betroffenen Person (Auskunft, Löschung, Berichtigung etc.).

Die Aufklärung wird in der Regel als Aufklärungstext oder Datenschutzerklärung auf der Website veröffentlicht und der betroffenen Person bei Antragsstellung, Vertrag oder Leistungsbezug vorgelegt.

2. Ausdrückliche Einwilligung

Für bestimmte Verarbeitungstätigkeiten ist die ausdrückliche Einwilligung der betroffenen Person einzuholen. Sie muss:

• sich auf einen konkreten Gegenstand beziehen,
• auf Information beruhen,
• freiwillig sein,
• widerrufbar sein.

Aufklärung und ausdrückliche Einwilligung sind nicht zu verwechseln. Aufklärung ist stets erforderlich; die ausdrückliche Einwilligung nur für bestimmte Vorgänge.

3. VERBİS-Registrierung

Verantwortliche ab einer bestimmten Größe müssen sich im Datenregister-Informationssystem (VERBİS) registrieren. VERBİS ist ein öffentlich zugängliches Verzeichnis und enthält:

• welche Datenarten verarbeitet werden,
• für wen,
• zu welchen Zwecken,
• für welche Dauer,
• mit wem geteilt.

Bei Registrierungspflicht und Unterlassung oder unvollständigen Einträgen drohen Bußgelder.

4. Richtlinie zur Speicherung und Löschung personenbezogener Daten

VERBİS-pflichtige Verantwortliche müssen eine Richtlinie zur Speicherung und Löschung vorhalten. Sie:

• enthält das Verzeichnis personenbezogener Daten,
• legt Speicherfristen fest,
• regelt Löschung oder Anonymisierung am Ende der Speicherfrist,
• beschreibt einen periodischen Audit-Mechanismus.

5. Datensicherheitsmaßnahmen

Verantwortliche sind verpflichtet:

• organisatorische und technische Maßnahmen gegen unbefugten Zugriff zu treffen,
• Verschlüsselung, Zugriffskontrolle, Backup umzusetzen,
• Vertraulichkeitsvereinbarungen mit Mitarbeitern abzuschließen,
• einen Vorfallreaktionsplan einzurichten.

6. Meldung von Datenschutzverletzungen

Bei einer Verletzung (Cyberangriff, Leak etc.) muss der Verantwortliche:

• die Behörde unverzüglich informieren,
• die betroffenen Personen informieren.

Verzögerte Meldungen führen zu zusätzlichen Sanktionen.

7. Bearbeitung von Anträgen Betroffener

Betroffene haben Rechte auf:

• Auskunft, ob ihre Daten verarbeitet werden,
• Information zu den Daten,
• Berichtigung oder Löschung,
• Widerspruch gegen automatisierte Entscheidungen.

Der Verantwortliche muss innerhalb der Frist antworten.

Grenzüberschreitende Datenübermittlung

Die grenzüberschreitende Übermittlung in der Türkei verarbeiteter Daten ist grundsätzlich eingeschränkt. Anwendbar sind die ausdrückliche Einwilligung, eine Liste von Staaten mit angemessenem Schutzniveau durch die Behörde oder verbindliche Unternehmensregeln (BCR).

Cloud-Dienste, E-Mail-Dienste oder Übermittlungen an ausländische Organisationen fallen darunter; Verstöße ziehen erhebliche Sanktionen nach sich.

Bußgelder

Die Datenschutzbehörde kann bei Verstößen Bußgelder verhängen. Die Höhe variiert nach:

• Art des Verstoßes,
• Anzahl der Betroffenen,
• Größe des Verantwortlichen,
• Wiederholung.

Veröffentlichte Entscheidungen verursachen zusätzlich Reputationsschäden.

Praktische Compliance-Schritte

Typischer Pfad zur KVKK-Compliance:

1. Datenerfassung — Abbildung aller Datenflüsse.
2. Aufklärungstexte und Datenschutzerklärungen vorbereiten.
3. Einwilligungsprozesse gestalten — Marketing, Mitarbeiter, Kunden.
4. Speicher- und Löschungsrichtlinie vorbereiten.
5. VERBİS-Registrierung abschließen.
6. Mitarbeiterschulungen.
7. Verträge aktualisieren — insbesondere KVKK-Klauseln mit Auftragsverarbeitern (CRM, Cloud, IT).
8. Vorfallreaktionsplan etablieren.
9. Periodisches Audit und Aktualisierung.

Branchenspezifika

Tourismus

Hotels und Reiseveranstalter verarbeiten umfangreiche personenbezogene Daten: Passdaten, Gesundheitserklärungen, Zahlungsdaten. Grenzüberschreitende Übermittlung und Speicherung von Kartendaten sind besonders wichtig.

Gesundheitswesen

Patientendaten gehören zu den besonderen Kategorien; strengere Regeln.

E-Commerce

Cookie-Richtlinie, Nutzungsanalyse-Tools und Targeting-Tools erfordern eine sorgfältige KVKK-Bewertung.

Immobilien

Identitätsdaten, Finanzdaten und Grundbuchunterlagen erfordern langfristige Speicherung.

Rechtsbeistand

Damit Unternehmen in Antalya KVKK-Compliance erreichen, bietet MONA HUKUK umfassenden Service — von der Datenerfassung bis zur VERBİS-Registrierung, von Aufklärungstexten bis zur Mitarbeiterschulung. Mit unserer Expertise im IT-Recht stellen wir die Übereinstimmung mit Recht und internationalen Standards sicher.

Kontaktieren Sie uns unter contact@monahukuk.com oder rufen Sie +90 (242) 606 14 32 an, um einen Beratungstermin in Antalya zu vereinbaren.