Datenschutzhinweis vs. Einwilligung nach KVKK: Regeln für Firmen

In der Türkei gehört es zu den häufigsten Compliance-Fehlern, Datenschutzhinweis und Einwilligungserklärung in einem einzigen Dokument zu kombinieren. Das türkische Datenschutzgesetz KVKK (Kişisel Verilerin Korunması Kanunu, Gesetz Nr. 6698) verlangt ausdrücklich, dass diese beiden Elemente strikt voneinander getrennt gehalten werden. Wer das missachtet, riskiert Bußgelder durch die KVKK-Behörde und förmliche Beschwerdeverfahren, die für ausländische Unternehmen mit Präsenz in der Türkei ebenso gelten wie für inländische Firmen.

Informationspflicht und Einwilligung — zwei verschiedene Konzepte

Das Gesetz behandelt beide Instrumente aus gutem Grund in getrennten Vorschriften.

Der Datenschutzhinweis (aydınlatma) ist eine bedingungslose Informationspflicht nach Artikel 10 KVKK. Der Verantwortliche muss betroffene Personen zum Zeitpunkt der Datenerhebung informieren: über seine Identität, die Verarbeitungszwecke, Empfänger von Übermittlungen, die Erhebungsmethode sowie die Rechtsgrundlage. Diese Pflicht besteht unabhängig davon, auf welche Rechtsgrundlage sich der Verantwortliche stützt — ob Einwilligung, Vertragserfüllung oder gesetzliche Verpflichtung.

Die Einwilligung (açık rıza, wörtlich: ausdrückliche Zustimmung) ist nach Artikel 5 KVKK nur eine von sechs möglichen Rechtsgrundlagen. Die übrigen umfassen gesetzliche Verpflichtungen, Vertragserfüllung und berechtigte Interessen. Liegt eine alternative Rechtsgrundlage vor, braucht man keine Einwilligung. Wenn doch auf Einwilligung zurückgegriffen wird, muss sie freiwillig, zweckspezifisch und informiert erteilt worden sein.

Die Trennungspflicht nach dem Datenschutzhinweis-Kommuniqué

Das Kommuniqué über die Erfüllung der Informationspflicht (Amtsblatt vom 10. März 2018) hält in Artikel 5(f) unmissverständlich fest: Werden Daten auf Grundlage einer Einwilligung verarbeitet, müssen Informationserteilung und Einholung der Einwilligung getrennt durchgeführt werden. Beide zusammen in einem einzigen Formular zu regeln, ist unzulässig.

In der Praxis bedeutet das:

• Der Datenschutzhinweis ist ein eigenständiges Dokument, das der Person tatsächlich einen Überblick über die Verarbeitung verschafft.
• Das Einwilligungsformular folgt separat — nach dem Hinweis, in einem klar unterscheidbaren Element.
• Für jeden Verarbeitungszweck, der auf Einwilligung beruht, ist eine gesonderte, zweckspezifische Einwilligung einzuholen.
• Wer den Zugang zu einem Dienst von der Einwilligung abhängig macht, gefährdet deren Freiwilligkeit — das Gesetz schützt davor.

Ergänzend hält Artikel 5(e) desselben Kommuniqués fest: Der Verantwortliche trägt die Beweislast dafür, dass er den Hinweis tatsächlich erteilt hat. Ohne entsprechende Dokumentation ist eine glaubhafte Verteidigung im Beschwerdefall kaum möglich.

Mindestinhalt eines rechtssicheren Datenschutzhinweises

Artikel 10 KVKK legt die Pflichtangaben fest. Ein konformer Hinweis muss enthalten:

• Identität des Verantwortlichen und ggf. eines Vertreters
• Verarbeitungszwecke
• Empfängerkategorien und Zweck der Übermittlung
• Erhebungsmethode und Rechtsgrundlage
• Rechte der betroffenen Person nach Artikel 11 KVKK

Das Kommuniqué verlangt zudem eine klare und verständliche Sprache. Allgemeine Formulierungen wie „für Geschäftszwecke" ohne weitere Spezifizierung genügen nicht. Jeder Zweck muss konkret, eindeutig und legitim beschrieben sein.

Typische Verstöße im Unternehmensalltag

Ob in Antalya, Istanbul oder bei Unternehmen mit Türkei-Bezug aus dem Ausland — in verschiedenen Branchen treten dieselben Schwachstellen auf:

• Datenschutztext und Einwilligungs-Checkbox in einem gemeinsamen Dokument oder PDF
• Vorausgefüllte Checkbox — erfüllt das Freiwilligkeitskriterium nicht
• Unspezifische Zweckangaben, die eine Vielzahl zukünftiger Verarbeitungen abdecken sollen
• Eine einzige Zustimmung für alle denkbaren Verarbeitungsarten
• Kein Nachweis darüber, dass der Hinweis tatsächlich erteilt wurde

Besonders der letzte Punkt ist entscheidend: Bei einer Beschwerde muss allein der Verantwortliche beweisen, dass er informiert hat. Ohne Dokumentation steht er schutzlos da.

Weiterführende Informationen zu KVKK-Compliance-Pflichten sowie zu grenzüberschreitenden Datenübermittlungen finden Sie in unseren vertiefenden Artikeln.

Bußgelder und Durchsetzung

Die KVKK-Behörde (Kişisel Verileri Koruma Kurulu) ist die zuständige Datenschutzbehörde. Nach Artikel 18 KVKK drohen bei Verstößen gegen die Informationspflicht (Artikel 10) Bußgelder zwischen 5.000 und 100.000 türkischen Lira. Bei Nichtbefolgung von Behördenentscheidungen steigen die Beträge auf bis zu 1.000.000 TL; für fehlende Registrierung im Datenverantwortlichen-Register (VERBİS) gelten Beträge zwischen 20.000 und 1.000.000 TL. Durch Gesetz Nr. 7499 (in Kraft seit 2. März 2024) können Bußgeldbescheide der KVKK-Behörde nun vor Verwaltungsgerichten angefochten werden.

Ausländische Unternehmen sind nicht ausgenommen. Wer Daten türkischer Nutzer verarbeitet — sei es über eine Niederlassung in Antalya, eine auf den türkischen Markt ausgerichtete Website oder eine App — unterliegt dem KVKK.

Häufig gestellte Fragen

F: Wir haben bereits eine Datenschutzerklärung auf unserer Website. Ist das ausreichend?

Nicht zwingend. Eine zugängliche Datenschutzerklärung trägt zur Informationspflicht bei, aber Zeitpunkt und Methode der Unterrichtung sind entscheidend. Artikel 10 KVKK verlangt, dass die Unterrichtung im Moment der Datenerhebung stattfindet — nicht irgendwann vorher oder nachher.

F: Können wir mit einer einzigen Checkbox mehrere Verarbeitungszwecke abdecken?

Nein. Jeder auf Einwilligung gestützte Verarbeitungszweck erfordert eine eigene, klar beschriebene Zustimmung. Pauschalzustimmungen genügen den gesetzlichen Anforderungen nicht.

F: Wir verarbeiten Daten zur Vertragserfüllung. Brauchen wir trotzdem einen Datenschutzhinweis?

Ja. Die Informationspflicht besteht unabhängig von der gewählten Rechtsgrundlage. Bei Vertragserfüllung müssen Sie dies im Hinweis deutlich angeben — verzichten können Sie auf den Hinweis nicht.

F: Unser Unternehmen sitzt im Ausland. Gilt das KVKK trotzdem für uns?

Ja, sofern Sie Daten von Personen in der Türkei verarbeiten. Das Gesetz richtet sich nach dem Aufenthaltsort der betroffenen Person, nicht nach dem Sitz des Unternehmens.

Wie Mona Hukuk Sie unterstützen kann

Unsere Kanzlei berät Unternehmen in Antalya und ganz in der Türkei bei der datenschutzrechtlichen Prüfung ihrer Formulare und Prozesse, der Erstellung rechtssicherer Datenschutzhinweise sowie separater Einwilligungsmechanismen, und bei der Vertretung in Verfahren vor der KVKK-Behörde.

Kontaktieren Sie uns unter info@monahukuk.com oder rufen Sie +90 (242) 606 14 32 an, um einen Beratungstermin in Antalya zu vereinbaren.