IT- & KI-Recht
Löschung, Vernichtung und Anonymisierung personenbezogener Daten in der Türkei
Veröffentlicht 14. Juli 2026·5 Min. Lesezeit
RA Mona Hukuk Redaktionsteam - Antalya · Antalya Rechtsanwaltskammer
Was geschieht mit den personenbezogenen Daten in Ihrem Unternehmen, sobald ein Kundenvertrag endet, ein Mitarbeiter ausscheidet oder eine Marketingeinwilligung widerrufen wird? Das türkische Gesetz zum Schutz personenbezogener Daten (KVKK, Gesetz Nr. 6698) erlaubt keine zeitlich unbegrenzte Speicherung. Sobald die Gründe entfallen, die eine Verarbeitung erforderten, muss der Verantwortliche diese Daten löschen, vernichten oder anonymisieren. Diese Pflicht ergibt sich aus KVKK Art. 7 und der eigens dazu erlassenen „Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten" (Amtsblatt vom 28.10.2017). Dieser Leitfaden erläutert den Unterschied zwischen den drei Verfahren, die Pflicht zur Aufbewahrungs- und Vernichtungsrichtlinie sowie die einzuhaltenden Fristen.
Wann entsteht die Vernichtungspflicht?
KVKK Art. 7 Abs. 1 ist eindeutig: Selbst wenn Daten rechtmäßig verarbeitet wurden, muss der Verantwortliche sie löschen, vernichten oder anonymisieren, sobald die Gründe für ihre Verarbeitung entfallen — und zwar von Amts wegen (aus eigener Initiative) oder auf Verlangen der betroffenen Person. Die Verordnung konkretisiert dies als Wegfall sämtlicher Verarbeitungsvoraussetzungen der Art. 5 und 6 des Gesetzes. Diese Voraussetzungen entfallen typischerweise, wenn:
- der Zweck der Verarbeitung erfüllt ist oder weggefallen ist,
- die der Verarbeitung zugrunde liegende ausdrückliche Einwilligung widerrufen wird,
- die gesetzlich vorgeschriebene Höchstaufbewahrungsfrist abläuft,
- die Daten nach Beendigung des zugrunde liegenden Vertrags nicht mehr benötigt werden.
Aufbewahrungspflichten aus anderen Gesetzen (etwa Mindestaufbewahrungsfristen im Steuer- oder Handelsrecht) bleiben vorbehalten; vor deren Ablauf darf keine Vernichtung erfolgen.
Die drei Methoden und ihre Unterschiede
Die Verordnung verwendet „Vernichtung" (imha) als Oberbegriff für drei eigenständige Vorgänge, die jeweils gesondert definiert sind:
- Löschung (Art. 8): Die Daten werden für die relevanten Nutzer in keiner Weise mehr zugänglich und nicht wiederverwendbar gemacht. Die Daten können technisch noch eine Zeit lang im System vorhanden sein; entscheidend ist, dass die zur Verarbeitung befugten Nutzer keinen Zugriff mehr haben.
- Vernichtung (Art. 9): Die Daten werden für niemanden in irgendeiner Weise zugänglich, wiederherstellbar oder wiederverwendbar gemacht. Das Schreddern physischer Unterlagen oder das unumkehrbare Zerstören magnetischer Medien fällt hierunter.
- Anonymisierung (Art. 10): Die Daten werden so verändert, dass sie selbst bei Abgleich mit anderen Daten keiner bestimmten oder bestimmbaren natürlichen Person mehr zugeordnet werden können. Ordnungsgemäß anonymisierte Daten sind keine personenbezogenen Daten mehr, weshalb dieses Verfahren für Statistik und Analyse bevorzugt wird.
Die Aufbewahrungs- und Vernichtungsrichtlinie
Art. 5 der Verordnung verpflichtet Verantwortliche, die sich in das Register der Verantwortlichen (VERBİS) eintragen müssen, zur Erstellung einer Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten. Diese muss mindestens umfassen (Art. 6):
- die Datenträger und die rechtlichen oder technischen Gründe für die Aufbewahrung,
- die getroffenen technischen und organisatorischen Maßnahmen,
- die Bezeichnungen und Aufgaben der an Aufbewahrung und Vernichtung beteiligten Personen,
- eine Tabelle mit den Aufbewahrungs- und Vernichtungsfristen,
- die Fristen zur periodischen Vernichtung.
Wichtig: Das bloße Vorliegen einer Richtlinie bedeutet nicht, dass die Daten tatsächlich rechtmäßig vernichtet wurden (Art. 5 Abs. 2). Zudem trifft die Pflicht zur Löschung, Vernichtung und Anonymisierung auch einen Verantwortlichen, der nicht zur Erstellung einer Richtlinie verpflichtet ist (Art. 5 Abs. 3).
Periodische Vernichtung und Fristen
Die Fristen richten sich danach, ob der Verantwortliche eine Richtlinie hat:
- Ein Verantwortlicher mit Richtlinie vernichtet die Daten bei der ersten periodischen Vernichtung nach dem Zeitpunkt, zu dem die Pflicht entstand. Das Intervall wird in der Richtlinie festgelegt, darf jedoch in keinem Fall sechs Monate überschreiten (Art. 11 Abs. 2) — die periodische Vernichtung muss also mindestens alle sechs Monate erfolgen.
- Ein Verantwortlicher ohne Richtlinienpflicht führt die Vernichtung innerhalb von drei Monaten nach Entstehen der Pflicht durch (Art. 11 Abs. 3).
- Erfolgt die Vernichtung auf Verlangen der betroffenen Person und sind sämtliche Verarbeitungsvoraussetzungen entfallen, ist der Antrag innerhalb von dreißig Tagen abzuschließen (Art. 12).
Der Ausschuss kann diese Fristen verkürzen, wenn ein schwer oder nicht wiedergutzumachender Schaden droht und eine offensichtliche Rechtswidrigkeit vorliegt (Art. 11 Abs. 4).
Nachweis der Konformität
Die Verordnung verlangt nicht nur die Vernichtung, sondern auch deren Dokumentation. Alle Löschungs-, Vernichtungs- und Anonymisierungsvorgänge sind aufzuzeichnen, und diese Aufzeichnungen sind — unbeschadet anderer gesetzlicher Pflichten — mindestens drei Jahre aufzubewahren (Art. 7 Abs. 3). Der Verantwortliche muss außerdem die angewandten Methoden in seinen Richtlinien und Verfahren darlegen. In der Praxis empfiehlt sich für Unternehmen:
- Ein Verzeichnis der Verarbeitungstätigkeiten erstellen und für jede Datenkategorie eine Höchstaufbewahrungsfrist festlegen.
- Die Aufbewahrungs- und Vernichtungsrichtlinie erstellen und das periodische Vernichtungsintervall (höchstens sechs Monate) bestimmen.
- Jeden Vernichtungsvorgang protokollieren und mindestens drei Jahre aufbewahren.
- Anträge betroffener Personen innerhalb der Dreißig-Tage-Frist bearbeiten.
- Richtlinie und Verzeichnis regelmäßig überprüfen und aktualisieren.
Häufig gestellte Fragen
Worin besteht der Unterschied zwischen Löschung und Vernichtung? Bei der Löschung werden die Daten für die zur Verarbeitung befugten relevanten Nutzer unzugänglich gemacht, können aber technisch noch eine Zeit lang im System verbleiben. Bei der Vernichtung werden die Daten so beseitigt, dass niemand sie mit irgendeinem Mittel wiederherstellen kann.
Muss jedes Unternehmen eine Aufbewahrungs- und Vernichtungsrichtlinie erstellen? Nein. Diese Pflicht trifft Verantwortliche, die sich in VERBİS eintragen müssen. Unternehmen ohne diese Pflicht müssen die Daten jedoch trotzdem nach Ablauf der Aufbewahrungsfrist vernichten.
Bis wann muss die periodische Vernichtung spätestens erfolgen? Das Intervall wird in der Richtlinie frei festgelegt, darf jedoch in keinem Fall sechs Monate überschreiten. Ein Verantwortlicher mit Richtlinie muss die periodische Vernichtung daher mindestens alle sechs Monate durchführen.
Fallen anonymisierte Daten in den Anwendungsbereich des KVKK? Ordnungsgemäß anonymisierte Daten lassen sich keiner bestimmten Person mehr zuordnen und verlieren damit ihren Charakter als personenbezogene Daten; sie fallen aus dem Anwendungsbereich des KVKK. Kann die Identität jedoch durch Abgleich noch ermittelt werden, gilt die Anonymisierung als unwirksam.
Wie Mona Hukuk helfen kann
Bei Mona Hukuk unterstützen wir Unternehmen bei der Erstellung von Verarbeitungsverzeichnissen, der Ausarbeitung von Aufbewahrungs- und Vernichtungsrichtlinien, dem Aufbau periodischer Vernichtungsabläufe und der rechtskonformen Dokumentation von Vernichtungsvorgängen. Mit unserer Expertise im IT- und KI-Recht verhelfen wir Ihrem Unternehmen zur vollständigen Einhaltung der Vernichtungspflichten des KVKK.
Für eine Beratung in Antalya schreiben Sie an contact@monahukuk.com oder rufen Sie +90 (242) 606 14 32 an.
Möchten Sie eine wöchentliche Zusammenfassung der Entwicklungen im türkischen Recht?
Mitteilungen aus dem Amtsblatt, Gerichtsentscheidungen und Gesetzesänderungen — wöchentlich per E-Mail. Kostenlos und jederzeit kündbar.
Verwandte Artikel
IT- & KI-Recht
.tr-Domain-Streitigkeiten in der Türkei: Ein Leitfaden
2. Juli 2026 · 5 Min. Lesezeit
Artikel lesenIT- & KI-Recht
Software-Escrow-Vereinbarungen in der Türkei: Leitfaden
22. Juni 2026 · 6 Min. Lesezeit
Artikel lesenIT- & KI-Recht
VERBİS: Das türkische Datenschutzregister im Überblick
9. Juni 2026 · 4 Min. Lesezeit
Artikel lesen