I. ÜBERBLICK ZUM SCHUTZ PERSONENBEZOGENER DATEN
Der Schutz personenbezogener Daten war in der Türkei über viele Jahre ein kontroverses Thema, vor allem im Zusammenhang mit den Beitrittsverfahren zur Europäischen Union. Obwohl die Türkei bereits 1981 das Übereinkommen Nr. 108 des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) unterzeichnet hatte und damit Vertragspartei war, wurden die nachfolgenden innerstaatlichen Regelungen nie umgesetzt, sodass das Übereinkommen 108 nicht in Kraft trat.
Um dies zu beheben, verabschiedete die Türkei ein neues Gesetz zum Schutz personenbezogener Daten, das Gesetz über den Schutz personenbezogener Daten Nr. 6698, das im Gesetzblatt vom 7. April 2016, Nr. 29677, veröffentlicht wurde (das Gesetz), wodurch das Übereinkommen 108 im Inland wirksam umgesetzt wurde.
Dieses Gesetz gilt als dringend erforderliche Verbesserung des Schutzes personenbezogener Daten und begründet neue Verpflichtungen für Dateninhaber, Aufsichtsverantwortliche und Auftragsverarbeiter, personenbezogene Daten jederzeit vertraulich zu behandeln. Allerdings enthält das Gesetz, ebenso wie das Übereinkommen 108, teilweise unbestimmte Definitionen, wenn es darum geht, was personenbezogene Daten sind.
Diese unbestimmten Definitionen ermöglichen eine flexible Bestimmung dessen, was personenbezogene Daten ausmacht, sodass unterschiedliche Datensätze auch ohne Gesetzesänderung als personenbezogene Daten eingestuft werden können. Zugleich können sie jedoch Unsicherheit und Verwirrung in Bezug auf bestimmte Datensätze verursachen, etwa bei biometrischen Daten. Um die Regeln für die Verwendung biometrischer Daten bestimmen zu können, sind daher zunächst die allgemeinen Grundsätze und die Definition personenbezogener Daten zu untersuchen.
II. DEFINITION VON PERSONENBEZOGENEN DATEN UND VERARBEITUNGSMETHODEN
Artikel 2 des Gesetzes definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, während Artikel 6 vorsieht, dass „personenbezogene Daten über Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Konfession oder sonstige Überzeugungen, Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten als personenbezogene Daten besonderer Art gelten“.
Artikel 2 definiert außerdem die Verarbeitung personenbezogener Daten als „jeden Vorgang, der an personenbezogenen Daten vorgenommen wird, wie Erhebung, Aufzeichnung, Speicherung, Aufbewahrung, Änderung, Neuordnung, Offenlegung, Übermittlung, Übernahme, Abrufbarmachung, Klassifizierung oder Verhinderung ihrer Nutzung, ganz oder teilweise durch automatische Mittel oder, sofern der Vorgang Teil eines Datenregistrierungssystems ist, durch nichtautomatische Mittel“.
Dementsprechend gelten bereits die Erhebung, Aufzeichnung und/oder Speicherung personenbezogener Daten als Datenverarbeitung und unterliegen daher den strengen Verfahrensregeln des Gesetzes. Jede in Artikel 2 genannte Handlung in Bezug auf personenbezogene Daten bedarf daher gemäß Artikel 5 der ausdrücklichen Einwilligung des Dateninhabers. Selbstverständlich gibt es bestimmte Ausnahmen von dieser Regel. Nach Artikel 5 dürfen personenbezogene Daten ohne ausdrückliche Einwilligung des Dateninhabers verarbeitet werden, wenn:
a) dies gesetzlich ausdrücklich vorgesehen ist,
b) dies zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder einer anderen Person zwingend erforderlich ist, sofern diese körperlich nicht in der Lage ist, ihre Einwilligung zu erteilen, oder ihre Einwilligung rechtlich nicht als gültig angesehen wird,
c) die Verarbeitung personenbezogener Daten der Vertragsparteien erforderlich ist, sofern sie unmittelbar mit dem Abschluss oder der Erfüllung dieses Vertrags zusammenhängt,
d) dies erforderlich ist, damit der Verantwortliche seine gesetzlichen Pflichten erfüllen kann,
e) die betreffenden Daten von der betroffenen Person selbst öffentlich gemacht wurden,
f) die Datenverarbeitung für die Begründung, Ausübung oder den Schutz eines Rechts zwingend erforderlich ist,
g) dies für die berechtigten Interessen des Verantwortlichen zwingend erforderlich ist, sofern diese Verarbeitung die Grundrechte und Grundfreiheiten der betroffenen Person nicht verletzt.
III. PFLICHTEN DES VERANTWORTLICHEN UND RECHTE DES DATENINHABERS
- Pflichten des Verantwortlichen
Nach Artikel 10 müssen der Verantwortliche oder die von ihm bevollmächtigten Personen den Dateninhaber während der Datenerhebung und/oder -verarbeitung informieren über (a) die Identität des Verantwortlichen und aller seiner Vertreter, (b) den Zweck der Datenverarbeitung, (c) an wen und zu welchen Zwecken die verarbeiteten Daten übermittelt werden können und (d) die Methode und den Rechtsgrund der Erhebung personenbezogener Daten.
Darüber hinaus sind Verantwortliche verpflichtet, alle erforderlichen technischen und administrativen Maßnahmen zu ergreifen, um einen unrechtmäßigen Zugriff auf diese Daten und/oder deren unrechtmäßige Verarbeitung zu verhindern. Werden die Daten von befugten Dritten verarbeitet, haftet der Verantwortliche gemeinsam mit dem Dritten für die Ergreifung dieser Schutzmaßnahmen und die Gewährleistung der Sicherheit der erhobenen Daten.
- Rechte des Dateninhabers
Neben den Pflichten der Verantwortlichen verfügen Dateninhaber nach dem Gesetz über eine Reihe von Rechten. Nach Artikel 11 haben Dateninhaber das Recht, vom Verantwortlichen Auskunft darüber zu verlangen, ob ihre personenbezogenen Daten verarbeitet oder anderweitig gespeichert und erhoben werden; falls ja, zu welchem Zweck und in welchem Umfang die personenbezogenen Daten verarbeitet werden; Informationen über Dritte, die Zugriff auf diese Informationen haben, sofern vorhanden; die Berichtigung unvollständiger oder unrichtiger Informationen, sofern vorhanden; die Löschung und/oder Vernichtung der betreffenden personenbezogenen Daten; sowie Ersatz für Schäden, die durch eine unrechtmäßige Verarbeitung personenbezogener Daten entstanden sind.
Die beiden wichtigen Rechte der Dateninhaber sind hier das Recht, die Berichtigung unvollständiger oder unrichtiger Informationen zu verlangen, und das Recht, Ersatz für Schäden zu verlangen, die durch unrechtmäßige Datenverarbeitung entstanden sind. Dies gibt dem Dateninhaber effektiv die Befugnis, personenbezogene Daten, die verarbeitet werden oder in der Vergangenheit verarbeitet wurden, löschen und vernichten zu lassen, und gewährt zudem das Recht auf Schadensersatz, wenn Verantwortliche ihre gesetzlichen Pflichten verletzen.
IV. DEFINITION BIOMETRISCHER DATEN
Bis vor kurzem enthielt die Gesetzgebung weder eine gesonderte Definition biometrischer Daten noch eine klare und umfassende Definition dessen, was personenbezogene Daten sind. Stattdessen wurden personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ definiert. Die einzige weitere Einordnung personenbezogener Daten ist die Definition „personenbezogener Daten besonderer Art“ in Artikel 6 (wie oben dargestellt).
Obwohl dieser Artikel 6 nahezu eine direkte Übersetzung von Artikel 6 des Übereinkommens 108 ist, besteht ein wesentlicher Unterschied. Als das Übereinkommen 108 im Jahr 1981 erstmals umgesetzt wurde, existierte der Begriff biometrische Daten noch nicht. Daher war dieser Begriff im ursprünglichen Text des Übereinkommens 108 nicht enthalten, und biometrische Daten wurden nicht als personenbezogene Daten besonderer Art eingestuft. Artikel 6 des Gesetzes bestimmt jedoch, dass „biometrische und genetische Daten“ als personenbezogene Daten besonderer Art gelten.
Bemerkenswert ist die Rechtsprechung des Kassationsgerichtshofs zu biometrischen Daten, die vor Inkrafttreten des Gesetzes erging. Nach dieser Rechtsprechung des Kassationsgerichtshofs gelten „Fingerabdrücke und biologische Proben wie DNA-, Haar-, Speichel- und Fingernagelproben“ als personenbezogene Daten.
Darüber hinaus entschied das Verfassungsgericht unter Bezugnahme auf die einschlägigen Artikel des Übereinkommens 108, dass „durch biometrische Methoden erlangte Daten“ als personenbezogene Daten anzusehen sind. Solche Daten könnten jedoch nicht als „äußerst sensible personenbezogene Daten wie politische Meinungen, religiöse Überzeugungen, Gesundheit, Sexualleben oder strafrechtliche Verurteilungen im Sinne von Artikel 6 des Übereinkommens 108“ betrachtet werden. Es ist daher unklar, wie diese Rechtsprechung vor dem Hintergrund der neuen gesetzlichen Änderungen zu bewerten ist, wenngleich erwartet wird, dass der Kassationsgerichtshof diese Rechtsprechung an das neue Gesetz anpasst.
V. VERARBEITUNG BIOMETRISCHER DATEN
Mit den jüngsten technologischen Entwicklungen und der zunehmenden Erschwinglichkeit biometrischer Technologien sind Nachfrage nach und Zugang zu solchen Technologien stark gestiegen. Biometrische Scanner werden zunehmend zu Sicherheitszwecken eingesetzt, insbesondere in Technologieunternehmen, in denen vertrauliche Informationen von hohem Wert sind, sowie in großen Unternehmen und Holdings mit vielen Beschäftigten, und außerdem zu Identifikationszwecken, vor allem im medizinischen Bereich, etwa in Krankenhäusern und Kliniken.
Die wichtigste Frage bei der Verwendung biometrischer Daten zu Sicherheits- und/oder Identifikationszwecken ist die Einholung der ausdrücklichen Einwilligung des Dateninhabers. Wenn die Einwilligung jedes Dateninhabers erforderlich ist, stellt sich die Frage, wie Unternehmen Sicherheitssysteme nutzen können, die biometrische Daten erfordern (etwa sichere oder vertrauliche Räume, die über Fingerabdruckscanner zugänglich sind), wenn einer oder mehrere ihrer Arbeitnehmer die Bereitstellung verweigern. Ebenso stellt sich die Frage, ob Unternehmen ihre Arbeitnehmer verpflichten können, biometrische Scanner zur Erfassung ihrer Schichten zu verwenden, oder ob der medizinische Sektor vor Erbringung medizinischer Leistungen biometrische Daten verlangen kann, um die Identität von Patienten zu überprüfen.
All dies sind kontroverse Fragen, die durch die jüngste technologische Entwicklung entstanden sind, welche die Einführung solcher Systeme zu deutlich geringeren Kosten ermöglicht. Außerdem sind biometrische Scanner und Sicherheitssysteme argumentativ sicherer als einfache Passwörter, die geknackt werden können, und sicherere Identifikationssysteme als die Unterschrift einer Person, die nachgeahmt werden kann.
Leider geben das Gesetz und die nachfolgenden Verordnungen auf diese Fragen keine eindeutigen Antworten. Daher haben die obersten Gerichte, insbesondere der Kassationsgerichtshof, der Staatsrat und das Verfassungsgericht, in unterschiedlichen Situationen einzelfallbezogen verschiedene Entscheidungen getroffen, jeweils unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes.
- Biometrische Daten im medizinischen Bereich zu Zwecken der Patientenidentifikation
Nach Artikel 67 des Sozialversicherungs- und Allgemeinen Krankenversicherungsgesetzes Nr. 5510 können staatliche Krankenhäuser in der Türkei von ihren Patienten verlangen, biometrische Daten als Mittel zur Überprüfung der Identität des Patienten bereitzustellen. Der Artikel bestimmt, dass Patienten ihre Identität entweder mit biometrischen Mitteln oder mit Personalausweis, Führerschein, Heiratsurkunde oder Reisepass nachweisen müssen, um Gesundheitsleistungen in Anspruch nehmen zu können.
In der Folge begannen einige staatliche Krankenhäuser, biometrische Kontrollen zur Überprüfung der Identität antragstellender Patienten einzusetzen. Dies führte zu Kontroversen, da darin eine Verletzung des Rechts auf Privatsphäre gesehen wurde.
Schließlich legte der Staatsrat im Jahr 2014 dem Verfassungsgericht einen Antrag auf Aufhebung der einschlägigen Bestimmungen dieses Artikels 67 vor und machte geltend, diese verstießen gegen die Artikel 2, 13 und 20 der Verfassung. Das Verfassungsgericht wies den Antrag zurück und entschied, dass biometrische Daten von staatlichen Krankenhäusern zur Überprüfung der Patientenidentität verlangt werden dürfen und dass dies das in der Verfassung verankerte Recht auf Privatsphäre nicht verletzt.
Die Begründung des Gerichts in dieser Entscheidung lautete, dass die Identitätsprüfung durch biometrische Mittel sicherer gegen unbefugte Nutzung sei, da solche Daten nicht gefälscht werden könnten, und daher deutlich wirksamer bei der Bekämpfung von Missbrauch in öffentlichen Einrichtungen sei.
Mit anderen Worten entschied das Gericht, dass die Verhinderung des Missbrauchs des Gesundheitssystems von überragender Bedeutung ist und dass diese Regelung im Vergleich zur Beeinträchtigung des Rechts auf Privatsphäre den Grundsatz der Verhältnismäßigkeit nicht verletzt. Das Gericht kam daher zu dem Ergebnis, dass die Bestimmung nicht verfassungswidrig ist, da ein angemessenes Verhältnis zwischen den geschützten Rechten (der Integrität des Gesundheitssystems) und den beeinträchtigten Rechten (dem Recht auf Privatsphäre) besteht.
- Biometrische Daten zur Kontrolle von Arbeitnehmerschichten
Dies ist eine weitere Frage, die insbesondere große Unternehmen und Holdings mit einer hohen Zahl von Beschäftigten betrifft. Diese Unternehmen verwenden unterschiedliche Systeme, um die Arbeitszeiten ihrer Beschäftigten zu kontrollieren und zu erfassen, etwa Unterschriftenlisten oder Kartensysteme. Ein weiteres mögliches System ist jedoch ein Fingerabdruck-Scansystem, bei dem Arbeitnehmer ihre Ankunfts- und Abgangszeiten durch Scannen ihrer Fingerabdrücke erfassen.
Ein staatliches Krankenhaus in der Türkei begann, eine solche Anwendung zur Schichtkontrolle einzusetzen, die die Schichtzeiten der Arbeitnehmer über Fingerabdruckscanner erfasste. Anschließend wurde gegen diese verpflichtende Fingerabdruck-Scan-Anwendung Klage erhoben, über die schließlich der Staatsrat entschied.
Der Staatsrat entschied in dieser Entscheidung, dass die Fingerabdrücke einer Person als untrennbarer Bestandteil ihres Privatlebens anzusehen sind und daher gemäß Artikel 20 der Verfassung unter dem Schutz des Rechts auf Privatsphäre stehen. Darüber hinaus stellte das Gericht fest, dass es andere und ebenso geeignete Mittel zur Erfassung von Arbeitnehmerschichten gibt und dass der aus einer solchen Erfassungsanwendung zu ziehende Nutzen, selbst im öffentlichen Sektor, im Vergleich zur Verletzung des Rechts auf Privatsphäre gering ist. Der Staatsrat entschied daher, dass solche Anwendungen gegen die Verfassung verstoßen und Arbeitnehmer nicht gezwungen werden können, Fingerabdruck-Scansysteme zur Schichterfassung zu nutzen, auch nicht im öffentlichen Sektor.
- Biometrische Daten für Sicherheits- oder Vertraulichkeitsräume
Ein weiterer Trend in der Wirtschaft, insbesondere bei Technologieunternehmen, ist die Einrichtung gesicherter Räume zur sicheren Aufbewahrung vertraulicher Informationen. Dies wird insbesondere von ausländischen Unternehmen gegenüber ihren türkischen Vertragspartnern verlangt, wenn zwischen den Parteien hoch eingestufte und vertrauliche Informationen ausgetauscht werden. Früher wurden solche Sicherheitsräume durch Systeme mit einfachen Passwörtern geschützt. Heute verlangen Unternehmen hingegen gesicherte Räume, die nur über biometrische Daten wie Fingerabdrücke, Retina-Scanner oder Face ID zugänglich sind, da dies als sicherer gilt als Passwörter.
Allerdings wirft der Zugang zu Sicherheitsräumen mittels biometrischer Daten erneut die Frage der Einwilligung auf. Da Unternehmen einen oder mehrere ihrer Arbeitnehmer benötigen, die Zugang zu diesen Sicherheitsräumen haben, müssen sie die biometrischen Daten dieser Arbeitnehmer erheben, um einen Sicherheitsraum ordnungsgemäß einzurichten. Zwar gibt es zu dieser Frage bislang keine spezifischen Entscheidungen der obersten Gerichte, doch sollte die oben genannte Entscheidung des Staatsrats zur Nutzung biometrischer Daten für Arbeitnehmerschichtkontrollen als gute Grundlage dienen.
Überträgt man diese Entscheidung auf den vorliegenden Fall, ist klar, dass der Nutzen der Einrichtung eines Sicherheitsraums in privaten Unternehmen im Vergleich zur Verletzung des Rechts auf Privatsphäre gering sein wird. Unternehmen können daher von ihren Arbeitnehmern keine biometrischen Daten für die Einrichtung von Sicherheitsräumen verlangen und Arbeitsverträge nicht aufgrund der Weigerung eines Arbeitnehmers beenden, solche Daten bereitzustellen. Es bleibt jedoch möglich, solche Daten von Arbeitnehmern zu erhalten, die einwilligen, wobei diese Einwilligung sorgfältig formuliert sein sollte, um keine Bestimmungen des Gesetzes zu verletzen.
VI. FAZIT
Die Regelungen zum Schutz personenbezogener Daten in der Türkei sind noch recht neu; daher gibt es bislang keine gefestigte Rechtsprechung. Die derzeit verfügbaren Gerichtsentscheidungen stammen im Allgemeinen aus der Zeit vor Inkrafttreten des Gesetzes. Auch wenn einige von ihnen auf das Übereinkommen 108 Bezug nehmen, werden wir noch einige Jahre abwarten müssen, bis die obersten Gerichte eine Rechtsprechung entwickeln, die sich spezifisch auf das Gesetz selbst und seine sekundären Regelungen bezieht. Für Unternehmen ist es daher äußerst wichtig, umfassende Datenschutztexte (Informationsschreiben und Einwilligungsformulare) vorzuhalten, um mögliche künftige Haftung zu vermeiden, die durch die Rechtsprechung auferlegt werden könnte.
Für weitere Informationen und Unterstützung zu diesem Thema kontaktieren Sie uns bitte hier.
Diese Übersetzung dient ausschließlich Informationszwecken und kann vom Originaltext abweichen.
