Datenschutz in der Türkei

Faktencheck – Gilt das LPDP für Ihr Unternehmen?

Eines der Hauptprobleme bei der Anwendbarkeit des LPDP besteht darin, dass Unternehmen, Gesellschafter und/oder Einzelpersonen die in der Gesetzgebung verwendeten Begriffe falsch auslegen. Die häufigsten Fehler betreffen die Begriffe „Datenverarbeitung“ und „Verantwortlicher“, da die meisten Unternehmensvertreter irrtümlich davon ausgehen, dass Speicherung und Verarbeitung von Daten zwei verschiedene Konzepte seien und sie, da sie personenbezogene Daten lediglich speichern, nicht als Verantwortliche gelten könnten. Dies führt wiederum dazu, dass das Unternehmen keine Maßnahmen zur Einhaltung des LPDP und des Datenschutzes ergreift.

Daher ist es entscheidend, dass Gesellschafter und Unternehmensvertreter die Konzepte bzw. Begriffe personenbezogene Daten, Datenverarbeitung, Verantwortlicher und Auftragsverarbeiter vollständig verstehen, um zutreffend bestimmen zu können, welche LPDP- bzw. Datenschutzbestimmungen auf sie anwendbar sind.

a. Personenbezogene Daten sind im LPDP sehr weit definiert. Nach dieser Definition bedeuten personenbezogene Daten „alle Informationen, die einer natürlichen Person zuzuordnen sind, deren Identität bestimmt ist oder bestimmt werden kann“. Mit dieser weiten Definition gelten sämtliche Informationen, die es dem Dateninhaber ermöglichen können, eine bestimmte Person zu identifizieren, als personenbezogene Daten. Dazu können Ausweisdaten, Name, Nachname, Geburtsdatum, Telefonnummern, Lebenslauf, Fotos, Einkommen, Ausgabenpräferenzen, Adresse, Anzahl der Kinder, E-Mail- und IP-Adressen, Hobbys, Standortinformationen usw. gehören. Dementsprechend lautet die allgemeine Regel: Wenn irgendein Informationsausschnitt die Identifizierung einer bestimmten Person ermöglicht, gilt diese Information als personenbezogenes Datum.

b. Verarbeitung personenbezogener Daten wird im LPDP ferner definiert als „jeder Vorgang, der an personenbezogenen Daten vorgenommen wird, wie Erhebung, Aufzeichnung, Speicherung, Aufbewahrung, Änderung, Neuordnung, Offenlegung, Übermittlung, Übernahme, Abrufbarmachung, Klassifizierung oder Verhinderung ihrer Nutzung, ganz oder teilweise auf automatischem Wege oder, sofern der Vorgang Teil eines Datenregistersystems ist, auf nicht automatischem Wege“. Daher gilt bereits die bloße Speicherung eines der oben genannten personenbezogenen Daten als Verarbeitung, selbst wenn der betreffende Verantwortliche die Daten nicht in sinnvoller oder erheblicher Weise nutzt.

c. Verantwortlicher ist definiert als „die natürliche oder juristische Person, die Zweck und Mittel der Verarbeitung personenbezogener Daten bestimmt und für die Einrichtung und Verwaltung des Datenregistersystems verantwortlich ist“. Zur Veranschaulichung: Wenn Ihr Unternehmen personenbezogene Daten wie die E-Mail-Adresse, Telefonnummer, Wohnanschrift, den Namen, Nachnamen oder das Geburtsdatum eines Kunden verarbeitet, sei es in physischer Form, digital auf einem Server oder über Drittanbieter, gilt Ihr Unternehmen nach dem LPDP als Verantwortlicher und muss die Datenschutzvorschriften einhalten.

d. Auftragsverarbeiter ist definiert als „die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen auf Grundlage seiner Ermächtigung verarbeitet“. In diesem Zusammenhang gilt beispielsweise ein externer Buchhalter, sei es eine natürliche Person oder ein Drittunternehmen, das die Finanzen Ihres Unternehmens und dessen Steuererklärungen bearbeitet, als Auftragsverarbeiter, soweit er diese Buchhaltungsunterlagen verarbeitet (z. B. Rechnungen, die personenbezogene Daten enthalten können).

e. Datenregistersystem ist definiert als „das Registrierungssystem, in dem personenbezogene Daten nach bestimmten Kriterien strukturiert registriert werden“. Daher gelten alle Systeme, die zur Speicherung oder anderweitigen Verarbeitung von Daten bestimmt sind, als Datenregistersystem.

LPDP-Anforderungen und mögliche Haftungsrisiken

Wie oben dargestellt, ist jede Person und/oder juristische Person, die entweder als Verantwortlicher für personenbezogene Daten und/oder als Auftragsverarbeiter eingestuft werden kann, verpflichtet, bei der Verarbeitung personenbezogener Daten die durch das LPDP festgelegten Regeln einzuhalten. Diese Begriffe werden zusammenfassend als allgemeine Bedingungen für die Datenverarbeitung bezeichnet und in einem gesonderten Artikel ausführlich analysiert. Dementsprechend wird die meiste Datenverarbeitung, die unter Einhaltung dieser allgemeinen Bedingungen erfolgt, als regelkonform gelten, vorausgesetzt, der Verantwortliche bzw. Auftragsverarbeiter hält das LPDP und dessen sekundäre Regelungen vollständig ein.

Umgekehrt kann die Nichteinhaltung der im LPDP festgelegten Regeln und Bedingungen zur Anwendung einer Reihe von Beschränkungen und Geldbußen gegen den Verantwortlichen bzw. Auftragsverarbeiter führen. Diese können von einschränkenden Maßnahmen bis hin zu verwaltungsrechtlichen Geldbußen von bis zu TRY 1.000.000.- reichen (je nach Verstoß können sogar höhere Geldbußen anwendbar sein).

Die Festsetzung der verwaltungsrechtlichen Geldbußen liegt im Ermessen der Datenschutzbehörde (DPA), da Artikel 18 des LPDP lediglich eine Unter- und Obergrenze für verhängbare verwaltungsrechtliche Geldbußen vorsieht. Dementsprechend ist die DPA gemäß Artikel 22 des LPDP befugt, verwaltungsrechtliche Sanktionen gegen diejenigen zu verhängen, die gegen die im LPDP festgelegten Pflichten verstoßen.

Dieser weite Ermessensspielraum der DPA hat in der Vergangenheit bei bestimmten verwaltungsrechtlichen Maßnahmen gegenüber verschiedenen Verantwortlichen und Auftragsverarbeitern zu Problemen geführt. Einige haben argumentiert, dass die DPA ihre Befugnis missbraucht habe, indem sie Geldbußen ausgehend von der Obergrenze verhängte, ohne hierfür einen sachlichen Grund anzugeben (einige haben sogar Klagen gegen die verhängten Geldbußen erhoben). Um diese Fragen rund um die von der DPA verhängten verwaltungsrechtlichen Geldbußen besser zu verstehen, verweisen wir auf unseren früheren Artikel mit dem Titel „Rechtsmittel gegen von der türkischen Datenschutzbehörde verhängte verwaltungsrechtliche Geldbußen“ (ebenfalls hier verfügbar).

Fazit

Fairerweise ist festzuhalten, dass die Regeln und Vorschriften zur Datenverarbeitung komplex erscheinen können, insbesondere für ausländische Unternehmen, die auf dem türkischen Markt tätig werden möchten. Die Hauptquelle der Unsicherheit ist selbstverständlich der Text des LPDP sowie der Umstand, dass Verantwortliche und Auftragsverarbeiter bei der Umsetzung neuer interner Datenverarbeitungsregeln auch Entscheidungen der DPA berücksichtigen müssen. Dies kann für Ausländer herausfordernd sein, da DPA-Entscheidungen im Allgemeinen in keiner anderen Sprache als Türkisch verfügbar sind.

Darüber hinaus ist diese Datenschutzgesetzgebung noch relativ neu und entwickelt sich daher kontinuierlich weiter, vor allem durch neue DPA-Entscheidungen und Geldbußen. Dieser sich wandelnde Charakter der Compliance-Mechanismen bringt auch erhebliche Herausforderungen und Probleme mit sich, wenn Verantwortliche oder Auftragsverarbeiter standardisierte Rechtstexte verwenden, um die Einhaltung dieser Regeln sicherzustellen, da solche Standardtexte in der Regel stark veraltet sind und falsche oder in manchen Fällen schlicht unzureichende Formulierungen und Mechanismen enthalten.

Daher ist es für Verantwortliche und/oder Auftragsverarbeiter unerlässlich, einen Experten zu konsultieren, um sicherzustellen, dass ihre Datenschutz-Compliance-Mechanismen ordnungsgemäß umgesetzt werden und künftig unnötige und vermeidbare Geldbußen vermieden werden.

Diese Übersetzung dient ausschließlich Informationszwecken und kann vom Originaltext abweichen.