Verarbeitung personenbezogener Daten & LPDP
Die Rechtslandschaft rund um digitale Daten hat sich über die Jahre stetig verändert und weiterentwickelt. Das Tempo dieser Entwicklung nahm mit der Umsetzung der DSGVO in Europa zu, die andere Länder dazu veranlasste, sich an dieses neue Regelungsgefüge anzupassen. Um mit den internationalen Gesetzesänderungen Schritt zu halten, erließ auch die Türkei das Gesetz zum Schutz personenbezogener Daten Nr. 6698 („das LPDP“) und führte neue Regeln und Pflichten (ähnlich der Richtlinie 95/46/EG) für die Verarbeitung personenbezogener Daten in der Türkei ein. (Einen Überblick über die LPDP-Bestimmungen finden Sie in unserem früheren Artikel „Datenschutz in der Türkei“).
Die Umsetzung des LPDP bedeutete auch zusätzliche Compliance-Anforderungen und Haftungsrisiken für Unternehmen, die personenbezogene Daten kontrollieren und/oder anderweitig verarbeiten. Die vollständige Einhaltung des LPDP und der Entscheidungen der Datenschutzbehörde (DPA) ist jedoch keine leichte Aufgabe, da Unternehmen verschiedene Maßnahmen umsetzen müssen, von der Erstellung neuer Dokumente zur Verarbeitung personenbezogener Daten bis hin zu zusätzlichen administrativen und technischen Maßnahmen, wie sie von der DPA vorgegeben werden. Für ein besseres Verständnis des LPDP und seiner möglichen Haftungsfolgen verweisen wir auf unseren früheren Artikel „Datenschutz in der Türkei“ (ebenfalls hier verfügbar).
Auch wenn dies komplex erscheinen mag, besteht einer der wichtigsten Schritte zur vollständigen LPDP-Compliance darin, vollständig zu verstehen, wann und wo Unternehmen, Verantwortliche und Auftragsverarbeiter rechtmäßig Tätigkeiten zur Verarbeitung personenbezogener Daten durchführen können. Dementsprechend nennt Artikel 5 des LPDP acht Grundsätze (auch als allgemeine Bedingungen bezeichnet) für eine rechtmäßige Datenverarbeitung:
Allgemeine Bedingungen für die rechtmäßige Verarbeitung personenbezogener Daten
Wie in der obigen Grafik dargestellt, erlaubt das LPDP die Verarbeitung personenbezogener Daten, wenn: (i) die betroffene Person ihre ausdrückliche Einwilligung erteilt, (ii) sie in der Gesetzgebung eindeutig vorgesehen ist, (iii) sie zum Schutz der berechtigten Interessen des Verantwortlichen erforderlich ist, (iv) sie für die Begründung, Ausübung oder den Schutz eines Rechts zwingend erforderlich ist, (v) sie von der betroffenen Person öffentlich gemacht wurde, (vi) sie für den Abschluss, die Erfüllung und die Durchführung eines Vertrags relevant ist, (vii) sie zum Schutz des Lebens und/oder der körperlichen Unversehrtheit der betroffenen Person erforderlich ist, wenn es nicht möglich ist, eine ausdrückliche Einwilligung einzuholen, oder (viii) sie für den Verantwortlichen zwingend erforderlich ist, um seine gesetzlichen Pflichten zu erfüllen.
Der Hauptgrund dafür, dass das LPDP zahlreiche Rechtsgrundlagen für die Datenverarbeitung vorsieht, besteht darin, zu verhindern, dass diese Datenschutzregeln die alltäglichen B2C-Geschäftstätigkeiten behindern. Insbesondere die Rechtsgrundlagen des berechtigten Interesses, der Ausübung eines Rechts und der Vertragserfüllung sind ausdrücklich darauf ausgelegt, Verantwortlichen und Auftragsverarbeitern die Verarbeitung der Kundendaten zu ermöglichen, die für die Erfüllung des zwischen ihnen geschlossenen konkreten Vertrags erforderlich sind.
Dies bedeutet jedoch nicht, dass Verantwortliche oder Auftragsverarbeiter beliebige Daten ohne die erforderlichen Prüfungen und Bewertungen verarbeiten dürfen. Bestimmte oben genannte Bedingungen schließen sich nämlich gegenseitig aus, sodass eine Bedingung nicht vorliegen kann, wenn eine andere Rechtsgrundlage auf die betreffende Verarbeitung personenbezogener Daten anwendbar ist.
Dementsprechend ist hier insbesondere zu beachten, dass Verantwortliche davon absehen sollten, eine zusätzliche Einwilligung einzuholen, wenn die Rechtmäßigkeit der Datenverarbeitung nicht auf ausdrücklicher Einwilligung, sondern auf einer der übrigen sieben oben genannten Bedingungen beruht.
Probleme bei der Einholung von Absicherungs-Einwilligungen
Einer der häufigsten Fehler von Verantwortlichen und Auftragsverarbeitern besteht darin, dass sie versuchen, von den betroffenen Personen eine Einwilligung einzuholen, selbst wenn eine oder mehrere der anderen Bedingungen für die Datenverarbeitung erfüllt sind. Ein gutes Beispiel hierfür ist die Einholung einer gesonderten Einwilligung eines Kunden für personenbezogene Daten, die zur Erfüllung eines Vertrags erforderlich sind.
Diese werden als „Absicherungs-Einwilligungen“ bezeichnet, da sie in der Regel eingeholt werden, weil Verantwortliche sicherstellen wollen, dass sie vor LPDP-Sanktionen geschützt sind. Solche Absicherungs-Einwilligungen schaden jedoch mehr, als sie nützen, da die DPA derartige Klauseln nicht akzeptiert und ausdrücklich erklärt, dass Verantwortliche keine gesonderte Einwilligung für eine Verarbeitung einholen sollten, wenn eine der anderen sieben allgemeinen Bedingungen (außer der Einwilligung) für die Verarbeitung personenbezogener Daten anwendbar ist.
Die DPA argumentiert, dass eine (Absicherungs-)Einwilligungsklausel bei der betroffenen Person den Eindruck erweckt, sie könne die Einwilligung jederzeit widerrufen und daher verlangen, dass der Verantwortliche die Verarbeitung einstellt. In Fällen, in denen eine der anderen sieben Bedingungen gilt, führt dieser durch die Einwilligungsklausel verursachte falsche Eindruck die betroffenen Personen jedoch in die Irre, da der Verantwortliche die Daten auch dann weiter verarbeiten kann (und in manchen Fällen muss), wenn die betroffene Person ihre Einwilligung widerruft, sofern eine oder mehrere der sieben anderen allgemeinen Bedingungen auf die betreffenden Daten anwendbar sind.
Diese „Absicherungs“-Einwilligungen können sogar zu administrativen Maßnahmen und Geldbußen der DPA führen, da die DPA solche Einwilligungsarten als Verstöße gegen die LPDP-Grundsätze ansieht [für eine ausführliche Darstellung der verwaltungsrechtlichen Geldbußen nach dem LPDP verweisen wir auf unseren früheren Artikel „Rechtsmittel gegen von der türkischen Datenschutzbehörde verhängte verwaltungsrechtliche Geldbußen“, (ebenfalls hier verfügbar)].
Es ist daher unerlässlich, dass Unternehmen und Verantwortliche eine vollständige Bewertung der personenbezogenen Daten durchführen, die sie verarbeiten wollen, um genau festzustellen, ob eine oder mehrere der oben genannten sieben Bedingungen (mit Ausnahme der Einwilligung) auf den konkreten Datensatz anwendbar sind. Ist dies der Fall, sollten sie davon absehen, zusätzliche Einwilligungen der betroffenen Personen einzuholen. Findet dagegen keine der sieben Bedingungen auf den konkreten Datensatz Anwendung, sind ausdrückliche Einwilligungen erforderlich, um diese Daten rechtmäßig zu verarbeiten.
Diese Übersetzung dient ausschließlich Informationszwecken und kann vom Originaltext abweichen.
