Deutsch DE
English English EN Türkçe Türkçe TR Deutsch Deutsch DE Español Español ES 中文 中文 ZH
Kontakt & Beratung
DE

Übermittlung personenbezogener Daten ins Ausland

Übermittlung personenbezogener Daten ins Ausland in Türkiye: Angemessenheitsbeschluss, geeignete Garantien, Standardverträge, BCRs und Ausnahmen.

Von Ece Celep Türkkan · · 9 Min. Lesezeit

daten ins ausland

Das im Amtsblatt Nr. 32487 vom 12.03.2024 veröffentlichte Gesetz Nr. 7499 führte Änderungen am Gesetz Nr. 6698 zum Schutz personenbezogener Daten (das „Gesetz“) ein. Anschließend wurde die Verordnung über die Verfahren und Grundsätze für die Übermittlung personenbezogener Daten ins Ausland („Verordnung“) im Amtsblatt Nr. 32598 vom 10.07.2024 veröffentlicht und trat in Kraft. Im Januar 2025 wurde der Leitfaden zur Übermittlung personenbezogener Daten ins Ausland („Leitfaden“) auf der Website der Datenschutzbehörde („Behörde“) veröffentlicht.

1. Einleitung

Früher setzte die Übermittlung personenbezogener Daten ins Ausland ohne ausdrückliche Einwilligung der betroffenen Person voraus, dass eine der im Gesetz vorgesehenen Bedingungen vorlag und der Datenschutzrat („Rat“) entschieden hatte, dass das Land, in das die Daten übermittelt werden sollten, ein angemessenes Schutzniveau bietet (Aufnahme in die Liste sicherer Länder).

Wurde ein Land nicht als angemessen geschützt angesehen, konnten personenbezogene Daten dennoch ohne ausdrückliche Einwilligung der betroffenen Person übermittelt werden, wenn eine der einschlägigen Datenverarbeitungsbedingungen erfüllt war, sofern die Verantwortlichen in Türkiye und im betreffenden Land einen angemessenen Schutz zusicherten (durch Vorlage einer Verpflichtungserklärung) und der Rat die Genehmigung erteilte. Für multinationale Unternehmen, die Daten konzernintern übermitteln, mussten verbindliche interne Datenschutzvorschriften („BCR“) erstellt und vom Rat genehmigt werden.

Da Verpflichtungserklärungen und BCRs jedoch kaum praktische Anwendung fanden und der Rat nur sehr wenige Anträge genehmigte, war die Übermittlung von Daten ins Ausland in der Praxis nahezu ausschließlich von der ausdrücklichen Einwilligung der betroffenen Personen abhängig geworden. Bis zum 01.06.2024 erhielt der Rat 86 Anträge auf Grundlage von Verpflichtungserklärungen, von denen nur 10 genehmigt wurden. Außerdem wurden 3 BCR-Anträge gestellt, von denen jedoch keiner aufgrund verfahrensrechtlicher und materieller Mängel genehmigt wurde.

Diese Situation hatte es nahezu unmöglich gemacht, die meisten im Ausland befindlichen Server sowie die meisten cloudbasierten Softwarelösungen und Anwendungen rechtmäßig zu nutzen, und entwickelte sich zu einem Investitionshindernis in unserem Land. In diesem Zusammenhang wurde ein Mechanismus mit drei Alternativen für die Übermittlung personenbezogener Daten ins Ausland vorgesehen. Die Änderungen sollen das Recht an die EU-Verordnung 2016/679 (Datenschutz-Grundverordnung (DSGVO)) angleichen und praktischen Bedürfnissen Rechnung tragen.

2. Übermittlungsmethoden

a. Angemessenheitsbeschluss

Eine Übermittlung von Daten ins Ausland kann erfolgen, wenn eine der in den Artikeln 5 und 6 des Gesetzes genannten Verarbeitungsbedingungen vorliegt und der Rat einen Angemessenheitsbeschluss für den Übermittlungsort erlässt.

Die Praxis des Angemessenheitsbeschlusses entspricht der früheren Praxis der „Liste sicherer Länder“. Ziel dieser Prüfung ist es festzustellen, dass das Datenschutzniveau des Landes, Sektors oder der internationalen Organisation, an die Daten übermittelt werden, dem Niveau in Türkiye gleichwertig ist. Dabei werden Faktoren wie Gegenseitigkeit, die Rechtsvorschriften des betreffenden Landes, das Bestehen einer unabhängigen und wirksamen Datenschutzbehörde, administrative und gerichtliche Rechtsbehelfe sowie die Frage berücksichtigt, ob das Land Vertragspartei internationaler Übereinkommen oder Mitglied internationaler Organisationen ist.

Bereits im Beschluss des Rates vom 02.05.2019 mit der Nummer 2019/125 wurde festgehalten, dass sogar das Handelsvolumen mit dem betreffenden Land bei der Prüfung berücksichtigt werden soll. An diesem Punkt wird, wie im Leitfaden betont, erwartet, dass Länder, die Vertragsparteien internationaler Übereinkommen sind, denen auch Türkiye angehört, bei der Erteilung von Angemessenheitsbeschlüssen vorrangig behandelt werden.

Der vom Rat zu erlassende Angemessenheitsbeschluss kann sich nicht nur auf das Land beziehen, in das die Daten übermittelt werden, sondern auch auf einen bestimmten Sektor in diesem Land oder auf eine internationale Organisation. Der Rat überprüft den Angemessenheitsbeschluss mindestens alle vier Jahre und kann ihn, wenn er es für erforderlich hält, ändern, aussetzen oder widerrufen. Diese Vierjahresfrist ist eine regulatorische Frist; hält der Rat dies für erforderlich, kann er den Angemessenheitsbeschluss auch vor Ablauf dieses Zeitraums erneut prüfen.

b. Geeignete Garantien

Liegt kein Angemessenheitsbeschluss vor, kann die Übermittlung dennoch erfolgen, wenn eine der in den Artikeln 5 und 6 genannten Verarbeitungsbedingungen besteht, sofern die betroffene Person ihre Rechte ausüben und im Übermittlungsland wirksame Rechtsbehelfe in Anspruch nehmen kann und geeignete Garantien bestehen.

Vereinbarungen: Eine Übermittlung kann erfolgen, wenn zwischen öffentlichen Institutionen und Organisationen oder Berufsorganisationen mit öffentlich-rechtlichem Status in Türkiye und öffentlichen Institutionen, Organisationen oder internationalen Organisationen im Ausland eine Vereinbarung besteht, die nicht als internationales Übereinkommen eingestuft wird, und der Rat die Übermittlung genehmigt. Solche Vereinbarungen können die Form von Kooperationsprotokollen, Memoranda of Understanding oder Verwaltungsvereinbarungen haben, wie etwa die Verwaltungsvereinbarung zur Übermittlung personenbezogener Daten zwischen der türkischen Arzneimittel- und Medizinprodukteagentur und der Europäischen Kommission.

Verbindliche interne Datenschutzvorschriften: Übermittlungen können bei Vorliegen vom Rat genehmigter BCRs erfolgen, die Bestimmungen zum Schutz personenbezogener Daten enthalten, welche Unternehmen innerhalb einer Unternehmensgruppe mit gemeinsamer wirtschaftlicher Tätigkeit einzuhalten haben. BCRs sind Datenschutzregeln, die von Konzernmitgliedern bei der Übermittlung personenbezogener Daten von einem in Türkiye ansässigen Verantwortlichen oder Auftragsverarbeiter an einen im Ausland ansässigen Verantwortlichen oder Auftragsverarbeiter innerhalb derselben Gruppe beachtet werden müssen. Leitlinien mit den bei der Erstellung von BCRs zu berücksichtigenden Punkten wurden am 10.07.2024 auf der offiziellen Website der Behörde veröffentlicht.

Standardverträge: Wenn die Parteien der Übermittlung einen vom Rat bekannt gegebenen Standardvertrag unterzeichnen, der Einzelheiten wie Datenkategorien, Zwecke der Datenübermittlung, Empfängergruppen, vom Datenempfänger zu ergreifende technische und administrative Maßnahmen sowie zusätzliche Maßnahmen für besondere Kategorien personenbezogener Daten enthält, können Daten ins Ausland übermittelt werden. Vier Arten von Standardvertragsmustern für verschiedene Übermittlungsszenarien wurden nach einer öffentlichen Bekanntmachung am 10.07.2024 auf der Website der Behörde veröffentlicht.

Nach Auswahl des passenden Standardvertragstyps dürfen die Parteien nur an optionalen oder alternativen Bestimmungen Änderungen vornehmen. Abgesehen von diesen Bestimmungen dürfen an den Standardverträgen keine Ergänzungen, Streichungen oder Änderungen vorgenommen werden. Diese Standardverträge müssen der Behörde vom Verantwortlichen oder Auftragsverarbeiter innerhalb von 5 Werktagen nach Unterzeichnung gemeldet werden. Die Nichtbeachtung dieser Meldepflicht unterliegt einer Verwaltungsstrafe. Auch wenn sich Erklärungen oder Informationen der Parteien ändern oder der Standardvertrag ausläuft, muss eine Meldung an die Behörde erfolgen.

Verpflichtungserklärung: Besteht zwischen den Übermittlungsparteien eine schriftliche Verpflichtung, die Bestimmungen zur Gewährleistung eines angemessenen Schutzes, Zweck, Umfang, Art und Rechtsgrundlage der Übermittlung, eine Verpflichtung zur Einhaltung allgemeiner Grundsätze, Beschränkungen nachfolgender Datenübermittlungen und ähnliche Regelungen enthält, und genehmigt der Rat die Übermittlung, kann die Übermittlung wie im früheren Anwendungszeitraum erfolgen.

c. Gelegentliche (ausnahmsweise) Fälle

Wenn kein Angemessenheitsbeschluss vorliegt und keine geeigneten Garantien bereitgestellt werden können, dürfen Daten unter den im Gesetz als gelegentlich bezeichneten begrenzten Umständen ins Ausland übermittelt werden. Zu diesen im Gesetz genannten gelegentlichen Fällen gehören:

  • Die betroffene Person erteilt nach Information über mögliche Risiken ihre ausdrückliche Einwilligung,
  • die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person erforderlich,
  • die Übermittlung ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich, der zugunsten der betroffenen Person zwischen dem Verantwortlichen und einer anderen natürlichen oder juristischen Person geschlossen werden soll,
  • die Übermittlung ist aus einem überwiegenden öffentlichen Interesse erforderlich,
  • die Übermittlung ist für die Begründung, Ausübung oder den Schutz eines Rechtsanspruchs erforderlich,
  • die Übermittlung ist zum Schutz des Lebens oder der körperlichen Unversehrtheit der Person selbst oder einer anderen Person erforderlich, die wegen körperlicher Behinderung ihre Einwilligung nicht erklären kann oder deren Einwilligung rechtlich nicht als wirksam gilt,
  • die Übermittlung erfolgt aus einem Register, das der Öffentlichkeit zugänglich ist oder Personen mit berechtigtem Interesse offensteht, sofern die Voraussetzungen für den Zugang zum Register nach den einschlägigen Rechtsvorschriften erfüllt sind und die Person mit berechtigtem Interesse die Übermittlung verlangt hat.

In Fällen gelegentlicher Umstände sind die in den Artikeln 5 und 6 des Gesetzes genannten Bedingungen nicht erforderlich. Auf gelegentliche Umstände gestützte Übermittlungen personenbezogener Daten bedürfen weder der Erlaubnis noch der Genehmigung des Rates; auch besteht keine Meldepflicht.

Da Übermittlungen unter gelegentlichen Umständen jedoch eine Ausnahme darstellen, ist eine enge Auslegung geboten. Zunächst sollte geprüft werden, ob ein Angemessenheitsbeschluss oder eine der geeigneten Garantien verfügbar ist; fehlen diese, sollte die ausnahmsweise Übermittlung nur als letztes Mittel genutzt werden.

Gelegentliche Übermittlungen können mehr als einmal vorkommen; damit wiederholt auftretende Übermittlungen jedoch als ausnahmsweise gelten, dürfen sie nicht regelmäßig sein, keine Kontinuität aufweisen und müssen unter unvorhergesehenen Umständen sowie in unregelmäßigen Abständen außerhalb des gewöhnlichen Handlungsablaufs stattfinden.”

3. Bewertungen und Fazit

Die Regelungen, wonach personenbezogene Daten ins Ausland nach den entsprechenden Bestimmungen übermittelt werden dürfen, wenn in einem internationalen Vertrag oder anderen Gesetzen eine Vorschrift zur Übermittlung von Daten ins Ausland enthalten ist, wurden beibehalten. Daher muss vor der Prüfung von Angemessenheitsbeschlüssen, geeigneten Garantien oder Ausnahmefällen bereits zu Beginn der Übermittlungstätigkeit festgestellt werden, ob eine Vorschrift in einem internationalen Vertrag oder in anderen Gesetzen besteht.

Besteht keine Vorschrift in internationalen Abkommen oder anderen Gesetzen, ist zunächst zu prüfen, ob ein Angemessenheitsbeschluss vorliegt. Gibt es keinen Angemessenheitsbeschluss, ist zu bewerten, ob eine der geeigneten Garantien bereitgestellt werden kann. Ist dies nicht möglich, muss als letztes Mittel geprüft werden, ob die Übermittlung eine gelegentliche (ausnahmsweise) Übermittlung darstellt.

Zum Veröffentlichungsdatum dieses Artikels gibt es kein Land, keinen Sektor und keine internationale Organisation, für die ein Angemessenheitsbeschluss erteilt wurde. Die Gründe, die in der Vergangenheit die Erstellung der Liste sicherer Länder verzögert haben, sind im Allgemeinen Faktoren, die auch im Verfahren zur Erlangung eines Angemessenheitsbeschlusses eine Rolle spielen werden; daher bleibt abzuwarten, ob kurzfristig ein Beschluss ergehen wird. Für die Praxis ist daher zunächst zu erwarten, dass der Schwerpunkt auf geeigneten Garantien liegt, wobei unter diesen Garantien überwiegend Standardvertragsklauseln eingesetzt werden dürften.

Als weiterer Hinweis bestimmt das Gesetz, dass die im Recht vorgesehenen Garantien auch für nachfolgende Übermittlungen personenbezogener Daten, die ins Ausland übermittelt wurden, gewährleistet sein müssen. Die Gesetzgebung regelt jedoch nicht ausdrücklich, wie die Einhaltung der einschlägigen Vorschriften durch Dritte durchgesetzt werden soll, wenn der Empfänger die Daten an Dritte weiterübermittelt; auch der Leitfaden schafft keine Klarheit darüber, wie nachfolgende Übermittlungen überwacht werden. Daher können in der Praxis Probleme im Zusammenhang mit nachfolgenden Übermittlungen entstehen. Es ist zu erwarten, dass diese Fragen durch die Praxis der kommenden Zeit geprägt werden.

Nach der Übergangsbestimmung „Vorläufiger Artikel 3“, die dem Gesetz hinzugefügt wurde, müssen Datenverarbeitungstätigkeiten ab dem 01.09.2024 den neuen Regelungen entsprechen. Tatsächlich ist klar, dass Übermittlungen, die Unternehmen im früheren Anwendungszeitraum auf Grundlage ausdrücklicher Einwilligungen betroffener Personen vorgenommen haben, nicht mehr gültig sind. Für Unternehmen, die die neuen Regelungen noch nicht umgesetzt haben, ist es daher entscheidend, unverzüglich die für ihre Geschäftsprozesse am besten geeignete Methode zu bestimmen und ihre Compliance-Verfahren abzuschließen.

Hinweis: Diese Übersetzung wird lediglich als Service bereitgestellt und kann geringfügig vom Originaltext abweichen.

Weiterlesen

Verwandte Insights

Diese Website ist auf wpml.org als Entwicklungsseite registriert. Wechseln Sie zu einem Produktions-Website-Schlüssel, um remove this banner.