{"id":10451,"date":"2021-10-27T11:55:00","date_gmt":"2021-10-27T11:55:00","guid":{"rendered":"https:\/\/asy9.webcozumleri.com\/insights\/datenschutz-tuerkei\/"},"modified":"2021-10-27T11:55:00","modified_gmt":"2021-10-27T11:55:00","slug":"datenschutz-tuerkei","status":"publish","type":"insight","link":"https:\/\/asy9.webcozumleri.com\/de\/insights\/datenschutz-tuerkei\/","title":{"rendered":"Datenschutz in der T\u00fcrkei"},"content":{"rendered":"
<\/span><\/p>\n
\n

Das Gesetz zum Schutz personenbezogener Daten<\/strong><\/strong><\/h2>\n

Mit der Umsetzung des Gesetzes zum Schutz personenbezogener Daten Nr. 6698 (\u201edas LPDP\u201c) wurden Verantwortlichen und Auftragsverarbeitern neue Regeln und Pflichten auferlegt. Das LPDP sieht zudem erhebliche Geldbu\u00dfen und Freiheitsstrafen f\u00fcr Personen vor, die gegen diese Pflichten versto\u00dfen. Leider haben die meisten Verantwortlichen und Auftragsverarbeiter in der T\u00fcrkei die m\u00f6glichen Haftungsrisiken aus den LPDP-Bestimmungen nicht vollst\u00e4ndig erfasst. Einer der h\u00e4ufigeren Fehler unter Verantwortlichen und Auftragsverarbeitern besteht darin, anzunehmen, dass das LPDP und die Datenschutzbestimmungen nur f\u00fcr diejenigen gelten, die sich im Register der Verantwortlichen (VERBIS)<\/a> registrieren m\u00fcssen.<\/p>\n

Diese Annahme ist selbstverst\u00e4ndlich falsch, da die Pflicht zur VERBIS-Registrierung eine eigenst\u00e4ndige Anforderung bzw. Verpflichtung ist und nicht mit der Anwendbarkeit der LPDP-Bestimmungen verkn\u00fcpft ist. Daher ist es f\u00fcr alle Unternehmen (oder Einzelpersonen), die personenbezogene Daten verarbeiten, \u00e4u\u00dferst wichtig, die im LPDP festgelegten Regeln und Verfahren unabh\u00e4ngig von der VERBIS-Registrierungspflicht einzuhalten.<\/p>\n<\/div>\n<\/div>\n

Faktencheck – Gilt das LPDP f\u00fcr Ihr Unternehmen?<\/strong><\/strong><\/h2>\n

Eines der Hauptprobleme bei der Anwendbarkeit des LPDP besteht darin, dass Unternehmen, Gesellschafter und\/oder Einzelpersonen die in der Gesetzgebung verwendeten Begriffe falsch auslegen. Die h\u00e4ufigsten Fehler betreffen die Begriffe \u201eDatenverarbeitung\u201c und \u201eVerantwortlicher\u201c, da die meisten Unternehmensvertreter irrt\u00fcmlich davon ausgehen, dass Speicherung und Verarbeitung von Daten zwei verschiedene Konzepte seien und sie, da sie personenbezogene Daten lediglich speichern, nicht als Verantwortliche gelten k\u00f6nnten. Dies f\u00fchrt wiederum dazu, dass das Unternehmen keine Ma\u00dfnahmen zur Einhaltung des LPDP und des Datenschutzes ergreift.<\/p>\n

Daher ist es entscheidend, dass Gesellschafter und Unternehmensvertreter die Konzepte bzw. Begriffe personenbezogene Daten, Datenverarbeitung, Verantwortlicher und Auftragsverarbeiter vollst\u00e4ndig verstehen, um zutreffend bestimmen zu k\u00f6nnen, welche LPDP- bzw. Datenschutzbestimmungen auf sie anwendbar sind.<\/p>\n

a. Personenbezogene Daten<\/strong> sind im LPDP sehr weit definiert. Nach dieser Definition bedeuten personenbezogene Daten \u201ealle Informationen, die einer nat\u00fcrlichen Person zuzuordnen sind, deren Identit\u00e4t bestimmt ist oder bestimmt werden kann\u201c. Mit dieser weiten Definition gelten s\u00e4mtliche Informationen, die es dem Dateninhaber erm\u00f6glichen k\u00f6nnen, eine bestimmte Person zu identifizieren, als personenbezogene Daten. Dazu k\u00f6nnen Ausweisdaten, Name, Nachname, Geburtsdatum, Telefonnummern, Lebenslauf, Fotos, Einkommen, Ausgabenpr\u00e4ferenzen, Adresse, Anzahl der Kinder, E-Mail- und IP-Adressen, Hobbys, Standortinformationen usw. geh\u00f6ren. Dementsprechend lautet die allgemeine Regel: Wenn irgendein Informationsausschnitt die Identifizierung einer bestimmten Person erm\u00f6glicht, gilt diese Information als personenbezogenes Datum.<\/p>\n

b. Verarbeitung personenbezogener Daten<\/strong> wird im LPDP ferner definiert als \u201ejeder Vorgang, der an personenbezogenen Daten vorgenommen wird, wie Erhebung, Aufzeichnung, Speicherung, Aufbewahrung, \u00c4nderung, Neuordnung, Offenlegung, \u00dcbermittlung, \u00dcbernahme, Abrufbarmachung, Klassifizierung oder Verhinderung ihrer Nutzung, ganz oder teilweise auf automatischem Wege oder, sofern der Vorgang Teil eines Datenregistersystems ist, auf nicht automatischem Wege\u201c. Daher gilt bereits die blo\u00dfe Speicherung eines der oben genannten personenbezogenen Daten als Verarbeitung, selbst wenn der betreffende Verantwortliche die Daten nicht in sinnvoller oder erheblicher Weise nutzt.<\/p>\n

c. Verantwortlicher<\/strong> ist definiert als \u201edie nat\u00fcrliche oder juristische Person, die Zweck und Mittel der Verarbeitung personenbezogener Daten bestimmt und f\u00fcr die Einrichtung und Verwaltung des Datenregistersystems verantwortlich ist\u201c. Zur Veranschaulichung: Wenn Ihr Unternehmen personenbezogene Daten wie die E-Mail-Adresse, Telefonnummer, Wohnanschrift, den Namen, Nachnamen oder das Geburtsdatum eines Kunden verarbeitet, sei es in physischer Form, digital auf einem Server oder \u00fcber Drittanbieter, gilt Ihr Unternehmen nach dem LPDP als Verantwortlicher und muss die Datenschutzvorschriften einhalten.<\/p>\n

d. Auftragsverarbeiter <\/strong>ist definiert als \u201edie nat\u00fcrliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen auf Grundlage seiner Erm\u00e4chtigung verarbeitet\u201c. In diesem Zusammenhang gilt beispielsweise ein externer Buchhalter, sei es eine nat\u00fcrliche Person oder ein Drittunternehmen, das die Finanzen Ihres Unternehmens und dessen Steuererkl\u00e4rungen bearbeitet, als Auftragsverarbeiter, soweit er diese Buchhaltungsunterlagen verarbeitet (z. B. Rechnungen, die personenbezogene Daten enthalten k\u00f6nnen).<\/p>\n

e. Datenregistersystem<\/strong> ist definiert als \u201edas Registrierungssystem, in dem personenbezogene Daten nach bestimmten Kriterien strukturiert registriert werden\u201c. Daher gelten alle Systeme, die zur Speicherung oder anderweitigen Verarbeitung von Daten bestimmt sind, als Datenregistersystem.<\/p>\n

LPDP-Anforderungen und m\u00f6gliche Haftungsrisiken<\/strong><\/strong><\/h2>\n

Wie oben dargestellt, ist jede Person und\/oder juristische Person, die entweder als Verantwortlicher f\u00fcr personenbezogene Daten und\/oder als Auftragsverarbeiter eingestuft werden kann, verpflichtet, bei der Verarbeitung personenbezogener Daten die durch das LPDP festgelegten Regeln einzuhalten. Diese Begriffe werden zusammenfassend als allgemeine Bedingungen f\u00fcr die Datenverarbeitung bezeichnet und in einem gesonderten Artikel ausf\u00fchrlich analysiert. Dementsprechend wird die meiste Datenverarbeitung, die unter Einhaltung dieser allgemeinen Bedingungen erfolgt, als regelkonform gelten, vorausgesetzt, der Verantwortliche bzw. Auftragsverarbeiter h\u00e4lt das LPDP und dessen sekund\u00e4re Regelungen vollst\u00e4ndig ein.<\/p>\n

Umgekehrt kann die Nichteinhaltung der im LPDP festgelegten Regeln und Bedingungen zur Anwendung einer Reihe von Beschr\u00e4nkungen und Geldbu\u00dfen gegen den Verantwortlichen bzw. Auftragsverarbeiter f\u00fchren. Diese k\u00f6nnen von einschr\u00e4nkenden Ma\u00dfnahmen bis hin zu verwaltungsrechtlichen Geldbu\u00dfen von bis zu TRY 1.000.000.- reichen (je nach Versto\u00df k\u00f6nnen sogar h\u00f6here Geldbu\u00dfen anwendbar sein).<\/p>\n

Die Festsetzung der verwaltungsrechtlichen Geldbu\u00dfen liegt im Ermessen der Datenschutzbeh\u00f6rde (DPA)<\/a>, da Artikel 18 des LPDP lediglich eine Unter- und Obergrenze f\u00fcr verh\u00e4ngbare verwaltungsrechtliche Geldbu\u00dfen vorsieht. Dementsprechend ist die DPA gem\u00e4\u00df Artikel 22 des LPDP befugt, verwaltungsrechtliche Sanktionen gegen diejenigen zu verh\u00e4ngen, die gegen die im LPDP festgelegten Pflichten versto\u00dfen.<\/p>\n

Dieser weite Ermessensspielraum der DPA hat in der Vergangenheit bei bestimmten verwaltungsrechtlichen Ma\u00dfnahmen gegen\u00fcber verschiedenen Verantwortlichen und Auftragsverarbeitern zu Problemen gef\u00fchrt. Einige haben argumentiert, dass die DPA ihre Befugnis missbraucht habe, indem sie Geldbu\u00dfen ausgehend von der Obergrenze verh\u00e4ngte, ohne hierf\u00fcr einen sachlichen Grund anzugeben (einige haben sogar Klagen gegen die verh\u00e4ngten Geldbu\u00dfen erhoben). Um diese Fragen rund um die von der DPA verh\u00e4ngten verwaltungsrechtlichen Geldbu\u00dfen besser zu verstehen, verweisen wir auf unseren fr\u00fcheren Artikel mit dem Titel \u201eRechtsmittel gegen von der t\u00fcrkischen Datenschutzbeh\u00f6rde verh\u00e4ngte verwaltungsrechtliche Geldbu\u00dfen<\/strong><\/a>\u201c (ebenfalls hier<\/a> verf\u00fcgbar).<\/p>\n

Fazit<\/strong><\/strong><\/h2>\n

Fairerweise ist festzuhalten, dass die Regeln und Vorschriften zur Datenverarbeitung komplex erscheinen k\u00f6nnen, insbesondere f\u00fcr ausl\u00e4ndische Unternehmen, die auf dem t\u00fcrkischen Markt t\u00e4tig werden m\u00f6chten. Die Hauptquelle der Unsicherheit ist selbstverst\u00e4ndlich der Text des LPDP sowie der Umstand, dass Verantwortliche und Auftragsverarbeiter bei der Umsetzung neuer interner Datenverarbeitungsregeln auch Entscheidungen der DPA ber\u00fccksichtigen m\u00fcssen. Dies kann f\u00fcr Ausl\u00e4nder herausfordernd sein, da DPA-Entscheidungen im Allgemeinen in keiner anderen Sprache als T\u00fcrkisch verf\u00fcgbar sind.<\/p>\n

Dar\u00fcber hinaus ist diese Datenschutzgesetzgebung noch relativ neu und entwickelt sich daher kontinuierlich weiter, vor allem durch neue DPA-Entscheidungen und Geldbu\u00dfen. Dieser sich wandelnde Charakter der Compliance-Mechanismen bringt auch erhebliche Herausforderungen und Probleme mit sich, wenn Verantwortliche oder Auftragsverarbeiter standardisierte Rechtstexte verwenden, um die Einhaltung dieser Regeln sicherzustellen, da solche Standardtexte in der Regel stark veraltet sind und falsche oder in manchen F\u00e4llen schlicht unzureichende Formulierungen und Mechanismen enthalten. <\/p>\n

Daher ist es f\u00fcr Verantwortliche und\/oder Auftragsverarbeiter unerl\u00e4sslich, einen Experten zu konsultieren, um sicherzustellen, dass ihre Datenschutz-Compliance-Mechanismen ordnungsgem\u00e4\u00df umgesetzt werden und k\u00fcnftig unn\u00f6tige und vermeidbare Geldbu\u00dfen vermieden werden.<\/p>\n

Diese \u00dcbersetzung dient ausschlie\u00dflich Informationszwecken und kann vom Originaltext abweichen.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Ein \u00dcberblick \u00fcber das t\u00fcrkische Gesetz zum Schutz personenbezogener Daten Nr. 6698, zentrale Begriffe, VERBIS und m\u00f6gliche Haftungsrisiken.<\/p>\n","protected":false},"author":2,"featured_media":5289,"template":"","insight_category":[],"insight_topic":[],"class_list":["post-10451","insight","type-insight","status-publish","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/insight\/10451","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/insight"}],"about":[{"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/types\/insight"}],"author":[{"embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/users\/2"}],"version-history":[{"count":0,"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/insight\/10451\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/media\/5289"}],"wp:attachment":[{"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/media?parent=10451"}],"wp:term":[{"taxonomy":"insight_category","embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/insight_category?post=10451"},{"taxonomy":"insight_topic","embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/insight_topic?post=10451"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}