{"id":10471,"date":"2020-06-27T12:16:00","date_gmt":"2020-06-27T12:16:00","guid":{"rendered":"https:\/\/asy9.webcozumleri.com\/insights\/grenzueberschreitende-datenuebermittlungen-tuerkei-amazon-entscheidung\/"},"modified":"2020-06-27T12:16:00","modified_gmt":"2020-06-27T12:16:00","slug":"grenzueberschreitende-datenuebermittlungen-tuerkei-amazon-entscheidung","status":"publish","type":"insight","link":"https:\/\/asy9.webcozumleri.com\/de\/insights\/grenzueberschreitende-datenuebermittlungen-tuerkei-amazon-entscheidung\/","title":{"rendered":"Grenz\u00fcberschreitende Daten\u00fcbermittlungen in der T\u00fcrkei und die Amazon-T\u00fcrkei-Entscheidung"},"content":{"rendered":"
<\/span><\/p>\n
\n

Die Datenschutzbeh\u00f6rde<\/em><\/strong> <\/em>hat k\u00fcrzlich eine neue Entscheidung<\/strong><\/a> erlassen und gegen Amazon T\u00fcrkei<\/strong> eine Geldbu\u00dfe in H\u00f6he von 1.100.000 TRY wegen Verst\u00f6\u00dfen gegen Datenschutz- und E-Commerce-Vorschriften sowie wegen rechtswidriger grenz\u00fcberschreitender Daten\u00fcbermittlungen<\/u><\/em><\/strong>, insbesondere an ausl\u00e4ndische verbundene Unternehmen, verh\u00e4ngt. Diese Entscheidung wird k\u00fcnftig erhebliche Auswirkungen auf Daten\u00fcbermittlungen in der T\u00fcrkei haben. Um diese Folgen besser zu verstehen, ist zun\u00e4chst der Hintergrund zu betrachten, der zu dieser Entscheidung gef\u00fchrt hat.<\/p>\n

<\/strong>Schutz personenbezogener Daten in der T\u00fcrkei<\/u><\/strong><\/strong><\/h2>\n

<\/strong>In einer globalisierten Wirtschaft, in der Technologieunternehmen einen gro\u00dfen Teil des Content-Marketings dominieren und kontrollieren und Daten als das neue Gold gelten, wird die Beschr\u00e4nkung und \u00dcberwachung grenz\u00fcberschreitender Daten\u00fcbermittlungen<\/strong> immer wichtiger. Genau dies hebt auch die Amazon-T\u00fcrkei-Entscheidung der Datenschutzbeh\u00f6rde (DPB) hervor. In dieser Hinsicht nimmt die T\u00fcrkei beim Datenschutz eine \u00e4hnliche Position wie Europa ein, indem sie das Gesetz Nr. 6698 zum Schutz personenbezogener Daten (LPPD<\/strong><\/a>) umgesetzt hat, das im Wesentlichen die t\u00fcrkische Entsprechung der Datenschutz-Grundverordnung (DSGVO<\/strong><\/a>) darstellt.<\/p>\n<\/div>\n<\/div>\n

\u00dcbermittlung personenbezogener Daten an Dritte<\/u><\/strong><\/strong><\/h2>\n

\u00dcbermittlungen personenbezogener Daten<\/strong> an Dritte sind nach dem LPPD (\u00e4hnlich wie nach der DSGVO) recht restriktiv geregelt. Artikel 5 des LPPD stellt klar, dass Verantwortliche personenbezogene Daten ohne ausdr\u00fcckliche Einwilligung der betroffenen Person nicht an Dritte \u00fcbermitteln d\u00fcrfen, au\u00dfer in den in Artikel 5\/2 und 6\/3 genannten F\u00e4llen. Artikel 9 bestimmt ferner, dass grenz\u00fcberschreitende Daten\u00fcbermittlungen verboten sind, sofern die betroffene Person einer solchen grenz\u00fcberschreitenden Daten\u00fcbermittlung<\/strong> nicht ausdr\u00fccklich zugestimmt hat. Artikel 9\/2 sieht eine Ausnahme von dieser Regel vor und erlaubt grenz\u00fcberschreitende Daten\u00fcbermittlungen ohne ausdr\u00fcckliche Einwilligung der betroffenen Person, wenn die in Artikel 5\/2 und 6\/3 genannten Umst\u00e4nde vorliegen und (i) \u201ein dem ausl\u00e4ndischen Staat, in den die Daten \u00fcbermittelt werden sollen, ein ausreichender Schutz gew\u00e4hrleistet ist\u201c oder (ii) \u201edie Verantwortlichen in der T\u00fcrkei und in dem betreffenden ausl\u00e4ndischen Staat einen ausreichenden Schutz schriftlich garantieren und die Beh\u00f6rde diese \u00dcbermittlung genehmigt hat, sofern kein ausreichender Schutz besteht\u201c.<\/p>\n

Daten\u00fcbermittlungen und Ausnahmen von der ausdr\u00fccklichen Einwilligung<\/u><\/strong><\/strong><\/h2>\n

<\/strong>Wie oben ausgef\u00fchrt, besteht die allgemeine Regel f\u00fcr Daten\u00fcbermittlungen, ob im Inland oder grenz\u00fcberschreitend, darin, zuvor die ausdr\u00fcckliche Einwilligung der betroffenen Person einzuholen. Das LPPD sieht jedoch sowohl f\u00fcr personenbezogene Daten als auch f\u00fcr besondere Kategorien personenbezogener Daten bestimmte Ausnahmen von diesem Erfordernis vor, die in Artikel 5\/2 beziehungsweise 6\/3 geregelt sind. Nach Artikel 5\/2 d\u00fcrfen personenbezogene Daten ohne ausdr\u00fcckliche Einwilligung der betroffenen Person verarbeitet und an Dritte \u00fcbermittelt werden, wenn:<\/p>\n

    \n
  1. dies gesetzlich vorgesehen oder erforderlich ist,<\/em><\/li>\n
  2. dies zum Schutz des Lebens oder der k\u00f6rperlichen Unversehrtheit einer Person erforderlich ist, die k\u00f6rperlich nicht in der Lage ist, eine Einwilligung zu erteilen,<\/em><\/li>\n
  3. dies f\u00fcr den Abschluss, die Erf\u00fcllung oder die Beschaffung der in einem Vertrag vorgesehenen Leistungen erforderlich ist,<\/em><\/li>\n
  4. dies erforderlich ist, damit der Verantwortliche seine gesetzlichen Pflichten erf\u00fcllen kann,<\/em><\/li>\n
  5. die Daten von der betroffenen Person selbst \u00f6ffentlich gemacht wurden,<\/em><\/li>\n
  6. die Daten f\u00fcr die Begr\u00fcndung, Aus\u00fcbung oder den Schutz eines Rechts zwingend erforderlich sind, oder<\/em><\/li>\n
  7. dies f\u00fcr die berechtigten Interessen des Verantwortlichen zwingend erforderlich ist, sofern dadurch die Grundrechte und Grundfreiheiten der betroffenen Person nicht verletzt werden.<\/em><\/li>\n<\/ol>\n

    <\/em>Artikel 6\/3 bestimmt ferner, dass besondere Kategorien personenbezogener Daten, ausgenommen Daten \u00fcber Gesundheit und Sexualleben, ohne ausdr\u00fcckliche Einwilligung der betroffenen Person verarbeitet und an Dritte \u00fcbermittelt werden d\u00fcrfen, wenn dies gesetzlich vorgesehen ist.<\/p>\n

    <\/strong>Grenz\u00fcberschreitende Daten\u00fcbermittlungen und das Problem des ausreichenden Schutzes<\/u><\/strong><\/strong><\/h2>\n

    Die Vorschriften, die Ausnahmen von der ausdr\u00fccklichen Einwilligung bei grenz\u00fcberschreitenden Daten\u00fcbermittlungen vorsehen, sind an sich recht klar: Artikel 9\/2 bestimmt, dass grenz\u00fcberschreitende Daten\u00fcbermittlungen ohne ausdr\u00fcckliche Einwilligung der betroffenen Person erfolgen d\u00fcrfen, wenn in dem ausl\u00e4ndischen Staat, in den die Daten \u00fcbermittelt werden sollen, ein ausreichender Schutz gew\u00e4hrleistet ist. Da das LPPD nahezu eine direkte \u00dcbersetzung der DSGVO ist, liegt die Annahme nahe, dass s\u00e4mtliche grenz\u00fcberschreitenden Daten\u00fcbermittlungen in einen oder mehrere Staaten, in denen die DSGVO gilt, von dieser Vorschrift erfasst und daher vom Erfordernis der ausdr\u00fccklichen Einwilligung ausgenommen w\u00e4ren.<\/p>\n

    Leider ist dies nicht der Fall. Das Problem ergibt sich aus Absatz 3 desselben Artikels 9, wonach die DPB die Staaten bestimmt und bekannt gibt, in denen ein ausreichendes Schutzniveau gew\u00e4hrleistet ist. Die DPB hat eine solche Liste bislang nicht ver\u00f6ffentlicht. Das bedeutet, dass die Ausnahme nach Artikel 9\/2\/a derzeit auf keine grenz\u00fcberschreitende Daten\u00fcbermittlung anwendbar ist, auch nicht auf \u00dcbermittlungen in L\u00e4nder, in denen die DSGVO gilt.<\/p>\n

    Zusammenfassung der Amazon-T\u00fcrkei-Entscheidung zu grenz\u00fcberschreitenden Daten\u00fcbermittlungen<\/strong><\/strong><\/h2>\n

    <\/strong>Beschwerden gegen Amazon T\u00fcrkei<\/u><\/strong><\/strong><\/h3>\n

    Wie zu Beginn dieses Artikels erw\u00e4hnt, verh\u00e4ngte die Datenschutzbeh\u00f6rde nach einer Beschwerde eines Nutzers von Amazon T\u00fcrkei wegen rechtswidriger Datenverarbeitung und -\u00fcbermittlung gegen Amazon T\u00fcrkei eine Geldbu\u00dfe in H\u00f6he von 1.100.000 TRY wegen rechtswidriger grenz\u00fcberschreitender Daten\u00fcbermittlungen an ausl\u00e4ndische verbundene Unternehmen sowie wegen Verst\u00f6\u00dfen gegen Datenschutz- und E-Commerce-Recht. Einer der wesentlichen Vorw\u00fcrfe in dieser Beschwerde betraf die Tatsache, dass Amazon T\u00fcrkei die Formulierung \u201eWir k\u00f6nnen Ihre personenbezogenen Daten an die Europ\u00e4ische Union und die Vereinigten Staaten \u00fcbermitteln, um Ihre personenbezogenen Informationen im Rahmen der in diesem Datenschutzhinweis genannten Zwecke zu speichern und zu verarbeiten<\/em>\u201c verwendete. Nach Auffassung des Beschwerdef\u00fchrers verstie\u00df dies gegen die Pflichten nach dem LPPD, weil Amazon T\u00fcrkei f\u00fcr solche internationalen \u00dcbermittlungen keine ausdr\u00fcckliche Einwilligung der betroffenen Person eingeholt, sondern lediglich mitgeteilt hatte, dass Daten ins Ausland \u00fcbermittelt werden k\u00f6nnen.<\/p>\n

    Die Amazon-T\u00fcrkei-Entscheidung der DPB zu grenz\u00fcberschreitenden Daten\u00fcbermittlungen<\/u><\/strong><\/strong><\/h3>\n

    Nach Eingang der Beschwerde leitete die DPB eine Untersuchung gegen Amazon T\u00fcrkei ein und stellte fest, dass Amazon T\u00fcrkei tats\u00e4chlich keine ausdr\u00fcckliche Einwilligung der betroffenen Personen f\u00fcr grenz\u00fcberschreitende Daten\u00fcbermittlungen eingeholt hatte. Stattdessen wurde den betroffenen Personen die M\u00f6glichkeit einger\u00e4umt, dem Teilen ihrer Daten mit Dritten zu widersprechen beziehungsweise dies abzulehnen. Dieser Opt-out-Mechanismus wurde als Versto\u00df gegen das LPPD bewertet, da das Gesetz f\u00fcr grenz\u00fcberschreitende Daten\u00fcbermittlungen ausdr\u00fccklich eine Einwilligung der betroffenen Personen verlangt und daher erfordert, dass die betroffenen Personen solchen \u00dcbermittlungen ausdr\u00fccklich \u201eopt-in\u201c zustimmen, anstatt ihre Zustimmung standardm\u00e4\u00dfig anzunehmen und lediglich eine Opt-out-M\u00f6glichkeit anzubieten.<\/p>\n

    Da Amazon T\u00fcrkei keine vorherige ausdr\u00fcckliche Einwilligung der betroffenen Personen eingeholt hatte, bestand die einzige M\u00f6glichkeit f\u00fcr Amazon T\u00fcrkei, grenz\u00fcberschreitende Daten\u00fcbermittlungen in der T\u00fcrkei rechtm\u00e4\u00dfig vorzunehmen, darin, geltend zu machen, dass diese \u00dcbermittlungen unter die in Artikel 9\/2 LPPD vorgesehenen Ausnahmen fallen.<\/p>\n

    Wie oben dargestellt, gelten diese Ausnahmen f\u00fcr grenz\u00fcberschreitende Daten\u00fcbermittlungen jedoch nur, wenn in dem ausl\u00e4ndischen Staat, in den die Daten \u00fcbermittelt werden sollen, ein ausreichender Schutz gew\u00e4hrleistet ist und die DPB gem\u00e4\u00df Artikel 9\/3 befugt ist, die L\u00e4nder mit ausreichendem Schutzniveau zu bestimmen. Das Problem besteht, wie ebenfalls erw\u00e4hnt, darin, dass die DPB eine solche Liste ausgenommener L\u00e4nder bislang nicht ver\u00f6ffentlicht hat. Solange diese Liste nicht vorliegt, gilt die Ausnahme f\u00fcr L\u00e4nder mit ausreichendem Schutz f\u00fcr kein Land, einschlie\u00dflich EU-Mitgliedstaaten, in denen die DSGVO Anwendung findet.<\/p>\n

    Da Amazon T\u00fcrkei von dieser Ausnahme des \u201eausreichenden Schutzes\u201c nicht profitieren konnte, blieb nur die letzte in Artikel 9\/3 vorgesehene Ausnahme: Grenz\u00fcberschreitende Daten\u00fcbermittlungen in L\u00e4nder ohne ausreichenden Schutz k\u00f6nnen ohne vorherige ausdr\u00fcckliche Einwilligung vorgenommen werden, wenn die ausl\u00e4ndischen Verantwortlichen in der T\u00fcrkei und in dem betreffenden ausl\u00e4ndischen Staat gegen\u00fcber der DPB schriftliche Garantien abgeben und die Beh\u00f6rde diese \u00dcbermittlung genehmigt. An dieser Stelle ist hervorzuheben, dass Amazon tats\u00e4chlich eine Garantie bei der Beh\u00f6rde eingereicht hatte, um diese Ausnahme in Anspruch nehmen zu k\u00f6nnen.<\/p>\n

    Zum Zeitpunkt der Beschwerde und der Entscheidung war das Garantieschreiben von Amazon und der Antrag auf Ausnahmegenehmigung jedoch noch bei der DPB anh\u00e4ngig und wartete auf die endg\u00fcltige Entscheidung und Genehmigung der Beh\u00f6rde. Artikel 9\/3 stellt klar, dass diese Ausnahme nur dann anwendbar ist, wenn ein Garantieschreiben vorgelegt wird UND<\/u><\/strong> die DPB die \u00dcbermittlungen genehmigt. Da die DPB den Antrag von Amazon T\u00fcrkei auf Ausnahmegenehmigung nie genehmigt hatte, entschied die DPB, dass die von Amazon T\u00fcrkei durchgef\u00fchrten grenz\u00fcberschreitenden Daten\u00fcbermittlungen gegen die Bestimmungen des LPPD verstie\u00dfen.<\/p>\n

    Ausblick: Auswirkungen der Amazon-T\u00fcrkei-Entscheidung auf grenz\u00fcberschreitende Daten\u00fcbermittlungen<\/strong><\/strong><\/h3>\n

    Die Entscheidung, gegen Amazon T\u00fcrkei eine Geldbu\u00dfe zu verh\u00e4ngen, war eine h\u00f6chst umstrittene Entscheidung der DPB. Umstritten war sie, weil Amazon T\u00fcrkei personenbezogene Daten in EU-L\u00e4nder \u00fcbermittelte, die als L\u00e4nder mit ausreichendem Schutz h\u00e4tten angesehen werden k\u00f6nnen, da sie ebenfalls der DSGVO unterliegen, und weil Amazon T\u00fcrkei der Beh\u00f6rde bereits die erforderlichen Garantieschreiben vorgelegt hatte, um von der zweiten Ausnahme nach Artikel 9\/3 zu profitieren.<\/p>\n

    Auch wenn wir die Argumente gegen diese Entscheidung nachvollziehen k\u00f6nnen, sind wir der Auffassung, dass das Gesetz hinsichtlich der Ausnahmen sehr klar und transparent ist. Die Bestimmungen des LPPD sehen ausdr\u00fccklich vor, dass Ausnahmen f\u00fcr grenz\u00fcberschreitende Daten\u00fcbermittlungen nur dann anwendbar sind, wenn das Land, in das die Daten \u00fcbermittelt werden, \u00fcber ein ausreichendes Schutzniveau verf\u00fcgt (das von der Beh\u00f6rde festzustellen ist) oder, falls kein ausreichender Schutz besteht, ein Garantieschreiben vorgelegt und die \u00dcbermittlung von der Beh\u00f6rde genehmigt wird.<\/p>\n

    Da die Liste ausgenommener L\u00e4nder von der Beh\u00f6rde bislang nicht ver\u00f6ffentlicht wurde, besteht die einzige M\u00f6glichkeit, von Ausnahmen f\u00fcr grenz\u00fcberschreitende Daten\u00fcbermittlungen zu profitieren, darin, der Beh\u00f6rde ein Garantieschreiben vorzulegen und die Genehmigung der Beh\u00f6rde f\u00fcr die \u00dcbermittlungen abzuwarten. Obwohl Amazon ein Garantieschreiben vorgelegt hatte, wartete das Unternehmen nicht auf die Bearbeitung des Antrags und die Genehmigung der Beh\u00f6rde, sondern setzte die grenz\u00fcberschreitenden Daten\u00fcbermittlungen fort, ohne ausdr\u00fcckliche Einwilligungen der betroffenen Personen einzuholen.<\/p>\n

    In dieser Hinsicht hat die DPB ihre Position unmissverst\u00e4ndlich klargestellt: Wenn Verantwortliche grenz\u00fcberschreitende Daten\u00fcbermittlungen ohne Einholung ausdr\u00fccklicher Einwilligungen durchf\u00fchren m\u00f6chten, m\u00fcssen sie entweder die Ver\u00f6ffentlichung der Liste ausgenommener L\u00e4nder abwarten oder ein Garantieschreiben einreichen und die Genehmigung der Beh\u00f6rde abwarten. Andernfalls sind alle Verantwortlichen nach dem LPPD verpflichtet, vor der Durchf\u00fchrung grenz\u00fcberschreitender Daten\u00fcbermittlungen die ausdr\u00fcckliche Einwilligung der betroffenen Personen einzuholen.<\/p>\n

    Diese \u00dcbersetzung dient ausschlie\u00dflich Informationszwecken und kann vom Originaltext abweichen.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

    Die t\u00fcrkische Datenschutzbeh\u00f6rde verh\u00e4ngte gegen Amazon T\u00fcrkei ein Bu\u00dfgeld wegen Datenschutzverst\u00f6\u00dfen und unrechtm\u00e4\u00dfiger grenz\u00fcberschreitender Daten\u00fcbermittlungen. Die Entscheidung pr\u00e4zisiert die Anforderungen an ausdr\u00fcckliche Einwilligung und Ausnahmen nach dem KVKK.<\/p>\n","protected":false},"author":2,"featured_media":5304,"template":"","insight_category":[],"insight_topic":[],"class_list":["post-10471","insight","type-insight","status-publish","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/insight\/10471","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/insight"}],"about":[{"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/types\/insight"}],"author":[{"embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/users\/2"}],"version-history":[{"count":0,"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/insight\/10471\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/media\/5304"}],"wp:attachment":[{"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/media?parent=10471"}],"wp:term":[{"taxonomy":"insight_category","embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/insight_category?post=10471"},{"taxonomy":"insight_topic","embeddable":true,"href":"https:\/\/asy9.webcozumleri.com\/de\/wp-json\/wp\/v2\/insight_topic?post=10471"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}