{"id":10534,"date":"2019-04-08T12:06:00","date_gmt":"2019-04-08T12:06:00","guid":{"rendered":"https:\/\/asy9.webcozumleri.com\/insights\/datenschutz-biometrische-daten-tuerkei\/"},"modified":"2019-04-08T12:06:00","modified_gmt":"2019-04-08T12:06:00","slug":"datenschutz-biometrische-daten-tuerkei","status":"publish","type":"insight","link":"https:\/\/asy9.webcozumleri.com\/de\/insights\/datenschutz-biometrische-daten-tuerkei\/","title":{"rendered":"Schutz personenbezogener Daten und Verwendung biometrischer Daten in der T\u00fcrkei"},"content":{"rendered":"
<\/span>\"\"<\/p>\n
\n

I. \u00dcBERBLICK ZUM SCHUTZ PERSONENBEZOGENER DATEN<\/strong><\/h2>\n

Der Schutz personenbezogener Daten war in der T\u00fcrkei \u00fcber viele Jahre ein kontroverses Thema, vor allem im Zusammenhang mit den Beitrittsverfahren zur Europ\u00e4ischen Union. Obwohl die T\u00fcrkei bereits 1981 das \u00dcbereinkommen Nr. 108 des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (\u00dcbereinkommen 108) unterzeichnet hatte und damit Vertragspartei war, wurden die nachfolgenden innerstaatlichen Regelungen nie umgesetzt, sodass das \u00dcbereinkommen 108 nicht in Kraft trat.<\/p>\n

Um dies zu beheben, verabschiedete die T\u00fcrkei ein neues Gesetz zum Schutz personenbezogener Daten, das Gesetz \u00fcber den Schutz personenbezogener Daten Nr. 6698, das im Gesetzblatt vom 7. April 2016, Nr. 29677, ver\u00f6ffentlicht wurde (das Gesetz), wodurch das \u00dcbereinkommen 108 im Inland wirksam umgesetzt wurde.<\/p>\n

Dieses Gesetz gilt als dringend erforderliche Verbesserung des Schutzes personenbezogener Daten und begr\u00fcndet neue Verpflichtungen f\u00fcr Dateninhaber, Aufsichtsverantwortliche und Auftragsverarbeiter, personenbezogene Daten jederzeit vertraulich zu behandeln. Allerdings enth\u00e4lt das Gesetz, ebenso wie das \u00dcbereinkommen 108, teilweise unbestimmte Definitionen, wenn es darum geht, was personenbezogene Daten sind.<\/p>\n

Diese unbestimmten Definitionen erm\u00f6glichen eine flexible Bestimmung dessen, was personenbezogene Daten ausmacht, sodass unterschiedliche Datens\u00e4tze auch ohne Gesetzes\u00e4nderung als personenbezogene Daten eingestuft werden k\u00f6nnen. Zugleich k\u00f6nnen sie jedoch Unsicherheit und Verwirrung in Bezug auf bestimmte Datens\u00e4tze verursachen, etwa bei biometrischen Daten. Um die Regeln f\u00fcr die Verwendung biometrischer Daten bestimmen zu k\u00f6nnen, sind daher zun\u00e4chst die allgemeinen Grunds\u00e4tze und die Definition personenbezogener Daten zu untersuchen.<\/p>\n<\/div>\n<\/div>\n

II. DEFINITION VON PERSONENBEZOGENEN DATEN <\/strong><\/strong> UND VERARBEITUNGSMETHODEN<\/strong><\/h2>\n

Artikel 2 des Gesetzes definiert personenbezogene Daten als \u201ealle Informationen, die sich auf eine identifizierte oder identifizierbare nat\u00fcrliche Person beziehen\u201c, w\u00e4hrend Artikel 6 vorsieht, dass \u201epersonenbezogene Daten \u00fcber Rasse, ethnische Herkunft, politische Meinung, philosophische \u00dcberzeugung, Religion, Konfession oder sonstige \u00dcberzeugungen, Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsma\u00dfnahmen sowie biometrische und genetische Daten als personenbezogene Daten besonderer Art gelten<\/em>\u201c.<\/p>\n

Artikel 2 definiert au\u00dferdem die Verarbeitung personenbezogener Daten als \u201ejeden Vorgang, der an personenbezogenen Daten vorgenommen wird, wie Erhebung, Aufzeichnung, Speicherung, Aufbewahrung, \u00c4nderung, Neuordnung, Offenlegung, \u00dcbermittlung, \u00dcbernahme, Abrufbarmachung, Klassifizierung oder Verhinderung ihrer Nutzung, ganz oder teilweise durch automatische Mittel oder, sofern der Vorgang Teil eines Datenregistrierungssystems ist, durch nichtautomatische Mittel<\/em>\u201c.<\/p>\n

Dementsprechend gelten bereits die Erhebung, Aufzeichnung und\/oder Speicherung personenbezogener Daten als Datenverarbeitung und unterliegen daher den strengen Verfahrensregeln des Gesetzes. Jede in Artikel 2 genannte Handlung in Bezug auf personenbezogene Daten bedarf daher gem\u00e4\u00df Artikel 5 der ausdr\u00fccklichen Einwilligung des Dateninhabers. Selbstverst\u00e4ndlich gibt es bestimmte Ausnahmen von dieser Regel. Nach Artikel 5 d\u00fcrfen personenbezogene Daten ohne ausdr\u00fcckliche Einwilligung des Dateninhabers verarbeitet werden, wenn:<\/p>\n

a) dies gesetzlich ausdr\u00fccklich vorgesehen ist,<\/em>
<\/em>b) dies zum Schutz des Lebens oder der k\u00f6rperlichen Unversehrtheit der betroffenen Person oder einer anderen Person zwingend erforderlich ist, sofern diese k\u00f6rperlich nicht in der Lage ist, ihre Einwilligung zu erteilen, oder ihre Einwilligung rechtlich nicht als g\u00fcltig angesehen wird,<\/em>
<\/em>c) die Verarbeitung personenbezogener Daten der Vertragsparteien erforderlich ist, sofern sie unmittelbar mit dem Abschluss oder der Erf\u00fcllung dieses Vertrags zusammenh\u00e4ngt,<\/em>
<\/em>d) dies erforderlich ist, damit der Verantwortliche seine gesetzlichen Pflichten erf\u00fcllen kann,<\/em>
<\/em>e) die betreffenden Daten von der betroffenen Person selbst \u00f6ffentlich gemacht wurden,<\/em>
<\/em>f) die Datenverarbeitung f\u00fcr die Begr\u00fcndung, Aus\u00fcbung oder den Schutz eines Rechts zwingend erforderlich ist,<\/em>
<\/em>g) dies f\u00fcr die berechtigten Interessen des Verantwortlichen zwingend erforderlich ist, sofern diese Verarbeitung die Grundrechte und Grundfreiheiten der betroffenen Person nicht verletzt.<\/em><\/p>\n

III. PFLICHTEN DES VERANTWORTLICHEN UND RECHTE DES DATENINHABERS<\/strong><\/h2>\n
    \n
  • Pflichten des Verantwortlichen<\/li>\n<\/ul>\n

    Nach Artikel 10 m\u00fcssen der Verantwortliche oder die von ihm bevollm\u00e4chtigten Personen den Dateninhaber w\u00e4hrend der Datenerhebung und\/oder -verarbeitung informieren \u00fcber (a) die Identit\u00e4t des Verantwortlichen und aller seiner Vertreter, (b) den Zweck der Datenverarbeitung, (c) an wen und zu welchen Zwecken die verarbeiteten Daten \u00fcbermittelt werden k\u00f6nnen und (d) die Methode und den Rechtsgrund der Erhebung personenbezogener Daten.<\/p>\n

    Dar\u00fcber hinaus sind Verantwortliche verpflichtet, alle erforderlichen technischen und administrativen Ma\u00dfnahmen zu ergreifen, um einen unrechtm\u00e4\u00dfigen Zugriff auf diese Daten und\/oder deren unrechtm\u00e4\u00dfige Verarbeitung zu verhindern. Werden die Daten von befugten Dritten verarbeitet, haftet der Verantwortliche gemeinsam mit dem Dritten f\u00fcr die Ergreifung dieser Schutzma\u00dfnahmen und die Gew\u00e4hrleistung der Sicherheit der erhobenen Daten.<\/p>\n

      \n
    • Rechte des Dateninhabers<\/li>\n<\/ul>\n

      Neben den Pflichten der Verantwortlichen verf\u00fcgen Dateninhaber nach dem Gesetz \u00fcber eine Reihe von Rechten. Nach Artikel 11 haben Dateninhaber das Recht, vom Verantwortlichen Auskunft dar\u00fcber zu verlangen, ob ihre personenbezogenen Daten verarbeitet oder anderweitig gespeichert und erhoben werden; falls ja, zu welchem Zweck und in welchem Umfang die personenbezogenen Daten verarbeitet werden; Informationen \u00fcber Dritte, die Zugriff auf diese Informationen haben, sofern vorhanden; die Berichtigung unvollst\u00e4ndiger oder unrichtiger Informationen, sofern vorhanden; die L\u00f6schung und\/oder Vernichtung der betreffenden personenbezogenen Daten; sowie Ersatz f\u00fcr Sch\u00e4den, die durch eine unrechtm\u00e4\u00dfige Verarbeitung personenbezogener Daten entstanden sind.<\/p>\n

      Die beiden wichtigen Rechte der Dateninhaber sind hier das Recht, die Berichtigung unvollst\u00e4ndiger oder unrichtiger Informationen zu verlangen, und das Recht, Ersatz f\u00fcr Sch\u00e4den zu verlangen, die durch unrechtm\u00e4\u00dfige Datenverarbeitung entstanden sind. Dies gibt dem Dateninhaber effektiv die Befugnis, personenbezogene Daten, die verarbeitet werden oder in der Vergangenheit verarbeitet wurden, l\u00f6schen und vernichten zu lassen, und gew\u00e4hrt zudem das Recht auf Schadensersatz, wenn Verantwortliche ihre gesetzlichen Pflichten verletzen.<\/p>\n

      IV. DEFINITION BIOMETRISCHER DATEN<\/strong><\/h2>\n

      Bis vor kurzem enthielt die Gesetzgebung weder eine gesonderte Definition biometrischer Daten noch eine klare und umfassende Definition dessen, was personenbezogene Daten sind. Stattdessen wurden personenbezogene Daten als \u201ealle Informationen, die sich auf eine identifizierte oder identifizierbare nat\u00fcrliche Person beziehen\u201c definiert. Die einzige weitere Einordnung personenbezogener Daten ist die Definition \u201epersonenbezogener Daten besonderer Art\u201c in Artikel 6 (wie oben dargestellt).<\/p>\n

      Obwohl dieser Artikel 6 nahezu eine direkte \u00dcbersetzung von Artikel 6 des \u00dcbereinkommens 108 ist, besteht ein wesentlicher Unterschied. Als das \u00dcbereinkommen 108 im Jahr 1981 erstmals umgesetzt wurde, existierte der Begriff biometrische Daten noch nicht. Daher war dieser Begriff im urspr\u00fcnglichen Text des \u00dcbereinkommens 108 nicht enthalten, und biometrische Daten wurden nicht als personenbezogene Daten besonderer Art eingestuft. Artikel 6 des Gesetzes bestimmt jedoch, dass \u201ebiometrische und genetische Daten<\/em>\u201c als personenbezogene Daten besonderer Art gelten.<\/p>\n

      Bemerkenswert ist die Rechtsprechung des Kassationsgerichtshofs zu biometrischen Daten, die vor Inkrafttreten des Gesetzes erging. Nach dieser Rechtsprechung des Kassationsgerichtshofs gelten \u201eFingerabdr\u00fccke und biologische Proben wie DNA-, Haar-, Speichel- und Fingernagelproben\u201c als personenbezogene Daten.<\/p>\n

      Dar\u00fcber hinaus entschied das Verfassungsgericht unter Bezugnahme auf die einschl\u00e4gigen Artikel des \u00dcbereinkommens 108, dass \u201edurch biometrische Methoden erlangte Daten\u201c als personenbezogene Daten anzusehen sind. Solche Daten k\u00f6nnten jedoch nicht als \u201e\u00e4u\u00dferst sensible personenbezogene Daten wie politische Meinungen, religi\u00f6se \u00dcberzeugungen, Gesundheit, Sexualleben oder strafrechtliche Verurteilungen im Sinne von Artikel 6 des \u00dcbereinkommens 108\u201c betrachtet werden. Es ist daher unklar, wie diese Rechtsprechung vor dem Hintergrund der neuen gesetzlichen \u00c4nderungen zu bewerten ist, wenngleich erwartet wird, dass der Kassationsgerichtshof diese Rechtsprechung an das neue Gesetz anpasst.<\/p>\n

      V. VERARBEITUNG BIOMETRISCHER DATEN<\/strong><\/h2>\n

      Mit den j\u00fcngsten technologischen Entwicklungen und der zunehmenden Erschwinglichkeit biometrischer Technologien sind Nachfrage nach und Zugang zu solchen Technologien stark gestiegen. Biometrische Scanner werden zunehmend zu Sicherheitszwecken eingesetzt, insbesondere in Technologieunternehmen, in denen vertrauliche Informationen von hohem Wert sind, sowie in gro\u00dfen Unternehmen und Holdings mit vielen Besch\u00e4ftigten, und au\u00dferdem zu Identifikationszwecken, vor allem im medizinischen Bereich, etwa in Krankenh\u00e4usern und Kliniken.<\/p>\n

      Die wichtigste Frage bei der Verwendung biometrischer Daten zu Sicherheits- und\/oder Identifikationszwecken ist die Einholung der ausdr\u00fccklichen Einwilligung des Dateninhabers. Wenn die Einwilligung jedes Dateninhabers erforderlich ist, stellt sich die Frage, wie Unternehmen Sicherheitssysteme nutzen k\u00f6nnen, die biometrische Daten erfordern (etwa sichere oder vertrauliche R\u00e4ume, die \u00fcber Fingerabdruckscanner zug\u00e4nglich sind), wenn einer oder mehrere ihrer Arbeitnehmer die Bereitstellung verweigern. Ebenso stellt sich die Frage, ob Unternehmen ihre Arbeitnehmer verpflichten k\u00f6nnen, biometrische Scanner zur Erfassung ihrer Schichten zu verwenden, oder ob der medizinische Sektor vor Erbringung medizinischer Leistungen biometrische Daten verlangen kann, um die Identit\u00e4t von Patienten zu \u00fcberpr\u00fcfen.<\/p>\n

      All dies sind kontroverse Fragen, die durch die j\u00fcngste technologische Entwicklung entstanden sind, welche die Einf\u00fchrung solcher Systeme zu deutlich geringeren Kosten erm\u00f6glicht. Au\u00dferdem sind biometrische Scanner und Sicherheitssysteme argumentativ sicherer als einfache Passw\u00f6rter, die geknackt werden k\u00f6nnen, und sicherere Identifikationssysteme als die Unterschrift einer Person, die nachgeahmt werden kann.<\/p>\n

      Leider geben das Gesetz und die nachfolgenden Verordnungen auf diese Fragen keine eindeutigen Antworten. Daher haben die obersten Gerichte, insbesondere der Kassationsgerichtshof, der Staatsrat und das Verfassungsgericht, in unterschiedlichen Situationen einzelfallbezogen verschiedene Entscheidungen getroffen, jeweils unter Ber\u00fccksichtigung des Verh\u00e4ltnism\u00e4\u00dfigkeitsgrundsatzes.<\/p>\n

        \n
      • Biometrische Daten im medizinischen Bereich zu Zwecken der Patientenidentifikation<\/li>\n<\/ul>\n

        Nach Artikel 67 des Sozialversicherungs- und Allgemeinen Krankenversicherungsgesetzes Nr. 5510 k\u00f6nnen staatliche Krankenh\u00e4user in der T\u00fcrkei von ihren Patienten verlangen, biometrische Daten als Mittel zur \u00dcberpr\u00fcfung der Identit\u00e4t des Patienten bereitzustellen. Der Artikel bestimmt, dass Patienten ihre Identit\u00e4t entweder mit biometrischen Mitteln oder mit Personalausweis, F\u00fchrerschein, Heiratsurkunde oder Reisepass nachweisen m\u00fcssen, um Gesundheitsleistungen in Anspruch nehmen zu k\u00f6nnen.<\/p>\n

        In der Folge begannen einige staatliche Krankenh\u00e4user, biometrische Kontrollen zur \u00dcberpr\u00fcfung der Identit\u00e4t antragstellender Patienten einzusetzen. Dies f\u00fchrte zu Kontroversen, da darin eine Verletzung des Rechts auf Privatsph\u00e4re gesehen wurde.<\/p>\n

        Schlie\u00dflich legte der Staatsrat im Jahr 2014 dem Verfassungsgericht einen Antrag auf Aufhebung der einschl\u00e4gigen Bestimmungen dieses Artikels 67 vor und machte geltend, diese verstie\u00dfen gegen die Artikel 2, 13 und 20 der Verfassung. Das Verfassungsgericht wies den Antrag zur\u00fcck und entschied, dass biometrische Daten von staatlichen Krankenh\u00e4usern zur \u00dcberpr\u00fcfung der Patientenidentit\u00e4t verlangt werden d\u00fcrfen und dass dies das in der Verfassung verankerte Recht auf Privatsph\u00e4re nicht verletzt.<\/p>\n

        Die Begr\u00fcndung des Gerichts in dieser Entscheidung lautete, dass die Identit\u00e4tspr\u00fcfung durch biometrische Mittel sicherer gegen unbefugte Nutzung sei, da solche Daten nicht gef\u00e4lscht werden k\u00f6nnten, und daher deutlich wirksamer bei der Bek\u00e4mpfung von Missbrauch in \u00f6ffentlichen Einrichtungen sei.<\/p>\n

        Mit anderen Worten entschied das Gericht, dass die Verhinderung des Missbrauchs des Gesundheitssystems von \u00fcberragender Bedeutung ist und dass diese Regelung im Vergleich zur Beeintr\u00e4chtigung des Rechts auf Privatsph\u00e4re den Grundsatz der Verh\u00e4ltnism\u00e4\u00dfigkeit nicht verletzt. Das Gericht kam daher zu dem Ergebnis, dass die Bestimmung nicht verfassungswidrig ist, da ein angemessenes Verh\u00e4ltnis zwischen den gesch\u00fctzten Rechten (der Integrit\u00e4t des Gesundheitssystems) und den beeintr\u00e4chtigten Rechten (dem Recht auf Privatsph\u00e4re) besteht.<\/p>\n