Türkei KVKK: Einhaltung des Schutzes personenbezogener Daten

Das türkische Kişisel Verilerin Korunması Kanunu (KVKK – Gesetz zum Schutz personenbezogener Daten Nr. 6698) trat am 7. April 2016 in Kraft und machte die Türkei zu einem der ersten Länder außerhalb der EU, das umfassende Datenschutzgesetze im Einklang mit der DSGVO erließ. Angesichts der wachsenden digitalen Wirtschaft der Türkei, ihrer beträchtlichen Bevölkerung (85 Millionen) und ihrer Rolle als Drehscheibe für Unternehmen, die sowohl europäische als auch nahöstliche Märkte bedienen, ist die KVKK-Konformität für internationale Organisationen zu einem immer wichtigeren Aspekt geworden.

Die KVKK wird von der Behörde für den Schutz personenbezogener Daten (Kişisel Verileri Koruma Kurumu – KVKK-Behörde oder KVK Kurumu) verwaltet und vom Gremium für den Schutz personenbezogener Daten (Kişisel Verileri Koruma Kurulu) durchgesetzt. Der Vorstand hat aktiv Leitlinien herausgegeben, Beschwerden untersucht und erhebliche Geldstrafen verhängt – mit Strafen von bis zu 19,8 Millionen ₺ (620.000 USD) pro Verstoß ab 2025.

Wichtige Erkenntnisse

• KVKK gilt für natürliche und juristische Personen, die personenbezogene Daten türkischer Personen verarbeiten, unabhängig davon, wo der Verantwortliche seinen Sitz hat
• Für allgemeine personenbezogene Daten gelten sieben Verarbeitungsbedingungen; acht für sensible personenbezogene Daten
• Zu den sensiblen personenbezogenen Daten gehören Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Sekte, Gewerkschaftsmitgliedschaft, Gesundheit, Sexualleben, strafrechtliche Verurteilungen, biometrische und genetische Daten
• Betroffene Personen haben acht Rechte, darunter Zugriff, Berichtigung, Löschung und Widerspruch gegen automatisierte Entscheidungen
• Grenzüberschreitende Datenübermittlungen erfordern entweder eine Angemessenheitsfeststellung durch den Vorstand oder eine ausdrückliche Zustimmung
• Die VERBİS-Registrierung (Data Controllers Registry) ist für Verantwortliche, die bestimmte Schwellenwerte erreichen, obligatorisch
• Die Benachrichtigung des Datenschutzverstoßes muss unverzüglich an den Vorstand erfolgen, bei schwerwiegenden Verstößen innerhalb von 72 Stunden
• Verwaltungsstrafen bis zu 19,8 Mio. ₺; strafrechtliche Verantwortlichkeit nach dem türkischen Strafgesetzbuch

---

KVKK-Rahmen und territorialer Geltungsbereich

Anwendbarkeit

KVKK gilt für:

• Natürliche und juristische Personen, die personenbezogene Daten ganz oder teilweise automatisiert verarbeiten
• Natürliche und juristische Personen, die personenbezogene Daten auf nichtautomatisiertem Wege verarbeiten, wenn die Daten Teil eines Dateisystems sind

Extraterritoriale Reichweite: KVKK legt die extraterritoriale Anwendung nicht ausdrücklich in den gleichen klaren Worten fest wie in Artikel 3 der DSGVO. Der Vorstand hat jedoch den Standpunkt vertreten, dass KVKK für ausländische Datenverantwortliche gilt, die personenbezogene Daten von Einzelpersonen in der Türkei verarbeiten – was sich in Durchsetzungsmaßnahmen gegen Facebook/Meta und andere internationale Unternehmen widerspiegelt. Verantwortliche außerhalb der Türkei, die türkischen Personen Waren/Dienstleistungen anbieten oder Daten türkischer Personen verarbeiten, sollten die KVKK-Pflichten prüfen.

Ausnahmen: KVKK gilt nicht für:

• Verarbeitung personenbezogener Daten durch natürliche Personen für rein persönliche Zwecke
• Verarbeitung personenbezogener Daten zu strafrechtlichen Ermittlungs- und Strafverfolgungszwecken
• Verarbeitung anonymisierter personenbezogener Daten zu statistischen Zwecken
• Verarbeitung für Kunst und Literatur
• Verarbeitung für journalistische, akademische, künstlerische oder literarische Zwecke (mit Einschränkungen)
• Verarbeitung im Rahmen der nationalen Verteidigung, Sicherheit und öffentlichen Sicherheit

---

Verarbeitungsbedingungen

Artikel 5 legt die Bedingungen fest, unter denen personenbezogene Daten verarbeitet werden können. Mindestens eine Bedingung muss erfüllt sein:

1. Ausdrückliche Einwilligung der betroffenen Person
2. Ausdrücklich gesetzlich vorgesehen – Verarbeitung, die ausdrücklich gesetzlich vorgeschrieben oder zulässig ist
3. Schutz des Lebens oder der körperlichen Unversehrtheit – wenn die betroffene Person oder ein Dritter keine Einwilligung erteilen kann
4. Vertragsnotwendigkeit – Verarbeitung, die für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist
5. Rechtliche Verpflichtung – Erfüllung einer rechtlichen Verpflichtung des Datenverantwortlichen
6. Die betroffene Person hat die Daten öffentlich gemacht – die Person hat die Daten offengelegt
7. Begründung, Ausübung oder Schutz eines Rechts – erforderlich für Gerichtsverfahren

Bedingungen für sensible personenbezogene Daten (Artikel 6): Sensible personenbezogene Daten dürfen nur verarbeitet werden:

1. Mit der ausdrücklichen Einwilligung der betroffenen Person
2. Ohne Zustimmung, nur für bestimmte Kategorien:

• Gesundheits- und Sexuallebensdaten: nur zum Schutz der öffentlichen Gesundheit, zur Präventivmedizin, zur medizinischen Diagnose, zu Pflege-/Behandlungsdiensten sowie zur Planung und Verwaltung von Gesundheitsdiensten durch oder unter der Geheimhaltungspflicht von Personen im Gesundheitssektor
• Andere sensible Daten (Rasse, ethnische Herkunft, Religion, Gewerkschaftszugehörigkeit usw.): Die Verarbeitung ist zulässig, sofern dies gesetzlich ausdrücklich vorgesehen ist

Zu den sensiblen personenbezogenen Daten gehören: Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Sekte oder andere Überzeugungen, Kleidung, Gewerkschaftsmitgliedschaft, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.

---

Rechte der betroffenen Person

Artikel 11 gewährt betroffenen Personen die folgenden Rechte – Anfragen müssen innerhalb von 30 Tagen kostenlos beantwortet werden:

Ausübung von Rechten: Betroffene Personen reichen schriftliche Anträge ein (oder über die vom Verantwortlichen angegebene Methode). Verantwortliche müssen innerhalb von 30 Tagen antworten. Wird der Antrag abgelehnt, kann die betroffene Person innerhalb von 30 Tagen Beschwerde beim Vorstand einlegen.

---

VERBİS-Registrierung

Gemäß Artikel 16 müssen sich Datenverantwortliche im Register der Datenverantwortlichen (VERBİS – Veri Sorumluları Sicili) registrieren, bevor sie mit der Verarbeitung personenbezogener Daten beginnen. Für die Registrierung ist Folgendes erforderlich:

• Identität und Kontaktinformationen des Verantwortlichen
• Verarbeitungszwecke
• Übertragene Datengruppen und Empfänger
• Übertragungszwecke
• Verarbeitete Datenkategorien
• Sicherheitsmaßnahmen ergriffen
• Aufbewahrungsfristen

Ausnahmen von der VERBİS-Registrierung (festgelegt durch Vorstandsbeschlüsse):

• Jährliche Mitarbeiterzahl von weniger als 50 UND Jahresabschluss von höchstens 25 Millionen türkischen Lira
• Verarbeitung ausschließlich zum eigenen Nutzen der betroffenen Person
• Verarbeitung für einen begrenzten Zweck, bei dem keine sensiblen Daten verarbeitet werden

Wichtig: Auch wenn Sie von der VERBİS-Registrierung befreit sind, gelten alle anderen KVKK-Pflichten. Durch die VERBİS-Befreiung entfällt lediglich die Registrierungspflicht.

Ausländische Datenverantwortliche: Der Vorstand hat festgelegt, dass sich auch ausländische Datenverantwortliche, die der KVKK unterliegen, bei VERBİS registrieren müssen, wenn sie nicht in eine Ausnahmekategorie fallen.

---

Pflichten der Datenverantwortlichen

Datenschutzhinweis

Datenverantwortliche müssen betroffene Personen bei oder vor der Erhebung über Folgendes informieren:

• Identität des Verantwortlichen und Vertreters (falls zutreffend)
• Verarbeitungszwecke
• Empfänger personenbezogener Daten und Übermittlungszwecke
• Datenerhebungsmethode und Rechtsgrundlage
• Rechte der betroffenen Person gemäß Artikel 11

Sprache: Muss für Operationen mit türkischen Einzelpersonen auf Türkisch sein.

Vertreter des Datenverantwortlichen

Während die KVKK nicht ausdrücklich einen türkischen Vertreter für ausländische Verantwortliche verlangt, wie dies in Artikel 27 der DSGVO der Fall ist, hat die Durchsetzungspraxis des Gremiums gezeigt, dass ausländische Verantwortliche eine Kontaktstelle in der Türkei benennen sollten. Es wird erwartet, dass eine Vorstandsverordnung von 2024 zu grenzüberschreitenden Überweisungen diese Anforderung formalisiert.

Datenminimierung und Zweckbindung

Artikel 4 legt die Grundprinzipien der Datenverarbeitung fest:

• Einhaltung von Gesetzen und Treu und Glauben
• Genauigkeit und Aktualität
• Verarbeitung für bestimmte, klare und legitime Zwecke
• Relevanz, Einschränkung und Verhältnismäßigkeit zum Zweck
• Aufbewahrung für den gesetzlich vorgeschriebenen oder zweckgebundenen Zeitraum

Sicherheitsmaßnahmen (Artikel 12)

Datenverantwortliche müssen alle erforderlichen technischen und administrativen Maßnahmen ergreifen, um Folgendes zu verhindern:

• Unrechtmäßige Verarbeitung personenbezogener Daten
• Unrechtmäßiger Zugriff auf personenbezogene Daten
• Verlust, Zerstörung oder Änderung personenbezogener Daten

Der Vorstand hat spezifische technische Richtlinien erlassen. Zu den wichtigsten Anforderungen gehören:

• Verschlüsselung sensibler personenbezogener Daten bei der Speicherung und Übertragung
• Zugriffskontrolle und Authentifizierungsverwaltung
• Audit-Protokollierung
• Penetrationstests (mindestens jährlich)
• Schulung des Personals

---

Grenzüberschreitende Datenübertragung

Die Artikel 9 und 9/A regeln internationale Datenübermittlungen. Wichtige Einschränkungen:

Generelles Verbot: Personenbezogene Daten dürfen ohne ausdrückliche Einwilligung der betroffenen Person nicht ins Ausland übermittelt werden, es sei denn eine der folgenden Bedingungen ist erfüllt:

1. Angemessener Schutz: Das Zielland wurde vom Vorstand so bestimmt, dass es angemessenen Schutz bietet; und eine der Verarbeitungsbedingungen ist erfüllt

2. Verpflichtung: Der ausländische Empfänger verpflichtet sich schriftlich, dass ihm ein angemessener Schutz geboten wird; und der Vorstand hat der Übertragung zugestimmt

3. Standardvertragsklauseln: Die KVKK-Änderungen von 2024 führen Standardvertragsklauseln nach dem Vorbild des DSGVO-Ansatzes ein – bei Übertragungen in nicht geeignete Länder können vom Vorstand genehmigte Standardvertragsklauseln verwendet werden

4. Verbindliche Unternehmensregeln: Genehmigte BCRs für gruppeninterne Transfers

5. Außergewöhnliche Übermittlungen: Wenn eine ausdrückliche Zustimmung nicht eingeholt werden kann und die Übermittlung erforderlich ist für: Gerichtsverfahren, lebenswichtige Interessen, Ausübung von Rechten, Erfüllung offizieller Pflichten

Länder mit Angemessenheitsfeststellung: Der Vorstand führt eine Liste; Ab Anfang 2026 hat es eine begrenzte Anzahl von Ländern zugelassen. Die EU hat keine gegenseitige Angemessenheitsvereinbarung mit der Türkei (trotz der DSGVO-Anpassung von KVKK), was bedeutet, dass EU→Türkei- und Türkei→EU-Übertragungen Standardvertragsklauseln oder eine ausdrückliche Zustimmung erfordern.

Praktische Realität für Cloud-Dienste: Viele in der Türkei tätige Unternehmen nutzen Cloud-Dienste, die außerhalb der Türkei gehostet werden. Gemäß den aktuellen KVKK-Anforderungen müssen sie für die ins Ausland übertragenen Daten jeder Person eine ausdrückliche Einwilligung einholen oder SCCs/BCRs für die Übertragungsvereinbarung umsetzen.

---

Benachrichtigung über Verstöße

Die KVKK legt im ursprünglichen Gesetz keinen expliziten Zeitplan für die Meldung von Verstößen fest. Allerdings legen Vorstandsbeschlüsse und Umsetzungsrichtlinien Folgendes fest:

• Benachrichtigung an den Vorstand: Ohne unangemessene Verzögerung und spätestens innerhalb von 72 Stunden nach Kenntniserlangung einer Verletzung des Schutzes personenbezogener Daten
• Benachrichtigung der betroffenen Personen: Wenn der Verstoß voraussichtlich die Rechte der betroffenen Personen beeinträchtigt – ohne unangemessene Verzögerung
• Verwenden Sie das Benachrichtigungsformular des Vorstands, das auf dem Portal kvkk.gov.tr verfügbar ist

Benachrichtigungsinhalt:

• Art des Verstoßes und Kategorien/ungefähre Anzahl der betroffenen Personen
• Kategorien und ungefähre Anzahl der betroffenen Datensätze
• Kontaktdaten des Datenschutz-Ansprechpartners
• Wahrscheinliche Folgen des Verstoßes
• Getroffene oder vorgeschlagene Maßnahmen

---

Durchsetzung des Boards und Strafen

Der Ausschuss für den Schutz personenbezogener Daten (Kişisel Verileri Koruma Kurulu) besteht aus sieben Mitgliedern, die vom Präsidenten der Türkei ernannt werden. Es hat die Befugnis:

• Beschwerden untersuchen
• Durchführung von Ermittlungen von Amts wegen
• Verbindliche Entscheidungen erlassen
• Verwaltungsstrafen verhängen
• Erteilung von Compliance-Anordnungen

Verwaltungsrechtliche Bußgelder (jährlich aktualisiert):

Strafrechtliche Sanktionen: Nach Artikel 135–140 des türkischen Strafgesetzbuchs kann die rechtswidrige Aufzeichnung, Weitergabe an Dritte, Zerstörung oder Nutzung personenbezogener Daten mit einer Freiheitsstrafe von 1–4 Jahren geahndet werden. Der Missbrauch sensibler Daten erhöht die Strafen.

Bemerkenswerte Durchsetzungsmaßnahmen: Der Vorstand hat wichtige Entscheidungen getroffen, darunter Bußgelder gegen: WhatsApp (1,95 Mio. ₺ wegen rechtswidriger grenzüberschreitender Übermittlung durch Änderungen der Datenschutzrichtlinien), Trendyol (mehrere Maßnahmen wegen Datenschutzmängeln), Meta/Facebook (3 Mio. ₺ für die gemeinsame Nutzung von WhatsApp-Daten) und verschiedene türkische Banken und Telekommunikationsbetreiber.

---

KVKK-Compliance-Checkliste

• KVKK-Anwendbarkeit ermittelt (Türkei-Operationen oder verarbeitete Daten türkischer Personen)
• VERBİS-Registrierung abgeschlossen oder Befreiung bestätigt
• Bestandsaufnahme personenbezogener Daten einschließlich Identifizierung sensibler Daten abgeschlossen
• Verarbeitungsbedingungen für jede Aktivität dokumentiert
• Bedingungen für die Verarbeitung sensibler Daten dokumentiert (ausdrückliche Einwilligung oder konkrete Ausnahme)
• Datenschutzerklärung in türkischer Sprache mit allen erforderlichen Elementen
• Verfahren zu den Rechten der betroffenen Personen dokumentiert (30-Tage-Antwort)
• Bewertung der grenzüberschreitenden Übertragung abgeschlossen – Mechanismus vorhanden (Standardvertragsklauseln, Einwilligung oder Angemessenheit)
• Sicherheitsmaßnahmen implementiert: Verschlüsselung, Zugriffskontrolle, Audit-Protokollierung
• Penetrationstest durchgeführt und Ergebnisse dokumentiert
• Verfahren zur Meldung von Verstößen dokumentiert (72-Stunden-Benachrichtigung des Vorstands)
• Aufbewahrungspläne dokumentiert und automatisierte Löschung konfiguriert
• Personalschulung zu KVKK-Pflichten abgeschlossen
• VERBİS-Einträge werden aktuell und aktuell gehalten

---

Häufig gestellte Fragen

Was ist VERBİS und ist eine Registrierung für mein Unternehmen obligatorisch?

VERBİS (Veri Sorumluları Sicili) ist das Datenverantwortliche-Register der Türkei – ein öffentliches Register von Organisationen, die personenbezogene Daten verarbeiten. Die Registrierung ist für Datenverantwortliche obligatorisch, die nicht für eine vom Vorstand festgelegte Ausnahmeregelung in Frage kommen. Zu den ausgenommenen Kategorien gehören kleine Organisationen (weniger als 50 Mitarbeiter UND weniger als 25 Millionen TL Jahresumsatz), die keine sensiblen Daten verarbeiten. Alle anderen Organisationen, die personenbezogene Daten zu kommerziellen Zwecken verarbeiten, müssen sich vor Beginn der Verarbeitung registrieren. Bei Nichtregistrierung drohen Verwaltungsstrafen von bis zu 1,96 Mio. ₺.

Wie schneidet KVKK im Vergleich zur DSGVO ab?

KVKK und DSGVO sind in Struktur und Grundsätzen ähnlich – beide legen Rechtsgrundlagen, Rechte der betroffenen Personen, Rahmenbedingungen für Verantwortliche/Auftragsverarbeiter und Datensicherheitspflichten fest. Hauptunterschiede: (1) KVKK hat weniger Verarbeitungsbedingungen (7 gegenüber 6 der DSGVO, aber die Bedingungen von KVKK unterscheiden sich inhaltlich); (2) Grenzüberschreitende KVKK-Überweisungen sind restriktiver – die Türkei ist kein EU-geeignetes Land, daher erfordern EU→Türkei- und Türkei→EU-Überweisungen SCCs oder Zustimmung; (3) Die VERBİS-Registrierung hat kein direktes DSGVO-Äquivalent; (4) Die strafrechtlichen Sanktionen der KVKK sind umfangreicher; (5) Der Durchsetzungsansatz von KVKK war in Bezug auf den internationalen Datenverkehr restriktiver.

Benötigt mein Unternehmen einen lokalen Vertreter in der Türkei?

KVKK hat keine explizite Anforderung analog zu DSGVO Artikel 27 für einen türkischen Vertreter. Der Vorstand hat jedoch Durchsetzungsmaßnahmen gegen ausländische Unternehmen ergriffen, und die praktische Einhaltung – einschließlich der Registrierung bei VERBİS und der Beantwortung von Untersuchungen des Vorstands – erfordert eine türkischsprachige Kommunikation und die Fähigkeit, im Rahmen türkischer Gerichtsverfahren zu reagieren. Viele ausländische Unternehmen beauftragen eine türkische Anwaltskanzlei oder einen Compliance-Partner als ihren De-facto-Vertreter. Es wird erwartet, dass die KVKK-Änderungen 2024 die repräsentativen Anforderungen für ausländische Controller klarstellen.

Welche grenzüberschreitenden Übertragungsoptionen gibt es für türkische Unternehmen, die AWS oder Azure nutzen?

AWS und Azure verfügen über Rechenzentren in der Türkei (AWS und Azure verfügen beide über Istanbul-Regionen). Durch die Nutzung von Diensten aus der Türkei-Region werden Probleme bei grenzüberschreitenden Überweisungen vermieden. Wenn Sie nicht-türkische Cloud-Regionen nutzen, benötigen Sie einen grenzüberschreitenden Übertragungsmechanismus. Derzeit sind die wichtigsten Optionen: (1) ausdrückliche individuelle Einwilligung (betrieblich schwierig bei groß angelegter Cloud-Nutzung); (2) Verpflichtung – der ausländische Empfänger gibt eine schriftliche Verpflichtung zum Schutz von Daten ab, die vom Vorstand genehmigt wird (der Genehmigungsprozess des Vorstands ist langwierig); (3) Vom Vorstand genehmigte SCCs, die in den Änderungen von 2024 eingeführt wurden. Viele Unternehmen warten auf die Beratung des Vorstands zu SCC-Vorlagen, bevor sie von einwilligungsbasierten Ansätzen migrieren.

Welche Arten von Verstößen ziehen die höchsten KVKK-Bußgelder nach sich?

Die höchsten Verwaltungsstrafen (bis zu 19,6 Mio. ₺) gelten für Verstöße gegen grenzüberschreitende Überweisungen. Verstöße gegen die Datenschutzverpflichtung können mit Geldstrafen von bis zu 9,8 Mio. ₺ geahndet werden. Die Nichteinhaltung von Vorstandsbeschlüssen zieht ebenfalls hohe Geldstrafen nach sich (bis zu 9,8 Mio. ₺). In der Praxis hat der Ausschuss die höchsten Bußgelder verhängt für: rechtswidrige grenzüberschreitende Übermittlungen (insbesondere an Social-Media-Plattformen), Datenschutzverletzungen aufgrund unzureichender technischer Maßnahmen und systematische Nichteinhaltung von Meldepflichten. Strafrechtliche Sanktionen (Freiheitsstrafen nach dem türkischen Strafgesetzbuch) sind der vorsätzlichen rechtswidrigen Erfassung oder Bereitstellung personenbezogener Daten vorbehalten.

---

Nächste Schritte

Das KVKK der Türkei ist ein anspruchsvolles Compliance-Rahmenwerk mit aktiver Durchsetzung, spezifischen technischen Standards und komplexen grenzüberschreitenden Übertragungsregeln. Da sich die türkische Gesetzgebung durch Vorstandsbeschlüsse und regulatorische Änderungen weiterentwickelt, erfordert die Aufrechterhaltung der Einhaltung eine kontinuierliche Überwachung.

ECOSIRE unterstützt in der Türkei tätige Unternehmen bei KVKK-Compliance-Bewertungen, VERBİS-Registrierungsunterstützung, technischer Umsetzung von Datenschutzkontrollen und Auswahl grenzüberschreitender Übertragungsmechanismen.

Erste Schritte: ECOSIRE Services

Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Das türkische Datenschutzrecht unterliegt ständigen Änderungen durch Vorstandsbeschlüsse und Gesetzesänderungen. Wenden Sie sich an einen qualifizierten türkischen Rechtsberater, um spezifische Ratschläge für Ihre Organisation zu erhalten.