Einführung in das türkische Datenschutzrecht (KVKK)
Das Datenschutzgesetz der Türkei, die sogenannte *Kişisel Verilerin Korunması Kanunu* (KVKK), trat im April 2016 in Kraft. Es ist vergleichbar mit der EU-Datenschutz-Grundverordnung (DSGVO) und zielt darauf ab, personenbezogene Daten in der Türkei zu schützen. Die KVKK legt Pflichten für die Erhebung, Verarbeitung und Speicherung von Daten fest und regelt den internationalen Datentransfer in Länder außerhalb der Türkei.
Aktuelle Änderungen im türkischen Datenschutzrecht
In letzter Zeit hat es im Rahmen der KVKK bedeutende Entwicklungen bezüglich des internationalen Datentransfers gegeben. Die türkische Datenschutzbehörde (*Kişisel Verileri Koruma Kurumu*, KVKK) hat Maßnahmen ergriffen, um den Datentransfer in Länder, die kein adäquates Datenschutzniveau bieten, strenger zu regulieren. Dazu gehören verschärfte Anforderungen an Unternehmen, die Daten von der Türkei ins Ausland übermitteln. Diese Änderungen haben direkten Einfluss auf deutsche Unternehmen, die mit türkischen Geschäftspartnern oder Tochtergesellschaften zusammenarbeiten oder Daten aus der Türkei verarbeiten.
Was bedeutet das für Unternehmen in Deutschland?
Unternehmen in Deutschland, die personenbezogene Daten von türkischen Bürgern verarbeiten oder Daten von türkischen Geschäftspartnern erhalten, müssen sich der neuen Anforderungen bewusst sein. Insbesondere die Übermittlung personenbezogener Daten aus der Türkei an Länder außerhalb der Türkei – wie Deutschland – ist betroffen. Nach den neuen Bestimmungen der KVKK sind Unternehmen verpflichtet, spezifische Sicherheitsmaßnahmen zu ergreifen, bevor Daten aus der Türkei ins Ausland transferiert werden dürfen.
Schlüsselanforderungen für den Datentransfer aus der Türkei
1. Einwilligung der betroffenen Person
Unternehmen müssen sicherstellen, dass sie eine ausdrückliche, informierte und freiwillige Einwilligung der betroffenen Personen für den internationalen Datentransfer haben.
2. Standardvertragsklauseln
Für den Datentransfer in Länder ohne angemessenes Schutzniveau müssen Unternehmen von der türkischen Datenschutzbehörde genehmigte Standardvertragsklauseln verwenden. Diese Standardverträge sollen sicherstellen, dass das Datenschutzniveau der KVKK auch in anderen Ländern gewahrt bleibt.
3. Angemessenheitsentscheidung
Die türkische Datenschutzbehörde kann für bestimmte Länder, darunter EU-Staaten wie Deutschland, eine Angemessenheitsentscheidung treffen. Diese Entscheidung würde den Datentransfer in diese Länder erleichtern, da sie als sicher anerkannt werden. Allerdings ist eine solche Entscheidung für Deutschland derzeit noch nicht erfolgt.
4. Sicherheitsmaßnahmen und Datenschutz-Folgenabschätzung(DPIA)
Unternehmen müssen zusätzliche technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass die Daten im Einklang mit den KVKK-Anforderungen verarbeitet werden. Dazu gehört die Durchführung einer Datenschutz-Folgenabschätzung (DPIA) für risikoreiche Datenverarbeitungsvorgänge.
Maßnahmen, die deutsche Unternehmen treffen sollten
Für Unternehmen in Deutschland, die Daten aus der Türkei verarbeiten, ist es jetzt unerlässlich, proaktive Schritte zu unternehmen, um den neuen Anforderungen gerecht zu werden:
1. Überprüfung und Anpassung bestehender Verträge
Unternehmen sollten ihre bestehenden Verträge mit türkischen Geschäftspartnern und Tochtergesellschaften überprüfen, um sicherzustellen, dass sie den neuen Anforderungen der KVKK für internationale Datentransfers entsprechen. Dies könnte die Aufnahme von Standardvertragsklauseln erfordern.
2. Erneuerung der Einwilligungen
Falls personenbezogene Daten auf Grundlage von Einwilligungen verarbeitet werden, sollten Unternehmen sicherstellen, dass diese Einwilligungen den neuen Anforderungen der KVKK entsprechen. Eine transparente und klare Kommunikation mit den betroffenen Personen ist hier essenziell.
3. Einrichtung von Sicherheitsmaßnahmen
Technische und organisatorische Sicherheitsmaßnahmen, wie etwa Datenverschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen, sollten implementiert und gegebenenfalls verstärkt werden, um die Einhaltung der Datenschutzvorgaben zu gewährleisten
4. Erstellung einer Datenschutz-Folgenabschätzung (DPIA)
Bei risikoreichen Datenverarbeitungen, insbesondere bei sensiblen Daten oder groß angelegten Datentransfers, ist es ratsam, eine Datenschutz-Folgenabschätzung durchzuführen, um die Risiken zu bewerten und entsprechende Maßnahmen zu treffen.
5. Schulung und Sensibilisierung von Mitarbeitern
Es ist wichtig, dass Mitarbeiter, die mit personenbezogenen Daten aus der Türkei arbeiten, über die neuen Anforderungen geschult werden. So können Fehler und Datenschutzverletzungen vermieden werden.
6. Kontinuierliche Überwachung und Compliance-Audit
Unternehmen sollten kontinuierlich ihre Datenschutzpraktiken überprüfen und Audits durchführen, um sicherzustellen, dass sie mit den Entwicklungen im türkischen Datenschutzrecht Schritt halten.
Fazit
Die Änderungen im türkischen Datenschutzgesetz haben erhebliche Auswirkungen auf den Datentransfer zwischen der Türkei und Deutschland. Unternehmen, die in dieser Hinsicht tätig sind, müssen proaktiv handeln, um sicherzustellen, dass ihre Datentransfers den Anforderungen der KVKK entsprechen. Durch die Anpassung ihrer Verträge, die Einholung von Einwilligungen und die Implementierung robuster Sicherheitsmaßnahmen können deutsche Unternehmen rechtliche Risiken vermeiden und die Integrität der verarbeiteten Daten sicherstellen.
Es ist ratsam, sich von einem Datenschutzexperten beraten zu lassen, um die Einhaltung der Vorschriften sicherzustellen und den internationalen Datentransfer ohne Verzögerungen fortzuführen.