Neues Datenschutzgesetz in der Türkei April 2016

Das Gesetz über den Schutz personenbezogener Daten in der Türkei ist teilweise in Kraft getreten und offiziell am 7. April 2016 veröffentlicht. Das Datenschutzgesetz beinhaltet für den Datenschutz ein breit europäisches Modell und hilft, wesentliche Aspekte der Regulierung von personenbezogenen Daten nach türkischem Recht zu klären. Es ist eine wichtige Einführung, da zuvor kein formelles oder geklärtes Datenschutzgesetz bestanden hatte. Das Gesetz betrifft jedes Unternehmen, das Geschäfte in der Türkei führt oder sammelt die persönlichen Daten von Kunden, Mitarbeitern oder anderen Personen in der Türkei.

Übersicht des neuen Datenschutzgesetzes

Das Datenschutzgesetz gilt für die “persönliche Daten” von natürlichen Personen, in denen personenbezogene Daten verarbeitet werden “ganz oder teilweise durch eine automatische Einrichtung” und für die nicht automatische Verarbeitung personenbezogener Daten, „die Teil eines Ablagesystem bilden“. “Persönliche Daten” bedeutet alle Informationen zu einer bestimmten oder bestimmbaren natürlichen Person. Das Konzept eines „Ablagesystems” ist im Gesetz nicht ausdrücklich definiert, wodurch Schwierigkeiten für Unternehmen bei der Bestimmung entstehen können, ob ihre Papieraufzeichnungen innerhalb des Umfangs liegen.

Das Gesetz unterscheidet persönlichen Daten, Informationen in Bezug auf Bedeutung einer bestimmten oder bestimmbaren Person von vertraulichen oder speziellen Daten und stellt vertrauliche Daten unter zusätzlichen Schutz. Die türkische Definition vertraulicher Daten steht im Einklang mit der nach der EU-Richtlinie festgelegten Definition und enthält Informationen wie Rasse oder ethnische Herkunft, politische Meinung und Gewerkschaftsmitgliedschaft. Allerdings unterscheidet das Gesetz als vertrauliche Daten auch das Aussehen einer Person und Daten hinsichtlich Gesundheit oder Sexualleben, die nur für Zwecke des Schutzes der öffentlichen Gesundheit, Präventivmedizin, medizinischen Diagnostik, die Durchführung von Pflegediensten, Planung der Gesundheitsdienste und die Finanzierung von Personen, die der Geheimhaltungspflicht unterliegen oder autorisierte Institutionen und Organisationen, verarbeitet werden können.

Sowohl persönliche als auch vertrauliche Daten dürfen nicht ohne die “ausdrückliche Zustimmung” der betroffenen Person verarbeitet werden, dies ist definiert als freigegebene, spezifische oder informierte Zustimmungserklärung. Die Daten können ohne “ausdrückliche Zustimmung” vorbehaltlich bestimmter Bedingungen verarbeitet werden, sei es auch notwendig einen Vertrag zu erfüllen, an dem die betroffene Person beteiligt ist, mit einer gesetzlichen Verpflichtung der Datenverantwortlichen oder zum Zwecke der “Erfüllung berechtigter Interessen” der Datenverantwortlichen.

Die allgemeinen Grundsätze des Gesetzes sind, dass personenbezogene Daten:

  • Nach Recht und Billigkeit verarbeitet werden,
  • Akkurat und immer auf dem neuesten Stand sind.
  • Verarbeitung lediglich für bestimmte, eindeutige und rechtmäßige Zwecke,
  • Begrenzt, relevant und im Verhältnis zu den Zwecken, für die sie verarbeitet werden
  • Nur für den notwendigen Zweck, für den die Daten verarbeitet werden und die vorgesehene Dauer gemäß den einschlägigen Rechtsvorschriften.

Das Gesetz schafft auch eine Unterscheidung zwischen Datenverarbeitungsverantwortlichen und Datenverarbeitern und weist bestimmte Aufgaben entsprechend zu. Datenverarbeitungsverantwortliche müssen sich bei dem Datenschutzregister – Türkei, gegründet am 7. Oktober diesen Jahres, registrieren lassen.

  • Der Datenverantwortliche muss zu jedem Thema hinsichtlich Erfassung, Verwendung und Übertragung persönlicher Daten eine Anzeige machen.
  • Die betroffene Person hat das Recht, auf die gesammelten Informationen zuzugreifen und diese zu korrigieren und weitere Informationen von dem Datenverantwortlichen, einschließlich den „Dritten Empfängern mit denen die Daten innerhalb der Türkei oder im Ausland geteilt werden“, zu verlangen.
  • Die betroffene Person kann “Schadensersatz” für Schäden aus erlittenen Schäden als Folge rechtswidriger Verarbeitung, verlangen.
  • Datenverarbeitungsverantwortliche müssen Sicherheitsmaßnahmen vornehmen, um die rechtswidrige Verarbeitung oder Zugang zu Daten zu verhindern, einschließlich die “notwendigen Prüfungen” zur Einhaltung zu gewährleisten.
  • Werden personenbezogene Daten von Dritten illegal erhalten, muss der betroffenen Person und dem Datenschutzregister unverzüglich eine Mitteilung gemacht werden.
  • Das Gesetz schafft eine Unterscheidung zwischen Datenverarbeitungsverantwortlichen und Datenverarbeitern und überträgt dementsprechend bestimmte Verantwortungsbereiche. Datenverarbeitungsverantwortliche müssen mit dem Datenschutzregister der Türkei die Registrierung vornehmen, welcher am 7. Oktober diesen Jahres gegründet wird.

Zusätzliche umschriebene Anforderungen innerhalb des Datenschutzgesetzes sind:

Löschung, Zerstörung oder Anonymisierung personenbezogener Daten

Das Datenschutzgesetz enthält eine Bestimmung, die ausdrücklich die Löschung, Zerstörung oder Anonymisierung personenbezogener Daten verlangt, wenn der Zweck für seine Sammlung abgelaufen ist, Zuwiderhandlungen sind strafbar und speziell als Straftat bezeichnet. Das Gesetz bietet hinsichtlich diesen Bedarfs das Sekundärrecht an.

Übertragung von persönlichen Daten

Die Übermittlung personenbezogener Daten an Dritte oder außerhalb der Türkei bedarf der ausdrücklichen Zustimmung der betroffenen Person. Dennoch können personenbezogene Daten an Dritte oder im Ausland unter den gleichen eingeschränkten Bedingungen für die Zustimmung wie oben beschrieben übertragen werden, d.h.: einen Vertrag mit der betroffenen Person durchführen.

Jedenfalls gelten für die Übertragung von Daten im Ausland ohne ausdrückliche Zustimmung, zusätzliche Bedingungen:

Das Land, in dem die Übertragung vorgenommen wird, muss ausreichenden Schutz bieten, wie durch den Vorstand der Datenschutzbehörde (“Datenschutzregister”) festgelegt und veröffentlicht.

Die Übertragung kann durch den Vorstand genehmigt werden, in dem die Datenverarbeitungsverantwortlichen “sich verpflichten ausreichenden Schutz der Daten, vor Übertragung zu übertragen”, wobei “die Interessen der Türkei oder der betroffenen Person erheblich beeinträchtigt werden können”, persönliche Daten nur mit Zustimmung des Vorstands im Ausland zu übertragen.

Das Datenschutzregister und sein Vorstand sind im Gesetz vorgesehen, obwohl noch nicht manifestiert. Die Datenübertragungsbestimmungen des Datenschutzgesetzes, werden anschließend erst sechs Monate nach der Veröffentlichung des Gesetzes in Kraft tretren.

Gesetzesbrecher des neuen Gesetzes können Geldbußen in Höhe von bis zu 1 Million türkische Lira sowie Haft erhalten. Das Gesetz trat nach seiner Veröffentlichung in Kraft, obwohl das Inkrafttreten und die Durchsetzung bestimmter Artikel einschließlich, Registrierung und Übertragung, eine Übergangsfrist für die Datenverarbeitung bis Oktober dieses Jahres erhalten hatte.

Das neue Datenschutzgesetz scheint mit dem fortschreitenden Engagement der Türkei und mit den aktuellen EU-Verordnungen Schritt zu halten und man wird sehen, wie die Bestimmungen im Rahmen des Gesetzes dargelegt, interpretiert und durchgesetzt werden. In der Zwischenzeit ist es wichtig, für jedes Unternehmen mit türkischem Betrieb und denjenigen, die derzeit mit grenzüberschreitenden Beziehungen, ihre Geschäftspraktiken in Einklang bringen, im Rahmen des neuen Gesetzes vor Oktober 2016 zu beginnen. Dies wird den Unternehmen helfen, mögliche Bußgelder oder Strafen zu vermeiden, die für die Verletzung des neuen Datenschutzgesetzes des Landes verhängt werden.

Kontaktieren Sie uns zur Vereinbarung eines Termins für die rechtliche Beratung und Unterstützung unter KILIC & Partners Internationale Anwaltskanzlei

Read the English Version Here