Datenschutz und Privatsphäre
1. Einleitung
Im Informationszeitalter sind personenbezogene Daten zu einer fundamentalen Quelle wirtschaftlicher und politischer Macht geworden. Wird diese Macht jedoch ohne rechtliche Beschränkungen zum Schutz der Privatsphäre eingesetzt, stört dies das gesellschaftliche Gleichgewicht. In der Türkei das Gesetz Nr. 6698 zum Schutz personenbezogener Daten (KVKK) und Artikel 20/3 der Verfassungdie Privatsphäre als Grundrecht.
Dieser Artikel untersucht detailliert die Definition personenbezogener Daten, ihre Schutzgrundsätze, ihre Rechtsgrundlage und die in der Praxis auftretenden Verstöße.
2. Das Konzept der personenbezogenen Daten
2.1. Definition
Gemäß Artikel 3 des KVKK (Gesetz zum Schutz personenbezogener Daten):
„Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“
Dies umfasst Name, Nachname, türkische nationale Identifikationsnummer, Telefonnummer, Standort, Sprachaufnahmen, IP-Adresse, biometrische Daten und sogar Einkaufsvorlieben.
2.2. Besondere Datenkategorien
Artikel 6 des türkischen Datenschutzgesetzes (KVKK) stuft Daten wie „Rasse, Gesundheit, Sexualleben und politische Ansichten“ als sensible Informationen ein und sieht einen strengeren Schutz vor.
3. Die verfassungsrechtliche Grundlage des Rechts auf Privatsphäre und Vertraulichkeit
Artikel 20/3 der Verfassung:
„Jeder hat das Recht, den Schutz seiner personenbezogenen Daten zu verlangen.“
Mit diesem Artikel ist die Privatsphäre nicht nur zu einem ethischen Wert, sondern auch zu einem verfassungsmäßigen Recht .
Die Verpflichtung des Staates ist zweifach:
-
Öffentliche Stellen haften negativ für Datenschutzverletzungen
-
Die Gewährleistung einer wirksamen Aufsicht und eines Schutzes vor privaten Unternehmen ist eine positive Verpflichtung.
In seiner Entscheidung mit der Nummer 2016/13010 stellte das Verfassungsgericht fest, dass „die Weitergabe personenbezogener Daten ohne Einwilligung das Recht auf Privatsphäre verletzt“.
4. Grundprinzipien des Gesetzes zum Schutz personenbezogener Daten (KVKK)
Gemäß Artikel 4 des KVKK (Gesetz zum Schutz personenbezogener Daten) müssen Datenverarbeitungstätigkeiten auf folgenden Grundsätzen beruhen:
-
Einhaltung des Gesetzes und des Grundsatzes der Ehrlichkeit,
-
Genauigkeit und Aktualität gewährleisten
-
Verarbeitung für festgelegte, eindeutige und legitime Zwecke,
-
Sie müssen dem Zweck, für den sie eingesetzt werden, angemessen, begrenzt und verhältnismäßig sein
-
Aufbewahrung für den in den einschlägigen Rechtsvorschriften festgelegten Zeitraum oder für den Zeitraum, der für den Zweck der Verarbeitung erforderlich ist.
Diese Prinzipien sollten in jedem Datenverarbeitungsprozess als „Referenzcode“ betrachtet werden.
5. Bedingungen für die Verarbeitung personenbezogener Daten
Die Datenverarbeitung muss auf einer der in den Artikeln 5 und 6 des KVKK (Gesetz zum Schutz personenbezogener Daten) genannten Rechtsgrundlagen beruhen:
-
Ausdrückliche Zustimmung,
-
Im Gesetz ausdrücklich vorgesehen,
-
Zustandekommen oder Erfüllung des Vertrags,
-
die rechtliche Verpflichtung des Datenverantwortlichen,
-
Die Begründung, Ausübung oder der Schutz eines Rechts,
-
Daten, die von der betreffenden Person öffentlich gemacht wurden.
Jede Handlung, die ohne ausdrückliche Zustimmung vorgenommen wird, rechtswidrig .
6. Verpflichtung zur Bereitstellung von Beleuchtung
Der Verantwortliche für die Datenverarbeitung ist verpflichtet, die betroffene Person vor der Datenerhebung zu informieren (KVKK Art. 10).
Die Informationsmitteilung muss die Identität des Verantwortlichen, den Zweck der Datenverarbeitung, die Datenübermittlung und die Rechte der betroffenen Person enthalten.
Die Nichterfüllung dieser Verpflichtung Verwaltungsstrafen von bis zu 1 Million TL .
7. Datensicherheit und technische Maßnahmen
Die Verantwortlichen für die Datenverarbeitung müssen gemäß Artikel 12 des KVKK (Gesetz zum Schutz personenbezogener Daten) folgende Maßnahmen ergreifen:
-
Verhinderung unbefugten Zugriffs,
-
Verschlüsselung und Protokollierung,
-
Zutrittskontrollsystem,
-
Mitarbeiterschulung
-
Reaktionsplan für Cybervorfälle.
Werden diese Maßnahmen nicht ergriffen und kommt es zu einer Datenschutzverletzung, kann der Vorstand sowohl Strafen verhängen als auch Prüfungen durchführen.
8. Datenschutzverletzung und Meldepflicht
Im Falle einer Datenschutzverletzung,
-
Innerhalb von 72 Stunden an den Vorstand melden,
-
die betreffende Person so schnell wie möglich
(Artikel 12/5).
Institutionen, die keine Meldung erstatteten, wurden zwischen 2024 und 2025 mit einer durchschnittlichen Geldstrafe von 750.000 TL bis 2.500.000 TL belegt
9. Verpflichtung zur Anonymisierung und Löschung
Wenn der Zweck der Datenverarbeitung entfällt, müssen personenbezogene Daten entweder gelöscht , vernichtet oder anonymisiert werden (Artikel 7). Dieses Verfahren ist in der „ Richtlinie zur Datenspeicherung und -vernichtung “ festgelegt. In ihrem Beschluss Nr. 2023/310 betonte die Behörde, dass die Anonymisierung unwiderruflich sein muss.
10. Datenübertragungs- und Datenschutzvereinbarungen
Bei der Übermittlung personenbezogener Daten an Dritte ist eine schriftliche Vereinbarung zwingend erforderlich.
Die Vereinbarung muss Folgendes enthalten:
-
Zweck und Dauer der Verarbeitung,
-
Die Verantwortlichkeiten der Parteien,
-
Datensicherheitsmaßnahmen
-
Verfahren zur Meldung von Datenschutzverletzungen.
Für Datenübermittlungen ins Ausland ist gemäß Artikel 9 des KVKK (Gesetz zum Schutz personenbezogener Daten) eine Genehmigung des Vorstandes oder eine Liste von Ländern erforderlich, die einen angemessenen Schutz gewährleisten.
11. Unterscheidung zwischen öffentlichen Institutionen und dem privaten Sektor
Auch öffentliche Einrichtungen unterliegen dem Datenschutzgesetz (KVKK); eine Ausnahme bilden jedoch „Sicherheits- und Justiztätigkeiten“.
Im privaten Sektor sind die Verpflichtungen strenger, insbesondere im Bankwesen, im Versicherungswesen, im E-Commerce und im Gesundheitswesen.
Für Banken die Richtlinien der Bankenaufsichtsbehörde (BDDK) und des KVKK, während im Gesundheitswesen der Leitfaden für Gesundheitsdaten Anwendung findet.
12. DSGVO und internationaler Vergleich
12.1. EU (DSGVO)
Die EU-Datenschutz-Grundverordnung (DSGVO) hat globale Standards gesetzt.
Die Türkei hat einen Entwurf zur Überarbeitung ihres Datenschutzgesetzes (KVKK) erarbeitet, um es bis 2025 an diese Struktur anzugleichen.
12.2. USA
In den Vereinigten Staaten gibt es kein bundesweites Datenschutzgesetz; es gelten die jeweiligen Landesgesetze (CCPA).
12.3. Lage der Türkei
Die Türkei hat in ihrer Region mit dem KVKK (Gesetz zum Schutz personenbezogener Daten) und VERBİS (Datenerfassungs- und Informationssystem) eine Modellanwendung geschaffen; allerdings besteht noch Aktualisierungsbedarf hinsichtlich „internationaler Datenübermittlung und Profilerstellung“.
13. Der Ansatz der Fairness und Gerechtigkeit
Der Oberste Gerichtshof und das Verfassungsgericht betrachten Datenschutzverletzungen als „Verletzungen der Persönlichkeitsrechte“.
-
Oberster Gerichtshof, 4. Zivilkammer, Fall Nr. 2020/3106: „Unerlaubte Datenweitergabe stellt einen Grund für immateriellen Schaden dar.“
-
Entscheidung des Verfassungsgerichts Nr. 2018/14884: „Die Überwachung von Mitarbeiter-E-Mails durch Arbeitgeber ist auf legitime Zwecke und den Grundsatz der Verhältnismäßigkeit beschränkt.“
Der Grundsatz der Fairness verlangt vom Datenverantwortlichen, ein Gleichgewicht zwischen Schutzmaßnahmen und der Privatsphäre des Einzelnen herzustellen.
14. Verwaltungssanktionen und Strafen
Die im Jahr 2025 gemäß Artikel 18 des Gesetzes zum Schutz personenbezogener Daten verhängten Strafen lassen sich wie folgt zusammenfassen:
| Art des Verstoßes | Strafbereich (TL) |
|---|---|
| Verletzung der Informationspflicht | 100.000 – 1.000.000 |
| Versäumnis, Datensicherheitsmaßnahmen zu ergreifen | 200.000 – 2.500.000 |
| Keine Registrierung bei VERBİS | 500.000 – 2.000.000 |
| Nichtbeachtung der Entscheidung des Vorstands | 300.000 – 3.000.000 |
Darüber hinaus den Artikeln 136-138 des türkischen Strafgesetzbuches entstehen
15. Schlussfolgerung und Bewertung
Der Schutz personenbezogener Daten ist eine Garantie für individuelle Freiheit und Würde in modernen Demokratien. In der Türkei ist mit dem Datenschutzgesetz (KVKK) der Datenschutz kein abstraktes Konzept mehr, sondern ein einklagbares Recht
Abschließend:
Datenverantwortliche müssen Daten transparent und verhältnismäßig verarbeiten.
Personenbezogene Daten sollten gelöscht werden, sobald der Zweck ihrer Verarbeitung entfallen ist.
Datenschutzverletzungen müssen innerhalb von 72 Stunden gemeldet werden.
Anonymisierung und Richtlinien zur ausdrücklichen Einwilligung sind obligatorisch.
Datenschutz ist nicht nur eine technische, sondern auch eine ethische Verpflichtung.