Gegenüberstellung türkisches Datenschutzrecht zur Datenschutzgrundverordnung (DSGVO)

Das türkische Datenschutzgesetz (Turkish Law on the Protection of Personal Data no. 6698) ist am 7.April 2016 in Kraft getreten. Dabei hat man sich an dem europäischen Modell der Datenschutzgrundverordnung orientiert und die EU-Kommission hat bei der Überarbeitung Hilfestellung geleistet. Das Gesetz betrifft jedes Unternehmen, das Geschäfte in der Türkei betreibt und personenbezogene Daten von Kunden, Mitarbeitern oder anderen Personen verarbeitet.

Zweck des türkischen Datenschutzrechts

Vorliegend ist der Zweck des Gesetzes den Schutz der Grundrechte und Grundfreiheiten von Personen zu garantieren. Insbesondere soll das Privatleben bei der Verarbeitung von personenbezogener Daten geschützt werden. Außerdem werden die Pflichten natürlicher und juristischer Personen geregelt. Dies ergibt sich auch aus dem Art. 1 DSGVO und entspricht diesem inhaltlich. Allerdings ist die Auslegung der unbestimmten Rechtsbegriffe, wie Grundrechte und Grundfreiheiten unklar.

Umfang

Das Datenschutzgesetz gilt für die persönlichen Daten von natürlichen Personen, deren personenbezogene Daten verarbeitet werden. Auch umfasst sind natürliche und juristische Personen deren persönliche Daten mit automatischen Mitteln verarbeitet werden, die Teil eines Ablagesystems sind. Persönliche Daten bedeuten alle Informationen, die zu einer bestimmten oder bestimmbaren natürlichen Person gehören. Diese Regelung entspricht ebenfalls dem Anwendungsbereich des DSGVO.

Definitionen

Allerdings fällt auf, dass Begrifflichkeiten deutlich abstrakter gefasst sind. Beispielsweise ist der Begriff bzw. das Konzept eines Ablagesystems nicht klar definiert, sodass Unternehmen Schwierigkeiten bei der Bestimmung haben könnten, ob ihre Papieraufzeichnungen innerhalb des Umfangs liegen.

Verarbeitung personenbezogener Daten

Personenbezogene Daten dürfen nicht ohne die ausdrückliche Zustimmung der betroffenen Person verarbeitet werden. Vorliegend wurde das Verbot mit dem Erlaubnisvorbehalt aus der DSGVO übernommen. Dies bedeutet, dass eine Verarbeitung nur zulässig ist, wenn eine Ermächtigungsgrundlage vorliegt.

Die allgemeinen Grundsätze des Gesetzes sind, dass personenbezogene Daten:

  1. a) In Übereinstimmung mit dem Gesetz und dem guten Glauben;
  2. b) genau und wenn nötig, aktuell zu sein;
  3. c) für bestimmte, explizite und legitime Zwecke verarbeitet werden;
  4. d) relevant, begrenzt und in einem angemessenen Verhältnis zu den Zwecken stehen, für die Daten verarbeitet werden;
  5. e) Die Speicherung erfolgt nur für den Zeitraum, der in den einschlägigen Rechtsvorschriften vorgesehen oder für den Zweck, zu dem die Daten erhoben werden, erforderlich ist.

Auch die DSGVO enthält in Art. 5 die Grundsätze für die Verarbeitung personenbezogener Daten. Allerdings fehlen im Türkischen Datenschutzrecht ausdrücklich die Verweise auf die Transparenz für den Betroffenen bei der Verarbeitung sowie die IT-Sicherheit. Jedoch verweist das Türkische Datenschutzgesetz darauf, wie auch in der DSGVO, dass auch hier der Grundsatz der Datenminimierung eingehalten werden soll. Das Gesetz unterscheidet personenbezogene Daten, in Bezug auf Bedeutung einer bestimmten Person von vertraulichen Daten und stellt diese unter zusätzlichen Schutz. Vorliegend gibt es, wie auch in der DSGVO, keine Legaldefinition für die Begrifflichkeit von personenbezogenen Daten. Es enthält besondere Kategorien, die erläutert werden wie z.B Informationen über Rasse oder ethnische Herkunft, politische Meinung, Mitgliedschaft in einer Vereinigung, Stiftung oder Gewerkschaft. Auch unterscheidet das Gesetz als personenbezogene Daten das Aussehen einer Person und Daten hinsichtlich Gesundheit, Sexualleben, strafrechtliche Verurteilung und Sicherheit Maßnahmen, Biometrie und Genetik.

Löschung, Zerstörung oder Anonymisierung personenbezogener Daten

Das Datenschutzgesetz enthält eine Bestimmung, die ausdrücklich die Löschung, Zerstörung oder Anonymisierung personenbezogener Daten vorsieht. Dies ist vorliegend der Fall, wenn der Zweck für die Verarbeitung weggefallen ist. Dies kann entweder von Amts oder auf Antrag der betroffenen Person geschehen. Dies ist eine interessante Regelung, da die Daten in der Rechtsfolge entweder gelöscht oder anonymisiert werden. Die DSGVO sieht in Art. 17 DSGVO ausschließlich die Pflicht des Verantwortlichen zur Löschung vor, sofern einer der in lit.a)-f) genannten Gründe vorliegt.

Übermittlung von personenbezogenen Daten

Die Übermittlung personenbezogener Daten an Dritte oder ins Ausland bedarf der ausdrücklichen Zustimmung der betroffenen Person. Jedenfalls gelten für die Übertragung von Daten im Ausland ohne ausdrückliche Zustimmung, zusätzliche Bedingungen: Das Land, in dem die Übertragung vorgenommen wird, muss ein angemessenes Schutzniveau aufweisen. Es ist jedoch zu klären, ob ein angemessenes Schutzniveau für die EU anerkannt wurde.

Informationspflicht

Nach der Informationspflicht im türkischen Datenschutzgesetz muss der Verantwortliche die betroffenen Personen über die Autorisierung informieren. (Autorisierung ist im weitesten Sinne eine Zustimmung, spezieller die Einräumung von Rechten gegenüber Interessenten, ggf. zur Nutzung gegenüber Dritten). Auffällig bei der Informationspflicht ist, dass diese im Gegensatz zur DSGVO sehr verkürzt ist. Es handelt sich vorliegend um eine verkürzte Form des Art. 13/14 DSGVO. Beispielsweise wird im türkischen Datenschutzrecht nicht, wie bei der DSGVO, zwischen der direkten und indirekten Erhebung beim Betroffenen unterschieden.

Vergehen

Diejenigen, die sich nicht an das neue Gesetz halten und gegen Vorschriften verstoßen, können Geldbußen in Höhe bis zu 1.000.000 Türkische Lira erhalten.

Fazit

Das neue Datenschutzgesetz in der Türkei scheint den aktuellen EU-Verordnungen zu entsprechen auch wenn einzelne Vorschriften einer Erläuterung bedürfen. Die Zeit wird zeigen, wie Bestimmungen im Rahmen des Gesetzes dargelegt, interpretiert und durchgesetzt werden. Für die Unternehmen in der Türkei mit grenzüberschreitenden Beziehungen, ist zu empfehlen, sich nach dem Gesetz zu orientieren und die Vorschriften umzusetzen um hohe Bußgelder zu vermeiden.

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.