Menu
Menu

Verarbeitung besonderer Kategorien personenbezogener Daten: Der aktuelle Rechtsrahmen in der Türkei

Es wurden Änderungen am Gesetz zum Schutz personenbezogener Daten Nr. 6698 vorgenommen („Recht”) durch das Gesetz Nr. 7499, veröffentlicht im Amtsblatt vom 12. März 2024 und Nr. 32487. Im Februar 2025 wurde der Leitfaden zur Verarbeitung besonderer Kategorien personenbezogener Daten („Handbuch”) wurde auf der Website der Datenschutzbehörde veröffentlicht („Autorität").

1. Einleitung

 Zu den besonderen Kategorien personenbezogener Daten gehören laut Gesetz Informationen über die Rasse, ethnische Herkunft, politische Meinungen, philosophische Überzeugungen, Religion, Sekten- oder andere Überzeugungen, körperliche Erscheinung und Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.

Vor der Änderung war die Verarbeitung besonderer Kategorien personenbezogener Daten in der Regel der ausdrücklichen Zustimmung der betroffenen Person unterworfen. Bezüglich der Verarbeitung solcher Daten ohne ausdrückliche Zustimmung sah das Gesetz zuvor eine Unterscheidung vor zwischen „Daten im Zusammenhang mit Gesundheit und Sexualleben" und "sonstige besondere Kategorien personenbezogener Daten.“ Nach dieser Unterscheidung:

  • Weitere besondere Kategorien personenbezogener Daten: dürfen ohne ausdrückliche Einwilligung nur dann verarbeitet werden, wenn dies gesetzlich ausdrücklich vorgesehen ist.
  • Daten im Zusammenhang mit Gesundheit und Sexualleben: dürfen ohne ausdrückliche Zustimmung nur zu Zwecken wie dem Schutz der öffentlichen Gesundheit, der Präventivmedizin, der medizinischen Diagnostik, Behandlungs- und Pflegeleistungen sowie der Planung und Verwaltung von Gesundheitsleistungen und deren Finanzierung verarbeitet werden, allerdings nur von Personen oder Institutionen, die einer Geheimhaltungspflicht unterliegen.

Nach der bisherigen Verordnung durften Gesundheitsdaten fast ausschließlich von den Sozialversicherungsträgern, dem Gesundheitsministerium und Gesundheitseinrichtungen verarbeitet werden. Dies warf mehrere praktische Bedenken hinsichtlich der Verarbeitung von Gesundheitsdaten auf, die in Sektoren wie Versicherungen, Arbeitsschutz und Sozialdiensten benötigt werden. Tatsächlich hatte die Verordnung bestimmte Aktivitäten öffentlicher Einrichtungen, Akteure des privaten Sektors und Nichtregierungsorganisationen eingeschränkt und sie daran gehindert, einigen ihrer gesetzlichen Verpflichtungen nachzukommen. Daher zielten die Änderungen darauf ab, diese praktischen Probleme anzugehen und den aktuellen Bedürfnissen gerecht zu werden.

2. Aktuelle Situation

 Mit den jüngsten Änderungen wird die Unterscheidung zwischen „Daten im Zusammenhang mit Gesundheit und Sexualleben“ und "sonstige besondere Kategorien personenbezogener Daten” wurde abgeschafft. Folglich unterliegen Daten im Zusammenhang mit Gesundheit und Sexualleben nicht mehr anderen Rechtsgrundlagen für die Verarbeitung als andere besondere Kategorien personenbezogener Daten. Darüber hinaus wurden die Verarbeitungsbedingungen überarbeitet, damit sie einheitlich für alle besonderen Kategorien personenbezogener Daten gelten, und es wurden zusätzliche Rechtsgrundlagen eingeführt.

Nach der neuen Regelung können besondere Kategorien personenbezogener Daten unter folgenden Voraussetzungen verarbeitet werden:

a) Ausdrückliche Einwilligung der betroffenen Person: Wenn die betroffene Person ausdrücklich zustimmt, können ihre besonderen Kategorien personenbezogener Daten auf der Grundlage dieser Zustimmung weiterhin verarbeitet werden. Es gibt keinen hierarchischen Unterschied zwischen der ausdrücklichen Zustimmung und den anderen unten aufgeführten Rechtsgrundlagen. Es ist jedoch zu beachten, dass die ausdrückliche Zustimmung weiterhin den im Gesetz festgelegten allgemeinen Grundsätzen entsprechen muss.

b) Ausdrücklich gesetzlich vorgesehen: Besondere Kategorien personenbezogener Daten dürfen ohne die ausdrückliche Zustimmung der betroffenen Person verarbeitet werden, wenn dies gesetzlich ausdrücklich vorgesehen ist. Beispielsweise dürfen gemäß Artikel 5 des Gesetzes 2559 über die Befugnisse und Pflichten der Polizei Fingerabdrücke von Personen erhoben werden, die einen Führerschein oder Reisepass beantragen. Der Leitfaden stellt klar, dass Vorschriften wie Satzungen, Mitteilungen und Rundschreiben, die im Rahmen der gesetzlich ausdrücklich gewährten Befugnis zur Verarbeitung besonderer Kategorien personenbezogener Daten herausgegeben werden, ebenfalls unter diese Rechtsgrundlage fallen.

c) Praktische Unmöglichkeit: Wenn eine betroffene Person aufgrund praktischer Unmöglichkeit/Behinderung nicht in der Lage ist, ihre Einwilligung zu erteilen, oder ihre Einwilligung rechtlich ungültig ist, können besondere Kategorien personenbezogener Daten ohne Einwilligung verarbeitet werden, wenn dies zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder einer anderen Person unerlässlich ist. Ein Beispiel für diese Rechtsgrundlage ist die Verarbeitung von Informationen über die Blutgruppe und frühere Erkrankungen einer Person in einer medizinischen Notfallsituation, in der die Person bewusstlos ist.

d) Von der betroffenen Person öffentlich bekannt gegebene Daten: Wenn die betroffene Person ihre besonderen Kategorien personenbezogener Daten öffentlich gemacht hat, dürfen diese Daten ohne Zustimmung verarbeitet werden, vorausgesetzt, die Verarbeitung entspricht der Absicht der betroffenen Person. Wenn eine Person beispielsweise ihre Blutgruppe und Allergieinformationen für Notfallzwecke öffentlich macht, dürfen diese Daten für diesen Zweck verwendet werden. Es sollte betont werden, dass die bloße Tatsache, dass die betroffene Person ihre besonderen Kategorien personenbezogener Daten öffentlich gemacht hat, allein nicht ausreicht; der Datenverantwortliche muss bei der Verarbeitung dieser Daten im Einklang mit der Absicht der betroffenen Person oder dem Zweck der Offenlegung handeln.

e) Begründung, Ausübung oder Schutz von Rechtsansprüchen: Besondere Kategorien personenbezogener Daten dürfen ohne Zustimmung verarbeitet werden, wenn dies für die Begründung, Ausübung oder Wahrung eines Rechtsanspruchs erforderlich ist. Beispielsweise kann ein Arbeitgeber die Gesundheitsdaten eines ehemaligen Mitarbeiters für mögliche Rechtsstreitigkeiten nach Beendigung eines Arbeitsverhältnisses aufbewahren.

In Fällen, in denen es einem Anwalt nicht möglich ist, die Rechte seines Mandanten auf andere Weise geltend zu machen, kann die Vorlage rechtmäßig erhaltener besonderer Kategorien personenbezogener Daten beim Gericht als Teil der Prozessakte als rechtmäßige Grundlage für die Verarbeitung angesehen werden. Ein weiteres Beispiel: In Fällen, in denen die Verarbeitung besonderer Kategorien personenbezogener Daten, wie Behinderungs- oder Gesundheitsinformationen im Zusammenhang mit Ehepartnern und Kindern von Mitarbeitern, für Gehaltszahlungen erforderlich ist, kann die Verarbeitung solcher Daten durch den Arbeitgeber ebenfalls in diesen Rahmen fallen.

f) Gesundheitsdienstleistungen und ähnliche Notwendigkeiten: Personen oder befugte Institutionen und Organisationen, die der Geheimhaltungspflicht unterliegen, dürfen besondere Kategorien personenbezogener Daten auch ohne ausdrückliche Einwilligung weiter verarbeiten, wenn dies zum Schutz der öffentlichen Gesundheit, zur Vorsorgemedizin, zur medizinischen Diagnostik, Behandlung und Pflege sowie für die Planung, Verwaltung und Finanzierung von Gesundheitsleistungen erforderlich ist.

In diesen Rahmen fallen das Gesundheitsministerium, alle Arten von Gesundheitseinrichtungen und die Sozialversicherungsanstalt hinsichtlich der Daten, die sie für bestimmte Zwecke sammeln. Der Leitfaden gibt an, dass der Begriff „autorisierte Institutionen und Organisationen” umfasst nicht nur öffentliche Einrichtungen und Organisationen, sondern auch Einzelpersonen und private juristische Personen, die Gesundheitsdienstleistungen erbringen. Der Begriff „Personen, die der Geheimhaltungspflicht unterliegen„“ umfasst alle Angehörigen der Gesundheitsberufe sowie diejenigen, die, auch wenn sie keine Angehörigen der Gesundheitsberufe sind, an der Bereitstellung von Gesundheitsdienstleistungen beteiligt sind.

g) Erfüllung arbeitsrechtlicher Pflichten: Besondere Kategorien personenbezogener Daten dürfen ohne die ausdrückliche Einwilligung der betroffenen Person verarbeitet werden, wenn dies zur Erfüllung gesetzlicher Verpflichtungen in den Bereichen Beschäftigung, Arbeitssicherheit und Gesundheitsschutz, soziale Sicherheit, soziale Dienste und Sozialhilfe unbedingt erforderlich ist.

Beispiele für diese Rechtsgrundlage sind: Arbeitgeber, die Gesundheitsdaten oder Daten zu Vorstrafen verarbeiten, um ihrer Verpflichtung nachzukommen, behinderte oder verurteilte Personen nach Arbeitsgesetz Nr. 4857 (Artikel 30) zu beschäftigen; die Verarbeitung von Gesundheitsdaten für Gesundheitsuntersuchungen, die durch Tarifverträge vorgeschrieben sind (Gesetz Nr. 6356 über Gewerkschaften und Tarifverträge, Artikel 36(1)); und die Verarbeitung von Daten zu Vorstrafen und Gesundheitsdaten von Fahrern (Straßenverkehrsverordnung, Artikel 34) und Sicherheitspersonal (Gesetz Nr. 5188 über private Sicherheitsdienste, Artikel 10).

h) Mitgliedschaft in Stiftungen, Vereinen und gemeinnützigen Organisationen: Besondere Kategorien personenbezogener Daten (der aktuellen oder ehemaligen Mitglieder und der Personen, die in regelmäßigem Kontakt mit diesen Organisationen stehen) dürfen ohne ausdrückliche Zustimmung von Stiftungen, Vereinen und gemeinnützigen Organisationen mit politischem, philosophischem, religiösem oder gewerkschaftlichem Hintergrund verarbeitet werden, sofern die Verarbeitung im Einklang mit ihren Rechtsvorschriften und Zielen steht, auf ihre Aktivitäten beschränkt ist und nicht an Dritte weitergegeben wird.

 In diesen Rahmen fällt beispielsweise die Verarbeitung von Informationen zu aktuellen Mitgliedern sowie zu ehemaligen Mitgliedern und Personen, mit denen regelmäßig durch Spenden Kontakt besteht. Ebenso darf eine Gewerkschaft Daten zur Gewerkschaftsmitgliedschaft nur im Zusammenhang mit ihrem Tätigkeitsbereich und ihren Zielen verarbeiten. Personenbezogene Daten zum Gesundheitszustand oder zur Religionszugehörigkeit von Gewerkschaftsmitgliedern dürfen jedoch nicht verarbeitet werden, wenn sie nicht mit ihrem Tätigkeitsbereich und ihren Zielen in Zusammenhang stehen.

Einige der oben genannten Rechtsgrundlagen enthalten die Begriffe „notwendig“ oder „wesentlich“. Laut dem Leitfaden:

  • Die "notwendig" bedeutet, dass Datenverarbeitungsvorgänge von Fall zu Fall beurteilt werden müssen, indem die Verwendung personenbezogener Daten anhand objektiver Beweise gerechtfertigt wird. Es bedeutet auch, dass ein Zusammenhang zwischen den verarbeiteten Daten und dem geltend gemachten legitimen Zweck bestehen muss, im Einklang mit dem Grundsatz, dass die Daten für den Zweck, für den sie verarbeitet werden, relevant, begrenzt und verhältnismäßig sein müssen.
  • Die "wesentlich" beruht nicht auf einer subjektiven Einschätzung, sondern bezieht sich auf eine Situation, in der öffentliche und gesellschaftliche Bedingungen die Verarbeitung besonderer Kategorien personenbezogener Daten erfordern. Bei solchen Verarbeitungsvorgängen darf es keine alternative Methode zur Verarbeitung besonderer Kategorien personenbezogener Daten geben, die den Verarbeitungsvorgang im Rahmen des angegebenen Zwecks unumgänglich machen.

Daher sollte vor der Aufnahme der Verarbeitung besonderer Kategorien personenbezogener Daten auf Grundlage einer dieser Rechtsgrundlagen eine sorgfältige Prüfung durchgeführt werden, um festzustellen, ob diese Kriterien erfüllt sind.

3. Fazit

 Nach den Änderungen müssen für die Verarbeitung besonderer Kategorien personenbezogener Daten verantwortliche Prozesse, die auf ausdrücklicher Einwilligung basieren, überarbeiten und ihre Verzeichnisse zur Verarbeitung personenbezogener Daten, Informationsmitteilungen sowie Richtlinien zur Datenaufbewahrung und -vernichtung aktualisieren.

Die Verpflichtung zur „angemessene Maßnahmen“ bleibt unverändert. Besondere Kategorien personenbezogener Daten müssen weiterhin in Übereinstimmung mit den Bestimmungen des Datenschutzausschusses verarbeitet werden. Entscheidung vom 31. Januar 2018, nummeriert 2018/10, bezüglich angemessener Maßnahmen, die von Datenverantwortlichen bei der Verarbeitung besonderer Kategorien personenbezogener Daten zu ergreifen sind. Wenn noch keine angemessenen Maßnahmen umgesetzt wurden, müssen Organisationen die Einhaltung so schnell wie möglich sicherstellen.

Darüber hinaus müssen Datenverantwortliche, die genetische und/oder biometrische Daten verarbeiten, auch die in der Leitfaden zur Verarbeitung genetischer Daten , Richtlinie zu Überlegungen bei der Verarbeitung biometrischer Daten.

Avukat Ece Elvan Celep – ASY Legal

Av. Ece Elvan Celep

Kontakt zur Beratung

Autor Bio

Verwandte Artikel