Menu
Menu

Übermittlung personenbezogener Daten ins Ausland: Aktueller Rechtsrahmen in der Türkei

Das im Amtsblatt Nr. 32487 vom 12.03.2024 veröffentlichte Gesetz Nr. 7499 führte Änderungen am Gesetz Nr. 6698 zum Schutz personenbezogener Daten ein (das „Recht”). Anschließend wurde die Verordnung über die Verfahren und Grundsätze für die Übermittlung personenbezogener Daten ins Ausland („Rechtliches”) wurde im Amtsblatt Nr. 32598 vom 10.07.2024 veröffentlicht und trat in Kraft. Im Januar 2025 wurde der Leitfaden zur Übermittlung personenbezogener Daten ins Ausland („Handbuch”) wurde auf der Website der Datenschutzbehörde veröffentlicht („Autorität").

1. Einleitung

Bisher war für die Übermittlung personenbezogener Daten ins Ausland ohne die ausdrückliche Zustimmung der betroffenen Person das Vorliegen einer der im Gesetz vorgesehenen Bedingungen erforderlich, und der Datenschutzausschuss („Board“) und die Entscheidung, dass das Land, in das die Daten übermittelt werden, über einen angemessenen Schutz verfügt (Auflistung auf der Liste der sicheren Länder).

Wenn ein Land nicht als ausreichend geschützt gilt, können personenbezogene Daten dennoch ohne die ausdrückliche Zustimmung der betroffenen Person übermittelt werden, wenn eine der relevanten Bedingungen für die Datenverarbeitung erfüllt ist, vorausgesetzt, dass sich die für die Datenverarbeitung Verantwortlichen in der Türkei und im betreffenden Land zu einem angemessenen Schutz verpflichtet haben (durch Vorlage eines Verpflichtungsschreibens) und der Rat seine Erlaubnis erteilt hat. Für multinationale Unternehmen, die Daten untereinander übermitteln, gelten verbindliche Unternehmensregeln („BCR“) musste erstellt und vom Vorstand genehmigt werden.

Da Verpflichtungserklärungen und BCRs jedoch in der Praxis nicht angewendet wurden und der Vorstand nur sehr wenige Anträge genehmigte, war die Übermittlung von Daten ins Ausland praktisch nur noch von der ausdrücklichen Zustimmung der betroffenen Personen abhängig. Bis zum 01.06.2024 erhielt der Vorstand 86 Anträge, die mit Verpflichtungserklärungen gestellt wurden, von denen jedoch nur 10 genehmigt wurden. Darüber hinaus wurden 3 BCR-Anträge gestellt, von denen jedoch aufgrund verfahrenstechnischer und inhaltlicher Mängel keiner genehmigt wurde.

Diese Situation machte es fast unmöglich, die meisten im Ausland befindlichen Server und die meisten Cloud-basierten Software- und Anwendungsprogramme legal zu nutzen, und wurde zu einem Hindernis für Investitionen in unserem Land. In diesem Zusammenhang wurde ein Mechanismus mit drei Alternativen für die Übermittlung personenbezogener Daten ins Ausland vorgesehen. Die Änderungen zielen darauf ab, die Gesetzgebung an die EU-Verordnung 2016/679 (Datenschutz-Grundverordnung (DSGVO)) anzupassen und praktische Bedürfnisse zu berücksichtigen.

2. Übertragungsmethoden

 a. Angemessenheitsbeschluss

 Eine Datenübermittlung ins Ausland kann erfolgen, wenn eine der in den Artikeln 5 und 6 des Gesetzes genannten Voraussetzungen für die Datenverarbeitung gegeben ist und der Rat einen Angemessenheitsbeschluss bezüglich des Übermittlungsortes erlässt.

Die Praxis der Angemessenheitsentscheidung verläuft parallel zur bisherigen Praxis der „Liste sicherer Länder“. Der Zweck dieser Bewertung besteht darin, zu bestätigen, dass das Datenschutzniveau des Landes, Sektors oder der internationalen Organisation, an die die Daten übermittelt werden, dem in der Türkei entspricht. Bei dieser Bewertung werden Faktoren wie Gegenseitigkeit, die Gesetzgebung des betreffenden Landes, die Existenz einer unabhängigen und wirksamen Datenschutzbehörde, administrative und gerichtliche Rechtsbehelfe und die Frage, ob das Land Vertragspartei internationaler Verträge oder Mitglied internationaler Organisationen ist, berücksichtigt.

In der Entscheidung des Gremiums vom 02.05.2019 mit der Nummer 2019/125 wurde bereits festgelegt, dass bei der entsprechenden Bewertung auch das Handelsvolumen mit dem betreffenden Land berücksichtigt wird. An diesem Punkt wird, wie in der Richtlinie betont, erwartet, dass Länder, die Vertragsparteien internationaler Verträge sind, denen die Türkei angehört, bei der Erteilung der Angemessenheitsentscheidung Vorrang haben.

Der vom Gremium zu erlassende Angemessenheitsbeschluss kann sich nicht nur auf das Land beziehen, in das die Daten übermittelt werden, sondern auch auf einen bestimmten Sektor in diesem Land oder auf eine internationale Organisation. Das Gremium überprüft den Angemessenheitsbeschluss mindestens alle vier Jahre und kann ihn bei Bedarf ändern, aussetzen oder widerrufen. Dieser Zeitraum von vier Jahren ist ein regulatorischer Zeitrahmen, und wenn das Gremium dies für notwendig erachtet, kann es den Angemessenheitsbeschluss vor Ablauf dieses Zeitraums neu bewerten.

b. Angemessen Schutzmaßnahmen

Liegt kein Angemessenheitsbeschluss vor, kann die Übermittlung dennoch erfolgen, wenn eine der in den Artikeln 5 und 6 genannten Bedingungen für die Datenverarbeitung vorliegt und sofern die betroffene Person im Übermittlungsland ihre Rechte ausüben und auf wirksame Rechtsbehelfe zugreifen kann und geeignete Garantien vorhanden sind.

Vereinbarungen: Eine Übertragung kann erfolgen, wenn zwischen öffentlichen Einrichtungen und Organisationen oder Berufsverbänden mit öffentlichem Status in der Türkei und öffentlichen Einrichtungen, Organisationen oder internationalen Organisationen im Ausland eine Vereinbarung besteht, die nicht als internationales Abkommen eingestuft wird, und wenn der Vorstand die Genehmigung zur Übertragung erteilt. Diese Vereinbarungen können in Form von Kooperationsprotokollen, Absichtserklärungen oder Verwaltungsvereinbarungen vorliegen, wie beispielsweise die Verwaltungsvereinbarung zur Übertragung personenbezogener Daten zwischen der türkischen Arzneimittel- und Medizinproduktebehörde und der Europäischen Kommission.

Verbindliche Unternehmensregeln: Übertragungen können unter Einhaltung der vom Gremium genehmigten BCRs erfolgen, die Bestimmungen zum Schutz personenbezogener Daten enthalten, die Unternehmen innerhalb einer Gruppe, die eine gemeinsame Wirtschaftstätigkeit ausüben, einhalten müssen. BCRs sind Datenschutzregeln, die von Gruppenmitgliedern bei der Übertragung personenbezogener Daten von einem in der Türkei ansässigen Datenverantwortlichen oder Datenverarbeiter an einen im Ausland ansässigen Datenverantwortlichen oder Datenverarbeiter innerhalb derselben Gruppe eingehalten werden müssen. Leitlinien mit den bei der Erstellung von BCRs zu berücksichtigenden Überlegungen wurden am 10.07.2024 auf der offiziellen Website der Behörde veröffentlicht.

Standardverträge: Wenn die Parteien der Übertragung einen vom Gremium angekündigten Standardvertrag unterzeichnen, der Einzelheiten wie Datenkategorien, Zwecke der Datenübertragung, Empfängergruppen, vom Datenempfänger zu ergreifende technische und administrative Maßnahmen sowie zusätzliche Maßnahmen für besondere Kategorien personenbezogener Daten enthält, können Daten ins Ausland übertragen werden. Auf der Website der Behörde wurden vier Arten von Standardvertragsvorlagen für verschiedene Übertragungsszenarien angekündigt. Website nach öffentlicher Bekanntmachung am 10.07.2024.

Nach Auswahl des entsprechenden Typs des Standardvertrags können die Parteien nur noch Änderungen an optionalen oder alternativen Bestimmungen vornehmen. Abgesehen von diesen Bestimmungen können keine Ergänzungen, Löschungen oder Änderungen an den Standardverträgen vorgenommen werden. Diese Standardverträge müssen der Behörde vom Verantwortlichen oder Auftragsverarbeiter innerhalb von 5 Werktagen nach Unterzeichnung gemeldet werden. Bei Nichterfüllung dieser Meldepflicht wird eine Geldbuße verhängt. Auch wenn sich die von den Parteien bereitgestellten Erklärungen oder Informationen ändern oder der Standardvertrag erlischt, muss die Behörde benachrichtigt werden.

Verpflichtungserklärung: Besteht zwischen den an der Übermittlung beteiligten Parteien eine schriftliche Vereinbarung, die Bestimmungen zur Gewährleistung eines angemessenen Schutzes, zum Zweck, Umfang, der Art und der Rechtsgrundlage der Übermittlung, eine Verpflichtung zur Einhaltung allgemeiner Grundsätze, Beschränkungen für nachfolgende Datenübermittlungen und ähnliche Vorschriften enthält, und erteilt der Vorstand die Genehmigung für die Übermittlung, kann die Übermittlung wie in der vorherigen Durchführungsfrist durchgeführt werden.

c. Außergewöhnliche Fälle

In Fällen, in denen kein Angemessenheitsbeschluss vorliegt oder keine angemessenen Garantien bereitgestellt werden können, können Daten unter begrenzten, als zufällig bezeichneten Umständen ins Ausland übermittelt werden. Zu diesen im Gesetz genannten zufälligen Fällen gehören:

  • Die betroffene Person erteilt nach Aufklärung über mögliche Risiken ihre ausdrückliche Einwilligung,
  • Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  • Die Übermittlung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen dem Verantwortlichen und einer anderen natürlichen oder juristischen Person zum Nutzen der betroffenen Person erforderlich.
  • Die Übermittlung ist für ein überwiegendes öffentliches Interesse erforderlich.
  • Die Übermittlung ist für die Begründung, Ausübung oder Verteidigung eines Rechtsanspruchs erforderlich,
  • Die Übermittlung ist zum Schutz des Lebens oder der körperlichen Unversehrtheit der betreffenden Person oder einer anderen Person erforderlich, die aufgrund einer körperlichen Behinderung nicht in der Lage ist, ihre Einwilligung zu erklären, oder deren Einwilligung nicht als rechtsgültig gilt.
  • Die Übertragung erfolgt aus einem Register, das öffentlich zugänglich ist oder auf das Personen mit berechtigtem Interesse zugreifen können, sofern die Bedingungen für den Zugriff auf das Register gemäß den einschlägigen Rechtsvorschriften erfüllt sind und die Person mit dem berechtigten Interesse die Übertragung beantragt hat.

In Fällen von Nebenumständen sind die in den Artikeln 5 und 6 des Gesetzes genannten Bedingungen nicht erforderlich. Für die Übermittlung personenbezogener Daten aufgrund von Nebenumständen ist weder die Erlaubnis noch die Genehmigung des Gremiums erforderlich, noch besteht eine Meldepflicht.

Da Übermittlungen unter zufälligen Umständen jedoch eine Ausnahme darstellen, sollte eine enge Auslegung angewendet werden. Zunächst sollte beurteilt werden, ob ein Angemessenheitsbeschluss oder eine der geeigneten Garantien vorliegt. In Ermangelung dessen sollte eine außergewöhnliche Übermittlung nur als letztes Mittel eingesetzt werden.

Zufällige Transfers können mehr als einmal erfolgen. Damit wiederholt auftretende Transfers jedoch als außergewöhnlich gelten, dürfen sie nicht regelmäßig sein, dürfen keine Kontinuität aufweisen und müssen unter unvorhergesehenen Umständen und in unregelmäßigen Abständen außerhalb des normalen Handlungsverlaufs erfolgen.“

3. Bewertungen und Fazit

Die Bestimmungen, dass personenbezogene Daten ins Ausland übermittelt werden dürfen, wenn es in einem internationalen Vertrag oder anderen Gesetzen eine Bestimmung zur Übermittlung von Daten ins Ausland gibt, bleiben bestehen. Bevor Angemessenheitsentscheidungen, geeignete Garantien oder außergewöhnliche Übermittlungsfälle bewertet werden, muss daher in der Anfangsphase der Übermittlungsaktivität festgestellt werden, ob eine Bestimmung in einem internationalen Vertrag oder anderen Gesetzen vorliegt.

Wenn es keine Bestimmung in internationalen Abkommen oder anderen Gesetzen gibt, sollte zunächst geprüft werden, ob ein Angemessenheitsbeschluss vorliegt. Wenn kein Angemessenheitsbeschluss vorliegt, sollte beurteilt werden, ob eine der geeigneten Garantien bereitgestellt werden kann. Wenn dies nicht möglich ist, sollte als letztes Mittel beurteilt werden, ob es sich bei der Übermittlung um eine zufällige (ausnahmsweise) Übermittlung handelt.

Zum Zeitpunkt der Veröffentlichung dieses Artikels gibt es kein Land, keinen Sektor und keine internationale Organisation, für die ein Angemessenheitsbeschluss ergangen ist. Die Gründe, die die Erstellung der Liste sicherer Länder in der Vergangenheit verzögert haben, sind im Allgemeinen Faktoren, die auch im Verfahren zur Erlangung eines Angemessenheitsbeschlusses eine Rolle spielen werden. Es bleibt also abzuwarten, ob der Beschluss kurzfristig getroffen wird. Daher ist zu erwarten, dass sich die praktische Anwendung vorerst auf angemessene Schutzmaßnahmen konzentrieren wird, wobei unter diesen Schutzmaßnahmen überwiegend Standardvertragsklauseln zur Anwendung kommen werden.

Als weitere Anmerkung schreibt das Gesetz vor, dass auch für spätere Übermittlungen von personenbezogenen Daten ins Ausland gesetzliche Sicherheitsvorkehrungen getroffen werden müssen. Allerdings regelt das Gesetz nicht ausdrücklich, wie die Einhaltung der einschlägigen Vorschriften durch Dritte durchgesetzt werden soll, wenn der Empfänger die Daten an Dritte übermittelt, und der Leitfaden gibt auch keine Klarheit darüber, wie spätere Übermittlungen überwacht werden. Daher können im Zusammenhang mit späteren Übermittlungen praktische Probleme auftreten. Es ist zu erwarten, dass diese Probleme in der kommenden Zeit durch die Praxis geprägt werden.

Gemäß der dem Gesetz hinzugefügten Übergangsbestimmung „Übergangsartikel 3“ müssen Datenverarbeitungsaktivitäten ab dem 01.09.2024 den neuen Vorschriften entsprechen. Tatsächlich ist es klar, dass die von Unternehmen auf der Grundlage der während der vorherigen Umsetzungsfrist eingeholten ausdrücklichen Zustimmung der betroffenen Personen vorgenommenen Übertragungen nicht mehr gültig sind, und es ist für Unternehmen, die die neuen Vorschriften noch nicht eingehalten haben, von entscheidender Bedeutung, umgehend die für ihre Geschäftsprozesse am besten geeignete Methode zu ermitteln und ihre Compliance-Verfahren abzuschließen.

Avukat Ece Elvan Celep – ASY Legal

Av. Ece Elvan Celep

Kontakt zur Beratung

Autor Bio

Verwandte Artikel