CEE German Desk: Der lange Weg zum ersten umfassenden türkischen Datenschutzgesetz

Türkei

Nach mehr als einem Jahrzehnt Vorbereitung verfügt die Türkei seit 2016 über ein Gesetz zum Schutz persönlicher Daten: Das Recht zum Schutz persönlicher Daten (“Datenschutzgesetz” oder „DSG“) wurde vom türkischen Parlament am 24. März 2016 verabschiedet. Dieses (Gesetz Nr. 6698) trat am 7. April 2016 in Kraft und ist seit 7. Oktober 2016 wirksam.

A. Hintergrund

Vor Einführung des Datenschutzgesetzes waren im türkischen Recht vereinzelte allgemeine Vorschriften zum Datenschutz zu finden; unter anderem in der Verfassung, im Bürgerlichen Gesetzbuch, im Obligationenrecht, im Strafgesetzbuch wie auch in anderen Rechtsgebieten. Jedoch gab es aufgrund dieser lediglich fragmentarischen Regelungen keine festen Grundsätze des Datenschutzes in der Türkei. Beispielsweise wurde am 1. Mai 2015 eine E-Commerce Verordnung in Kraft gesetzt, welche die Kontaktaufnahme von Unternehmen mit ihren Kunden regeln sollte. Allerdings hat diese Verordnung im Prinzip nur Werbebotschaften per E-Mail, Textnachricht (SMS), Fax oder Geräten mit AutoDial-Funktionen untersagt, wenn Kunden keine vorherige Zustimmung gegeben haben. Dementsprechend war diese Verordnung nicht ausreichend, um in der Praxis das Anlegen von Kundenprofilen, welche persönliche Daten enthalten, oder die Weitergabe dieser Daten an Dritte zu verhindern bzw. zu regulieren. Weiters gab es auch keine Rechtsvorschrift für das Entfernen solcher Daten aus der Datenbank des jeweiligen Datenverarbeiters.

B. Wesentliche Eckpunkte des Datenschutzgesetzes

1. Der Grundsatz der Zustimmung der Betroffenen zur Datenverarbeitung

Ziel des DSG ist der Schutz der Grundrechte jedes Einzelnen sowie die Festlegung klarer Bestimmungen zur Regelung der Verarbeitung und Speicherung persönlicher Daten. Gemäß dem Datenschutzgesetz können persönliche Daten, ohne ausdrückliche Zustimmung des Betroffenen, weder verarbeitet noch weitergegeben werden (weder im Inland noch im Ausland). Ausnahmen von dieser Regelung stimmen, obwohl weiter gefasst, mit der Richtlinie 95/46/EC des Europäischen Parlaments und der Ratsversammlung vom 24. Oktober 1995 über den Schutz des Einzelnen hinsichtlich der Verarbeitung und dem freien Verkehr persönlicher Daten, überein.

2. Sensible Daten

Im Datenschutzgesetz werden als “sensible persönliche Daten“ biometrische und genetische Daten einzelner Personen wie auch Daten das Geschlecht, die ethnische Herkunft, die philosophischen und politischen Ansichten, Religion, Gewerkschaftszugehörigkeit, Gesundheit und die sexuelle Ausrichtung betreffend angesehen. Der größte Unterschied zwischen persönlichen Daten und sensiblen persönlichen Daten liegt darin, dass generelle Ausnahmen des Verbotes der Verarbeitung persönlicher Daten gemäß dem DSG bei gewissen Arten sensibler persönlicher Daten (wie eben zum Beispiel Daten bezogen auf Gesundheit oder sexuelle Ausrichtung) keine Anwendung finden. Folglich können solche sensiblen persönlichen Daten nur mit explizieter Zustimmung der betroffenen Person verarbeitet werden, wenn dies zum Schutz der öffentlichen Gesundheit, zur Erbringung medizinisch präventiver Leistungen, für medizinische Diagnosen, Behandlungen oder Pflegeleistungen, für die Planung und das Management von Gesundheitsdienstleistungen oder deren Finanzierung notwendig ist.

Gemäß den Bestimmungen wird auch Kleidung den “sensiblen persönlichen Daten zugeordnet. Daten bezüglich der Kleidung scheinen zwar im Vergleich zu anderen sensiblen Daten, wie zum Beispiel Herkunft, politische Einstellung, Religion etc., grundsätzlich weniger kritisch bzw. öffentlich zugänglich zu sein. Deshalb ist die Kategorisierung von Kleidung als sensible Daten auch nicht ganz klar und der Begriff Kleidung sollte in einem weiteren Sinn verstanden werden. Dies könnte etwa den Sinn haben, Unternehmen mit einem Online-Shop daran zu hindern, Daten über die Kleidungsgewohnheiten ihrer Nutzer zu sammeln. Kleidung als sensible persönliche Daten im eigentlichen Sinn zu bezeichnen und mit den anderen erwähnten sensiblen persönlichen Daten gleichzusetzen, scheint jedoch im Widerspruch zur Auffassung der EU bezüglich sensibler Daten zu stehen.

Gemäß DSG können persönliche Daten gelöscht oder anonymisiert werden, wenn die Gründe für die Verarbeitung dieser Daten wegfallen oder die betroffene Person einen diesbezüglichen Antrag stellt. Details für dieses Verfahren sind in den ergänzenden Rechtsvorschriften zu finden.

Weiters soll das Datenschutzgesetz ausländische Investoren und Unternehmen, die einem Markteintritt bislang wenig positiv gegenüberstanden, nun bestärken, in der Türkei zu investieren. Mit der Einführung von Regelungen und Bestimmungen in Hinblick auf Verarbeitung und Transfer persönlicher Daten ist es ausländischen Investoren möglich, die bereits bestehenden Verpflichtungen der EU Gesetzgebung zu erfüllen und unter gleichen Wettbewerbsbedingungen zu agieren.

3. Vollständig in Kraft getretenes Datenschutzgesetz - mit zusätzlichen Bestimmungen und Inhalten

Wie bereits oben erwähnt, trat das DSG am 7. Oktober 2016 in Kraft. Zwischen 7. April 2016 und 7. Oktober 2016 sah das Gesetz eine sechs (6) monatige Übergangsphase vor, die eine Erfüllung der DSG-Grundsätze sicherstellen sollte.

Zusätzliche Inhalte betreffen folgende Punkte:

  • Weitergabe von persönlichen Daten und die Rechte der Betroffenen
  • Einreichen von Beschwerden an den Datenschutzaufsichtsrat: Verfahren und Prinzipien zur Überprüfung einer solchen Beschwerde
  • Bildung eines Registers für Datenverantwortliche
  • Geld- und strafrechtliche Sanktionen

4. Sanktionen

Seit 7. Oktober 2016 können gegen natürliche und juristische Personen im Falle einer Verletzung gemäß Artikel 32 des DSG Geldstrafen zwischen TRY 5.000 und TRY 1.000.000 sowie Freiheitsstrafen verhängt werden. Darüber hinaus kann nach türkischem Strafrecht auch die Verweigerung der Löschung persönlicher Daten mittels Freiheitsstrafe abgestraft werden.

Zur Vermeidung derartiger Sanktionen gilt es Folgendes zu beachten:

a. Vor der Weitergabe von Daten gilt es die Zustimmung der Person, deren Daten verarbeitet werden, einzuholen.

Personen, deren Daten verwendet werden, müssen über ihre Rechte informiert und aufgeklärt werden.

  • Informieren Sie die betroffene Person darüber, dass sie das Recht hat zu wissen, ob ihre Daten verarbeitet werden oder nicht.
  • Falls von der betroffenen Person verlangt, informieren Sie diese darüber, ob persönliche Daten dieser Person verarbeitet wurden.
  • Bieten Sie Informationen darüber an, zu welchem Zweck persönliche Daten verarbeitet werden und darüber, ob diese Daten korrekt verarbeitet wurden.
  • Stellen Sie Informationen zu jenen Personen im In- oder Ausland, an die die persönlichen Daten weitergegeben werden, zur Verfügung.
  • Falls von der betroffenen Person verlangt, informieren Sie diese darüber, ob persönliche Daten womöglich fehlerhaft verarbeitet wurden und wenn ja, ob dies korrigiert wurde.
  • Falls von der betroffenen Person verlangt, informieren Sie diese über die Löschung und Vernichtung von persönlichen Daten.
  • Falls von der betroffenen Person verlangt, verständigen Sie Dritte, an welche persönliche Daten weitergegeben wurden, über Tätigkeiten im Sinne der Unterabsätze (d) und (e).
  • Informieren Sie die betroffene Person darüber, dass diese ein Widerspruchsrecht hinsichtlich aller, mittels Auswertung der verarbeiteten Daten durch automatisierte Systeme erlangter Ergebnisse hat, welche eine nachteilige Wirkung haben könnten.
  • Informieren Sie die betroffene Person, dass sie das Recht auf Entschädigung für Schäden, die durch ein rechtswidriges Verhalten bei der Verarbeitung persönlicher Daten entstanden sind, hat.

Sekundärrechtsvorschiften sowie zuständige Verwaltungsbehörde

Die Sekundärrechtsvorschriften, die für die reibungslose Umsetzung des DSG erforderlich sind, sind noch nicht in Kraft getreten und die entsprechende Verwaltungsbehörde wurde noch nicht eingeführt. Daher besteht bei Unternehmen auch eine gewisse Unsicherheit, ob sie bereits dem DSG entsprechen. Es ist daher zu empfehlen, einen Datenschutzbeauftragten bzw. einen externen Berater hinzuzuziehen, um sicherzustellen, dass das Unternehmen den Bestimmungen des Datenschutzgesetzes und den Sekundärrechtsvorschiften gerecht wird. Solche Beauftragte oder Berater haben die Aufgabe, alle Tätigkeiten bezüglich personenbezogener Daten zu überwachen, indem Sie zum Beispiel die oben unter (a) bis (i) dargestellten Informationen in Kundenverträge, Dienstverträge oder in den AGBs auf der Firmenwebsite aufnehmen oder dies auch im Rahmen interner Leitlinien und Regeln definieren.

C. Verordnung zur Sammlung medizinischer Daten

Abgesehen von den oben erwähnten Erklärungen zum Datenschutzgesetz wurde eine Verordnung bezüglich der Verarbeitung und Aufrechterhaltung des Schutzes personenbezogener Gesundheitsdaten im Amtsblatt veröffentlicht, die am 20. Oktober 2016 in Kraft getreten ist. Diese Verordnung stützt sich auf das Datenschutzgesetz, welches das Gesundheitsministerium ermächtigt, solche Verordnungen und Kommuniqués bezüglich der Verarbeitung und Sammlung persönlicher Gesundheitsdaten zu erlassen.

Die Verordnung legt die Grundsätze für (i) die Sammlung, Verarbeitung und Weitergabe persönlicher Gesundheitsdaten, sowie (ii) Meldungen betreffend Sicherheit an und Überprüfung persönlicher Gesundheitsdaten durch das Gesundheitsministerium sowie die Befugnisse des Gesundheitspersonals fest.

1. Der Anwendungsbereich der Verordnung

Obwohl die Verordnung nicht alle Verarbeiter von Gesundheitsdaten erfasst, regelt sie gezielt Anwendungsbereiche für (i) Gesundheitsdienstleister, (ii) einzelne Personen, deren persönliche Gesundheitsdaten verarbeitet werden, (iii) einzelne Personen und juristische Personen, die Datenverarbeitungssysteme an Gesundheitsdienstleister anbieten, und (iv) einzelne Personen sowie öffentliche und private juristische Personen, die gesetzlich geregelt persönliche Gesundheitsdaten verarbeiten.

2. Die Verarbeitung von Gesundheitsdaten

Im Gegensatz zum DSG erfordert die Verordnung eine ausdrückliche Zustimmung des Betroffenen in Schriftform, damit persönliche Gesundheitsdaten verarbeitet werden dürfen. Jedoch legt die Verordnung zur selben Zeit fest, dass solche Daten ohne Zustimmung verarbeitet werden dürfen, wenn sie anonymisiert sind.

Weiters können persönliche Gesundheitsdaten ohne die ausdrückliche Zustimmung des Betroffenen verarbeitet und weitergegeben werden, wenn es für den Schutz der öffentlichen Gesundheit, für die Erbringung medizinisch präventiver Leistungen, für medizinische Diagnosen, Behandlungen oder Pflegeleistungen notwendig ist. Dementsprechend sind persönliche Gesundheitsdaten durch ein Protokoll, welches das Verfahren und andere notwendige Aspekte der Weitergabe festlegt, an öffentliche Einrichtungen weiterzugeben.

Ferner werden durch die Verordnung zwei Systeme eingeführt, ein zentrales und ein persönliches Gesundheitsdatensystem. Durch das zentrale Gesundheitsdatensystem werden Gesundheitsdienstleister dazu veranlasst, persönliche Gesundheitsdaten aufzuzeichnen, während das persönliche Gesundheitsdatensystem einzelnen Personen Zugriff auf ihre persönlichen Daten erlaubt und sie diese mittels eigenem Benutzerkonto verwalten können.

D. Fazit

Unternehmen sollten so schnell wie möglich eine Beurteilung über den momentanen Status des Verarbeitungsprozesses durchführen, die gesammelten und verarbeiteten persönlichen Daten klassifizieren und alle notwendigen Schritte unternehmen, um diese anzupassen, upzudaten, zu löschen oder zu anonymisieren bzw. falls notwendig diese so anzupassen, dass sie den Bestimmungen des DSG entsprechen.

In der Praxis weist das Datenschutzgesetz derzeit allerdings aufgrund des Fehlens gegenwärtig relevanter Sekundärgesetzgebung noch einige Schwachstellen auf.