Von Rechtsanwalt Serkan Kara, Istanbul Bar No. 53770. Zuletzt aktualisiert: 14. Juni 2026.
Der Datenschutz in der Türkei wird durch das Gesetz über den Schutz personenbezogener Daten Nr. 6698 (KVKK) geregelt, ein Regelwerk, das eng an die Datenschutz-Grundverordnung der EU (DSGVO) angelehnt ist. Das KVKK bestimmt, wie Verantwortliche personenbezogene Daten erheben, verarbeiten, speichern und übermitteln, legt in Artikel 5 die Voraussetzungen für eine rechtmäßige Verarbeitung fest, regelt in Artikel 9 die grenzüberschreitende Übermittlung und wird von der Datenschutzbehörde (Kişisel Verileri Koruma Kurumu) durchgesetzt. Für grenzüberschreitend tätige Unternehmen steht die KVKK-Compliance heute neben dem DSGVO-Risiko, dem EU-KI-Gesetz und den Pflichten zur Meldung von Datenschutzverletzungen, sodass die maßgeblichen Rechtsinstrumente zusammen und nicht isoliert betrachtet werden müssen.
Für ausländische Investoren, Unternehmensjuristen und grenzüberschreitend tätige Unternehmen ist die Einhaltung von Technologie- und Datenschutzvorschriften in der Türkei längst keine Frage eines einzigen Gesetzes mehr. Das Gesetz über den Schutz personenbezogener Daten Nr. 6698 (KVKK) ist das zentrale innerstaatliche Rechtsinstrument, doch das tatsächliche Risiko ergibt sich auch aus der DSGVO, dem EU-KI-Gesetz und vertraglichen Verpflichtungen, die von Unternehmenskunden auferlegt werden. Dieser Leitfaden beantwortet die Fragen, die Mandanten tatsächlich stellen, benennt die maßgeblichen Rechtsinstrumente und erläutert, wie ein dokumentiertes Compliance-Programm das Risiko von Durchsetzungsmaßnahmen und Transaktionsrisiken verringert.
Welches Recht regelt den Datenschutz in der Türkei?
Der Datenschutz in der Türkei wird durch das Gesetz über den Schutz personenbezogener Daten Nr. 6698 (KVKK) geregelt, das 2016 in Kraft trat und strukturell an die EU-DSGVO angeglichen ist. Das KVKK gilt für Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten natürlicher Personen verarbeiten, legt die Voraussetzungen für eine rechtmäßige Verarbeitung fest, definiert die Rechte der betroffenen Personen und richtet die Datenschutzbehörde als Aufsichtsorgan ein. Unternehmen, die europäische Kunden betreuen, unterliegen zudem weiterhin der DSGVO, sodass ein einzelnes Unternehmen häufig doppelte Verpflichtungen trägt.
Das KVKK baut seinen Rahmen auf bekannten Grundsätzen auf: rechtmäßige, faire und transparente Verarbeitung; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; und Datensicherheit. Diese Grundsätze sind nicht abstrakt. Sie sind der Maßstab, an dem die Behörde misst, ob eine Verarbeitung rechtmäßig war und ob die Kontrollen bei einer Prüfung oder nach einem Vorfall angemessen waren.
Was ist die Rechtsgrundlage für die Verarbeitung personenbezogener Daten nach dem KVKK?
Nach Artikel 5 des KVKK dürfen personenbezogene Daten nur mit der ausdrücklichen Einwilligung der betroffenen Person verarbeitet werden oder wenn eine der aufgeführten gesetzlichen Ausnahmen greift, etwa die Erfüllung eines Vertrags, die Erfüllung einer rechtlichen Verpflichtung, der Schutz eines berechtigten Interesses oder gesetzlich ausdrücklich vorgesehene Gründe. Eine Verarbeitung ohne Einwilligung und ohne einschlägige Ausnahme ist rechtswidrig, unabhängig davon, wie die Daten technisch gesichert wurden.
In der Praxis besteht der häufigste Fehler nicht im Fehlen einer Rechtsgrundlage, sondern in der Unfähigkeit, eine solche nachzuweisen. Verantwortliche sollten für jede Verarbeitungstätigkeit die konkret herangezogene Grundlage, den Zweck, die betroffenen Datenkategorien und die Aufbewahrungsdauer belegen können. Besondere Kategorien personenbezogener Daten unterliegen strengeren Voraussetzungen, sodass die Grundlage für die Verarbeitung von Gesundheits-, biometrischen oder ähnlichen Daten gesondert und mit gebotener Zurückhaltung dokumentiert werden sollte.
Wie werden grenzüberschreitende Datenübermittlungen geregelt?
Artikel 9 des KVKK regelt die Übermittlung personenbezogener Daten ins Ausland und verlangt entweder eine ausdrückliche Einwilligung oder ein angemessenes Schutzniveau im Empfängerland, gegebenenfalls gestützt auf verbindliche Zusagen zwischen den Parteien. Wenn Unternehmen zugleich der DSGVO unterliegen, werden für die entsprechenden Datenflüsse mit Ursprung in der EU parallele Mechanismen relevant, etwa Standardvertragsklauseln (SCC), verbindliche interne Datenschutzvorschriften (BCR) oder Angemessenheitsrahmen wie der EU-US Data Privacy Framework (DPF).
Der wiederkehrende Fehler besteht darin, Cloud-Architekturen als automatisch rechtmäßig zu behandeln. Ein Übermittlungsrahmen bricht zusammen, wenn die Kette der Unterauftragsverarbeiter unvollständig ist, wenn globale Support-Teams ohne Kontrollen auf Produktivdaten zugreifen können oder wenn das Unternehmen nicht beantworten kann, wer wann auf welche Daten zugreifen kann. Die rechtliche Position muss der technischen Realität entsprechen, also dem Ort, an dem die Daten liegen, und den Personen, die sie berühren.
| Übermittlungsmechanismus | Am besten geeignet für | Wesentliche Einschränkung |
|---|---|---|
| Standardvertragsklauseln (SCC) | Die meisten grenzüberschreitenden Datenflüsse; vertraglich schnell umsetzbar | Bleiben reines Papier, sofern sie nicht mit überprüfbaren technischen und Zugriffskontrollen kombiniert werden |
| Verbindliche interne Datenschutzvorschriften (BCR) | Große multinationale Konzerne mit ausgereifter Governance | Erfordern erhebliche Investitionen und interne Genehmigungszeit |
| Angemessenheit / DPF | Berechtigte Empfänger in erfassten Rechtsordnungen | Decken keine Weiterübermittlungen ab und ersetzen keine sorgfältige Anbieterprüfung |
Was ist VERBIS und wer muss sich registrieren?
VERBIS ist das nach dem KVKK geführte Register der Verantwortlichen, in dem Verantwortliche ihre Verarbeitungstätigkeiten registrieren müssen, sofern keine Ausnahme greift. Die Registrierung ist keine einmalige Formalität. Sie ist mit der Pflicht verknüpft, ein zutreffendes Verzeichnis von Verarbeitungstätigkeiten zu führen, das abbildet, welche Daten zu welchem Zweck, auf welcher Rechtsgrundlage und für wie lange gehalten werden.
Ob ein bestimmtes Unternehmen registrierungspflichtig ist und welche Schwellenwerte oder Ausnahmen gelten, wird von der Behörde festgelegt und kann sich ändern; prüfen Sie daher die Registrierungspflicht und etwaige geltende Schwellenwerte zum Zeitpunkt Ihrer Anmeldung. Die praktische Erkenntnis lautet: Eine saubere VERBIS-Position beruht auf derselben Datenkartierung, die auch jeden anderen Teil eines Compliance-Programms trägt.
Welche Rechte haben Einzelpersonen, und was fügt das EU-KI-Gesetz dem Bild hinzu?
Nach dem KVKK haben betroffene Personen Rechte, darunter den Zugang zu ihren Daten, die Berichtigung unrichtiger Daten, die Löschung oder Vernichtung unter bestimmten Voraussetzungen sowie das Recht, Ergebnissen zu widersprechen, die ausschließlich durch automatisierte Verarbeitung entstehen. Verantwortliche müssen über ein Verfahren verfügen, um solche Anfragen innerhalb der gesetzlich vorgesehenen Frist entgegenzunehmen, zu prüfen und zu beantworten, und müssen nachweisen können, dass dieses Verfahren funktioniert.
Für Unternehmen, die KI entwickeln oder einsetzen, fügt das EU-KI-Gesetz ein gesondertes, risikobasiertes Regelwerk hinzu, das Systeme klassifiziert und Governance-Pflichten für risikoreichere Anwendungen wie Bewerberauswahl, Kredit- und Versicherungsbewertung sowie biometrische Identifizierung auferlegt. Die praktische Frage für grenzüberschreitend tätige Unternehmen ist nicht, ob sie KI einsetzen, sondern ob ihre Systeme korrekt klassifiziert sind und ob sie eine schlüssige Governance-Dokumentation – einschließlich Risikomanagement, menschlicher Aufsicht, technischer Dokumentation und Protokollierung – vorlegen können, wenn eine Aufsichtsbehörde oder ein Unternehmenskunde danach fragt.
Welche Sanktionen drohen bei KVKK-Verstößen?
Das KVKK sieht Geldbußen und weitere Maßnahmen für Verstöße vor, etwa für rechtswidrige Verarbeitung, das Versäumnis, die Datensicherheit zu gewährleisten, oder die unterlassene Registrierung, sofern diese erforderlich ist. Die Bußgeldhöhen sind gesetzlich festgelegt und werden im Laufe der Zeit angepasst, sodass jeder Bußgeldrahmen anhand der zum Zeitpunkt des Verhaltens oder der Anmeldung geltenden Beträge zu überprüfen ist und nicht als fester, gegenwärtiger Betrag behandelt werden sollte.
Durchsetzungsergebnisse werden weniger durch das Vorliegen eines Verstoßes als durch die Qualität der Reaktion bestimmt. Maßgeblich ist in der Regel, ob der Verantwortliche einen rechtmäßigen Zweck, die Datenminimierung und angemessene Kontrollen mit echter Dokumentation nachweisen kann und ob das operative Team die Reaktion auf die Verletzung durchgeführt hat, ohne Widersprüche zu erzeugen oder Beweise zu verlieren.
Wie sollten Unternehmen mit einer Datenschutzverletzung und der Meldefrist umgehen?
Die Reaktion auf eine Datenschutzverletzung ist ein Test des Verfahrens, nicht eine einzelne Entscheidung. Nach Artikel 33 DSGVO ist die Aufsichtsbehörde unverzüglich und, soweit möglich, binnen 72 Stunden nach Bekanntwerden einer meldepflichtigen Verletzung des Schutzes personenbezogener Daten zu benachrichtigen; auch das KVKK verlangt eine Meldung an die Behörde und die betroffenen Personen innerhalb der von ihm festgelegten Frist. Der häufige Fehler ist Verzögerung: Unternehmen warten auf vollständige Gewissheit und versäumen das gesetzliche Zeitfenster.
Eine belastbare Reaktion am ersten Tag bedeutet, eine zentrale Einsatzleitung zu aktivieren, Beweise wie Protokolle und Snapshots zu sichern, bevor die Eindämmung sie zerstört, die betroffenen Datensätze und Rechtsordnungen zu identifizieren und gegenüber Aufsichtsbehörden, Kunden und Versicherern einen einheitlichen, widerspruchsfreien Kommunikationskanal zu wahren. Erstellen Sie das Handbuch vor dem Vorfall, denn das Zeitfenster ist zu kurz, um das Verfahren zu entwerfen, während die Fakten noch unvollständig sind.
Häufig gestellte Fragen
Gilt das KVKK für ein ausländisches Unternehmen ohne Niederlassung in der Türkei?
Das KVKK kann Verantwortliche erfassen, die personenbezogene Daten von Personen in der Türkei verarbeiten, je nach Art und Ort der Verarbeitung. Ein Unternehmen ohne lokale Niederlassung sollte nicht davon ausgehen, außerhalb des Anwendungsbereichs zu liegen; vielmehr sollte es ermitteln, wo sich seine betroffenen Personen befinden, welche Daten verarbeitet werden und auf welcher Rechtsgrundlage, und sich zu seiner konkreten Reichweite nach dem Gesetz Nr. 6698 beraten lassen.
Legalisieren SCC automatisch Cloud-Übermittlungen nach der DSGVO?
Nein. Standardvertragsklauseln sind ein vertraglicher Mechanismus und kein Stempel, der jede Übermittlung legalisiert. Sie müssen mit der technischen Realität übereinstimmen und, sofern das Übermittlungsrisiko hoch ist, durch ergänzende Maßnahmen wie Verschlüsselung, Schlüsselverwaltung und strenge Zugriffskontrolle gestützt werden. Ist die Kette der Unterauftragsverarbeiter oder das Zugriffsmodell unklar, werden SCC zu reinem Papier und halten einer technischen Prüfung nicht stand.
Ist für die Verarbeitung personenbezogener Daten in der Türkei stets eine Einwilligung erforderlich?
Nein. Artikel 5 des KVKK führt gesetzliche Ausnahmen auf, die eine Verarbeitung ohne ausdrückliche Einwilligung erlauben, etwa die Erfüllung eines Vertrags oder die Erfüllung einer rechtlichen Verpflichtung. Die Einwilligung ist eine Rechtsgrundlage unter mehreren; stützen Sie sich jedoch auf eine Ausnahme, müssen Sie diese genau benennen und dokumentieren können, warum sie auf die jeweilige Verarbeitungstätigkeit zutrifft.
Wie wirkt sich das EU-KI-Gesetz auf ein türkisches Unternehmen aus?
Das EU-KI-Gesetz wird relevant, wenn ein Unternehmen KI-Systeme auf dem EU-Markt in Verkehr bringt, Kunden mit Sitz in der EU betreut oder vertraglich verpflichtet ist, KI-Compliance nachzuweisen. Beschaffungsdruck erzwingt Governance häufig früher als formale Fristen, sodass der praktische Schritt darin besteht, KI-Systeme zu inventarisieren, sie nach Risiko zu klassifizieren und die Dokumentation zusammenzustellen, die Unternehmenskäufer und Aufsichtsbehörden erwarten.
Was ist die schnellste einzelne Compliance-Verbesserung für ein mittelständisches Unternehmen?
Erstellen und pflegen Sie die zentralen Register: ein Verarbeitungsregister, ein Übermittlungsregister, gegebenenfalls ein Register der KI-Systeme und ein Anbieterregister. Setzen Sie anschließend eine einfache Beschaffungsregel durch, wonach kein neuer Anbieter und keine neue KI-Funktion in Betrieb gehen, ohne dass eine Registeraktualisierung sowie eine Prüfung der Übermittlung und der Rechtsgrundlage erfolgt. Diese Register werden zur Beweisebene, die Sie benötigen, um einer Aufsichtsbehörde oder einem Kunden rasch Antwort geben zu können.
Sprechen Sie mit einem Anwalt, bevor Sie Ihr nächstes Datenprojekt starten
Grenzüberschreitender Datenschutz, KI-Governance sowie Krypto- und Technologiefragen greifen auf eine Weise ineinander, die sich Gesetz für Gesetz nur schwer steuern lässt. Wenn Sie ein dokumentiertes, prüfungsbereites Programm statt einer Checkliste benötigen, berät unser Team für Technologie-, Datenschutz- und Kryptorecht ausländische Investoren und grenzüberschreitend tätige Unternehmen zu KVKK- und DSGVO-Compliance, Übermittlungsmechanismen, Governance nach dem KI-Gesetz und der Reaktion auf Vorfälle. Wir begleiten zudem damit verbundene Transaktionen über unsere Praxis für Gesellschafts- und Handelsrecht, wenn Datenbestände Teil eines Geschäfts sind.
Zum Weiterlesen siehe unsere Leitfäden zum Recht des geistigen Eigentums, zu den rechtlichen Aspekten internationaler Investitionen in der Türkei und zu KI-gestützten juristischen Analyse-Prompts für die Türkei.
Allgemeine Informationen, keine Rechtsberatung. Türkisches Recht; lassen Sie Ihre konkrete Situation von qualifizierten Anwälten prüfen.