Technologierecht, Datenschutz (KVKK) und Regulierung von Kryptowährungen. Anwaltskanzlei Serka berät internationale Technologieunternehmen, SaaS-Anbieter, Fintechs, KI-Entwickler und Kryptowährungsplattformen zum türkischen Datenschutz-, E-Commerce-, Internet- und Kapitalmarktrecht. Wir errichten die Compliance-Strukturen, die es einer ausländischen Plattform ermöglichen, türkische Nutzer rechtmäßig zu bedienen, und wir verteidigen diese Plattform, wenn eine Aufsichtsbehörde gegen sie vorgeht.
Rechtsanwalt Serkan Kara, Rechtsanwaltskammer Istanbul Nr. 53770
Zuletzt aktualisiert: Juni 2026
Was ist Technologie- und Datenschutzrecht für Unternehmen, die in der Türkei tätig sind?
Das Technologie- und Datenschutzrecht in der Türkei regelt, wie ein Unternehmen personenbezogene Daten und digitale Dienste erhebt, speichert, übermittelt und monetarisiert. Das zentrale Gesetz ist das Gesetz zum Schutz personenbezogener Daten Nr. 6698 (KVKK), das die EU-DSGVO widerspiegelt, jedoch strengere Bedingungen für die Übermittlung von Daten außerhalb der Türkei vorsieht. Ein Technologieunternehmen, das türkische Nutzer bedient, ist an diese Vorschriften gebunden, unabhängig davon, wo sich seine Server befinden. Neben dem KVKK bilden das Gesetz zur Regulierung des elektronischen Handels Nr. 6563, das Internetgesetz Nr. 5651 und das Kapitalmarktgesetz Nr. 6362 (für Krypto-Vermögenswerte) gemeinsam den regulatorischen Rahmen, den jede ausländische Plattform beachten muss.
Was sollte bei einem Technologie- oder Datenprojekt zuerst geprüft werden?
Ein Technologieprojekt sollte mit einer Datenfluss-Karte beginnen: wer die betroffenen Personen sind, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden, wo sie gespeichert werden und welche Dritten oder Dienstleister sie berühren. Aus dieser Karte kann der Rechtsbeistand die rechtlichen Pflichten ableiten, die an jeden Datenfluss anknüpfen, einschließlich Einwilligung oder anderer Rechtsgrundlage, Kontrollen der grenzüberschreitenden Übermittlung, Sicherheitspflichten, verbrauchergerichteter Vertragsbedingungen und etwaiger branchenspezifischer Lizenzierung. Diese Fragen während der Produktentwicklung zu klären, statt nach einer behördlichen Anfrage, ist das, was verhindert, dass eine einzelne kommerzielle Entscheidung später zu einem Compliance-Versagen wird.
Was ist das KVKK und wie unterscheidet es sich von der DSGVO?
Das KVKK (Gesetz zum Schutz personenbezogener Daten Nr. 6698) ist das allgemeine Datenschutzgesetz der Türkei, das in seinen Grundsätzen, den Rechten der betroffenen Personen und den Rechenschaftspflichten der DSGVO strukturell nahesteht. Der entscheidende Unterschied liegt in der grenzüberschreitenden Datenübermittlung. Während die DSGVO Übermittlungen auf der Grundlage von Angemessenheitsbeschlüssen und standardisierten Garantien zulässt, verlangte das KVKK historisch entweder die ausdrückliche Einwilligung der betroffenen Person oder dass das Bestimmungsland auf der Liste der Länder mit angemessenem Schutz erscheint, die von der Behörde zum Schutz personenbezogener Daten geführt wird. Da diese Angemessenheitsliste in der Praxis begrenzt geblieben ist, stützen sich die meisten internationalen Unternehmen auf von der Behörde genehmigte schriftliche Verpflichtungserklärungen oder Standardvertragsgarantien, anstatt ein Bestimmungsland automatisch als sicher zu behandeln.
VERBIS-Registrierung für Datenverantwortliche
Unternehmen, die festgelegte Schwellenwerte erreichen oder deren Kerntätigkeit die Verarbeitung sensibler personenbezogener Daten ist, müssen sich bei VERBIS registrieren, dem öffentlichen Register der Datenverantwortlichen, das von der Behörde zum Schutz personenbezogener Daten geführt wird. Die Registrierung dokumentiert das Datenverzeichnis des Verantwortlichen, die Verarbeitungszwecke, die Aufbewahrungsfristen und die Sicherheitsmaßnahmen. Ein ausländischer Datenverantwortlicher ohne türkische Niederlassung muss einen Vertreter des Datenverantwortlichen in der Türkei bestellen, eine Rolle, die unsere Kanzlei für internationale Mandanten übernimmt. Eine versäumte Registrierung oder die Registrierung unrichtiger Angaben setzt den Verantwortlichen Verwaltungsgeldbußen aus.
Grenzüberschreitende Datenübermittlung
Nach dem KVKK dürfen personenbezogene Daten von Nutzern in der Türkei nicht allein aus Bequemlichkeit auf Server im Ausland übermittelt werden. Die ausdrückliche Einwilligung ist ein Weg, aber sie ist fragil, weil ein Nutzer sie jederzeit widerrufen kann. Der dauerhaftere Weg ist eine schriftliche Verpflichtungserklärung oder ein Standardvertragsmechanismus, der von der Behörde zum Schutz personenbezogener Daten genehmigt wird und durch eine echte technische und organisatorische Sicherheitsäquivalenz gestützt ist. Wir erstellen und reichen diese Instrumente ein, damit ein global tätiges Unternehmen seine Daten auf seiner bestehenden Cloud-Infrastruktur halten kann und dabei nach türkischem Recht rechtmäßig bleibt.
Wie reguliert die Türkei Kryptowährungen und Krypto-Asset-Plattformen?
Anbieter von Kryptowährungs- und Krypto-Asset-Dienstleistungen in der Türkei werden nach dem Kapitalmarktgesetz Nr. 6362 reguliert, das geändert wurde, um Krypto-Vermögenswerte unter die Aufsicht des Kapitalmarktausschusses (SPK) zu stellen. Anbieter von Krypto-Asset-Dienstleistungen, einschließlich Börsen und Verwahrungsplattformen, müssen eine Betriebserlaubnis des SPK besitzen und Verpflichtungen in Bezug auf Kapital, Governance, Verwahrung und Geldwäschebekämpfung erfüllen. Der Betrieb einer Börse, die sich an Nutzer in der Türkei richtet, ohne diese Erlaubnis, wird als nicht genehmigte Kapitalmarkttätigkeit behandelt und kann zur strafrechtlichen Verantwortlichkeit der verantwortlichen Führungskräfte und zur Zugangssperrung der Plattform führen.
Lizenzierung einer Kryptobörse
Eine ausländische Börse, die türkische Nutzer anwirbt, auf Türkisch wirbt oder Handelspaare in türkischer Lira anbietet, muss in der Regel eine türkische Aktiengesellschaft gründen und eine SPK-Genehmigung erlangen. Die Lizenzierung umfasst die Erfüllung von Mindestkapitalanforderungen, die Umsetzung von Kontrollen zur Geldwäschebekämpfung und Kundenidentifizierung im Einklang mit MASAK (dem Untersuchungsausschuss für Finanzverbrechen) und die Einrichtung konformer Verwahrungsregelungen. Wir betreuen den Genehmigungsantrag von Anfang bis Ende und strukturieren die Gesellschaftsform, die die Lizenz hält.
Token-Emission und Web3-Strukturierung
Die Token-Emission birgt ein Wertpapierrisiko. Ein Token, der sich wie ein Gewinnbeteiligungs- oder Dividendeninstrument verhält, kann als Wertpapier behandelt werden, was Prospekt- und Offenlegungspflichten auslöst. Wir erstellen Rechtsgutachten, die Utility-Token von Security-Token abgrenzen, strukturieren die emittierende Einheit und beschränken Privatkundenangebote geografisch (Geo-Fencing), damit Gründer in der Türkei nicht dem Vorwurf eines nicht genehmigten öffentlichen Angebots ausgesetzt sind.
Welche E-Commerce-Regeln gelten für ausländische Online-Plattformen?
Ausländische Online-Plattformen, die an Verbraucher in der Türkei verkaufen, müssen das Gesetz zur Regulierung des elektronischen Handels Nr. 6563 und die Verordnung über Fernabsatzverträge einhalten. Zwei Pflichten sind am wichtigsten. Erstens muss jeder Verkauf von Unternehmen an Verbraucher dem Verbraucher ein vierzehntägiges Widerrufsrecht ohne Vertragsstrafe gewähren, zusammen mit einem detaillierten vorvertraglichen Informationsformular vor dem Kauf. Zweitens erfordern kommerzielle elektronische Nachrichten wie Marketing-SMS, E-Mails oder automatisierte Anrufe eine vorherige Zustimmung, die im zentralen Nachrichtenverwaltungssystem (IYS) erfasst wird; das Opt-out eines Verbrauchers muss automatisch berücksichtigt werden. Das Versenden unerwünschter Werbung ohne IYS-Zustimmung oder die Verweigerung einer rechtmäßigen Rückerstattung zieht Verwaltungsgeldbußen und Verbraucherbeschwerden nach sich, die die lokale Zahlungsabwicklung stören können.
Können türkische Behörden eine ausländische Plattform sperren oder drosseln?
Ja. Nach dem Internetgesetz Nr. 5651 muss ein ausländischer Anbieter sozialer Netzwerke mit einer großen täglichen türkischen Nutzerbasis einen lokalen Vertreter bestellen, um rechtliche Mitteilungen entgegenzunehmen und darauf zu reagieren. Wenn ein Gericht die Entfernung von Inhalten aus Gründen der Persönlichkeitsrechte oder aus anderen gesetzlichen Gründen anordnet, muss der Anbieter innerhalb der gesetzlichen Frist handeln. Eine Weigerung kann dazu führen, dass die Behörde für Informations- und Kommunikationstechnologien (BTK) Werbeverbote, Geldbußen und eine fortschreitende Bandbreitendrosselung verhängt, die den Dienst beeinträchtigt. Wir handeln als bestellter Vertreter, prüfen die Wirksamkeit jeder Anordnung, legen Widerspruch ein, wenn eine Anordnung fehlerhaft ist, und setzen eng zugeschnittene Compliance um, damit eine einzelne Streitigkeit die Gesamtverfügbarkeit der Plattform nicht gefährdet.
Was sind die wichtigsten rechtlichen Risiken für Technologieunternehmen und die Ausnahmen?
Die wiederkehrenden Risiken sind die unrechtmäßige grenzüberschreitende Datenübermittlung, die fehlende VERBIS-Registrierung, der Betrieb eines Kryptodienstes ohne SPK-Genehmigung, unerwünschte Werbung ohne IYS-Zustimmung und die Missachtung von Pflichten zur Inhaltsentfernung oder Vertreterbestellung nach dem Internetgesetz. Jedes davon zieht Verwaltungsgeldbußen nach sich, und mehrere bergen ein strafrechtliches Risiko oder eine Zugangssperrung. Die wichtigsten Ausnahmen und Verteidigungsmittel umfassen andere Rechtsgrundlagen als die Einwilligung nach dem KVKK, eine echte Anonymisierung, die Daten aus dem Anwendungsbereich personenbezogener Daten herausnimmt, von der Behörde genehmigte Übermittlungsinstrumente und die Strukturierung von Krypto- oder Token-Aktivitäten so, dass sie nicht auf türkische Privatkunden abzielen. Ob eine Ausnahme greift, ist einzelfallabhängig und sollte beurteilt werden, bevor eine Aufsichtsbehörde handelt, nicht danach.
Brauche ich einen Anwalt für Angelegenheiten des Technologie- und Datenschutzrechts?
Ein Anwalt ist immer dann erforderlich, wenn ein Technologieprodukt türkische Nutzer in großem Umfang berührt, sensible oder biometrische Daten verarbeitet, Daten ins Ausland übermittelt, Krypto- oder Token-Dienste anbietet oder eine behördliche Mitteilung erhalten hat. Diese Angelegenheiten verbinden Datenschutz-, Kapitalmarkt-, Verbraucher- und Internetrecht, und ein Fehltritt in einem Bereich kann Zahlungsgateways einfrieren oder den gesamten Dienst sperren. Die Beauftragung eines Rechtsbeistands während der Produktentwicklung ist weitaus kostengünstiger als die Verteidigung eines Vollstreckungsverfahrens nach der Markteinführung.
Häufig gestellte Fragen
Gilt das KVKK für ein Unternehmen ohne Niederlassung in der Türkei?
Ja. Das KVKK gilt auf der Grundlage der Verarbeitung personenbezogener Daten von Personen in der Türkei, nicht danach, wo das Unternehmen eingetragen ist oder wo sich seine Server befinden. Ein ausländischer Datenverantwortlicher, der die Daten türkischer Nutzer verarbeitet, ist in der Regel verpflichtet, sich bei VERBIS zu registrieren und einen Vertreter des Datenverantwortlichen in der Türkei zu bestellen.
Können wir Kundendaten auf AWS oder Google Cloud außerhalb der Türkei speichern?
Oft ja, aber nicht automatisch. Die Speicherung personenbezogener Daten türkischer Nutzer auf ausländischer Cloud-Infrastruktur ist eine grenzüberschreitende Übermittlung nach dem KVKK. Sie muss entweder durch eine gültige ausdrückliche Einwilligung oder, dauerhafter, durch eine von der Behörde genehmigte schriftliche Verpflichtungserklärung oder einen Standardvertragsmechanismus zuzüglich angemessener Sicherheitsmaßnahmen gestützt sein. Wir erstellen und reichen die Instrumente ein, die die Übermittlung genehmigen.
Ist es legal, eine Kryptobörse für türkische Nutzer aus dem Ausland zu betreiben?
Das Ansprechen türkischer Nutzer über eine nicht lizenzierte Offshore-Börse wird nach dem Gesetz Nr. 6362 als nicht genehmigte Kapitalmarkttätigkeit behandelt und kann zur strafrechtlichen Verantwortlichkeit und zur Zugangssperrung führen. Eine Plattform, die türkische Nutzer haben möchte, muss in der Regel eine türkische Gesellschaft gründen und eine SPK-Genehmigung erlangen, einschließlich MASAK-konformer Kontrollen zur Geldwäschebekämpfung.
Was passiert, wenn wir Marketingnachrichten ohne IYS-Zustimmung versenden?
Jede nicht genehmigte kommerzielle elektronische Nachricht kann eine Verwaltungsgeldbuße auslösen, und wiederholte Verstöße ziehen behördliche und verbraucherseitige Beschwerden nach sich. Marketing-SMS, E-Mails und automatisierte Anrufe an türkische Verbraucher müssen im IYS-System registriert werden, und Opt-outs müssen automatisch angewendet werden.
Ein türkisches Gericht hat uns angeordnet, Inhalte zu entfernen. Wie lautet die Frist?
Nach dem Internetgesetz Nr. 5651 müssen Anbieter auf eine gültige Anordnung zur Inhaltsentfernung innerhalb der für die jeweilige Art der Anordnung geltenden gesetzlichen Frist handeln. Das Versäumen der Frist kann dazu führen, dass die BTK Werbeverbote, Geldbußen und eine Bandbreitendrosselung verhängt. Wir prüfen die Wirksamkeit der Anordnung, leisten Folge, wo dies erforderlich ist, und fechten fehlerhafte Anordnungen an.
Wie schnell sollten wir nach einer behördlichen Anfrage einen Rechtsbeistand hinzuziehen?
Sofort. Ein frühzeitig hinzugezogener Rechtsbeistand kann eine nicht konforme Datenpipeline anhalten, Verteidigungsmittel wie Anonymisierung oder alternative Rechtsgrundlage sichern und einen strukturierten Dialog mit der Aufsichtsbehörde eröffnen, bevor Geldbußen und Löschungsanordnungen abgeschlossen werden. Eine Verzögerung verengt die verfügbaren Verteidigungsmittel.
Verwandte Rechtsdienstleistungen
Technologieangelegenheiten verbinden sich häufig mit anderen Tätigkeitsbereichen. Wir koordinieren die Technologie- und Datenarbeit mit der Gründung von Unternehmen in der Türkei für die Gesellschaftsform, die eine SPK-Lizenz hält, mit dem Gesellschafts- und Handelsrecht für SaaS- und Plattformverträge, mit der Strukturierung ausländischer Direktinvestitionen für eingehendes Technologiekapital, mit dem Steuerrecht und den Zollvorschriften für die Besteuerung digitaler Dienstleistungen und mit der Strafverteidigung und Zuständigkeit, wo eine kapitalmarkt- oder cyberkriminalitätsbezogene Haftung entsteht.
Vertrauliche Fallbewertung anfordern
Wenn Ihre Plattform Daten türkischer Nutzer verarbeitet, türkischen Nutzern Krypto- oder Token-Dienste anbietet oder eine behördliche Mitteilung erhalten hat, fordern Sie eine vertrauliche Fallbewertung an. Beschreiben Sie das Produkt, die Datenflüsse und jede anhängige Anordnung, und wir werden die geltenden Pflichten und die Struktur ermitteln, die Sie konform und betriebsfähig hält.
Rechtlicher Hinweis
Diese Seite bietet allgemeine Informationen über das türkische Technologie-, Datenschutz- und Kapitalmarktrecht und stellt keine Rechtsberatung dar. Das Lesen dieser Seite begründet kein Mandatsverhältnis. Ein Mandatsverhältnis entsteht nur durch einen unterzeichneten Mandatsvertrag. Für eine Beratung zu einer konkreten Situation wenden Sie sich an einen qualifizierten Anwalt.