In der heutigen Welt, in der die globalen Kapitalströme rapide zunehmen, haben internationale Investitionen sowohl rechtliche als auch finanzielle Bedeutung. Eine der wichtigsten rechtlichen Fragen ist, wie personenbezogene Daten in Übereinstimmung mit lokalen und internationalen Standards gehandhabt und geschützt werden. Ausländische Investoren, die in der Türkei tätig werden möchten, müssen bei der Verarbeitung oder Übermittlung personenbezogener Daten ins Ausland bestimmte rechtliche und technische Vorschriften gemäß dem türkischen Datenschutzgesetz Nr. 6698 (KVKK) einhalten. Dieses Gesetz ähnelt der DSGVO (EU) und dem CCPA (USA), enthält jedoch einige Unterschiede.
Dieser Leitfaden beschreibt die wichtigsten Punkte, die Anleger in Amerika (Amerika) und EMEA (Europa, Naher Osten, Afrika) berücksichtigen sollten, wenn sie die Einhaltung des türkischen Datenschutzgesetzes (KVKK) sicherstellen.
Grundprinzipien von KVKK im Datenschutzprozess
Grenzüberschreitende Datenübermittlungen nach Artikel 9: Neues Konzept nach dem 1. September 2024
Die KVKK, die am 7. April 2016 in Kraft getreten ist, entspricht weitgehend den Kernprinzipien der EU-DSGVO. Im älteren System basierten Datenübertragungen auf Elementen wie sicheren Länderlisten, Verpflichtungen oder ausdrücklichen Einwilligungen. Im neuen System liegt der Schwerpunkt auf Angemessenheitsbeschlüssen, angemessenen Garantien und Ausnahmefällen. Die neue Verordnung über die Übermittlung personenbezogener Daten ins Ausland wurde am 10.Juli 2024 im Amtsblatt veröffentlicht (Nr. 32598) und trat sofort in Kraft. Mit dieser Verordnung wird die gesamte Struktur für grenzüberschreitende Datenübermittlungen unter
Artikel 9 der KVKK wurde aktualisiert, um sich stärker an die DSGVO-Regeln anzupassen.
Gemäß Artikel 9 muss für die Übermittlung personenbezogener Daten ins Ausland einer der in Artikel 5 oder 6 des Gesetzes aufgeführten Rechtsgründe gelten. Dazu gehören:
- Einholung einer ausdrücklichen Einwilligung,
- Erfüllung eines Vertrages,
- Schutz des öffentlichen Interesses oder des Lebens,
- Begründung oder Inanspruchnahme eines Rechtsanspruchs.
Darüber hinaus müssen grenzüberschreitende Datenübertragungen einem von zwei Hauptrechtswegen entsprechen:
1) Angemessenheitsbeschluss
Personenbezogene Daten können in Länder übermittelt werden, die offiziell als Länder mit angemessenem Datenschutz anerkannt sind. Diese Entscheidungen werden vom türkischen Datenschutzausschuss auf der Grundlage verschiedener Faktoren getroffen, wie z. B. den internationalen Beziehungen, der Art der Datenübertragung, der Gegenseitigkeit und den Datenschutzstandards im anderen Land.
2) Angemessene Garantien
Wenn für das Zielland kein Angemessenheitsbeschluss vorliegt, können die Daten dennoch unter Verwendung zusätzlicher genehmigter Garantien, wie z. B. Verträge oder Vereinbarungen, übermittelt werden.
Erster Schritt: Angemessenheit
Angemessenheitsentscheidungen können nicht nur von Ländern, sondern auch für bestimmte Sektoren oder internationale Organisationen getroffen werden. Beispielsweise könnte eine Entscheidung nur für den Automobilsektor eines bestimmten Landes gelten. Bis Mai 2025 hat der türkische Vorstand jedoch noch keine Angemessenheitsbeschlüsse erlassen. Dies bedeutet, dass sich Anleger aus Amerika und EMEA auf die zweite Option konzentrieren müssen: die Verwendung geeigneter Sicherheitsvorkehrungen.
Angemessene Sicherheitsvorkehrungen
Wenn kein Angemessenheitsbeschluss vorliegt, stehen unter KVKK die folgenden Sicherungsinstrumente zur Verfügung:
- Standardverträge: Übertragungen können auf vom Vorstand veröffentlichten Musterverträgen basieren. Die Benachrichtigung muss innerhalb von 5 Werktagen erfolgen.
- Verbindliche Unternehmensregeln: Diese werden für Datenübertragungen innerhalb einer Unternehmensgruppe verwendet.
- Zusagen und Genehmigung des Vorstands: Beide Parteien unterzeichnen eine Zusage und erhalten die Genehmigung des Vorstands.
- Öffentliche internationale Abkommen: Diese gelten für Kooperationen zwischen öffentlichen Einrichtungen und bedürfen der Zustimmung des Vorstands.
Was sollten AMER- und EMEA-Investoren tun?
Angesichts des neuen Systems sollten Anleger aus Amerika und EMEA, die derzeit in der Türkei tätig sind oder eine Investition planen, einem klaren und strukturierten Compliance-Prozess folgen. Zu den wichtigsten Schritten gehören:
- Erstellen Sie ein Dateninventar: Identifizieren Sie alle in der Türkei verarbeiteten personenbezogenen Daten. Geben Sie Datentypen, betroffene Personen, Zwecke und Aufbewahrungsfristen an.
- Legen Sie eine Datenübertragungsstrategie fest: Bestimmen Sie, ob Datenübertragungen fortlaufend oder einmalig sind.
- Wählen Sie eine Übertragungsmethode: Wenn kein Angemessenheitsbeschluss vorliegt, wählen Sie eines der Sicherungsinstrumente aus. Standardverträge und verbindliche Unternehmensregeln werden häufig von AMER- und EMEA-Unternehmen verwendet.
- Benachrichtigungen abschließen oder Genehmigung einholen: Reichen Sie je nach gewählter Methode die erforderlichen Benachrichtigungen ein oder lassen Sie sich vom Vorstand genehmigen.
- Sicherheitsmaßnahmen implementieren: Stellen Sie sicher, dass sowohl technische als auch administrative Sicherheitsvorkehrungen getroffen werden.
Schlussfolgerung
Die neuen Regeln für den grenzüberschreitenden Datentransfer in der Türkei bieten Anlegern einen vorhersehbareren rechtlichen Rahmen. Unternehmen mit Sitz in EMEA können sich aufgrund von Ähnlichkeiten mit der DSGVO leichter anpassen. Amerikanische Unternehmen sollten jedoch beachten, dass US-Vorschriften wie CCPA oder HIPAA in der Türkei nicht gültig sind, sodass sie sich entsprechend anpassen müssen.
Für alle Anleger ist die Einhaltung der lokalen Vorschriften in der Türkei für das Risikomanagement und den langfristigen Erfolg unerlässlich.
