KVKK Artikel 9 schreibt einen „angemessenen Schutz“ bei der internationalen Datenübertragung vor. Die Liste der „qualifizierten Länder“ von Türkiye ist noch sehr begrenzt; Für die meisten Cloud-Anbieter ist ein Standardvertrag (TR-SCC) oder eine ausdrückliche Einwilligung die einzige Option.
KVKK Artikel 9 – internationale Transferregel
- Ausdrückliche Zustimmung des Dateneigentümers oder
- Land, das angemessenen Schutz bietet (erklärt KVKK), oder
- Wenn das Land nicht ausreicht: Schriftliche Verpflichtung zwischen dem Datenverantwortlichen + Empfänger + KVKK-Genehmigung.
Ausreichende Länderliste (bis 2025)
KVKK hat die offizielle Liste noch nicht veröffentlicht. Praktischerweise ist für jede Übertragung eine separate Verpflichtungserklärung + KVKK-Genehmigung erforderlich.
Häufige Szenarien
- AWS, Azure, GCP: Daten in US-/EU-Rechenzentren – im Ausland.
- Salesforce, HubSpot: SaaS mit Sitz in den USA – im Ausland.
- Google Workspace, M365: Daten sind global – im Ausland.
- Stripe, PayPal: Zahlungsabwickler – Ausland + zusätzliche Finanzvorschriften.
3 Lösungen
Häufig gestellte Fragen
Es gibt die AWS-Region Türkiye; Reicht das?
Die AWS-Region Istanbul bietet lokale Datenspeicherung; aber Ersatz kann nach Frankfurt oder Dublin gehen. „Datenresidenz“ muss im Vertrag und in der technischen Konfiguration klar definiert sein.
Es ist sehr schwierig, die Einwilligung einzelner Kunden einzuholen; Alternative?
Standardvertrag + KVKK-Genehmigung. EU-SCC-Beispieltext Türkische Übersetzung + Vorstandsanwendung mit lokalen Verbesserungen. Die KVKK-Genehmigung erfolgt innerhalb von 4–6 Monaten.
Wir verwenden Google Analytics; Problem?
In Europa gaben einige Datenschutzbehörden Warnungen zu GA4 heraus (nach Schrems II). Für Türkiye: Anonymer Nutzungsmodus + IP-Anonymisierung + Standardvereinbarung empfohlen. Alternative: Plausible, Matomo (auf eigenem Server).
Wird Schrems II in der Türkei umgesetzt?
Nicht direkt; Aber KVKK nimmt es als Beispiel. Die CLOUD Act- und FISA 702-Risiken bei der Verlagerung in die USA wurden in den Entscheidungen des Boards berücksichtigt. Zusätzliche Sicherheit (Verschlüsselung im Ruhezustand, Schlüsselverwaltung in der Türkei) wird empfohlen.
Bei Verstoß an welche Behörde?
Wenn der türkische Dateneigentümer betroffen ist, KVKK; Wenn eine betroffene Person aus der EU betroffen ist, ist die zuständige EU-Datenschutzbehörde zuständig. Die meisten Verstöße erfordern eine parallele Benachrichtigung; Beide Institutionen arbeiten unabhängig voneinander.
Einschlägige Gesetzgebung
- KVKK-Nr. 6698 Artikel 12 – Verpflichtung zur Datensicherheit; Mitteilung über einen Verstoß (Art. 12/5).
- KVKK-Nr. 6698 Artikel 14 – Anspruch auf Schadensersatz.
- KVKK-Nr. 6698 Artikel 18 – Verwaltungsstrafe (bis zu 5 Millionen TL).
- DSGVO Art. 33-34 – 72-Stunden-Benachrichtigung bei Verstößen bei grenzüberschreitender EU-Übermittlung.
- TCK Art. 135-136 – Unrechtmäßige Erfassung/Verbreitung personenbezogener Daten.