Muhtaranlar Attorney Partnership

Leitfaden zur Anfechtung der Entscheidungen der Datenschutzbehörde

Im Einklang mit der Vision der Datenschutzbehörde, "eine effektive und international maßgebliche Autorität zum Schutz personenbezogener Daten und zur Schaffung eines diesbezüglichen Bürgerbewusstseins zu sein", hat die Behörde am 4. Januar 2018 einen Akkreditierungsantrag bei der Europäischen Datenschutzkonferenz (Spring Conference) eingereicht. Dieser Antrag wurde im Rahmen der 29. Europäischen Datenschutzkonferenz, die vom 8. bis 10. Mai 2019 stattfand, durch eine Abstimmung angenommen. Die Anerkennung der Türkei als "akkreditiertes Land" auf internationalen Plattformen hat die Aktivitäten der Behörde beschleunigt. In letzter Zeit hat der Rat aufgrund von Verstößen gemäß Artikel 18 des Gesetzes zum Schutz personenbezogener Daten, der "Verwaltungsübertretungen" betrifft, Geldstrafen von bis zu 1.000.000 Türkische Lira pro Verstoß verhängt, und es scheint, dass diese Entscheidungen unvermindert fortgesetzt werden, wenn Unternehmen die Anforderungen des Gesetzes und der Behörde nicht erfüllen. Dieser Leitfaden enthält Informationen darüber, was zu tun ist, um Bußgelder des Rates zu vermeiden, und wie man gegen Entscheidungen des Rates Einspruch erheben kann.

Welche Verstöße sind in den Bußgeldentscheidungen des Rates am häufigsten?

Ein auffälliges Beispiel für bisher getroffene Entscheidungen ist der Facebook-Fall, in dem der Rat hauptsächlich wegen Verstößen gegen Absatz 1 von Artikel 12 des Gesetzes Nr. 6698, der die Pflicht zur Ergreifung technischer und organisatorischer Maßnahmen zur Sicherstellung der Datensicherheit vorschreibt, entschieden hat. Der von der Behörde erstellte und in ihren Entscheidungen zitierte Leitfaden zur Datensicherheit wurde öffentlich zugänglich gemacht und ist auf der Website der Behörde verfügbar. Gemäß den einschlägigen Vorschriften ist der Datenverantwortliche verpflichtet, alle notwendigen technischen und organisatorischen Maßnahmen zu ergreifen, um ein angemessenes Sicherheitsniveau zu gewährleisten und unrechtmäßigen Zugriff auf personenbezogene Daten zu verhindern. Der Rat stellt fest, dass, wenn zwischen dem Zeitpunkt des Verstoßes und seiner Entdeckung eine lange Zeitspanne liegt, das Unternehmen keine ausreichenden Kontrollen und Überprüfungen durchgeführt hat. Darüber hinaus wird entschieden, dass die Konfiguration der Hard- und Software des Unternehmens sowie die getroffenen Sicherheitsmaßnahmen unzureichend sind, wenn Angreifer nach einem erfolgten Verstoß weiterhin im System vordringen und auf andere Informationen zugreifen können.

Ein weiterer häufiger Grund für Bußgelder sind Verstöße gegen die Verpflichtung zur "sofortigen" Benachrichtigung gemäß Absatz 5 von Artikel 12 des Gesetzes. Wenn personenbezogene Daten auf unrechtmäßige Weise erlangt werden, muss der Datenverantwortliche dies der betroffenen Person und dem Rat unverzüglich melden. Der Rat hat in seiner Entscheidung vom 24. Januar 2019 (Nr. 2019/10) den Begriff "sofort" als 72 Stunden interpretiert, in Anlehnung an die detaillierten Regelungen der Europäischen Datenschutz-Grundverordnung (GDPR), die die Richtlinie 95/46/EC ersetzt. Hier ist wichtig zu beachten, dass Verantwortliche auch bestraft werden können, wenn sie ihrer Meldepflicht gegenüber dem Rat nachkommen, aber die betroffene Person nicht informieren.

Was kann getan werden, um Datenverstöße zu verhindern oder im Falle eines Verstoßes?

Zunächst bedeutet die Verpflichtung zur Ergreifung von Maßnahmen, dass alle notwendigen technischen und organisatorischen Vorkehrungen getroffen werden müssen, um ein angemessenes Sicherheitsniveau zu gewährleisten und unrechtmäßigen Zugriff auf personenbezogene Daten zu verhindern. Eine gut aufgebaute technische Infrastruktur ist unerlässlich. Technische Überprüfungen und Kontrollen sollten intensiviert werden.

Im Falle eines Verstoßes ist es hilfreich, die erforderlichen Infrastrukturen bereitzuhalten, um sofort und direkt mit den Betroffenen kommunizieren zu können, um die Benachrichtigungspflicht zu erfüllen.

Unser rechtlicher Rat ist, dass jedes Unternehmen rechtliche Due-Diligence-Prüfungen durch Juristen, die mit dem Datenschutzgesetz und dessen Anwendung vertraut sind, durchführen lässt. So können künftig hohe Bußgelder und aufwändige Rechtsverfahren vermieden werden.

Wo und wie kann gegen Entscheidungen des Rates Einspruch erhoben werden?

Während im Artikel 18 des Datenschutzgesetzes, der "Verwaltungsübertretungen" betrifft, Geldstrafen geregelt werden, wird im Gesetz nicht der Einspruchsprozess gegen diese Entscheidungen geregelt. In der Begründung des Gesetzes wird jedoch darauf hingewiesen, dass in Fällen, in denen das Gesetz keine Bestimmungen zu Übertretungen enthält, die Bestimmungen des allgemeinen Gesetzes Nr. 5326 über Übertretungen anzuwenden sind.

Gemäß Artikel 27 des Gesetzes Nr. 5326 über Übertretungen ist gegen Geldstrafen innerhalb von 15 Tagen nach Zustellung oder Verkündung der Entscheidung beim zuständigen Strafgericht erster Instanz Einspruch zu erheben. Wird innerhalb dieser Frist kein Einspruch erhoben, wird die Entscheidung rechtskräftig. Das zuständige Strafgericht erster Instanz ist gemäß Artikel 12 der Strafprozessordnung (CMK) das Gericht am Ort der Begehung der Übertretung oder am Wohnort des Betroffenen. Gemäß Artikel 269 der Strafprozessordnung führt ein Einspruch nicht zur Aussetzung der Entscheidung, es sei denn, die Behörde oder die für die Überprüfung zuständige Stelle entscheidet darüber. Ein Einspruch allein hindert die Behörde nicht daran, eine Vollstreckung zu beantragen.

Das Gericht kann gemäß Artikel 28 des Gesetzes über Übertretungen nach Prüfung des Falls den Einspruch abweisen, die Verwaltungsmaßnahme aufheben oder den Betrag der Geldstrafe ändern und den Einspruch annehmen. Um erfolgreich zu sein, ist es wichtig, dass der Einspruch gut vorbereitet ist und auf soliden rechtlichen Argumenten beruht.

Worauf sollte man bei der Anfechtung von Entscheidungen des Rates achten?

Um von der Regelung des Gesetzes über Übertretungen, dass bei Zahlung der Geldstrafe vor Einlegung eines Rechtsbehelfs nur drei Viertel des Betrags erhoben werden, zu profitieren, sollte die Geldstrafe zunächst bezahlt und dann Einspruch erhoben werden. Die sofortige Zahlung berührt nicht das Recht, gegen die Entscheidung Rechtsmittel einzulegen. Die Einlegung eines Rechtsbehelfs ohne Zahlung der Strafe führt zum Verlust des Vorteils der frühen Zahlung.

Darüber hinaus sind Einsprüche gegen Entscheidungen der Strafkammern gemäß dem Urteil des Verfassungsgerichts Nr. 2011/54, das bestimmte Bestimmungen des Gesetzes Nr. 6217 zur Beschleunigung der Justizdienste für verfassungswidrig erklärt hat, von Gebühren befreit. Selbst wenn der Einspruch abgelehnt wird, fallen daher keine Gebühren an, nur die Verfahrenskosten sind zu tragen.

Datenverantwortliche, die außerhalb der Türkei ansässig sind, aber personenbezogene Daten türkischer Staatsbürger verarbeiten, sollten berücksichtigen, dass die Bestimmungen des türkischen Datenschutzgesetzes auch für sie gelten können.