Die Struktur des KVKK nach den Änderungen von 2024

Das KVKK ist das primäre Datenschutzgesetz in der Türkei, und sein geänderter Text ist nun der Referenzpunkt. Publisher, die mit der Version vor 2024 gearbeitet haben, stützen sich auf einen veralteten Rahmen.

Was die Änderungen von 2024 verändert haben

Die wichtigste Änderung war die Neufassung von Artikel 9, der internationale Datenübermittlungen regelt. Das Regime vor 2024 war notorisch schwer zu erfüllen — es erforderte für nahezu jeden grenzüberschreitenden Datenfluss entweder eine ausdrückliche Einwilligung oder eine fallweise Genehmigung des Rats, was für jeden modernen Ad-Tech-Stack unpraktikabel war. Der geänderte Artikel 9 führt drei Ebenen von Übermittlungsmechanismen ein: einen Angemessenheitsbeschluss des Rats, eine Reihe geeigneter Garantien einschließlich Standardvertragsklauseln und in engen Fällen eine Reihe von Ausnahmen. Dies bringt das türkische Übermittlungsrecht endlich in Einklang mit dem DSGVO-Muster und ermöglicht international regelkonformes programmatisches Advertising ohne Einzel-Antrag beim Rat für jeden Anbieter.

Was sich nicht verändert hat

Die Kerndefinitionen, Rechtsgrundlagen, Betroffenenrechte und der Standard der ausdrücklichen Einwilligung für sensible Daten sind unverändert geblieben. Die türkische Schwelle für ausdrückliche Einwilligung ist in der Praxis strenger als der DSGVO-Standard, und hier liegen nach wie vor die meisten Compliance-Lücken bei Publishern.

Das VERBIS-Register

Verantwortliche, die bestimmte Schwellenwerte überschreiten — darunter die meisten ausländischen Verantwortlichen, die türkische personenbezogene Daten im großen Maßstab verarbeiten — müssen sich im Datenverantwortlichen-Register (VERBIS) registrieren. Die Registrierung erfordert die Offenlegung von Verarbeitungstätigkeiten, Rechtsgrundlagen und Übermittlungsmechanismen. Viele ausländische Publisher haben die VERBIS-Registrierung historisch übersprungen; der Rat hat für 2025 und 2026 eine aktivere Haltung in dieser Frage signalisiert.

Was unter KVKK als personenbezogene Daten gilt

Die Definition personenbezogener Daten im KVKK ist weit gefasst und entspricht weitgehend der DSGVO. Personenbezogene Daten sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person, und die Leitlinien des Rats haben Cookies, Werbe-IDs, IP-Adressen und Geräte-Fingerprints konsequent als personenbezogene Daten behandelt, wenn sie direkt oder durch zumutbare Mittel mit einem Nutzer verknüpft werden können.

Besondere Kategorien personenbezogener Daten

Die Liste der sensiblen Kategorien im KVKK ist breiter als in der DSGVO: Sie schließt ausdrücklich Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Sekte, Aussehen, Mitgliedschaft in einem Verein oder einer Stiftung, Gesundheit, Sexualleben, Strafurteil, Sicherheitsmaßnahmen sowie biometrische und genetische Daten ein. Die Verarbeitung jeder dieser Kategorien erfordert eine ausdrückliche Einwilligung — nicht die mehrdeutige oder gebündelte Art, sondern eine spezifische, informierte, frei gegebene Einwilligung, die an die konkrete sensible Verarbeitung gebunden ist.

Warum das bei Cookies relevant ist

Ein Cookie, das lediglich eine Sitzungs-ID speichert, ist grundlegende personenbezogene Daten. Ein Cookie, das ein Zielgruppensegment wie Liberale Wähler oder Fromme religiöse Gemeinschaft speist, ist nach türkischer Definition sensible personenbezogene Daten — und die erforderliche Einwilligungskonfiguration lautet ausdrückliche Einwilligung oder nichts. Publisher, die Zielgruppensegmente ansprechen, die die sensible Liste des KVKK berühren, sollten diese Segmente nicht unter einer allgemeinen Werbeeinwilligung betreiben.

Cookie-Einwilligung unter KVKK im Jahr 2026

Die Haltung des Rats zu Cookies hat sich in den vergangenen zwei Jahren verschärft. Die aktuelle Leitlinie ist eindeutig: Cookies und Tracking-Technologien, die personenbezogene Daten verarbeiten, erfordern eine Einwilligung, sofern sie nicht unbedingt für einen vom Nutzer angeforderten Dienst erforderlich sind.

Die vier Elemente einer gültigen ausdrücklichen Einwilligung

Die türkische ausdrückliche Einwilligung muss:

• Auf einen bestimmten Zweck bezogen sein — eine allgemeine Dach-Einwilligung, die unbestimmte künftige Verarbeitungen abdeckt, ist ungültig
• Informiert sein — der Nutzer versteht, welche Daten verarbeitet werden, zu welchem Zweck, von wem und wie lange
• Freiwillig gegeben sein — der Nutzer kann ablehnen, ohne einen Dienst verweigert zu bekommen, auf den er anderweitig Anspruch hat
• Durch eine eindeutige Bestätigungshandlung ausgedrückt werden — vorangekreuzte Kästchen, implizite Einwilligung und Scrollen als Einwilligung sind allesamt ungültig

Wie eine regelkonforme CMP aussieht

Eine für türkischen Traffic konfigurierte CMP sollte im Jahr 2026 präsentieren:

• Ein sichtbares Banner, bevor ein nicht wesentliches Cookie gesetzt wird, standardmäßig auf Türkisch (Türkçe) für türkische Nutzer
• Gleiche visuelle Prominenz für Akzeptieren, Ablehnen und Anpassen — der Rat hat ausdrücklich Banner-Designs kritisiert, bei denen Ablehnen weniger sichtbar ist als Akzeptieren
• Granulare Schalter je Zweck: Analyse, Werbung, Personalisierung, grenzüberschreitende Übermittlung und jede Verarbeitung sensibler Kategorien
• Einen dauerhaft und leicht zugänglichen Mechanismus, um die Einwilligung nach der ersten Auswahl zu widerrufen
• Ein türkischsprachiges Aydınlatma Metni (Datenschutzhinweis), das die Identität des Verantwortlichen, Zwecke, Empfänger, Speicherdauer und Rechte offenlegt
• Einen separaten, klar gekennzeichneten Einwilligungsfluss für ausdrückliche Einwilligung (açık rıza) für jede Verarbeitung sensibler Kategorien, der durch eine eigene Aktion zugänglich ist

Einwilligungsnachweise

Der Verantwortliche muss Einwilligungsnachweise führen — wer eingewilligt hat, wann, wozu, über welche Schnittstelle. Der KVKK-Rat hat unzureichende Einwilligungsprotokolle in mehreren Durchsetzungsmaßnahmen beanstandet, und exportierbare Protokolle mit Zeitstempel sind die Mindesterwartung.

Grenzüberschreitende Übermittlungen unter dem geänderten Artikel 9 von 2024

Die Änderungen von 2024 haben einen dreistufigen Übermittlungsrahmen eingeführt, der den Ansatz der DSGVO widerspiegelt. Zu verstehen, welche Stufe auf welchen Datenfluss anzuwenden ist, ist die häufigste Compliance-Lücke für ausländische Publisher im Jahr 2026.

Stufe 1 — Angemessenheitsbeschluss

Der Rat kann ein Land, eine internationale Organisation oder einen Sektor eines Landes als angemessenen Schutz gewährend einstufen. Übermittlungen an angemessene Ziele sind ohne zusätzlichen Mechanismus zulässig. Anfang 2026 hat der Rat schrittweise Angemessenheitsbeschlüsse erlassen, die Vereinigten Staaten jedoch noch nicht in breitem Umfang anerkannt.

Stufe 2 — Geeignete Garantien

Bei fehlender Angemessenheit sind Übermittlungen auf der Grundlage geeigneter Garantien zulässig. Die Änderungen sehen ausdrücklich vom Rat genehmigte Standardvertragsklauseln, verbindliche Unternehmensregeln für konzerninterne Übermittlungen sowie vom Rat genehmigte Verhaltenskodizes oder Zertifizierungsmechanismen vor. Die Standardvertragsklauseln des Rats wurden 2024 veröffentlicht und sind der wichtigste praktische Mechanismus für die meisten Publisher.

Stufe 3 — Ausnahmen

Es gibt enge Ausnahmen für gelegentliche Übermittlungen, Übermittlungen, die für die Vertragserfüllung erforderlich sind, oder Übermittlungen, in die der Nutzer ausdrücklich eingewilligt hat. Diese können nicht als primäre Rechtsgrundlage für laufende programmatische Datenflüsse verwendet werden.

Praktische Konsequenz für Publisher

Ein typischer programmatischer Stack sendet cookie-abgeleitete Daten bei jedem Gebot an Dutzende von Anbietern im Ausland. Jeder dieser Datenflüsse ist eine grenzüberschreitende Übermittlung. Der 2026 praxistaugliche Ansatz besteht darin, vom Rat genehmigte Standardvertragsklauseln mit jedem internationalen Auftragsverarbeiter abzuschließen und den Übermittlungsmechanismus im Aydınlatma Metni und der VERBIS-Registrierung zu dokumentieren. Publisher, die an der Logik der ausdrücklichen Einwilligung je Übermittlung nach dem Muster vor 2024 festgehalten haben, sind gleichzeitig zu stark dem Compliance-Risiko ausgesetzt und schöpfen Monetarisierungsmöglichkeiten nicht aus.

Betroffenenrechte

Türkischen Betroffenen steht das vollständige Rechtepaket der DSGVO zu, angewendet über den KVKK-Rahmen:

• Recht zu erfahren, ob ihre Daten verarbeitet werden
• Recht auf Zugang zu den verarbeiteten Daten
• Recht auf Berichtigung unrichtiger Daten
• Recht auf Löschung oder Anonymisierung, wenn die Verarbeitung nicht mehr gerechtfertigt ist
• Recht, über Dritte informiert zu werden, denen die Daten offengelegt wurden
• Recht auf Widerspruch gegen automatisierte Entscheidungen, die nachteilige Auswirkungen erzeugen
• Recht auf Schadensersatz für Schäden, die durch unrechtmäßige Verarbeitung verursacht wurden

Antwortfristen

Verantwortliche müssen auf Anfragen von Betroffenen innerhalb von 30 Tagen antworten. Der Betroffene kann den KVKK-Rat einschalten, wenn die Antwort des Verantwortlichen unzureichend ist, und der Rat hat ein 60-Tage-Fenster für seine Entscheidung. Die operative Bereitschaft für das 30-Tage-Fenster — mit Runbooks, Tools und türkischsprachigen Antwortvorlagen — ist eine häufige Lücke bei ausländischen Publishern.

Sanktionen und Durchsetzungshaltung im Jahr 2026

Der KVKK-Rat war in seinen ersten Jahren vergleichsweise ruhig, hat die Durchsetzung jedoch spürbar intensiviert. Die Gesamtsumme der Bußgelder für 2025 war die höchste seit Inkrafttreten des Gesetzes, und 2026 befindet sich auf einer ähnlichen Entwicklung.

Verwaltungsbußgelder

Verwaltungsbußgelder werden jährlich an die Inflation angepasst. Ab 2026 übersteigt die Obergrenze für die schwerwiegendsten Verstöße 40 Millionen TRY je Verstoß, und separate Obergrenzen gelten für Versäumnisse in den Bereichen Datensicherheit, Meldepflicht, VERBIS-Registrierung und Ratsentscheidungen. Ausländische Verantwortliche wurden in mehreren Maßnahmen des Jahres 2025 am oberen Ende des Rahmens bebußt.

Reputationsrisiko

Der Rat veröffentlicht Zusammenfassungen seiner Durchsetzungsentscheidungen auf seiner Website. Bußgelder gegen ausländische Publisher haben regelmäßig die türkische Technologiepresse beschäftigt, und die Reputationskosten einer öffentlichen KVKK-Entscheidung sind typischerweise höher als das Bußgeld selbst.

Durchsetzungsschwerpunkte

Die Maßnahmen des Rats aus 2025 und dem frühen 2026 konzentrieren sich auf eine kleine Zahl wiederkehrender Probleme: fehlende oder unklare Cookie-Einwilligung, unzureichendes Aydınlatma Metni, nicht im VERBIS registrierte ausländische Verantwortliche und rechtswidrige grenzüberschreitende Übermittlungen unter dem Rahmen vor 2024.

Audit-Checkliste für türkischen Traffic im Jahr 2026

• Das CMP-Banner wird für türkische Nutzer auf Türkisch ausgespielt, mit Akzeptieren, Ablehnen und Anpassen in gleicher visueller Prominenz
• Einwilligungszwecke sind granular und jede Verarbeitung sensibler Kategorien ist hinter einem eigenen ausdrücklichen Einwilligungsfluss verborgen
• Einwilligungsprotokolle sind mit Zeitstempeln versehen, exportierbar und mindestens für die Verarbeitungsdauer zuzüglich einer prüfbaren Marge aufbewahrt
• Das Aydınlatma Metni ist auf Türkisch mit vollständiger Offenlegung von Verantwortlichem, Auftragsverarbeitern, Zwecken, Speicherdauer und Rechten verfügbar
• Die VERBIS-Registrierung ist vollständig und aktuell, sofern der Verantwortliche den Schwellenwert überschreitet
• Grenzüberschreitende Übermittlungen stützen sich auf die Standardvertragsklauseln von 2024 oder einen anderen gültigen Artikel-9-Mechanismus, mit dem im Aydınlatma Metni dokumentierten Mechanismus
• Der Workflow für Betroffenenanfragen kann von Anfang bis Ende innerhalb von 30 Tagen auf Türkisch antworten
• Die Anbieterliste wurde überprüft und ungenutzte oder redundante Anbieter wurden zur Risikoreduktion entfernt

Der Ausblick für 2026

Das türkische Datenschutzregime hat den europäischen Rahmen in der Form eingeholt und holt ihn auch in der Durchsetzung rasch ein. Die Änderungen von 2024 haben das größte strukturelle Hindernis für modernes internationales Ad Tech beseitigt — das alte Übermittlungsregime — und der Rat hat die seither vergangenen zwei Jahre genutzt, um sich auf die Durchsetzung des restlichen Gesetzes zu konzentrieren. Publisher mit einem DSGVO-konformen Consent-Stack müssen vergleichsweise kleine Anpassungen vornehmen, um türkei-ready zu sein: türkischsprachige CMP und Datenschutzhinweis, VERBIS-Registrierung sofern erforderlich, Übermittlungsklauseln nach dem Standard von 2024 und Sorgfalt bei der breiteren Liste sensibler Daten. Publisher, die die Türkei bislang als weniger regulierten Markt behandelt haben, werden 2026 teurer finden als 2025, und 2027 teurer als 2026. Die Lücke lässt sich in wenigen Wochen schließen, wenn sie priorisiert wird — und das sollte sie.