AC
Anasayfa Makaleler KVKK und Datenschutzrecht

KVKK-Benachrichtigung über Datenschutzverletzungen: 72-Stunden-Regel

25 Şubat 2026 KVKK und Datenschutzrecht 2 dk okuma 16 görüntülenme Son güncelleme: 8 Mayıs 2026

Artikel 12/5 der KVKK verpflichtet den Datenverantwortlichen dazu, das Gremium für den Schutz personenbezogener Daten und den betroffenen Dateneigentümer „so schnell wie möglich“ im Falle einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen. Die Institution interpretierte diesen Zeitraum als „72 Stunden“ (Vorstandsbeschluss vom 18.01.2019).

Was ist ein „Verstoß“?

  • Unautorisierter Zugriff (Hacking, Insider-Leak).
  • Unautorisierte Übertragung (E-Mail an falsche Person, Dateifreigabe).
  • Unerlaubte Änderung oder Löschung.
  • Unverschlüsseltes Gerät/USB-Verlust.
  • Ransomware-Angriff.

Meldepflicht

  • Benachrichtigung an die Institution: Innerhalb von 72 Stunden mit dem Formular „Benachrichtigung über Datenschutzverletzungen“.
  • Benachrichtigung an die betroffene Person: „Innerhalb einer angemessenen Zeit“ – normalerweise 3–7 Tage.
  • Die Benachrichtigung muss in einer klaren und verständlichen Sprache erfolgen.
  • Betroffene Datenkategorien und Anzahl der Personen müssen angegeben werden.
  • Ergriffene und empfohlene Maßnahmen sollten gemeldet werden.

Folgen einer Fristüberschreitung

  • Verwaltungsstrafe (100.000 - 5.000.000 TL-Band, gemäß dem aktuellen Zeitplan).
  • Vernichtungsentscheidung (Verpflichtung zur Löschung/Vernichtung).
  • Veröffentlichung auf der Verstoßliste (Reputationsschaden).
  • Konkrete Grundlage für Schadensersatzklagen.

Inhalt des Benachrichtigungsformulars

  • Datum und Uhrzeit des Auftretens des Ereignisses.
  • Art des Vorfalls (Cyberangriff, Insider-Leck usw.).
  • Betroffene Datenkategorien (Name, Telefon, Finanzen, Gesundheit usw.).
  • Anzahl der betroffenen Personen.
  • Mögliche Folgen.
  • Ergriffene und noch zu ergreifende Maßnahmen.
  • Kontaktstelle (DSB).

Benachrichtigung an Dateneigentümer – Format

  • Kann per SMS, E-Mail oder Versand zugestellt werden.
  • Titel: „Benachrichtigung über Datenschutzverletzung“.
  • Zusammenfassung der Veranstaltung (Leichte Sprache).
  • Maßnahmen, die der Dateneigentümer ergreifen kann (Passwortänderung, Bankwarnung).
  • Kontaktstelle.

Vorstandsentscheidungen – etablierter Ansatz

Personal Data Protection Board leitet die Meldepflicht ab dem „Moment des Verdachts“ ein; Es reicht nicht aus, auf eine „endgültige Entscheidung“ zu warten. Ein Verstoß gegen die verspätete Benachrichtigung führt in der Regel zu Verwaltungsstrafen; Die Höhe richtet sich nach der Schwere des Verstoßes.

Vorbeugende Maßnahmen

  • Datenmapping und VERBIS-Registrierung sind auf dem neuesten Stand.
  • Zugriffskontrollen und Passwortrichtlinie.
  • Regelmäßige Penetrationstests.
  • Vorfallmanagementplan (Vorfallreaktionsplan).
  • Ernennung eines DPO (Datenschutzbeauftragten).
  • Mitarbeiterschulung (Phishing-Bewusstsein).

    • Prozess nach einem Verstoß

  • Erkennung des Vorfalls (Verdacht).
  • Bewertung mit internem Team + Datenschutzbeauftragter.
  • Institutionsbenachrichtigung innerhalb von 72 Stunden.
  • Benachrichtigung an die betroffene Person.
  • Gerichtsverfahren (TCK Artikel 135-136).
  • Vorbereitung auf Entschädigungsfälle.

    • Das Management von Datenschutzverletzungen unterliegt einem engen Zeitrahmen. Der Prozess sollte mit KVKK und einem Anwalt für IT-Recht geplant werden.

    Telif bildirimi Bu içerik ve tüm bağlantılı soru-cevap metinleri 5846 sayılı FSEK kapsamında korunmaktadır. İzinsiz kopyalama, çoğaltma, yayımlama, yeniden işleme, toplu veri çekimi veya ticari kullanım yasaktır; ihlal halinde hukuki ve cezai yollara başvurulur.

    Hukuki destek arıyorsanız

    Bu konuda profesyonel hukuki destek için Aycan Ceylan Avukatlık Bürosu olarak yanınızdayız.

    Görüşme Planla