Die ersten 72 Stunden sind entscheidend, wenn es zu einer Datenschutzverletzung kommt. KVKK-Benachrichtigung + Kommunikation + Untersuchungsplan sollten parallel durchgeführt werden; Allein die Benachrichtigungsverzögerung ist ein erschwerender Faktor.
Welches Ereignis gilt als „Verstoß“?
- Unberechtigter Zugriff (Hacking, Missbrauch von Mitarbeitern).
- Datenleck (Pastebin, Dark-Web-Feed).
- E-Mail (Massenversand) an falsche Adresse.
- Unverschlüsselter Gerätediebstahl.
- Datenlecks von Dritten (Unterauftragsverarbeitern).
- Daten werden aufgrund eines Systemfehlers der falschen Person angezeigt.
Erste 72 Stunden – Schritte
Inhalt des Benachrichtigungsformulars
- Die Art und Kategorie des Verstoßes.
- Datum des Vorfalls und Datum der Realisierung.
- Anzahl der betroffenen Personen und Datenkategorien.
- Mögliche Folgen (finanzieller Verlust, Identitätsdiebstahl usw.).
- Ergriffene/zu treffende Maßnahmen.
- Ansprechpartner.
Administrative Bußgeldkriterien
- Art des Verstoßes (organisierter Angriff vs. Fahrlässigkeit).
- Einhaltung der Kündigungsfrist.
- Anzahl der betroffenen Personen.
- Skalierung (KMU vs. Großunternehmen).
- Frühere KVKK-Datensätze.
- Maximal 5 Millionen TL (nach dem Update 2025).
Häufig gestellte Fragen
72 Stunden sind vergangen, wir haben es immer noch nicht gemeldet; Was sollen wir tun?
Sofort melden und begründen (der Analyseprozess dauerte lange, die Auswirkungen waren unklar). Eine verspätete Benachrichtigung ist erschwerend; aber weniger als überhaupt keine Meldung.
Sollten wir die Opfer unbedingt benachrichtigen?
Pflichtig bei „hohem Risiko“ (KVKK Art. 12/5 + Vorstandsbeschluss 2019/271). Wenn das Risiko gering ist, kann der Rat des Vorstands eingeholt werden; aber Transparenz ist im Allgemeinen zu unseren Gunsten.
Der Angriff erfolgt von außen, es ist nicht unsere Schuld; Werden wir bestraft?
„Datensicherheitspflicht“ wurde durch KVKK Artikel 12/1 eingeführt; Auch wenn es sich um einen externen Angriff handelt, stellt sich die Frage, ob ausreichende Vorkehrungen getroffen wurden. Dokumente wie Pentest, ISO 27001 und Protokollverwaltung sind für die Verteidigung von entscheidender Bedeutung.
Kann eine Schadensersatzklage eingereicht werden?
Ja, der Dateneigentümer kann eine Entschädigung gemäß Artikel 14 KVKK verlangen. Der spirituelle Bereich von 5.000–50.000 TL ist üblich; Eine pauschale Entschädigung (z. B. wenn 100.000 Menschen betroffen sind) könnte in die Millionen gehen.
Wird die DSGVO ebenfalls ausgelöst?
Ja, wenn die betroffene Person aus der EU betroffen ist; DSGVO Art. 33 – Meldung an die zuständige Datenschutzbehörde (DPA) innerhalb von 72 Stunden. Türkische KVKK + EU-DPA-Parallelmeldung erforderlich; Beide Institutionen können eigene Bußgelder verhängen.
Einschlägige Gesetzgebung
- KVKK-Nr. 6698 Artikel 12 – Verpflichtung zur Datensicherheit; Mitteilung über einen Verstoß (Art. 12/5).
- KVKK-Nr. 6698 Artikel 14 – Anspruch auf Schadensersatz.
- KVKK-Nr. 6698 Artikel 18 – Verwaltungsstrafe (bis zu 5 Millionen TL).
- DSGVO Art. 33-34 – 72-Stunden-Benachrichtigung bei Verstößen bei grenzüberschreitender EU-Übermittlung.
- TCK Art. 135-136 – Unrechtmäßige Erfassung/Verbreitung personenbezogener Daten.