Datenschutz und Internet-Überwachung in der Türkei | Türkei | bpb.de

Übersetzung aus dem Englischen: Lilian Astrid Geese

Artikel 20 der türkischen Verfassung garantiert das Recht auf den "Schutz der Privatsphäre" und seit der Verfassungsänderung 2010 auch den "Schutz privater Daten". Das "Recht auf Vertraulichkeit der Privatsphäre und des Familienlebens" darf nur "zur Wahrung der nationalen Sicherheit, zur Aufrechterhaltung der öffentlichen Ordnung, zur Verhinderung von Straftaten, zum Schutz der allgemeinen Gesundheit und Moral sowie zur Verteidigung der Rechte und Freiheiten anderer" eingeschränkt werden. Gemäß Absatz 2 der relevanten Verfassungsklausel muss dafür überdies eine richterliche Anordnung vorliegen. Nicht weniger wichtig für die Wahrung der Privatsphäre ist Artikel 22 der türkischen Verfassung: Er regelt – vorbehaltlich der in Artikel 20 aufgeführten Ausnahmen – die Vertraulichkeit der Kommunikation. Verstöße gegen das Recht auf den Schutz der Privatsphäre werden darüber hinaus durch mehrere Bestimmungen des Strafgesetzbuchs geahndet.

Auf dem Papier sind die Persönlichkeitsrechte und der Datenschutz in der Türkei also garantiert. Doch die Realität sieht anders aus: Seit der Entwicklung des Internets in der Türkei Anfang der 2000er Jahre sind drastische Regulierungen der digitalen Kommunikation und starke Einschränkungen des Zugangs zu Online-Informationen zu beobachten.

Diese Entwicklung begann 2007, als die türkischen Behörden auf Grundlage des Gesetzes 5651 zu Veröffentlichungen im Internet und der Bekämpfung von damit verübten Straftaten den Zugriff auf Webseiten und digitale Inhalte mit der Begründung blockierten, "Kinder vor schädlichen Inhalten zu schützen“. Verschärfungen dieses Gesetzes in den Jahren 2014, 2015 und 2020 wurden mit der Wahrung der Persönlichkeitsrechte bekannter Persönlichkeiten (in der Regel Politiker und hierbei am häufigsten der Staatspräsident) sowie der Aufrechterhaltung der "nationalen Sicherheit und öffentlichen Ordnung“ begründet.

Zwischen 2008 und 2010 war in der Türkei der Zugriff auf YouTube fast 18 Monate gesperrt. Knapp drei Jahre, von April 2017 bis Januar 2020, war Wikipedia in der Türkei nicht erreichbar. Erst nach einer verfassungsgerichtlichen Entscheidung, die das Vorgehen der Behörden als Rechtsverletzung einstufte, konnte die Plattform wieder genutzt werden.

Eine aktuelle Statistik von İfade Özgürlüğü Derneği, des "Vereins zum Schutz der Meinungsfreiheit", nennt Ende 2022 die Zahl von 712.558 in der Türkei geblockten Webseiten. Seit Juni 2022 zählen dazu auch die türkischsprachige Website des Nachrichtensenders Deutsche Welle und die türkische Online-Ausgabe der Voice of America. Den Betreibern dieser Nachrichtendienste wurde vorgeworfen, sie hätten Artikel 29/A des Gesetzes 6112 über die Gründung von Rundfunk- und Fernsehsendern missachtet und versäumt, eine behördliche "Genehmigung“ für den Sendebetrieb einzuholen. Geblockt wurden - nach Artikel 8/A des Gesetzes 5651 - auch die Webseiten des National Film Board of Canada und die Musik-Plattform iHeart – zum Schutz der "nationalen Sicherheit und der öffentlichen Ordnung". Der populäre türkische Social-Media-Dienst Ekşi Sözlük ist seit Februar 2023 nicht mehr erreichbar. Auch diesem Dienst wird eine Verletzung der öffentlichen Ordnung vorgeworfen, als dort - nach den beiden großen Erdbeben im Mai 2023 - kritische Kommentare zur Katastrophenschutzpolitik der Regierung veröffentlicht wurden. Die Türkei unterzeichnete zwar 1981 die Datenschutzkonvention des Europarates, doch wurde das nationale Gesetz zum Datenschutz erst 2016, also 35 Jahre später, verabschiedet. Dieses entsprach dann jedoch keineswegs den Normen der Allgemeinen Datenschutzverordnung der EU (DSGVO). Doch nicht allein das Gesetz ist unzureichend, generell fehlt es in der Türkei an einer Kultur des Schutzes der Privatsphäre und persönlichen Daten.

So versuchten türkische Unternehmen weiterhin – trotz des neuen Gesetzes – durch dubiose Praktiken an die personenbezogenen Daten ihrer Kunden und Nutzer zu kommen und diese an Dritte zu vermarkten.

Doch der größte Datensammler ist der türkische Staat selbst: So zeigte sich der ehemalige türkische Innenminister Süleyman Soylu vor den Präsidentschaftswahlen 2023 in einem YouTube-Video mit einer „vom Staat programmierten Handy-App, die jeden Bürger über sein Foto identifizieren kann.“ Kim (dt. Wer), so Soylu, sei ein speziell vom Innenministerium entwickeltes Programm, das alle dem Staat bekannten Informationen einer Person (wie Schulabschlüsse, Grundbucheinträge, aber auch Vorstrafen, Informationen über Herkunft, Abstammung, Lebensstil oder politischer Betätigung) aufruft, sobald diese mit der App fotografiert wurden. Çağdaş Hukukçular Derneği (ÇHD, dt. Fortschrittliche Anwaltsverein) erstattete wegen der Verwendung dieser App Anzeige gegen den Innenminister und forderte den Oberstaatsanwalt von Istanbul auf, wegen der „illegalen Bereitstellung oder Beschaffung von Daten“ laut Artikel 137/1 des türkischen Strafgesetzbuchs zu ermitteln. Eine weitere Beschwerde dazu liegt der türkischen Datenschutzbehörde KVKK vor.

Doch ohne Transparenz oder Rechenschaftspflicht des Staates und wirksame Rechtsmittel werden die Verstöße gegen das Recht auf Privatsphäre und Datenschutz in der Türkei weiter andauern. Kritisiert wird die türkische Regierung nicht nur wegen Datenmissbrauchs, sondern auch wegen mangelnder Sicherheit im Umgang mit den von den Behörden gespeicherten Informationen. Erst im Juni 2023 gelangten die Daten aller Bürger durch ein großes Datenleck an die Öffentlichkeit. Vermutlich von der staatlichen Service-Webseite e-Devlet abgegriffene Ausweis- und Telefonnummern waren ungeschützt über eine frei zugängliche Webseite abrufbar. Über eine zahlungspflichtige Premium-Mitgliedschaft erhielten Interessierte Zugang zu weiteren sensiblen Informationen und konnten beispielsweise die vollständige Anschrift, Grundbucheinträge oder Details zu Schulabschlüssen und Ausbildung einsehen. Obwohl der Vorfall für großes Aufsehen sorgte, haben die zuständigen offiziellen Stellen bislang keinerlei Stellung dazu genommen.

Im Juli 2020 – mit der Änderungen des Internet-Gesetz vom Mai 2007 - ging die staatliche Datenspeicherung noch einen Schritt weiter: Das Gesetz 5651 verpflichtet in seinem Artikel 4, Abs. 5 nun die Betreiber von Social-Media-Plattformen mit über einer Million Nutzern pro Tag zur Gründung nationaler Niederlassungen in der Türkei. Ab März 2021 haben daraufhin X, ehemals Twitter, Meta (mit Facebook und Instagram), YouTube, TikTok, LinkedIn, Dailymotion, Pinterest und die russische Vkontakte diesen Vorgaben Folge geleistet. Gemäß den neuen Bestimmungen müssen nationale und internationale Social-Media-Dienste mit mehr als einer Million täglicher Zugriffe aus der Türkei die Daten der lokalen Nutzer zudem auch auf Servern in der Türkei hosten.

Da die Plattform Meta (mit z.B. Facebook und Instagram) bislang nicht bereit ist, türkischen Behörden personenbezogene Daten ihrer Nutzer zur Verfügung zu stellen, versuchen diese, durch die Überwachung der Onlinekommunikation personenbezogene Daten und Informationen der Nutzer von X (ehemals Twitter) und anderen Diensten zu erhalten.

Zur Umsetzung des Gesetzes verabschiedete das Amt für IT und Kommunikation (ICTA) im September 2020 den Erlass 2020/DK-ID/274 zu den "relevanten Verfahren und Grundsätzen für Anbieter sozialer Netzwerke“. Der Erlass schreibt in Artikel 12(2) vor, dass staatliche „Maßnahmen ergriffen werden, die gewährleisten, dass die Basisdaten der Nutzer sowie Daten zu Themen, die der ICTA zur Kenntnis gebracht werden müssen, in der Türkei gespeichert werden.“

Der gewählte Wortlaut "relevante Verfahren und Grundsätze“ spezifiziert jedoch nicht, welche Nutzerdaten bzw. Informationen von den Netzwerkbetreibern zu speichern und vorzuhalten sind und ob sie gegenüber dem ICTA und/oder anderen Behörden offengelegt werden müssen.

Im Oktober 2022 erfolgte eine weitere Revision des Internet-Gesetzes. Gemäß dem ergänzend aufgenommenen Artikel 4.1 müssen Betreiber sozialer Netzwerke mit mehr als zehn Millionen täglichen Zugriffen eine offizielle Rechtsvertretung in der Türkei benennen. Dies kann eine reale oder eine juristische Person sein, mit umfassender Prokura und Zuständigkeit in allen technischen, administrativen, legalen und finanziellen Angelegenheiten. Handelt es sich um eine juristische Person, muss diese "eine direkte Tochtergesellschaft der vom Anbieter des sozialen Netzwerkes gegründeten Kapitalgesellschaft“ sein. Damit soll die Gründung von Briefkastenfirmen mit extrem beschränkter Haftung in der Türkei verhindert werden. Die Gesetzesnovelle sieht weiterhin Sanktionen für den Fall vor, dass die Nutzerdaten nicht in der Türkei gehostet werden. Absatz 20 des neuen Artikels bestimmt, dass der ICTA-Präsident bei Verstößen gegen diese Auflagen eine Geldbuße in Höhe von bis zu drei Prozent der Vorjahreseinnahmen des Netzwerkbetreibers verhängen kann.

Die türkische Regierung will sich, so steht es in den Erläuterungen zu ihrer Gesetzesnovelle, dabei an dem "Gesetz über die Digitalen Dienste" (Digital Service ACT) der Europäischen Union orientiert haben. Doch verfolgt das Gesetz der EU, das im Februar 2024 in Kraft treten wird, ganz andere Ziele als der türkische Staat: Die EU will mit dem Digital Service ACT die Grundrechte und die Redefreiheit der Nutzerinnen und Nutzer schützen, illegale Inhalte auf Plattformen besser bekämpfen und u.a. auch Hassreden ahnden.

Um den Zugriff des türkischen Staates auf die personenbezogenen Daten der sozialen Medien im eignen Land rechtlich abzusichern, wurde ein weiterer Passus in die Gesetzesänderung vom Oktober 2022 aufgenommen. Die Regierung begründete ihn mit dem Scheitern von Ermittlungen und Strafverfahren, da sich einige Betreiber sozialer Netzwerke weigerten, den Justizbehörden die verlangten Daten zur Verfügung zu stellen.

Die Regierung versicherte, dass die neue Klausel nur in ganz bestimmten Fällen zur Anwendung käme: sexueller Missbrauch von Kindern (§103 Strafgesetzbuch), bewusste Verbreitung von Falschinformation (§ 217/A Strafgesetzbuch vom Oktober 2022), Störung der Einheit und Integrität des Staates (§ 302 Strafgesetzbuch), Verstöße gegen die Rechtsordnung und ihrer Durchsetzung (§§ 309, 311, 312, 313, 314, 315 und 316 Strafgesetzbuch) oder Verletzung von Staatsgeheimnissen und Spionage (§§ 328, 329, 330, 331, 333, 334, 335, 336, 337 Strafgesetzbuch). Nur beim Vorliegen dieser Tatbestände müssten die nationalen Niederlassungen der sozialen Netzwerke der Staatsanwaltschaft und den Gerichten die geforderten Daten zur Verfügung stellen.

Doch was sich wie eine klar definierte gesetzliche Regelung liest, weist in der Praxis sehr großen Interpretationsspielraum auf, und einige der aufgeführten Straftatbestände werden generell sehr weitgehend ausgelegt. So argumentierten die Behörden nach dem gescheiterten Putsch vom 15. Juli 2016 in Tausenden von Verfahren mit den im Gesetz genannten „Verstößen gegen die Rechtsordnung und ihrer Durchsetzung“. Zwischen 2016 und 2020 wurde in 1.576.566 Fällen auf der Grundlage von § 314 Strafgesetzbuch (Gründung einer bewaffneten Organisation) strafrechtlich ermittelt. Zahlreiche weitere Prozesse sind auch künftig mit dem Verweis auf den neuen Straftatbestand der "bewussten Verbreitung von Falschinformationen“ zu erwarten.

Bei einer Weigerung der Datenweitergabe kann die Sperrung der Plattform verfügt werden. Ist der Betreiber eines in der Türkei angebotenen Social-Media-Dienstes nicht bereit, die von den Behörden eingeforderten personenbezogenen Daten herauszugeben, können die zuständige Staatsanwaltschaft oder das Gericht beim Suhl Ceza Hakimligi (dt. Friedensgericht) in Ankara eine bis zu 90-prozentige Drosselung der Bandbreite des Anbieters beantragen. Damit ist die Social-Media-Plattform dieses Anbieters in der Türkei quasi nicht mehr erreichbar.

Durch die im Oktober 2022 verabschiedete Änderung des Gesetzes über "die private elektronische Audio-, Text- und Bildkommunikation" (Gesetz Nr. 5809) nimmt die Regierung nun auch Streaming-Dienste und Kommunikationsplattformen wie WhatsApp, Telegram, Skype oder Signal in den Blick.

Streaming-Plattformen sind nun ebenfalls verpflichtet, sich durch nationale Niederlassungen in der Türkei vertreten zu lassen. Die Anbieter müssen als Aktiengesellschaft oder GmbH in der Türkei registriert sein und der ICTA, der Regulierungsstelle für Kommunikationsdienste, sowohl regelmäßig als auch auf Anforderung bestimmte Informationen zur Verfügung zu stellen. Dies gilt etwa für die Anzahl der aktiven privaten und geschäftlichen Nutzer, die Dauer von Anrufen, Video-Calls oder Kurznachrichten, als auch für Traffic-Daten, die Rückschlüsse auf Inhalte erlauben oder auch theoretisch eine Entschlüsselung der Kommunikation möglich machen. Die Anbieter, die dieser Informationspflicht nicht nachkommen oder keine nationale Lizenz beantragen, müssen mit einer Geldstrafe von einer bis zu 30 Millionen türkischen Lira rechnen. Bei Zuwiderhandlung kann das Amt die Bandbreite ihrer Dienste um bis zu 95 Prozent drosseln oder den Zugang zu den jeweiligen Apps oder Webseiten blocken.

Das Vorgehen in der Türkei erinnert zumindest in Teilen an die Situation in Russland: Dort wurden die Betreiber des Messenger-Dienstes Telegram aufgefordert, den dortigen Behörden personenbezogene Nutzerdaten zu übermitteln. Als sich der Dienst weigerte, IP-Adressen, TCP/UDP-Portnummern und die Codes zur Entschlüsselung der Kommunikation von angeblich terrorverdächtigen Telegram-Nutzern weiterzugeben, wurde Telegram in Russland gesperrt. Das Unternehmen hat mittlerweile Klage beim Europäischen Gerichtshof für Menschenrechte eingereicht, doch die Entscheidung des Gerichtshofs steht noch aus.

Autoritäre Regime stellen weltweit für die Privatsphäre und den Schutz persönlicher Daten eine ständige Bedrohung dar, und die Türkei ist mit ihrer Praxis und ihren Methoden keine Ausnahme. Von der Einhaltung europäischer Normen ist das Land weit entfernt.