Partnerfy Partnerfy
Türkçe English Deutsch
KVKK / DSGVO-Compliance

Audit ist kein Tag,
es ist ein tägliches System.

Formulare, die in der Nacht vor dem Audit ausgefüllt werden, sind keine Compliance. Compliance ist ein täglich laufendes Fundament aus Datenverzeichnis, Consent-Management, Betroffenenrechts-Automation, Breach-Response-Runbook und Subprocessor-Verträgen. Wir bauen, dokumentieren und halten dieses Fundament audit-bereit.

KVKK bis 1,8 Mio. TL, DSGVO bis 4% des weltweiten Jahresumsatzes. "Wird schon nicht passieren" zieht nicht mehr — dutzende türkische Unternehmen haben in den letzten drei Jahren siebenstellige Bußgelder erhalten.

Gap-Analyse anfragen DPO sprechen
Compliance-Checkliste 12 / 12
Cookie-Banner
Datenschutz­erklärung
AVV unterzeichnet
VERBIS-Eintrag
VVT aktuell
Löschanspruch
Aufbewahrungs­plan
Breach-Runbook
DSFA abgeschlossen
Schulungs­protokoll
Subprocessor-Liste
EU-Transfer (SCC)
Betroffenenanfrage DSR-#4821
1. Empfangen 00:00
2. Verifiziert 02:14
3. Gefunden 05:32
4. Exportiert 08:11
5. Geliefert 09:47

SLA-Ziel: 30 Tage — Schnitt 4 Stunden

Compliance-Score

94
+56 Pkt

Risiko-Score

12
−74

Warum die meisten das Audit verlieren

Fünf klassische Lücken. Alle fünf treten meist gleichzeitig auf.

Nach Dutzenden Compliance-Projekten sehen wir dieselben fünf Lücken in fast jedem Unternehmen. Einzeln wirkt jede wie eine Kleinigkeit; zusammen machen sie Bußgelder unausweichlich. Nichts davon ist Rhetorik — jeder Punkt stammt aus realen, veröffentlichten Aufsichtsentscheidungen in der Türkei und der EU.

01

Cookie-Banner blockiert nichts

Ein Banner wartet auf Klicks — doch Meta Pixel, GA4, Hotjar feuern bereits beim Seitenaufruf. Auch "Ablehnen" stoppt nichts. Das macht das "Einwilligung erteilt"-Log fiktiv; Aufsichtsbehörden in der Türkei und EU bestrafen Banner und fehlende technische Blockierung getrennt.

02

Kein VERBIS / VVT

KVKK Art. 16 und DSGVO Art. 30 verlangen ein schriftliches Verarbeitungsverzeichnis: welche Daten, welche Rechtsgrundlage, welches System, welche Aufbewahrung, welche Empfänger. Ohne dieses Verzeichnis ist das Audit zu Ende, bevor es beginnt. Die meisten Firmen haben keines — oder ein zwei Jahre altes, das nie aktualisiert wurde.

03

Subprocessor-AVV nicht unterzeichnet

AWS, Google Workspace, HubSpot, Mailchimp, Stripe — jedes SaaS verarbeitet Daten für Sie. Sie ohne unterzeichneten Auftragsverarbeitungs­vertrag zu nutzen, ist rechtswidrig. Diese Verträge liest niemand, also bleibt die Lücke verborgen, bis etwas schiefläuft.

04

Kein Breach-Response-Plan

Bei einem Vorfall müssen Sie binnen 72 Stunden melden. Ohne Plan, Kontaktliste, Außenkommunikations-Vorlagen und Log-Sammelprozedur sind die 72 Stunden weg. Verspätete Meldung allein kostet zehntausende Euro extra — unabhängig vom Breach selbst.

05

Undefinierte Aufbewahrung

Daten werden unbegrenzt gehalten. Niemand weiß, wie lange. KVKK und DSGVO verlangen Speicherbegrenzung: Sie müssen nach Zweckwegfall löschen. Liegen 8 Jahre alte Kundendaten im CRM, verlieren Sie bei einem Vorfall 8 Jahre Daten.

Wie Compliance aussieht

Drei sichtbare Outputs: Consent-Flow, Datenkarte, sinkende Bußgeld-Exposition.

Cookie-Einstellungen

v2.4

Wählen Sie, welche Cookies Sie akzeptieren. Ihre Wahl wird sofort in allen Systemen übernommen.

Unbedingt erforderlich

Nicht deaktivierbar

Analyse

GA4, Hotjar, Plausible

Marketing

Meta Pixel, Google Ads

CMP → GTM → mit 14 Diensten synchronisiert

Datenfluss-Karte

Grün = konformer Fluss, rot = fehlender AVV

CRM HubSpot Marketing Mailchimp Analyse GA4 (EU) Backup AWS S3 (EU) 3rd party (US) AVV fehlt
4 konforme Flüsse 2 zu beheben

Mögliches Bußgeld bei Breach

Vorher (nicht-konform):

€ 2,840,000

Nachher (nach Compliance):

€ 84,000

Versicherbare, dokumentierte, verteidigungsfähige Basis.

−97%
Risiko
94/100
Score
72h
SLA

Für wen?

Wer täglich Personendaten verarbeitet — also fast jedes Unternehmen.

01

E-Commerce — TR + EU

Verkauf an türkische Kunden = KVKK; Versand in die EU = DSGVO. Zwei Regime in einem Warenkorb. Bestellung, Rechnung, Versand, Retoure — jeweils unterschiedliche Rechtsgrundlagen, alles muss dokumentiert werden.

02

SaaS / B2B-Plattformen

Sie hosten Kundendaten Ihrer Kunden als Auftragsverarbeiter. Pro Kunde: AVV, Subprocessor-Liste, Audit-Log, Lösch-/Exit-Flow — meist auch vertraglich zugesichert.

03

Gesundheit & Kliniken

Patientendaten sind besondere Kategorien; KVKK 6 und DSGVO 9 fordern strengeren Schutz. Ausdrückliche Einwilligung, separate Sicherheitsmaßnahmen, separate Aufbewahrung. Medizingerätedaten, Terminsysteme, E-Rezept — alles im Scope.

04

Banking & FinTech

BDDK und PSD2 kommen on top zu KVKK/DSGVO. KYC, Transaktions­historie, Kartendaten (PCI-DSS), Open-Banking-Sharing — jedes ein eigenes Programm. Compliance ist kontinuierlich.

05

Bildung & EdTech

Unter-18-Daten benötigen elterliche Einwilligung. LMS-Daten, Prüfungs­ergebnisse, Verhaltens-Analytik — zusätzliche Kontrollen für Kinderdaten. In der EU zusätzliche COPPA-ähnliche Schichten.

06

Agenturen & Outsourcing

Sie verwalten Marketing-Listen, CRMs und Social-Accounts Ihrer Kunden. Damit sind Sie Auftragsverarbeiter; jeder Kunde braucht eigenen AVV, IP-/Geräte-Zugriffslogs, Endnutzer-Zugriffsregeln.

07

API-getriebenes B2B & Integration

Integrations-Plattformen, die Kunden-ERPs anfassen und auf Kunden-der-Kunden-Daten zugreifen. Datenminimierung, Zweckbindung, Log-Retention — ein einziger Webhook kann ein Datenschutzvorfall werden.

08

Marktplätze / zweiseitiges KYC

Käufer und Verkäufer haben ID/IBAN/Steuer-ID auf beiden Seiten. Bilaterales KYC, AML-Logging, Steuerteilung, Breach-Response — eine Lücke auf einer Seite macht die Plattform haftbar.

Leistungen

Alle Teile eines Compliance-Projekts — ein einziges Team.

Anwalt, DPO, Engineer, Prozessdesigner — statt vier Anbieter zu suchen, zehn Kompetenzen aus einem Team. Die zehn Punkte unten reichen und genügen, um ein Compliance-Programm aufzubauen, zu prüfen und zu erhalten.

01

Gap-Analyse

Ist-Zustand gegen jeden KVKK- und DSGVO-Artikel gemappt — was vorhanden, was fehlt, was zuerst behoben werden muss.

02

VVT / VERBIS-Aufzeichnungen

Schriftliches Verarbeitungs­verzeichnis, KVKK Art. 16 + DSGVO Art. 30 konform, fortlaufend aktualisierbar.

03

AVV / Subprocessor-Verträge

Auftragsverarbeitungs­verträge mit allen Anbietern (AWS, Google, Stripe, HubSpot etc.) unterzeichnet und nachverfolgt.

04

CMP — Consent-Management-Plattform

Cookiebot / OneTrust / Iubenda-Setup, GTM-Integration, Tracker bei Ablehnung tatsächlich gestoppt.

05

Datenschutzhinweise (mehrsprachig)

Mehrsprachige Hinweise für Web, Mobile, Formulare, Callcenter — an KVKK + DSGVO-Artikel gebunden, in einfacher Sprache.

06

Betroffenenrechts-Automation

Lösch-, Berichtigungs- und Portabilitäts­anträge laufen in ein Portal und werden aus allen Systemen automatisch abgeholt — mit SLA.

07

Breach-Response-Runbook

72-Stunden-Meldungs-Flow, Kontaktliste, Log-Sammelverfahren, Außenkommunikations-Vorlagen, Behörden-Formularvorlagen.

08

DPO-as-a-Service

Benannter DSB — offizieller Ansprechpartner im Audit, Mitarbeiter-Anfrage-Kanal, Jahresbericht.

09

Mitarbeiterschulung

KVKK + DSGVO-Grundlagen, Phishing-Simulation, abteilungsspezifische Module (HR, Vertrieb, Engineering), Teilnahme­nachweise.

10

Audit-Vorbereitung

Self-Assessment vor dem Audit, Antwort-Prep für Kunden-DSFAs, ISO-27701- und SOC-2-Anpassung.

Prozess

Von Null zu audit-ready, in sechs Schritten.

01

Audit

Scan der bestehenden Systeme, Datenflüsse, Verträge. Erster Entwurf des Datenverzeichnisses, Mapping von Lücken und Schwachstellen. Output: 30–60-seitiger Gap-Analyse-Report.

02

Priorisierung

Lücken landen in einer Risiko × Impact-Matrix. Welche Lücke lässt Sie im Audit durchfallen, welche ist im Breach am teuersten — in dieser Reihenfolge lösen wir.

03

Policies & Verträge

Datenschutzhinweise (TR/EN/DE), Datenschutz-Policy, Cookie-Policy, Mitarbeitenden-Verpflichtungen, AVV-Templates, Subprocessor-Liste — alles verfasst und freigegeben.

04

Technische Kontrollen

CMP-Integration, Betroffenenrechts-Portal, Log-Retention-Policy, Verschlüsselung, Access-Control, Datenminimierung — Änderungen auf der Applikationsseite.

05

Schulung

Allgemeine Schulung für alle Mitarbeitenden plus vertiefende Module für HR, Vertrieb, Engineering. Teilnahme­nachweise für Audit.

06

Betrieb & Monitoring

Monatliches internes Audit, vierteljährliche Policy-Aktualisierung, jährliches externes Audit. Re-Evaluation bei neuem Vendor oder Prozess. Dieser Schritt ist dauerhaft.

Plattformen, mit denen wir arbeiten

Anbieter-Auswahl nach Ihrem Bedarf — wir arbeiten mit allen.

Enterprise (OneTrust, BigID), Mittelstand (Cookiebot, Iubenda), Startup-tauglich (Vanta, Drata) und Türkei-spezifisch (VERBIS) — wir setzen ein, was passt. Wir sind anbieter-agnostisch, keine Wiederverkäufer.

OneTrust Cookiebot Iubenda Usercentrics TrustArc DataGrail Vanta Drata Securiti.ai BigID Privado.ai VERBİS Atlassian Compliance

Fälle

Wie ein Compliance-Projekt in Zahlen aussieht.

E-Commerce (TR + EU)

6 Wochen

VERBIS + DSGVO-Audit bestanden — null Findings.

Vierssprachige Datenschutzhinweise, Cookiebot-CMP, 22 Subprocessor-AVV, Betroffenenrechts-Portal — sechs Wochen vor Audit.

B2B-SaaS

−91%

Cookie-Beschwerden um 91% reduziert.

Das alte Banner stoppte Tracker bei Ablehnung nicht. CMP ersetzt, GTM-Trigger an Einwilligung gebunden. Beschwerden von 47/Monat auf 4.

Krankenhauskette

14 Tage

Betroffenenanfrage in 14 Tagen beantwortet (zuvor 45).

DSR-Portal vereinigt Patientendaten aus mehreren HIS- + LIS- + Terminsystemen. Vier-Stunden-Extraktion, 14-Tage-Lieferung.

FinTech-Startup

94/100

Enterprise-Kunden-DSFAs per Klick beantwortet.

ISO-27701-Vorbereitung + Kunden-DSFA-Repository. Vier der sechs jährlichen Kunden-Audits mit einem Report beantwortet.

Bildungs-Plattform

0

Null Behörden-Beschwerden in 12 Monaten Betrieb.

Doppel-Einwilligungs-Flow mit Eltern für Unter-18, separate Aufbewahrung für Kinderdaten, jährliche Schüler-Löschroutine. Keine Eltern-Beschwerde.

Logistik-Unternehmen

72h → 14h

Breach-Response von 72 auf 14 Stunden reduziert.

Runbook, Telefonkette, automatisierte Log-Sammlung, Außenkommunikations-Vorlagen. Bei kleinem E-Mail-Leak Meldung in 14 Stunden, kein Bußgeld.

FAQ

Die acht häufigsten Fragen.

Nach KVKK haben alle datenverantwortlichen Unternehmen eine Eintragungspflicht im Registerinformationssystem VERBIS. Sie greift bei mehr als 50 Mitarbeitenden pro Jahr oder Jahresbilanz über 100 Mio. TL; unterhalb davon gibt es Ausnahmen, jedoch nicht für Verarbeiter besonderer Kategorien (Gesundheit, Strafregister, Biometrie etc.). Die Eintragung ist nicht einmalig — sie ist bei Änderung der Zwecke zu aktualisieren. Versäumnis kostet 100K-1,5 Mio. TL.

Gleiche Logik, nicht identisch. KVKK trat 2016 in der Türkei, DSGVO 2018 in der EU in Kraft. Viele Grundprinzipien decken sich: Zweckbindung, Datenminimierung, Rechenschaftspflicht. Aber DSGVO ist deutlich strenger — SCCs für Drittstaaten, häufigere DSB-Pflicht, 30-Tage-Antwortfrist, 72h-Meldepflicht, Bußgelder bis 4% des weltweiten Jahresumsatzes. Türkische Firmen mit EU-Präsenz oder Verkauf an EU-Bürger müssen beide anwenden. Unsere Empfehlung: nach DSGVO designen, an KVKK angleichen — nie umgekehrt.

Wenn Sie nicht direkt in die EU verkaufen und EU-Bürger nicht beobachten, gilt DSGVO ggf. nicht direkt. Indirekt aber sehr wohl: EU-Besucher, die ein Formular ausfüllen, EU-Lieferant, dessen Daten Sie verarbeiten, EU-Mitarbeitende — alles berührt DSGVO. Außerdem fordern B2B-Kunden vertraglich oft DSGVO-konformes Niveau. Auf DSGVO-Niveau zu designen, während Sie KVKK erfüllen, erleichtert spätere Kunden-DSFAs erheblich. "Brauchen wir noch nicht" wird später meist teurer.

Ja — KVKK Art. 5/1 und DSGVO Art. 6 + ePrivacy-Richtlinie verbieten Cookies ohne informierte Einwilligung. Für unbedingt erforderliche Cookies (Session, Warenkorb) gibt es eine Ausnahme; Analyse-, Marketing- und Profiling-Cookies brauchen aktiven Opt-In. Banner, das Cookies vor Klick auf "Akzeptieren" lädt, "Weiter"-Link als angebliche Zustimmung, Tracker, die trotz Ablehnung feuern — alles Bußgeldgrund. In der Türkei wurden 2024 Dutzende Marken genau dafür sanktioniert. Korrekt: CMP + GTM-Consent-Mode + jeder Tracker nur hinter dem Consent-Gate.

Nach DSGVO ist ein DSB in drei Fällen Pflicht: öffentliche Stelle, Kerntätigkeit ist groß­flächiges systematisches Monitoring, Kerntätigkeit ist groß­flächige Verarbeitung besonderer Kategorien. Sonst empfohlen, nicht zwingend. KVKK verlangt einen "Kontaktverantwortlichen" — jedes VERBIS-eingetragene Unternehmen muss eine Kontaktperson melden. Die Rolle kann intern besetzt oder als DPO-as-a-Service eingekauft werden; wir betreuen oft Modell zwei. Kein Interessenkonflikt, strukturelle Unabhängigkeit und direkte Berichtslinie zur Geschäftsleitung sind entscheidend.

Innerhalb der EU ist Transfer frei. Außerhalb braucht es einen Transfermechanismus: Länder mit Angemessenheits­beschluss (UK, Schweiz, Japan etc.) oder unterzeichnete Standardvertrags­klauseln (SCC). Für die USA können Sie unter dem EU-US Data Privacy Framework (2023) zertifizierte Anbieter nutzen; für nicht-zertifizierte US-Anbieter SCC + Transfer Impact Assessment (TIA). Von der Türkei in die EU besteht laut KVKK Art. 9 keine "angemessene Schutz"-Entscheidung; Transfer per schriftlicher Zusicherung + Behördengenehmigung oder per ausdrücklicher Einwilligung. Korrektes Setup ist der am häufigsten übersehene Punkt im Audit.

Nach DSGVO sind 72 Stunden Meldung an die Aufsichtsbehörde Pflicht. Bei "hohem Risiko" für Betroffene zusätzlich unverzügliche Information der Betroffenen. KVKK sagt "schnellstmöglich"; in der Praxis interpretiert die Behörde 72 Stunden. Fristversäumnis bringt ein eigenes Bußgeld zusätzlich zum Vorfall — oft die Hälfte des Hauptbußgelds. Unser Runbook: Verdachtsmoment → Triage in 1h → Scope in 4h → offizieller Text in 24h → Meldung + Betroffenenmitteilung in 72h. Ohne vorbereitete Texte, Kontaktliste und Entscheidungs­baum reicht die Zeit nicht.

KVKK-Bußgelder werden jährlich an die Inflation angepasst. Für 2024: Informationspflichtverletzung 47K-940K TL, Datensicherheits­pflichtverletzung 141K-9,4 Mio. TL, Missachtung von Behördenentscheidung 235K-9,4 Mio. TL. DSGVO hat zwei Stufen: leichte Verstöße bis 2% des weltweiten Jahresumsatzes oder 10 Mio. €; schwere Verstöße bis 4% oder 20 Mio. € (je höher). Hinzu kommen Kundenabwanderung, Vertragsstrafen, Reputationsverlust — Vielfaches davon. British Airways wurde 2019 zunächst auf 183 Mio. £ taxiert, reduziert auf 20 Mio. £ — kleinere Firmen überleben das nicht.

Nächster Schritt

Nicht die Nacht vor dem Audit — heute.

In einem 30-minütigen Gespräch erfassen wir Ihre Compliance-Lage, Ihre drei kritischsten Lücken und einen 90-Tage-Fahrplan. Kostenlos, unverbindlich, unter NDA.

Termin vereinbaren Kontakt

Antwortzeit

< 24 h

Typische Projektdauer

6-12 Wochen

Vertraulichkeit

NDA standardmäßig

Treffer