E-posta yoluyla fatura gönderiminin güvence altına alınmasına ilişkin güncel gereklilikler
10 Şubat 2025 tarihli (Dosya No. 12 U 9/24) kararında Schleswig-Holstein Eyalet Yüksek Mahkemesi, girişimcilerin faturaları elektronik olarak göndermesi sırasında IT güvenliğiyle ilgili gereklilikleri önemli ölçüde somutlaştırmıştır. Bu kararın merkezinde, fatura belgelerinin e-posta yoluyla gönderilmesinde kişisel verilerin gizliliği açısından uygun bir koruma düzeyi sağlanmasına yönelik açık bir yükümlülük bulunmaktadır. Karar, fatura gibi hassas belgelerin gönderiminde, veri koruma mevzuatı olan Genel Veri Koruma Tüzüğü (GDPR/DSGVO) ve Federal Veri Koruma Yasası’na (BDSG) uygunluk için temelden uçtan uca şifreleme gerektirildiğini ortaya koymaktadır.
Hukuki Arka Plan: E-posta İletişiminde Kişisel Verilerin Korunması
OLG Schleswig-Holstein mevcut olayda, girişimcinin faturaları e-posta ile gönderirken bu faturada yer alan kişisel verilere yetkisiz erişimi önleyecek teknik ve organizasyonel önlemler alma yükümlülüğü olup olmadığını incelemiştir. Somut durum, fatura ile birlikte alışılmış fatura bilgilerine ek olarak alıcıya ait kişisel bilgilerin de iletilmesini kapsamaktaydı. Alıcı, iletim sırasında üçüncü kişilerin gizli bilgilere teorik olarak erişebileceği gerekçesiyle, iletim veya en azından uçtan uca şifrelemenin eksikliğini eleştirmiştir.
GDPR/DSGVO Madde 5 paragraf 1 harf f ve Madde 32 uyarınca, sorumlular kişisel verilerin korunmasını hem teknik hem de organizasyonel önlemlerle sağlamakla yükümlüdür. Elektronik iletişimin şifrelenmesi, verilerin bütünlüğü ve gizliliğini sağlamak için pratikte geçerli bir yöntemdir.
E-posta İletişimine Yönelik Gereklilikler: Mahkeme Kararı
Schleswig-Holsteinli hakimler, ilk bakışta diğer kişisel verilere göre daha az hassas görünse bile, fatura gönderiminde arttırılmış bir koruma ihtiyacı bulunduğunu vurgulamıştır. Faturalar, isim ve adresin yanı sıra, tüketici davranışları, banka bilgileri, sözleşme konuları veya başka korumaya değer bilgiler de içerebilir. Böyle bilgilere yetkisiz erişim, ilgili kişi için ciddi olumsuzluklara yol açabilir.
Mahkeme, fatura gönderiminde uçtan uca şifreleme kullanılmamasının, alıcıyla bu tür koruyucu önlemlerden açıkça vazgeçildiğine dair bir anlaşma yapılmamış ve bu hususta tam olarak bilgilendirme sağlanmamışsa, DSGVO gerekliliklerine uygun olmadığını net biçimde belirtmiştir. Böyle bir feragat, mantıklı biçimde belgelendirilmeli ve gönüllü olarak yapılmalıdır.
Şirketler Açısından Pratik Sonuçları ve Kararın Önemi
Karar, elektronik belge gönderimine dair kurum içi süreçlerin eleştirel bir şekilde gözden geçirilmesini gerektirmektedir. IT güvenliği, veri koruma açısından artık sadece şirketin kendi IT sistemlerinin güvenliğinin sağlanmasıyla sınırlı olmayıp, güvenli harici veri transferini de kapsamaktadır. Müşteri veya iş ortaklarına tekrarlayan ya da otomatik olarak e-posta yoluyla fatura gönderen şirketler, güvenli iletimi sağlama sorumluluğuyla karşı karşıyadır. Bu durum – teknik altyapı ve iş modeline bağlı olarak – şifrelemeye dayalı iletişim sistemlerinin uygulanmasını veya muhataplarla bireysel iletişim anlaşmalarının yapılmasını zorunlu kılabilir.
Sorumluluk konusuna ilişkin olarak OLG, veri koruma yükümlülüklerinin ihlali halinde GDPR/DSGVO Madde 82 uyarınca tazminat hakkı doğabileceğini belirtmektedir. Alınması gereken tüm koruyucu önlemlerin teknik ve organizasyonel olarak uygulandığının kanıtlanması, veri işleyen kurumlar için sürekli bir görev olmaya devam etmektedir.
İleri Etkiler ve Seçilmiş Açık Sorular
Diğer Mevzuatlarla Etkileşim
DSGVO’ya ek olarak başka düzenlemelere de uyulması gerekmektedir. Örneğin Vergi Usul Kanunu (AO) ve Ticaret Kanunu (HGB), elektronik fatura belgelerinin saklanması ve değiştirilemezliğine ilişkin gereklilikler öngörebilirken, Vergi Sırları § 30 AO’ya göre de özel koruma haklarına tabidir.
Bilişim Güvenliği Hukukunda Süregelen Gelişmeler
Teknik standartların hızla gelişmesi ve GDPR/DSGVO Madde 32 uyarınca teknik seviyenin düzenli olarak yeniden değerlendirilmesi nedeniyle, alınan güvenlik önlemlerinin uygunluğu her zaman güncel gerekliliklere göre uyarlanmalıdır. Schleswig-Holstein Eyalet Yüksek Mahkemesi, teknik seviyenin sürekli değiştiğini ve şirketlerin düzenli olarak gözden geçirme ve uyum sağlama zorunluluğu bulunduğunu özellikle vurgulamaktadır.
Güvene Dayalı Koruma ve Sorumluluk Riskleri
Karar, şirketler için müşterilere ve iş ortaklarına karşı güven korumasını sağlama konusunda ciddi bir eylem gereği olabileceğini vurgulamaktadır. Uyuşmazlık durumlarında, alınan önlemlerin açıkça belgelenmiş ve şeffaf bir şekilde yürütülmesi, muhtemel rücu ve tazminat taleplerine etkili şekilde karşı koymak açısından belirleyici olabilir.
Geleceğe Bakış
Schleswig-Holstein’dan çıkan bu karar, hassas belgelerin e-posta ile gönderimine ilişkin bir rehber olarak kabul edilebilir ve iş dünyasında veri koruması beklentilerini oldukça yükseltmektedir. Bu da, şirketlerin şifreleme teknolojileri ve risk değerlendirmesi alanında önemli beklentilerle karşı karşıya olduğunu göstermektedir.
Güvenli elektronik iletişim gerekliliklerine ilişkin somut hukukî soruların netleştirilmesi veya bu konuda tereddüt yaşanması hâlinde, MTR Legal Rechtsanwalt ekibi size yardımcı olmaktan memnuniyet duyacaktır.
