HTB Neunte Immobilien Portfolio geschlossene Investment UG & Co. KG gegen Müller Rechtsanwaltsgesellschaft mbH a.o., C-17/22, C-18/22

Son güncellenme 
HTB Neunte Immobilien Portfolio geschlossene Investment UG & Co. KG gegen Müller Rechtsanwaltsgesellschaft mbH a.o., C-17/22, C-18/22
Photo by Christian Wiediger / Unsplash

Olayların Özeti

Dava, Almanya’daki yatırım fonlarıyla ilgili iki ayrı uyuşmazlığı kapsamaktadır. Davaya konu olan her iki yatırım fonu da halka arz edilen paylar sunan komandit ortaklıklar şeklinde yapılandırılmıştır. Bu ortaklık yapısında bazı ortaklar, vekil şirketler aracılığıyla dolaylı pay sahibi konumunu haizdir. Bir diğer ifade ile söz konusu ortaklar, paylarını doğrudan değil, başka bir kuruluşun güvence altına aldığı şekilde dolaylı olarak tutmaktadır. Buradaki amaç özellikle ortakların anonim kalmasını sağlamaktır. İhtilafa sebebiyet veren husus ise, aynı yatırım fonunun diğer ortaklarının, dolaylı olarak vekil şirketler üzerinden pay sahibi olan ortaklar hakkında bilgi talep etmesinden kaynaklanmaktadır. Nitekim bu ortaklar, dolaylı olarak vekil şirketler üzerinden pay sahibi olan ortakların isim ve iletişim bilgilerini elde etmek istemekte, bu sayede pay satın alma müzakerelerini yürütmek veya ortakların toplu oy kullanmalarını gerektiren konularda kararları koordine etmek istemektedirler. Davalı vekil şirketlere iletilen söz konusu talep, kişisel verilerin ifşası ile gizlilik ve kötüye kullanım riski sebeplerine dayalı olarak reddedilmiştir. Davalılar, bu verilerin gizli kalması gerektiğini ve ortaklıkları düzenleyen sözleşmelerde bu bilgilerin diğer ortaklarla paylaşılmasını açıkça yasaklayan maddeler bulunduğunu öne sürmektedir. Öte yandan, talepte bulunan taraflar, ortaklarla iş müzakereleri yapmak ve ortaklık kararlarını koordine etmek gibi meşru amaçlarla bu bilgilere ulaşma hakları olduğunu iddia etmektedir. Kaldı ki davacı taraflar, Alman Federal Adalet Divanı’nın kendi lehlerine olan içtihatlarını da dayanak olarak göstermektedir. Bunun üzerine ilgili Mahkeme, talebe konu olan kişisel verilerin ifşasının Genel Veri Koruma Tüzüğü (GDPR) kapsamında haklı gösterilip gösterilemeyeceği noktasında Adalet Divanı’na önsoru yöneltmiştir.

Divan’ın İncelemesi

1- Sözleşme Yükümlülüklerinin Yerine Getirilmesi Amacıyla Veri İşleme (GDPR Madde 6(1)(b))

• Art. 6 f. 1 lit. b) kapsamında incelenen temel sorun, dolaylı pay sahibi konumundaki ortakların kişisel verilerinin (isim ve iletişim bilgileri) paylaşılmasının, bir sözleşmenin ifası için gerekli olup olmadığına ilişkindir. Divan, Art. 6(1)(b) kapsamında verilerin işlenebilmesi için, bunun sözleşmenin temel amacına ulaşılması için objektif olarak vazgeçilmez olması gerektiğini belirtmektedir.

• Divan, ortakların paylarını edindikleri sözleşmelerin, kişisel verilerin diğer hissedarlara ifşa edilmesini açıkça yasakladığını vurgulamaktadır. Bu sebeple Divan, kişisel verilerin diğer ortaklarla paylaşılmasının, sözleşmenin ifası için gerekli olmadığı kanaatine ulaşmaktadır. Bir diğer ifade ile sözleşme zaten gizliliği güvence altına aldığı için verilerin ifşa edilmesi, sözleşme şartlarına aykırılık teşkil etmekte ve dolayısıyla sözleşmenin ifası hukuki sebebi somut ihtilafta gündeme gelmemektedir.

• Ayrıca Divan, Art. 6(1)(b) hükmüne dayalı veri işleme faaliyetlerinin yalnızca bir sözleşme yükümlülüğünü yerine getirmek için kesin olarak gerekli olan durumlarla sınırlı olduğunu belirtmektedir. Dolayısıyla bir sözleşmenin ifası, kişisel veriler açıklanmadan da mümkünse artık ilgili hüküm uyarınca veri işlemenin “gerekli” olduğu kabul edilemez.

2- Meşru Menfaat Kapsamında Veri İşleme (GDPR Madde 6(1)(f))

• Divanın incelediği ikinci yasal dayanak, meşru menfaate ilişkindir. Art. 6(1)(f) uyarınca veri işleme, veri sorumlusu veya üçüncü bir tarafın meşru menfaatleri için gerekli olduğu sürece, bu menfaatler ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla yasal bir dayanak teşkil etmektedir.

• Mahkeme, bu hükmün uygulanabilmesi için üç koşulun bir arada sağlanması gerektiğini belirtmektedir:

1. Meşru Menfaat: Divan, bir ortağın diğer ortaklarla iletişime geçerek pay alım müzakerelerini yürütme veya ortaklık kararlarını koordine etme amacının meşru bir menfaat oluşturabileceğini kabul etmektedir.

2. Veri İşlemenin Gerekli Olması: Mahkeme, kişisel verilerin işlenmesinin meşru menfaati gerçekleştirmek için kesin olarak gerekli olması gerektiğini belirtmektedir. Bu bağlamda Divan, daha az müdahaleci alternatiflerin aynı sonuca ulaşabileceğine dikkat çekmektedir. Örneğin, talepte bulunan ortak, fonu diğer ortaklarla iletişim kurulmasını sağlaması için yetkilendirebilir ve bu sayede, diğer ortakların kişisel bilgilerinin ifşa edilip edilmeyeceğine kendileri karar verebilir.

3. Menfaatlerin Dengelenmesi: Üçüncü koşul, veri sorumlusu veya üçüncü tarafın meşru menfaatlerinin, ilgili kişinin temel hak ve özgürlüklerine kıyasla üstün nitelikte olmasına dairdir. Divan bu bağlamda dolaylı pay sahiplerinin kişisel verilerinin paylaşılmasının makul beklentilerinin dışında olduğunu ve ortaklık sözleşmelerinde yer alan gizlilik hükümlerinin bu sonucu tasdik ettiğini vurgulamaktadır. Mahkeme, bu bağlamda, ortakların gizlilik hakkının, talepte bulunan tarafın veri erişimindeki meşru menfaatinin önüne geçebileceğini belirtmiştir.

• Bu nedenle Divan, talepte bulunan tarafın meşru bir menfaati olsa bile, kişisel verilerin ifşasının orantılı olmadığı ve daha az müdahaleci yolların düşünülmesi gerektiği sonucuna varmıştır.

3- Hukuki Yükümlülüklerin Yerine Getirilmesi İçin Veri İşleme (GDPR Madde 6(1)(c))

• Alman Federal Adalet Divanının içtihatları doğrultusunda belirli koşullar altında bir ortak, diğer ortaklar hakkında bilgi edinme hakkını haizdir. Bu bulgudan hareketle Divan, Federal Adalet Divanı’nın içtihat çerçevesinde tanıdığı bilgi edinme hakkının, GDPR Art. 6 f. 1 lit. c) kapsamında bir hukuki yükümlülüğün yerine getirilmesi olarak değerlendirilmesini incelemiştir.  

• Divan, GDPR Dibace No. 41’den hareketle hukuki yükümlülüğün muhakkak bir şekli kanundan kaynaklanması gerekmediğine işaret etmekle birlikte, hukuki yükümlülüğün kaynağının açık, kesin ve öngörülebilir olması gerektiğini ve Dibace No. 41’de öngörülen kıstaslara uyması gerektiğini belirtmiştir. Ayrıca hukuki yükümlülüğün kamu yararını gözeten bir amaca hizmet etmesi ve bu amaca orantılı olması gerektiği de vurgulanmıştır. Söz konusu koşullara uyulup uyulmadığı noktasında Divan, kendisi bir değerlendirme yapmak yerine önsoru talebinde bulunan Mahkemeye işaret etmiştir.

Sonuç

Karar her ne kadar sözleşmenin ifası ve meşru menfaat bağlamında yeni bulgular içermese de, yüksek mahkeme içtihatlarının “hukuki yükümlülük” kaynağı olup olamayacağı noktasında önemli tespitler içermektedir. Türk hukuku açısından da kişisel veri işleme faaliyetinin KVKK md. 5 f. 2 b. ç) hükmüne göre meşru kılınabilmesi için Yargıtay ve diğer yüksek yargı içtihatlarının da dikkate alınabilmesi gündeme gelebilecektir.