Auftragsverarbeitungsvertrag (AVV)
Übersetzungshinweis
⚠️ WICHTIGER HINWEIS: Dieses Dokument wurde aus dem Türkischen übersetzt. Bei Unstimmigkeiten zwischen dieser Übersetzung und der türkischen Originalversion ist die türkische Version maßgebend.
Das türkische Originaldokument finden Sie unter: https://evaste.co/tr/legal-center/data-processing-agreement
1. Parteien und Definitionen
1.1. Parteien
VERANTWORTLICHER:
[Firmenname]
Adresse: [Firmenadresse]
Steuernummer: [Steuernummer]
Bevollmächtigte Person: [Name]
E-Mail: [E-Mail-Adresse]
(nachfolgend als "Verantwortlicher" oder "Kunde" bezeichnet)
AUFTRAGSVERARBEITER:
Evaste (unter Group Taiga)
Adresse: Levent, Istanbul, Türkei
Bevollmächtigte Person: [Name des Bevollmächtigten]
E-Mail: dpa@evaste.co
(nachfolgend als "Auftragsverarbeiter" oder "Evaste" bezeichnet)
1.2. Definitionen
"Anwendbares Datenschutzrecht": KVKK Nr. 6698, EU-DSGVO, ePrivacy-Richtlinie und alle relevanten nationalen Umsetzungsvorschriften.
"Personenbezogene Daten": Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
"Verarbeitung": Jeder Vorgang mit personenbezogenen Daten wie Erhebung, Erfassung, Organisation, Speicherung, Änderung, Übermittlung, Löschung.
"Verantwortlicher": Die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
"Auftragsverarbeiter": Die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
"Unterauftragsverarbeiter": Dritte, die vom Auftragsverarbeiter mit der Durchführung eines Teils der Verarbeitungstätigkeiten beauftragt werden.
"Datenschutzverletzung": Versehentliche oder unrechtmäßige Vernichtung, Verlust, Änderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten.
"Aufsichtsbehörde": Datenschutzbehörde (KVKK) und/oder zuständige EU-Mitgliedstaats-Datenschutzbehörde.
"Standardvertragsklauseln (SVK)": Von der EU-Kommission genehmigte Standardvertragsklauseln für internationale Datenübermittlungen.
2. Vertragsgegenstand
2.1. Geltungsbereich
Dieser Auftragsverarbeitungsvertrag ("AVV") ist integraler Bestandteil des zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgeschlossenen Hauptdienstleistungsvertrags ("Hauptvertrag") und regelt die Rechte und Pflichten der Parteien hinsichtlich der Verarbeitung personenbezogener Daten.
2.2. Zweck
Der Zweck dieses AVV ist:
- Erfüllung der Anforderungen des Art. 28 DSGVO und KVKK
- Gewährleistung der sicheren und rechtmäßigen Verarbeitung personenbezogener Daten
- Klare Festlegung der Verantwortlichkeiten der Parteien
- Schutz der Rechte der betroffenen Personen
2.3. Vorrang
Bei Widersprüchen zwischen dem Hauptvertrag und diesem AVV haben hinsichtlich des Schutzes personenbezogener Daten die Bestimmungen dieses AVV Vorrang.
3. Art und Zweck der Verarbeitung
3.1. Verarbeitungszweck
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen nur zu folgenden Zwecken:
- Bereitstellung von Cookie-Einwilligungsmanagement-Diensten
- Erfassung, Speicherung und Berichterstattung von Einwilligungsdatensätzen
- Cookie-Scanning- und Kategorisierungsdienste
- Erstellung von Datenschutzrichtlinien und Datenschutzerklärungen
- Compliance-Berichterstattungsdienste
- Bereitstellung von Kundensupport
- Andere Dienste im Rahmen des Hauptvertrags
3.2. Verarbeitungsdauer
Die Verarbeitung wird während der Laufzeit des Hauptvertrags und gemäß den in diesem AVV festgelegten Bedingungen fortgesetzt.
3.3. Art der Verarbeitung
Die Verarbeitungstätigkeiten umfassen:
- Erhebung
- Erfassung
- Organisation
- Strukturierung
- Speicherung
- Anpassung
- Änderung
- Abfrage
- Konsultation
- Verwendung
- Offenlegung durch Übermittlung
- Verbreitung
- Bereitstellung
- Abgleich
- Verknüpfung
- Einschränkung
- Löschung
- Vernichtung
4. Kategorien personenbezogener Daten und betroffener Personen
4.1. Kategorien verarbeiteter personenbezogener Daten
| Kategorie | Beschreibung |
|---|---|
| Identifikationsdaten | IP-Adresse, Cookie-ID, Geräte-ID |
| Einwilligungsdaten | Einwilligungspräferenzen, Einwilligungszeitpunkt |
| Technische Daten | Browsertyp, Betriebssystem |
| Verhaltensdaten | Seitenbesuche, Interaktionen |
| Geografische Daten | Land, Region (IP-basiert, ungefähr) |
4.2. Besondere Kategorien personenbezogener Daten
Besondere Kategorien personenbezogener Daten (KVKK Art. 6, DSGVO Art. 9) werden im Rahmen dieses AVV nicht verarbeitet. Der Verantwortliche verpflichtet sich, solche Daten nicht über die Evaste-Dienste zu erheben.
4.3. Kategorien betroffener Personen
Die verarbeiteten personenbezogenen Daten betreffen:
- Website-Besucher des Verantwortlichen
- Mobile App-Nutzer des Verantwortlichen
- Kunden und potenzielle Kunden des Verantwortlichen
4.4. Verarbeitungsumfang
Der geschätzte Umfang der verarbeiteten Datensätze variiert je nach im Hauptvertrag festgelegtem Abonnementplan.
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter übernimmt folgende Verpflichtungen:
5.1. Weisungsbindung
- Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.
- Den Verantwortlichen unverzüglich informieren, wenn eine Weisung gegen Datenschutzrecht verstößt.
- Der Hauptvertrag und dieser AVV gelten als gültige schriftliche Weisungen.
5.2. Vertraulichkeit
- Sicherstellen, dass Personal mit Zugang zu personenbezogenen Daten zur Vertraulichkeit verpflichtet ist.
- Sicherstellen, dass Personal nur auf für seine Aufgaben erforderliche Daten zugreift.
5.3. Sicherheitsmaßnahmen
- Geeignete technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO implementieren.
- Die Angemessenheit der Sicherheitsmaßnahmen regelmäßig bewerten.
- Sicherheitsmaßnahmen sind in Anhang A detailliert beschrieben.
5.4. Einsatz von Unterauftragsverarbeitern
- Ohne vorherige schriftliche Genehmigung des Verantwortlichen keine Unterauftragsverarbeiter einsetzen.
- Mit Unterauftragsverarbeitern schriftliche Verträge mit gleichwertigen Datenschutzverpflichtungen abschließen.
5.5. Anfragen betroffener Personen
- Den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen unterstützen.
- Direkt erhaltene Anfragen an den Verantwortlichen weiterleiten.
5.6. Meldung von Datenschutzverletzungen
- Den Verantwortlichen unverzüglich (innerhalb von 24 Stunden) über Datenschutzverletzungen informieren.
- Alle relevanten Informationen und Dokumentationen zur Verletzung bereitstellen.
5.7. Prüfungsunterstützung
- Auf angemessene Prüfungsanfragen des Verantwortlichen oder seines bevollmächtigten Vertreters reagieren.
- Bei Untersuchungen der Aufsichtsbehörde kooperieren.
5.8. Vertragsbeendigung
- Nach Vertragsbeendigung personenbezogene Daten gemäß Weisung des Verantwortlichen zurückgeben oder vernichten.
- Gesetzliche Aufbewahrungspflichten bleiben vorbehalten.
6. Pflichten des Verantwortlichen
Der Verantwortliche übernimmt folgende Verpflichtungen:
6.1. Rechtmäßigkeit
- Er erklärt und garantiert, dass eine gültige Rechtsgrundlage für die Erhebung und Nutzung personenbezogener Daten besteht.
- Er erklärt, dass betroffene Personen ordnungsgemäß informiert wurden und/oder erforderliche Einwilligungen eingeholt wurden.
6.2. Rechtmäßigkeit der Weisungen
- Er garantiert, dass dem Auftragsverarbeiter erteilte Weisungen dem anwendbaren Datenschutzrecht entsprechen.
- Es liegt in der Verantwortung des Verantwortlichen sicherzustellen, dass die Cookie-Einwilligungsmanagement-Dienste von Evaste die rechtlichen Anforderungen erfüllen.
6.3. Information
- Endnutzern angemessene Datenschutzhinweise über die durch Evaste-Dienste erfolgende Datenverarbeitung bereitstellen.
- Evaste oder relevante Unterauftragsverarbeiter in der Cookie-Richtlinie offenlegen.
6.4. Datenrichtigkeit
- Sicherstellen, dass an Evaste übermittelte personenbezogene Daten korrekt und aktuell sind.
- Daten bei Bedarf aktualisieren.
7. Einsatz von Unterauftragsverarbeitern
7.1. Allgemeine Genehmigung
Der Verantwortliche erteilt vorab seine Zustimmung zum Einsatz der in Anhang B aufgeführten Unterauftragsverarbeiter (allgemeine schriftliche Genehmigung).
7.2. Benachrichtigung über neue Unterauftragsverarbeiter
- Evaste wird den Verantwortlichen mindestens 30 (dreißig) Tage vor dem Hinzufügen eines neuen Unterauftragsverarbeiters schriftlich benachrichtigen.
- Die Benachrichtigung wird an die registrierte E-Mail-Adresse des Verantwortlichen gesendet.
- Die aktuelle Liste der Unterauftragsverarbeiter wird unter https://evaste.co/legal-center/sub-processors veröffentlicht.
7.3. Widerspruchsrecht
- Der Verantwortliche kann innerhalb von 15 (fünfzehn) Tagen mit angemessener Begründung gegen einen neuen Unterauftragsverarbeiter Widerspruch einlegen.
- Im Falle eines Widerspruchs werden die Parteien in gutem Glauben verhandeln.
- Wenn keine Lösung gefunden wird, kann der Verantwortliche den Vertrag kündigen.
7.4. Unterauftragsverarbeiter-Verträge
- Evaste wird mit Unterauftragsverarbeitern schriftliche Verträge mit gleichwertigen Verpflichtungen wie in diesem AVV abschließen.
- Evaste bleibt gegenüber dem Verantwortlichen für die Handlungen der Unterauftragsverarbeiter verantwortlich.
8. Internationale Datenübermittlung
8.1. Übermittlung außerhalb des EWR
Bei Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR):
(a) Angemessenheitsbeschluss
Übermittlung in Länder mit Angemessenheitsbeschluss der EU-Kommission ist zulässig.
(b) Standardvertragsklauseln (SVK)
Die am 4. Juni 2021 von der EU-Kommission angenommenen SVK werden angewendet (als Anhang C beigefügt).
(c) Ergänzende Maßnahmen
Erforderliche zusätzliche technische und organisatorische Maßnahmen gemäß Schrems-II-Urteil werden getroffen.
8.2. Transfer-Folgenabschätzung
- Evaste hat Transfer-Folgenabschätzungen (TIA) für Übermittlungen in die USA oder andere Drittländer durchgeführt.
- TIA-Ergebnisse können auf Anfrage mit dem Verantwortlichen geteilt werden.
8.3. Übermittlung aus der Türkei
Gemäß KVKK Art. 9 für Auslandsübermittlungen wird die geeignete Methode angewendet:
- Übermittlung in Länder mit angemessenem Schutz
- Übermittlung mit Vertrag, der angemessenen Schutz zusichert
- Übermittlung mit ausdrücklicher Einwilligung
9. Sicherheitsmaßnahmen
9.1. Technische Maßnahmen
Evaste implementiert folgende technische Sicherheitsmaßnahmen:
(a) Verschlüsselung
- Bei der Übertragung: TLS 1.3
- Bei der Speicherung: AES-256
(b) Zugriffskontrolle
- Rollenbasierte Zugriffskontrolle (RBAC)
- Multi-Faktor-Authentifizierung (MFA)
- Prinzip der geringsten Rechte
(c) Netzwerksicherheit
- Web Application Firewall (WAF)
- IDS/IPS-Systeme
- DDoS-Schutz
(d) Anwendungssicherheit
- OWASP Top 10 Schutz
- Regelmäßige Sicherheitsscans
- Penetrationstests
9.2. Organisatorische Maßnahmen
- Vertraulichkeitsvereinbarungen (alle Mitarbeiter)
- Sicherheitsbewusstseins-Schulungen
- Zugriffsautorisierungsverfahren
- Vorfallreaktionspläne
9.3. Bewertung der Sicherheitsmaßnahmen
- Sicherheitsmaßnahmen werden jährlich überprüft.
- Aktualisierung nach Risikobewertung.
- Verifizierung durch unabhängige Prüfungen.
10. Prüfungsrechte
10.1. Prüfungsumfang
Der Verantwortliche hat das Recht, Prüfungen durchzuführen, um die Einhaltung der Verpflichtungen dieses AVV zu überprüfen.
10.2. Prüfungsmitteilung
- Prüfungsanfragen müssen mindestens 30 (dreißig) Tage im Voraus schriftlich mitgeteilt werden.
- Umfang und Dauer der Prüfung müssen vorab festgelegt werden.
- Prüfungen müssen während der normalen Geschäftszeiten stattfinden.
10.3. Prüfungsmethoden
(a) Vor-Ort-Prüfung
- Durch den Verantwortlichen oder seinen bevollmächtigten Vertreter
- Durch unabhängige Prüfer
- Angemessene Kosten werden vom Verantwortlichen getragen
(b) Fernprüfung
- Überprüfung von Sicherheitsberichten und Zertifikaten
- Frage-und-Antwort-Sitzungen
- Dokumentationsaustausch
10.4. Verfügbare Prüfberichte
Evaste kann auf Anfrage folgende Prüfberichte bereitstellen:
- SOC 2 Type II Bericht
- ISO 27001 Zertifikat
- Zusammenfassender Penetrationstestbericht
10.5. Vertraulichkeit
Im Rahmen des Prüfungsprozesses erhaltene Informationen werden vertraulich behandelt und nur zum Zweck der Compliance-Bewertung verwendet.
11. Anfragen betroffener Personen
11.1. Weiterleitung von Anfragen
- Direkt an Evaste gerichtete Anfragen betroffener Personen werden ohne Identitätsprüfung an den Verantwortlichen weitergeleitet.
- Evaste wird den Verantwortlichen unverzüglich informieren.
11.2. Unterstützungspflicht
Evaste wird den Verantwortlichen bei der Beantwortung von Anfragen zu folgenden Rechten unterstützen:
- Auskunftsrecht
- Berichtigungsrecht
- Löschungsrecht ("Recht auf Vergessenwerden")
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
11.3. Antwortfristen
Evaste wird die erforderliche technische Unterstützung zur Erfüllung von Anfragen betroffener Personen innerhalb von 10 (zehn) Werktagen bereitstellen.
11.4. Technische Möglichkeiten
Die Evaste-Plattform bietet folgende Self-Service-Funktionen:
- Export von Einwilligungsdatensätzen
- Löschung bestimmter Besucherdaten
- Datenzugriffsberichte
12. Meldung von Datenschutzverletzungen
12.1. Definition
Im Rahmen dieses AVV bedeutet "Datenschutzverletzung" die versehentliche oder unrechtmäßige Vernichtung, den Verlust, die Änderung, die unbefugte Offenlegung oder den Zugriff auf von Evaste verarbeitete personenbezogene Daten.
12.2. Benachrichtigungsfrist
- Evaste wird den Verantwortlichen innerhalb von 24 (vierundzwanzig) Stunden nach Kenntniserlangung von der Datenschutzverletzung informieren.
- Benachrichtigung erfolgt an: dpa@evaste.co und die registrierte E-Mail-Adresse des Verantwortlichen.
12.3. Benachrichtigungsinhalt
Die erste Benachrichtigung enthält folgende Informationen:
- Art der Verletzung
- Betroffene Datenkategorien
- Geschätzte Anzahl betroffener Datensätze
- Erste Erkenntnisse und ergriffene Sofortmaßnahmen
- Kontaktstelle
12.4. Detaillierter Bericht
Innerhalb von 72 Stunden nach der ersten Benachrichtigung wird ein detaillierter Bericht mit folgenden Informationen bereitgestellt:
- Chronologie der Verletzung
- Ursachenanalyse
- Bewertung möglicher Folgen
- Ergriffene und geplante Korrekturmaßnahmen
- Vollständige Liste der betroffenen Daten (wenn möglich)
12.5. Zusammenarbeit
Evaste wird:
- Bei der Untersuchung der Verletzung vollständig mit dem Verantwortlichen kooperieren.
- Erforderliche Informationen für die Benachrichtigung der Aufsichtsbehörden bereitstellen.
- Unterstützung bei der Benachrichtigung betroffener Personen leisten.
13. Vertragslaufzeit und Kündigung
13.1. Laufzeit
Dieser AVV gilt während der Laufzeit des Hauptvertrags.
13.2. Kündigung
- Dieser AVV endet automatisch mit Kündigung des Hauptvertrags.
- Bei schwerwiegenden Verstößen kann jede Partei mit 30 Tagen schriftlicher Kündigungsfrist kündigen.
13.3. Fortbestehende Pflichten
Nach Kündigung bestehen folgende Pflichten fort:
- Vertraulichkeitspflichten (unbefristet)
- Pflichten zur Datenvernichtung/-rückgabe (innerhalb von 90 Tagen)
- Gesetzliche Aufbewahrungspflichten (für die jeweilige Frist)
14. Datenvernichtung bei Vertragsende
14.1. Optionen zur Datenrückgabe/-vernichtung
Nach Vertragsbeendigung, gemäß Weisung des Verantwortlichen:
(a) Datenrückgabe
- Datenübertragung in gängigem Format (CSV, JSON)
- Sichere Übertragungsmethoden
- Abschluss innerhalb von 30 Tagen
(b) Datenvernichtung
- Sichere Löschmethoden
- Konform mit NIST-Standards
- Bereitstellung eines Vernichtungszertifikats
14.2. Aufbewahrungsausnahmen
Daten können in folgenden Fällen biş zum Ende der gesetzlichen Frist aufbewahrt werden:
- Steuerrechtliche Anforderungen
- Laufende Rechtsverfahren
- Anforderungen der Aufsichtsbehörde
14.3. Vernichtungszertifikat
Nach Abschluss der Datenvernichtung wird Evaste ein schriftliches Zertifikat mit Angabe der vernichteten Daten und der verwendeten Methoden bereitstellen.
15. Haftung und Schadensersatz
15.1. Haftungsverteilung
- Jede Partei haftet für Schäden, die aus Verletzung ihrer eigenen Pflichten entstehen.
- Der Auftragsverarbeiter haftet nur insoweit, als er nicht gemäß den erteilten Weisungen gehandelt hat oder gegen ihm direkt nach der DSGVO auferlegte Pflichten verstoßen hat.
15.2. Schadensersatz
- Die Parteien stellen einander von Verwaltungsgeldbußen und Ansprüchen betroffener Personen frei, die aus Verstößen gegen anwendbares Datenschutzrecht entstehen.
- Schadensersatzansprüche werden nach Schwere des Verschuldens bestimmt.
15.3. Haftungsbeschränkung
Die Haftungsbeschränkungen des Hauptvertrags gelten auch für diesen AVV; jedoch:
- Gelten nicht bei Vorsatz oder grober Fahrlässigkeit.
- Gelten nicht bei gesetzlich beschränkten Fällen.
16. Vertraulichkeit
16.1. Vertraulichkeitspflicht
- Die Parteien behandeln alle im Rahmen dieses AVV erhaltenen Informationen vertraulich.
- Vertrauliche Informationen werden nur für vertragliche Zwecke verwendet.
16.2. Ausnahmen
Die Vertraulichkeitspflicht gilt nicht für:
- Öffentlich bekannte Informationen
- Aufgrund gesetzlicher Verpflichtung offengelegte Informationen
- Mit vorheriger schriftlicher Genehmigung geteilte Informationen
16.3. Dauer
Die Vertraulichkeitspflichten gelten während der Vertragslaufzeit und unbefristet danach.
17. Allgemeine Bestimmungen
17.1. Anwendbares Recht
Dieser AVV unterliegt dem Recht der Republik Türkei. Für Verarbeitungstätigkeiten im Rahmen der DSGVO gilt auch EU-Datenschutzrecht.
17.2. Gerichtsstand
Für Streitigkeiten sind die Gerichte und Vollstreckungsbehörden in Istanbul zuständig.
17.3. Änderungen
- Änderungen dieses AVV bedürfen der Schriftform.
- Erforderliche Aktualisierungen aufgrund von Gesetzesänderungen werden unverzüglich umgesetzt.
17.4. Salvatorische Klausel
Die Unwirksamkeit einer Bestimmung berührt nicht die Gültigkeit der übrigen Bestimmungen.
17.5. Kein Verzicht
Die Nichtausübung eines Rechts stellt keinen Verzicht auf dieses Recht dar.
17.6. Vollständige Vereinbarung
Dieser AVV und seine Anhänge stellen die vollständige Vereinbarung über die Verarbeitung personenbezogener Daten dar.
18. Anhänge
Integrale Bestandteile dieses AVV sind folgende Anhänge:
Anhang A: Technische und organisatorische Sicherheitsmaßnahmen
Anhang B: Genehmigte Liste der Unterauftragsverarbeiter
Anhang C: EU-Standardvertragsklauseln (SVK)
ANHANG A: SICHERHEITSMASSNAHMEN
TECHNISCHE MASSNAHMEN:
1. Verschlüsselung
- TLS 1.3 (Übertragung)
- AES-256 (Speicherung)
- bcrypt/Argon2 (Passwort-Hash)
2. Zugriffskontrolle
- RBAC
- MFA obligatorisch
- Sitzungsverwaltung
3. Netzwerksicherheit
- WAF
- IDS/IPS
- DDoS-Schutz
4. Backup
- Tägliches Backup
- Verschlüsselte Backups
- Geografische Verteilung
ORGANISATORISCHE MASSNAHMEN:
1. Personal
- Vertraulichkeitsvereinbarungen
- Sicherheitsschulungen
- Hintergrundprüfungen
2. Verfahren
- Vorfallreaktionsplan
- Änderungsmanagement
- Zugriffsautorisierung
3. Prüfung
- Jährlicher Penetrationstest
- SOC 2 Type II
- ISO 27001 Konformität
ANHANG B: UNTERAUFTRAGSVERARBEITER
Siehe Datei ALT_ISVERENLER_LISTESI.txt.
ANHANG C: STANDARDVERTRAGSKLAUSELN
Die Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 4. Juni 2021 sind in diesem AVV enthalten.
Vollständiger SVK-Text unter: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
Gewähltes Modul: Modul 2 (Verantwortlicher → Auftragsverarbeiter)
Dieser Auftragsverarbeitungsvertrag ist am 12. Januar 2026 in Kraft getreten.
© 2026 Evaste (Group Taiga). Alle Rechte vorbehalten.
Kontaktinformationen
Evaste (Group Taiga)
Adresse: Levent, Istanbul, Türkei
AVV-Anfragen: dpa@evaste.co
Datenschutzbeauftragter: dpo@evaste.co
Allgemein: info@evaste.co
Web: https://evaste.co
Auftragsverarbeitungsvertrag (AVV)
Übersetzungshinweis
⚠️ WICHTIGER HINWEIS: Dieses Dokument wurde aus dem Türkischen übersetzt. Bei Unstimmigkeiten zwischen dieser Übersetzung und der türkischen Originalversion ist die türkische Version maßgebend.
Das türkische Originaldokument finden Sie unter: https://evaste.co/tr/legal-center/data-processing-agreement
1. Parteien und Definitionen
1.1. Parteien
VERANTWORTLICHER:
[Firmenname]
Adresse: [Firmenadresse]
Steuernummer: [Steuernummer]
Bevollmächtigte Person: [Name]
E-Mail: [E-Mail-Adresse]
(nachfolgend als "Verantwortlicher" oder "Kunde" bezeichnet)
AUFTRAGSVERARBEITER:
Evaste (unter Group Taiga)
Adresse: Levent, Istanbul, Türkei
Bevollmächtigte Person: [Name des Bevollmächtigten]
E-Mail: dpa@evaste.co
(nachfolgend als "Auftragsverarbeiter" oder "Evaste" bezeichnet)
1.2. Definitionen
"Anwendbares Datenschutzrecht": KVKK Nr. 6698, EU-DSGVO, ePrivacy-Richtlinie und alle relevanten nationalen Umsetzungsvorschriften.
"Personenbezogene Daten": Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
"Verarbeitung": Jeder Vorgang mit personenbezogenen Daten wie Erhebung, Erfassung, Organisation, Speicherung, Änderung, Übermittlung, Löschung.
"Verantwortlicher": Die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
"Auftragsverarbeiter": Die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
"Unterauftragsverarbeiter": Dritte, die vom Auftragsverarbeiter mit der Durchführung eines Teils der Verarbeitungstätigkeiten beauftragt werden.
"Datenschutzverletzung": Versehentliche oder unrechtmäßige Vernichtung, Verlust, Änderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten.
"Aufsichtsbehörde": Datenschutzbehörde (KVKK) und/oder zuständige EU-Mitgliedstaats-Datenschutzbehörde.
"Standardvertragsklauseln (SVK)": Von der EU-Kommission genehmigte Standardvertragsklauseln für internationale Datenübermittlungen.
2. Vertragsgegenstand
2.1. Geltungsbereich
Dieser Auftragsverarbeitungsvertrag ("AVV") ist integraler Bestandteil des zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgeschlossenen Hauptdienstleistungsvertrags ("Hauptvertrag") und regelt die Rechte und Pflichten der Parteien hinsichtlich der Verarbeitung personenbezogener Daten.
2.2. Zweck
Der Zweck dieses AVV ist:
- Erfüllung der Anforderungen des Art. 28 DSGVO und KVKK
- Gewährleistung der sicheren und rechtmäßigen Verarbeitung personenbezogener Daten
- Klare Festlegung der Verantwortlichkeiten der Parteien
- Schutz der Rechte der betroffenen Personen
2.3. Vorrang
Bei Widersprüchen zwischen dem Hauptvertrag und diesem AVV haben hinsichtlich des Schutzes personenbezogener Daten die Bestimmungen dieses AVV Vorrang.
3. Art und Zweck der Verarbeitung
3.1. Verarbeitungszweck
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen nur zu folgenden Zwecken:
- Bereitstellung von Cookie-Einwilligungsmanagement-Diensten
- Erfassung, Speicherung und Berichterstattung von Einwilligungsdatensätzen
- Cookie-Scanning- und Kategorisierungsdienste
- Erstellung von Datenschutzrichtlinien und Datenschutzerklärungen
- Compliance-Berichterstattungsdienste
- Bereitstellung von Kundensupport
- Andere Dienste im Rahmen des Hauptvertrags
3.2. Verarbeitungsdauer
Die Verarbeitung wird während der Laufzeit des Hauptvertrags und gemäß den in diesem AVV festgelegten Bedingungen fortgesetzt.
3.3. Art der Verarbeitung
Die Verarbeitungstätigkeiten umfassen:
- Erhebung
- Erfassung
- Organisation
- Strukturierung
- Speicherung
- Anpassung
- Änderung
- Abfrage
- Konsultation
- Verwendung
- Offenlegung durch Übermittlung
- Verbreitung
- Bereitstellung
- Abgleich
- Verknüpfung
- Einschränkung
- Löschung
- Vernichtung
4. Kategorien personenbezogener Daten und betroffener Personen
4.1. Kategorien verarbeiteter personenbezogener Daten
| Kategorie | Beschreibung |
|---|---|
| Identifikationsdaten | IP-Adresse, Cookie-ID, Geräte-ID |
| Einwilligungsdaten | Einwilligungspräferenzen, Einwilligungszeitpunkt |
| Technische Daten | Browsertyp, Betriebssystem |
| Verhaltensdaten | Seitenbesuche, Interaktionen |
| Geografische Daten | Land, Region (IP-basiert, ungefähr) |
4.2. Besondere Kategorien personenbezogener Daten
Besondere Kategorien personenbezogener Daten (KVKK Art. 6, DSGVO Art. 9) werden im Rahmen dieses AVV nicht verarbeitet. Der Verantwortliche verpflichtet sich, solche Daten nicht über die Evaste-Dienste zu erheben.
4.3. Kategorien betroffener Personen
Die verarbeiteten personenbezogenen Daten betreffen:
- Website-Besucher des Verantwortlichen
- Mobile App-Nutzer des Verantwortlichen
- Kunden und potenzielle Kunden des Verantwortlichen
4.4. Verarbeitungsumfang
Der geschätzte Umfang der verarbeiteten Datensätze variiert je nach im Hauptvertrag festgelegtem Abonnementplan.
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter übernimmt folgende Verpflichtungen:
5.1. Weisungsbindung
- Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.
- Den Verantwortlichen unverzüglich informieren, wenn eine Weisung gegen Datenschutzrecht verstößt.
- Der Hauptvertrag und dieser AVV gelten als gültige schriftliche Weisungen.
5.2. Vertraulichkeit
- Sicherstellen, dass Personal mit Zugang zu personenbezogenen Daten zur Vertraulichkeit verpflichtet ist.
- Sicherstellen, dass Personal nur auf für seine Aufgaben erforderliche Daten zugreift.
5.3. Sicherheitsmaßnahmen
- Geeignete technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO implementieren.
- Die Angemessenheit der Sicherheitsmaßnahmen regelmäßig bewerten.
- Sicherheitsmaßnahmen sind in Anhang A detailliert beschrieben.
5.4. Einsatz von Unterauftragsverarbeitern
- Ohne vorherige schriftliche Genehmigung des Verantwortlichen keine Unterauftragsverarbeiter einsetzen.
- Mit Unterauftragsverarbeitern schriftliche Verträge mit gleichwertigen Datenschutzverpflichtungen abschließen.
5.5. Anfragen betroffener Personen
- Den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen unterstützen.
- Direkt erhaltene Anfragen an den Verantwortlichen weiterleiten.
5.6. Meldung von Datenschutzverletzungen
- Den Verantwortlichen unverzüglich (innerhalb von 24 Stunden) über Datenschutzverletzungen informieren.
- Alle relevanten Informationen und Dokumentationen zur Verletzung bereitstellen.
5.7. Prüfungsunterstützung
- Auf angemessene Prüfungsanfragen des Verantwortlichen oder seines bevollmächtigten Vertreters reagieren.
- Bei Untersuchungen der Aufsichtsbehörde kooperieren.
5.8. Vertragsbeendigung
- Nach Vertragsbeendigung personenbezogene Daten gemäß Weisung des Verantwortlichen zurückgeben oder vernichten.
- Gesetzliche Aufbewahrungspflichten bleiben vorbehalten.
6. Pflichten des Verantwortlichen
Der Verantwortliche übernimmt folgende Verpflichtungen:
6.1. Rechtmäßigkeit
- Er erklärt und garantiert, dass eine gültige Rechtsgrundlage für die Erhebung und Nutzung personenbezogener Daten besteht.
- Er erklärt, dass betroffene Personen ordnungsgemäß informiert wurden und/oder erforderliche Einwilligungen eingeholt wurden.
6.2. Rechtmäßigkeit der Weisungen
- Er garantiert, dass dem Auftragsverarbeiter erteilte Weisungen dem anwendbaren Datenschutzrecht entsprechen.
- Es liegt in der Verantwortung des Verantwortlichen sicherzustellen, dass die Cookie-Einwilligungsmanagement-Dienste von Evaste die rechtlichen Anforderungen erfüllen.
6.3. Information
- Endnutzern angemessene Datenschutzhinweise über die durch Evaste-Dienste erfolgende Datenverarbeitung bereitstellen.
- Evaste oder relevante Unterauftragsverarbeiter in der Cookie-Richtlinie offenlegen.
6.4. Datenrichtigkeit
- Sicherstellen, dass an Evaste übermittelte personenbezogene Daten korrekt und aktuell sind.
- Daten bei Bedarf aktualisieren.
7. Einsatz von Unterauftragsverarbeitern
7.1. Allgemeine Genehmigung
Der Verantwortliche erteilt vorab seine Zustimmung zum Einsatz der in Anhang B aufgeführten Unterauftragsverarbeiter (allgemeine schriftliche Genehmigung).
7.2. Benachrichtigung über neue Unterauftragsverarbeiter
- Evaste wird den Verantwortlichen mindestens 30 (dreißig) Tage vor dem Hinzufügen eines neuen Unterauftragsverarbeiters schriftlich benachrichtigen.
- Die Benachrichtigung wird an die registrierte E-Mail-Adresse des Verantwortlichen gesendet.
- Die aktuelle Liste der Unterauftragsverarbeiter wird unter https://evaste.co/legal-center/sub-processors veröffentlicht.
7.3. Widerspruchsrecht
- Der Verantwortliche kann innerhalb von 15 (fünfzehn) Tagen mit angemessener Begründung gegen einen neuen Unterauftragsverarbeiter Widerspruch einlegen.
- Im Falle eines Widerspruchs werden die Parteien in gutem Glauben verhandeln.
- Wenn keine Lösung gefunden wird, kann der Verantwortliche den Vertrag kündigen.
7.4. Unterauftragsverarbeiter-Verträge
- Evaste wird mit Unterauftragsverarbeitern schriftliche Verträge mit gleichwertigen Verpflichtungen wie in diesem AVV abschließen.
- Evaste bleibt gegenüber dem Verantwortlichen für die Handlungen der Unterauftragsverarbeiter verantwortlich.
8. Internationale Datenübermittlung
8.1. Übermittlung außerhalb des EWR
Bei Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR):
(a) Angemessenheitsbeschluss
Übermittlung in Länder mit Angemessenheitsbeschluss der EU-Kommission ist zulässig.
(b) Standardvertragsklauseln (SVK)
Die am 4. Juni 2021 von der EU-Kommission angenommenen SVK werden angewendet (als Anhang C beigefügt).
(c) Ergänzende Maßnahmen
Erforderliche zusätzliche technische und organisatorische Maßnahmen gemäß Schrems-II-Urteil werden getroffen.
8.2. Transfer-Folgenabschätzung
- Evaste hat Transfer-Folgenabschätzungen (TIA) für Übermittlungen in die USA oder andere Drittländer durchgeführt.
- TIA-Ergebnisse können auf Anfrage mit dem Verantwortlichen geteilt werden.
8.3. Übermittlung aus der Türkei
Gemäß KVKK Art. 9 für Auslandsübermittlungen wird die geeignete Methode angewendet:
- Übermittlung in Länder mit angemessenem Schutz
- Übermittlung mit Vertrag, der angemessenen Schutz zusichert
- Übermittlung mit ausdrücklicher Einwilligung
9. Sicherheitsmaßnahmen
9.1. Technische Maßnahmen
Evaste implementiert folgende technische Sicherheitsmaßnahmen:
(a) Verschlüsselung
- Bei der Übertragung: TLS 1.3
- Bei der Speicherung: AES-256
(b) Zugriffskontrolle
- Rollenbasierte Zugriffskontrolle (RBAC)
- Multi-Faktor-Authentifizierung (MFA)
- Prinzip der geringsten Rechte
(c) Netzwerksicherheit
- Web Application Firewall (WAF)
- IDS/IPS-Systeme
- DDoS-Schutz
(d) Anwendungssicherheit
- OWASP Top 10 Schutz
- Regelmäßige Sicherheitsscans
- Penetrationstests
9.2. Organisatorische Maßnahmen
- Vertraulichkeitsvereinbarungen (alle Mitarbeiter)
- Sicherheitsbewusstseins-Schulungen
- Zugriffsautorisierungsverfahren
- Vorfallreaktionspläne
9.3. Bewertung der Sicherheitsmaßnahmen
- Sicherheitsmaßnahmen werden jährlich überprüft.
- Aktualisierung nach Risikobewertung.
- Verifizierung durch unabhängige Prüfungen.
10. Prüfungsrechte
10.1. Prüfungsumfang
Der Verantwortliche hat das Recht, Prüfungen durchzuführen, um die Einhaltung der Verpflichtungen dieses AVV zu überprüfen.
10.2. Prüfungsmitteilung
- Prüfungsanfragen müssen mindestens 30 (dreißig) Tage im Voraus schriftlich mitgeteilt werden.
- Umfang und Dauer der Prüfung müssen vorab festgelegt werden.
- Prüfungen müssen während der normalen Geschäftszeiten stattfinden.
10.3. Prüfungsmethoden
(a) Vor-Ort-Prüfung
- Durch den Verantwortlichen oder seinen bevollmächtigten Vertreter
- Durch unabhängige Prüfer
- Angemessene Kosten werden vom Verantwortlichen getragen
(b) Fernprüfung
- Überprüfung von Sicherheitsberichten und Zertifikaten
- Frage-und-Antwort-Sitzungen
- Dokumentationsaustausch
10.4. Verfügbare Prüfberichte
Evaste kann auf Anfrage folgende Prüfberichte bereitstellen:
- SOC 2 Type II Bericht
- ISO 27001 Zertifikat
- Zusammenfassender Penetrationstestbericht
10.5. Vertraulichkeit
Im Rahmen des Prüfungsprozesses erhaltene Informationen werden vertraulich behandelt und nur zum Zweck der Compliance-Bewertung verwendet.
11. Anfragen betroffener Personen
11.1. Weiterleitung von Anfragen
- Direkt an Evaste gerichtete Anfragen betroffener Personen werden ohne Identitätsprüfung an den Verantwortlichen weitergeleitet.
- Evaste wird den Verantwortlichen unverzüglich informieren.
11.2. Unterstützungspflicht
Evaste wird den Verantwortlichen bei der Beantwortung von Anfragen zu folgenden Rechten unterstützen:
- Auskunftsrecht
- Berichtigungsrecht
- Löschungsrecht ("Recht auf Vergessenwerden")
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
11.3. Antwortfristen
Evaste wird die erforderliche technische Unterstützung zur Erfüllung von Anfragen betroffener Personen innerhalb von 10 (zehn) Werktagen bereitstellen.
11.4. Technische Möglichkeiten
Die Evaste-Plattform bietet folgende Self-Service-Funktionen:
- Export von Einwilligungsdatensätzen
- Löschung bestimmter Besucherdaten
- Datenzugriffsberichte
12. Meldung von Datenschutzverletzungen
12.1. Definition
Im Rahmen dieses AVV bedeutet "Datenschutzverletzung" die versehentliche oder unrechtmäßige Vernichtung, den Verlust, die Änderung, die unbefugte Offenlegung oder den Zugriff auf von Evaste verarbeitete personenbezogene Daten.
12.2. Benachrichtigungsfrist
- Evaste wird den Verantwortlichen innerhalb von 24 (vierundzwanzig) Stunden nach Kenntniserlangung von der Datenschutzverletzung informieren.
- Benachrichtigung erfolgt an: dpa@evaste.co und die registrierte E-Mail-Adresse des Verantwortlichen.
12.3. Benachrichtigungsinhalt
Die erste Benachrichtigung enthält folgende Informationen:
- Art der Verletzung
- Betroffene Datenkategorien
- Geschätzte Anzahl betroffener Datensätze
- Erste Erkenntnisse und ergriffene Sofortmaßnahmen
- Kontaktstelle
12.4. Detaillierter Bericht
Innerhalb von 72 Stunden nach der ersten Benachrichtigung wird ein detaillierter Bericht mit folgenden Informationen bereitgestellt:
- Chronologie der Verletzung
- Ursachenanalyse
- Bewertung möglicher Folgen
- Ergriffene und geplante Korrekturmaßnahmen
- Vollständige Liste der betroffenen Daten (wenn möglich)
12.5. Zusammenarbeit
Evaste wird:
- Bei der Untersuchung der Verletzung vollständig mit dem Verantwortlichen kooperieren.
- Erforderliche Informationen für die Benachrichtigung der Aufsichtsbehörden bereitstellen.
- Unterstützung bei der Benachrichtigung betroffener Personen leisten.
13. Vertragslaufzeit und Kündigung
13.1. Laufzeit
Dieser AVV gilt während der Laufzeit des Hauptvertrags.
13.2. Kündigung
- Dieser AVV endet automatisch mit Kündigung des Hauptvertrags.
- Bei schwerwiegenden Verstößen kann jede Partei mit 30 Tagen schriftlicher Kündigungsfrist kündigen.
13.3. Fortbestehende Pflichten
Nach Kündigung bestehen folgende Pflichten fort:
- Vertraulichkeitspflichten (unbefristet)
- Pflichten zur Datenvernichtung/-rückgabe (innerhalb von 90 Tagen)
- Gesetzliche Aufbewahrungspflichten (für die jeweilige Frist)
14. Datenvernichtung bei Vertragsende
14.1. Optionen zur Datenrückgabe/-vernichtung
Nach Vertragsbeendigung, gemäß Weisung des Verantwortlichen:
(a) Datenrückgabe
- Datenübertragung in gängigem Format (CSV, JSON)
- Sichere Übertragungsmethoden
- Abschluss innerhalb von 30 Tagen
(b) Datenvernichtung
- Sichere Löschmethoden
- Konform mit NIST-Standards
- Bereitstellung eines Vernichtungszertifikats
14.2. Aufbewahrungsausnahmen
Daten können in folgenden Fällen biş zum Ende der gesetzlichen Frist aufbewahrt werden:
- Steuerrechtliche Anforderungen
- Laufende Rechtsverfahren
- Anforderungen der Aufsichtsbehörde
14.3. Vernichtungszertifikat
Nach Abschluss der Datenvernichtung wird Evaste ein schriftliches Zertifikat mit Angabe der vernichteten Daten und der verwendeten Methoden bereitstellen.
15. Haftung und Schadensersatz
15.1. Haftungsverteilung
- Jede Partei haftet für Schäden, die aus Verletzung ihrer eigenen Pflichten entstehen.
- Der Auftragsverarbeiter haftet nur insoweit, als er nicht gemäß den erteilten Weisungen gehandelt hat oder gegen ihm direkt nach der DSGVO auferlegte Pflichten verstoßen hat.
15.2. Schadensersatz
- Die Parteien stellen einander von Verwaltungsgeldbußen und Ansprüchen betroffener Personen frei, die aus Verstößen gegen anwendbares Datenschutzrecht entstehen.
- Schadensersatzansprüche werden nach Schwere des Verschuldens bestimmt.
15.3. Haftungsbeschränkung
Die Haftungsbeschränkungen des Hauptvertrags gelten auch für diesen AVV; jedoch:
- Gelten nicht bei Vorsatz oder grober Fahrlässigkeit.
- Gelten nicht bei gesetzlich beschränkten Fällen.
16. Vertraulichkeit
16.1. Vertraulichkeitspflicht
- Die Parteien behandeln alle im Rahmen dieses AVV erhaltenen Informationen vertraulich.
- Vertrauliche Informationen werden nur für vertragliche Zwecke verwendet.
16.2. Ausnahmen
Die Vertraulichkeitspflicht gilt nicht für:
- Öffentlich bekannte Informationen
- Aufgrund gesetzlicher Verpflichtung offengelegte Informationen
- Mit vorheriger schriftlicher Genehmigung geteilte Informationen
16.3. Dauer
Die Vertraulichkeitspflichten gelten während der Vertragslaufzeit und unbefristet danach.
17. Allgemeine Bestimmungen
17.1. Anwendbares Recht
Dieser AVV unterliegt dem Recht der Republik Türkei. Für Verarbeitungstätigkeiten im Rahmen der DSGVO gilt auch EU-Datenschutzrecht.
17.2. Gerichtsstand
Für Streitigkeiten sind die Gerichte und Vollstreckungsbehörden in Istanbul zuständig.
17.3. Änderungen
- Änderungen dieses AVV bedürfen der Schriftform.
- Erforderliche Aktualisierungen aufgrund von Gesetzesänderungen werden unverzüglich umgesetzt.
17.4. Salvatorische Klausel
Die Unwirksamkeit einer Bestimmung berührt nicht die Gültigkeit der übrigen Bestimmungen.
17.5. Kein Verzicht
Die Nichtausübung eines Rechts stellt keinen Verzicht auf dieses Recht dar.
17.6. Vollständige Vereinbarung
Dieser AVV und seine Anhänge stellen die vollständige Vereinbarung über die Verarbeitung personenbezogener Daten dar.
18. Anhänge
Integrale Bestandteile dieses AVV sind folgende Anhänge:
Anhang A: Technische und organisatorische Sicherheitsmaßnahmen
Anhang B: Genehmigte Liste der Unterauftragsverarbeiter
Anhang C: EU-Standardvertragsklauseln (SVK)
ANHANG A: SICHERHEITSMASSNAHMEN
TECHNISCHE MASSNAHMEN:
1. Verschlüsselung
- TLS 1.3 (Übertragung)
- AES-256 (Speicherung)
- bcrypt/Argon2 (Passwort-Hash)
2. Zugriffskontrolle
- RBAC
- MFA obligatorisch
- Sitzungsverwaltung
3. Netzwerksicherheit
- WAF
- IDS/IPS
- DDoS-Schutz
4. Backup
- Tägliches Backup
- Verschlüsselte Backups
- Geografische Verteilung
ORGANISATORISCHE MASSNAHMEN:
1. Personal
- Vertraulichkeitsvereinbarungen
- Sicherheitsschulungen
- Hintergrundprüfungen
2. Verfahren
- Vorfallreaktionsplan
- Änderungsmanagement
- Zugriffsautorisierung
3. Prüfung
- Jährlicher Penetrationstest
- SOC 2 Type II
- ISO 27001 Konformität
ANHANG B: UNTERAUFTRAGSVERARBEITER
Siehe Datei ALT_ISVERENLER_LISTESI.txt.
ANHANG C: STANDARDVERTRAGSKLAUSELN
Die Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 4. Juni 2021 sind in diesem AVV enthalten.
Vollständiger SVK-Text unter: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
Gewähltes Modul: Modul 2 (Verantwortlicher → Auftragsverarbeiter)
Dieser Auftragsverarbeitungsvertrag ist am 12. Januar 2026 in Kraft getreten.
© 2026 Evaste (Group Taiga). Alle Rechte vorbehalten.
Kontaktinformationen
Evaste (Group Taiga)
Adresse: Levent, Istanbul, Türkei
AVV-Anfragen: dpa@evaste.co
Datenschutzbeauftragter: dpo@evaste.co
Allgemein: info@evaste.co
Web: https://evaste.co