Datenschutzrichtlinie
Übersetzungshinweis
⚠️ WICHTIGER HINWEIS: Dieses Dokument wurde aus dem Türkischen übersetzt und dient nur zu Informationszwecken. Die türkische Originalfassung ist das rechtlich verbindliche Dokument. Bei Abweichungen zwischen der türkischen und der deutschen Fassung gilt die türkische Fassung.
1. Einführung und Datenverantwortlicher
1.1. Einführung
Diese Datenschutzrichtlinie erklärt, wie die Evaste-Plattform ("Plattform", "Wir", "Uns") personenbezogene Daten erhebt, verarbeitet, speichert, überträgt und schützt.
Ihre Privatsphäre ist uns äußerst wichtig. Als Plattform für Datenschutz und Einwilligungsmanagement betrachten wir den Schutz personenbezogener Daten als oberste Priorität.
1.2. Datenverantwortlicher
- Evaste (Teil von Group Taiga)
- Adresse: Levent, Istanbul, Türkei
- E-Mail: privacy@evaste.co
- Web: https://evaste.co
- Telefon: +90 532 494 42 64
1.3. Datenschutzvertreter
Für Nutzer in der Europäischen Union ist unser gemäß DSGVO Artikel 27 benannter Datenschutzvertreter erreichbar unter: dpo@evaste.co
1.4. Geltungsbereich
Diese Datenschutzrichtlinie gilt in folgenden Fällen:
- Wenn Sie die Website evaste.co besuchen
- Wenn Sie sich auf der Plattform registrieren und unsere Dienste nutzen
- Wenn Sie den Kundensupport kontaktieren
- Wenn Sie unsere Marketingmitteilungen erhalten
1.5. Rechtlicher Rahmen
Diese Richtlinie wurde in Übereinstimmung mit folgenden Vorschriften erstellt:
- Gesetz Nr. 6698 zum Schutz personenbezogener Daten (KVKK) - Türkei
- Datenschutz-Grundverordnung (DSGVO) - Europäische Union
- California Consumer Privacy Act (CCPA) - USA Kalifornien
- Gesetz Nr. 6563 zur Regulierung des elektronischen Handels - Türkei
2. Kategorien verarbeiteter personenbezogener Daten
2.1. Von Ihnen direkt bereitgestellte Daten
| Datenkategorie | Datentypen |
|---|---|
| Identitätsdaten | Vorname, Nachname, Benutzername |
| Kontaktdaten | E-Mail-Adresse, Telefonnummer, Adresse |
| Kontodaten | Passwort (gehasht), Kontoeinstellungen |
| Zahlungsdaten | Rechnungsadresse, Steuernummer* |
| Unternehmensdaten | Firmenname, Position, Branche |
| Kommunikationsinhalte | Supportanfragen, Feedback |
* Kreditkartendaten werden nicht von Evaste gespeichert; sie werden von unserem sicheren Zahlungsanbieter (Stripe) verarbeitet.
2.2. Automatisch erfasste Daten
| Datenkategorie | Datentypen |
|---|---|
| Gerätedaten | IP-Adresse, Browsertyp, Betriebssystem |
| Nutzungsdaten | Seitenaufrufe, Klicks, Sitzungsdauer |
| Standortdaten | Land, Stadt (IP-basiert, ungefähr) |
| Cookie-Daten | Sitzungs-Cookies, Präferenz-Cookies |
| Protokolldaten | Zugriffsprotokolle, Fehlerprotokolle, API-Aufrufe |
2.3. Von Dritten erhaltene Daten
| Quelle | Datentypen |
|---|---|
| Soziale Anmeldung | Name, E-Mail, Profilbild (Google, LinkedIn) |
| Zahlungsanbieter | Transaktionsstatus, Zahlungsbestätigung |
| Geschäftspartner | Empfehlungsinformationen, Kampagnendaten |
2.4. Besondere Kategorien von Daten
Evaste verarbeitet keine besonderen Kategorien personenbezogener Daten gemäß KVKK Artikel 6 und DSGVO Artikel 9 (Rasse, ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten, biometrische Daten usw.).
3. Verarbeitungszwecke und Rechtsgrundlagen
3.1. Verarbeitungszwecke und Rechtsgrundlagen
| Zweck | KVKK-Grundlage | DSGVO-Grundlage |
|---|---|---|
| Dienstleistung | Art. 5/2(c) | Art. 6/1(b) |
| Kontoerstellung und -verwaltung | Art. 5/2(c) | Art. 6/1(b) |
| Zahlungsabwicklung | Art. 5/2(c) | Art. 6/1(b) |
| Kundensupport | Art. 5/2(c) | Art. 6/1(b) |
| Serviceverbesserung | Art. 5/2(f) | Art. 6/1(f) |
| Sicherheit und Betrugsprävention | Art. 5/2(f) | Art. 6/1(f) |
| Gesetzliche Pflichten | Art. 5/2(ç) | Art. 6/1(c) |
| Marketing (mit Einwilligung) | Art. 5/1 | Art. 6/1(a) |
| Analytik und Statistik | Art. 5/2(f) | Art. 6/1(f) |
3.2. Erläuterung der Rechtsgrundlagen
- Vertragserfüllung (KVKK Art. 5/2(c), DSGVO Art. 6/1(b)): Datenverarbeitungsaktivitäten, die zur Erbringung unserer Dienste und zur Erfüllung vertraglicher Pflichten erforderlich sind.
- Berechtigtes Interesse (KVKK Art. 5/2(f), DSGVO Art. 6/1(f)): Verarbeitungsaktivitäten, die zur Verbesserung unserer Dienste, Gewährleistung der Sicherheit und Durchführung unserer Geschäftstätigkeit erforderlich sind.
- Gesetzliche Verpflichtung (KVKK Art. 5/2(ç), DSGVO Art. 6/1(c)): Verarbeitungsaktivitäten, die zur Erfüllung unserer Verpflichtungen aus Steuerrecht, Handelsrecht und anderen gesetzlichen Vorschriften erforderlich sind.
- Einwilligung (KVKK Art. 5/1, DSGVO Art. 6/1(a)): Verarbeitung auf Grundlage der ausdrücklichen Einwilligung für Marketingkommunikation, Cookie-Präferenzen und andere optionale Verarbeitungsaktivitäten.
3.3. Widerruf der Einwilligung
Sie können Ihre Einwilligung für einwilligungsbasierte Verarbeitungsaktivitäten jederzeit widerrufen. Zum Widerruf Ihrer Einwilligung können Sie Ihre Präferenzen in den Kontoeinstellungen aktualisieren, den "Abmelden"-Link in Marketing-E-Mails verwenden oder an privacy@evaste.co schreiben.
Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.
4. Datenspeicherungsfristen
4.1. Allgemeine Grundsätze
Wir speichern Ihre personenbezogenen Daten für die Dauer, die für den Verarbeitungszweck erforderlich ist, solange vertragliche Verpflichtungen bestehen und für die gesetzlichen Aufbewahrungsfristen.
4.2. Aufbewahrungsfristen nach Datenkategorie
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Kontodaten | Solange das Konto aktiv ist + 3 Jahre |
| Transaktionsaufzeichnungen | 10 Jahre (Steuervorschriften) |
| Rechnungen | 10 Jahre (HGB) |
| Einwilligungsaufzeichnungen | Gültigkeitsdauer der Einwilligung + 5 Jahre |
| Support-Aufzeichnungen | 3 Jahre |
| Protokolldaten | 2 Jahre |
| Analytikdaten | 26 Monate (anonymisiert unbefristet) |
| Marketingpräferenzen | Biş zum Widerruf der Einwilligung |
4.3. Nach Kontoschließung
Wenn Sie Ihr Konto schließen: Ihre personenbezogenen Daten werden innerhalb von 30 Tagen gelöscht oder anonymisiert, Daten unter gesetzlichen Aufbewahrungspflichten werden biş zum Ende der entsprechenden Frist aufbewahrt, Daten in Backups werden im Rahmen der Backup-Rotation gelöscht (90 Tage).
4.4. Löschmethoden
Daten werden mit folgenden Methoden sicher vernichtet:
- Digitale Daten: Sichere Löschalgorithmen (NIST-Standards)
- Backup-Daten: Automatische Rotation mit dauerhafter Löschung
- Protokolldaten: Automatisches Altern und Löschen
5. Datenübermittlung und internationaler Transfer
5.1. Nationale Datenübermittlung
Ihre personenbezogenen Daten können an folgende Empfängergruppen übermittelt werden:
| Empfängergruppe | Übermittlungszweck |
|---|---|
| Konzernunternehmen | Geschäftsbetrieb, Supportdienste |
| Dienstleister | Technische Infrastruktur, Zahlungsabwicklung |
| Rechtsberater | Rechtsberatung |
| Wirtschaftsprüfer | Finanz- und Compliance-Prüfungen |
| Behörden | Gesetzliche Pflichten (Gericht, Steuern) |
5.2. Internationale Datenübermittlung
Ihre Daten können zur Erbringung unserer Dienste in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden. In diesem Fall:
- Angemessenheitsbeschluss der EU-Kommission: Übermittlung in Länder mit angemessenem Schutzniveau ist möglich.
- Standardvertragsklauseln (SCC): Von der EU-Kommission genehmigte Standardvertragsklauseln werden verwendet (mit zusätzlichen Garantien gemäß Schrems II-Urteil).
- Verbindliche Unternehmensregeln (BCR): Genehmigte verbindliche Regeln zwischen Konzernunternehmen.
- Ausdrückliche Einwilligung: In Fällen, in denen andere Garantien nicht verfügbar sind, wird Ihre ausdrückliche Einwilligung eingeholt.
5.3. Unterauftragsverarbeiter
Die aktuelle Liste unserer Unterauftragsverarbeiter finden Sie unter: https://evaste.co/legal-center/sub-processors
Bei Hinzufügung neuer Unterauftragsverarbeiter wird mindestens 30 Tage im Voraus informiert.
5.4. Datenübermittlung in die USA
Daten werden an Dienstleister in den USA übermittelt (AWS, Stripe usw.). Nach dem Schrems II-Urteil werden folgende zusätzliche Garantien angewendet:
- Aktualisierte Standardvertragsklauseln (2021 SCC)
- Zusätzliche technische Maßnahmen (Verschlüsselung, Pseudonymisierung)
- Transfer-Folgenabschätzung (TIA)
- Bewertung des Risikos der Unterstellung unter US-Geheimdienstgesetze
6. Datensicherheitsmaßnahmen
6.1. Technische Maßnahmen
- Verschlüsselung: Bei der Übertragung TLS 1.3, bei der Speicherung AES-256, Passwortspeicherung bcrypt/Argon2
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC), Multi-Faktor-Authentifizierung (MFA), Prinzip der geringsten Berechtigung
- Netzwerksicherheit: Firewall und IDS/IPS, DDoS-Schutz, VPN für Fernzugriff
- Anwendungssicherheit: Regelmäßige Sicherheitsscans, Penetrationstests, Sicherer Softwareentwicklungslebenszyklus (SDLC)
6.2. Organisatorische Maßnahmen
- Vertraulichkeitsvereinbarungen (alle Mitarbeiter und Lieferanten)
- Regelmäßige Sicherheitsbewusstseinsschulungen
- Datenschutz-Folgenabschätzungen (DPIA)
- Notfallreaktionspläne
- Geschäftskontinuitäts- und Disaster-Recovery-Pläne
6.3. Sicherheitszertifizierungen
Die Evaste-Infrastruktur entspricht folgenden Standards:
- ISO 27001 (Informationssicherheitsmanagement)
- SOC 2 Type II (Infrastrukturanbieter)
6.4. Benachrichtigung bei Sicherheitsverletzungen
Bei Feststellung einer Verletzung personenbezogener Daten:
- Benachrichtigung der Datenschutzbehörde innerhalb von 72 Stunden (KVKK/DSGVO)
- Sofortige Benachrichtigung der betroffenen Personen bei hohem Risiko
- Führen eines Verletzungsregisters
- Ergreifen von Korrekturmaßnahmen
7. Rechte der betroffenen Personen
7.1. Ihre Rechte nach KVKK (Artikel 11)
- Auskunftsrecht: Das Recht zu erfahren, ob Ihre personenbezogenen Daten verarbeitet werden.
- Recht auf Information: Das Recht, bei Verarbeitung diesbezügliche Informationen anzufordern.
- Recht auf Kenntniş des Verarbeitungszwecks: Das Recht zu erfahren, zu welchem Zweck Ihre personenbezogenen Daten verarbeitet werden und ob sie zweckgemäß verwendet werden.
- Recht auf Übermittlungsinformation: Das Recht zu erfahren, an welche Dritten im In- oder Ausland Ihre Daten übermittelt wurden.
- Recht auf Berichtigung: Das Recht, die Korrektur unvollständiger oder fehlerhafter Verarbeitung zu verlangen.
- Recht auf Löschung/Vernichtung: Das Recht, die Löschung oder Vernichtung gemäß KVKK Artikel 7 zu verlangen.
- Recht auf Benachrichtigung über Berichtigung/Löschung: Das Recht zu verlangen, dass Berichtigungs-/Löschungsvorgänge den Dritten, an die die Daten übermittelt wurden, mitgeteilt werden.
- Widerspruchsrecht gegen automatisierte Verarbeitung: Das Recht, gegen ein Ergebniş Widerspruch einzulegen, das durch ausschließlich automatisierte Systeme zu Ihrem Nachteil entstanden ist.
- Recht auf Schadensersatz: Das Recht, bei rechtswidriger Verarbeitung Schadensersatz zu verlangen.
7.2. Zusätzliche Rechte nach DSGVO
- Recht auf Datenübertragbarkeit (Artikel 20): Das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.
- Recht auf Einschränkung der Verarbeitung (Artikel 18): Das Recht, unter bestimmten Bedingungen die Einschränkung der Verarbeitung zu verlangen.
- Beschwerderecht bei einer Aufsichtsbehörde (Artikel 77): Das Recht, bei der zuständigen Datenschutzbehörde Beschwerde einzulegen.
7.3. Antrag auf Ausübung von Rechten
Zur Ausübung Ihrer Rechte:
- E-Mail: privacy@evaste.co
- Plattform: Kontoeinstellungen > Datenschutz > Datenanfrage
- Post: Evaste (Group Taiga), Levent, Istanbul, Türkei
7.4. Antwortfristen
| Regelung | Antwortfrist | Verlängerungsmöglichkeit |
|---|---|---|
| KVKK | 30 Tage | - |
| DSGVO | 1 Monat | +2 Monate (komplexe Anfragen) |
7.5. Gebühren
- Einmal jährlich kostenfreies Auskunftsrecht
- Bei wiederholten oder übermäßigen Anfragen kann eine angemessene Gebühr erhoben werden
- Das Recht, unbegründete oder übermäßige Anfragen abzulehnen, bleibt vorbehalten
8. Automatisierte Entscheidungsfindung und Profiling
8.1. Automatisierte Entscheidungsfindung
Evaste trifft keine Entscheidungen, die ausschließlich auf automatisierter Verarbeitung basieren und rechtliche Wirkungen entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (DSGVO Artikel 22).
8.2. Profiling-Aktivitäten
Profiling wird für folgende begrenzte Zwecke durchgeführt:
- Serviceempfehlungen (basierend auf Nutzungsmustern)
- Sicherheit (Erkennung abnormaler Aktivitäten)
- Analytik (anonyme Nutzungsstatistiken)
Diese Aktivitäten entfalten keine rechtlichen Wirkungen und beeinträchtigen Sie nicht erheblich.
8.3. Widerspruch gegen automatisierte Entscheidungsfindung
Wenn Sie glauben, dass automatisierte Entscheidungen getroffen werden:
- Sie können menschliches Eingreifen verlangen
- Sie können Ihren Standpunkt darlegen
- Sie können gegen die Entscheidung Widerspruch einlegen
9. Datenschutz von Kindern
9.1. Altersgrenze
Die Evaste-Dienste richten sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren (DSGVO) oder unter 13 Jahren (COPPA).
9.2. Erkennung von Kinderdaten
Wenn wir feststellen, dass wir Daten einer Person unter 18 Jahren erhoben haben:
- Wir löschen die Daten sofort
- Wir schließen das Konto
- Wir benachrichtigen den Elternteil oder Erziehungsberechtigten
9.3. Benachrichtigung von Eltern/Erziehungsberechtigten
Wenn Sie glauben, dass Ihr Kind Evaste Daten bereitgestellt hat, kontaktieren Sie uns bitte unter privacy@evaste.co.
10. Links zu Drittanbietern
10.1. Externe Links
Unsere Plattform kann Links zu Websites Dritter enthalten. Diese Links werden nur zur Bequemlichkeit bereitgestellt.
10.2. Haftungsausschluss
Evaste:
- Ist nicht verantwortlich für die Datenschutzpraktiken von Drittanbieter-Websites
- Kontrolliert nicht den Inhalt dieser Websites
- Garantiert nicht die Sicherheit dieser Websites
Wir empfehlen Ihnen, die jeweiligen Datenschutzrichtlinien zu lesen, bevor Sie diese Websites besuchen.
10.3. Social-Media-Funktionen
Unsere Plattform kann Social-Media-Buttons enthalten (LinkedIn, Twitter usw.). Diese Funktionen unterliegen den Datenschutzrichtlinien der jeweiligen Social-Media-Plattformen.
11. Kalifornische Verbraucherrechte (CCPA)
11.1. Geltungsbereich
Dieser Abschnitt erläutert die zusätzlichen Rechte, die Verbrauchern mit Wohnsitz im Bundesstaat Kalifornien ("Kalifornische Verbraucher") gemäß dem California Consumer Privacy Act (CCPA) gewährt werden.
11.2. Kategorien gesammelter Informationen
In den letzten 12 Monaten gesammelte Kategorien personenbezogener Informationen:
| Kategorie | Beispiele |
|---|---|
| Identifikatoren | Name, E-Mail, IP-Adresse |
| Geschäftsinformationen | Kaufhistorie, Abonnementinformationen |
| Internetaktivität | Browserverlauf, Interaktionsdaten |
| Geografischer Standort | IP-basierter ungefährer Standort |
| Berufliche Informationen | Firmenname, Position |
| Rückschlüsse | Präferenzprofile |
11.3. Rechte kalifornischer Verbraucher
- Auskunftsrecht (Right to Know): Das Recht, Informationen über in den letzten 12 Monaten gesammelte, verwendete, geteilte oder verkaufte personenbezogene Informationen anzufordern.
- Löschungsrecht (Right to Delete): Das Recht, die Löschung Ihrer personenbezogenen Informationen zu verlangen (vorbehaltlich gesetzlicher Ausnahmen).
- Recht auf Opt-Out vom Verkauf (Right to Opt-Out): WICHTIG: Evaste "verkauft" Ihre personenbezogenen Informationen NICHT im Sinne des CCPA.
- Recht auf Nichtdiskriminierung (Right to Non-Discrimination): Das Recht, nicht diskriminiert zu werden, weil Sie Ihre Datenschutzrechte ausüben.
11.4. Bevollmächtigter Vertreter
Wenn Sie in Kalifornien ansässig sind, können Sie einen bevollmächtigten Vertreter zur Ausübung Ihrer Rechte benennen. Der bevollmächtigte Vertreter muss eine schriftliche Vollmacht vorlegen, seine Identität verifizieren und seine Befugniş nachweisen, in Ihrem Namen zu handeln.
11.5. Antragsmethode
Antrag für kalifornische Rechte: E-Mail: privacy@evaste.co, Betreff: "CCPA Request - [Art des Rechts]"
Antwortfrist: 45 Tage (bei komplexen Anfragen um +45 Tage verlängerbar)
11.6. Verifizierungsprozess
Vor der Bearbeitung Ihres Antrags müssen wir Ihre Identität verifizieren:
- Wenn Sie Kontoinhaber sind: Verifizierung durch Anmeldung im Konto
- Wenn Sie kein Konto haben: Abgleich mit mindestens 2-3 Datenpunkten
11.7. "Verkaufen Sie meine personenbezogenen Informationen nicht"
Evaste führt keine "Verkaufs"-Aktivitäten im Sinne des CCPA durch. Um jedoch Ihre Präferenzen zu verwalten: E-Mail: privacy@evaste.co, Betreff: "Do Not Sell My Personal Information"
12. Richtlinienänderungen
12.1. Aktualisierungsrecht
Evaste behält sich das Recht vor, diese Datenschutzrichtlinie jederzeit zu aktualisieren. Änderungen werden mit dem Datum "Letzte Aktualisierung" gekennzeichnet, wesentliche Änderungen werden per E-Mail mitgeteilt und auf der Plattform angekündigt.
12.2. Wesentliche Änderungen
Folgende Änderungen gelten als "wesentlich":
- Änderung der Kategorien gesammelter Daten
- Neue Verarbeitungszwecke
- Neue Weitergaben an Dritte
- Änderungen, die Ihre Rechte betreffen
12.3. Benachrichtigungsfrist
Wesentliche Änderungen werden mindestens 30 Tage vor dem Inkrafttreten mitgeteilt.
12.4. Annahme der Änderung
Die weitere Nutzung der Dienste nach der Benachrichtigung bedeutet, dass Sie die aktualisierte Richtlinie akzeptieren. Wenn Sie nicht einverstanden sind, können Sie Ihr Konto schließen.
13. Kontaktinformationen
13.1. Datenverantwortlicher
- Evaste (Group Taiga)
- Adresse: Levent, Istanbul, Türkei
- E-Mail: privacy@evaste.co
- Web: https://evaste.co
- Telefon: +90 532 494 42 64
13.2. Datenschutzbeauftragter
E-Mail: dpo@evaste.co
13.3. Aufsichtsbehörden
- Türkei: Datenschutzbehörde (KVKK) - https://kvkk.gov.tr
- Europäische Union: Zuständige Datenschutzbehörde des EU-Mitgliedstaats
- Kalifornien: California Attorney General - https://oag.ca.gov/privacy
Diese Datenschutzrichtlinie trat am 12. Januar 2026 in Kraft.
Datenschutzrichtlinie
Übersetzungshinweis
⚠️ WICHTIGER HINWEIS: Dieses Dokument wurde aus dem Türkischen übersetzt und dient nur zu Informationszwecken. Die türkische Originalfassung ist das rechtlich verbindliche Dokument. Bei Abweichungen zwischen der türkischen und der deutschen Fassung gilt die türkische Fassung.
1. Einführung und Datenverantwortlicher
1.1. Einführung
Diese Datenschutzrichtlinie erklärt, wie die Evaste-Plattform ("Plattform", "Wir", "Uns") personenbezogene Daten erhebt, verarbeitet, speichert, überträgt und schützt.
Ihre Privatsphäre ist uns äußerst wichtig. Als Plattform für Datenschutz und Einwilligungsmanagement betrachten wir den Schutz personenbezogener Daten als oberste Priorität.
1.2. Datenverantwortlicher
- Evaste (Teil von Group Taiga)
- Adresse: Levent, Istanbul, Türkei
- E-Mail: privacy@evaste.co
- Web: https://evaste.co
- Telefon: +90 532 494 42 64
1.3. Datenschutzvertreter
Für Nutzer in der Europäischen Union ist unser gemäß DSGVO Artikel 27 benannter Datenschutzvertreter erreichbar unter: dpo@evaste.co
1.4. Geltungsbereich
Diese Datenschutzrichtlinie gilt in folgenden Fällen:
- Wenn Sie die Website evaste.co besuchen
- Wenn Sie sich auf der Plattform registrieren und unsere Dienste nutzen
- Wenn Sie den Kundensupport kontaktieren
- Wenn Sie unsere Marketingmitteilungen erhalten
1.5. Rechtlicher Rahmen
Diese Richtlinie wurde in Übereinstimmung mit folgenden Vorschriften erstellt:
- Gesetz Nr. 6698 zum Schutz personenbezogener Daten (KVKK) - Türkei
- Datenschutz-Grundverordnung (DSGVO) - Europäische Union
- California Consumer Privacy Act (CCPA) - USA Kalifornien
- Gesetz Nr. 6563 zur Regulierung des elektronischen Handels - Türkei
2. Kategorien verarbeiteter personenbezogener Daten
2.1. Von Ihnen direkt bereitgestellte Daten
| Datenkategorie | Datentypen |
|---|---|
| Identitätsdaten | Vorname, Nachname, Benutzername |
| Kontaktdaten | E-Mail-Adresse, Telefonnummer, Adresse |
| Kontodaten | Passwort (gehasht), Kontoeinstellungen |
| Zahlungsdaten | Rechnungsadresse, Steuernummer* |
| Unternehmensdaten | Firmenname, Position, Branche |
| Kommunikationsinhalte | Supportanfragen, Feedback |
* Kreditkartendaten werden nicht von Evaste gespeichert; sie werden von unserem sicheren Zahlungsanbieter (Stripe) verarbeitet.
2.2. Automatisch erfasste Daten
| Datenkategorie | Datentypen |
|---|---|
| Gerätedaten | IP-Adresse, Browsertyp, Betriebssystem |
| Nutzungsdaten | Seitenaufrufe, Klicks, Sitzungsdauer |
| Standortdaten | Land, Stadt (IP-basiert, ungefähr) |
| Cookie-Daten | Sitzungs-Cookies, Präferenz-Cookies |
| Protokolldaten | Zugriffsprotokolle, Fehlerprotokolle, API-Aufrufe |
2.3. Von Dritten erhaltene Daten
| Quelle | Datentypen |
|---|---|
| Soziale Anmeldung | Name, E-Mail, Profilbild (Google, LinkedIn) |
| Zahlungsanbieter | Transaktionsstatus, Zahlungsbestätigung |
| Geschäftspartner | Empfehlungsinformationen, Kampagnendaten |
2.4. Besondere Kategorien von Daten
Evaste verarbeitet keine besonderen Kategorien personenbezogener Daten gemäß KVKK Artikel 6 und DSGVO Artikel 9 (Rasse, ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten, biometrische Daten usw.).
3. Verarbeitungszwecke und Rechtsgrundlagen
3.1. Verarbeitungszwecke und Rechtsgrundlagen
| Zweck | KVKK-Grundlage | DSGVO-Grundlage |
|---|---|---|
| Dienstleistung | Art. 5/2(c) | Art. 6/1(b) |
| Kontoerstellung und -verwaltung | Art. 5/2(c) | Art. 6/1(b) |
| Zahlungsabwicklung | Art. 5/2(c) | Art. 6/1(b) |
| Kundensupport | Art. 5/2(c) | Art. 6/1(b) |
| Serviceverbesserung | Art. 5/2(f) | Art. 6/1(f) |
| Sicherheit und Betrugsprävention | Art. 5/2(f) | Art. 6/1(f) |
| Gesetzliche Pflichten | Art. 5/2(ç) | Art. 6/1(c) |
| Marketing (mit Einwilligung) | Art. 5/1 | Art. 6/1(a) |
| Analytik und Statistik | Art. 5/2(f) | Art. 6/1(f) |
3.2. Erläuterung der Rechtsgrundlagen
- Vertragserfüllung (KVKK Art. 5/2(c), DSGVO Art. 6/1(b)): Datenverarbeitungsaktivitäten, die zur Erbringung unserer Dienste und zur Erfüllung vertraglicher Pflichten erforderlich sind.
- Berechtigtes Interesse (KVKK Art. 5/2(f), DSGVO Art. 6/1(f)): Verarbeitungsaktivitäten, die zur Verbesserung unserer Dienste, Gewährleistung der Sicherheit und Durchführung unserer Geschäftstätigkeit erforderlich sind.
- Gesetzliche Verpflichtung (KVKK Art. 5/2(ç), DSGVO Art. 6/1(c)): Verarbeitungsaktivitäten, die zur Erfüllung unserer Verpflichtungen aus Steuerrecht, Handelsrecht und anderen gesetzlichen Vorschriften erforderlich sind.
- Einwilligung (KVKK Art. 5/1, DSGVO Art. 6/1(a)): Verarbeitung auf Grundlage der ausdrücklichen Einwilligung für Marketingkommunikation, Cookie-Präferenzen und andere optionale Verarbeitungsaktivitäten.
3.3. Widerruf der Einwilligung
Sie können Ihre Einwilligung für einwilligungsbasierte Verarbeitungsaktivitäten jederzeit widerrufen. Zum Widerruf Ihrer Einwilligung können Sie Ihre Präferenzen in den Kontoeinstellungen aktualisieren, den "Abmelden"-Link in Marketing-E-Mails verwenden oder an privacy@evaste.co schreiben.
Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.
4. Datenspeicherungsfristen
4.1. Allgemeine Grundsätze
Wir speichern Ihre personenbezogenen Daten für die Dauer, die für den Verarbeitungszweck erforderlich ist, solange vertragliche Verpflichtungen bestehen und für die gesetzlichen Aufbewahrungsfristen.
4.2. Aufbewahrungsfristen nach Datenkategorie
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Kontodaten | Solange das Konto aktiv ist + 3 Jahre |
| Transaktionsaufzeichnungen | 10 Jahre (Steuervorschriften) |
| Rechnungen | 10 Jahre (HGB) |
| Einwilligungsaufzeichnungen | Gültigkeitsdauer der Einwilligung + 5 Jahre |
| Support-Aufzeichnungen | 3 Jahre |
| Protokolldaten | 2 Jahre |
| Analytikdaten | 26 Monate (anonymisiert unbefristet) |
| Marketingpräferenzen | Biş zum Widerruf der Einwilligung |
4.3. Nach Kontoschließung
Wenn Sie Ihr Konto schließen: Ihre personenbezogenen Daten werden innerhalb von 30 Tagen gelöscht oder anonymisiert, Daten unter gesetzlichen Aufbewahrungspflichten werden biş zum Ende der entsprechenden Frist aufbewahrt, Daten in Backups werden im Rahmen der Backup-Rotation gelöscht (90 Tage).
4.4. Löschmethoden
Daten werden mit folgenden Methoden sicher vernichtet:
- Digitale Daten: Sichere Löschalgorithmen (NIST-Standards)
- Backup-Daten: Automatische Rotation mit dauerhafter Löschung
- Protokolldaten: Automatisches Altern und Löschen
5. Datenübermittlung und internationaler Transfer
5.1. Nationale Datenübermittlung
Ihre personenbezogenen Daten können an folgende Empfängergruppen übermittelt werden:
| Empfängergruppe | Übermittlungszweck |
|---|---|
| Konzernunternehmen | Geschäftsbetrieb, Supportdienste |
| Dienstleister | Technische Infrastruktur, Zahlungsabwicklung |
| Rechtsberater | Rechtsberatung |
| Wirtschaftsprüfer | Finanz- und Compliance-Prüfungen |
| Behörden | Gesetzliche Pflichten (Gericht, Steuern) |
5.2. Internationale Datenübermittlung
Ihre Daten können zur Erbringung unserer Dienste in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden. In diesem Fall:
- Angemessenheitsbeschluss der EU-Kommission: Übermittlung in Länder mit angemessenem Schutzniveau ist möglich.
- Standardvertragsklauseln (SCC): Von der EU-Kommission genehmigte Standardvertragsklauseln werden verwendet (mit zusätzlichen Garantien gemäß Schrems II-Urteil).
- Verbindliche Unternehmensregeln (BCR): Genehmigte verbindliche Regeln zwischen Konzernunternehmen.
- Ausdrückliche Einwilligung: In Fällen, in denen andere Garantien nicht verfügbar sind, wird Ihre ausdrückliche Einwilligung eingeholt.
5.3. Unterauftragsverarbeiter
Die aktuelle Liste unserer Unterauftragsverarbeiter finden Sie unter: https://evaste.co/legal-center/sub-processors
Bei Hinzufügung neuer Unterauftragsverarbeiter wird mindestens 30 Tage im Voraus informiert.
5.4. Datenübermittlung in die USA
Daten werden an Dienstleister in den USA übermittelt (AWS, Stripe usw.). Nach dem Schrems II-Urteil werden folgende zusätzliche Garantien angewendet:
- Aktualisierte Standardvertragsklauseln (2021 SCC)
- Zusätzliche technische Maßnahmen (Verschlüsselung, Pseudonymisierung)
- Transfer-Folgenabschätzung (TIA)
- Bewertung des Risikos der Unterstellung unter US-Geheimdienstgesetze
6. Datensicherheitsmaßnahmen
6.1. Technische Maßnahmen
- Verschlüsselung: Bei der Übertragung TLS 1.3, bei der Speicherung AES-256, Passwortspeicherung bcrypt/Argon2
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC), Multi-Faktor-Authentifizierung (MFA), Prinzip der geringsten Berechtigung
- Netzwerksicherheit: Firewall und IDS/IPS, DDoS-Schutz, VPN für Fernzugriff
- Anwendungssicherheit: Regelmäßige Sicherheitsscans, Penetrationstests, Sicherer Softwareentwicklungslebenszyklus (SDLC)
6.2. Organisatorische Maßnahmen
- Vertraulichkeitsvereinbarungen (alle Mitarbeiter und Lieferanten)
- Regelmäßige Sicherheitsbewusstseinsschulungen
- Datenschutz-Folgenabschätzungen (DPIA)
- Notfallreaktionspläne
- Geschäftskontinuitäts- und Disaster-Recovery-Pläne
6.3. Sicherheitszertifizierungen
Die Evaste-Infrastruktur entspricht folgenden Standards:
- ISO 27001 (Informationssicherheitsmanagement)
- SOC 2 Type II (Infrastrukturanbieter)
6.4. Benachrichtigung bei Sicherheitsverletzungen
Bei Feststellung einer Verletzung personenbezogener Daten:
- Benachrichtigung der Datenschutzbehörde innerhalb von 72 Stunden (KVKK/DSGVO)
- Sofortige Benachrichtigung der betroffenen Personen bei hohem Risiko
- Führen eines Verletzungsregisters
- Ergreifen von Korrekturmaßnahmen
7. Rechte der betroffenen Personen
7.1. Ihre Rechte nach KVKK (Artikel 11)
- Auskunftsrecht: Das Recht zu erfahren, ob Ihre personenbezogenen Daten verarbeitet werden.
- Recht auf Information: Das Recht, bei Verarbeitung diesbezügliche Informationen anzufordern.
- Recht auf Kenntniş des Verarbeitungszwecks: Das Recht zu erfahren, zu welchem Zweck Ihre personenbezogenen Daten verarbeitet werden und ob sie zweckgemäß verwendet werden.
- Recht auf Übermittlungsinformation: Das Recht zu erfahren, an welche Dritten im In- oder Ausland Ihre Daten übermittelt wurden.
- Recht auf Berichtigung: Das Recht, die Korrektur unvollständiger oder fehlerhafter Verarbeitung zu verlangen.
- Recht auf Löschung/Vernichtung: Das Recht, die Löschung oder Vernichtung gemäß KVKK Artikel 7 zu verlangen.
- Recht auf Benachrichtigung über Berichtigung/Löschung: Das Recht zu verlangen, dass Berichtigungs-/Löschungsvorgänge den Dritten, an die die Daten übermittelt wurden, mitgeteilt werden.
- Widerspruchsrecht gegen automatisierte Verarbeitung: Das Recht, gegen ein Ergebniş Widerspruch einzulegen, das durch ausschließlich automatisierte Systeme zu Ihrem Nachteil entstanden ist.
- Recht auf Schadensersatz: Das Recht, bei rechtswidriger Verarbeitung Schadensersatz zu verlangen.
7.2. Zusätzliche Rechte nach DSGVO
- Recht auf Datenübertragbarkeit (Artikel 20): Das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.
- Recht auf Einschränkung der Verarbeitung (Artikel 18): Das Recht, unter bestimmten Bedingungen die Einschränkung der Verarbeitung zu verlangen.
- Beschwerderecht bei einer Aufsichtsbehörde (Artikel 77): Das Recht, bei der zuständigen Datenschutzbehörde Beschwerde einzulegen.
7.3. Antrag auf Ausübung von Rechten
Zur Ausübung Ihrer Rechte:
- E-Mail: privacy@evaste.co
- Plattform: Kontoeinstellungen > Datenschutz > Datenanfrage
- Post: Evaste (Group Taiga), Levent, Istanbul, Türkei
7.4. Antwortfristen
| Regelung | Antwortfrist | Verlängerungsmöglichkeit |
|---|---|---|
| KVKK | 30 Tage | - |
| DSGVO | 1 Monat | +2 Monate (komplexe Anfragen) |
7.5. Gebühren
- Einmal jährlich kostenfreies Auskunftsrecht
- Bei wiederholten oder übermäßigen Anfragen kann eine angemessene Gebühr erhoben werden
- Das Recht, unbegründete oder übermäßige Anfragen abzulehnen, bleibt vorbehalten
8. Automatisierte Entscheidungsfindung und Profiling
8.1. Automatisierte Entscheidungsfindung
Evaste trifft keine Entscheidungen, die ausschließlich auf automatisierter Verarbeitung basieren und rechtliche Wirkungen entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (DSGVO Artikel 22).
8.2. Profiling-Aktivitäten
Profiling wird für folgende begrenzte Zwecke durchgeführt:
- Serviceempfehlungen (basierend auf Nutzungsmustern)
- Sicherheit (Erkennung abnormaler Aktivitäten)
- Analytik (anonyme Nutzungsstatistiken)
Diese Aktivitäten entfalten keine rechtlichen Wirkungen und beeinträchtigen Sie nicht erheblich.
8.3. Widerspruch gegen automatisierte Entscheidungsfindung
Wenn Sie glauben, dass automatisierte Entscheidungen getroffen werden:
- Sie können menschliches Eingreifen verlangen
- Sie können Ihren Standpunkt darlegen
- Sie können gegen die Entscheidung Widerspruch einlegen
9. Datenschutz von Kindern
9.1. Altersgrenze
Die Evaste-Dienste richten sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren (DSGVO) oder unter 13 Jahren (COPPA).
9.2. Erkennung von Kinderdaten
Wenn wir feststellen, dass wir Daten einer Person unter 18 Jahren erhoben haben:
- Wir löschen die Daten sofort
- Wir schließen das Konto
- Wir benachrichtigen den Elternteil oder Erziehungsberechtigten
9.3. Benachrichtigung von Eltern/Erziehungsberechtigten
Wenn Sie glauben, dass Ihr Kind Evaste Daten bereitgestellt hat, kontaktieren Sie uns bitte unter privacy@evaste.co.
10. Links zu Drittanbietern
10.1. Externe Links
Unsere Plattform kann Links zu Websites Dritter enthalten. Diese Links werden nur zur Bequemlichkeit bereitgestellt.
10.2. Haftungsausschluss
Evaste:
- Ist nicht verantwortlich für die Datenschutzpraktiken von Drittanbieter-Websites
- Kontrolliert nicht den Inhalt dieser Websites
- Garantiert nicht die Sicherheit dieser Websites
Wir empfehlen Ihnen, die jeweiligen Datenschutzrichtlinien zu lesen, bevor Sie diese Websites besuchen.
10.3. Social-Media-Funktionen
Unsere Plattform kann Social-Media-Buttons enthalten (LinkedIn, Twitter usw.). Diese Funktionen unterliegen den Datenschutzrichtlinien der jeweiligen Social-Media-Plattformen.
11. Kalifornische Verbraucherrechte (CCPA)
11.1. Geltungsbereich
Dieser Abschnitt erläutert die zusätzlichen Rechte, die Verbrauchern mit Wohnsitz im Bundesstaat Kalifornien ("Kalifornische Verbraucher") gemäß dem California Consumer Privacy Act (CCPA) gewährt werden.
11.2. Kategorien gesammelter Informationen
In den letzten 12 Monaten gesammelte Kategorien personenbezogener Informationen:
| Kategorie | Beispiele |
|---|---|
| Identifikatoren | Name, E-Mail, IP-Adresse |
| Geschäftsinformationen | Kaufhistorie, Abonnementinformationen |
| Internetaktivität | Browserverlauf, Interaktionsdaten |
| Geografischer Standort | IP-basierter ungefährer Standort |
| Berufliche Informationen | Firmenname, Position |
| Rückschlüsse | Präferenzprofile |
11.3. Rechte kalifornischer Verbraucher
- Auskunftsrecht (Right to Know): Das Recht, Informationen über in den letzten 12 Monaten gesammelte, verwendete, geteilte oder verkaufte personenbezogene Informationen anzufordern.
- Löschungsrecht (Right to Delete): Das Recht, die Löschung Ihrer personenbezogenen Informationen zu verlangen (vorbehaltlich gesetzlicher Ausnahmen).
- Recht auf Opt-Out vom Verkauf (Right to Opt-Out): WICHTIG: Evaste "verkauft" Ihre personenbezogenen Informationen NICHT im Sinne des CCPA.
- Recht auf Nichtdiskriminierung (Right to Non-Discrimination): Das Recht, nicht diskriminiert zu werden, weil Sie Ihre Datenschutzrechte ausüben.
11.4. Bevollmächtigter Vertreter
Wenn Sie in Kalifornien ansässig sind, können Sie einen bevollmächtigten Vertreter zur Ausübung Ihrer Rechte benennen. Der bevollmächtigte Vertreter muss eine schriftliche Vollmacht vorlegen, seine Identität verifizieren und seine Befugniş nachweisen, in Ihrem Namen zu handeln.
11.5. Antragsmethode
Antrag für kalifornische Rechte: E-Mail: privacy@evaste.co, Betreff: "CCPA Request - [Art des Rechts]"
Antwortfrist: 45 Tage (bei komplexen Anfragen um +45 Tage verlängerbar)
11.6. Verifizierungsprozess
Vor der Bearbeitung Ihres Antrags müssen wir Ihre Identität verifizieren:
- Wenn Sie Kontoinhaber sind: Verifizierung durch Anmeldung im Konto
- Wenn Sie kein Konto haben: Abgleich mit mindestens 2-3 Datenpunkten
11.7. "Verkaufen Sie meine personenbezogenen Informationen nicht"
Evaste führt keine "Verkaufs"-Aktivitäten im Sinne des CCPA durch. Um jedoch Ihre Präferenzen zu verwalten: E-Mail: privacy@evaste.co, Betreff: "Do Not Sell My Personal Information"
12. Richtlinienänderungen
12.1. Aktualisierungsrecht
Evaste behält sich das Recht vor, diese Datenschutzrichtlinie jederzeit zu aktualisieren. Änderungen werden mit dem Datum "Letzte Aktualisierung" gekennzeichnet, wesentliche Änderungen werden per E-Mail mitgeteilt und auf der Plattform angekündigt.
12.2. Wesentliche Änderungen
Folgende Änderungen gelten als "wesentlich":
- Änderung der Kategorien gesammelter Daten
- Neue Verarbeitungszwecke
- Neue Weitergaben an Dritte
- Änderungen, die Ihre Rechte betreffen
12.3. Benachrichtigungsfrist
Wesentliche Änderungen werden mindestens 30 Tage vor dem Inkrafttreten mitgeteilt.
12.4. Annahme der Änderung
Die weitere Nutzung der Dienste nach der Benachrichtigung bedeutet, dass Sie die aktualisierte Richtlinie akzeptieren. Wenn Sie nicht einverstanden sind, können Sie Ihr Konto schließen.
13. Kontaktinformationen
13.1. Datenverantwortlicher
- Evaste (Group Taiga)
- Adresse: Levent, Istanbul, Türkei
- E-Mail: privacy@evaste.co
- Web: https://evaste.co
- Telefon: +90 532 494 42 64
13.2. Datenschutzbeauftragter
E-Mail: dpo@evaste.co
13.3. Aufsichtsbehörden
- Türkei: Datenschutzbehörde (KVKK) - https://kvkk.gov.tr
- Europäische Union: Zuständige Datenschutzbehörde des EU-Mitgliedstaats
- Kalifornien: California Attorney General - https://oag.ca.gov/privacy
Diese Datenschutzrichtlinie trat am 12. Januar 2026 in Kraft.