GDPR Compliance

Die Datenschutz-Grundverordnung (DSGVO) (EU) 2016/679 ist der primäre rechtliche Rahmen für den Schutz personenbezogener Daten von Personen innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums. In der Türkei bildet das Gesetz Nr. 6698 über den Schutz personenbezogener Daten (KVKK) einen gleichwertigen Rahmen. Pinet Bilişim A.Ş. ("wir", "unser", "das Unternehmen"), der Betreiber von Meet2Be, ist vollständig der Einhaltung sowohl der DSGVO als auch der KVKK in allen Aspekten unserer Datenverarbeitungstätigkeiten verpflichtet.

Diese Seite bietet eine detaillierte Darstellung unseres DSGVO- und KVKK-Konformitätsrahmens, einschließlich unserer Rollen als Datenverantwortlicher und Auftragsverarbeiter, der von uns genutzten Rechtsgrundlagen, der verfügbaren Betroffenenrechte, unserer technischen und organisatorischen Sicherheitsmaßnahmen, unseres Sub-Processor-Rahmens und unserer Verfahren zur Reaktion auf Datenverletzungen.

Die türkische KVKK, die 2016 in Kraft trat, wurde nach dem Vorbild der EU-Datenschutzrichtlinie 95/46/EG erstellt und ist weitgehend auf die Grundsätze der DSGVO abgestimmt. Beide Rahmenwerke teilen dieselben grundlegenden Prinzipien: Rechtmäßigkeit, Fairness und Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit sowie Rechenschaftspflicht.

Wo Unterschiede bestehen, wenden wir den strengeren der beiden Standards an. Dies bedeutet, dass EU/EWR-Nutzer den vollständigen DSGVO-Schutz genießen, während alle Nutzer — einschließlich türkischer Nutzer — von Rechten profitieren, die denen der KVKK entsprechen oder diese übertreffen. Unser Compliance-Programm ist darauf ausgelegt, beide Rahmenwerke gleichzeitig zu erfüllen, ohne separate Datenverarbeitungsprozesse für verschiedene Nutzergruppen zu erfordern.

Wir verfolgen die Bemühungen der türkischen KVKK Kurumu um eine Angemessenheitsentscheidung der Europäischen Kommission und werden unsere Compliance-Verfahren entsprechend aktualisieren. Unsere Standardvertragsklauseln (SCCs) für grenzüberschreitende Datenflüsse sind bereits vorhanden, um etwaige Lücken in der Zwischenzeit zu schließen.

Meet2Be agiert je nach Art der Datenverarbeitungstätigkeit in einer Doppelfunktion unter DSGVO und KVKK:

Gemäß DSGVO Artikel 6 und KVKK Artikel 5 muss jede Verarbeitungstätigkeit eine Rechtsgrundlage haben. Wir dokumentieren die anwendbare Grundlage für jede Verarbeitungstätigkeit in unserem Verzeichnis von Verarbeitungstätigkeiten (VVT). Die sechs verfügbaren Grundlagen und ihre Anwendung auf unsere Tätigkeiten:

Gemäß DSGVO Artikel 15–22 und KVKK Artikel 11 haben Sie umfassende Rechte bezüglich Ihrer personenbezogenen Daten. Reichen Sie alle Rechtsanfragen mit Identitätsnachweis an privacy@meet2be.com ein. Wir antworten innerhalb von 30 Tagen; komplexe Anfragen können um bis zu zwei weitere Monate verlängert werden.

Wir erheben keine Gebühren für die Ausübung Ihrer Rechte, es sei denn, Anfragen sind offensichtlich unbegründet oder unverhältnismäßig. Wir können Ihre Identität einmal zur Verifizierung überprüfen. Bei Ablehnung erläutern wir unsere Gründe und Ihr Beschwerderecht.

Wir sind global tätig, weshalb Ihre Daten in Ländern außerhalb der Türkei und des EWR gespeichert oder verarbeitet werden können — auch in Ländern ohne EU-Angemessenheitsentscheidung. Wir stellen sicher, dass alle internationalen Übermittlungen durch folgende Mechanismen DSGVO-Kapitel V und KVKK Artikel 9 entsprechen:

Wir führen eine aktualisierte Liste aller Drittländer, in die wir personenbezogene Daten übermitteln, zusammen mit dem anwendbaren Übermittlungsmechanismus. Diese Liste ist auf Anfrage unter privacy@meet2be.com erhältlich.

Wenn wir als Auftragsverarbeiter für Veranstalter tätig sind, beauftragen wir Sub-Processors, die möglicherweise auf über die Plattform übermittelte personenbezogene Daten zugreifen können. Eine vollständige und aktuelle Sub-Processor-Liste ist unter privacy@meet2be.com erhältlich.

Alle Sub-Processors werden unter einem schriftlichen Unterauftragsverarbeitungsvertrag beauftragt, der gleichwertige Datenschutzverpflichtungen wie unser AVV auferlegt (DSGVO Artikel 28/4). Wir führen vor der Beauftragung und in regelmäßigen Abständen eine Due-Diligence-Prüfung durch.

Wir benachrichtigen Datenverantwortliche-Kunden (Veranstalter) über beabsichtigte Sub-Processor-Änderungen mit mindestens 30 Tagen Vorlaufzeit. Bei begründetem Widerspruch und fehlender Einigung kann der Kunde die betreffenden Dienste kostenfrei kündigen.

Gemäß DSGVO Artikel 25 und dem Grundsatz des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen integrieren wir Datenschutzüberlegungen von Beginn an in alle Systementwicklungs-, Funktionsdesign- und Geschäftsprozessaktivitäten — nicht nachträglich.

Unsere Privacy-by-Design-Verpflichtungen umfassen: Erhebung nur der für jeden Zweck mindestnotwendigen personenbezogenen Daten (Datenminimierung); standardmäßige Pseudonymisierung und Verschlüsselung wo technisch machbar; Privacy-by-Default-Einstellungen; Durchführung von Datenschutz-Folgenabschätzungen vor dem Start neuer datenverarbeitender Funktionen; Führung dokumentierter Verarbeitungsverzeichnisse (VVT) gemäß DSGVO Artikel 30.

Unsere Engineering-Praktiken umfassen Code-Review-Anforderungen für datenschutzrelevante Funktionen, datenschutzbewusste Sicherheitstestprotokolle und obligatorische Datenschutzschulungen für alle Engineering-Mitarbeiter.

Gemäß DSGVO Artikel 35 ist vor der Aufnahme einer Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. Wir führen DSFAs für alle neuen Verarbeitungstätigkeiten durch, die: umfangreiche Verarbeitung besonderer Datenkategorien; systematisches Profiling mit wesentlichen Auswirkungen; neue Technologien mit ungewissen Datenschutzfolgen; oder hohe Risiken durch andere Mittel beinhalten.

Jede DSFA umfasst: eine Beschreibung der Verarbeitung und ihrer Zwecke; eine Beurteilung der Notwendigkeit und Verhältnismäßigkeit; die Identifizierung der Risiken für Betroffene; und die geplanten Maßnahmen zur Risikominderung. Verbleibt nach allen Maßnahmen ein hohes Restrisiko, konsultieren wir die zuständige Aufsichtsbehörde (DSGVO Artikel 36).

DSFA-Dokumentation wird für die Dauer der Verarbeitungstätigkeit und danach mindestens fünf (5) Jahre aufbewahrt. DSFAs werden bei Änderungen der Art, des Umfangs, des Kontexts oder der Zwecke der Verarbeitung überprüft.

Wir haben ein dokumentiertes Verfahren zur Reaktion auf Verletzungen des Schutzes personenbezogener Daten implementiert, das DSGVO Artikel 33 und 34 sowie KVKK-Anforderungen entspricht. Unser Verfahren stellt sicher, dass Verletzungen zeitnah und systematisch erkannt, eingedämmt, bewertet und gemeldet werden.

Verletzungsmeldungen enthalten: Art der Verletzung; Kategorien und ungefähre Anzahl betroffener Personen; voraussichtliche Folgen; getroffene oder geplante Abhilfemaßnahmen. Alle Verletzungen werden in unserem internen Verletzungsregister erfasst.

Gemäß dem Grundsatz der Speicherbegrenzung (DSGVO Art. 5/1-e; KVKK Art. 4/2-ç) speichern wir personenbezogene Daten nur so lange wie für den ursprünglichen Zweck und etwaige gesetzliche Verpflichtungen erforderlich. Unser Datenspeicherungsplan ist dokumentiert und wird jährlich überprüft.

Wichtige Aufbewahrungsfristen: Kontodaten — für die Abonnementlaufzeit und 3 Jahre danach. Finanz- und Abrechnungsunterlagen — 10 Jahre gemäß türkischem Steuerverfahrensgesetz. Veranstaltungs- und Teilnehmerdaten — für die Abonnementlaufzeit und Löschung innerhalb von 90 Tagen nach Kündigung. Server-Logs — 90 Tage für Sicherheitszwecke. Marketing-Einwilligungsunterlagen — Dauer der Einwilligung und 3 weitere Jahre als Nachweis.

Nach Ablauf der Fristen werden personenbezogene Daten nach Industriestandard sicher gelöscht (Überschreiben oder kryptografische Löschung) oder unwiderruflich anonymisiert. Wir archivieren keine personenbezogenen Daten in identifizierbarer Form über die geltende Aufbewahrungsfrist hinaus.

Wir implementieren angemessene technische und organisatorische Maßnahmen (TOMs) gemäß DSGVO Artikel 32 und KVKK Artikel 12. Unsere aktuellen TOMs umfassen:

• Verschlüsselung aller personenbezogenen Daten in Transit mit TLS 1.2 oder höher, HSTS und Certificate Pinning.
• Verschlüsselung sensibler ruhender Daten mit AES-256.
• Pseudonymisierung personenbezogener Daten, wo eine vollständige Identifizierung für den Verarbeitungszweck nicht erforderlich ist.
• Rollenbasierte Zugriffskontrollen (RBAC), die sicherstellen, dass Mitarbeiter nur auf die für ihre Aufgaben notwendigen personenbezogenen Daten zugreifen.
• Multi-Faktor-Authentifizierung (MFA) für alle administrativen und privilegierten Zugriffe auf personenbezogene Daten.
• Regelmäßige Schwachstellenbewertungen, Penetrationstests und Sicherheitscode-Reviews.
• Umfassende Audit-Protokollierung aller Zugriffe auf und Änderungen von personenbezogenen Daten.
• Jährliche Pflichtschulungen zum Datenschutz für alle Mitarbeiter mit Zugang zu personenbezogenen Daten.
• Formeller Vendor-Due-Diligence-Prozess für alle Lieferanten, die personenbezogene Daten verarbeiten.
• Incident-Response-Plan, der mindestens jährlich durch Tabletop-Übungen getestet wird.

Sie haben das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen, wenn Sie glauben, dass unsere Verarbeitung gegen geltendes Recht verstößt. Sie können bei der Behörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsorts oder des Orts des mutmaßlichen Verstoßes Beschwerde einlegen.

Wir bitten Sie, uns zunächst unter privacy@meet2be.com zu kontaktieren, bevor Sie eine formelle Beschwerde bei einer Aufsichtsbehörde einreichen. Wir sind bestrebt, Beschwerden schnell und informell zu lösen. Wir antworten innerhalb von 5 Werktagen.