İçeriğe atla
Kostenlos starten
GDPR ARTICLE 28, DPA

Auftragsverarbeitungsvertrag (DPA)

Wir legen die Datenverarbeitungsbeziehung zwischen uns und unseren B2B-Kunden öffentlich als Standardvertrag offen, der GDPR Article 28 und SCC entspricht.

Letzte Aktualisierung 31 Mayıs 2026
Datum des Inkrafttretens 1 Haziran 2026
Version 2.0
Diese Übersetzung dient ausschließlich zu Informationszwecken. Rechtlich verbindlich ist die türkische Fassung dieses Dokuments.
Information Diese Seite ist eine Zusammenfassung des Standard-DPA von cerez.io. Für eine unterzeichnete PDF-Version können Sie das Formular am unteren Rand der Seite verwenden. Die Unterzeichnung eines DPA ist für unsere Pro- und Enterprise-Kunden kostenlos.
Inhaltsverzeichnis

1. Begriffsbestimmungen · 2. Vertragsgegenstand · 3. Art und Zweck der Verarbeitung · 4. Datenkategorien und betroffene Personen · 5. Pflichten des Auftragsverarbeiters · 6. Sub-processors · 7. Sicherheitsmaßnahmen · 8. Anträge betroffener Personen · 9. Meldung von Datenschutzverletzungen · 10. Prüfungsrecht · 11. Rückgabe und Löschung von Daten · 12. SCC-Anhang · 13. Unterzeichnung des DPA

1. Begriffsbestimmungen

Im Rahmen dieses DPA haben die folgenden Begriffe die ihnen jeweils zugeordnete Bedeutung:

Controller (Verantwortlicher / Kunde): Die Partei, die cerez.io-Dienste nutzt und die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Der Kunde selbst oder die von ihm vertretene juristische Person.
Processor (Auftragsverarbeiter / cerez.io): cerez.io, die Partei, die personenbezogene Daten im Auftrag des Controllers gemäß den Weisungen des Controllers verarbeitet.
Impressum: cerez.io
Adresse: Altıeylül, Balıkesir / Türkei
Finanzamt / VKN: Kurtdereli V.D. / 1400185229
Kontakt: destek@cerez.io · +90 540 059 40 40
Sub-processor: Ein vom Processor zur Leistungserbringung beauftragter Drittanbieter-Auftragsverarbeiter (z. B. inländischer Hosting-Anbieter, CDN, E-Mail-Dienstanbieter).
Data Subject (betroffene Person): Die natürliche Person, deren personenbezogene Daten verarbeitet werden. Im cerez.io-Kontext: die Kunden, Mitarbeiter und Besucher des Controllers.
Personal Data (personenbezogene Daten): Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (GDPR Art. 4/1, KVKK Artikel 3/1-d).
Data Breach (Datenschutzverletzung): Die unbefugte Offenlegung, Veränderung, der Verlust oder die Vernichtung personenbezogener Daten (GDPR Art. 4/12).
SCC (Standard Contractual Clauses): Die von der Europäischen Kommission genehmigten Standardvertragsklauseln (Beschluss 2021/914) für Datenübermittlungen ins Ausland.

2. Vertragsgegenstand und Laufzeit

Dieses DPA stellt einen Anhang zum zwischen dem Controller und dem Processor geschlossenen Hauptdienstleistungsvertrag (Nutzungsbedingungen + Pro/Enterprise-Abonnement) dar. Das DPA ist gültig, solange der Hauptvertrag in Kraft ist. Bei Beendigung des Vertrags gelten die Bestimmungen zur Rückgabe/Löschung von Daten in Artikel 11.

Dieses DPA wurde so erstellt, dass es die Anforderungen von GDPR (Regulation EU 2016/679) Article 28 und KVKK Artikel 12 (Nr. 6698) erfüllt.

3. Art und Zweck der Verarbeitung

Art der Verarbeitung Automatisiert (cloud-basiertes SaaS); teilweise automatisiert (Controller-Panel-Eingaben)
Zweck der Verarbeitung B2B-SaaS-Leistungserbringung: Cookie-Consent-Verwaltung, Accessibility-Widget-Dienst, Berichterstattung, Sub-processor-Integration
Verarbeitungsart Erhebung, Erfassung, Speicherung, Organisation, Strukturierung, Nutzung, Offenlegung, Übermittlung, Löschung
Dauer der Verarbeitung Für die Dauer des Hauptvertrags + der in Artikel 11 angegebene Rückgabe-/Löschzeitraum (30 Tage)

4. Datenkategorien und betroffene Personen

4.1. Betroffene Personen

  • Mitarbeiter des Controllers: Kontonutzer (admin, editor, viewer)
  • B2B-Kunden des Controllers: Unternehmensvertreter, die Kontakt aufnehmen (in Enterprise-Szenarien)
  • Website-Besucher des Controllers: Endnutzer (anonyme/pseudo-anonyme Consent-Daten)

4.2. Datenkategorien

Datentyp Quelle Sensibilität
Kontodaten (Name, E-Mail)Controller-BenutzerregistrierungNiedrig
IP-Adresse (gekürzt / gehasht)SDK-Runtime, Besucher-BrowserMittel
Browsertyp, Sprache, OSSDK-Runtime, User-AgentNiedrig
Consent-Präferenzaufzeichnungen (Annahme/Ablehnung, Kategorie)SDK-Runtime, Banner-InteraktionNiedrig
Seiten-URLsSDK-RuntimeNiedrig
API-NutzungsprotokolleServerMittel

Special Category Data (besondere Kategorien personenbezogener Daten): cerez.io verarbeitet keine besonderen Kategorien personenbezogener Daten im Sinne von GDPR Art. 9 / KVKK Artikel 6.

5. Pflichten des Auftragsverarbeiters

Der Processor (cerez.io) verpflichtet sich, die folgenden Pflichten einzuhalten:

  1. Weisung: Verarbeitet personenbezogene Daten ausschließlich gemäß den schriftlichen Weisungen des Controllers. Verarbeitet keine Daten auf eigene Initiative, sofern dies nicht durch eine rechtliche Verpflichtung erforderlich ist.
  2. Vertraulichkeit: Schließt mit seinem Personal schriftliche Vertraulichkeitsvereinbarungen ab; die Berechtigung zur Datenverarbeitung wird nur identifizierten und erforderlichen Personen erteilt.
  3. Sicherheit: Setzt die in Artikel 7 ausführlich beschriebenen technischen und organisatorischen Maßnahmen um und erhält sie aufrecht.
  4. Sub-processor-Bedingung: Informiert den Controller im Voraus über die Beauftragung eines neuen Sub-processors (Artikel 6).
  5. Unterstützung: Unterstützt den Controller bei der Beantwortung von Anträgen betroffener Personen, bei Verletzungsmeldungen und bei der Durchführung einer DPIA (Datenschutz-Folgenabschätzung).
  6. Rechenschaftspflicht: Führt die Verarbeitungstätigkeiten in einem Article 30-Verzeichnis und legt es dem Controller während einer Prüfung vor.
  7. Rückgabe/Löschung: Gibt die Daten bei Beendigung des Vertrags zurück oder löscht sie (Artikel 11).

6. Sub-processor-Liste

Der Controller erteilt den folgenden Sub-processors seine allgemeine vorherige Genehmigung. Bei Änderungen der Liste wird der Controller mindestens 30 Tage im Voraus informiert; das Recht auf Widerspruch bleibt vorbehalten.

Sub-processor Dienst Standort Übermittlungsmechanismus
Inländischer Hosting-Anbieter Server, Datenbank, Speicher, Sicherung Türkei Inland, KVKK Artikel 8
CDN- und Sicherheitsanbieter Inhaltsverteilung, DDoS-Schutz (optionale Nutzung) Global, in der vertraglichen Anhangsliste SCC / Zusicherung angemessenen Schutzes, sofern erforderlich
E-Mail-Dienstanbieter Versand transaktionaler E-Mails (Einladung, Benachrichtigung) In der vertraglichen Anhangsliste SCC / Zusicherung angemessenen Schutzes, sofern erforderlich
KI-Dienstanbieter (OpenAI Vision, MyLLM via Volpora) KI-Alt-Text-/Aria-Label-Generierung (nur für Kunden, die den KI-Tag-Scanner verwenden) Je Anbieter, in der vertraglichen Anhangsliste Standard-API-Nutzung; Kundendaten werden auf minimalem Niveau verarbeitet
Tawk.to Live-Chat (optional) EU + US SCC

Die aktuelle Sub-processor-Liste wird stets auf dieser Seite veröffentlicht. Um Benachrichtigungen zu erhalten, können Sie sich abonnieren, indem Sie eine E-Mail an destek@cerez.io senden.

7. Technische und organisatorische Sicherheitsmaßnahmen

Der Processor verpflichtet sich, gemäß GDPR Article 32 und KVKK Artikel 12 die folgenden Sicherheitsmaßnahmen umzusetzen:

7.1. Verschlüsselung

  • At rest (ruhende Daten): Verschlüsselung mit AES-256
  • In transit (Daten in Bewegung): TLS 1.3 (TLS 1.2 Minimum); HTTP wird zwingend auf HTTPS umgeleitet (HSTS)
  • Passwortverwaltung: Bcrypt cost 12 (Benutzerpasswörter); API-Schlüssel gehasht + maskiert

7.2. Zugriffskontrolle

  • Rollenbasierte Zugriffskontrolle (RBAC): admin / editor / viewer
  • 2FA verpflichtend für das Unternehmenspersonal (TOTP + Hardware-Token optional)
  • Principle of Least Privilege (PoLP), Zugriffsrichtlinien

7.3. Audit und Protokollierung

  • Alle Admin-Vorgänge werden 1 Jahr lang in der AuditLog-Tabelle aufbewahrt (wer, wann, was getan wurde)
  • API-Nutzungsaufzeichnungen (90 Tage Aufbewahrung)
  • Anomalieerkennung (WAF + benutzerdefinierte Regeln)

7.4. Sicherung und Notfallwiederherstellung

  • Regelmäßige (mindestens tägliche) automatisierte Sicherung; 30 Tage Aufbewahrung
  • Dokumentierter Notfallwiederherstellungsplan

7.5. Personalsicherheit

  • Vor Arbeitsantritt wird eine NDA unterzeichnet
  • Jährliche KVKK/GDPR-Sensibilisierungsschulung

8. Unterstützung bei Anträgen betroffener Personen

Damit der Controller auf Anträge betroffener Personen auf Auskunft, Berichtigung, Löschung, Übertragbarkeit und Widerspruch reagieren kann, wird der Processor:

  • Bietet einen Datenexport (XLSX/CSV/PDF) über das Konto-Panel an
  • Stellt eine API zum Löschen/Anonymisieren der Daten eines einzelnen Nutzers bereit
  • Auf Anfrage hilft das technische Support-Team innerhalb von 5 Werktagen (Pro+); 2 Werktage für Enterprise

9. Meldung von Datenschutzverletzungen

Falls der Processor eine Verletzung des Schutzes personenbezogener Daten feststellt:

  1. Erstattet dem Controller innerhalb von 72 Stunden ab dem Zeitpunkt der Feststellung der Verletzung eine schriftliche Meldung (E-Mail + Benachrichtigung über das DPA-Panel).
  2. Die Meldung enthält die folgenden Angaben:
    • Die Art der Verletzung, die betroffenen Datenkategorien und die ungefähre Zahl der betroffenen Personen
    • Die wahrscheinlichen Folgen der Verletzung
    • Die ergriffenen/empfohlenen Maßnahmen
    • Kontaktstelle (DPO)
  3. Leistet technische Unterstützung, damit der Controller die Datenschutzbehörde (KVKK-Behörde / Lead Supervisory Authority) benachrichtigen kann.

10. Prüfungsrecht (Audit)

Der Controller hat das Recht, die Einhaltung dieses DPA durch den Processor in angemessenem Umfang und mit vorheriger Ankündigung (mindestens 30 Tage) zu prüfen:

  • On-site audit: Für Enterprise-Kunden kann einmal jährlich, über 2 Werktage, zu angemessenen Zeiten, in der Hauptniederlassung des Processors durchgeführt werden. Die Kosten trägt der Controller.
  • Drittprüfer: Kann auch durch unabhängige Prüfer durchgeführt werden, sofern eine NDA unterzeichnet wird.

11. Rückgabe und Löschung von Daten

Bei Beendigung des Hauptvertrags wird der Processor nach Wahl des Controllers:

  1. Datenrückgabe: Gibt alle personenbezogenen Daten innerhalb von 30 Tagen nach Vertragsende in einem strukturierten, maschinenlesbaren Format (JSON/CSV/XLSX) an den Controller zurück.
  2. Datenlöschung: Löscht nach der Rückgabe oder, falls keine Rückgabe verlangt wird, alle personenbezogenen Daten innerhalb von 30 Tagen nach Vertragsende dauerhaft (auch aus Sicherungen).
  3. Gesetzliche Aufbewahrungsausnahme: Rechnungen und Finanzunterlagen, die nach Steuer-/Handelsgesetzen aufbewahrt werden müssen, werden 10 Jahre lang aufbewahrt.

Nach Abschluss der Löschung wird dem Controller ein schriftliches Vernichtungszertifikat ausgestellt.

12. Datenübermittlung ins Ausland und SCC

Da die Daten in der Regel innerhalb der Grenzen der Türkei, in einem inländischen Rechenzentrum, gespeichert werden, findet keine Datenübermittlung ins Ausland statt. In besonderen Fällen, die eine EU-Datenübermittlung erfordern, werden die mit dem Beschluss 2021/914 der Europäischen Kommission genehmigten Standardvertragsklauseln (SCC), Modul 2 (Controller-to-Processor), als Referenz herangezogen.

Für in der Türkei ansässige Controller wird im Falle einer erforderlichen Übermittlung ins Ausland auf das gemäß den einschlägigen Beschlüssen der Behörde zum Schutz personenbezogener Daten veröffentlichte Verpflichtungserklärungsformat oder auf die im Rahmen von KVKK Artikel 9/2-b geschlossene schriftliche Zusicherung angemessenen Schutzes abgestellt.

Zugang zum vollständigen Text der SCC: eur-lex.europa.eu/eli/dec_impl/2021/914

13. Kontakt zur Unterzeichnung des DPA

Wenn Sie ein unterzeichnetes DPA erhalten oder besondere Bestimmungen hinzufügen möchten, können Sie uns über die folgenden Kanäle erreichen:

Standard-DPA / Enterprise-Gespräch / Rechtsfragen: destek@cerez.io

Datenschutzbeauftragter (DPO): [Wird ernannt]

Telefon / WhatsApp: +90 540 059 40 40 (WhatsApp)

Kontaktformular: cerez.io/iletisim

Das Standard-DPA und SCC Modul 2 (PDF) werden in der Vertragsphase bereitgestellt.

Verwandte Seiten: Datenschutzrichtlinie · KVKK-Informationspflicht · Nutzungsbedingungen

Bei Fragen: destek@cerez.io  ·  Diese Seite wurde zuletzt am 31. Mai 2026 aktualisiert.


⚡ YASAL ZORUNLULUK 2025/10 Cumhurbaşkanlığı Genelgesi: Kamu, belediye, banka, üniversite, hastane, okullar için 21 Haziran 2026'ya WCAG 2.2 A zorunlu · Ceza: 5.000–25.000 TL/tespit
Detay →