Letzte Aktualisierung: 17.04.2026
Gültig ab: 17.04.2026
Diese Datenschutzrichtlinie ("Richtlinie") wurde von der CarbonSmart Teknoloji ve Danışmanlık A.Ş. ("CarbonSmart", "Unternehmen", "wir") erstellt, um die Zwecke, Rechtsgrundlagen und die Art und Weise zu erläutern, wie personenbezogene Daten, die im Zusammenhang mit der Marketing-Website unter carbonsmart.io und den über app.carbonsmart.io angebotenen Software-Diensten zur Kohlenstoffbilanzierung und zum Nachhaltigkeitsmanagement ("Plattform" oder "Dienst") erhoben werden, verarbeitet werden, an welche Dritten solche Daten weitergegeben werden sowie welche Rechte die betroffenen Personen haben und wie diese ausgeübt werden können. Die Richtlinie wurde im Einklang mit dem geltenden Recht erstellt, einschließlich des Gesetzes Nr. 6698 über den Schutz personenbezogener Daten ("KVKK"), des Kommuniqués über die bei der Erfüllung der Informationspflicht zu befolgenden Verfahren und Grundsätze sowie der Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten; in Bezug auf in der Europäischen Union ansässige betroffene Personen im Einklang mit der Verordnung (EU) 2016/679 ("DSGVO"); und in Bezug auf im Vereinigten Königreich ansässige betroffene Personen im Einklang mit der UK-DSGVO.
1. IDENTITÄT DES VERANTWORTLICHEN
1.1. Die juristische Person, die als Verantwortlicher im Sinne des KVKK handelt, ist nachstehend aufgeführt:
Firmenname: CarbonSmart Teknoloji ve Danışmanlık A.Ş.
Hauptsitz: Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906, Türkiye
Istanbuler Büro: A+Live Plaza, Barbaros Mahallesi, Begonya Sokak No:7, Ataşehir/İstanbul 34746, Türkiye
Londoner Büro: 2 Eastbourne Terrace, London W2 6LG, United Kingdom
Kontakt-E-Mail: info@carbonsmart.io
Webadresse: https://carbonsmart.io
1.2. Soweit dies für in der Europäischen Union ansässige betroffene Personen erforderlich ist, wurde gemäß Art. 27 DSGVO ein EU-Vertreter benannt, dessen Kontaktdaten unter info@carbonsmart.io angefordert werden können.
2. BEGRIFFSBESTIMMUNGEN
2.1. In dieser Richtlinie bezeichnen:
(a) Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen,
(b) Besondere Kategorien personenbezogener Daten: die in Art. 6 KVKK genannten Daten,
(c) Verarbeitung: Vorgänge wie das Erheben, Erfassen, Speichern, Aufbewahren, Verändern, Anpassen, Offenlegen, Übermitteln, Übernehmen, Bereitstellen, Klassifizieren oder die Sperrung der Nutzung personenbezogener Daten, ganz oder teilweise mit automatisierten oder mit nicht automatisierten Mitteln, sofern diese Teil eines Datensystems sind,
(d) Betroffene Person: die natürliche Person, deren personenbezogene Daten verarbeitet werden,
(e) Kunde: die juristische Person oder das gewerbliche Unternehmen (juristische oder natürliche Person), die mit CarbonSmart schriftlich oder elektronisch einen Abonnementvertrag abgeschlossen hat,
(f) Endnutzer: die natürliche Person, die die Plattform im Namen oder für Rechnung des Kunden nutzt,
(g) Plattformdaten: alle vom Kunden oder Endnutzer auf die Plattform hochgeladenen Geschäftsdaten,
in der vorgenannten Bedeutung.
3. KATEGORIEN VERARBEITETER PERSONENBEZOGENER DATEN
3.1. Aufgrund der Natur des bereitgestellten Dienstes verarbeitet CarbonSmart folgende Kategorien personenbezogener Daten:
3.1.1. Identitätsdaten: Vorname, Nachname, Titel, Unterschrift (einschließlich elektronischer Signatur).
3.1.2. Kontaktdaten: Geschäftliche E-Mail-Adresse, Telefonnummer, Geschäftsadresse, registrierte elektronische Postadresse (KEP).
3.1.3. Kundentransaktionsdaten: Abonnementinformationen, Rechnungs- und Zahlungsinformationen (die vollständige Kartennummer wird nicht gespeichert; lediglich maskierte, beim Zahlungsdienstleister hinterlegte Referenzdaten werden vorgehalten), Bestellhistorie, Vertragsunterlagen.
3.1.4. Finanzdaten: IBAN, Rechnungsadresse, Steuernummer/Finanzamt, Zahlungshistorie.
3.1.5. Nutzeraktivitätsdaten: Kontoerstellung, An-/Abmeldedaten, IP-Adresse, Sitzungs-IDs, Browsertyp, Geräteinformationen, Betriebssystem, Nutzungsanalysen, modulinterne Klick- und Navigationsspuren, API-Aufrufprotokolle.
3.1.6. Marketing- und Werbedaten: Status des Newsletter-Abonnements, Aufzeichnungen geöffneter/angeklickter E-Mails, Inhalte des Demo-Anfrageformulars, Veranstaltungsanmeldedaten.
3.1.7. Cookie-Daten: Daten, die über unbedingt erforderliche, funktionale, analytische und Marketing-Cookies erhoben werden. Einzelheiten finden Sie in der Cookie-Richtlinie.
3.1.8. Support- und Kommunikationsdaten: Inhalte von Support-Tickets, Live-Chat-Protokolle, Aufzeichnungen von Videogesprächen (nur nach vorheriger Information und Einwilligung der Beteiligten).
3.1.9. Rechts- und Compliance-Daten: Verträge, Vollmachts- und Berechtigungsnachweise, KVKK-Anträge, Akten zu Rechtsstreitigkeiten.
3.1.10. Vom Kunden auf die Plattform hochgeladene Daten Dritter: Personenbezogene Daten von Lieferantenvertretern, Mitarbeitern oder sonstigen Dritten, die der Kunde im Zusammenhang mit Kohlenstoffbilanzierung, CBAM-Berichterstattung, PCF/LCA/EPD-Berechnungen, TSRS/CSRD/GRI-Nachhaltigkeitsberichterstattung und Wasser-Fußabdruck-Modulen auf die Plattform hochlädt ("Plattform-Personendaten"). In Bezug auf solche Daten handelt CarbonSmart als Auftragsverarbeiter im Sinne von Art. 3 KVKK und als Auftragsverarbeiter im Sinne von Art. 28 DSGVO; ein gesonderter Auftragsverarbeitungsvertrag (DPA) findet Anwendung.
3.2. CarbonSmart verpflichtet sich, besondere Kategorien personenbezogener Daten nur dann zu verarbeiten, wenn dies für den Betrieb der Plattform erforderlich ist. Werden besondere Kategorien personenbezogener Daten vom Kunden auf die Plattform hochgeladen, liegt die Verantwortung für die Verarbeitung beim Kunden, wie in den Nutzungsbedingungen geregelt.
4. METHODEN DER ERHEBUNG PERSONENBEZOGENER DATEN
4.1. Personenbezogene Daten werden erhoben (a) unmittelbar von der betroffenen Person über die Plattformoberflächen, Webformulare, mobile/Desktop-Browser-Interaktionen, E-Mail und Support-Kanäle; (b) über vom Kunden bevollmächtigte Vertreter; (c) über API-Integrationen und SSO-Verbindungen; (d) über physisch unterzeichnete Verträge, Formulare und Dokumente; (e) im Rahmen von Veranstaltungen, Messen, Demo-Terminen und B2B-Vertriebsgesprächen; (f) automatisiert über Cookies, Pixel und ähnliche Technologien; sowie (g) auf Anfrage oder Mitteilung öffentlicher Stellen oder anderer zuständiger Behörden im Rahmen gesetzlicher Pflichten.
5. ZWECKE DER VERARBEITUNG PERSONENBEZOGENER DATEN
5.1. Personenbezogene Daten werden gemäß Art. 4 KVKK rechtmäßig und nach Treu und Glauben, für festgelegte, eindeutige und legitime Zwecke, in einem mit den Verarbeitungszwecken zu vereinbarenden, beschränkten und angemessenen Umfang sowie nur für die in der einschlägigen Gesetzgebung vorgeschriebene Dauer verarbeitet. Die wesentlichen Verarbeitungszwecke sind:
5.1.1. Begründung und Erfüllung des Abonnementvertrags, Kontoerstellung und Kontoverwaltung.
5.1.2. Bereitstellung, Weiterentwicklung und Verbesserung der Produkte und Module der Plattform (CCFP, CBAM, PCF, LCA & EPD, TSRS/CSRD/GRI, Wasser-Fußabdruck).
5.1.3. Durchführung von Abrechnungs-, Inkasso-, Buchhaltungs- und Finanzprozessen.
5.1.4. Bereitstellung von Kundensupport-Dienstleistungen und Bearbeitung von Anfragen und Beschwerden.
5.1.5. Durchführung von Informationssicherheits- und Cybersicherheitsprozessen; Erkennung und Verhinderung unbefugten Zugriffs.
5.1.6. Verwaltung von Geschäftskontinuitäts- und Backup-Prozessen.
5.1.7. Erfüllung gesetzlicher Pflichten (einschließlich Steuern, Handelsbüchern, KVKK, TSRS und Berichtspflichten).
5.1.8. Unternehmenskommunikation, Marketing und Werbeaktivitäten; der Versand kommerzieller elektronischer Nachrichten setzt eine ausdrückliche Einwilligung gemäß dem E-Commerce-Gesetz Nr. 6563 voraus.
5.1.9. Analyse der Nutzererfahrung und der Plattformleistung sowie Entwicklung der Produkt-Roadmap (vorzugsweise auf Basis aggregierter/anonymisierter Daten).
5.1.10. Steuerung von Rechtsstreitigkeiten; Durchführung von Gerichts-, Vollstreckungs- und behördlichen Auskunftsverfahren.
5.1.11. Tätigkeiten in den Bereichen interne Revision, Risikomanagement, Compliance und Informationssicherheits-Managementsystem (mit Ausrichtung auf ISO 27001).
6. RECHTSGRUNDLAGEN DER VERARBEITUNG
6.1. Personenbezogene Daten werden auf folgenden Rechtsgrundlagen gemäß Art. 5 und 6 KVKK sowie Art. 6 und 9 DSGVO verarbeitet:
6.1.1. Erforderlichkeit der Verarbeitung personenbezogener Daten der Vertragsparteien, sofern dies in unmittelbarem Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags steht (Art. 5 Abs. 2 lit. c KVKK; Art. 6 Abs. 1 lit. b DSGVO).
6.1.2. Erforderlichkeit zur Erfüllung gesetzlicher Pflichten des Verantwortlichen (Art. 5 Abs. 2 lit. ç KVKK; Art. 6 Abs. 1 lit. c DSGVO).
6.1.3. Erforderlichkeit zur Geltendmachung, Ausübung oder Verteidigung eines Rechts (Art. 5 Abs. 2 lit. e KVKK; Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse).
6.1.4. Erforderlichkeit zur Wahrung der berechtigten Interessen des Verantwortlichen, sofern die Grundrechte und Grundfreiheiten der betroffenen Person nicht beeinträchtigt werden (Art. 5 Abs. 2 lit. f KVKK; Art. 6 Abs. 1 lit. f DSGVO) – etwa Sicherheit, Betrugsprävention und Verbesserung der Dienstqualität.
6.1.5. Ausdrückliche gesetzliche Anordnung (Art. 5 Abs. 2 lit. a KVKK).
6.1.6. Soweit die vorgenannten Rechtsgrundlagen nicht anwendbar sind, die ausdrückliche Einwilligung der betroffenen Person (Art. 5 Abs. 1 und Art. 6 Abs. 2 KVKK; Art. 6 Abs. 1 lit. a DSGVO).
6.2. Bei auf einer ausdrücklichen Einwilligung beruhenden Verarbeitungsvorgängen hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.
7. ÜBERMITTLUNG PERSONENBEZOGENER DATEN
7.1. Inländische Übermittlung. Personenbezogene Daten können im Rahmen von Art. 8 KVKK an die in Anspruch genommenen Rechts-, Steuerberatungs- und Wirtschaftsprüfungsgesellschaften, an Anbieter von Hosting-, Cybersicherheits-, Kundensupport- und CRM-Software, an Zahlungsdienstleister und Banken sowie an gesetzlich befugte öffentliche Stellen (z. B. Ministerium für Finanzen und Schatzwesen, Sozialversicherungsanstalt, Steuerverwaltung, türkische Datenschutzbehörde, Justizbehörden) übermittelt werden.
7.2. Übermittlung ins Ausland. CarbonSmart nutzt Amazon Web Services (AWS, Regionen Frankfurt und Irland) und bei Bedarf Google Cloud Platform für die Hosting-Infrastruktur; Google Workspace und Anbieter wie SendGrid/Mailgun für E-Mail- und Kommunikationsinfrastruktur; das datenschutzfreundliche Plausible Analytics (in der EU ansässig) für Produktanalysen; Sentry zur Fehlerüberwachung; Intercom/HubSpot für den Kundensupport; HubSpot für Marketing-Automation; und den LinkedIn Insight Tag für B2B-Marketing. Darüber hinaus können konzerninterne operative Übermittlungen an unser Londoner Büro (Vereinigtes Königreich) erfolgen. Übermittlungen ins Ausland erfolgen im Rahmen von Art. 9 KVKK und der dazugehörigen Verordnung von 2024 nach folgender, jeweils geeigneter Methode:
(a) Übermittlung an Empfänger in Ländern, für die die Behörde ein angemessenes Schutzniveau festgestellt hat,
(b) Übermittlung auf Grundlage von Standardvertragsklauseln mit Anzeige bei der Behörde,
(c) Verbindliche interne Datenschutzvorschriften oder
(d) Ausdrückliche Einwilligung in Ausnahmefällen.
Für Übermittlungen in die EU/das Vereinigte Königreich finden Art. 44 ff. DSGVO und die Standardvertragsklauseln der Europäischen Kommission (2021/914) Anwendung.
7.3. CarbonSmart veröffentlicht die jeweils aktuelle Liste der Unterauftragsverarbeiter auf Anfrage des Kunden und/oder auf einer Trust-Center-Seite wie etwa trust.carbonsmart.io.
8. SPEICHERFRISTEN
8.1. Personenbezogene Daten werden für die zur Erreichung des Verarbeitungszwecks erforderliche Dauer und für die in der einschlägigen Gesetzgebung vorgeschriebenen Mindestfristen aufbewahrt. Die wesentlichen Speicherfristen sind:
8.1.1. Handelsbücher und -unterlagen: 10 Jahre gemäß Art. 82 des türkischen Handelsgesetzbuchs.
8.1.2. Unterlagen nach dem Steuerverfahrensgesetz: 5 Jahre.
8.1.3. Vertrags- und kommerzielle Kommunikationsdaten: 10 Jahre ab Vertragsbeendigung (Verjährung gemäß Art. 146 TBK).
8.1.4. Abonnementkonten und Plattforminhalte: für die Dauer des Abonnements, gefolgt von einer dauerhaften Löschung nach Ablauf einer Kulanzfrist von 90 Tagen ab Beendigung (vorbehaltlich des Rechts des Kunden auf Datenübertragbarkeit).
8.1.5. Support-Tickets: 3 Jahre ab dem Datum der Schließung.
8.1.6. Marketing-Einwilligungen und Einwilligungsnachweise: 3 Jahre gemäß Gesetz Nr. 6563 sowie IYS-Datensätze.
8.1.7. Protokoll- und Sicherheitsdaten: mindestens 2 Jahre gemäß Gesetz Nr. 5651 und einschlägigen Verordnungen.
8.1.8. Cookie-basierte Daten: die in der Cookie-Richtlinie angegebenen Fristen.
8.2. Daten, deren Aufbewahrungsfrist abgelaufen ist, werden im Rahmen periodischer Vernichtungszyklen nach Maßgabe der Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten gelöscht, vernichtet oder anonymisiert.
9. RECHTE DER BETROFFENEN PERSON
9.1. Gemäß Art. 11 KVKK kann sich die betroffene Person an CarbonSmart wenden und folgende Rechte in Bezug auf sich selbst geltend machen:
(a) Zu erfahren, ob ihre personenbezogenen Daten verarbeitet werden.
(b) Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen, sofern eine solche stattfindet.
(c) Den Zweck der Verarbeitung personenbezogener Daten zu erfahren und ob die Daten zweckgemäß verwendet werden.
(ç) Die Dritten zu kennen, an die personenbezogene Daten im Inland oder im Ausland übermittelt werden.
(d) Die Berichtigung personenbezogener Daten zu verlangen, sofern diese unvollständig oder unrichtig verarbeitet wurden.
(e) Die Löschung oder Vernichtung personenbezogener Daten unter den in Art. 7 KVKK festgelegten Voraussetzungen zu verlangen.
(f) Zu verlangen, dass die nach den Buchstaben (d) und (e) durchgeführten Maßnahmen den Dritten mitgeteilt werden, an die die personenbezogenen Daten übermittelt wurden.
(g) Einer ausschließlich auf automatisierter Datenanalyse beruhenden, sie benachteiligenden Entscheidung zu widersprechen.
(ğ) Im Falle eines durch rechtswidrige Verarbeitung personenbezogener Daten entstandenen Schadens Schadensersatz zu verlangen.
9.2. In der EU/im Vereinigten Königreich ansässige betroffene Personen haben darüber hinaus die Rechte gemäß Art. 15-22 DSGVO, einschließlich der Rechte auf Datenübertragbarkeit und Widerspruch gegen die Verarbeitung.
10. SICHERHEITSMASSNAHMEN
10.1. Im Rahmen ihres Ziels, den Standard ISO/IEC 27001 für Informationssicherheits-Managementsysteme zu erfüllen, setzt CarbonSmart die folgenden organisatorischen und technischen Maßnahmen um und überprüft sie kontinuierlich:
10.1.1. Zugriffskontrollen, rollen- und berechtigungsbasierte Autorisierung sowie das Prinzip der geringsten Berechtigung.
10.1.2. Verschlüsselung von Daten bei der Übertragung mittels TLS 1.2/1.3 und ruhender Daten mittels AES-256.
10.1.3. Mehrfaktor-Authentifizierung und Optionen für die Integration von unternehmensweitem SSO.
10.1.4. Sicherheitsüberwachung, SIEM-Lösungen, Penetrationstests und Schwachstellenscans.
10.1.5. Code-Sicherheit, Sicherheitsüberprüfungen innerhalb des SDLC und Abhängigkeits-Scans.
10.1.6. Notfallwiederherstellungs- und Geschäftskontinuitätspläne mit regelmäßigen Backups.
10.1.7. Regelmäßige Schulungen zu KVKK und Informationssicherheit für Mitarbeiter sowie Vertraulichkeitserklärungen.
10.1.8. Risikobewertungen für Lieferanten, Auftragsverarbeitungsverträge und Genehmigungsverfahren für Unterauftragsverarbeiter.
10.2. Wenn Kunden eine VPC- oder On-Premise-Bereitstellung wählen, werden die Sicherheitsmaßnahmen an die jeweilige technische Architektur angepasst und es wird eine gesonderte Sicherheitsdokumentation bereitgestellt.
11. COOKIES
11.1. CarbonSmart verwendet Cookies und ähnliche Tracking-Technologien zu Zwecken wie Sitzungsverwaltung, Sicherheit, Speicherung von Nutzerpräferenzen, Analyse von Nutzungsstatistiken und B2B-Marketing. Detaillierte Informationen zu Art, Dauer, Zweck und Drittanbietern der Cookies sowie Anweisungen zur Verwaltung von Cookies finden sich in der Cookie-Richtlinie.
12. PERSONENBEZOGENE DATEN VON KINDERN
12.1. Der von CarbonSmart angebotene Dienst ist B2B-Natur und richtet sich nicht an Personen unter 18 Jahren. CarbonSmart erhebt nicht wissentlich personenbezogene Daten von Kindern. Eltern/Erziehungsberechtigte, die der Auffassung sind, dass personenbezogene Daten eines Kindes ohne ihr Wissen oder ihre Einwilligung an die Plattform übermittelt wurden, können sich zur Beantragung der Löschung der Daten an info@carbonsmart.io wenden.
13. DRITTANBIETER-INTEGRATIONEN
13.1. Der Kunde kann die Plattform mit Drittanbietersystemen (ERP, EBYS, Buchhaltungssoftware, Lieferkettenplattformen, Single-Sign-On-Anbieter (SSO), API-Clients) integrieren. Der Datenaustausch über diese Integrationen erfolgt auf Anweisung und in Verantwortung des Kunden. CarbonSmart kann nicht für die Datenschutzpraktiken von Drittdienstleistern verantwortlich gemacht werden.
14. AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG UND PROFILING
14.1. CarbonSmart nutzt KI-gestützte Analysekomponenten in Prozessen wie Kohlenstoffberechnungen, Datenvalidierung und Emissionskategorisierung; diese Prozesse stellen jedoch keine ausschließlich automatisierte Einzelfallentscheidung dar, die rechtliche Wirkung gegenüber den betroffenen Personen entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die Plattformausgaben werden vom Kunden überprüft und genehmigt.
15. MITTEILUNG VON DATENSCHUTZVERLETZUNGEN
15.1. Im Falle einer unbefugten Offenlegung, eines unbefugten Zugriffs oder eines Verlusts personenbezogener Daten erfolgt die Meldung an die türkische Datenschutzbehörde gemäß Art. 12 Abs. 5 KVKK so schnell wie möglich, in jedem Fall jedoch innerhalb von 72 Stunden; betroffene Personen werden ebenfalls innerhalb angemessener Frist informiert. Für betroffene Personen in der EU/im Vereinigten Königreich finden die Meldeverfahren nach Art. 33-34 DSGVO Anwendung.
16. ÄNDERUNGEN DER RICHTLINIE
16.1. CarbonSmart kann diese Richtlinie von Zeit zu Zeit aktualisieren. Die jeweils aktuelle Fassung wird unter carbonsmart.io/legal-privacy veröffentlicht. Wesentliche Änderungen werden über plattforminterne Benachrichtigungen und/oder per E-Mail bekannt gegeben. Die fortgesetzte Nutzung der Plattform nach einer Änderung gilt als Annahme der aktualisierten Richtlinie.
17. KONTAKT UND ANTRÄGE
17.1. Betroffene Personen können die folgenden Kanäle nutzen, um ihre Rechte nach dem KVKK auszuüben sowie Fragen oder Anliegen zur Richtlinie einzureichen:
Anschrift: CarbonSmart Teknoloji ve Danışmanlık A.Ş., Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906
E-Mail: info@carbonsmart.io
Web: carbonsmart.io/legal-privacy
17.2. Anträge können schriftlich, über eine KEP-Adresse, per sicherer elektronischer Signatur, per mobiler Signatur oder über die E-Mail-Adresse gestellt werden, die die betroffene Person zuvor an CarbonSmart mitgeteilt hat und die in unserem System hinterlegt ist. Die Einhaltung der Verfahrensvorschriften des Antrags wird gemäß den Bestimmungen des Kommuniqués über die Verfahren und Grundsätze für die Antragstellung beim Verantwortlichen geprüft.
