Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten
Veröffentlichungsdatum: 01.11.2025
1. Einführung
1.1. Zweck
Diese Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten ("Richtlinie") wurde erstellt, um die Verfahren und Grundsätze für die Aufbewahrung und Vernichtung personenbezogener Daten festzulegen, die im Rahmen der von Fayra Media LLC ("Unternehmen") betriebenen mobilen Dating-Anwendung namens "Amore" ("Anwendung") verarbeitet werden, in Übereinstimmung mit dem Gesetz zum Schutz personenbezogener Daten Nr. 6698 ("Gesetz" oder "KVKK") und der Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten ("Verordnung").
1.2. Geltungsbereich
Diese Richtlinie gilt für alle natürlichen Personen, deren personenbezogene Daten vom Unternehmen verarbeitet werden, einschließlich, aber nicht beschränkt auf Mitarbeiter des Unternehmens, Bewerber, Anwendungsnutzer (Mitglieder), Besucher und Dritte, sowie für alle Aufzeichnungsmedien, in denen solche Daten verarbeitet werden. Insbesondere fallen besondere Kategorien personenbezogener Daten, die über die Anwendung erhoben werden (Sexualleben, Standortdaten usw.), in den vorrangigen Schutzbereich dieser Richtlinie.
2. Definitionen
Empfängergruppe: Die Kategorie natürlicher oder juristischer Personen, an die Daten übermittelt werden.
Vernichtung: Die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten.
Aufzeichnungsmedium: Jedes elektronische oder physische Medium, in dem personenbezogene Daten gespeichert werden.
Periodische Vernichtung: Der Vernichtungsprozess, der von Amts wegen in festgelegten Intervallen durchgeführt wird, wenn alle im Gesetz festgelegten Verarbeitungsbedingungen entfallen.
Besondere Kategorien personenbezogener Daten: Daten über Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Sekte, Kleidung, Vereins-/Stiftungs-/Gewerkschaftsmitgliedschaft, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.
3. Verantwortung und Aufgabenverteilung
Der innerhalb des Unternehmens eingerichtete Datenschutzausschuss ist für die Erstellung, Aktualisierung, Durchführung und Veröffentlichung dieser Richtlinie verantwortlich. Die IT-Abteilung ist für die Verwaltung der Datenaufzeichnungssysteme, die Durchführung von Penetrationstests und die Umsetzung technischer Maßnahmen verantwortlich; die Rechts- und Personalabteilungen sind gemeinsam für die Umsetzung administrativer Maßnahmen verantwortlich.
4. Aufzeichnungsumgebungen
Personenbezogene Daten werden vom Unternehmen sicher in folgenden Umgebungen gespeichert:
Elektronische Umgebungen
Server (Datenbank, Anwendungsserver), Cloud-Systeme, Unternehmens-E-Mail-Konten, Dokumentenmanagementsysteme, Informationssicherheitsgeräte (Firewalls, Intrusion-Detection- und Prevention-Systeme, DLP usw.).
Physische Umgebungen
Papierbasierte Formulare, Archivräume (verschlossene Schränke).
5. Gründe für Aufbewahrung und Vernichtung
5.1. Rechtliche und technische Gründe für die Aufbewahrung
Das Unternehmen bewahrt personenbezogene Daten für folgende Zwecke und aus folgenden rechtlichen Gründen auf: Erfüllung von Pflichten aus gesetzlichen Vorschriften, vorrangig Gesetz Nr. 6698, Gesetz Nr. 5651 über die Regulierung von Veröffentlichungen im Internet, Gesetz Nr. 6563 über die Regulierung des elektronischen Geschäftsverkehrs und das türkische Strafgesetzbuch. Durchführung des Mitgliedschaftsvertrags der Amore-Anwendung und unterbrechungsfreie Erbringung der Dienste. Verwendung als Beweismittel in potenziellen zukünftigen Rechtsstreitigkeiten (Beweislast). Gewährleistung der Informationssicherheit und Verhinderung missbräuchlicher Nutzung.
5.2. Gründe für die Vernichtung
In folgenden Fällen werden personenbezogene Daten auf Antrag der betroffenen Person oder von Amts wegen durch das Unternehmen gelöscht, vernichtet oder anonymisiert: Wegfall der rechtlichen oder vertraglichen Gründe, die die Verarbeitung erfordern. Widerruf der ausdrücklichen Einwilligung durch die betroffene Person (insbesondere bei besonderen Kategorien von Daten und Marketingdaten). Annahme des gemäß Artikel 11 des Gesetzes gestellten Löschungsantrags durch das Unternehmen oder eine Anordnung des Vorstands zur Löschung. Ablauf der Aufbewahrungsfrist und Fehlen eines berechtigten Interesses.
6. Technische und administrative Maßnahmen
Das Unternehmen ergreift gemäß Artikel 12 des Gesetzes folgende Maßnahmen zur Gewährleistung der Datensicherheit:
6.1. Technische Maßnahmen
Penetrationstests und Audits
Regelmäßige Penetrationstests und Schwachstellenscans werden an IT-Systemen durchgeführt. Identifizierte Schwachstellen werden umgehend behoben.
Zugriffsprotokolle und DLP
Alle Systemaktivitäten (Zugriffsprotokolle) werden überwacht und manipulationssicher gespeichert. Data-Loss-Prevention (DLP)-Systeme werden eingesetzt, um die unbefugte Entnahme sensibler Daten (insbesondere Nutzerlisten, Nachrichteninhalte) aus dem Unternehmen zu verhindern.
Kryptografischer Schutz
Passwörter der Amore-Anwendungsnutzer, besondere Kategorien personenbezogener Daten wie sexuelle Präferenzen und Gesundheitsinformationen sowie sensible Standortdaten werden mit kryptografischen Methoden (Verschlüsselung) gespeichert.
Zugriffsberechtigungsmatrix
Der Zugriff der Mitarbeiter auf Daten ist auf ihre Stellenbeschreibungen beschränkt. Das "Need-to-know"-Prinzip wird angewendet. Zugriffsrechte von Mitarbeitern, deren Berechtigung entzogen wird, werden sofort beendet.
Cybersicherheit
Aktuelle Antivirensoftware, Web Application Firewall (WAF) und Intrusion-Detection-Systeme sind rund um die Uhr aktiv. IP-Einschränkungen und Kontosperrmechanismen sind gegen Angriffe wie Brute-Force-Passwort-Spraying vorhanden.
6.2. Administrative Maßnahmen
Separate Offenlegung und Einwilligung
Datenschutzrichtlinie, Offenlegungshinweis und Erklärungen zur ausdrücklichen Einwilligung werden als separate Dokumente präsentiert. Einwilligungsprozesse sind mit aktiven Genehmigungsmechanismen (Opt-in) verknüpft, um zu verhindern, dass Nutzer diese mit der Schaltfläche "Akzeptieren" umgehen.
Mitarbeiterschulung
Allen Mitarbeitern werden regelmäßig Schulungen zu KVKK, Datensicherheit und Cyberangriffsbewusstsein angeboten.
Vertraulichkeitsverpflichtungen
Mit Mitarbeitern und Datenverarbeitungslieferanten werden Vertraulichkeitsvereinbarungen geschlossen.
Reaktionsplan bei Datenschutzverletzungen
Es wurden Verfahren eingerichtet, um die Benachrichtigung des Vorstands und der betroffenen Personen spätestens innerhalb von 72 Stunden nach Feststellung einer möglichen Datenschutzverletzung sicherzustellen.
7. Techniken zur Vernichtung personenbezogener Daten
7.1. Löschung
Auf Servern oder in elektronischen Medien gespeicherte Daten werden für die betreffenden Nutzer vollständig unzugänglich und unbrauchbar gemacht. Bei Löschvorgängen mit Datenbankbefehlen (DELETE) werden die Daten überschrieben (Wiping), um sicherzustellen, dass sie nicht wiederhergestellt werden können. "Schwarze Listen" oder bloßes Ausblenden von der Benutzeroberfläche werden nicht als Vernichtung akzeptiert; die Daten werden vollständig aus dem System entfernt.
7.2. Physische Vernichtung
Daten auf physischen Medien (Papierausdrucke) werden mit Aktenvernichtern so vernichtet, dass eine Wiederzusammensetzung verhindert wird. Optische und magnetische Medien werden durch Schmelzen, Verbrennen oder Pulverisieren physisch vernichtet.
7.3. Anonymisierung
Der Prozess, bei dem personenbezogene Daten unter keinen Umständen einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können, selbst wenn sie mit anderen Daten abgeglichen werden. Das Unternehmen verwendet Datenmaskierung und Aggregationsmethoden für statistische Analysen.
8. Aufbewahrungs- und Vernichtungsfristen
| Datenkategorie | Aufbewahrungsfrist | Vernichtungsfrist/-methode | Rechtsgrundlage |
|---|---|---|---|
| Mitgliedschaftsinformationen (Name, Nachname, E-Mail) | Während der Mitgliedschaft + 10 Jahre nach Mitgliedschaftsende | Erste periodische Vernichtungsfrist nach Ablauf | HGB, BGB (Verjährungsfrist für Handelsstreitigkeiten) |
| Verkehrs- und Protokolldaten | 2 Jahre | Erste periodische Vernichtung nach Ablauf | Gesetz Nr. 5651 |
| Besondere Kategorien von Daten (Präferenzen, Gesundheit usw.) | Während der Mitgliedschaft | Sofort bei Mitgliedschaftskündigung oder Kontolöschungsantrag | KVKK Art. 6 (Widerruf der ausdrücklichen Einwilligung) |
| Nachrichteninhalte | Während der Mitgliedschaft | Sofort bei Mitgliedschaftskündigung oder Kontolöschungsantrag | KVKK Art. 4 (Verhältnismäßigkeitsprinzip) |
| Cookie-Aufzeichnungen | Je nach Cookie-Typ (Sitzungsende oder max. 2 Jahre) | Automatische Löschung nach Ablauf | Cookie-Richtlinie |
Hinweis: Im Falle eines Rechtsstreits (Klage, Ermittlung) werden die Aufbewahrungsfristen bis zum Abschluss des Verfahrens/der Ermittlung verlängert.
9. Periodische Vernichtungsfrist
Gemäß Artikel 11 der Verordnung führt das Unternehmen die periodische Vernichtung personenbezogener Daten, deren Aufbewahrungsfrist abgelaufen ist, alle 6 (sechs) Monate durch. Periodische Vernichtungsvorgänge werden jeweils im Juni und Dezember eines jeden Jahres durchgeführt.
10. Löschung und Vernichtung auf Antrag der betroffenen Person
Nutzer können die Löschung oder Vernichtung ihrer Daten beantragen, indem sie sich an das Unternehmen wenden. Wenn alle Verarbeitungsbedingungen entfallen sind, schließt das Unternehmen den Antrag innerhalb von höchstens 30 (dreißig) Tagen ab und löscht/vernichtet die Daten. Wenn die Verarbeitungsbedingungen weiterhin bestehen (z. B. gesetzliche Verpflichtung), kann der Antrag unter Angabe der Gründe abgelehnt werden, und die betroffene Person wird schriftlich/elektronisch benachrichtigt. Bei Ablehnung oder ausbleibender Antwort innerhalb der Frist kann die betroffene Person ihr Beschwerderecht beim Vorstand ausüben.
11. Inkrafttreten und Aktualisierungen
Diese Richtlinie tritt an dem Tag in Kraft, an dem sie auf der Website des Unternehmens und innerhalb der Anwendung veröffentlicht wird. Die Richtlinie wird parallel zu Änderungen der gesetzlichen Vorschriften oder der Unternehmensprozesse aktualisiert. Die aktuelle Version ist für die Nutzer jederzeit zugänglich.
Fayra Media LLC
169 Madison Ave Ste 11534 New York, NY 10016-5101 United States