Inkrafttreten: März 2026 · Letzte Aktualisierung: März 2026 · Diese Erklärung erfüllt die Informationspflicht gemäß Art. 13 und 14 der EU-Datenschutz-Grundverordnung (DSGVO — Verordnung 2016/679).
1. Verantwortlicher und Kontaktangaben
1.1 Verantwortlicher
Verantwortlicher für die Verarbeitung personenbezogener Daten im Rahmen dieser Datenschutzerklärung:
| Firma | Unifics Limited |
| Marke | RYSTAT |
| Eingetragene Adresse | Sonderverwaltungsregion Hongkong |
| privacy@rystat.com | |
| Website | rystat.com |
1.2 Kontakt
Für alle Anfragen zum Datenschutz, zur Privatsphäre und zu rechtlichen Angelegenheiten:
Datenschutz: privacy@rystat.com
Rechtliche Schreiben / DSA-Meldungen: legal@rystat.com
Sicherheitsmeldungen: security@rystat.com
Verfügbare Sprachen: Türkisch, Englisch, Deutsch
2. Anwendungsbereich und Rollen
Diese Datenschutzerklärung beschreibt die Verarbeitung personenbezogener Daten im Rahmen der unter der Marke RYSTAT angebotenen Website, des Kundenpanels, der Bestellprozesse, der Supportverfahren sowie aller damit verbundenen Dienste.
RYSTAT nimmt je nach Art der Dienstleistung unterschiedliche Rollen ein:
| Verarbeitungskontext | Rolle von RYSTAT | Rolle des Kunden |
|---|---|---|
| Kundenkonto, Rechnungsstellung, Support | Verantwortlicher | Betroffene Person |
| Vom Kunden gehostete Inhalte und Endnutzerdaten | Auftragsverarbeiter oder Unterauftragsverarbeiter | Verantwortlicher |
| Website-Analyse und Cookies | Verantwortlicher | Betroffene Person (Besucher) |
In Fällen, in denen RYSTAT als Auftragsverarbeiter oder Unterauftragsverarbeiter tätig ist, trägt der Kunde als Verantwortlicher für die verarbeiteten Daten alle gesetzlichen Pflichten. RYSTAT verarbeitet diese Daten ausschließlich nach dokumentierten Weisungen des Kunden.
3. Kategorien erhobener Daten
3.1 Von Ihnen direkt bereitgestellte Daten
- Vor- und Nachname, Firmenname, Angaben zu Bevollmächtigten und Vertretern
- E-Mail-Adresse, Telefonnummer
- Rechnungsadresse, Land, Steuernummer (gewerblich)
- Daten zur Kontoerstellung, Authentifizierung und Sicherheit
- Supportanfragen und Korrespondenzinhalte
- Aus steuerlichen, handelsrechtlichen oder gesetzlichen Gründen eingeholte Dokumente
3.2 Automatisch erhobene Daten
- IP-Adresse, Zugriffsprotokolle, Sitzungsaufzeichnungen und Sicherheitsprotokolle
- Browser-, Geräte-, Betriebssystem- und Client-Informationen
- Nutzungsverlauf im Panel und Fehlerprotokolle
- Über Cookies und ähnliche Trackingtechnologien erhobene Präferenz- und Nutzungsdaten (siehe Cookie-Richtlinie)
3.3 Zahlungsdaten
Zahlungsvorgänge werden über PCI-DSS-zertifizierte Zahlungsdienstleister Dritter abgewickelt. RYSTAT speichert keine vollständigen Kartennummern, CVV- oder PIN-Daten; lediglich eingeschränkte Informationen wie die letzten vier Ziffern, die Transaktionsreferenz und der Zahlungsstatus können gespeichert werden.
3.4 Dienstinhaltsdaten und Kundendaten
Bei Hosting-, Virtual-Server-, E-Mail- und verwandten Infrastrukturdienstleistungen haben Kunden im Wesentlichen die Kontrolle über ihre eigenen Systeme und Datensätze. Diese Daten können in begrenztem Umfang zur Diensterbringung, Gewährleistung der Sicherheit, Vorfallsanalyse und technischen Unterstützung verarbeitet werden. Der Kunde ist verpflichtet, alle erforderlichen Rechtsgrundlagen und Einwilligungen Dritter für die Verarbeitung dieser Daten einzuholen.
4. Verarbeitungszwecke, Rechtsgrundlagen und Speicherfristen (DSGVO Art. 6 und 13)
Die nachfolgende Tabelle gibt gemäß DSGVO Art. 13(1)(c) und 13(2)(a) für jede Verarbeitungstätigkeit den Zweck, die Rechtsgrundlage und die voraussichtliche Speicherfrist an.
| Verarbeitungszweck | Rechtsgrundlage (DSGVO Art. 6) | Voraussichtliche Speicherfrist |
|---|---|---|
| Kontoerstellung, Authentifizierung und Zugriffsverwaltung | Art. 6(1)(b) — Vertragserfüllung | Während der Kontoaktivität + 3 Jahre nach Vertragsende |
| Dienstaktivierung, -erbringung und technischer Support | Art. 6(1)(b) — Vertragserfüllung | Dienstlaufzeit + 2 Jahre |
| Rechnungsstellung, Forderungseinzug und Buchführungsunterlagen | Art. 6(1)(c) — Rechtliche Verpflichtung (Steuer- und Handelsrecht) | 10 Jahre ab Transaktionsdatum (je nach Land) |
| Sicherheitsüberwachung, Protokollanalyse und Vorfallsreaktion | Art. 6(1)(f) — Berechtigte Interessen (Infrastruktursicherheit und Betrugsprävention) | 30 Tage – 12 Monate je nach Protokolltyp |
| Erfüllung rechtlicher Verpflichtungen (behördliche Anfragen, Gerichtsbeschlüsse) | Art. 6(1)(c) — Rechtliche Verpflichtung | Für die Dauer der gesetzlichen Aufbewahrungspflicht |
| Marketingkommunikation und Produktankündigungen (bestehende Kunden) | Art. 6(1)(f) — Berechtigte Interessen (sachbezogene Dienstbenachrichtigung) oder Art. 6(1)(a) — Einwilligung | Bis zum Widerruf der Einwilligung oder Widerspruch; 2 Jahre nach Kontoschließung |
| Website-Analyse und Leistungsmessung | Art. 6(1)(a) — Einwilligung (Cookie-Zustimmung) | Entsprechend der Cookie-Laufzeit; siehe Cookie-Richtlinie |
| Streitbeilegung und Verteidigung gegen Rechtsansprüche | Art. 6(1)(f) — Berechtigte Interessen | Bis zur Streitbeilegung + 5 Jahre |
Interessenabwägung bei berechtigten Interessen: RYSTAT stützt sich auf die Rechtsgrundlage der berechtigten Interessen ausschließlich nach einer Abwägung zwischen den berechtigten Interessen und den Grundrechten und Grundfreiheiten der betroffenen Personen. Detaillierte Angaben zu dieser Abwägung können auf Anfrage mitgeteilt werden.
5. Empfänger der Daten
Personenbezogene Daten können, soweit dies für die Erbringung des Dienstes erforderlich ist, mit den folgenden Empfängerkategorien geteilt werden:
| Empfängerkategorie | Zweck der Weitergabe |
|---|---|
| Infrastruktur- und Rechenzentrumsbetreiber | Serverhosting (u. a. Deutschland) |
| Netzwerk-, CDN- und DDoS-Schutzanbieter | Bandbreite, Sicherheit, Inhaltsverteilung |
| Zahlungs- und Abrechnungsdienste | Forderungseinzug und Rechnungsstellung |
| Support- und Kommunikationsplattformen | Kundensupportverwaltung |
| Überwachungs- und Sicherheitstools | Infrastrukturüberwachung, Vorfallserkennung |
| Zuständige Behörden und Gerichte | Rechtliche Verpflichtung und offizielle Anfragen |
Die aktuelle und detaillierte Liste der Unterauftragsverarbeiter finden Sie im Unterauftragsverarbeiter-Rahmenwerk.
RYSTAT verkauft personenbezogene Daten nicht zu kommerziellen Zwecken an Dritte.
6. Internationale Datenübermittlungen (DSGVO Kapitel V — Art. 44–49)
Unifics Limited ist in der Sonderverwaltungsregion Hongkong eingetragen. Die Europäische Kommission hat für Hongkong keinen Angemessenheitsbeschluss erlassen (DSGVO Art. 45). Datenübermittlungen aus dem EWR nach Hongkong werden daher durch geeignete Garantien im Sinne von DSGVO Art. 46 abgesichert.
6.1 Angewandte Übermittlungsmechanismen
- Standardvertragsklauseln (SCC): Es werden die Standardvertragsklauseln gemäß dem Durchführungsbeschluss 2021/914/EU der Europäischen Kommission vom 4. Juni 2021 angewendet. Mit Unternehmenskunden abgeschlossene Auftragsverarbeitungsverträge (DPA) enthalten die SCC im auf das jeweilige Dienstverhältnis zutreffenden Modul (vorrangig Modul 2: Verantwortlicher → Auftragsverarbeiter).
- Transfer Impact Assessment (TIA): RYSTAT bewertet gemäß den EDPB-Empfehlungen 01/2020, ob das Hongkonger Recht den durch die SCC gewährten Schutz untergräbt, und ergreift erforderlichenfalls technische und organisatorische Ergänzungsmaßnahmen.
- Ergänzende technische Maßnahmen: Zur Stärkung der Übermittlungssicherheit werden Ende-zu-Ende-Verschlüsselung (soweit anwendbar), Datensparsamkeit und privilegierte Zugriffskontrolle eingesetzt.
6.2 Serverinfrastruktur in Deutschland
Daten, die auf Servern in EU-Mitgliedstaaten gespeichert sind, genießen den Schutz der DSGVO und bedürfen keines zusätzlichen Übermittlungsmechanismus.
6.3 Übermittlungen in andere Drittländer
Einige für die Diensterbringung eingesetzte Unterauftragsverarbeiter können außerhalb des Europäischen Wirtschaftsraums tätig sein. Diese Übermittlungen erfolgen auf der Grundlage von Angemessenheitsbeschlüssen, SCC oder anderen DSGVO-konformen Mechanismen.
7. Rechte der betroffenen Person (DSGVO Art. 15–22)
Im EU/EWR ansässige betroffene Personen haben gemäß der DSGVO die folgenden Rechte. Diese Rechte gelten unmittelbar nur für Daten, bei denen RYSTAT als Verantwortlicher handelt.
| Recht | Inhalt | DSGVO-Artikel |
|---|---|---|
| Auskunftsrecht | Anforderung einer Kopie der über Sie verarbeiteten Daten | Art. 15 |
| Recht auf Berichtigung | Korrektur unrichtiger oder unvollständiger Daten | Art. 16 |
| Recht auf Löschung („Recht auf Vergessenwerden") | Beantragung der Löschung Ihrer Daten unter bestimmten Voraussetzungen | Art. 17 |
| Recht auf Einschränkung der Verarbeitung | Beantragung der Einschränkung der Verarbeitung | Art. 18 |
| Recht auf Datenübertragbarkeit | Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format | Art. 20 |
| Widerspruchsrecht | Widerspruch gegen auf berechtigten Interessen oder öffentlichem Interesse beruhende Verarbeitungen; Widerspruch gegen Direktwerbung (absolutes Recht) | Art. 21 |
| Recht auf Widerspruch gegen automatisierte Entscheidungen | Widerspruch gegen ausschließlich auf automatisierter Verarbeitung beruhende Entscheidungen | Art. 22 |
| Widerruf der Einwilligung | Jederzeit möglicher Widerruf der Einwilligung bei einwilligungsbasierter Verarbeitung | Art. 7(3) |
Anfragen richten an: privacy@rystat.com | Bei Anfragen, die eine Identitätsverifizierung erfordern, können zusätzliche Angaben angefordert werden. RYSTAT wird innerhalb der gesetzlichen Fristen antworten (Regelfrist: 1 Monat, verlängerbar auf bis zu 3 Monate).
7.1 Beschwerderecht bei der Aufsichtsbehörde (DSGVO Art. 77)
Im EU/EWR ansässige betroffene Personen haben das Recht, Beschwerden über die Verarbeitung ihrer personenbezogenen Daten bei der zuständigen Datenschutzaufsichtsbehörde ihres Mitgliedstaats einzureichen. Jeder EU-Mitgliedstaat verfügt über eine unabhängige Aufsichtsbehörde; Sie können sich an die Behörde Ihres Wohnsitzlandes wenden.
Liste der EU-Aufsichtsbehörden: edpb.europa.eu/about-edpb/board/members_en
Wir empfehlen, sich vor einer Beschwerde bei der Aufsichtsbehörde zunächst direkt an RYSTAT zu wenden; viele Anliegen lassen sich so schneller klären.
8. Technische und organisatorische Maßnahmen (DSGVO Art. 32)
RYSTAT trifft gemäß DSGVO Art. 32 geeignete technische und organisatorische Sicherheitsmaßnahmen entsprechend der Art, des Umfangs und der Risiken der Verarbeitung:
- Zugriffskontrolle, Authentifizierung und privilegiertes Zugriffsmanagement
- Verschlüsselung bei Übertragung und Speicherung (soweit anwendbar)
- Sicherheitsvorfallsüberwachung, Protokollierung und Alarmierungsprozesse
- Netzwerksegmentierung, Schwachstellenmanagement und regelmäßige Updates
- Datensicherung und Pläne zur Geschäftskontinuität
- Datenschutzschulungen für mit der Datenverarbeitung betrautes Personal
Keine Datenübertragung über das Internet und keine elektronische Speichermethode kann absolute Sicherheit gewährleisten. Die Nutzer tragen die primäre Verantwortung für die Kontosicherheit, die Verwendung sicherer Passwörter und die Zwei-Faktor-Authentifizierung.
8.1 Meldung von Datenschutzverletzungen (DSGVO Art. 33–34)
RYSTAT ist verpflichtet, Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden; sofern die Verletzung für die betroffenen Personen voraussichtlich ein hohes Risiko zur Folge hat, werden diese ebenfalls unverzüglich direkt benachrichtigt.
9. Cookies und Trackingtechnologien
RYSTAT verwendet auf der Website und im Kundenpanel Cookies sowie ähnliche Trackingtechnologien. Aufgrund unserer deutschen Serverinfrastruktur finden die Verpflichtungen aus dem deutschen TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) sowie der EU-ePrivacy-Richtlinie (2002/58/EG) Anwendung.
Detaillierte Informationen zu verwendeten Cookie-Kategorien, Speicherfristen, Drittanbietern und Opt-out-Möglichkeiten finden Sie in der Cookie-Richtlinie.
9/A. Marketingkommunikation — Ausdrückliche Einwilligung (KVKK Art.5 + DSGVO Art.6 Abs.1 Buchst.a)
Marketingbezogene elektronische Kommunikation von RYSTAT (Produktankündigungen, Werbemitteilungen, Blog-Aktualisierungen, Veranstaltungseinladungen u. Ä.) wird ausschließlich auf Grundlage einer vorab freiwillig erteilten Opt-in-Einwilligung des Nutzers versandt. Der Abschluss des Dienstvertrags oder der Empfang von transaktionalen E-Mails zu Abrechnungs- oder Support-Themen stellt keine Marketingeinwilligung dar.
9/A.1 Rechtsgrundlage
- DSGVO Art. 6 Abs. 1 Buchst. a: Die Verarbeitung personenbezogener Daten zu Marketingzwecken erfordert eine spezifische, informierte und freiwillig erteilte Einwilligung.
- KVKK Art. 5 Abs. 1: Die Verarbeitung personenbezogener Daten zu Marketingzwecken erfordert eine ausdrückliche Einwilligung (die Ausnahmen in KVKK Art. 5 Abs. 2 erfassen kein Marketing).
- Türkisches Gesetz über den elektronischen Handel (Nr. 6563) Art. 6: Der Versand kommerzieller elektronischer Nachrichten setzt die vorherige Zustimmung des Empfängers voraus, registriert über das IYS (Kommerzielles Elektronisches Nachrichtenverwaltungssystem).
- EU/UK PECR (Privacy and Electronic Communications Regulations): Die „Soft-Opt-in"-Ausnahme für Direktwerbung ist eng gefasst; Werbung für nicht artverwandte Produkte erfordert eine ausdrückliche Einwilligung.
9/A.2 Erteilung und Widerruf der Einwilligung
Der Nutzer kann die Marketingeinwilligung über den Schalter „Marketingkommunikation" unter /panel/profile (Registerkarte Datenschutz) erteilen oder widerrufen. Jede Marketing-E-Mail enthält in der Fußzeile einen Ein-Klick-Abmeldelink (Unsubscribe); ein Klick darauf widerruft die Einwilligung unverzüglich mit Wirkung für die Zukunft. Der Widerruf der Einwilligung berührt nicht bereits erfolgte Verarbeitungen und hat keine Auswirkungen auf den Dienstvertrag.
9/A.3 Transaktionale vs. Marketingkommunikation
Die folgenden Mitteilungen sind transaktional und werden unabhängig von einer Marketingeinwilligung versandt: Rechnungs-/Zahlungshinweise, Kontosicherheitswarnungen, Mitteilungen zu Dienstausfällen, Vertrags- bzw. Rechtsaktualisierungen sowie Support-Ticket-Antworten. Diese Mitteilungen sind zur Vertragserfüllung erforderlich (DSGVO Art. 6 Abs. 1 Buchst. b — Vertragserfüllung).
9/B. Offenlegung der KI-Auftragsverarbeiter (KVKK Art.9 + DSGVO Art.28 und 49)
Bei Aktivierung der KI-gestützten Funktionen von RYSTAT (AI Site Builder, AI Assistant, KI-Inhaltserstellung) kann RYSTAT die Prompts und Eingabedaten des Nutzers an die folgenden vier KI-Drittanbieter übermitteln:
| Anbieter | Rechtsordnung | Rolle | Angemessenheitsstatus |
|---|---|---|---|
| Hangzhou DeepSeek AI Co., Ltd. | Volksrepublik China (VR China) | Primärer KI-Verarbeiter | KEIN Angemessenheitsbeschluss — Schrems-II-Risiko |
| Anthropic, PBC | Vereinigte Staaten | Backup-KI-Verarbeiter | EU-US Data Privacy Framework (DPF) zertifiziert |
| OpenAI, LLC | Vereinigte Staaten | Backup-KI-Verarbeiter | EU-US Data Privacy Framework (DPF) zertifiziert |
| Mistral AI SAS | Frankreich (innerhalb der EU) | Backup-KI-Verarbeiter | Innergemeinschaftliche Übermittlung — DSGVO unmittelbar anwendbar |
9/B.1 Kategorien der übermittelten Daten
- Freitext-Prompts des Nutzers, die in KI-Funktionen eingegeben werden (Anfragen, Fragen, Inhaltsanweisungen)
- Konfigurationsparameter: Branche, Zielgruppe, Sprache, Tonalität, Stilpräferenzen
- Generierungskontext: Seitenbeschreibungen, Inhalt-Templatename, Markenname (sofern vom Nutzer angegeben)
- HINWEIS: Die Panel-Kontoinformationen des Nutzers (E-Mail, Name, Rechnungsadresse) werden nicht an KI-Anbieter übermittelt.
9/B.2 Mechanismus der grenzüberschreitenden Übermittlung
- KVKK Art. 9: Grenzüberschreitende Übermittlung personenbezogener Daten aus der Türkei erfordert eine ausdrückliche Einwilligung, die granular über den KI-Funktionen-Schalter unter /panel/profile (Registerkarte Datenschutz) eingeholt wird.
- DSGVO Art. 49 Abs. 1 Buchst. a — Ausnahme bei ausdrücklicher Einwilligung: Übermittlungen an DeepSeek (VR China), für das kein Angemessenheitsbeschluss vorliegt, stützen sich auf die ausdrückliche Einwilligung des Nutzers nach gesonderter Information.
- DSGVO Art. 46 Abs. 2 Buchst. c — Standardvertragsklauseln (SCC): Für US-Anbieter (Anthropic, OpenAI) finden EU-SCC in Verbindung mit dem EU-US DPF Anwendung.
- Schrems II / EDSA-Empfehlung 01/2020: Für DeepSeek (VR China) wird eine Transfer Impact Assessment (TIA) erstellt; diese kann auf Anfrage unter legal@rystat.com bezogen werden.
9/B.3 Widerruf der ausdrücklichen Einwilligung
Der Nutzer kann seine ausdrückliche Einwilligung jederzeit widerrufen, indem er den KI-Funktionen-Schalter unter /panel/profile (Registerkarte Datenschutz) deaktiviert. Der Widerruf wirkt zukunftsgerichtet und berührt nicht bereits durchgeführte Übermittlungen (KVKK Art. 7; DSGVO Art. 7 Abs. 3). Wird ein neuer KI-Anbieter hinzugefügt, wird ein erneutes Einwilligungsverfahren (Re-Consent) ausgelöst.
9/B.4 No-Train und Speicherdauer
RYSTAT bemüht sich kaufmännisch zumutbar um vertragliche „No-Train"-Klauseln (keine Verwendung der Daten für das Modelltraining) mit den KI-Anbietern. Die Speicherdauer der Prompt-Daten auf der Anbieterseite richtet sich nach den Anbieterrichtlinien: Für Anthropic und OpenAI wird der „Zero-Retention"-Modus aktiviert, sofern verfügbar. Eine detaillierte Anbietervergleichsübersicht ist auf der Seite KI-Anbieter-Offenlegung abrufbar.
10. Aktualisierungen dieser Erklärung
RYSTAT kann diese Erklärung gelegentlich aktualisieren. Wesentliche Änderungen werden mindestens 30 Tage vor ihrem Inkrafttreten über die Website oder Ihre hinterlegte E-Mail-Adresse bekannt gegeben. Die weitere Nutzung der Dienste nach Veröffentlichung der aktualisierten Erklärung gilt als Zustimmung zu den Änderungen. Bei wesentlichen Änderungen, die Ihre Rechte nach der DSGVO berühren, wird Ihre Zustimmung, soweit gesetzlich erforderlich, gesondert eingeholt.
11. Rangfolge und Kollision
Im Fall eines Widerspruchs zwischen dieser Datenschutzerklärung und einem anderen Vertragsdokument gilt folgende Rangfolge:
- Unterzeichneter Unternehmensvertrag, Bestellformular oder Angebotsanhang
- Produktspezifische Dienstbedingungen
- Acceptable Use Policy (AUP)
- Dienstgütevereinbarung (SLA)
- Auftragsverarbeitungsvertrag / DPA (ausschließlich für Fragen der Datenverarbeitung)
- Nutzungsbedingungen
- Diese Datenschutzerklärung
- Rückgabe- und Stornierungsrichtlinie
- Unterauftragsverarbeiter-Rahmenwerk und sonstige öffentliche Offenlegungstexte
Unterzeichnete Unternehmensverträge und Bestellformulare haben stets Vorrang. Bei Widersprüchen gilt das spezifischste und aktuellste unterzeichnete Dokument. Rechte aus zwingendem Verbraucher- und Datenschutzrecht bleiben in jedem Fall vorbehalten.
12. Globaler Compliance-Ansatz
Unifics Limited ist ein in Hongkong eingetragener globaler Dienstanbieter. Unsere Dienste richten sich an Nutzer in verschiedenen Ländern; wir erkennen das Vorhandensein und die Bedeutung lokaler Datenschutzgesetze an.
- Für Nutzer im EU/EWR-Raum bemühen wir uns um die Einhaltung der Datenschutzgrundsätze der DSGVO (Art. 5).
- Für Nutzer in der Türkei werden angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen.
- Sollte eine offizielle Anfrage einer Datenschutzaufsichtsbehörde aus einem beliebigen Land eingehen, ist RYSTAT bereit, im Rahmen des rechtlich Zulässigen zu antworten. Kontakt: privacy@rystat.com
RYSTAT ist in bestimmten Rechtsordnungen möglicherweise nicht bei lokalen Datenschutzaufsichtsbehörden registriert. Dies berührt nicht unser Bekenntnis zur verantwortungsvollen Verarbeitung personenbezogener Daten.