Datenschutzerklärung Privacy Policy Gizlilik Politikası Политика конфиденциальности
Letzte inhaltliche Überarbeitung: 2026-06-03 — Korrektur der Auftragsverarbeiter-Liste: Calendly + Zoom entfernt (waren niemals in Produktion eingesetzt — Pre-Launch-Platzhalter); Telegram, Cal.com, Baserow, TikTok OAuth, cron-job.org hinzugefügt, um die tatsächliche Produktionsarchitektur ab M-6 (2026-05-20) abzubilden. Citation § 55 Abs. 2 RStV → § 18 Abs. 2 MStV (Statut 2020-11-07 ersetzt). Frühere Versionen sind über das Internet Archive einsehbar.
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
Datenerfassung auf dieser Website
Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.
Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen (z.B. über das Kontaktformular). Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z.B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs).
Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden.
Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit an uns wenden.
2. Hosting
Diese Website wird bei Cloudflare, Inc. gehostet. Cloudflare ist ein US-amerikanisches Unternehmen mit Sitz in San Francisco, Kalifornien. Details entnehmen Sie der Datenschutzerklärung von Cloudflare: https://www.cloudflare.com/privacypolicy/
3. Allgemeine Hinweise und Pflichtinformationen
Datenschutz
Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Hinweis zur verantwortlichen Stelle
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
Kerim Agdaci
Elsenheimerstr. 25C, 85283 Wolnzach
E-Mail: contact@bykainsights.com
4. Datenerfassung auf dieser Website
Kontaktformular
Wenn Sie das Kontaktformular nutzen, werden folgende Daten erhoben: Name, E-Mail-Adresse, Ihre Nachricht sowie der Zeitpunkt der Übermittlung. Die IP-Adresse wird temporär für Spam-Schutz und Sicherheitszwecke gespeichert, jedoch nicht in E-Mail-Benachrichtigungen aufgenommen. Diese Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage genutzt. Für den E-Mail-Versand werden die Daten an Resend und Zoho Mail als Auftragsverarbeiter übermittelt (siehe Abschnitt 5).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung Ihrer Anfrage).
Speicherdauer: Kontaktformular-Übermittlungsprotokolle werden maximal 90 Tage aufbewahrt. Die zugehörige E-Mail in unserem Posteingang kann für Korrespondenzzwecke länger aufbewahrt und gelöscht werden, wenn sie nicht mehr benötigt wird.
Toolkit-Download (E-Mail-Registrierung)
Wenn Sie den kostenlosen Toolkit-Download anfordern, erheben wir Ihre E-Mail-Adresse sowie den Zeitpunkt Ihrer Einwilligung. Zusätzlich erfassen wir den Kommunikationskanal (welche E-Mail-Adresse bzw. Plattform Sie kontaktiert haben), um die Wirksamkeit unserer Inhalte zu analysieren. Der Download-Link wird Ihnen unmittelbar per E-Mail zugestellt. Ihre Daten werden in unserer Datenbank (Supabase) gespeichert. Eine Übertragung an unsere E-Mail-Marketing-Plattform (MailerLite) erfolgt nur, wenn Sie sich separat über den in der Antwort-E-Mail enthaltenen Link anmelden und per Double-Opt-In bestätigen. Mehrere Kontaktadressen (z.B. query@, auto-tt@, auto-yt@bykainsights.com) werden im selben datenschutzkonformen System verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Zustellung des Toolkits; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die Analyse des Kommunikationskanals; Art. 6 Abs. 1 lit. a DSGVO mit separater Bestätigung (Double-Opt-In) für Marketing-E-Mails.
Speicherdauer: Bis zum Widerruf der Einwilligung oder Löschungsantrag.
Feedback-Formular
Das Feedback-Formular auf der Toolkit-Seite erfasst ausschließlich Ihre Textantwort. Es werden keine personenbezogenen Daten (E-Mail, Name) erfasst. Die Antworten werden anonym in unserer Datenbank gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung).
Beratungs-Warteliste
Wenn Sie sich für die Beratungs-Warteliste anmelden, erheben wir Ihre E-Mail-Adresse und Ihr Interessengebiet. Diese Daten werden ausschließlich verwendet, um Sie zu kontaktieren, wenn Beratungsplätze verfügbar sind.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: Bis zum Start des Beratungsangebots oder maximal 12 Monate.
5. Drittanbieter-Dienste
Cloudflare (Hosting & CDN)
Diese Website wird von Cloudflare, Inc. gehostet und nutzt deren Content Delivery Network (CDN). Details: Cloudflare Datenschutzrichtlinie
Videos und herunterladbare Dateien werden über Cloudflare R2 Object Storage bereitgestellt. Beim Zugriff auf diese Ressourcen wird Ihre IP-Adresse von Cloudflare verarbeitet.
Für das Rate-Limiting des CV-Chat-Agents (Schutz vor Missbrauch) verwenden wir Cloudflare Workers KV (Key-Value-Store). Pro Zeitfenster speichern wir einen Ganzzahl-Anfrage-Zähler; der KV-Schlüssel ist ein gekürzter SHA-256-Hash der Anfrager-Kennung (authentifizierte E-Mail oder IP), kombiniert mit der Zeitfensternummer. Der Hash ist nicht trivial umkehrbar; Einträge laufen automatisch innerhalb von ca. 2 Minuten ab.
Cloudflare Access / Zero Trust (geschützter Bereich /cv)
Der Bereich /cv ist nicht öffentlich, sondern ausschließlich persönlich eingeladenen Empfängern zugänglich. Der Zugang ist durch Cloudflare Access (Zero Trust) per Einmalpasswort (One-Time PIN) auf eine vorab eingetragene E-Mail-Adresse geschützt. Bei der Anmeldung verarbeitet Cloudflare die E-Mail-Adresse, die IP-Adresse und einen kurzlebigen JSON-Web-Token. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Vertraulichkeit eines persönlich geteilten Lebenslaufs). Die Sitzungsdauer beträgt 24 Stunden, Sie können sich jederzeit abmelden, indem Sie Browser-Cookies löschen. Details: Cloudflare Zero Trust Privacy.
Bei jedem Aufruf von /cv wird zusätzlich eine minimierte interne Telegram-Benachrichtigung an den Seitenbetreiber gesendet, die ausschließlich folgende Daten enthält: das Ländercode-Kennzeichen (z. B. DE), den User-Agent-String, einen optionalen ?ref=-Tag aus dem Einladungslink und einen Zeitstempel. Die E-Mail-Adresse wird bewusst NICHT an Telegram übertragen (Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO); sie wird ausschließlich von Cloudflare Access (mit DPA) verarbeitet. Es werden weder die IP-Adresse noch der Inhalt der Seite oder eines Chats protokolliert. Die Benachrichtigung dient ausschließlich der Zugangskontrolle gemäß Art. 6 Abs. 1 lit. f DSGVO. Aufbewahrung: solange die Telegram-Konversation nicht gelöscht wird, max. 90 Tage.
Anthropic (Claude API — CV-Chat-Agent)
Auf der Seite /cv ist ein KI-Chat-Agent eingebettet, der Fragen zum Lebenslauf beantwortet. Ihre Eingaben werden serverseitig an die Claude-API von Anthropic, PBC (USA) übermittelt und dort zur Generierung der Antwort verarbeitet. Anthropic verwendet API-Eingaben gemäß den eigenen Datenschutzbestimmungen nicht zum Modelltraining. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines Self-Service-Frage-Antwort-Tools). Es werden keine Chat-Inhalte serverseitig gespeichert; nur die authentifizierte E-Mail-Adresse, ein Zähler der Konversationsschritte und der ?ref=-Tag werden zur Missbrauchsprävention protokolliert. Datenübermittlung in die USA auf Basis von Standardvertragsklauseln (SCCs). Details: Anthropic Privacy Policy.
Resend (E-Mail-Versand)
Für den Versand von E-Mails aus dem Kontaktformular nutzen wir Resend (Resend, Inc.). Dabei werden Ihre eingegebenen Daten an Resend übermittelt. Details: Resend Datenschutzrichtlinie
Resend verwendet als Unterauftragsverarbeiter Amazon Simple Email Service (AWS SES, Region eu-west-1) zur Zustellung von E-Mails. Bounce- und Beschwerde-Reports werden über die Subdomäne send.bykainsights.com entgegengenommen.
GitHub (Code-Repository)
Der Quellcode dieser Website wird auf GitHub (GitHub, Inc.) gehostet. GitHub erfasst keine Daten von Website-Besuchern. Details: GitHub Datenschutzerklärung
Supabase (Datenbank)
Für die Speicherung von Nutzerdaten (E-Mail-Registrierungen, Download-Verlauf, Einwilligungen) nutzen wir Supabase (Supabase, Inc., USA). Die Daten werden in der EU-Region (eu-west-1) gehostet. Details: Supabase Datenschutzrichtlinie
Baserow (interne Analyse-Datenbank)
Für interne Analysedaten (Content-Performance, Nutzungsüberblicke) verwenden wir Baserow (Baserow B.V., Niederlande, EU). Die internen Analyse-Endpunkte (/api/analytics-data, /api/vdata-*) lesen aus Baserow und liefern an autorisierte Dashboards. Überwiegend aggregierte oder anonymisierte Daten; falls personenbezogene Felder enthalten sind, werden sie ausschließlich für interne Berichterstattung verwendet. Hosting in der EU. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenanalyse). Details: Baserow Datenschutzrichtlinie
MailerLite (E-Mail-Marketing)
Für den Versand von Newsletter- und Marketing-E-Mails nutzen wir MailerLite (UAB MailerLite, Litauen, EU). Ihre E-Mail-Adresse wird erst nach Bestätigung (Double-Opt-In) für Marketing-Zwecke verwendet. Jede E-Mail enthält einen Abmeldelink. Details: MailerLite Datenschutzrichtlinie
Für das Klick-Tracking in MailerLite-Kampagnen verwendet die Subdomäne click.bykainsights.com die Klick-Tracking-Infrastruktur von MailerLite, die in der Google Cloud Platform betrieben wird. Beim Klick auf einen MailerLite-Link wird Ihre IP-Adresse von Google Cloud (US-Hoster im Auftrag von MailerLite) kurzzeitig verarbeitet.
ManyChat (Social-Media-Automatisierung)
Wenn Sie mit unserer Social-Media-Automatisierung interagieren (z.B. Kommentar eines Schlüsselworts auf Instagram), werden Ihr Instagram-Benutzername und Ihre Nachricht von ManyChat (ManyChat Inc., USA) in unserem Auftrag verarbeitet. Wenn Sie Ihre E-Mail-Adresse per Direktnachricht angeben, wird diese mit Double-Opt-in-Bestätigung zu unserer MailerLite-Abonnentenliste hinzugefügt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Datenschutzrichtlinie: https://manychat.com/privacy
Zoho Mail (E-Mail-Postfach)
Für die geschäftliche E-Mail-Kommunikation nutzen wir Zoho Mail (Zoho Corporation). Wenn Sie auf unsere E-Mails antworten, werden Ihre Daten von Zoho verarbeitet. Details: Zoho Datenschutzrichtlinie
Telegram (interne Benachrichtigungen)
Für interne Betriebsbenachrichtigungen verwenden wir die Telegram Bot API (Telegram FZ-LLC, Dubai/VAE). Anlassbezogen werden begrenzte personenbezogene Daten an Telegram übermittelt: bei Kontaktformular-Eingängen Name + E-Mail-Adresse + Nachrichtenausschnitt; bei der täglichen Audit-Reminder-Digest Name + E-Mail der MailerLite-„Audit Interested“-Abonnenten; bei Cal.com-Buchungen Name + Startzeit; bei /cv-Seitenaufrufen ausschließlich Ländercode + Browser + Zeitstempel (E-Mail wird bewusst ausgeschlossen, siehe Abschnitt Cloudflare Access oben); bei Verdacht auf Missbrauch des CV-Chat-Agents (z. B. Prompt-Injection-Versuche) werden zusätzlich die authentifizierte Empfänger-E-Mail-Adresse + Ländercode + ein Auszug (max. 100 Zeichen) der auslösenden Eingabe an Telegram übermittelt — dieses Ereignis tritt sehr selten auf und dient ausschließlich der Missbrauchsabwehr. Telegram bietet derzeit keinen DSGVO-konformen Auftragsverarbeitungsvertrag (AVV nach Art. 28 DSGVO); wir akzeptieren dieses Restrisiko zur Sicherstellung zeitnaher operativer Reaktion. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zeitnaher Bearbeitung von Anfragen und Betriebsüberwachung). Datenminimierung: nur für die Reaktion notwendige Felder werden übermittelt. Sie können jederzeit per E-Mail an contact@bykainsights.com widersprechen; wir stoppen daraufhin Telegram-Benachrichtigungen, die Ihre Daten enthalten würden. Details: Telegram Privacy Policy
Cal.com (Terminbuchung)
Für die Buchung von Discovery Calls und Beratungsgesprächen nutzen wir Cal.com, Inc. (USA). Wenn Sie einen Termin buchen, werden Ihr Name, Ihre E-Mail-Adresse, die gewählte Uhrzeit und eine kurze Begründung des Termins von Cal.com verarbeitet und per signiertem Webhook an unseren Server übermittelt. Cal.com kann zusätzlich Ihre IP-Adresse und Browser-Informationen erfassen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Datenübermittlung in die USA auf Basis von Standardvertragsklauseln (SCCs). Details: Cal.com Datenschutzrichtlinie
Digistore24 (Zahlungsabwicklung)
Für den Verkauf digitaler Produkte nutzen wir Digistore24 (Digistore24 GmbH, Deutschland). Bei einem Kauf werden Ihre Zahlungsdaten und Bestellinformationen von Digistore24 verarbeitet. Details: Digistore24 Datenschutzrichtlinie
TikTok for Developers (OAuth-Callback für byka-analytics)
Die Seite /callback dient als OAuth-Landing-Page für unsere interne byka-analytics-Anwendung. Wenn Sie sich über TikTok bei dieser Anwendung anmelden, überträgt TikTok einen Autorisierungscode an unsere Pages-Funktion (/api/tiktok-callback), die ihn gegen ein Access Token tauscht und Ihre öffentlichen Profil- und Statistikdaten (Benutzername, Display-Name, Profilbild, Videoliste; Scopes user.info.basic + user.info.stats + video.list) abruft. Es werden keine Beiträge in Ihrem Namen veröffentlicht. Verantwortlich für diese Verarbeitung ist TikTok Technology Limited (Irland, EU) für EU-Nutzer bzw. TikTok Inc. (USA) für andere Nutzer. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch OAuth-Bestätigung). Details: TikTok Datenschutzrichtlinie
cron-job.org (geplante interne Aufrufe)
Für geplante interne Aufrufe (täglicher Lead-Reminder, täglicher GDPR-Aufräumlauf, regelmäßige Zoho-Postfach-Abfrage) nutzen wir cron-job.org (Sebastian Decker, Deutschland). cron-job.org löst lediglich authentifizierte HTTP-GET-Anfragen an unsere Pages-Funktionen aus; keine personenbezogenen Daten von Website-Besuchern werden übertragen. Details: cron-job.org Datenschutz
Google Search Console (Suchmaschinenoptimierung)
Diese Website ist bei Google Search Console registriert, um die Sichtbarkeit in der Google-Suche zu verbessern. Google erfasst dabei anonymisierte Suchdaten (Suchanfragen, Klicks, Impressionen). Es werden keine personenbezogenen Daten der Website-Besucher an Google weitergegeben. Details: Google Datenschutzrichtlinie
Bing Webmaster Tools (Suchmaschinenoptimierung)
Diese Website ist bei Microsoft Bing Webmaster Tools registriert, um die Sichtbarkeit in der Bing-Suche zu verbessern. Microsoft erfasst dabei anonymisierte Suchdaten. Es werden keine personenbezogenen Daten der Website-Besucher an Microsoft weitergegeben. Details: Microsoft Datenschutzrichtlinie
6. Analyse-Tools
Diese Website verwendet Cloudflare Web Analytics — ein datenschutzfreundlicher Analysedienst, der keine Cookies verwendet und keine personenbezogenen Daten dauerhaft speichert. IP-Adressen werden vorübergehend für die Sitzungszählung verarbeitet und nicht gespeichert oder mit Personen verknüpft. Weitere Informationen: Cloudflare Web Analytics
(Dieses Analyse-Skript wird automatisch von Cloudflare am Netzwerk-Edge eingefügt und ist im Quellcode der Seite nicht sichtbar.)
7. Lokale Speicherung
Diese Website verwendet localStorage (Browser-Speicher) für folgende Zwecke:
- lang: Spracheinstellung (technisch notwendig)
- byka_toolkit_email: Ihre E-Mail-Adresse nach Toolkit-Anmeldung (für erneuten Download-Zugang)
- byka_toolkit_verified / byka_toolkit_downloaded: Status Ihrer Verifizierung und Download-Aktivität
Dies ist keine Cookie-Technologie. Die Spracheinstellung ist technisch notwendig. Die Toolkit-Daten werden auf Basis Ihrer Einwilligung gespeichert und können jederzeit durch Löschen der Browser-Daten entfernt werden.
8. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
- Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
- Einschränkungsrecht (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Basis berechtigter Interessen widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit widerrufen. Der Widerruf ist so einfach wie die Erteilung: per E-Mail an contact@bykainsights.com oder über den Abmeldelink in jeder E-Mail.
9. Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de
10. Internationale Datenübermittlung
Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA (Cloudflare, Supabase, Resend, Anthropic, Cal.com, TikTok, ManyChat). Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF) Angemessenheitsbeschlusses der EU-Kommission sowie ergänzender Standardvertragsklauseln (SCCs).
GitHub (GitHub, Inc., USA) hostet ausschließlich unseren Quellcode und verarbeitet keine personenbezogenen Daten von Website-Besuchern; insoweit ist eine besondere DPF/SCC-Grundlage für Besucherdaten nicht erforderlich.
Telegram (Telegram FZ-LLC, Dubai/VAE) ist nicht durch das EU-US Data Privacy Framework abgedeckt und bietet derzeit keinen Standard-Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Die Übermittlung beschränkt sich auf interne Betriebsbenachrichtigungen und erfolgt mit dokumentierter Datenminimierung auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO). Sie können jederzeit widersprechen (contact@bykainsights.com).
Last substantive revision: 2026-06-03 — Corrected processor list: removed Calendly + Zoom (never deployed in production — pre-launch placeholders); added Telegram, Cal.com, Baserow, TikTok OAuth, cron-job.org disclosures to reflect actual production architecture since M-6 (2026-05-20). Citation § 55 Abs. 2 RStV → § 18 Abs. 2 MStV (statute superseded 2020-11-07). Prior versions accessible via the Internet Archive.
1. Privacy at a Glance
General Information
The following information provides a simple overview of what happens to your personal data when you visit this website. Personal data is any data that can be used to personally identify you.
Data Collection on This Website
Who is responsible for data collection on this website?
Data processing on this website is carried out by the website operator. You can find their contact details in the imprint of this website.
How do we collect your data?
Your data is collected when you provide it to us (e.g., via the contact form). Other data is automatically collected by our IT systems when you visit the website. This is primarily technical data (e.g., internet browser, operating system, or time of page access).
What do we use your data for?
Part of the data is collected to ensure error-free provision of the website. Other data may be used to analyze your user behavior.
What rights do you have regarding your data?
You have the right to receive information about the origin, recipient, and purpose of your stored personal data free of charge at any time. You also have the right to request the correction or deletion of this data. You can contact us at any time regarding this and other questions about data protection.
2. Hosting
This website is hosted by Cloudflare, Inc. Cloudflare is a US company based in San Francisco, California. For details, see Cloudflare's privacy policy: https://www.cloudflare.com/privacypolicy/
3. General Information and Mandatory Disclosures
Data Protection
The operators of these pages take the protection of your personal data very seriously. We treat your personal data confidentially and in accordance with statutory data protection regulations and this privacy policy.
Information about the Responsible Party
The responsible party for data processing on this website is:
Kerim Agdaci
Elsenheimerstr. 25C, 85283 Wolnzach
Email: contact@bykainsights.com
4. Data Collection on This Website
Contact Form
When you use the contact form, the following data is collected: name, email address, your message, and the time of submission. Your IP address is temporarily stored for spam protection and security purposes but is not included in email notifications. This data is used exclusively to process your inquiry. For email delivery, the data is transmitted to Resend and Zoho Mail as data processors (see Section 5).
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in processing your inquiry).
Retention period: Contact form submission logs are retained for a maximum of 90 days. The corresponding email in our inbox may be retained longer for correspondence purposes and is deleted when no longer needed.
Toolkit Download (Email Registration)
When you request the free toolkit download, we collect your email address and the timestamp of your consent. We also record which contact address (and therefore which platform) you used to reach us, in order to analyze the effectiveness of our content. The download link is delivered to you immediately via email. Your data is stored in our database (Supabase). Transfer to our email marketing platform (MailerLite) only occurs if you separately subscribe via the link in the reply email and confirm via double opt-in. Multiple contact addresses (e.g. query@, auto-tt@, auto-yt@bykainsights.com) are processed within the same privacy-governed system.
Legal basis: Art. 6(1)(b) GDPR (contract performance) for toolkit delivery; Art. 6(1)(f) GDPR (legitimate interest) for analyzing the communication channel; Art. 6(1)(a) GDPR with separate confirmation (double opt-in) for marketing emails.
Retention period: Until consent is withdrawn or deletion is requested.
Feedback Form
The feedback form on the toolkit page collects only your text response. No personal data (email, name) is collected. Responses are stored anonymously in our database.
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in product improvement).
Consulting Waitlist
When you sign up for the consulting waitlist, we collect your email address and area of interest. This data is used exclusively to contact you when consulting spots become available.
Legal basis: Art. 6(1)(a) GDPR (consent).
Retention period: Until the consulting service launches or a maximum of 12 months.
5. Third-Party Services
Cloudflare (Hosting & CDN)
This website is hosted by Cloudflare, Inc. and uses their Content Delivery Network (CDN). Details: Cloudflare Privacy Policy
Videos and downloadable files are served from Cloudflare R2 object storage. When accessing these resources, your IP address is processed by Cloudflare under the same terms.
For rate-limiting the CV chat agent (abuse protection), we use Cloudflare Workers KV (key-value store). Per time-window we store an integer request counter; the KV key is a truncated SHA-256 hash of the requester identifier (authenticated email or IP) combined with the time-window number. The hash is not trivially reversible; entries expire automatically within ~2 minutes.
Cloudflare Access / Zero Trust (protected area /cv)
The /cv area is not public; it is accessible only to personally invited recipients. Access is gated by Cloudflare Access (Zero Trust) using a one-time PIN sent to a pre-allowlisted email address. During login, Cloudflare processes the email address, IP address, and a short-lived JSON Web Token. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in keeping a personally shared CV confidential). Sessions last 24 hours; you can sign out at any time by clearing browser cookies. Details: Cloudflare Zero Trust Privacy.
Each access to /cv additionally triggers a minimized internal Telegram notification to the operator that contains only: country code (e.g. DE), user-agent string, an optional ?ref= tag from the invitation link, and a timestamp. The email address is intentionally NOT sent to Telegram (data minimization under Art. 5(1)(c) GDPR); it is processed only by Cloudflare Access (which has a DPA). No IP address, no page or chat content is logged. The notification serves access control under Art. 6(1)(f) GDPR. Retention: as long as the Telegram conversation is not deleted, max. 90 days.
Anthropic (Claude API — CV chat agent)
The /cv page embeds an AI chat agent that answers questions about the CV. Your input is sent server-side to the Claude API operated by Anthropic, PBC (USA) and processed there to generate the response. Anthropic does not use API inputs for model training under its current policy. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in offering a self-service Q&A tool). No chat content is stored server-side; only the authenticated email, a turn counter, and the ?ref= tag are logged for abuse prevention. Data transfer to the USA is based on Standard Contractual Clauses (SCCs). Details: Anthropic Privacy Policy.
Resend (Email Delivery)
For sending emails from the contact form, we use Resend (Resend, Inc.). Your submitted data is transmitted to Resend for this purpose. Details: Resend Privacy Policy
Resend uses Amazon Simple Email Service (AWS SES, region eu-west-1) as a sub-processor for delivery. Bounce and complaint reports are received via the send.bykainsights.com subdomain.
GitHub (Code Repository)
The source code of this website is hosted on GitHub (GitHub, Inc.). GitHub does not collect data from website visitors. Details: GitHub Privacy Statement
Supabase (Database)
For storing user data (email registrations, download history, consent records), we use Supabase (Supabase, Inc., USA). Data is hosted in the EU region (eu-west-1). Details: Supabase Privacy Policy
Baserow (Internal Analytics Database)
For internal analytics data (content performance, usage overviews) we use Baserow (Baserow B.V., Netherlands, EU). Our internal analytics endpoints (/api/analytics-data, /api/vdata-*) read from Baserow and serve authorized dashboards. Data is predominantly aggregated or anonymized; if personal fields are included, they are used exclusively for internal reporting. EU hosting. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in reach analysis). Details: Baserow Privacy Policy
MailerLite (Email Marketing)
For sending newsletter and marketing emails, we use MailerLite (UAB MailerLite, Lithuania, EU). Your email address is only used for marketing purposes after confirmation (double opt-in). Every email contains an unsubscribe link. Details: MailerLite Privacy Policy
For click-tracking in MailerLite campaigns, the click.bykainsights.com subdomain routes through MailerLite's click-tracking infrastructure, which is hosted on Google Cloud Platform. When you click a MailerLite link, your IP address is transiently processed by Google Cloud (US infrastructure operated on behalf of MailerLite).
ManyChat (Social Media Automation)
When you interact with our social media automation (e.g., commenting a keyword on Instagram), your Instagram username and message are processed by ManyChat (ManyChat Inc., USA) on our behalf. If you provide your email address via direct message, it is added to our MailerLite subscriber list with double opt-in confirmation. Legal basis: Art. 6(1)(a) GDPR (consent). Privacy policy: https://manychat.com/privacy
Zoho Mail (Email Inbox)
For business email communication, we use Zoho Mail (Zoho Corporation). When you reply to our emails, your data is processed by Zoho. Details: Zoho Privacy Policy
Telegram (Internal Operational Notifications)
For internal operational notifications we use the Telegram Bot API (Telegram FZ-LLC, Dubai/UAE). Limited personal data is transmitted to Telegram on a per-event basis: contact-form submissions transmit name + email + message excerpt; the daily audit-reminder digest transmits name + email of MailerLite "Audit Interested" subscribers; Cal.com bookings transmit name + start time; /cv page views transmit only country code + browser + timestamp (email is intentionally excluded — see Cloudflare Access section above); upon detection of suspected CV chat agent abuse (e.g. prompt-injection attempts), the authenticated recipient email + country code + a truncated excerpt (max. 100 chars) of the triggering input are additionally transmitted to Telegram — this is a rare event and serves abuse defense only. Telegram currently does NOT offer a GDPR-compliant data processing agreement (DPA under Art. 28 GDPR); we accept this residual risk to ensure timely operational response. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in timely handling of inquiries and operational monitoring). Data minimization: only fields necessary for the response are transmitted. You can object at any time by emailing contact@bykainsights.com; we will then stop Telegram notifications containing your data. Details: Telegram Privacy Policy
Cal.com (Appointment Scheduling)
For booking discovery calls and consultation sessions, we use Cal.com, Inc. (USA). When you book an appointment, your name, email address, selected time, and a short meeting reason are processed by Cal.com and transmitted to our server via signed webhook. Cal.com may additionally collect your IP address and browser information. Legal basis: Art. 6(1)(b) GDPR (pre-contractual measures). Data transfer to the USA is based on Standard Contractual Clauses (SCCs). Details: Cal.com Privacy Policy
Digistore24 (Payment Processing)
For selling digital products, we use Digistore24 (Digistore24 GmbH, Germany). When you make a purchase, your payment data and order information is processed by Digistore24. Details: Digistore24 Privacy Policy
TikTok for Developers (OAuth Callback for byka-analytics)
The page /callback serves as the OAuth landing page for our internal byka-analytics application. When you log in via TikTok to that application, TikTok transmits an authorization code to our Pages function (/api/tiktok-callback), which exchanges it for an access token and retrieves your public profile and statistics data (username, display name, profile picture, video list; scopes user.info.basic + user.info.stats + video.list). No posts are published in your name. Controller for this processing: TikTok Technology Limited (Ireland, EU) for EU users; TikTok Inc. (USA) for other users. Legal basis: Art. 6(1)(a) GDPR (consent via OAuth confirmation). Details: TikTok Privacy Policy
cron-job.org (Scheduled Internal Calls)
For scheduled internal calls (daily lead reminder, daily GDPR cleanup sweep, periodic Zoho mailbox polling) we use cron-job.org (Sebastian Decker, Germany). cron-job.org only triggers authenticated HTTP GET requests against our Pages Functions; no personal data of website visitors is transmitted. Details: cron-job.org Privacy
Google Search Console (Search Engine Optimization)
This website is registered with Google Search Console to improve visibility in Google Search. Google collects anonymized search data (queries, clicks, impressions). No personal data of website visitors is shared with Google. Details: Google Privacy Policy
Bing Webmaster Tools (Search Engine Optimization)
This website is registered with Microsoft Bing Webmaster Tools to improve visibility in Bing Search. Microsoft collects anonymized search data. No personal data of website visitors is shared with Microsoft. Details: Microsoft Privacy Statement
6. Analytics Tools
This website uses Cloudflare Web Analytics — a privacy-friendly analytics service that does not use cookies and does not retain personally identifiable data. IP addresses are processed transiently for session counting and are not stored or linked to individuals. More information: Cloudflare Web Analytics
(This analytics script is automatically injected by Cloudflare at the network edge and is not visible in the page source code.)
7. Local Storage
This website uses localStorage (browser storage) for the following purposes:
- lang: Language preference (technically necessary)
- byka_toolkit_email: Your email after toolkit signup (for returning download access)
- byka_toolkit_verified / byka_toolkit_downloaded: Your verification and download status
This is not cookie technology. The language setting is technically necessary. The toolkit data is stored based on your consent and can be removed at any time by clearing your browser data.
8. Your Rights
You have the following rights regarding your personal data:
- Right of access (Art. 15 GDPR): You can request information about your stored data.
- Right to rectification (Art. 16 GDPR): You can request correction of inaccurate data.
- Right to erasure (Art. 17 GDPR): You can request deletion of your data.
- Right to restriction (Art. 18 GDPR): You can request restriction of processing.
- Right to data portability (Art. 20 GDPR): You can receive your data in a machine-readable format.
- Right to object (Art. 21 GDPR): You can object to processing based on legitimate interests.
- Right to withdraw consent (Art. 7(3) GDPR): You can withdraw any given consent at any time. Withdrawal is as easy as giving consent: email contact@bykainsights.com or use the unsubscribe link in any email.
9. Right to Complain
You have the right to lodge a complaint with the competent supervisory authority:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach, Germany
www.lda.bayern.de
10. International Data Transfers
Some of our processors are based in the USA (Cloudflare, Supabase, Resend, Anthropic, Cal.com, TikTok, ManyChat). Transfers are based on the EU-US Data Privacy Framework (DPF) adequacy decision of the EU Commission and supplementary Standard Contractual Clauses (SCCs).
GitHub (GitHub, Inc., USA) hosts only our source code and does not process personal data of website visitors; a special DPF/SCC basis for visitor data is therefore not required.
Telegram (Telegram FZ-LLC, Dubai/UAE) is NOT covered by the EU-US Data Privacy Framework and currently does not offer a standard Art. 28 GDPR data processing agreement. Transfers are limited to internal operational notifications with documented data minimization and are based on legitimate interests (Art. 6(1)(f) GDPR). You can object at any time (contact@bykainsights.com).
Son esaslı revizyon: 2026-06-03 — İşleyici listesi düzeltildi: Calendly + Zoom kaldırıldı (üretimde hiç dağıtılmamıştı — lansman öncesi yer tutucular); M-6 (2026-05-20) itibarıyla gerçek üretim mimarisini yansıtmak için Telegram, Cal.com, Baserow, TikTok OAuth, cron-job.org açıklamaları eklendi. Atıf § 55 Abs. 2 RStV → § 18 Abs. 2 MStV (2020-11-07 tarihinde yürürlükten kaldırıldı). Önceki sürümlere Internet Archive üzerinden erişilebilir.
1. Gizliliğe Genel Bakış
Genel Bilgiler
Aşağıdaki bilgiler, bu web sitesini ziyaret ettiğinizde kişisel verilerinize ne olduğu hakkında basit bir genel bakış sağlar. Kişisel veriler, sizi kişisel olarak tanımlamak için kullanılabilecek tüm verilerdir.
Bu Web Sitesinde Veri Toplama
Bu web sitesinde veri toplamadan kim sorumludur?
Bu web sitesindeki veri işleme, web sitesi işletmecisi tarafından gerçekleştirilir. İletişim bilgilerini bu web sitesinin künyesinde bulabilirsiniz.
Verilerinizi nasıl toplıyoruz?
Verileriniz, bize sağladığınızda toplanır (örneğin iletişim formu aracılığıyla). Diğer veriler, web sitesini ziyaret ettiğinizde IT sistemlerimiz tarafından otomatik olarak toplanır. Bu öncelikle teknik verilerdir (örneğin internet tarayıcısı, işletim sistemi veya sayfa erişim zamanı).
Verilerinizi ne için kullanıyoruz?
Verilerin bir kısmı, web sitesinin hatasız sağlanmasını sağlamak için toplanır. Diğer veriler, kullanıcı davranışlarınızı analiz etmek için kullanılabilir.
Verilerinizle ilgili haklarınız nelerdir?
Saklanan kişisel verilerinizin kökeni, alıcısı ve amacı hakkında herhangi bir zamanda ücretsiz bilgi alma hakkınız vardır. Ayrıca bu verilerin düzeltilmesini veya silinmesini talep etme hakkınız vardır. Bu ve diğer veri koruma soruları için bizimle iletişime geçebilirsiniz.
2. Barındırma
Bu web sitesi Cloudflare, Inc. tarafından barındırılıyor. Cloudflare, San Francisco, Kaliforniya merkezli bir ABD şirketidir. Ayrıntılar için Cloudflare'in gizlilik politikasına bakın: https://www.cloudflare.com/privacypolicy/
3. Genel Bilgiler ve Zorunlu Açıklamalar
Veri Koruma
Bu sayfaların işletmecileri, kişisel verilerinizin korunmasını çok ciddiye almaktadır. Kişisel verilerinizi gizli tutuyoruz ve yasal veri koruma düzenlemeleri ile bu gizlilik politikasına uygun olarak işliyoruz.
Sorumlu Taraf Hakkında Bilgi
Bu web sitesinde veri işlemeden sorumlu taraf:
Kerim Agdaci
Elsenheimerstr. 25C, 85283 Wolnzach
E-posta: contact@bykainsights.com
4. Bu Web Sitesinde Veri Toplama
İletişim Formu
İletişim formunu kullandığınızda, aşağıdaki veriler toplanır: isim, e-posta adresi, mesajınız ve gönderim zamanı. Bu veriler yalnızca sorgunuzu yanıtlamak için kullanılır. E-posta gönderimi için veriler Resend ve Zoho Mail'e veri işleyicileri olarak iletilir (bkz. Bölüm 5).
Hukuki dayanak: GDPR Madde 6(1)(f) (sorgunuzun işlenmesinde meşru menfaat).
Saklama süresi: İletişim formu gönderim kayıtları en fazla 90 gün saklanır. Gelen kutusundaki ilgili e-posta yazışma amacıyla daha uzun süre saklanabilir ve artık ihtiyaç kalmadığında silinir.
Toolkit İndirme (E-posta Kayıt)
Ücretsiz toolkit indirmesi talep ettiğinizde e-posta adresinizi ve onay zaman damgasını toplarız. Ayrıca hangi iletişim adresini (ve dolayısıyla hangi platformu) kullandığınızı kaydederiz. İndirme bağlantısı doğrudan e-posta ile iletilir. Verileriniz veritabanımızda (Supabase) saklanır. E-posta pazarlama platformumuza (MailerLite) aktarma yalnızca yanıt e-postasındaki bağlantı üzerinden ayrıca abone olmanız ve Double-Opt-In ile onaylamanız halinde gerçekleşir. Birden fazla iletişim adresi (örn. query@, auto-tt@, auto-yt@bykainsights.com) aynı gizlilik sistemi içinde işlenir.
Hukuki dayanak: GDPR Madde 6(1)(b) (sözleşme ifası) toolkit teslimi için; GDPR Madde 6(1)(f) (meşru menfaat) iletişim kanalı analizi için; GDPR Madde 6(1)(a) ayrı onay (Double-Opt-In) ile pazarlama e-postaları için.
Saklama süresi: Onay geri çekilene veya silme talep edilene kadar.
Geri Bildirim Formu
Toolkit sayfasındaki geri bildirim formu yalnızca metin yanıtınızı toplar. Kişisel veri (e-posta, isim) toplanmaz. Yanıtlar anonim olarak saklanır.
Danışmanlık Bekleme Listesi
Danışmanlık bekleme listesine kaydolduğunuzda e-posta adresinizi ve ilgi alanınızı toplarız. Bu veriler yalnızca danışmanlık yerleri açıldığında sizinle iletişime geçmek için kullanılır.
Saklama süresi: Hizmet başlayana veya en fazla 12 ay.
5. Üçüncü Taraf Hizmetleri
Cloudflare (Barındırma & CDN)
Bu web sitesi Cloudflare, Inc. tarafından barındırılıyor ve İçerik Dağılım Ağlarını (CDN) kullanıyor. Ayrıntılar: Cloudflare Gizlilik Politikası
Videolar ve indirilebilir dosyalar Cloudflare R2 nesne depolaması üzerinden sunulur. Bu kaynaklara eriştiğinizde IP adresiniz Cloudflare tarafından işlenir.
CV sohbet ajanının hız sınırlandırması (kötüye kullanım koruma) için Cloudflare Workers KV (anahtar-değer deposu) kullanıyoruz. Zaman penceresi başına bir tamsayı istek sayacı saklarız; KV anahtarı, talep edenin tanımlayıcısının (kimlik doğrulanmış e-posta veya IP) kısaltılmış SHA-256 hash'i ile zaman penceresi numarasından oluşur. Hash önemsiz bir şekilde tersine çevrilemez; girişler ~2 dakika içinde otomatik olarak sona erer.
Cloudflare Access / Zero Trust (korumalı alan /cv)
/cv alanı herkese açık değildir; yalnızca kişisel olarak davet edilen alıcılara açıktır. Erişim, önceden izin verilen bir e-posta adresine gönderilen tek seferlik PIN ile Cloudflare Access (Zero Trust) tarafından kontrol edilir. Giriş sırasında Cloudflare e-posta adresini, IP adresini ve kısa ömürlü bir JSON Web Token işler. Hukuki dayanak: GDPR Madde 6(1)(f) (kişisel olarak paylaşılan bir özgeçmişin gizli tutulmasındaki meşru menfaat). Oturum 24 saat sürer; tarayıcı çerezlerinizi temizleyerek istediğiniz zaman çıkış yapabilirsiniz. Ayrıntılar: Cloudflare Zero Trust Privacy.
/cv sayfasına her erişimde ayrıca operatöre yalnızca şu verileri içeren minimize edilmiş bir dahili Telegram bildirimi tetiklenir: ülke kodu (örn. DE), kullanıcı aracı (user-agent) dizesi, davet bağlantısından isteğe bağlı ?ref= etiketi ve zaman damgası. E-posta adresi bilinçli olarak Telegram'a gönderilmez (GDPR Madde 5(1)(c) kapsamında veri minimizasyonu); yalnızca DPA'ya sahip Cloudflare Access tarafından işlenir. IP adresi, sayfa veya sohbet içeriği kaydedilmez. Bildirim, GDPR Madde 6(1)(f) kapsamında erişim kontrolüne hizmet eder. Saklama süresi: Telegram konuşması silinmediği sürece, en fazla 90 gün.
Anthropic (Claude API — CV sohbet ajanı)
/cv sayfasına, özgeçmiş hakkındaki soruları yanıtlayan bir AI sohbet ajanı gömülüdür. Girdileriniz sunucu tarafında Anthropic, PBC (ABD) tarafından işletilen Claude API'sine iletilir ve yanıt oluşturmak için orada işlenir. Anthropic, mevcut politikası uyarınca API girdilerini model eğitimi için kullanmaz. Hukuki dayanak: GDPR Madde 6(1)(f) (self-servis Soru-Cevap aracı sunmadaki meşru menfaat). Sunucu tarafında hiçbir sohbet içeriği saklanmaz; yalnızca kimlik doğrulanmış e-posta, tur sayısı ve ?ref= etiketi kötüye kullanımı önlemek için kaydedilir. ABD'ye veri aktarımı Standart Sözleşme Hükümleri (SCC) temelinde yapılır. Ayrıntılar: Anthropic Privacy Policy.
Resend (E-posta Gönderimi)
İletişim formundan e-posta göndermek için Resend (Resend, Inc.) kullanıyoruz. Gönderdiğiniz veriler bu amaçla Resend'e iletilir. Ayrıntılar: Resend Gizlilik Politikası
Resend, e-posta teslimatı için alt-işleyici olarak Amazon Simple Email Service (AWS SES, eu-west-1 bölgesi) kullanır. Geri dönüş ve şikayet raporları send.bykainsights.com alt alanı üzerinden alınır.
GitHub (Kod Deposu)
Bu web sitesinin kaynak kodu GitHub'da (GitHub, Inc.) barındırılıyor. GitHub, web sitesi ziyaretçilerinden veri toplamaz. Ayrıntılar: GitHub Gizlilik Bildirimi
Supabase (Veritabanı)
Kullanıcı verilerinin (e-posta kayıtları, indirme geçmişi, onay kayıtları) saklanması için Supabase (Supabase, Inc., ABD) kullanıyoruz. Veriler AB bölgesinde (eu-west-1) barındırılır. Ayrıntılar: Supabase Gizlilik Politikası
Baserow (Dahili Analiz Veritabanı)
Dahili analiz verileri (içerik performansı, kullanım özetleri) için Baserow (Baserow B.V., Hollanda, AB) kullanıyoruz. Dahili analiz uç noktaları (/api/analytics-data, /api/vdata-*) Baserow'dan okur ve yetkili kontrol panellerine sunar. Veriler çoğunlukla toplu veya anonimleştirilmiştir; kişisel alanlar varsa yalnızca dahili raporlama için kullanılır. AB'de barındırılır. Hukuki dayanak: GDPR Madde 6(1)(f) (erişim analizinde meşru menfaat). Ayrıntılar: Baserow Gizlilik Politikası
MailerLite (E-posta Pazarlama)
Bülten ve pazarlama e-postaları göndermek için MailerLite (UAB MailerLite, Litvanya, AB) kullanıyoruz. E-posta adresiniz yalnızca onaydan (çift onay) sonra pazarlama amaçlı kullanılır. Her e-postada abonelikten çıkma bağlantısı bulunur. Ayrıntılar: MailerLite Gizlilik Politikası
MailerLite kampanyalarındaki tıklama takibi için click.bykainsights.com alt alanı, Google Cloud Platform üzerinde çalışan MailerLite'ın tıklama-takip altyapısına yönlendirir. Bir MailerLite bağlantısına tıkladığınızda IP adresiniz, MailerLite adına MailerLite'ın alt-işleyicisi olan Google Cloud (ABD altyapısı) tarafından kısa süreliğine işlenir.
ManyChat (Sosyal Medya Otomasyonu)
Sosyal medya otomasyonumuzla etkileşimde bulunduğunuzda (örn. Instagram'da bir anahtar kelime yorum yaptığınızda), Instagram kullanıcı adınız ve mesajınız ManyChat (ManyChat Inc., ABD) tarafından adımıza işlenir. E-posta adresinizi doğrudan mesaj yoluyla verirseniz, çift onay ile MailerLite abone listemize eklenir. Hukuki dayanak: GDPR Madde 6(1)(a) (onay). Gizlilik politikası: https://manychat.com/privacy
Zoho Mail (E-posta Gelen Kutusu)
İş e-posta iletişimi için Zoho Mail (Zoho Corporation) kullanıyoruz. E-postalarımıza yanıt verdiğinizde, verileriniz Zoho tarafından işlenir. Ayrıntılar: Zoho Gizlilik Politikası
Telegram (Dahili Operasyonel Bildirimler)
Dahili operasyonel bildirimler için Telegram Bot API (Telegram FZ-LLC, Dubai/BAE) kullanıyoruz. Olaya göre sınırlı kişisel veri Telegram'a iletilir: iletişim formu gönderimlerinde isim + e-posta + mesaj özeti; günlük audit-reminder özetinde MailerLite „Audit Interested“ abonelerinin isim + e-postası; Cal.com rezervasyonlarında isim + başlangıç saati; /cv sayfa görüntülemelerinde yalnızca ülke kodu + tarayıcı + zaman damgası (e-posta bilinçli olarak hariç tutulur — yukarıdaki Cloudflare Access bölümüne bakın); CV sohbet ajanının mutmaßlich kötüye kullanımı (örn. prompt-injection girişimleri) tespit edildiğinde, kimliği doğrulanmış alıcının e-postası + ülke kodu + tetikleyici girdinin kısa bir alıntısı (en fazla 100 karakter) ek olarak Telegram'a iletilir — bu nadir bir olaydır ve yalnızca kötüye kullanımı önlemeye hizmet eder. Telegram şu anda GDPR uyumlu bir veri işleme sözleşmesi (Madde 28 GDPR kapsamında DPA) sunmaz; zamanında operasyonel yanıt için bu kalıntı riski kabul ediyoruz. Hukuki dayanak: GDPR Madde 6(1)(f) (sorguların zamanında işlenmesi ve operasyonel izleme meşru menfaati). Veri minimizasyonu: yalnızca yanıt için gerekli alanlar iletilir. contact@bykainsights.com adresine e-posta göndererek istediğiniz zaman itiraz edebilirsiniz; bunun üzerine verilerinizi içeren Telegram bildirimlerini durdururuz. Ayrıntılar: Telegram Gizlilik Politikası
Cal.com (Randevu Planlama)
Discovery Call'lar ve danışmanlık görüşmeleri için Cal.com, Inc. (ABD) kullanıyoruz. Randevu aldığınızda adınız, e-posta adresiniz, seçilen saat ve kısa toplantı nedeni Cal.com tarafından işlenir ve imzalı webhook ile sunucumuza iletilir. Cal.com ayrıca IP adresinizi ve tarayıcı bilgilerinizi toplayabilir. Hukuki dayanak: GDPR Madde 6(1)(b) (sözleşme öncesi tedbirler). ABD'ye veri aktarımı Standart Sözleşme Maddeleri (SCC) temelindedir. Ayrıntılar: Cal.com Gizlilik Politikası
Digistore24 (Ödeme İşleme)
Dijital ürün satışı için Digistore24 (Digistore24 GmbH, Almanya) kullanıyoruz. Satın alma yaptığınızda ödeme ve sipariş bilgileriniz Digistore24 tarafından işlenir. Ayrıntılar: Digistore24 Gizlilik Politikası
TikTok for Developers (byka-analytics için OAuth Geri Araması)
/callback sayfası, dahili byka-analytics uygulamamız için OAuth arayüzü sayfası olarak hizmet eder. Bu uygulamada TikTok üzerinden oturum açtığınızda, TikTok bir yetkilendirme kodunu Pages fonksiyonumuza (/api/tiktok-callback) iletir; fonksiyon bu kodu bir erişim belirteciyle değiştirir ve genel profil + istatistik verilerinizi (kullanıcı adı, görünen ad, profil resmi, video listesi; izinler user.info.basic + user.info.stats + video.list) alır. Adınıza hiçbir gönderi yayımlanmaz. Bu işlemenin sorumlusu: AB kullanıcıları için TikTok Technology Limited (İrlanda, AB); diğer kullanıcılar için TikTok Inc. (ABD). Hukuki dayanak: GDPR Madde 6(1)(a) (OAuth onayı ile rıza). Ayrıntılar: TikTok Gizlilik Politikası
cron-job.org (Planlı Dahili Çağrılar)
Planlı dahili çağrılar (günlük lead hatırlatıcı, günlük GDPR temizleme, düzenli Zoho posta kutusu sorgusu) için cron-job.org (Sebastian Decker, Almanya) kullanıyoruz. cron-job.org yalnızca Pages Fonksiyonlarımıza karşı kimlik doğrulanmış HTTP GET istekleri tetikler; web sitesi ziyaretçilerinin kişisel verileri iletilmez. Ayrıntılar: cron-job.org Gizlilik
Google Search Console (Arama Motoru Optimizasyonu)
Bu web sitesi, Google Arama'daki görünürlüğü artırmak için Google Search Console'a kayıtlıdır. Google, anonimleştirilmiş arama verileri (sorgular, tıklamalar, gösterimler) toplar. Web sitesi ziyaretçilerinin kişisel verileri Google ile paylaşılmaz. Ayrıntılar: Google Gizlilik Politikası
Bing Webmaster Tools (Arama Motoru Optimizasyonu)
Bu web sitesi, Bing Arama'daki görünürlüğü artırmak için Microsoft Bing Webmaster Tools'a kayıtlıdır. Microsoft, anonimleştirilmiş arama verileri toplar. Web sitesi ziyaretçilerinin kişisel verileri Microsoft ile paylaşılmaz. Ayrıntılar: Microsoft Gizlilik Politikası
6. Analiz Araçları
Bu web sitesi Cloudflare Web Analytics kullanıyor — çerez kullanmaz ve kişisel verileri kalıcı olarak saklamaz. IP adresleri oturum sayımı için geçici olarak işlenir ve saklanmaz veya kişilerle ilişkilendirilmez. Daha fazla bilgi: Cloudflare Web Analytics
(Bu analiz betiği Cloudflare tarafından ağ kenarında otomatik olarak eklenir ve sayfa kaynak kodunda görünmez.)
7. Yerel Depolama
Bu web sitesi aşağıdaki amaçlarla localStorage kullanır:
- lang: Dil tercihi (teknik olarak gerekli)
- byka_toolkit_email: Toolkit kaydından sonra e-posta adresiniz
- byka_toolkit_verified / byka_toolkit_downloaded: Doğrulama ve indirme durumunuz
8. Haklarınız
- Bilgi edinme hakkı (GDPR Madde 15)
- Düzeltme hakkı (Madde 16)
- Silme hakkı (Madde 17)
- İşlemeyi kısıtlama hakkı (Madde 18)
- Veri taşınabilirliği hakkı (Madde 20)
- İtiraz hakkı (Madde 21)
- Onayı geri çekme hakkı (Madde 7(3)): contact@bykainsights.com adresine e-posta göndererek veya herhangi bir e-postadaki abonelikten çıkma bağlantısını kullanarak.
9. Şikayet Hakkı
Yetkili denetim makamına şikayette bulunma hakkınız vardır: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach. www.lda.bayern.de
10. Uluslararası Veri Transferi
Bazı işleyicilerimiz ABD merkezlidir (Cloudflare, Supabase, Resend, Anthropic, Cal.com, TikTok, ManyChat). Transferler AB-ABD Veri Gizliliği Çerçevesi (DPF) ve tamamlayıcı Standart Sözleşme Maddeleri (SCC) temelinde gerçekleştirilir.
GitHub (GitHub, Inc., ABD) yalnızca kaynak kodumuzu barındırır ve web sitesi ziyaretçilerinin kişisel verilerini işlemez; ziyaretçi verisi için özel bir DPF/SCC dayanağı gerekmez.
Telegram (Telegram FZ-LLC, Dubai/BAE) AB-ABD Veri Gizliliği Çerçevesi kapsamında DEĞİLDİR ve şu anda standart bir Madde 28 GDPR veri işleme sözleşmesi sunmaz. Transferler dahili operasyonel bildirimlerle sınırlıdır, belgelenmiş veri minimizasyonu uygulanır ve meşru menfaate (GDPR Madde 6(1)(f)) dayanır. Her zaman itiraz edebilirsiniz (contact@bykainsights.com).
Последняя существенная редакция: 2026-06-03 — Исправлен список обработчиков: удалены Calendly + Zoom (никогда не развёртывались в production — pre-launch заглушки); добавлены раскрытия Telegram, Cal.com, Baserow, TikTok OAuth, cron-job.org для отражения фактической production-архитектуры после M-6 (2026-05-20). Ссылка § 55 Abs. 2 RStV → § 18 Abs. 2 MStV (статут заменён 2020-11-07). Предыдущие версии доступны через Internet Archive.
1. Конфиденциальность в двух словах
Общая информация
Следующая информация даёт простой обзор того, что происходит с вашими персональными данными при посещении этого веб-сайта. Персональные данные - это любые данные, которые могут быть использованы для вашей личной идентификации.
Сбор данных на этом веб-сайте
Кто отвечает за сбор данных на этом веб-сайте?
Обработка данных на этом веб-сайте осуществляется оператором веб-сайта. Контактные данные можно найти в выходных данных этого веб-сайта.
Как мы собираем ваши данные?
Ваши данные собираются, когда вы предоставляете их нам (например, через контактную форму). Другие данные автоматически собираются нашими IT-системами при посещении веб-сайта. Это в основном технические данные (например, интернет-браузер, операционная система или время доступа к странице).
Для чего мы используем ваши данные?
Часть данных собирается для обеспечения безошибочной работы веб-сайта. Другие данные могут использоваться для анализа поведения пользователей.
Какие права у вас есть в отношении ваших данных?
Вы имеете право в любое время бесплатно получать информацию о происхождении, получателе и цели хранимых персональных данных. Вы также имеете право требовать исправления или удаления этих данных. По этим и другим вопросам защиты данных вы можете связаться с нами в любое время.
2. Хостинг
Этот веб-сайт размещён на Cloudflare, Inc. Cloudflare - американская компания, расположенная в Сан-Франциско, Калифорния. Подробности см. в политике конфиденциальности Cloudflare: https://www.cloudflare.com/privacypolicy/
3. Общая информация и обязательные раскрытия
Защита данных
Операторы этих страниц очень серьёзно относятся к защите ваших персональных данных. Мы обращаемся с вашими персональными данными конфиденциально и в соответствии с законодательными нормами защиты данных и этой политикой конфиденциальности.
Информация об ответственной стороне
Ответственной стороной за обработку данных на этом веб-сайте является:
Kerim Agdaci
Elsenheimerstr. 25C, 85283 Wolnzach
Email: contact@bykainsights.com
4. Сбор данных на этом веб-сайте
Контактная форма
При использовании контактной формы собираются следующие данные: имя, адрес электронной почты, ваше сообщение и время отправки. Эти данные используются исключительно для ответа на ваш запрос. Для отправки электронной почты данные передаются в Resend и Zoho Mail как обработчикам данных (см. Раздел 5).
Правовая основа: Ст. 6(1)(f) GDPR (законный интерес в обработке вашего запроса).
Срок хранения: Журналы отправки контактной формы хранятся максимум 90 дней. Соответствующее письмо в нашем почтовом ящике может храниться дольше для целей переписки и удаляется, когда в нём больше нет необходимости.
Загрузка Toolkit (регистрация по email)
При запросе бесплатного toolkit мы собираем ваш email и отметку времени согласия. Мы также фиксируем, какой контактный адрес (и соответственно какую платформу) вы использовали, для анализа эффективности нашего контента. Ссылка на загрузку отправляется вам сразу по email. Ваши данные хранятся в нашей базе данных (Supabase). Передача в платформу email-маркетинга (MailerLite) происходит только если вы отдельно подпишетесь по ссылке в ответном письме и подтвердите через Double-Opt-In. Несколько контактных адресов (напр. query@, auto-tt@, auto-yt@bykainsights.com) обрабатываются в единой системе защиты данных.
Правовая основа: Ст. 6(1)(b) GDPR (исполнение договора) для доставки toolkit; Ст. 6(1)(f) GDPR (законный интерес) для анализа канала коммуникации; Ст. 6(1)(a) GDPR с отдельным подтверждением (Double-Opt-In) для маркетинговых писем.
Срок хранения: До отзыва согласия или запроса на удаление.
Форма обратной связи
Форма обратной связи на странице toolkit собирает только ваш текстовый ответ. Персональные данные (email, имя) не собираются. Ответы хранятся анонимно.
Лист ожидания консультаций
При регистрации в листе ожидания мы собираем ваш email и область интересов. Эти данные используются только для связи с вами при появлении мест.
Срок хранения: До запуска услуги или максимум 12 месяцев.
5. Сторонние сервисы
Cloudflare (Хостинг & CDN)
Этот веб-сайт размещён на Cloudflare, Inc. и использует их сеть доставки контента (CDN). Подробности: Политика конфиденциальности Cloudflare
Видео и загружаемые файлы размещены в Cloudflare R2. При доступе к ним ваш IP-адрес обрабатывается Cloudflare.
Для ограничения скорости CV-чат-агента (защита от злоупотреблений) мы используем Cloudflare Workers KV (хранилище «ключ-значение»). За временное окно хранится целочисленный счётчик запросов; ключ KV — это усечённый SHA-256-хеш идентификатора отправителя (аутентифицированный email или IP) в сочетании с номером временного окна. Хеш не поддаётся тривиальному обращению; записи автоматически истекают в течение ~2 минут.
Cloudflare Access / Zero Trust (защищённая зона /cv)
Раздел /cv не является публичным; он доступен только лично приглашённым получателям. Доступ контролируется службой Cloudflare Access (Zero Trust) с одноразовым PIN-кодом, отправляемым на заранее разрешённый email. При входе Cloudflare обрабатывает email-адрес, IP-адрес и краткосрочный JSON Web Token. Правовое основание: ст. 6(1)(f) GDPR (законный интерес сохранения конфиденциальности персонально переданного резюме). Сессия длится 24 часа; вы можете в любой момент завершить её, очистив cookie браузера. Подробности: Cloudflare Zero Trust Privacy.
Каждый доступ к /cv также вызывает минимизированное внутреннее уведомление в Telegram оператору, которое содержит только: код страны (например, DE), строку user-agent, необязательный тег ?ref= из ссылки приглашения и временную метку. Email-адрес намеренно НЕ передаётся в Telegram (минимизация данных согласно ст. 5(1)(c) GDPR); он обрабатывается только Cloudflare Access (имеет DPA). IP-адрес, содержимое страницы и чата не журналируется. Уведомление служит контролю доступа согласно ст. 6(1)(f) GDPR. Срок хранения: пока чат Telegram не удалён, не более 90 дней.
Anthropic (Claude API — чат-агент CV)
На странице /cv встроен AI-чат-агент, отвечающий на вопросы о резюме. Ваши вводы передаются на стороне сервера в API Claude, эксплуатируемое Anthropic, PBC (США), и обрабатываются там для формирования ответа. Согласно текущей политике Anthropic, входные данные API не используются для обучения моделей. Правовое основание: ст. 6(1)(f) GDPR (законный интерес в предоставлении инструмента самообслуживания «вопрос-ответ»). На стороне сервера содержание чата не сохраняется; журналируются только подтверждённый email, счётчик реплик и тег ?ref= для предотвращения злоупотреблений. Передача данных в США осуществляется на основе стандартных договорных условий (SCC). Подробности: Anthropic Privacy Policy.
Resend (Отправка email)
Для отправки электронных писем из контактной формы мы используем Resend (Resend, Inc.). Ваши отправленные данные передаются в Resend для этой цели. Подробности: Политика конфиденциальности Resend
Resend использует в качестве субобработчика Amazon Simple Email Service (AWS SES, регион eu-west-1) для доставки писем. Отчёты о возвратах и жалобах принимаются через поддомен send.bykainsights.com.
GitHub (Репозиторий кода)
Исходный код этого веб-сайта размещён на GitHub (GitHub, Inc.). GitHub не собирает данные посетителей веб-сайта. Подробности: Заявление о конфиденциальности GitHub
Supabase (База данных)
Для хранения данных пользователей (регистрации email, история загрузок, записи о согласии) мы используем Supabase (Supabase, Inc., США). Данные размещены в регионе ЕС (eu-west-1). Подробности: Политика конфиденциальности Supabase
Baserow (Внутренняя аналитическая БД)
Для внутренних аналитических данных (производительность контента, обзоры использования) мы используем Baserow (Baserow B.V., Нидерланды, ЕС). Внутренние аналитические эндпоинты (/api/analytics-data, /api/vdata-*) читают из Baserow и предоставляют данные авторизованным панелям. Данные преимущественно агрегированы или анонимизированы; если присутствуют персональные поля, они используются исключительно для внутренней отчётности. Хостинг в ЕС. Правовое основание: ст. 6(1)(f) GDPR (законный интерес в анализе охвата). Подробности: Политика конфиденциальности Baserow
MailerLite (Email-маркетинг)
Для отправки рассылок мы используем MailerLite (UAB MailerLite, Литва, ЕС). Ваш email используется для маркетинга только после подтверждения (double opt-in). Каждое письмо содержит ссылку для отписки. Подробности: Политика конфиденциальности MailerLite
Для отслеживания кликов в кампаниях MailerLite поддомен click.bykainsights.com маршрутизируется через инфраструктуру кликов MailerLite, размещённую в Google Cloud Platform. При клике на ссылку MailerLite ваш IP-адрес временно обрабатывается Google Cloud (инфраструктура США, действующая от имени MailerLite).
ManyChat (Автоматизация социальных сетей)
Когда вы взаимодействуете с нашей автоматизацией в социальных сетях (например, комментируете ключевое слово в Instagram), ваше имя пользователя Instagram и сообщение обрабатываются ManyChat (ManyChat Inc., США) от нашего имени. Если вы предоставите адрес электронной почты через личное сообщение, он будет добавлен в наш список подписчиков MailerLite с подтверждением double opt-in. Правовая основа: Ст. 6(1)(a) GDPR (согласие). Политика конфиденциальности: https://manychat.com/privacy
Zoho Mail (Почтовый ящик)
Для деловой переписки по электронной почте мы используем Zoho Mail (Zoho Corporation). Когда вы отвечаете на наши письма, ваши данные обрабатываются Zoho. Подробности: Политика конфиденциальности Zoho
Telegram (Внутренние операционные уведомления)
Для внутренних операционных уведомлений мы используем Telegram Bot API (Telegram FZ-LLC, Дубай/ОАЭ). По мере событий в Telegram передаются ограниченные персональные данные: при отправке контактной формы — имя + email + фрагмент сообщения; при ежедневном audit-reminder digest — имя + email подписчиков MailerLite «Audit Interested»; при бронировании Cal.com — имя + время начала; при просмотрах страницы /cv — только код страны + браузер + временная метка (email намеренно исключён, см. раздел Cloudflare Access выше); при обнаружении предполагаемого злоупотребления CV-чат-агентом (например, попытки prompt-injection) дополнительно передаются: аутентифицированный email получателя + код страны + краткий фрагмент (макс. 100 символов) триггерного ввода — это редкое событие и служит исключительно предотвращению злоупотреблений. Telegram в настоящее время НЕ предлагает соответствующее GDPR соглашение об обработке данных (DPA по ст. 28 GDPR); мы принимаем этот остаточный риск ради своевременной операционной реакции. Правовое основание: ст. 6(1)(f) GDPR (законный интерес в своевременной обработке запросов и операционном мониторинге). Минимизация данных: передаются только поля, необходимые для ответа. Вы можете в любой момент возразить, отправив письмо на contact@bykainsights.com; после этого мы прекратим Telegram-уведомления, содержащие ваши данные. Подробности: Политика конфиденциальности Telegram
Cal.com (Запись на консультацию)
Для бронирования Discovery Call и консультационных звонков мы используем Cal.com, Inc. (США). При бронировании встречи ваше имя, адрес электронной почты, выбранное время и краткая причина встречи обрабатываются Cal.com и передаются на наш сервер через подписанный webhook. Cal.com также может собирать ваш IP-адрес и информацию о браузере. Правовая основа: ст. 6(1)(b) GDPR (преддоговорные меры). Передача данных в США на основе стандартных договорных условий (SCC). Подробности: Политика конфиденциальности Cal.com
Digistore24 (Обработка платежей)
Для продажи цифровых продуктов мы используем Digistore24 (Digistore24 GmbH, Германия). При покупке ваши платёжные данные обрабатываются Digistore24. Подробности: Политика конфиденциальности Digistore24
TikTok for Developers (OAuth-Callback для byka-analytics)
Страница /callback служит OAuth-странницей для нашего внутреннего приложения byka-analytics. Когда вы входите в это приложение через TikTok, TikTok передаёт код авторизации в нашу Pages-функцию (/api/tiktok-callback), которая обменивает его на access token и получает ваши общедоступные данные профиля и статистики (имя пользователя, отображаемое имя, фото профиля, список видео; разрешения user.info.basic + user.info.stats + video.list). Никакие публикации от вашего имени не размещаются. Контролёр этой обработки: TikTok Technology Limited (Ирландия, ЕС) для пользователей ЕС; TikTok Inc. (США) для остальных. Правовое основание: ст. 6(1)(a) GDPR (согласие через OAuth-подтверждение). Подробности: Политика конфиденциальности TikTok
cron-job.org (Запланированные внутренние вызовы)
Для запланированных внутренних вызовов (ежедневный lead-reminder, ежедневная GDPR-очистка, периодический опрос почтового ящика Zoho) мы используем cron-job.org (Sebastian Decker, Германия). cron-job.org инициирует только аутентифицированные HTTP GET-запросы к нашим Pages-функциям; персональные данные посетителей веб-сайта не передаются. Подробности: cron-job.org Privacy
Google Search Console (Поисковая оптимизация)
Этот веб-сайт зарегистрирован в Google Search Console для улучшения видимости в поиске Google. Google собирает анонимизированные данные поиска (запросы, клики, показы). Персональные данные посетителей веб-сайта не передаются Google. Подробности: Политика конфиденциальности Google
Bing Webmaster Tools (Поисковая оптимизация)
Этот веб-сайт зарегистрирован в Microsoft Bing Webmaster Tools для улучшения видимости в поиске Bing. Microsoft собирает анонимизированные данные поиска. Персональные данные посетителей веб-сайта не передаются Microsoft. Подробности: Заявление о конфиденциальности Microsoft
6. Инструменты аналитики
Этот веб-сайт использует Cloudflare Web Analytics — дружественный к конфиденциальности аналитический сервис, который не использует файлы cookie и не хранит персональные данные постоянно. IP-адреса обрабатываются временно для подсчёта сеансов и не сохраняются и не привязываются к пользователям. Дополнительная информация: Cloudflare Web Analytics
(Этот аналитический скрипт автоматически внедряется Cloudflare на сетевом уровне и не отображается в исходном коде страницы.)
7. Локальное хранилище
Этот веб-сайт использует localStorage для следующих целей:
- lang: Языковые предпочтения (технически необходимо)
- byka_toolkit_email: Ваш email после регистрации toolkit
- byka_toolkit_verified / byka_toolkit_downloaded: Статус верификации и загрузки
8. Ваши права
- Право на доступ (Ст. 15 GDPR)
- Право на исправление (Ст. 16)
- Право на удаление (Ст. 17)
- Право на ограничение обработки (Ст. 18)
- Право на переносимость данных (Ст. 20)
- Право на возражение (Ст. 21)
- Право на отзыв согласия (Ст. 7(3)): по email contact@bykainsights.com или по ссылке отписки в любом письме.
9. Право на жалобу
Вы имеете право обратиться в компетентный надзорный орган: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach. www.lda.bayern.de
10. Международная передача данных
Некоторые наши обработчики находятся в США (Cloudflare, Supabase, Resend, Anthropic, Cal.com, TikTok, ManyChat). Передача данных осуществляется на основании решения об адекватности EU-US Data Privacy Framework (DPF) и дополнительных стандартных договорных условий (SCC).
GitHub (GitHub, Inc., США) размещает только наш исходный код и не обрабатывает персональные данные посетителей веб-сайта; особое основание DPF/SCC для данных посетителей не требуется.
Telegram (Telegram FZ-LLC, Дубай/ОАЭ) НЕ покрывается EU-US Data Privacy Framework и в настоящее время не предлагает стандартное соглашение об обработке данных по ст. 28 GDPR. Передачи ограничены внутренними операционными уведомлениями с задокументированной минимизацией данных и основаны на законном интересе (ст. 6(1)(f) GDPR). Вы можете в любой момент возразить (contact@bykainsights.com).