Vereinbarung zur Auftragsverarbeitung (AVV)
Stand: Juli 2026 · Version 2026-07 · GroupRally · Art. 28 DSGVO
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) für die Nutzung von GroupRally
Vertragsparteien
Auftraggeber (Verantwortlicher — z. B. Schule, Schulträger):
Vertreten durch:
E-Mail:
Auftragsverarbeiter (Betreiber GroupRally):
E-Mail:
§ 1 Gegenstand und Dauer
Auftragsverarbeitung bei Foto-Rallyes. Einzelheiten: Anlage 1. Löschung spätestens Tage nach Veranstaltungsende.
§ 2 Weisungsrecht
Verarbeitung nur auf Weisung des Auftraggebers (Nutzung der Plattform, Löschen von Rallyes unter „Meine Rallyes“). Der Auftraggeber stellt die Rechtsgrundlage für Spielerdaten sicher (insb. Einwilligung Erziehungsberechtigter, Art. 8 DSGVO).
§ 3 Pflichten des Auftragsverarbeiters
Vertraulichkeit, TOMs (Anlage 3), Unterstützung bei Betroffenenrechten, Meldung von Datenschutzverletzungen, Löschung nach § 8.
§ 4 Unterauftragsverarbeiter
Allgemeine Genehmigung für Unterauftragsverarbeiter gem. Anlage 2 (Google Cloud/Firebase, jsDelivr). Änderungen werden mit Tagen Vorlauf angekündigt; Widerspruch aus wichtigem datenschutzrechtlichem Grund möglich.
§ 5–§ 10
DSFA-Unterstützung (Art. 35) bei Kinderfotos in der Cloud; Betroffenenrechte primär über Auftraggeber; Meldung von Verletzungen; Löschung/Rückgabe; Kontrollrechte; Vertraulichkeit — wie in der vollständigen AVV-Fassung geregelt.
Unterschriften
Auftraggeber
Ort, Datum:
Unterschrift: _______________________
Name:
Auftragsverarbeiter
Ort, Datum:
Unterschrift: _______________________
Name:
Anlage 1 — Verarbeitung
| Zweck | Foto-Rallyes (Klassenfahrt, Ausflug, Schulveranstaltung) |
|---|---|
| Betroffene | Spielerinnen und Spieler (ggf. Minderjährige), keine Spieler-E-Mail |
| Daten | Teamname, Fotos/Videos, Avatar, Metadaten, Rallye-Code, technische Sessions |
| Besondere Kategorien | Erkennbare Personen auf Fotos — nur mit Rechtsgrundlage des Auftraggebers |
| Ort der Verarbeitung |
Google Cloud / Firebase (EU): Functions europe-west1;
Firestore eur3; Storage europe-west3 (Frankfurt)
|
Anlage 2 — Unterauftragsverarbeiter
| Unternehmen | Leistung | Drittland |
|---|---|---|
| Google LLC / Google Cloud (Firebase) | Hosting, Firestore, Storage, Auth, Functions | USA; EU-US DPF, SCC (Google Cloud DPA) |
| jsDelivr | JavaScript-CDN (QR, Animationen) | IP beim Abruf; ggf. Drittland |
Anlage 3 — TOMs (Auszug)
- Firestore/Storage-Regeln nach Rolle; Token-Hashes; Team-Geheimnisse geschützt
- HTTPS; keine Tracking-Cookies; Medien-URLs nur über geschützte Firestore-Pfade
- Löschfunktionen für Veranstalter; Details: Datenschutzerklärung