Vereinbarung zur Auftragsverarbeitung (AVV)
Zwei Wege:
- Verein / privates Event: Digitale Akzeptanz bei der Rallye-Erstellung (nach Login).
- Schule / öffentliche Einrichtung: Zusätzlich ausfüllbarer AVV zum Ausdrucken/PDF für den Schulträger.
Stand: Juli 2026 · Version 2026-07. Dies ist die geltende Auftragsverarbeitungsvereinbarung für die digitale Annahme bei der Rallye-Erstellung. Für Schulen mit Unterschrift: ausfüllbarer AVV (PDF). Ersetzt keine anwaltliche Beratung.
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
für die Nutzung der Plattform GroupRally (browserbasierte Foto-Rallye)
Vertragsparteien
Auftraggeber (Verantwortlicher im Sinne der DSGVO):
[Name der Schule / des Vereins / der veranstaltenden Stelle]
[Straße, PLZ Ort]
Vertreten durch: [Name, Funktion]
E-Mail: [kontakt@schule.de]
(im Folgenden „Auftraggeber“)
Auftragsverarbeiter (Betreiber der Plattform GroupRally):
Daniel Grüßing
Königskinderweg 47h, 22457 Hamburg
E-Mail: dev.gruessing@gmail.com
(im Folgenden „Auftragsverarbeiter“)
— siehe auch Impressum
Auftraggeber und Auftragsverarbeiter werden nachfolgend gemeinsam „Parteien“ genannt.
Präambel
Der Auftraggeber nutzt die Plattform GroupRally, um Foto-Rallyes (z. B. bei Klassenfahrten, Ausflügen oder Schulveranstaltungen) durchzuführen. Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers. Die Parteien schließen diese Vereinbarung zur Auftragsverarbeitung, um die Anforderungen des Art. 28 DSGVO zu erfüllen.
§ 1 Gegenstand und Dauer
(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers bei der Bereitstellung und dem Betrieb der Plattform GroupRally.
(2) Die Einzelheiten der Verarbeitung (Art, Zweck, Kategorien betroffener Personen und Daten, Speicherdauer) ergeben sich aus Anlage 1.
(3) Diese Vereinbarung gilt ab dem Datum der Unterzeichnung und für die Dauer der Nutzung von GroupRally durch den Auftraggeber. Sie endet mit Löschung oder Rückgabe aller personenbezogenen Daten gemäß § 8, spätestens jedoch 30 Tage nach Beendigung der jeweiligen Rallye bzw. nach schriftlicher Kündigung dieser Vereinbarung.
§ 2 Weisungsrecht des Auftraggebers
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern nicht eine nach Unionsrecht oder dem Recht der Mitgliedstaaten für den Auftragsverarbeiter geltende Verpflichtung besteht (Art. 28 Abs. 3 lit. a DSGVO).
(2) Weisungen erfolgen durch: Nutzung der Plattform-Funktionen (Anlegen, Moderieren, Löschen von Rallyes), schriftliche E-Mail an den Auftragsverarbeiter oder gesonderte schriftliche Weisungen.
(3) Der Auftraggeber ist dafür verantwortlich, dass eine Rechtsgrundlage für die Verarbeitung (insbesondere bei Minderjährigen: Einwilligung der Erziehungsberechtigten oder andere zulässige Grundlage) besteht.
§ 3 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere:
- personenbezogene Daten nur im Rahmen dieser Vereinbarung und der Weisungen zu verarbeiten;
- die Vertraulichkeit zu wahren und nur befugtes Personal zuzulassen (§ 10);
- geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen (Anlage 3);
- den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) im Rahmen der technischen Möglichkeiten zu unterstützen (§ 6);
- Verletzungen des Schutzes personenbezogener Daten unverzüglich zu melden (§ 7);
- nach Abschluss der Verarbeitung Daten zu löschen oder zurückzugeben (§ 8);
- alle erforderlichen Informationen zum Nachweis der Einhaltung von Art. 28 DSGVO bereitzustellen und Audits zu ermöglichen (§ 9).
§ 4 Unterauftragsverarbeiter
(1) Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter einzusetzen (Art. 28 Abs. 2 DSGVO).
(2) Zum Zeitpunkt des Vertragsschlusses eingesetzte Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.
(3) Der Auftragsverarbeiter informiert den Auftraggeber über beabsichtigte Änderungen (Hinzufügen oder Ersetzen von Unterauftragsverarbeitern) mit angemessener Vorlaufzeit per E-Mail oder Veröffentlichung unter https://grouprally.de/datenschutz.html. Der Auftraggeber kann innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen.
(4) Mit Unterauftragsverarbeitern werden Verträge geschlossen, die mindestens die in Art. 28 Abs. 3 DSGVO genannten Pflichten verbindlich regeln.
§ 5 Unterstützung bei Datenschutz-Folgenabschätzung
Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO), soweit dies bei Verarbeitung von Fotos Minderjähriger in der Cloud erforderlich ist, und zwar im Rahmen der technischen Möglichkeiten und gegen angemessene Vergütung, sofern der Aufwand den üblichen Plattformbetrieb übersteigt.
§ 6 Betroffenenrechte
(1) Anfragen betroffener Personen (Spielerinnen und Spieler, Erziehungsberechtigte) zu Rallye-Daten sind primär an den Auftraggeber (Veranstalter) zu richten.
(2) Der Auftragsverarbeiter leitet eingegangene Anfragen, die ihn betreffen, unverzüglich an den Auftraggeber weiter und unterstützt bei Auskunft, Berichtigung, Löschung und Einschränkung im Rahmen der Plattform-Funktionen (z. B. Löschen von Teams, Einsendungen oder der gesamten Rallye) oder auf Weisung.
§ 7 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, nachdem ihm eine Verletzung bekannt geworden ist, und stellt die für die Meldung an Aufsichtsbehörden und Betroffene erforderlichen Informationen bereit (Art. 33, 34 DSGVO).
§ 8 Löschung und Rückgabe von Daten
(1) Nach Beendigung der Verarbeitung oder auf Weisung des Auftraggebers löscht der Auftragsverarbeiter alle personenbezogenen Daten, die im Auftrag verarbeitet wurden, oder gibt sie dem Auftraggeber zurück — sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
(2) Speicherbegrenzung: Rallye-Daten und Medien werden automatisch spätestens 30 Tage nach Anlage der Rallye gelöscht. Der Auftraggeber kann Rallyes jederzeit früher vollständig löschen (unter „Meine Rallyes“). Ein bloßes Zurücksetzen des Status in der Admin-Oberfläche ersetzt keine Löschung.
(3) Gesetzlich vorgeschriebene Aufbewahrungsfristen für Vertrags- und Abrechnungsdaten des Auftragsverarbeiters (z. B. Veranstalter-Konto) bleiben unberührt.
§ 9 Kontrollrechte
(1) Der Auftraggeber ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen. Inspektionen vor Ort beim Auftragsverarbeiter erfolgen nach angemessener Vorankündigung und in zumutbarem Umfang; der Auftragsverarbeiter kann Nachweise durch aktuelle Zertifizierungen oder Auditberichte (z. B. Google Cloud Compliance) ersetzen.
(2) Kosten von Inspektionen trägt der Auftraggeber, sofern keine wesentlichen Verstöße festgestellt werden.
§ 10 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
§ 11 Haftung und Schlussbestimmungen
(1) Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO.
(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für die Änderung dieses Schriftformerfordernisses.
(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit zulässig, Hamburg.
Unterschriften
Auftraggeber
Ort, Datum: _______________________
Unterschrift: _______________________
Name: _______________________
Auftragsverarbeiter (GroupRally)
Ort, Datum: _______________________
Unterschrift: _______________________
Name: _______________________
Anlage 1 — Beschreibung der Verarbeitung
| Gegenstand | Betrieb der Plattform GroupRally: Hosting, Speicherung, Authentifizierung, Moderation von Foto-Rallyes |
|---|---|
| Dauer | Dauer der jeweiligen Rallye; Löschung gemäß § 8 (automatisch spätestens 30 Tage nach Anlage der Rallye) |
| Art der Verarbeitung | Erheben, Speichern, Organisieren, Abfragen, Übermittlung innerhalb der Plattform, Löschung |
| Zweck | Durchführung von Foto-Rallyes auf Weisung des Auftraggebers (Unterricht, Klassenfahrt, Event) |
| Kategorien betroffener Personen | Spielerinnen und Spieler (ggf. Minderjährige), begleitende Veranstalter; keine E-Mail der Spieler |
| Kategorien personenbezogener Daten |
Teamname; hochgeladene Fotos/Videos und Team-Avatar; technische Metadaten (Zeitstempel, Dateityp);
Rallye-Code; pseudonyme technische Session-IDs (teamSecret, Firebase Custom Tokens);
vom Auftraggeber erstellte Aufgabentexte
|
| Besondere Kategorien (Art. 9) | Ggf. erkennbare Personen auf Fotos/Videos — Verarbeitung nur auf Weisung und mit Rechtsgrundlage des Auftraggebers |
| Veranstalter-Konto (eigenständig) | E-Mail-Adresse und Firebase-UID des Auftraggebers für Login — Verantwortlichkeit des Auftragsverarbeiters als eigenständiger Verantwortlicher für Vertragskonto |
| Ort der Verarbeitung | Google Cloud / Firebase (EU): Functions europe-west1; Firestore eur3; Storage europe-west3 (Frankfurt) |
Anlage 2 — Unterauftragsverarbeiter
Stand: Juli 2026. Änderungen gemäß § 4 Abs. 3.
| Unterauftragsverarbeiter | Sitz | Leistung | Drittland / Transfer |
|---|---|---|---|
| Google LLC / Google Cloud (Firebase) | USA / EU-Rechenzentren | Hosting, Firestore, Cloud Storage, Authentication, Cloud Functions | USA; EU-US Data Privacy Framework (DPF), Standardvertragsklauseln (SCC) im Google Cloud DPA; Subprocessor-Liste: business.safety.google/subprocessors |
| jsDelivr (Prospect One Ltd.) | EU / CDN global | Auslieferung von JavaScript-Bibliotheken (QR-Code, optional Animationen) | IP-Adresse beim Abruf; ggf. Drittland — Auftragsverarbeiter prüft Self-Hosting-Alternative auf Anfrage |
Der Auftragsverarbeiter hat mit Google den Google Cloud Datenschutzzusatz (DPA) abgeschlossen.
Anlage 3 — Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter setzt unter anderem folgende Maßnahmen um (Auszug):
- Zugriffskontrolle: Firestore- und Storage-Sicherheitsregeln nach Rolle (Spieler-Team, Admin, Beamer); Token-basierte Sessions
- Geheimnisschutz: Admin-/Beamer-Token als SHA-256-Hashes; Team-Geheimnisse in geschützten Subdokumenten
- Transport: Verschlüsselung via HTTPS/TLS
- Speicherung: Medien nur für berechtigte Sessions lesbar (kein öffentlicher Storage-Zugriff)
- Datenminimierung: Spieler ohne E-Mail-Konto; keine Tracking-Cookies
- Verfügbarkeit: Betrieb über Google Cloud-Infrastruktur mit branchenüblichen Redundanzen
- Vertraulichkeit: Zugang zu Produktionsdaten nur für autorisierte Administratoren des Auftragsverarbeiters
- Löschung: Vollständiges Löschen von Rallyes durch Veranstalter; automatische Löschung nach spätestens 30 Tagen; Kontolöschung (Art. 17 DSGVO)
Ausführliche Informationen: Datenschutzerklärung. Google TOMs: Dokumentation im Google Cloud DPA und Firebase Security.