Datenschutzerklärung
Stand: Juli 2026.
1. Verantwortlicher & Rollen
Betreiber der Plattform: Daniel Grüßing, Königskinderweg 47h, 22457 Hamburg — dev.gruessing@gmail.com (siehe auch Impressum).
Bei Nutzung in Schulen, Klassenfahrten oder Vereinsausflügen ist in der Regel die veranstaltende Stelle (z. B. Schule, Lehrkraft, Elterngruppe) für die Daten der Spielerinnen und Spieler Verantwortliche im Sinne der DSGVO. Der Plattform-Betreiber ist bei Spielerdaten in der Regel Auftragsverarbeiter (Art. 28 DSGVO) und setzt Google Cloud als Unterauftragsverarbeiter ein. Sie schließen den AVV mit dem Plattform-Betreiber — keinen eigenen Vertrag mit Google (siehe Abschnitt 6, AVV).
2. Was ist GroupRally?
GroupRally ist eine browserbasierte Web-Anwendung für Foto-Rallyes. Spielerinnen und Spieler geben nur einen Teamnamen ein — kein Passwort, keine E-Mail. Veranstalterinnen und Veranstalter melden sich per E-Mail-Magic-Link an, um Rallyes anzulegen und zu moderieren.
3. Welche Daten werden verarbeitet?
Spieler (ohne eigenes Konto):
- Frei gewählter Teamname
- Hochgeladene Fotos und Videos zu Aufgaben sowie Gruppen-Selfie (Team-Avatar)
- Technische Metadaten (Zeitpunkt der Einsendung, Dateityp/-größe)
- Rallye-Code in der URL
- Lokale Speicherung im Browser (Team-Zuordnung), damit das Team nach Reload wiedererkannt wird
- Kurzlebige technische Sitzung nach Team-Beitritt — pseudonyme ID, kein Name/E-Mail
Veranstalter (mit Konto):
- E-Mail-Adresse (passwortloser Magic-Link-Login)
- Technische Benutzer-ID des Kontos
- Rallye-Metadaten (Name, Code, von Ihnen erstellte Aufgaben)
- Admin-/Beamer-Zugangslinks: geschützt gespeichert; zur Wiederherstellung in Ihrem Veranstalter-Konto („Meine Rallyes“) sowie optional lokal im Browser
- Kurzlebige technische Sitzung bei Nutzung von Admin- oder Beamer-Bereich
Plattform-Support (nur autorisierte Personen):
- Rallye-Metadaten (Name, Code, Status, Team-/Upload-Zahlen, Organisator-E-Mail aus Firebase Auth)
- Kein Zugriff auf Medieninhalte oder Admin-Tokens über das Support-Dashboard
4. Rechtsgrundlagen (Art. 6 DSGVO)
- Veranstalter-Konto: Art. 6 Abs. 1 lit. b (Nutzungsvertrag / Durchführung der Plattform)
- Spielerdaten bei Schul-/Klassenfahrten: in der Regel Art. 6 Abs. 1 lit. a (Einwilligung der Erziehungsberechtigten, Art. 8 DSGVO) oder hoheitliche Aufgaben der Schule — Verantwortung liegt bei der veranstaltenden Stelle
- Technisch notwendige Sessions & Speicherung: Art. 6 Abs. 1 lit. f (berechtigtes Interesse am sicheren Betrieb) bzw. lit. b (Durchführung der Rallye)
Für Fotos von Minderjährigen gelten erhöhte Anforderungen: informierte, freiwillige und widerrufliche Einwilligung (Art. 7, Art. 8 DSGVO), keine pauschale Freigabe, keine Veröffentlichung in sozialen Medien ohne gesonderte Einwilligung. Viele Schulämter empfehlen Löschung spätestens nach Ende des Schuljahres bzw. unmittelbar nach der Veranstaltung.
5. Speicherdauer & Löschung
Rallye-Daten (Teams, Einsendungen, Medien) werden für die Dauer der Veranstaltung gespeichert und
automatisch spätestens 30 Tage nach Anlage der Rallye gelöscht (tägliche
serverseitige Löschaufgabe). Veranstalter können ihre Rallyes zusätzlich jederzeit selbst
vollständig löschen (unter „Meine Rallyes“ – /organizer); der
Plattform-Support kann Rallyes sperren oder auf Anfrage löschen. Beim Löschen werden Firestore-Daten,
Medien im Cloud Storage sowie interne Zugangs-Verweise entfernt.
Zugangs-Wiederherstellung: Bei Anmeldung mit derselben E-Mail sind die
Admin-/Beamer-Links jederzeit unter „Meine Rallyes“ (/organizer) erneut abrufbar. Der
Verlust eines Links bedeutet also keinen Datenverlust, solange der E-Mail-Zugang besteht.
Kontolöschung (Art. 17 DSGVO): Veranstalter können ihr Konto samt aller eigenen Rallyes selbst unter „Meine Rallyes“ löschen. Der Nachweis der AVV-Annahme wird dabei anonymisiert (ohne E-Mail) aus Gründen der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) aufbewahrt.
Öffentlich sichtbare Metadaten: Zur Auflösung eines Rallye-Codes sind Rallye-Metadaten (Name, Kurzcode, Status) technisch öffentlich lesbar. Nicht öffentlich sind Medien (Fotos/Videos), Team-Geheimnisse und Zugangs-Token.
6. Hosting, Auftragsverarbeitung & Drittland
6.1 Wer ist wofür verantwortlich?
Bei Nutzung durch Schulen oder andere Veranstalter gilt in der Regel:
- Veranstaltende Stelle (z. B. Schule, Lehrkraft, Elterngruppe): Verantwortliche für die Daten der Spielerinnen und Spieler (Teamnamen, Fotos, Videos)
- Plattform-Betreiber (siehe Impressum): Auftragsverarbeiter im Sinne von Art. 28 DSGVO — die Verarbeitung erfolgt nur auf Weisung des Veranstalters
- Google LLC / Google Cloud: Unterauftragsverarbeiter des Plattform-Betreibers für Hosting, Datenbank, Speicher, Authentifizierung und Serverfunktionen
Wichtig: Der zwischen Google und seinen Kunden geschlossene Google-Cloud-Datenschutzzusatz (DPA) gilt nicht automatisch für Schulen oder andere Veranstalter, die GroupRally nutzen. Schulen schließen keinen eigenen AVV mit Google nur deshalb ab, weil sie unsere Plattform verwenden. Stattdessen brauchen sie — sofern personenbezogene Spielerdaten verarbeitet werden — einen AVV mit dem Plattform-Betreiber. Dieser AVV muss die Beauftragung von Google als Unterauftragsverarbeiter regeln (Anlage zu Unterauftragsverarbeitern, Art. 28 Abs. 2 DSGVO). Für Schulen: ausfüllbarer AVV zum Ausdrucken; für alle Veranstalter: digitale Akzeptanz bei der Rallye-Erstellung.
6.2 Google als Unterauftragsverarbeiter
Der Plattform-Betreiber hat mit Google den Google-Cloud-Datenschutzzusatz (DPA) geschlossen. Google ist damit Unterauftragsverarbeiter des Plattform-Betreibers. Sie müssen keinen eigenen AVV oder DPA mit Google abschließen, nur weil Sie GroupRally nutzen. Ihr Vertragspartner für die Auftragsverarbeitung ist der Plattform-Betreiber (siehe Impressum und AVV). Weitere Informationen: Firebase Datenschutz & Sicherheit.
6.3 Was Schulen und Veranstalter tun müssen
- Nutzung mit Schulträger und ggf. Datenschutzbeauftragten abstimmen (Schul-IT-Navigator, Verzeichnis von Verarbeitungstätigkeiten)
- AVV mit dem Plattform-Betreiber abschließen, bevor Spielerdaten (insbesondere von Minderjährigen) verarbeitet werden — digital bei Rallye-Erstellung oder schriftlich für Schulen (PDF)
- Im AVV prüfen: Zweck, Datenarten, Löschfristen, Unterauftragsverarbeiter (Google), Drittlandtransfer, TOMs
- Bei öffentlichen Schulen: oft ist der Schulträger für Vertragsabschlüsse zuständig, nicht die einzelne Lehrkraft
- Bei privaten Veranstaltern (Verein, Elterngruppe): der Veranstalter bzw. sein Träger ist Verantwortlicher und schließt den AVV
6.4 Technische Dienste & Drittlandtransfer
Die Anwendung wird über Google Firebase / Google Cloud betrieben (Hosting, Datenbank, Medienspeicher, Authentifizierung, Serverfunktionen). Speicherorte in der EU: Firestore eur3 (EU multi-region), Storage europe-west3 (Frankfurt), Cloud Functions europe-west1.
Firebase-Client-Bibliotheken werden von gstatic.com (Google, USA) geladen; dabei können technische Verbindungsdaten (z. B. IP-Adresse) an Google übermittelt werden. Bei Datenübermittlung in die USA kann das EU-US Data Privacy Framework (DPF) und ergänzend Standardvertragsklauseln (SCC) im Google-DPA relevant sein. Die aktuelle Liste der Google-Unterauftragsverarbeiter: Google Subprocessors.
7. Empfänger & weitere Dienste
- Google Firebase / Google Cloud — Hosting, Datenbank, Speicher, Auth (siehe oben)
- jsDelivr CDN — Auslieferung von QR-Code-Bibliothek und optional Confetti-Animation (Beamer); dabei kann die IP-Adresse an jsDelivr übermittelt werden
Es werden keine Tracking-Cookies oder Analyse-Tools (z. B. Google Analytics) eingesetzt.
8. Cookies & lokale Speicherung
Es werden keine Marketing-Cookies gesetzt. Technisch notwendig sind:
- Firebase-Authentication-Sitzungen (Veranstalter, Admin-, Beamer- und Spieler-Sessions)
localStoragefür Team-Zugehörigkeit, Team-Geheimnis, gespeicherte Rallye-Links und E-Mail während des Magic-Link-Logins
9. Zugriffsschutz & technische Maßnahmen
- Medien in Cloud Storage sind über token-basierte Download-URLs zugänglich; diese URLs sind lang und nicht erratbar, aber nicht authentifizierungsgeschützt — wer die URL kennt, kann die Datei abrufen. Die URLs selbst sind über Firestore-Sicherheitsregeln nur für berechtigte Sessions (eigenes Team, Admin, Beamer) einsehbar.
- Admin-/Beamer-Token werden als SHA-256-Hashes in einem geschützten Bereich gespeichert (nicht öffentlich lesbar)
- Team-Geheimnisse liegen in einem separaten, nicht öffentlichen Bereich
- Firestore-Sicherheitsregeln beschränken Lese- und Schreibzugriffe nach Rolle
10. Ihre Rechte
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch (Art. 15–21 DSGVO). Beschwerden können bei einer Datenschutz-Aufsichtsbehörde eingereicht werden.
Spielerinnen und Spieler wenden sich bei Fragen zu ihren Rallye-Daten an die Veranstalterin bzw. den Veranstalter der jeweiligen Rallye (z. B. Lehrkraft). Zusätzlich können Sie den im Impressum genannten Plattform-Ansprechpartner für technische Löschung oder Auskunft kontaktieren.
11. Hinweise für Veranstalter (Schulen & Events)
- Einwilligung der Erziehungsberechtigten oder andere Rechtsgrundlage sicherstellen
- AVV mit dem Plattform-Betreiber — digital oder für Schulen schriftlich (PDF); Google nur als Unterauftragsverarbeiter
- Admin- und Beamer-Links vertraulich behandeln; geteilte Geräte nach Nutzung leeren
- Rallye nach dem Event unter „Meine Rallyes“ (
/organizer) vollständig löschen (oder die automatische Löschung nach spätestens 30 Tagen abwarten) - Keine Weitergabe von Kinderfotos in soziale Medien ohne gesonderte Einwilligung