Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO)

Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Verpflichtungen zwischen dem Gewinnspielveranstalter und der CASE.DE GmbH für die Verarbeitung personenbezogener Daten von Gewinnspielteilnehmern über die Plattform Randomify. Er ist Bestandteil der Allgemeinen Geschäftsbedingungen und ergänzt unsere Datenschutzerklärung.

1. Vertragsparteien

Verantwortlicher(im Sinne von Art. 4 Nr. 7 DSGVO) ist der Nutzer von Randomify, der ein Gewinnspiel durchführt (nachfolgend „Veranstalter“). Der Veranstalter bestimmt Zwecke und Mittel der Verarbeitung der Teilnehmerdaten.

Auftragsverarbeiter (im Sinne von Art. 4 Nr. 8 DSGVO) ist:

CASE.DE GmbH
Wittestr. 60
53225 Bonn
Deutschland
E-Mail: info@randomify.de

Soweit die CASE.DE GmbH personenbezogene Daten der registrierten Nutzer selbst verarbeitet (Registrierung, Authentifizierung, Abrechnung, Sicherheit), ist sie insoweit eigenständig Verantwortliche; dieser Teil unterfällt nicht diesem AVV, sondern unmittelbar der Datenschutzerklärung.

2. Gegenstand und Dauer des Auftrags

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten von Gewinnspielteilnehmern im Rahmen der Bereitstellung der Randomify-Plattform. Die Dauer des Auftrags entspricht der Laufzeit des Nutzungsverhältnisses. Der Vertrag endet mit Beendigung des Nutzungsverhältnisses, ohne dass es einer gesonderten Kündigung dieses AVV bedarf.

3. Art und Zweck der Verarbeitung

Die Verarbeitung dient der Erfassung von Kommentaren unter den Beiträgen des Veranstalters über die offizielle Instagram Graph API, der Ermittlung teilnahmeberechtigter Personen sowie der Durchführung einer nachvollziehbaren, fairen Gewinnziehung. Im Einzelnen umfasst die Verarbeitung das Erheben, Speichern, Auslesen, Verwenden, Anonymisieren und Löschen der nachfolgend genannten Daten.

4. Art der personenbezogenen Daten

  • Instagram-Benutzername der Teilnehmer
  • Plattform-User-ID
  • Kommentartext und externe Kommentar-ID
  • Zeitstempel des Kommentars
  • Im Falle eines Gewinns: Gewinnerdaten innerhalb des öffentlich überprüfbaren Ziehungsnachweises

5. Kategorien betroffener Personen

Betroffen sind Personen, die unter einem in das Gewinnspiel einbezogenen Beitrag des Veranstalters auf Instagram kommentiert haben (Gewinnspielteilnehmer).

6. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)

Die CASE.DE GmbH verpflichtet sich:

  • Weisungsbindung: personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Veranstalters zu verarbeiten. Die Konfiguration des Gewinnspiels sowie die Nutzung der Plattformfunktionen gelten als Weisung. Eine Verarbeitung zu eigenen Zwecken der CASE.DE GmbH findet ausschließlich auf anonymisierter bzw. aggregierter Datenbasis statt (siehe Abschnitt 7).
  • Vertraulichkeit: sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO).
  • Technische und organisatorische Maßnahmen: die erforderlichen Maßnahmen gemäß Art. 32 DSGVO zu treffen (Verschlüsselung der Übertragung via TLS, Feldverschlüsselung sensibler Daten mit AES-256-GCM, Zugriffsbeschränkung auf den Anwendungsserver, gehashte Passwörter, signierte und zeitlich begrenzte Sitzungen).
  • Unterstützung bei Betroffenenrechten: den Veranstalter mit geeigneten technischen Mitteln dabei zu unterstützen, Anträge betroffener Personen auf Auskunft, Berichtigung, Löschung und Einschränkung zu erfüllen (Art. 28 Abs. 3 lit. e DSGVO). Randomify stellt hierfür Werkzeuge zur Löschung von Teilnehmerdaten bereit; die Entscheidung über einen Antrag und dessen Erfüllung obliegt dem Veranstalter als Verantwortlichem.
  • Unterstützung bei Pflichten des Verantwortlichen: den Veranstalter bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO zu unterstützen (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung), soweit dies angemessen und erforderlich ist.
  • Meldung von Datenschutzverletzungen: den Veranstalter unverzüglich zu informieren, sobald der CASE.DE GmbH eine Verletzung des Schutzes der von diesem AVV erfassten personenbezogenen Daten bekannt wird.
  • Löschung und Rückgabe: die personenbezogenen Daten nach Abschluss der Verarbeitung nach Wahl des Veranstalters zu löschen oder zurückzugeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Unabhängig davon anonymisiert Randomify Teilnehmerdaten nach Ablauf der in der Datenschutzerklärung genannten Speicherfrist automatisch.
  • Nachweise: dem Veranstalter die zum Nachweis der Einhaltung dieser Pflichten erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO).

7. Eigene Verarbeitung nur auf anonymisierter Basis

Eine Nutzung der Teilnehmerdaten durch die CASE.DE GmbH zu eigenen Zwecken (z. B. plattformweite Statistiken und Betriebskennzahlen) erfolgt ausschließlich auf anonymisierter bzw. aggregierter Datenbasis ohne Personenbezug. Eine Profilbildung über mehrere Veranstalter hinweg findet nicht statt. Hierdurch wird eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) ausgeschlossen.

8. Unterauftragsverarbeiter

Der Veranstalter stimmt der Einschaltung der nachfolgenden Unterauftragsverarbeiter zu. Die CASE.DE GmbH stellt durch vertragliche Vereinbarungen sicher, dass diese den Anforderungen der DSGVO entsprechen (Art. 28 Abs. 4 DSGVO):

  • Meta Platforms Ireland Ltd. — Bereitstellung der Instagram Graph API zur Erfassung von Beiträgen und Kommentaren (Drittland-Übermittlung, siehe Abschnitt 9).
  • Hosting-Anbieter — Betrieb der Server- und Datenbankinfrastruktur innerhalb der EU.
  • Stripe Payments Europe, Ltd. — Abwicklung der Zahlungen und Verwaltung kostenpflichtiger Abonnements (PRO-Tarif) des Veranstalters. Verarbeitet werden hierbei ausschließlich Abrechnungs- und Zahlungsdaten des Veranstalters selbst, nicht jedoch personenbezogene Daten der Gewinnspielteilnehmer (mögliche Drittland-Übermittlung, siehe Abschnitt 9).

Über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern informiert die CASE.DE GmbH den Veranstalter und räumt ihm die Möglichkeit zum Widerspruch ein.

9. Datenübermittlung in Drittländer

Durch die Nutzung der Instagram Graph API werden Daten an Meta-Server übermittelt, die sich teilweise in den USA befinden. Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Framework bzw. auf Basis von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Einzelheiten ergeben sich aus der Datenschutzerklärung.

10. Pflichten des Veranstalters

Der Veranstalter ist für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich. Er verpflichtet sich insbesondere, die Teilnehmer seiner Gewinnspiele in seinen eigenen Teilnahmebedingungen über die Datenverarbeitung durch Randomify zu informieren und eine gültige Rechtsgrundlage für die Verarbeitung sicherzustellen.

11. Zustandekommen des Vertrags

Dieser AVV kommt mit der Nutzung der Gewinnspielfunktionen von Randomify durch den Veranstalter zustande und gilt für die gesamte Dauer des Nutzungsverhältnisses. Änderungen bedürfen der Textform. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar.

Stand: Mai 2026