Datenschutzerklärung

1. Verantwortlicher

CASE.DE GmbH
Wittestr. 60
53225 Bonn
Deutschland
E-Mail: info@randomify.de

2. Überblick der Verarbeitung

Randomify ist eine Plattform zur fairen und transparenten Durchführung von Gewinnspielen auf sozialen Medien (derzeit Instagram). Wir nutzen ausschließlich offizielle Plattform-APIs und verzichten auf Scraping. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb unserer Anwendung.

3. Rechtsgrundlagen

Die Verarbeitung Ihrer Daten erfolgt auf Grundlage von:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — insbesondere bei der Verknüpfung Ihres Instagram-/Facebook-Kontos.
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Bereitstellung unserer Dienste (Gewinnspiel-Erstellung, Kommentar-Erfassung, Ziehung).
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — Sicherheit, Betrugsprävention und Verbesserung unserer Dienste.

4. Welche Daten wir erheben

4.1 Registrierung & Anmeldung

Bei der Registrierung erheben wir:

  • Name
  • E-Mail-Adresse
  • Passwort (gehasht gespeichert, nicht im Klartext)

Bei jeder Sitzung speichern wir zusätzlich IP-Adresse und User-Agent zur Absicherung gegen unbefugten Zugriff (Art. 6 Abs. 1 lit. f DSGVO). Sitzungen laufen automatisch ab.

4.2 Instagram- / Facebook-Verbindung (OAuth)

Wenn Sie Ihr Instagram-Konto verknüpfen, werden Sie über den offiziellen OAuth-Flow von Meta Platforms Ireland Ltd. (Meta) weitergeleitet. Dabei erhalten wir:

  • Facebook-User-ID
  • Instagram-Account-ID und Benutzername
  • Langfristiges Zugriffstoken (verschlüsselt mit AES-256-GCM gespeichert)
  • Gewährte Berechtigungsscopes

Zweck: Abruf Ihrer Instagram-Beiträge und deren Kommentare über die offizielle Instagram Graph API, um Gewinnspielteilnehmer zu erfassen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Verbindung jederzeit in den Einstellungen trennen.

Datenübermittlung an Meta: Bei jedem Abruf von Beiträgen und Kommentaren sowie beim Versand von Antworten und Direktnachrichten wird Ihre IP-Adresse an Meta-Server (ggf. in den USA) übermittelt. Meta verarbeitet diese Daten gemäß der Meta-Datenschutzrichtlinie. Die Übermittlung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework bzw. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

4.3 Gewinnspiel-Daten

Für jedes Gewinnspiel speichern wir:

  • Titel, Beschreibung und Konfiguration des Gewinnspiels
  • Plattform, Beitrags-URL und Beitrags-ID
  • Status und Endzeitpunkt

4.4 Gewinnspiel-Teilnehmer (Kommentare)

Über die Instagram Graph API erfassen wir folgende Daten von Kommentatoren Ihrer Beiträge:

  • Instagram-Benutzername
  • Plattform-User-ID
  • Kommentartext
  • Externe Kommentar-ID
  • Zeitstempel des Kommentars

Zweck: Ermittlung der Teilnehmer und Durchführung einer fairen Ziehung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Gewinnspielveranstalter) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Veranstalters an der Ermittlung eines Gewinners).

Hinweis für Gewinnspielteilnehmer: Die Verarbeitung Ihrer Kommentardaten erfolgt durch den jeweiligen Gewinnspielveranstalter (unseren Nutzer). Randomify agiert insoweit als Auftragsverarbeiter gemäß Art. 28 DSGVO; die Einzelheiten regelt unser Vertrag zur Auftragsverarbeitung.

Speicherdauer: Teilnehmerdaten (Benutzername, Plattform-User-ID, Kommentartext) werden bis zu 90 Tage nach Abschluss bzw. Ziehung des Gewinnspiels gespeichert und danach automatisch anonymisiert. Bei Löschung des Gewinnspiels werden sie unmittelbar entfernt (Kaskadenlöschung).

4.5 Kommentar-Antworten und Direktnachrichten

Gewinnspielveranstalter können über Randomify öffentliche Antworten auf Kommentare und (bei entsprechender Berechtigung) private Direktnachrichten an Kommentatoren senden. Dabei werden folgende Daten verarbeitet:

  • Nachrichtentext (vom Veranstalter verfasst)
  • Externe Kommentar-ID (zur Zuordnung)
  • Zustellstatus (gesendet/fehlgeschlagen)
  • Zeitstempel des Versands

Zweck: Ermöglichung der Kommunikation zwischen Veranstalter und Gewinnspielteilnehmern, insbesondere zur Benachrichtigung von Gewinnern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Veranstalters an der Kontaktaufnahme mit dem Gewinner).

Hinweis: Direktnachrichten werden über die Instagram Messaging API versendet und sind auf eine Nachricht pro Kommentar beschränkt. Der Nachrichteninhalt wird nicht dauerhaft bei Randomify gespeichert — nur der Zustellstatus und die externe Nachrichten-ID.

4.6 Ziehungsdaten (Draw Engine)

Jede Ziehung erzeugt folgende Daten:

  • Kryptographisch zufälliger Seed (SHA-256-basiert)
  • Snapshot aller Kandidaten und ihrer Reihenfolge
  • Ausschlüsse mit Begründung und Regelreferenz
  • Gewinner mit Benutzername und Plattform-ID
  • Öffentlich überprüfbarer Verifizierungscode

Zweck: Nachvollziehbare, faire und überprüfbare Gewinnermittlung. Die Transparenz der Ziehung ist ein Kernmerkmal des Dienstes.

Speicherdauer: Nach Ablauf der Aufbewahrungsfrist von 90 Tagen werden personenbezogene Identifikatoren (Benutzernamen) im Ziehungsnachweis anonymisiert. Der kryptographische Nachweis (Seed, Reihenfolge, Hash) bleibt erhalten, sodass die Ziehung dauerhaft überprüfbar bleibt, ohne dass Namen offengelegt werden.

5. Speicherdauer

  • Kontodaten: Bis zur Löschung Ihres Kontos.
  • Sitzungsdaten: Bis zum Ablauf der Sitzung (automatisch).
  • Instagram-Zugriffstoken: Bis zum Ablauf des Tokens oder bis Sie die Verbindung trennen — je nachdem, was zuerst eintritt.
  • Gewinnspiel- und Teilnehmerdaten: Bis zur Löschung des Gewinnspiels durch den Veranstalter, spätestens jedoch bis zur automatischen Anonymisierung 90 Tage nach Abschluss bzw. Ziehung des Gewinnspiels.
  • Ziehungsergebnisse: Personenbezogene Identifikatoren (Benutzernamen) werden 90 Tage nach Abschluss des Gewinnspiels anonymisiert. Der kryptographische Verifizierungsnachweis (ohne Personenbezug) bleibt dauerhaft erhalten.
  • Audit-Protokolle: Protokolleinträge zu betrieblichen Vorgängen werden geführt; darin enthaltene personenbezogene Daten werden nach 180 Tagen entfernt.

6. Empfänger und Auftragsverarbeiter

  • Meta Platforms Ireland Ltd. — Über die Instagram Graph API zur Abrufung von Beiträgen und Kommentaren (Drittland-Übermittlung, s. Abschnitt 4.2).
  • Hosting-Anbieter — Unser Server-Anbieter verarbeitet technische Daten (IP-Adressen, Logs) als Auftragsverarbeiter gemäß Art. 28 DSGVO.
  • PostgreSQL-Datenbank — Alle personenbezogenen Daten werden in einer verschlüsselten PostgreSQL-Datenbank gespeichert. Sensible Felder (Zugriffstokens) sind zusätzlich mit AES-256-GCM feldverschlüsselt.
  • Stripe Payments Europe, Ltd.— Zur Abwicklung kostenpflichtiger Abonnements (PRO-Tarif) nutzen wir den Zahlungsdienstleister Stripe. Verarbeitet werden dabei Abrechnungs- und Zahlungsdaten (z. B. Name, E-Mail-Adresse, Rechnungsanschrift sowie Zahlungsmetadaten; vollständige Zahlungsmitteldaten verarbeitet ausschließlich Stripe, nicht Randomify). Zweck ist die Zahlungsabwicklung, Abonnementverwaltung und Betrugsprävention. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Eine Übermittlung in die USA ist möglich (s. Abschnitt 7).

Eine Weitergabe an sonstige Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet (z. B. auf Anordnung einer Behörde).

Soweit Sie als Gewinnspielveranstalter über Randomify personenbezogene Daten Ihrer Teilnehmer verarbeiten lassen, agieren wir als Auftragsverarbeiter. Die Rechte und Pflichten beider Seiten regelt unser Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

7. Datenübermittlung in Drittländer

Durch die Nutzung der Instagram Graph API werden Daten an Meta-Server übermittelt, die sich teilweise in den USA befinden. Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission) bzw. auf Basis von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Bei der Zahlungsabwicklung über Stripe können Daten an die Stripe Inc. mit Sitz in den USA übermittelt werden. Die Übermittlung erfolgt auf Grundlage der von der EU-Kommission erlassenen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO bzw. – soweit anwendbar – des EU-U.S. Data Privacy Framework. Stripe ergreift zusätzliche technische und organisatorische Maßnahmen zum Schutz der übermittelten Daten.

8. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies:

  • Sitzungs-Cookie — Zur Authentifizierung und Aufrechterhaltung Ihrer Anmeldung. Verfällt mit dem Ende der Sitzung.
  • OAuth-State-Cookie (ig_oauth_state) — Zum Schutz gegen Cross-Site-Request-Forgery beim Instagram-Verbindungsvorgang. HttpOnly, kurzlebig.

Wir setzen keine Analyse-, Tracking- oder Marketing-Cookies ein.

9. Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO) — Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten in einem gängigen, maschinenlesbaren Format erhalten.
  • Widerspruch (Art. 21 DSGVO) — Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
  • Widerruf der Einwilligung(Art. 7 Abs. 3 DSGVO) — Erteilte Einwilligungen können Sie jederzeit widerrufen (z. B. Instagram-Verbindung trennen in den Einstellungen).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an: info@randomify.de

10. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
www.ldi.nrw.de

11. Technische und organisatorische Maßnahmen

Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

  • Verschlüsselte Übertragung aller Daten via HTTPS/TLS.
  • Feldverschlüsselung sensibler Daten (Zugriffstokens) mit AES-256-GCM vor der Speicherung in der Datenbank.
  • Passwörter werden ausschließlich gehasht gespeichert (bcrypt).
  • OAuth-Verbindungen verwenden kryptographisch sichere State-Parameter (CSRF-Schutz).
  • Sitzungen sind zeitlich begrenzt und signiert.
  • Zugriff auf die Datenbank ist auf den Anwendungsserver beschränkt.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite.

Stand: Mai 2026