Aller au contenu principal
QronoPlay
QronoPlay

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag für B2B-Kunden, die QronoPlay zur Erhebung und Verarbeitung personenbezogener Daten über QR-Code-Marketingkampagnen nutzen.

Diese Übersetzung dient nur zu Informationszwecken. Die französische Fassung ist rechtlich bindend.

Präambel

Dieser Auftragsverarbeitungsvertrag („AVV“ oder „Vertrag“) wird geschlossen zwischen:

  • Dem Kunden, der juristischen Person, die den QronoPlay-Dienst abonniert und als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO handelt („Verantwortlicher (RT)“ oder „Kunde“).
  • SAS Jalimani, SIREN 833 142 631, Herausgeberin des QronoPlay-Dienstes, die als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO handelt („Auftragsverarbeiter (ST)“ oder „QronoPlay“).

Dieser AVV wird gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO) geschlossen und ist integraler Bestandteil des QronoPlay-Dienstvertrags. Im Falle eines Widerspruchs zwischen dem AVV und den Allgemeinen Nutzungsbedingungen hat der AVV Vorrang in Fragen des Datenschutzes.

Artikel 1 — Begriffsbestimmungen

  • Verantwortlicher (RT): die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).
  • Auftragsverarbeiter (ST): die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).
  • Unterauftragsverarbeiter: ein vom Auftragsverarbeiter eingesetzter Dritter zur Durchführung bestimmter Verarbeitungstätigkeiten.
  • Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
  • Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang (Erhebung, Erfassung, Speicherung, Abfrage, Löschung usw.; Art. 4 Nr. 2 DSGVO).
  • Betroffene Personen: die natürlichen Personen, deren personenbezogene Daten im Rahmen des Dienstes verarbeitet werden.
  • Verletzung des Schutzes personenbezogener Daten: eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt (Art. 4 Nr. 12 DSGVO).

Artikel 2 — Gegenstand und Dauer

Gegenstand: QronoPlay verarbeitet personenbezogene Daten im Auftrag des Kunden im Rahmen des SaaS-Dienstes für QR-Code-Marketingspiele (Werbeverlosungen, Sofortgewinnspiele, Engagement-Spiele).

Dauer: dieser AVV gilt für die gesamte Laufzeit des Dienstvertrags zuzüglich einer Aufbewahrungsfrist von 6 Monaten für Gewinner gemäß der Aufbewahrungsrichtlinie (Empfehlung der CNIL IS001).

Artikel 3 — Art und Zweck der Verarbeitung

QronoPlay verarbeitet personenbezogene Daten ausschließlich zu den folgenden vom Kunden festgelegten Zwecken:

  • Erfassung von Leads (E-Mail, Vorname, Nachname, optional Telefonnummer) über die vom Kunden konfigurierten Spiele.
  • Auslosung und Vergabe von Gewinnen bei Werbeverlosungen.
  • Technische Speicherung, die zum Betrieb des Dienstes erforderlich ist.
  • Betrugsbekämpfung (Deduplizierung, Erkennung von Mehrfachkonten, Rate-Limiting).
  • Erstellung anonymisierter Statistiken für das Kunden-Dashboard.

Artikel 4 — Kategorien personenbezogener Daten

  • Identifikationsdaten: E-Mail, Vorname, Nachname, Telefon (optional, je nach Kundenkonfiguration).
  • IP-Standortdaten: IP-Adresse, die bei der Erhebung auf /24 anonymisiert wird (niemals im Klartext gespeichert).
  • Technische Metadaten: User-Agent, deviceHash, Zeitstempel der Teilnahme.
  • Spieldaten: Kampagnencode, Gewinnstatus, gegebenenfalls vergebener Preis.
  • Einwilligungsdaten: mit Zeitstempel versehene Aufzeichnungen der erteilten Einwilligungen (DSGVO, Partner-Marketing).

Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (Gesundheit, Religion, sexuelle Orientierung usw.) verarbeitet.

Artikel 5 — Kategorien betroffener Personen

  • Spieler, die per QR-Code oder Direktlink an den Spielen teilnehmen.
  • Gewinner der vom Kunden vergebenen Preise.

Artikel 6 — Pflichten des Kunden (Verantwortlicher (RT))

Der Kunde verpflichtet sich:

  • Die Zwecke der Verarbeitung festzulegen und die anwendbare Rechtsgrundlage zu bestimmen (Art. 6 DSGVO).
  • Seine Spieler gemäß Art. 13 und 14 DSGVO zu informieren (Datenschutzhinweise, Aufbewahrungsfristen, Rechte).
  • Sicherzustellen, dass alle erforderlichen Einwilligungen eingeholt wurden (insbesondere für Direktwerbung, Art. 7 DSGVO).
  • Das ihn betreffende Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO).
  • Eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, sofern dies nach Art. 35 DSGVO erforderlich ist.
  • Jede an QronoPlay erteilte Weisung zur Verarbeitung zu dokumentieren.
  • Mit QronoPlay bei der Bearbeitung von Anträgen betroffener Personen und bei Kontrollen der Aufsichtsbehörden zusammenzuarbeiten.

Artikel 7 — Pflichten von QronoPlay (Auftragsverarbeiter (ST))

QronoPlay verpflichtet sich:

  • Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden zu verarbeiten, einschließlich in Bezug auf Übermittlungen außerhalb der EU, sofern nicht eine gesetzliche Verpflichtung etwas anderes vorschreibt (in diesem Fall informiert QronoPlay den Kunden vorab).
  • Die Vertraulichkeit der Daten zu gewährleisten: Vertraulichkeitsverpflichtung jedes Mitarbeiters und jedes Unterauftragsverarbeiters mit Datenzugriff.
  • Geeignete technische und organisatorische Maßnahmen (TOM) im Sinne von Art. 32 DSGVO umzusetzen (vgl. Artikel 8).
  • Den Kunden bei der Erfüllung seiner Pflichten in Bezug auf Sicherheit, Meldung von Datenschutzverletzungen, DSFA und vorherige Konsultation der CNIL zu unterstützen (Art. 32 bis 36 DSGVO).
  • Auf Anfrage mit der CNIL oder einer anderen zuständigen Aufsichtsbehörde zusammenzuarbeiten.
  • Am Ende des Vertrags die personenbezogenen Daten nach Wahl des Kunden zurückzugeben oder zu löschen, mit schriftlicher Bescheinigung (vgl. Artikel 14).
  • Dem Kunden alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der in Art. 28 DSGVO vorgesehenen Pflichten erforderlich sind.

Artikel 8 — Technische und organisatorische Maßnahmen (TOM)

QronoPlay setzt folgende Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten (Art. 32 DSGVO):

  • Souveränes Hosting in Frankreich: OVH-Server in Roubaix (Frankreich).
  • Verschlüsselung: TLS 1.3 für Daten während der Übertragung, AES-256 für ruhende Daten.
  • Zugriffskontrolle: Zugriff auf befugte Personen beschränkt durch Multi-Faktor-Authentifizierung (MFA), RBAC-Rollen und Prinzip der geringsten Privilegien.
  • Protokollierung: Zugriffs- und Vorgangsprotokolle werden höchstens 12 Monate aufbewahrt.
  • Sicherungen: tägliche verschlüsselte Sicherungen, regelmäßig getestete Wiederherstellung.
  • Trennung: Isolation der Umgebungen (Produktion, Staging, Entwicklung) und logische Trennung der Daten zwischen Kunden.
  • Audit: regelmäßige Überprüfung von Zugängen und Protokollen, periodische Penetrationstests.
  • Schulung: DSGVO- und Sicherheitssensibilisierung der Mitarbeiter bei der Einstellung und in regelmäßigen Abständen.
  • Anonymisierung: IP-Adressen werden bei der Erhebung auf /24 anonymisiert.
  • Notfallwiederherstellung: dokumentierte Verfahren zur Wiederherstellung nach Vorfällen.

Artikel 9 — Unterauftragsverarbeiter

Der Kunde ermächtigt QronoPlay, die unten aufgeführten Unterauftragsverarbeiter einzusetzen (Stand 5. Mai 2026):

  • OVH SAS — Frankreich — Server-Hosting und Speicherung.
  • Resend, Inc. — Vereinigte Staaten (DPF) — Versand transaktionaler E-Mails.
  • Mollie B.V. — Niederlande — Zahlungsabwicklung.
  • Stripe Payments Europe Ltd. — Irland — Zahlungsabwicklung (Legacy).
  • Tawk.to LLC — Vereinigte Staaten (DPF) — Live-Besucher-Chat-Support.
  • Cloudflare, Inc. — Vereinigte Staaten (DPF) — CDN, DNS, Anti-DDoS-Schutz.
  • Twilio Ireland Ltd. — Irland — SMS-Versand (optional je nach Kundenkonfiguration).
  • n8n.jalimani.com — Frankreich — interne Automatisierungs-Workflows (selbstgehostet von SAS Jalimani).

QronoPlay informiert den Kunden vor jeder Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters per E-Mail. Der Kunde verfügt über eine Frist von 15 Tagen ab Mitteilung, um begründet zu widersprechen. Kann ein berechtigter Widerspruch nicht gelöst werden, kann der Kunde den Dienstvertrag ohne Strafzahlung kündigen.

QronoPlay erlegt jedem Unterauftragsverarbeiter durch schriftlichen Vertrag dieselben Datenschutzpflichten auf wie in diesem AVV vorgesehen. QronoPlay haftet dem Kunden gegenüber uneingeschränkt für die Erfüllung der Pflichten des Unterauftragsverarbeiters.

Artikel 10 — Übermittlungen außerhalb der EU

Die personenbezogenen Daten werden ausschließlich in Frankreich gespeichert (OVH Roubaix). Bestimmte Unterauftragsverarbeiter können personenbezogene Daten in den Vereinigten Staaten (Resend, Tawk.to, Cloudflare) oder außerhalb Frankreichs innerhalb der EU (Mollie, Stripe, Twilio) verarbeiten.

  • Übermittlungen in die Vereinigten Staaten erfolgen unter dem EU–US Data Privacy Framework (DPF), sofern der Unterauftragsverarbeiter zertifiziert ist.
  • Andernfalls erfolgen die Übermittlungen auf Grundlage der Standardvertragsklauseln (SCC) der Europäischen Kommission (Beschluss 2021/914) und gegebenenfalls zusätzlicher Maßnahmen (Verschlüsselung, Pseudonymisierung).

Der Kunde kann jederzeit die detaillierte Liste der Übermittlungen und der anwendbaren Garantien an [email protected] anfordern.

Artikel 11 — Meldung von Datenschutzverletzungen

QronoPlay benachrichtigt den Kunden über jede Verletzung des Schutzes personenbezogener Daten, die in seinem Auftrag verarbeitete Daten betrifft, innerhalb von 72 Stunden nach Bekanntwerden der Verletzung gemäß Art. 33 DSGVO.

Die schriftliche Benachrichtigung (E-Mail + Nachricht im Admin-Bereich) enthält:

  • Die Art der Verletzung und das Datum ihrer Entdeckung.
  • Die Kategorien und die ungefähre Anzahl der betroffenen Personen.
  • Die Kategorien und die ungefähre Menge der betroffenen personenbezogenen Daten.
  • Die wahrscheinlichen Folgen der Verletzung.
  • Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Begrenzung ihrer Folgen.
  • Den für die Bearbeitung des Vorfalls zuständigen Ansprechpartner.

QronoPlay unterstützt den Kunden bei seinen Meldepflichten gegenüber der CNIL und gegebenenfalls den betroffenen Personen (Art. 33 und 34 DSGVO).

Artikel 12 — Unterstützung bei den Rechten der Betroffenen

QronoPlay stellt dem Kunden die erforderlichen Werkzeuge zur Verfügung, um Anträge betroffener Personen nach Art. 15 bis 22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, automatisierte Entscheidungen) zu bearbeiten.

  • Export- und Löschskripte sind in der Admin-Plattform verfügbar.
  • Bearbeitungsfrist: 5 Arbeitstage ab schriftlicher Aufforderung des Kunden.
  • Wendet sich eine betroffene Person direkt an QronoPlay, wird ihre Anfrage unverzüglich an den Kunden weitergeleitet, ohne inhaltlich zu antworten.

Artikel 13 — Audit und Inspektion

Der Kunde (oder ein von ihm beauftragter unabhängiger Drittprüfer mit gleichwertiger Vertraulichkeitsverpflichtung) kann die Einhaltung der Pflichten dieses AVV durch QronoPlay höchstens einmal pro Jahr prüfen, auf schriftliche Anfrage und mit einer Frist von 30 Tagen.

Das Audit erfolgt während der Geschäftszeiten, ohne den Betrieb zu stören und unter Wahrung der Vertraulichkeit der anderen Kunden von QronoPlay.

Die Auditkosten trägt der anfragende Kunde, es sei denn, es wird eine wesentliche Nichtkonformität festgestellt, die QronoPlay zuzurechnen ist; in diesem Fall trägt QronoPlay die angemessenen Kosten.

QronoPlay kann alternativ einen aktuellen unabhängigen Auditbericht (z. B. ISO 27001, SOC 2 oder externer Pentest) vorlegen, der den geforderten Umfang abdeckt.

Artikel 14 — Rückgabe / Vernichtung der Daten

Am Ende des Dienstvertrags und vorbehaltlich gesetzlicher Aufbewahrungspflichten wählt der Kunde zwischen:

  • Rückgabe: strukturierter Export der personenbezogenen Daten (CSV/JSON) innerhalb von 30 Tagen nach schriftlicher Aufforderung.
  • Zertifizierte Vernichtung: unwiderrufliche Löschung der personenbezogenen Daten innerhalb von 30 Tagen, mit schriftlichem Vernichtungszertifikat.

Sicherungen: in den Sicherungen enthaltene personenbezogene Daten werden spätestens 90 Tage nach Ablauf des Sicherungs-Aufbewahrungszyklus vernichtet.

Erteilt der Kunde innerhalb von 30 Tagen nach Vertragsende keine Anweisung, geht QronoPlay standardmäßig zur zertifizierten Vernichtung der personenbezogenen Daten über.

Artikel 15 — Haftung

Jede Partei haftet für Schäden, die durch ihre Nichterfüllung der ihr obliegenden DSGVO-Pflichten entstehen. QronoPlay haftet als Auftragsverarbeiter gemäß Art. 82 DSGVO für Schäden, die auf eigene Handlungen oder Unterlassungen oder auf solche seiner Unterauftragsverarbeiter zurückzuführen sind.

Die Gesamthaftung von QronoPlay nach diesem AVV ist gemäß den in den Allgemeinen Nutzungsbedingungen festgelegten Bedingungen begrenzt, außer in Fällen grober Fahrlässigkeit, vorsätzlicher Pflichtverletzung oder wenn das anwendbare Recht eine weitergehende Haftung vorschreibt.

Artikel 16 — Änderung des AVV

Jede Änderung dieses AVV muss von beiden Parteien schriftlich akzeptiert werden (E-Mail mit Empfangsbestätigung oder unterzeichneter Nachtrag).

QronoPlay kann den AVV einseitig ändern, um regulatorischen Entwicklungen Rechnung zu tragen (DSGVO, ePrivacy, CNIL-/EDSA-Beschlüsse, Rechtsprechung). In diesem Fall wird der Kunde mindestens 30 Tage vor Inkrafttreten benachrichtigt. Bei wesentlichen Meinungsverschiedenheiten kann der Kunde den Dienstvertrag ohne Strafzahlung kündigen.

Artikel 17 — Kontakt / Anwendbares Recht

QronoPlay-DSB: [email protected]
Allgemeiner Kontakt: [email protected]
Anschrift: SAS Jalimani, [adresse à compléter par Nicolas]
SIREN: 833 142 631

Dieser AVV unterliegt französischem Recht und der DSGVO. Für alle Streitigkeiten über seine Auslegung oder Durchführung sind die Gerichte von Cherbourg-en-Cotentin (Frankreich) ausschließlich zuständig, vorbehaltlich zwingender Gerichtsstandsregelungen.

Inkrafttreten: mit Unterzeichnung des QronoPlay-Dienstvertrags.

Dieses Dokument wird als Standardvorlage bereitgestellt. Für besondere Anforderungen (Enterprise, regulierte Branchen) kann ein maßgeschneiderter Nachtrag verhandelt werden.

Nützliche Links: Datenschutzerklärung · Nutzungsbedingungen · Spielregeln · Kontakt.

Zuletzt aktualisiert :
Zurück zur Startseite

© 2025 QronoPlay • [email protected]

vv177860162