Auftragsverarbeitungsvertrag (AVV)
Gemäß Art. 28 DSGVO · Stand: Februar 2026
§ 1 Gegenstand und Dauer
(1) Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung der Plattform OKAYPLAY.
(2) Auftraggeber: Der Publisher oder Advertiser, der OKAYPLAY-Dienste nutzt (nachfolgend „Verantwortlicher").
(3) Auftragnehmer: Daniel Wesseling, Betreiber von OKAYPLAY (nachfolgend „Auftragsverarbeiter").
(4) Die Dauer entspricht der Laufzeit des Nutzungsverhältnisses zwischen den Parteien.
§ 2 Art und Zweck der Verarbeitung
| Verarbeitungstätigkeit | Zweck | Datenkategorien |
|---|
| Einbindung und Betrieb des Audio-Players | Bereitstellung von Aufnahmen auf Publisher-Webseiten | Technische Zugriffsdaten |
| Engagement-Tracking (mit Consent) | Analytics und Qualitätsmessung für Publisher | Nutzungsverhalten, Gerätedaten, Geodaten |
| Werbeausspielung (mit Consent) | Monetarisierung durch Audio-Werbung | Besucherprofile, Interessen, Geodaten |
| Abrechnung | Vergütung von Publishern/Speakern | Geschäftsdaten, Finanzdaten |
§ 3 Kategorien betroffener Personen
- Besucher der Publisher-Webseiten (Zuhörer)
- Registrierte Nutzer der Plattform (Publisher, Speaker, Advertiser)
§ 4 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder dem Recht des Mitgliedstaats dazu verpflichtet.
(2) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben.
(3) Der Auftragsverarbeiter trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1).
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO.
(5) Der Auftragsverarbeiter löscht nach Abschluss der Verarbeitung alle personenbezogenen Daten oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(6) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung und ermöglicht Überprüfungen/Audits.
§ 5 Unterauftragsverarbeiter
| Unterauftragnehmer | Leistung | Standort |
|---|
| All-Inkl (ALL-INKL.COM - Neue Medien Münnich) | Server-Hosting, Datenspeicherung | Deutschland |
(1) Der Auftragsverarbeiter setzt die vorstehend genannten Unterauftragsverarbeiter ein. Der Verantwortliche erteilt hierfür seine allgemeine Genehmigung.
(2) Bei Änderung oder Hinzufügung von Unterauftragsverarbeitern informiert der Auftragsverarbeiter den Verantwortlichen vorab. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.
§ 6 Drittlandübermittlung
Eine Übermittlung personenbezogener Daten in Drittländer findet nicht statt. Alle Server befinden sich in Deutschland.
§ 7 Meldepflichten bei Datenschutzverletzungen
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden, nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.
(2) Die Meldung umfasst mindestens: Art der Verletzung, betroffene Datenkategorien und Personenanzahl, voraussichtliche Folgen, ergriffene und vorgeschlagene Maßnahmen.
§ 8 Kontaktdaten für Datenschutzanfragen
Auftragsverarbeiter: datenschutz@okayplay.io
Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle: Server bei All-Inkl in deutschen Rechenzentren mit physischer Zutrittskontrolle, Videoüberwachung, Alarmanlagen
- Zugangskontrolle: Authentifizierung via Benutzername/Passwort, rollenbasiertes Berechtigungssystem (Admin/Publisher/Speaker/Advertiser), automatische Session-Timeouts (240 Min.)
- Zugriffskontrolle: Least-Privilege-Prinzip – jede Rolle sieht nur eigene Daten, Publisher sehen keine Daten anderer Publisher, Advertiser erhalten nur aggregierte Reports
- Trennungskontrolle: Logische Trennung der Daten nach Publisher (publisher_id), getrennte Speicherung von Fraud-, Analytics- und Abrechnungsdaten
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle: TLS/SSL-Verschlüsselung für alle Verbindungen, HTTPS-Only, keine unverschlüsselten Übertragungen
- Eingabekontrolle: Logging aller administrativen Aktionen, Verantwortlichkeitszuordnung über Benutzerkonten, CSRF-Schutz auf allen Formularen
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b+c DSGVO)
- Verfügbarkeitskontrolle: Tägliche Datenbank-Backups, Audio-Dateien auf dem Server gespeichert, automatisiertes Monitoring via cron-job.org, Health-Check-Endpunkte
- Belastbarkeit: Rate-Limiting auf allen API-Endpunkten, Anti-Fraud-System gegen missbräuchliche Zugriffe
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Datenschutz-Management: Verarbeitungsverzeichnis nach Art. 30 DSGVO, DSFA durchgeführt, Datenschutzerklärung regelmäßig aktualisiert
- Incident-Response: Definierter Prozess für Datenschutzverletzungen (Meldung an Aufsichtsbehörde innerhalb 72h, Benachrichtigung Betroffener bei hohem Risiko)
- Löschkonzept: Automatisierte Retention-Policies (90 Tage Events, 180 Tage Profile, 365 Tage Abrechnung), täglicher Cleanup-Job
5. Pseudonymisierung und Verschlüsselung
- Visitor-IDs als SHA-256-basierte Hashes (keine Klarnamen)
- IP-Adressen werden nur gehasht verarbeitet (SHA-256 + Tagessalt)
- Transportverschlüsselung via TLS 1.2+
- Datenbank-Zugriff nur über localhost (keine externen DB-Verbindungen)
Vereinbarung über die gemeinsame Verantwortlichkeit
Gemäß Art. 26 DSGVO · Stand: Februar 2026
§ 1 Parteien und Gegenstand
(1) Diese Vereinbarung regelt die gemeinsame Verantwortlichkeit zwischen dem Publisher (nachfolgend „Publisher") und OKAYPLAY (nachfolgend „Plattform") bei der Verarbeitung personenbezogener Daten von Webseitenbesuchern.
(2) Die gemeinsame Verantwortlichkeit entsteht durch die Einbindung des OKAYPLAY-Players auf der Webseite des Publishers.
§ 2 Verantwortlichkeiten des Publishers
- Einholung der datenschutzrechtlichen Einwilligung der Webseitenbesucher über eine konforme CMP
- Information der Besucher über OKAYPLAY in der eigenen Datenschutzerklärung
- Bereitstellung eines Widerrufsmechanismus für die Einwilligung
- Beantwortung von Betroffenenanfragen im Zusammenhang mit der eigenen Webseite
- Sicherstellung, dass nur rechtmäßig veröffentlichte Inhalte über den Player bereitgestellt werden
§ 3 Verantwortlichkeiten von OKAYPLAY
- Technische Umsetzung der Consent-Architektur (3-Stufen-Modell im Player)
- Keine Datenerhebung ohne gültige Einwilligung (consent_level-Prüfung)
- Sichere Speicherung und Verarbeitung aller erhobenen Daten
- Einhaltung der definierten Speicherfristen und automatisierte Löschung
- Technische Unterstützung bei Betroffenenanfragen (Auskunft, Löschung)
- Meldung von Datenschutzverletzungen an den Publisher innerhalb von 24 Stunden
- Durchführung und Pflege der DSFA für das Cross-Publisher-Profiling
§ 4 Anlaufstelle für Betroffene
(1) Betroffene können ihre Rechte bei jeder der beiden Parteien geltend machen (Art. 26 Abs. 3 DSGVO).
(2) Primäre Anlaufstelle für Webseitenbesucher ist der Publisher. Für plattformbezogene Anfragen (Cross-Publisher-Profiling, Löschung des einheitlichen Profils) ist OKAYPLAY unter datenschutz@okayplay.io erreichbar.
§ 5 Wesentliche Inhalte für Betroffene
Gemäß Art. 26 Abs. 2 Satz 2 DSGVO wird Betroffenen mitgeteilt:
- Der Publisher ist verantwortlich für die Einholung der Einwilligung und die Information auf seiner Webseite
- OKAYPLAY ist verantwortlich für die technische Datenverarbeitung, das Cross-Publisher-Profiling und die Werbeausspielung
- Beide Parteien sind gemeinsam verantwortlich für die Einhaltung der Betroffenenrechte
- Der vollständige Text dieser Vereinbarung kann unter datenschutz@okayplay.io angefordert werden