Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
zwischen dem Webseitenbetreiber (nachfolgend "Auftraggeber") und
OKAYPLAY / Daniel Wesseling
Achtenbuhr 12, 48599 Gronau
E-Mail: info@okayplay.io
(nachfolgend "Auftragnehmer")
1. Gegenstand und Dauer der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung des OKAYPLAY Audio-Players auf der Website des Auftraggebers.
Die Verarbeitung beginnt mit der Einbindung des OKAYPLAY Players und dauert für die Dauer der Nutzung des OKAYPLAY-Dienstes an. Sie endet mit Kuendigung des Kontos oder Entfernung des Players.
2. Art und Zweck der Verarbeitung
Die Verarbeitung umfasst:
- Auslieferung und Wiedergabe von Audio-Voiceovers auf der Webseitenbetreiber-Website
- Ausspielung von Audio-Werbung (Pre-/Mid-/Post-Roll)
- Betrugsschutz (Anti-Fraud) zur Erkennung ungültiger Impressions
- Anonymisierte Nutzungsstatistiken (Play-Counts, Regionen)
3. Art der personenbezogenen Daten
- Pseudonymisierte IP-Hashes (SHA-256 mit täglichem Salt, keine Klartext-IPs)
- Browser-Fingerprint-Hashes (pseudonymisiert)
- Gerätetyp und Browser-Informationen
- Zeitpunkt und Dauer der Audio-Wiedergabe
- Ungefähre Geo-Region (aus lokaler GeoIP-Datenbank, kein externer Dienst)
- Consent-Status des Zuhoerers
4. Kategorien betroffener Personen
Besucher der Website des Auftraggebers (Zuhoerer), die den OKAYPLAY Player nutzen oder mit ihm interagieren.
5. Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich:
- Daten nur nach dokumentierter Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
- Alle mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO)
- Geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen (Art. 28 Abs. 3 lit. c DSGVO)
- Unterauftragnehmer nur mit vorheriger Zustimmung des Auftraggebers einzusetzen (Art. 28 Abs. 2 DSGVO)
- Den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstuetzen (Art. 28 Abs. 3 lit. e DSGVO)
- Den Auftraggeber bei Datenschutzverletzungen unverzüglich zu benachrichtigen (Art. 33 DSGVO)
- Nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO)
6. Technische und organisatorische Maßnahmen
Der Auftragnehmer setzt folgende Maßnahmen um:
- Pseudonymisierung: IP-Adressen werden ausschliesslich als SHA-256-Hashes mit täglichem Salt verarbeitet. Klartext-IPs werden nicht gespeichert.
- Verschluesselung: Alle Datenübertragungen erfolgen über TLS/HTTPS.
- Datenminimierung: Es werden nur die für den Betrieb notwendigen Daten erhoben.
- Speicherbegrenzung: Player-Events und Fraud-Daten werden nach 90 Tagen automatisch gelöscht. IP-Hashes in Ad-Plays werden nach 90 Tagen anonymisiert.
- Consent-Management: Der Player respektiert den Consent-Status des Zuhoerers und passt die Datenerhebung entsprechend an (Drei-Tier-Modell: kein Consent, Basis-Consent, voller Consent).
7. Unterauftragnehmer
Der Auftragnehmer setzt folgende Unterauftragnehmer ein:
| Dienstleister | Zweck | Sitz | Garantie |
|---|---|---|---|
| All-Inkl | Webhosting | Deutschland | AVV |
| Stripe Inc. | Zahlungsabwicklung | USA | SCC |
Der Auftragnehmer informiert den Auftraggeber vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern.
8. Pflichten des Auftraggebers
Der Auftraggeber ist verpflichtet:
- In seiner eigenen Datenschutzerklärung auf die Einbindung von OKAYPLAY und die damit verbundene Datenverarbeitung hinzuweisen
- Sofern erforderlich, eine Einwilligung der Besucher für die Datenverarbeitung durch OKAYPLAY einzuholen (z.B. via Consent-Banner)
- OKAYPLAY unverzüglich zu informieren, wenn Betroffene Rechte geltend machen, die den Player betreffen
9. Kontrollrechte
Der Auftraggeber hat das Recht, die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen zu überpruefen. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung.
10. Laufzeit und Kuendigung
Dieser AVV gilt für die Dauer der Nutzung des OKAYPLAY-Dienstes. Bei Beendigung der Zusammenarbeit werden alle personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
11. Textform der Zustimmung
Die Zustimmung zu diesem AVV erfolgt elektronisch bei der Registrierung als Webseitenbetreiber. Der Zeitpunkt der Zustimmung wird protokolliert.
Stand: Maerz 2026 / Version 1.0