### 1. Verantwortlicher und Kontakt
Verantwortlich für die Plattform: SnapNext GmbH + Co. KG, [PLATZHALTER: ladungsfähige Anschrift, Pulheim], vertreten durch [PLATZHALTER: vertretungsberechtigte Person(en) / Komplementär-GmbH]. E-Mail: max@ultido.com, Tel.: +49 221 16535560.
Datenschutzbeauftragter: [PLATZHALTER: DSB-Kontakt, falls Bestellpflicht nach § 38 BDSG besteht; sonst „nicht bestellt".] `[ANWALT PRÜFEN: DSB-Bestellpflicht.]`
### 2. Zwei Verantwortliche
- **Ultido (SnapNext)** ist Verantwortlicher für: Spielprofil/Account, Spielstände, parkübergreifende Persona, AI-Bild-Funktion, Plattformbetrieb.
- **Der jeweilige Park** ist Verantwortlicher für die E-Mail-Werbung (Marketing-Lead). Bei der Erhebung handelt Ultido als Auftragsverarbeiter des Parks (Art. 28); nach Bestätigung (Double-Opt-In) wird der Datensatz eigenständig an den Park übergeben (Verantwortlicher-zu-Verantwortlicher). Kontaktdaten des Parks: [PLATZHALTER, je Deployment].
### 3. Verarbeitete Daten, Zwecke, Rechtsgrundlagen
| Datenkategorie | Zweck | Rechtsgrundlage | Verantwortlicher |
|---|---|---|---|
| E-Mail-Adresse | Account-Anlage, Belohnungsausspielung | Art. 6(1)(b) (Vertrag) | Ultido |
| Spielprofil, Spielstände, Persona | Bereitstellung des Dienstes, parkübergreifende Wiedererkennung | Art. 6(1)(b) | Ultido |
| Marketing-Einwilligung + E-Mail | E-Mail-Werbung des Parks | Art. 6(1)(a) + § 7 UWG | Park (Ultido als AV bei Erhebung) |
| Foto (Original) | transiente AI-Stilisierung (Hybrid: self-hosted EU **oder** Vertex/USA, je Stil) | Art. 6(1)(a) + § 22 KUG | Ultido |
| Stilisiertes Bild (Output) | Anzeige/Download im Dienst | Art. 6(1)(a)/(b) | Ultido |
| Nutzungs-/Logdaten, IP, User-Agent | Sicherheit, Betrieb, Missbrauchsabwehr, Consent-Nachweis | Art. 6(1)(f) (berechtigtes Interesse) / Art. 6(1)(c) i.V.m. Art. 7 | Ultido |
| Consent-Log | Nachweis der Einwilligung | Art. 6(1)(c) i.V.m. Art. 7(1) | Ultido |
Berechtigtes Interesse (Art. 6(1)(f)): sicherer, missbrauchsfreier Plattformbetrieb und Nachweisbarkeit von Einwilligungen.
### 4. Empfänger und Subprozessoren (Auftragsverarbeiter Art. 28)
| Anbieter | Zweck | Datenkategorie | Region | Transfermechanismus |
|---|---|---|---|---|
| Vercel | Hosting/Frontend (Region fra1) | alle App-Daten | EU-Region, US-Mutter | SCC / DPF `[STB/ANWALT: DPF-Status]` |
| Clerk | Authentifizierung/Identity | E-Mail, Account | US | SCC / DPF |
| Supabase | Datenbank/Backend | alle App-Daten | EU-Region, US-Mutter | SCC / DPF |
| Cloudinary | Media-Verarbeitung/-Speicherung | Bilder (Output) | EU/US, US-Mutter | SCC / DPF |
| Google Cloud / Vertex API | AI-Bild-Stilisierung | Foto (transient) | US/EU-Region | SCC / DPF |
| GPU-Host | Inferenz-Rechenleistung | Foto (transient) | [PLATZHALTER: Anbieter/Region] | [PLATZHALTER] |
| n8n (self-hosted, n8n.snapkit.cc) | Workflow-Automatisierung | je nach Flow | self-hosted | kein Anbieter-DPA mit n8n GmbH; darunterliegender Host: [PLATZHALTER] |
> Mit allen Auftragsverarbeitern bestehen bzw. werden AV-Verträge nach Art. 28 geschlossen. Details im Subprozessor-Register (Dok. 8).
### 5. Drittlandtransfer (Kapitel V DSGVO)
Mehrere Anbieter haben US-Mutterunternehmen bzw. verarbeiten in den USA. Soweit personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies auf Grundlage von EU-Standardvertragsklauseln (Art. 46(2)(c)) und/oder — soweit zertifiziert — des EU-US Data Privacy Framework (Angemessenheitsbeschluss). Geeignete Garantien können auf Anfrage zur Verfügung gestellt werden.
**AI-Bild-Hybrid:** Für die AI-Stilisierung wird das Foto je nach gewähltem Stil **entweder** auf Ultido-eigener Infrastruktur in der EU-Region **oder** über Google Vertex verarbeitet; im zweiten Fall kann die Verarbeitung in den USA erfolgen (abgesichert über EU-SCC). In beiden Fällen wird das Originalfoto nur transient verarbeitet und nicht gespeichert. `[ANWALT PRÜFEN: je Anbieter SCC vs. DPF-Zertifizierung; Foto-Transienz bei US-Inferenz technisch dokumentieren.]`
### 6. Speicherdauer
| Kategorie | Frist |
|---|---|
| Account/Spielprofil | für Dauer der Nutzung; Löschung nach Inaktivität [PLATZHALTER: z.B. 24 Monate] bzw. auf Verlangen |
| Marketing-Lead (bestätigt) | bis Widerruf; danach Sperrung/Löschung durch Park |
| Marketing-Lead (DOI nicht bestätigt) | Löschung nach Ablauf DOI-TTL |
| Originalfoto | transient, keine Speicherung |
| Stilisiertes Bild | [PLATZHALTER: Anzeige-/Download-Zeitraum, dann Löschung] |
| Log-/Sicherheitsdaten | [PLATZHALTER: z.B. 30–90 Tage] |
| Consent-Log | Beziehung + Verjährung (≈ 3 Jahre) `[ANWALT PRÜFEN]` |
### 7. Betroffenenrechte
Du hast das Recht auf Auskunft (Art. 15), Berichtigung (16), Löschung (17), Einschränkung (18), Datenübertragbarkeit (20) und Widerspruch (21). Erteilte Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7(3)). Anfragen an max@ultido.com. Betrifft die Anfrage Marketing-Daten, leiten wir sie an den verantwortlichen Park weiter (Prozess Dok. 16).
**Beschwerderecht:** Du kannst dich bei einer Aufsichtsbehörde beschweren, z.B. der für SnapNext zuständigen [PLATZHALTER: LDI NRW] oder der Behörde deines Aufenthaltsorts.
### 8. Pflicht zur Bereitstellung
Die Angabe der E-Mail-Adresse ist für die Account-Anlage und die Belohnungsausspielung erforderlich; ohne sie kann der Dienst nicht genutzt werden. Marketing- und AI-Einwilligung sind freiwillig; ihre Verweigerung hat keine Nachteile für Account oder Belohnung.
### 9. Automatisierte Entscheidung / Profiling
Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung i.S.d. Art. 22 findet nicht statt. Die parkübergreifende Persona dient der Wiedererkennung/Personalisierung des Spielerlebnisses, nicht der Bewertung mit rechtlicher Wirkung. `[ANWALT PRÜFEN: falls Persona für gezielte Werbeaussteuerung genutzt wird → ergänzen.]`
### 10. Minderjährige
Siehe Jugendschutz-Baustein (Dok. 6). Einwilligungsalter in Deutschland: 16 Jahre (Art. 8); darunter ist die Zustimmung der Eltern erforderlich.
### 11. Änderungen
Wir passen diese Erklärung bei Änderungen der Verarbeitung an. Maßgeblich ist die im Dienst veröffentlichte Fassung (versioniert).