Strg + P (Windows) bzw. Cmd + P (Mac) und "Als PDF speichern" wählen.Wichtiger Hinweis zum Bereitstellungsmodell (Self-Hosting & On-Premises):
Self-Hosting (ca. 98 % der Installationen): Im Regelfall wird EduSlot lokal auf dem schuleigenen Server (oder der schuleigenen IServ-Infrastruktur) betrieben. Da alle personenbezogenen Daten physisch auf den Systemen der Schule verbleiben und der Anbieter im laufenden Betrieb keinen Zugriff auf die Datenbank hat, liegt keine kontinuierliche Auftragsverarbeitung durch den Anbieter vor. Im regulären Self-Hosting-Betrieb verbleiben sämtliche personenbezogenen Daten auf den Systemen des Auftraggebers. Eine Verarbeitung durch den Anbieter erfolgt grundsätzlich nur im Rahmen von Support-, Wartungs- oder Updateleistungen, sofern hierfür ein Zugriff auf personenbezogene Daten erforderlich wird. Dieser Vertrag regelt solche Verarbeitungsvorgänge vorsorglich und schafft hierfür die erforderliche datenschutzrechtliche Grundlage.
Managed Hosting (Ausnahmefall): Nur wenn vereinbart wurde, dass EduSlot auf einem vom Anbieter gemieteten und verwalteten Server (Virtual Private Server - VPS) bereitgestellt wird, findet eine kontinuierliche Verarbeitung auf Systemen des Anbieters statt.
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers im Rahmen der Nutzung der Software "EduSlot" sowie die hierdurch begründeten Rechte und Pflichten der Parteien. Er ist Bestandteil der zwischen den Parteien geschlossenen Vereinbarung über die Bereitstellung der Software.
1.1 Gegenstand dieses Vertrages ist die Erbringung von Software-Dienstleistungen im Rahmen der Nutzung der webbasierten Schul-Buchungssoftware "EduSlot" durch den Auftraggeber.
1.2 Self-Hosting (Regelfall): Die Software wird auf einem Server des Auftraggebers installiert und betrieben. Der Anbieter erbringt folgende Leistungen, bei denen ein Zugriff auf personenbezogene Daten technisch möglich ist:
1.3 Managed Hosting (Ausnahme): Die Software wird auf einem vom Anbieter betriebenen Server (Virtual Private Server) gehostet. Zusätzlich zu den in Punkt 1.2 genannten Leistungen erbringt der Anbieter in diesem Fall auch Hosting, Serverbetrieb, Datensicherung und Systemüberwachung.
1.4 Im Rahmen beider Bereitstellungsvarianten verarbeitet der Anbieter personenbezogene Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers.
1.5 Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrages. Nach Vertragsende werden die Daten (bei Managed Hosting) spätestens innerhalb von 90 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Bei Self-Hosting verbleiben die Daten ausschließlich auf den Servern des Auftraggebers, und dieser ist für die Löschung verantwortlich.
2.1 Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich. Er stellt sicher, dass eine geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten besteht.
2.2 Der Auftragsverarbeiter darf personenbezogene Daten ausschließlich gemäß den Weisungen des Auftraggebers verarbeiten, sofern sich nichts anderes aus dem Gesetz ergibt.
2.3 Sämtliche Weisungen des Auftraggebers sind schriftlich oder in Textform zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
Der Auftragsverarbeiter verpflichtet sich, über alle ihm im Rahmen der Auftragsverarbeitung zugänglichen personenbezogenen Daten strengste Vertraulichkeit zu wahren. Diese Verpflichtung besteht auch über das Vertragsende hinaus.
Der Auftragsverarbeiter stellt sicher, dass nur solche Personen Zugang zu den personenbezogenen Daten erhalten, die zur Erfüllung der Auftragsverarbeitung zwingend erforderlich haben. Diese Personen sind vorab über die geltenden datenschutzrechtlichen Bestimmungen zu informieren und zur Vertraulichkeit zu verpflichten.
Der Auftragsverarbeiter trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Einzelheiten entnehmen Sie dem Dokument "Technisch-organisatorische Maßnahmen (TOMs)" unter eduslot.de/toms.html.
Die Beauftragung von Unterauftragsverarbeitern ist im Rahmen der in § 8 erteilten allgemeinen Genehmigung zulässig, sofern der Auftraggeber vorab über Änderungen informiert wird und sein Widerspruchsrecht aus § 8 nicht ausübt. Derzeit eingesetzter Unterauftragsverarbeiter für das Hosting ist der Server-Hoster (z. B. Hetzner Online GmbH, Deutschland).
Der Auftragsverarbeiter ist verpflichtet, dem Auftraggeber auf Anfrage alle Informationen zur Verfügung zu stellen, die zur Erfüllung der Überwachung der Auftragsverarbeitung erforderlich sind.
Nach Beendigung der Haupttätigkeit hat der Auftragsverarbeiter alle personenbezogenen Daten an den Auftraggeber zurückzugeben oder gemäß den Weisungen des Auftraggebers vollständig zu löschen.
Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, über alle Verletzungen des Schutzes personenbezogener Daten, soweit diese die Daten des Auftraggebers betreffen, um den Auftraggeber bei seinen Meldepflichten gemäß Art. 33 und 34 DSGVO zu unterstützen.
Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
4.1 Der Auftraggeber ist verantwortlich für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten innerhalb seiner Organisation und stellt sicher, dass hierfür eine geeignete Rechtsgrundlage besteht.
4.2 Der Auftraggeber erteilt dem Auftragsverarbeiter alle Weisungen rechtzeitig, vollständig und in Textform.
4.3 Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich über Maßnahmen oder Prüfungen durch den betroffenen Arbeitnehmer oder die Aufsichtsbehörde.
5.1 Der Auftragsverarbeiter darf personenbezogene Daten nur gemäß den Weisungen des Auftraggebers verarbeiten.
5.2 Weisungen können Änderungen an der Verarbeitungstätigkeit umfassen, soweit dies den vereinbarten Rahmen nicht verlassen.
Werden die in Art. 35 DSGVO genannten Kriterien für eine Datenschutz-Folgenabschätzung erfüllt, wird der Auftraggeber den Auftragsverarbeiter zur Mitarbeit verpflichten. Der Auftragsverarbeiter stellt hierfür die erforderlichen Informationen zur Verfügung.
7.1 Der Auftraggeber hat das Recht, die Einhaltung der datenschutz- rechtlichen Vorgaben und der vertraglichen Vereinbarungen durch den Auftragsverarbeiter zu überprüfen.
7.2 Der Auftraggeber kann hierzu auf begründete Anfrage, nach Vorankündigung und in angemessenem Umfang Auditierungen bei dem Auftragsverarbeiter vornehmen oder durch einen von ihm beauftragten Dritten vornehmen lassen.
8.1 Der Auftraggeber erteilt eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Auftraggeber vor dem Einsatz oder Ersatz neuer Unterauftragsverarbeiter. Der Auftraggeber kann innerhalb von vier Wochen nach Zugang der Information dem Einsatz widersprechen.
8.2 Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die gleichen datenschutzrechtlichen Pflichten übernimmt, die sich aus diesem Vertrag ergeben.
8.3 Bei Self-Hosting: Im Regelfall (Self-Hosting) werden keine Unterauftragsverarbeiter für das Hosting eingesetzt, da sämtliche Daten auf der Infrastruktur des Auftraggebers verbleiben.
8.4 Bei Managed Hosting: Sofern die Managed-Hosting-Variante vereinbart wird, bedient sich der Auftragsverarbeiter für das Hosting der Anwendung des folgenden Unterauftragsverarbeiters: Hetzner Online GmbH (Deutschland; VPS-Hosting).
9.1 Der Auftragsverarbeiter haftet dem Auftraggeber für Schäden, die durch Verstöße gegen datenschutzrechtliche Bestimmungen oder gegen die vertraglichen Vereinbarungen entstehen, sofern ihm Vorsatz oder Fahrlässigkeit zur Last fällt.
9.2 Die Haftung des Auftragsverarbeiters ist im Übrigen begrenzt gemäß den Regelungen der Allgemeinen Geschäftsbedingungen.
10.1 Nach Beendigung des Nutzungsvertrages hat der Auftragsverarbeiter alle personenbezogenen Daten an den Auftraggeber zurückzugeben oder gemäß dessen Weisungen vollständig zu löschen.
10.2 Eine Löschung erfolgt spätestens innerhalb von 90 Tagen nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
10.3 Der Auftraggeber kann bis zum Vertragsende die Herausgabe seiner Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen.
Es findet kein Transfer personenbezogener Daten in Drittländer außerhalb der EU/EWR statt. Serverstandort ist ausschließlich Deutschland.
Details entnehmen Sie dem gesonderten Dokument:
eduslot.de/toms.html
Dieser Auftragsverarbeitungsvertrag wird in zwei Ausfertigungen erstellt. Jede Partei erhält eine Ausfertigung.