Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO

zwischen

Kunde (Verantwortlicher):
Schule / Bildungseinrichtung / sonstiger Auftraggeber
(nachfolgend „Verantwortlicher“)

und

EduSlot – Maurizio Morelli
Lindenweg 62
30966 Hemmingen
Deutschland
E-Mail: info@eduslot.de
(nachfolgend „Auftragsverarbeiter“)

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Software „EduSlot“ zur digitalen Verwaltung von Buchungen, Räumen, Zeitfenstern und Nutzergruppen im schulischen Umfeld.

(2) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen im Rahmen der Hauptverträge (Nutzungsvertrag / AGB EduSlot).

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des zugrunde liegenden Nutzungsvertrages.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere:

• Speicherung und Verwaltung von Nutzerkonten
• Verwaltung von Raum-, Termin- und Buchungsdaten
• Verarbeitung von Kommunikationsdaten innerhalb der Plattform
• technische Protokollierung zur Systemsicherheit
• Bereitstellung von Benachrichtigungsfunktionen

Zweck der Verarbeitung ist ausschließlich die Bereitstellung und technische Durchführung der EduSlot-Plattform.

Eine Verarbeitung zu eigenen Zwecken, insbesondere zu Analyse-, Produktverbesserungs- oder Marketingzwecken, findet nicht statt.

§ 3 Kategorien betroffener Personen

Betroffene Personen sind insbesondere:

• Schüler:innen
• Lehrkräfte
• Schulpersonal
• sonstige durch den Verantwortlichen angelegte Nutzergruppen

§ 4 Art der personenbezogenen Daten

Verarbeitet werden insbesondere:

• Stammdaten (Name, Benutzerkennung, organisatorische Zugehörigkeit)
• Login- und Authentifizierungsdaten
• Buchungs- und Termindaten
• Kommunikationsinhalte innerhalb der Plattform
• technische Nutzungsdaten (z. B. Zeitstempel, IP-Adressen im Rahmen von Logs)

§ 5 Weisungsgebundenheit

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

(2) Weisungen werden grundsätzlich durch Nutzung der Software sowie ergänzende schriftliche oder elektronische Anweisungen erteilt.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen Datenschutzrecht verstößt.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, insbesondere:

• Zugriffskontrolle (rollenbasierte Rechteverwaltung)
• Verschlüsselung bei Datenübertragung (TLS)
• Zugriffsbeschränkungen auf Systemebene
• Protokollierung sicherheitsrelevanter Ereignisse
• regelmäßige Sicherheitsupdates
• Backup- und Wiederherstellungskonzepte (bei Managed Hosting)
• Mandantentrennung

Die TOMs entsprechen dem Stand der Technik gemäß Art. 32 DSGVO und werden regelmäßig überprüft und angepasst. Sie können an den technischen Fortschritt angepasst werden, sofern das Schutzniveau nicht unterschritten wird.

§ 7 Einsatz von Unterauftragsverarbeitern

(1) Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter (z. B. Hosting-Provider, Infrastruktur-Dienstleister) einzusetzen.

(2) Eine aktuelle Liste der Unterauftragsverarbeiter wird dauerhaft in geeigneter Form bereitgestellt (z. B. Website oder Dokumentenlink).

(3) Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen von Unterauftragsverarbeitern.

(4) Der Verantwortliche kann aus datenschutzrechtlich begründeten Gründen Widerspruch gegen neue Unterauftragsverarbeiter erheben.

(5) Im Falle eines berechtigten Widerspruchs kann der Auftragsverarbeiter den Vertrag außerordentlich kündigen, sofern eine Fortführung ohne den betreffenden Unterauftragsverarbeiter nicht möglich ist.

(6) Drittlandübermittlungen erfolgen nur unter den Voraussetzungen der Art. 44 ff. DSGVO.

§ 8 Unterstützungspflichten des Auftragsverarbeiters

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei:

• der Beantwortung von Betroffenenrechten (Art. 12–23 DSGVO)
• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO)

§ 9 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich bekannte Datenschutzverletzungen.

Die Meldung erfolgt ohne schuldhaftes Zögern, spätestens innerhalb von 72 Stunden nach Bekanntwerden, unter Angabe:

• Art der Verletzung
• betroffene Datenkategorien
• wahrscheinliche Folgen
• ergriffene oder vorgeschlagene Maßnahmen

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung der Vertragsbeziehung löscht der Auftragsverarbeiter personenbezogene Daten unverzüglich, spätestens jedoch innerhalb von 90 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(2) Der Verantwortliche kann vor Vertragsende die Herausgabe der Daten in einem gängigen, strukturierten und maschinenlesbaren Format verlangen.

(3) Der Auftragsverarbeiter ist nicht verpflichtet, Daten nach Vertragsende für den Verantwortlichen vorzuhalten.

§ 11 Kontroll- und Nachweispflichten

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der DSGVO zur Verfügung.

(2) Audits durch den Verantwortlichen sind nach vorheriger Ankündigung und in angemessenem Umfang zulässig. Audits dürfen den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen. Der Auftragsverarbeiter kann Audits auf externe Prüfnachweise (z. B. SOC2/ISO-ähnliche Dokumentation) beschränken.

(3) Der Auftragsverarbeiter kann Sicherheits- oder Vertraulichkeitsmaßnahmen zum Schutz eigener Systeme einschränken, soweit dies erforderlich ist.

§ 12 Vertraulichkeit

Der Auftragsverarbeiter verpflichtet sich, alle im Rahmen der Tätigkeit bekannt gewordenen personenbezogenen Daten vertraulich zu behandeln.

Diese Verpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.

§ 13 Haftung

Die Haftung richtet sich nach den Regelungen der zugrunde liegenden Hauptverträge (AGB EduSlot).

Die Haftung richtet sich nach Art. 82 DSGVO sowie den gesetzlichen Vorschriften.

§ 14 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.

(3) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.