Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Lehrkräfte können den AVV als Textdatei herunterladen:
↓ AVV als Textdatei herunterladen (.txt)

Parteien

Verantwortliche: die Lehrkraft, die ClassCards nutzt und über die Verarbeitung der Schüler:innen-Daten in ihren Klassen und Decks entscheidet.
Auftragsverarbeiter: E.L. Lernkartei-Erfassungsdienste e.U., Laudongasse 5/2, 1080 Wien, Österreich, E-Mail: hi@classcards.net.

1. Gegenstand und Dauer

Gegenstand des Auftrags ist die Bereitstellung der Lernplattform ClassCards zur Verwaltung von Karteikarten, Lernkarten, Klassen und Lernfortschritt. Die Laufzeit richtet sich nach dem Nutzungsverhältnis zwischen der Lehrkraft und dem Auftragsverarbeiter.

2. Art und Zweck der Verarbeitung

Verarbeitung personenbezogener Daten von Lehrkräften sowie Schülerinnen und Schülern zum Zweck der Bereitstellung der Lernplattform und der damit verbundenen Lehr- und Lernfunktionen.

3. Art der Daten und betroffene Personen

Stammdaten (Name, Benutzername, E-Mail)
Rollendaten (Lehrkraft/Schüler, Klasse)
Lern- und Nutzungsdaten (Übungsergebnisse, Fortschritt, Zeitstempel)
Technische Daten (IP, Session, Browser)

Betroffen sind Lehrkräfte, Schülerinnen und Schüler sowie ggf. Erziehungsberechtigte.

4. Pflichten des Auftragsverarbeiters

Verarbeitung nur auf dokumentierte Weisung der Verantwortlichen
Verpflichtung der Mitarbeitenden zur Vertraulichkeit
Umsetzung geeigneter technischer und organisatorischer Maßnahmen (siehe Ziffer 6)
Unterstützung bei Betroffenenrechten (Art. 12–22 DSGVO)
Unterstützung bei Meldepflichten (Art. 33, 34 DSGVO)
Löschung oder Rückgabe der Daten nach Vertragsende

5. Unterauftragsverhältnisse

Eingesetzter Unterauftragnehmer: Hetzner Online GmbH, Gunzenhausen, Deutschland (Hosting, Serverstandort Deutschland). Die Verantwortliche stimmt diesem Einsatz zu. Änderungen werden mindestens 4 Wochen vorher mitgeteilt.

6. Technische und organisatorische Maßnahmen (TOMs)

a) Vertraulichkeit

Zutrittskontrolle durch Rechenzentrum (ISO-zertifiziert)
Zugangskontrolle durch Benutzerkonten mit bcrypt-Passwort-Hashing
Zugriffskontrolle über rollenbasierte Berechtigungen
Mandantentrennung zwischen Schulen und Klassen

b) Integrität

Protokollierung wesentlicher Aktionen
Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen

c) Verfügbarkeit und Belastbarkeit

Regelmäßige Datenbank-Backups
Monitoring und automatischer Neustart (PM2)

d) Regelmäßige Evaluation

Regelmäßige Überprüfung der Maßnahmen
Datenschutz-Folgenabschätzung bei relevanten Änderungen

7. Löschung nach Vertragsende

Nach Beendigung des Auftrags werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8. Keine Drittlandsübermittlung

Eine Übermittlung in Drittländer findet nicht statt.

9. Haftung

Es gelten die Regelungen des Art. 82 DSGVO.

Stand: 19. April 2026