AUFTRAGSVERARBEITUNGSVERTRAG (AVV)
gemaess Art. 28 DSGVO

-- ENTWURF -- rechtlich pruefen lassen --

zwischen

der Schule / Bildungseinrichtung
(nachfolgend: "Verantwortliche")

und

{{BETREIBER_NAME}}
{{BETREIBER_ADRESSE}}
E-Mail: {{BETREIBER_EMAIL}}
(nachfolgend: "Auftragsverarbeiter" / "ClassCards")


1. GEGENSTAND UND DAUER DES AUFTRAGS
Gegenstand: Bereitstellung der Lernplattform ClassCards zur Verwaltung von
Vokabeln, Lernkarten, Klassen und Lernfortschritt von Schuelerinnen und
Schuelern.
Dauer: Der Vertrag laeuft fuer die Dauer des Nutzungsverhaeltnisses zwischen
der Verantwortlichen und ClassCards.

2. ART UND ZWECK DER VERARBEITUNG
Verarbeitung personenbezogener Daten von Lehrkraeften und Schuelerinnen/
Schuelern zur Bereitstellung der Lernfunktionen, Fortschrittsanalyse und
Kommunikation innerhalb der Klasse.

3. ART DER DATEN
- Stammdaten (Name, Benutzername, E-Mail-Adresse)
- Rollendaten (Lehrkraft/Schueler, Klassenzugehoerigkeit)
- Lern- und Nutzungsdaten (Uebungsergebnisse, Lernfortschritt, Zeitstempel)
- Technische Daten (IP-Adresse, Session-ID, Browser)

4. KATEGORIEN BETROFFENER PERSONEN
- Lehrkraefte
- Schuelerinnen und Schueler (ggf. minderjaehrig)
- Erziehungsberechtigte (bei Einwilligung unter 16)

5. PFLICHTEN DES AUFTRAGSVERARBEITERS
- Verarbeitung ausschliesslich auf dokumentierte Weisung der Verantwortlichen
- Verpflichtung der Mitarbeiter zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
- Umsetzung geeigneter technischer und organisatorischer Massnahmen (TOMs)
- Unterstuetzung bei Betroffenenrechten (Art. 12-22 DSGVO)
- Unterstuetzung bei Meldepflichten (Art. 33, 34 DSGVO)
- Loeschung oder Rueckgabe aller Daten nach Vertragsende

6. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOMs)
a) Vertraulichkeit
   - Zutrittskontrolle: Serverstandort in gesichertem Rechenzentrum (Hetzner DE)
   - Zugangskontrolle: Passwortgeschuetzte Benutzerkonten, bcrypt-Hashing
   - Zugriffskontrolle: Rollenbasierte Berechtigungen (Schueler/Lehrkraft/Admin)
   - Trennungskontrolle: Mandantentrennung pro Schule/Klasse

b) Integritaet
   - Eingabekontrolle: Protokollierung wesentlicher Aenderungen
   - Weitergabekontrolle: TLS/HTTPS-Verschluesselung aller Verbindungen

c) Verfuegbarkeit und Belastbarkeit
   - Taegliche Datenbank-Backups
   - Monitoring und automatisches Neustarten (PM2)

d) Verfahren zur regelmaessigen Ueberpruefung
   - Datenschutz-Folgenabschaetzung bei relevanten Aenderungen
   - Regelmaessige Ueberpruefung der TOMs

7. UNTERAUFTRAGSVERHAELTNISSE
Der Auftragsverarbeiter setzt folgende Unterauftragnehmer ein:
- Hetzner Online GmbH, Gunzenhausen, Deutschland (Hosting, Rechenzentrum DE)
- {{WEITERE_SUBUNTERNEHMER}}

Die Verantwortliche stimmt dem Einsatz dieser Unterauftragnehmer zu.
Aenderungen werden mindestens 4 Wochen vorher mitgeteilt.

8. RECHTE DER VERANTWORTLICHEN
Die Verantwortliche kann die Einhaltung dieses Vertrages und der DSGVO
jederzeit in angemessenem Umfang kontrollieren.

9. LOESCHUNG NACH BEENDIGUNG
Nach Beendigung des Auftrags werden alle personenbezogenen Daten innerhalb
von 30 Tagen geloescht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

10. KEINE DRITTLANDUEBERMITTLUNG
Eine Uebermittlung in Drittlaender ausserhalb der EU/des EWR findet nicht
statt.

11. HAFTUNG
Es gelten die Regelungen des Art. 82 DSGVO.

12. SCHLUSSBESTIMMUNGEN
Aenderungen und Ergaenzungen beduerfen der Schriftform. Sollte eine
Bestimmung unwirksam sein, bleibt die Wirksamkeit der uebrigen Bestimmungen
unberuehrt.

Ort, Datum: ________________________

Verantwortliche (Schule):            Auftragsverarbeiter (ClassCards):

____________________________         ____________________________

-- Ende des Entwurfs --