Vertrag zur Auftragsverarbeitung (AVV)

1. Parteien

Verantwortlicher: Schule / Schulträger / Lehrkraft (im Folgenden „Auftraggeber")
Auftragsverarbeiter: astemu labs by christina hemling, Bockhorn 29, 48683 Ahaus (im Folgenden „Auftragnehmerin")

2. Gegenstand & Dauer

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern (Vorname/Spitzname, pseudonymisierte Leistungsdaten) im Rahmen der Bereitstellung der Online-Anwendung „Grammatik-Arena". Die Auftragsverarbeitung läuft auf unbestimmte Zeit und endet automatisch mit der Beendigung des Hauptvertrags bzw. der Löschung des Lehrer-Kontos.

3. Art & Zweck der Verarbeitung

Speicherung, Anzeige und Auswertung der vom Auftraggeber eingegebenen Schülerdaten zum Zweck der individualisierten Aufgabenstellung, Fortschrittsanzeige und Urkundenerstellung. Eine Nutzung der Daten zu eigenen Zwecken der Auftragnehmerin (insbesondere Werbung, Profilbildung, Verkauf an Dritte) findet nicht statt.

4. Art der personenbezogenen Daten

• Vorname / Spitzname der Schüler:in
• Zufallstoken für QR-Code-Login
• Pseudonymisierte Leistungsdaten (Anzahl gelöster Aufgaben, Punkte, Serien, Tagesrekord, Datum letzter Aktivität, Anzahl beendeter Spiele)
• Detailliertes Aufgaben-Log pro Schüler:in (Operation, beide Zahlen, richtig/falsch, Zeitpunkt) zur didaktischen Auswertung; automatische Löschung nach spätestens 12 Monaten.

5. Kategorien betroffener Personen

Schülerinnen und Schüler der vom Auftraggeber angelegten Lerngruppen.

6. Pflichten der Auftragnehmerin

• Verarbeitung ausschließlich nach dokumentierten Weisungen.
• Verpflichtung der Beschäftigten auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
• Umsetzung geeigneter technischer und organisatorischer Maßnahmen (siehe Anlage TOM).
• Unterstützung des Auftraggebers bei der Wahrnehmung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenportabilität, Widerspruch).
• Meldung von Datenschutzverletzungen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis.
• Löschung oder Rückgabe aller Daten nach Beendigung des Auftrags.

7. Unterauftragsverarbeiter

Die Auftragnehmerin setzt mit Zustimmung des Auftraggebers folgende Unterauftragsverarbeiter ein:

• Lovable AB, Stockholm/Schweden (EU) – Hosting und Bereitstellung der Anwendung.
• Supabase Inc., USA, mit eingesetzter EU-Region (Frankfurt) – Datenbank und Authentifizierung.
• Cloudflare, Inc. – CDN, DDoS-Schutz und TLS-Terminierung.

Sollten weitere Unterauftragsverarbeiter hinzukommen, wird der Auftraggeber rechtzeitig vorab informiert; ein Widerspruchsrecht bleibt vorbehalten. Mit allen Unterauftragsverarbeitern bestehen EU-Standardvertragsklauseln, soweit eine Drittlandsübermittlung stattfindet.

8. Rechte des Auftraggebers

• Erteilung von Weisungen zur Datenverarbeitung jederzeit.
• Kontrolle der Einhaltung dieses Vertrags – nach Voranmeldung und in angemessenem Umfang – durch Selbstauskunft, Zertifikate oder Vor-Ort-Audit.
• Information über alle für die Auftragskontrolle erforderlichen Umstände.

9. Technische und organisatorische Maßnahmen (TOM)

Die Auftragnehmerin setzt insbesondere folgende Maßnahmen um:

• TLS-Verschlüsselung der gesamten Kommunikation.
• Speicherung von Passwörtern ausschließlich als Hash (bcrypt/Argon2).
• Row-Level-Security in der Datenbank (jede Lehrkraft sieht nur eigene Daten).
• Zugriff auf Produktivsysteme nur per starker Authentifizierung.
• Regelmäßige automatische Backups.
• Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.
• Mitarbeiter:innen sind auf Vertraulichkeit verpflichtet.

10. Haftung

Die Haftung richtet sich nach Art. 82 DSGVO sowie nach den Regelungen des Hauptvertrags (AGB).

11. Schlussbestimmungen

Mündliche Nebenabreden bestehen nicht. Änderungen und Ergänzungen bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.