Vereinbarung zur Auftragsverarbeitung

nach Art. 28 DSGVO · Version 1.0

Zwischen dem Anbieter (siehe Impressum) — im Folgenden „Auftragsverarbeiter" — und der Schule, die den SchulBuchManager einsetzt — im Folgenden „Verantwortlicher" — wird folgende Vereinbarung geschlossen.

§ 1 Gegenstand und Dauer

(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Software „SchulBuchManager".

(2) Die Vereinbarung gilt für die Dauer des Hauptvertrags über die Nutzung des SchulBuchManager.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten, die der Verantwortliche im Rahmen der Nutzung der Software erhebt — insbesondere zur Verwaltung von Schulbüchern, Bestellungen, Ausleihen und Rechnungen.

§ 3 Art der personenbezogenen Daten

  • Stammdaten von Schülern (Name, Klasse, interne ID)
  • Kontaktdaten der Erziehungsberechtigten (Name, E-Mail-Adresse)
  • Stammdaten von Lehrkräften und Schul-Administratoren (Name, E-Mail, Rolle)
  • Bestell- und Zahlungsdaten (Rechnungsnummern, Beträge, Zahlungseingang)
  • Ausleih- und Inventardaten (welches Exemplar ist an welchen Schüler ausgeliehen)

§ 4 Kategorien betroffener Personen

  • Schüler der Schule
  • Erziehungsberechtigte
  • Lehrkräfte
  • Mitarbeiter der Schulverwaltung

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der mit dem Verantwortlichen getroffenen Vereinbarungen und nach dessen Weisungen.

(2) Der Auftragsverarbeiter verpflichtet seine Mitarbeiter auf das Datengeheimnis gemäß Art. 28 Abs. 3 lit. b DSGVO.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten aus Art. 32–36 DSGVO, insbesondere:

  • Sicherheit der Verarbeitung (Art. 32)
  • Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34)
  • Datenschutz-Folgenabschätzung (Art. 35) und vorherige Konsultation (Art. 36)

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt insbesondere folgende Maßnahmen um:

  • Zutrittskontrolle: Betrieb in einem Rechenzentrum innerhalb der EU mit Zutrittsschutz.
  • Zugangskontrolle: Passwort-Hashing (bcrypt, cost≥12), individuelle Accounts pro Rolle, Session-Tokens mit hoher Entropie.
  • Zugriffskontrolle: Rollen- und Berechtigungskonzept (Betreiber, SuperAdmin, Admin, Lehrkraft, Eltern) mit strikter Mandantentrennung per school_id.
  • Weitergabekontrolle: Verschlüsselte Übertragung per TLS 1.2+; Verschlüsselung von Datensicherungen.
  • Eingabekontrolle: Audit-Log für sicherheitsrelevante Aktionen; Operator-Log für Betreiber-Aktivitäten.
  • Auftragskontrolle: Unter-Auftragsverarbeiter nur nach Information und mit Möglichkeit des Widerspruchs (§ 7).
  • Verfügbarkeitskontrolle: Tägliche Backups; getestete Wiederherstellung.
  • Trennungskontrolle: Daten jeder Schule sind logisch und physisch (Uploads/Exports) getrennt.

§ 7 Unter-Auftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unter-Auftragsverarbeiter ein:

  • Webhosting-Dienstleister (Rechenzentrum in Deutschland / EU)
  • SMTP-Dienstleister für den Versand transaktionaler E-Mails

Eine detaillierte Liste mit Firma und Adresse stellen wir auf Anfrage oder als Anlage zur Verfügung. Änderungen kündigen wir mindestens vier Wochen vor Wirksamkeit an. Der Verantwortliche kann der Änderung innerhalb von zwei Wochen nach Zugang der Ankündigung widersprechen; in diesem Fall steht ihm ein außerordentliches Kündigungsrecht zu.

§ 8 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anträgen betroffener Personen (Art. 12–23 DSGVO). Anträge betroffener Personen, die beim Auftragsverarbeiter eingehen, werden unverzüglich an den Verantwortlichen weitergeleitet.

§ 9 Prüfrecht

Der Verantwortliche ist berechtigt, sich von der Einhaltung dieser Vereinbarung zu überzeugen. Der Auftragsverarbeiter erteilt dazu auf Anforderung die erforderlichen Auskünfte. Eine Vor-Ort-Prüfung ist nach Terminabstimmung möglich.

§ 10 Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen spätestens 90 Tage nach Vertragsende, soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Auf Wunsch stellt der Auftragsverarbeiter dem Verantwortlichen vor der Löschung ein vollständiges Export-Paket der Daten zur Verfügung.

§ 11 Haftung und Schlussbestimmungen

Für die Haftung gelten die Regelungen des Hauptvertrags; Art. 82 DSGVO bleibt unberührt. Im Übrigen ergänzen die AGB des Anbieters diese Vereinbarung. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform.

Hinweis zur Annahme: Die Zustimmung zu dieser Vereinbarung erfolgt wahlweise elektronisch im Rahmen der Online-Registrierung (mit Protokollierung von Zeitpunkt, IP und Dokument-Hash) oder durch gegengezeichnetes PDF. Beide Formen sind gleichwertig. Die aktuelle Version und ihr SHA-256-Hash werden mit jedem Zustimmungsvorgang archiviert.