AVV – Auftragsverarbeitungsvertrag (Art. 28 DSGVO) für Schulen & Bildungseinrichtungen
zwischen
(1) Schule / Schulträger / Bildungseinrichtung – Verantwortlicher
und
(2) KrambergAI
– im Folgenden „Auftragsverarbeiter“ –
Stand: 2025
1. Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag der Schule/Bildungseinrichtung gemäß Art. 28 DSGVO.
(2) Zweck ist die Bereitstellung von digitalen Lernangeboten, KI-gestützten Lern- und Lehrsystemen, IT-Diensten, Hosting-Leistungen, Verwaltungs- und Servicefunktionen.
(3) Die Dauer des Vertrags entspricht der Laufzeit des Hauptvertrags.
2. Art, Zweck & Kategorien der Verarbeitung
2.1 Zwecke
digitale Lern- und Unterrichtssysteme
KI-gestützte Lernmodule & Inhalte
Benutzerkontenverwaltung für Schüler*innen & Lehrkräfte
Datenanalyse zur Lernfortschrittsanzeige (optional)
Hosting, Pflege und technischer Betrieb der Plattformen
Support- & Verwaltungsprozesse
2.2 Betroffene Personen
Schüler*innen (ggf. minderjährig)
Lehrkräfte
Schulleitung & Verwaltung
Erziehungsberechtigte (bei optionalem Elternzugang)
2.3 Datenkategorien
Benutzerkonten (Name, Klasse, Rolle)
schulorganisatorische Daten (z. B. Klassenzugehörigkeit)
Lerninhalte & Lernfortschritte
Nutzungsdaten (z. B. Login-Zeiten, bearbeitete Aufgaben)
technische Logdaten
Wichtig:
Keine Verarbeitung sensibler Daten (Religion, Noten, Gesundheit) außer wenn ausdrücklich vereinbart und technisch notwendig.
3. Weisungsrecht der Schule
(1) Die Schule/der Schulträger hat jederzeit das Recht, konkrete Weisungen zu erteilen.
(2) Weisungen können elektronisch (z. B. im Supportsystem) oder schriftlich erfolgen.
(3) Der Auftragsverarbeiter informiert unverzüglich, wenn eine Weisung rechtswidrig erscheint.
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich zu:
DSGVO-konformer Verarbeitung
Einhaltung aller Datenschutzregeln für Lernplattformen
Verarbeitung ausschließlich in EU-Rechenzentren
Datenminimierung & kindgerechte Datensicherheit
Verarbeitung nur nach dokumentierten Weisungen
Schutz der Daten vor unbefugtem Zugriff
Einhaltung der TOMs (siehe Abschnitt 7)
sofortiger Meldung von Datenschutzvorfällen (siehe Abschnitt 10)
5. Schulungen & Vertraulichkeit
(1) Mitarbeitende des Auftragsverarbeiters sind auf das Datengeheimnis verpflichtet (Art. 28 Abs. 3 DSGVO).
(2) Alle Mitarbeitenden erhalten regelmäßig Datenschutz- und Kinderschutz-Schulungen.
6. Unterstützungspflichten gemäß Art. 28 DSGVO
Der Auftragsverarbeiter unterstützt die Schule bei:
Betroffenenrechten (Auskunft, Löschung, Korrektur)
Verarbeitung von Daten Minderjähriger
Datenschutz-Folgenabschätzungen
technischen Sicherheitsmaßnahmen
Meldungen an Behörden
Full-Service-Unterstützung ist gewährleistet.
7. Technische und organisatorische Maßnahmen (TOMs)
Schulen-spezifisch, kinderschutzorientiert
7.1 Organisatorische Maßnahmen
interne Datenschutz-Richtlinie
Protokollierung relevanter Systemereignisse
besonderes Mindestschutzkonzept für Kinder/Jugendliche
Zugänge nur für autorisierte Lehrkräfte / Admins
Löschroutine für Klassenwechsel & Schuljahreswechsel
7.2 Zugangskontrolle
sichere Passwörter
Multi-Faktor-Authentifizierung für Lehrkräfte
automatische Sperrung bei Fehlversuchen
Zugriff nur über EU-Server
7.3 Zugriffskontrolle
Rollenmodell (Schüler – Lehrkraft – Admin – Eltern)
strikte Daten- und Funktionsbegrenzung für Schüler
kein Zugriff zwischen Klassen oder Gruppen
7.4 Weitergabekontrolle
TLS-Verschlüsselung (1.2/1.3)
verschlüsselte Backups
keine Weitergabe an Dritte
7.5 Integrität & Verfügbarkeit
tägliche Backups
redundante EU-Server
24/7-Monitoring
hoher Verfügbarkeitsstandard (99,5 %)
7.6 Kinderschutz
keine Weitergabe von Daten an Werbenetzwerke oder Trackingdienste
keine Profilbildung zu Werbezwecken
keine nicht notwendigen Cookies
keine Datenübermittlung in Drittländer
8. Subdienstleister
Es werden ausschließlich EU-basierte, datenschutzgeprüfte Subdienstleister eingesetzt.
Subdienstleister-Kategorien:
Kategorie Einsatzbereich Standort Zertifizierung
Rechenzentrum Hosting/Cloud EU ISO 27001
Supportsystem Ticketing EU ISO 27001
Monitoring Systemüberwachung EU ISO 27001
Änderungen der Subdienstleister werden mindestens 30 Tage vorher mitgeteilt.
Die Schule kann Subdienstleister ablehnen.
9. Lösch- und Aufbewahrungskonzept
speziell für Schulen
9.1 Löschroutinen
automatische Löschung inaktiver Schülerkonten nach Ende des Schuljahres
Löschung bei Klassenwechsel (auf Wunsch pseudonymisiert weiterführbar)
endgültige Löschung nach Vertragsende
9.2 Standard-Löschfristen
Datentyp Löschfrist
Schülerkonten max. 30 Tage nach Schuljahresende / Ausscheiden
Lernfortschritte 7–180 Tage (je nach Vertragsgestaltung)
Backups max. 90 Tage
Logdaten 30–120 Tage
9.3 Löschprotokoll
Die Schule erhält auf Wunsch ein vollständiges Löschprotokoll.
10. Meldung von Datenschutzvorfällen
(1) Datenschutzverletzungen werden der Schule unverzüglich, spätestens innerhalb von 24 Stunden, gemeldet.
(2) Die Meldung enthält:
Art des Vorfalls
betroffene Schüler/Lehrkräfte
Umfang & Datenarten
sofortige Maßnahmen
empfohlene weitere Schritte
(3) Der AV unterstützt bei Meldungen an die Aufsichtsbehörde.
11. Rechte der Schule: Audits & Prüfungen
(1) Die Schule hat das Recht:
Audits durchzuführen
Sicherheitsnachweise einzufordern
TOMs einzusehen
Subdienstleisterprüfung durchzuführen
(2) Prüfungen sind möglich durch:
Schule / Schulträger
Datenschutzbeauftragte der Schule
Landesdatenschutzbehörden
(3) Audits erfolgen mit angemessener Vorankündigung.
12. Rückgabe oder Löschung der Daten nach Vertragsende
(1) Der Auftraggeber wählt:
Datenrückgabe (Export)
vollständige Löschung
(2) Daten werden fristgerecht gelöscht; Backups nach Ablauf gelöscht.
(3) Die Löschung wird dokumentiert.
13. Haftung
Es gelten die Haftungsregelungen des Hauptvertrags.
Der Auftragsverarbeiter haftet für Datenschutzverstöße nach Art. 82 DSGVO im Rahmen des rechtlich Zulässigen.
14. Schlussbestimmungen
Änderungen bedürfen der Schriftform
Unwirksame Klauseln berühren den Vertrag im Übrigen nicht
Es gilt EU- und deutsches Datenschutzrecht
Gültig für alle verbundenen Systeme, Plattformen und Services
