MUSTER — keine Rechtsberatung
Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO)
Verantwortliche (Auftraggeberin)
Schule:
Anschrift:
Vertreten durch:
Datenschutzbeauftragte:r:
— nachfolgend „Verantwortliche" —
Auftragsverarbeiter (Betreiber)
eXplainable AI Solutions GmbH
Johann Nepomuk Berger-Straße 7/RH47, 7210 Mattersburg, Österreich
E-Mail: office@companion.at
Dienst: Lernfunke
— nachfolgend „Auftragsverarbeiter" —
Die Parteien schließen zur Ergänzung ihres Nutzungs- bzw. Hauptvertrags über die Plattform Lernfunke den folgenden Vertrag zur Verarbeitung personenbezogener Daten im Auftrag (Art. 28 DSGVO).
§ 1 Gegenstand, Dauer und Weisungsbindung
Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag und nach Weisung der Verantwortlichen beim Betrieb der Plattform Lernfunke. Die Verarbeitung erfolgt ausschließlich im Rahmen des Hauptvertrags und dieses AVV.
Dauer: Der Vertrag läuft für die Laufzeit des Hauptvertrags und endet automatisch mit dessen Beendigung; die Pflichten zu Löschung/Rückgabe (§ 10) bestehen darüber hinaus fort.
Weisungsbindung (Art. 28 Abs. 3 lit. a): Der Auftragsverarbeiter verarbeitet die Daten nur auf dokumentierte Weisung der Verantwortlichen, auch bei einer Übermittlung in Drittländer, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet; in diesem Fall teilt er der Verantwortlichen die rechtliche Anforderung vor der Verarbeitung mit. Weisungen erfolgen grundsätzlich in Textform. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er die Verantwortliche unverzüglich.
§ 2 Art, Umfang und Zweck der Verarbeitung
Die Verarbeitung dient dem Betrieb einer schulischen Lern- und Unterrichtsplattform: Kontoverwaltung, Klassen- und Aufgabenverwaltung, Erstellung und Zuweisung von Lernmaterialien, Speicherung des Lernfortschritts sowie — sofern von der Schule aktiviert — KI-gestützte Funktionen (siehe § 5).
Art der Verarbeitung: Erheben, Erfassen, Speichern, Anzeigen, Ordnen, Auslesen, Verändern, Übermitteln (an Unterauftragsverarbeiter nach § 5), Löschen.
§ 3 Kategorien betroffener Personen
- Schüler:innen (überwiegend Minderjährige) — Beitritt über Klassencode ohne E-Mail-Adresse.
- Lehrpersonen und ggf. weiteres pädagogisches Personal.
- Administrator:innen der Schule / des Schulträgers.
§ 4 Kategorien personenbezogener Daten
- Schüler:innen: Vorname/Anzeigename, systemseitig erzeugter Anmeldename, Passwort (gehasht), Klassenzugehörigkeit, Rolle, Sprache.
- Lehrpersonen/Admins: E-Mail-Adresse, Anzeigename, Rolle, Sprache, Authentifizierungsdaten.
- Lern- und Nutzungsdaten: gespeicherte Videos/Materialien, Quiz- und Checkpoint-Antworten, Lernfortschritt, Punkte/XP, Streak, Badges, Aufgabenzuweisungen, Abgaben.
- Inhalte: von Nutzenden eingegebene Texte, Uploads und — bei aktivierten KI-Funktionen — Chat-/Prompt-Inhalte.
- Technische Daten: Session-/Authentifizierungs-Cookie, anonymisierte Fehlerprotokolle (IP-Host-Anteil entfernt).
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags; Nutzende sind angehalten, solche Daten nicht einzugeben.
§ 5 Unterauftragsverarbeiter (Art. 28 Abs. 2 und 4)
Die Verantwortliche erteilt die allgemeine Genehmigung zur Hinzuziehung von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert die Verantwortliche über beabsichtigte Änderungen (Hinzuziehung/Ersetzung) und räumt ihr ein Widerspruchsrecht ein. Er verpflichtet Unterauftragsverarbeiter vertraglich auf ein gleichwertiges Datenschutzniveau. Zum Zeitpunkt des Vertragsschlusses eingesetzt:
- Mistral AI (Frankreich, EU) — KI-Textgenerierung, Embeddings und optionale Texterkennung (OCR) für schülerbezogene KI-Funktionen (EU-Track). Deaktivierbar durch die Schule.
- Wikimedia — Nachladen offen lizenzierter Vorschaubilder in der Materialsuche (nur Verlinkung; IP-Übertragung an Wikimedia).
- Hosting/Infrastruktur:
KI-Funktionen sind serverseitig abschaltbar; ohne Aktivierung findet keine Übermittlung an KI-Unterauftragsverarbeiter statt.
§ 6 Vertraulichkeit (Art. 28 Abs. 3 lit. b)
Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung besteht auch nach Beendigung der Tätigkeit fort. Der Zugriff auf personenbezogene Daten ist auf das für die Auftragserfüllung Erforderliche beschränkt (Need-to-know).
§ 7 Technische und organisatorische Maßnahmen (Art. 32)
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere:
- Verschlüsselung: Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen; Passwörter werden ausschließlich als sicherer Hash gespeichert.
- Zugriffskontrolle: rollenbasierte Rechte (Schüler:in/Lehrkraft/Admin), HttpOnly-Session-Cookies, Trennung von Klassen und Mandanten.
- Datenminimierung: Schüler:innen-Konten ohne E-Mail; anonymisierte Fehlerprotokolle (IP gekürzt); keine Tracking-Cookies, keine Drittanbieter-Analyse.
- Datentrennung: logische Trennung der Daten je Schule/Klasse.
- Verfügbarkeit & Integrität: Sicherungskonzept, Wiederherstellbarkeit, Schutz vor unbefugter Veränderung.
- KI-Datenfluss: an KI-Dienste werden nur die für die Anfrage nötigen Inhalte übermittelt — ohne direkte Identifikatoren wie Klarname, E-Mail oder Klassencode.
- Überprüfung: regelmäßige Bewertung der Wirksamkeit der Maßnahmen.
Die konkrete Ausgestaltung der TOMs ist in einer Anlage zu präzisieren und an den tatsächlichen Betriebsstand anzupassen.
§ 8 Unterstützung der Verantwortlichen (Art. 28 Abs. 3 lit. e und f)
Der Auftragsverarbeiter unterstützt die Verantwortliche mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch; Art. 12–23). Nutzende können im Dashboard eine Kopie ihrer Daten (JSON) herunterladen und ihr Konto vollständig löschen. Ebenso unterstützt er bei Datenschutz-Folgenabschätzungen und der Sicherheit der Verarbeitung (Art. 32–36).
§ 9 Meldung von Datenschutzverletzungen (Art. 33)
Der Auftragsverarbeiter meldet der Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von Stunden nach Bekanntwerden. Die Meldung enthält die nach Art. 33 Abs. 3 erforderlichen Angaben, soweit verfügbar, und unterstützt die Verantwortliche bei ihren eigenen Melde- und Benachrichtigungspflichten (Art. 33/34).
§ 10 Löschung und Rückgabe (Art. 28 Abs. 3 lit. g)
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl der Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung eines Kontos entfernt die zugehörigen personenbezogenen Daten unwiderruflich.
§ 11 Nachweise und Überprüfungen (Art. 28 Abs. 3 lit. h)
Der Auftragsverarbeiter stellt der Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 zur Verfügung und ermöglicht sowie trägt zu Überprüfungen — einschließlich Inspektionen — bei, die von der Verantwortlichen oder einer von ihr beauftragten Prüferin durchgeführt werden. Überprüfungen werden mit angemessener Vorankündigung und ohne Störung des Betriebs durchgeführt.
§ 12 Drittlandübermittlung
Eine Übermittlung in Drittländer findet grundsätzlich nicht statt. Die eingesetzten KI-Unterauftragsverarbeiter verarbeiten innerhalb der EU (EU-Track). Sofern im Einzelfall eine Drittlandübermittlung erforderlich würde, erfolgt sie nur bei Vorliegen geeigneter Garantien (Art. 44 ff., insbesondere Standardvertragsklauseln) und auf Weisung der Verantwortlichen.
§ 13 Haftung
Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für Schäden, die aus einer von ihr zu vertretenden Verletzung dieses Vertrags oder datenschutzrechtlicher Pflichten resultieren. Ergänzende Haftungsregelungen des Hauptvertrags bleiben unberührt, soweit sie zwingendem Recht nicht widersprechen.
§ 14 Schlussbestimmungen
Änderungen und Ergänzungen bedürfen der Textform. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Datenschutzfragen vor.
Ort: Datum:
Für die Verantwortliche (Schule) — Name, Funktion, Unterschrift
Für den Auftragsverarbeiter (Betreiber) — Name, Funktion, Unterschrift
Muster ohne Gewähr — keine Rechtsberatung. Orientiert an den Standard-Klauseln des Art. 28 DSGVO. Vor Verwendung durch Schule und Betreiber rechtlich prüfen und an die konkrete Situation (u. a. TOMs-Anlage, Unterauftragsverarbeiter, Aufbewahrungsfristen) anpassen.