Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Dieser Vertrag regelt die datenschutzrechtlichen Rechte und Pflichten, wenn eine Bildungseinrichtung (z.B. Schule, Sprachschule, VHS) – nachfolgend Verantwortlicher – LernLaterne – nachfolgend Auftragsverarbeiter – zur Verarbeitung von personenbezogenen Daten der Lernenden einsetzt.

1. Gegenstand und Dauer des Auftrags

Gegenstand: Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Bereich der Bereitstellung einer interaktiven Online-Lernplattform für Sprachen ("LernLaterne"). Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

Dauer: Der Vertrag wird auf unbestimmte Zeit geschlossen und endet automatisch mit der Löschung des Kontos des Verantwortlichen oder durch Kündigung der Nutzungsvereinbarung.

2. Art und Zweck der Verarbeitung

Art der Verarbeitung: Erheben, Speichern, Übermitteln und Löschen von Daten zur Bereitstellung der E-Learning-Plattform.

Zweck: Ermöglichung des digitalen Sprachenlernens, Synchronisierung der Nutzerdaten sowie — sofern der Verantwortliche dies wünscht und die Lehrkraft im System freischaltet — Fortschrittsanalyse für Lehrkräfte zur Unterstützung im Unterricht.

3. Kategorien der Betroffenen und Datenarten

Kategorien Betroffener: Lernende (Schüler, Sprachschüler, Kursteilnehmer), Lehrkräfte/Dozenten.

Datenarten:

  • Bestandsdaten (neutraler Login-Benutzername, Organisations-ID; optional vom Verantwortlichen eingetragener Name im Kurs)
  • Nutzungsdaten (Lernfortschritt, Übungsergebnisse, gelesene Texte, Einstellungen)
  • Ausdrücklich nicht erhoben für Lernendenkonten: E-Mail-Adressen. Klarnamen werden nicht als Login-Benutzername gespeichert; ein Name im Kurs ist optional und wird nur auf Weisung der Lehrkraft bzw. Einrichtung eingetragen. Die Einsicht in Lernfortschritte durch Lehrkräfte ist technisch optional und setzt eine ausdrückliche Freischaltung im Lehrkraft-Dashboard voraus.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zu einer Verarbeitung verpflichtet. Die Bereitstellung und Nutzung der Plattform gemäß Nutzungsbedingungen gilt als dokumentierte Weisung.

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter ergreift alle nach Art. 32 DSGVO erforderlichen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus, insbesondere:

  • Verschlüsselung der Datenübertragung (HTTPS)
  • Passwortsicherheit (Speicherung ausschließlich als kryptografische Hashes)
  • Physische Zugangskontrolle bei unseren Hosting-Partnern (ISO/IEC 27001 zertifiziert)
  • Datentrennung durch mandantenfähige Architektur

6. Unterauftragsverhältnisse (Sub-Prozessoren)

Der Verantwortliche stimmt dem Einsatz folgender Sub-Unternehmer zu:

  • Bunny.net B.V. (Niederlande/EU) - Hosting der Anwendung und CDN
  • Plausible Insights OÜ (Estland/EU) - Webanalytik (anonymisiert, cookie-frei)

Der Auftragsverarbeiter informiert den Verantwortlichen (z.B. über die Datenschutzerklärung) über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Unternehmern.

7. Rechte der Betroffenen

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte zu erfüllen.

8. Löschung und Rückgabe von Daten

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück, sofern keine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Der Verantwortliche kann die Löschung jederzeit selbst über das Lehrkraft-Dashboard (Löschung der Konten) initiieren.

Diesen Vertrag kannst du hier zur eigenen Dokumentation herunterladen oder ausdrucken. Er ist rechtlich bindend für die Bereitstellung von Lernendenkonten über LernLaterne.