Auftragsverarbeitungsvertrag (AVV) & TOMs
Dieser Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO regelt die datenschutzrechtlichen Verpflichtungen der Vertragsparteien (Schule als Verantwortlicher und Hauser EdTech UG als Auftragsverarbeiter) bei der Nutzung der Schulhamsta-Plattform.
1. Gegenstand und Dauer des Auftrags
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Gegenstand des Auftrags ist die Bereitstellung der SaaS-Lösung "Schulhamsta" zum digitalen Antrags- und Formularmanagement (u.a. Schulanmeldungen, Beurlaubungen, Fortbildungen, Onboarding). Die Dauer dieses AVV richtet sich nach der Laufzeit des zugrundeliegenden Hauptvertrages (Nutzungsvereinbarung / AGB).
2. Art und Zweck der Verarbeitung, Kreis der Betroffenen
Art der Verarbeitung: Erheben, Speichern, Übermitteln, Einschränken und Löschen von Daten in einer mandantenfähigen Cloud-Datenbank und im Ionos S3 Object Storage.
Zweck: Digitale Abwicklung schulischer Verwaltungsprozesse, Bereitstellung von Genehmigungs-Workflows und Dokumentenverwaltung.
Betroffene Personen: Lehrkräfte, Schulleitung, Verwaltungspersonal, Schüler sowie deren Erziehungsberechtigte.
Datenkategorien: Stammdaten (Name, Adressen), Kontaktdaten (E-Mail, Telefon), Kommunikations- und Organisationsdaten (Klassen, Rollen), über SSO synchronisierte Metadaten (WebUntis) sowie Inhaltsdaten von Anträgen (inkl. hochgeladenen Dokumenten). Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO, z.B. Gesundheitsdaten) werden verarbeitet, sofern diese durch die Schule / Nutzer explizit im Rahmen von spezifischen Anträgen erfasst oder als Dateianhang hochgeladen werden.
3. Pflichten des Auftragnehmers
- Weisungsbindung: Der Auftragnehmer verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO).
- Vertraulichkeit: Er stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO).
- Betroffenenrechte: Der Auftragnehmer unterstützt den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei Anfragen und Ansprüchen betroffener Personen nach Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung).
- Meldepflicht bei Datenpannen: Er meldet dem Auftraggeber unverzüglich, in der Regel binnen 24 Stunden, jegliche Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO).
- Unterstützung bei DSFA: Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß den Artikeln 32 bis 36 DSGVO, insbesondere bei potenziellen Datenschutz-Folgenabschätzungen (DSFA), durch Bereitstellung von Dokumentationen und Muster-Risikoanalysen.
- Kontrollrechte (Audits): Der Auftraggeber ist berechtigt, die Einhaltung dieses AVV durch Überprüfungen (Audits) selbst zu kontrollieren oder durch einen beauftragten Prüfer kontrollieren zu lassen. Der Auftragnehmer kann Audits durch die Vorlage aussagekräftiger, aktueller Testate, Prüfberichte (z.B. ISO 27001) oder Nachweise geeigneter TOMs abwenden, sofern hierdurch die Zwecke der Prüfung nachweislich erfüllt werden.
4. Unterauftragsverhältnisse (Subunternehmer)
Die Beauftragung von Subunternehmern (Unterauftragsverarbeitern) erfolgt im Einklang mit Art. 28 Abs. 2 DSGVO. Der Auftraggeber stimmt der Inanspruchnahme der aktuell beauftragten Subunternehmer zu.
Die stets aktuelle und verbindliche Liste der genehmigten Unterauftragsverarbeiter ist jederzeit unter der folgenden Adresse einsehbar:
www.schulhamsta.de/datenschutz/unterauftragsverarbeiter
Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder den Ersatz von Unterauftragsverarbeitern rechtzeitig (in der Regel 4 Wochen im Voraus) über die oben genannte Website oder per E-Mail, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
5. Technisch-Organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO
Der Auftragnehmer hat umfangreiche TOMs zum Schutz der Daten implementiert:
- Zutrittskontrolle: Hosting erfolgt in nach ISO 27001 zertifizierten Hochsicherheitsrechenzentren der Ionos SE in Deutschland.
- Zugangskontrolle: Das System erfordert kryptographische Authentifizierung. Passwörter werden niemals im Klartext, sondern ausschließlich über sichere One-Way-Hashing-Verfahren (z.B. Bcrypt) gespeichert.
- Zugriffskontrolle (RBAC): Strikte rollenbasierte Autorisierung (Tenant-Architecture). Ein Mandant/Nutzer kann durch softwareseitige Kapselung nicht auf Daten anderer Mandanten zugreifen.
- Verschlüsselung (Weitergabekontrolle): Jegliche Datenübertragung erfolgt via TLS (HTTPS). Ruhende Daten (Datenbank, S3 Storage) werden durch State-of-the-Art Verschlüsselungsverfahren auf Serverseite geschützt.
- Verfügbarkeitskontrolle: Automatisierte tägliche Backups der Datenbank (Ionos Database Backups) und redundante Storage-Systeme.
- Verfahren zur Überprüfung (Resilienz): Einsatz von CI/CD Pipelines mit Code-Analysen, regelmäßige Updates von Laravel/Vue-Dependencies.
6. Löschung und Rückgabe von Daten
Nach Abschluss der Erbringung der Verarbeitungsleistungen oder auf gesonderte Aufforderung des Auftraggebers hat der Auftragnehmer wahlweise alle personenbezogenen Daten zurückzugeben oder im System derart zu löschen / zu anonymisieren, dass eine Wiederherstellung ausgeschlossen ist (Art. 28 Abs. 3 lit. g DSGVO).