Auftragsverarbeitungsvertrag (AVV)

gemäß Artikel 28 Absatz 3 der Datenschutz-Grundverordnung (DSGVO)
Stand: 5. Mai 2026 · Version 2026-05-05

Parteien

zwischen

dem Lehrer / der Lehrerin, der/die sich im Dienst „Notenzimmer" registriert hat
(nachfolgend „Auftraggeber" oder „Verantwortlicher")

und

(nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter")

– gemeinsam „Parteien" –

§ 1 Gegenstand und Dauer des Auftrags

(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag und auf Weisung des Auftraggebers im Rahmen des Betriebs des Online-Dienstes „Notenzimmer" (nachfolgend „Dienst").

(2) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen nach Maßgabe des Hauptvertrages (AGB) und dieses Vertrages.

(3) Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages und endet automatisch mit dessen Beendigung. § 8 dieses Vertrages bleibt unberührt.

§ 2 Konkretisierung der Verarbeitung

(1) Art und Zweck der Datenverarbeitung

Erbringung der vertraglich vereinbarten SaaS-Leistungen, insbesondere:

• Speicherung, Anzeige, Bearbeitung und Bereitstellung der vom Auftraggeber eingegebenen Daten
• Versand transaktionaler E-Mails (Magic-Links für Eltern, Erinnerungen, Rechnungen) über einen Subunternehmer
• Bereitstellung von Auswertungs- und Verwaltungsfunktionen
• Backups und Datensicherung

(2) Art der personenbezogenen Daten

1. Stammdaten der Schüler (Name, Geburtsdatum)
2. Kontaktdaten der Erziehungsberechtigten (Name, E-Mail-Adresse)
3. Inhaltsdaten (Stunden-Notizen, Hausaufgaben, Stücke, freie Notizfelder)
4. Vertragsdaten (Vertragsmodell, Stundensätze, Pausen, Termine)
5. Kommunikationsdaten (Magic-Link-Zugriffe, E-Mail-Versand-Protokolle)
6. Technische Logdaten (Zugriffszeitpunkte, IP-Adressen, Session-Daten)

(3) Hinweis zu besonderen Kategorien (Art. 9 DSGVO)

Die Inhaltsdatenfelder (insbesondere Stunden-Notizen, freie Notizen) ermöglichen dem Auftraggeber technisch die Eingabe beliebiger Texte. Es ist daher nicht ausgeschlossen, dass der Auftraggeber Daten erfasst, die unter Art. 9 DSGVO fallen können (z. B. Hinweise auf Gesundheit, familiäre Situation). Der Auftraggeber ist gemäß § 6 Abs. 1 lit. e AGB verpflichtet, solche Daten nicht ohne eigenständige Rechtsgrundlage zu erfassen. Der Auftragnehmer trifft hierfür keine inhaltliche Prüfung.

(4) Hinweis zu Daten von Minderjährigen (Art. 8 DSGVO)

Soweit Schülerdaten Daten von Kindern unter 16 Jahren betreffen, ist der Auftraggeber verantwortlich für die Einhaltung der Anforderungen aus Art. 8 DSGVO einschließlich der Einholung erforderlicher elterlicher Einwilligungen, soweit diese erforderlich sind.

(5) Kategorien betroffener Personen

1. Schülerinnen und Schüler des Auftraggebers (überwiegend Minderjährige)
2. Erziehungsberechtigte / Eltern der Schüler

§ 3 Pflichten des Auftragnehmers

(1) Weisungsgebundenheit

Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf Grundlage dokumentierter Weisungen des Auftraggebers, einschließlich in Bezug auf Übermittlungen in Drittländer, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist.

Als dokumentierte Weisung gelten:

• der Hauptvertrag (AGB) und dieser Vertrag,
• die in der Anwendung selbst durch Konfiguration und Nutzung erteilten Weisungen,
• konkrete Einzelweisungen, die der Auftraggeber in Textform an kontakt@notenzimmer.de erteilt.

Mündliche Weisungen sind durch den Auftraggeber unverzüglich in Textform zu bestätigen.

(2) Informationspflicht bei rechtswidrigen Weisungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wird.

(3) Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO und überprüft sie regelmäßig. Er ist berechtigt, die TOMs an den Stand der Technik anzupassen, soweit das vereinbarte Schutzniveau gewahrt bleibt.

(4) Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen schriftlich auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO), soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(5) Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, in der Regel innerhalb von 72 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten, die im Rahmen dieses Vertrages verarbeitet werden. Die Meldung enthält mindestens die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit verfügbar; fehlende Angaben werden in Schritten nachgereicht.

(6) Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber im angemessenen Umfang

• bei der Wahrnehmung der Rechte der betroffenen Personen (Art. 12–22 DSGVO),
• bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung an Aufsichtsbehörden, Benachrichtigung betroffener Personen, Datenschutz-Folgenabschätzung).

Wendet der Auftragnehmer hierfür erheblichen Zusatzaufwand auf, der über die Standardunterstützung hinausgeht (z. B. individualisierte Datenexporte oder Auswertungen über das hinausgehend, was die Anwendung selbst standardmäßig bereitstellt), kann er einen angemessenen Aufwendungsersatz verlangen, sofern der Aufwand nicht auf einer dem Auftragnehmer zurechenbaren Pflichtverletzung beruht.

(7) Bereitstellung von Nachweisen

Der Auftragnehmer stellt dem Auftraggeber alle für den Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlichen Informationen auf Anfrage in Textform zur Verfügung.

§ 4 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der vereinbarten Maßnahmen zum Datenschutz und zur Datensicherheit beim Auftragnehmer zu kontrollieren.

(2) Der Auftragnehmer erfüllt die Kontrollpflicht vorrangig durch Bereitstellung geeigneter Nachweise, insbesondere

• aktuelle Selbstauskunft über die TOMs,
• Zertifikate Dritter (sofern vorhanden),
• Berichte unabhängiger Prüfer (sofern vorhanden),
• Auditberichte der eingesetzten Subunternehmer (insbesondere Hetzner: ISO 27001).

(3) Vor-Ort-Kontrollen durch den Auftraggeber sind nur zulässig, wenn die Bereitstellung von Nachweisen gemäß Absatz 2 zur Befriedigung des Kontrollinteresses nicht ausreicht. Sie erfolgen

• nach vorheriger schriftlicher Ankündigung mit einer Frist von mindestens vier Wochen,
• während der üblichen Geschäftszeiten,
• in einer Weise, die den Geschäftsbetrieb des Auftragnehmers nicht unangemessen beeinträchtigt,
• höchstens einmal jährlich, sofern keine konkrete Verdachtslage einer Datenschutzverletzung besteht.

(4) Die Kosten der Kontrolle (einschließlich angemessener Aufwandsentschädigung des Auftragnehmers) trägt der Auftraggeber, sofern bei der Kontrolle kein wesentlicher Verstoß gegen diesen Vertrag festgestellt wird.

(5) Behördliche Kontrollen durch zuständige Aufsichtsbehörden bleiben unberührt.

§ 5 Unterauftragsverarbeiter

(1) Der Auftraggeber stimmt dem Einsatz der nachfolgend aufgeführten Unterauftragsverarbeiter zu. Mit allen Unterauftragsverarbeitern bestehen Verträge, die den Anforderungen des Art. 28 DSGVO entsprechen.

Unterauftragsverarbeiter	Anschrift	Zweck	Datenstandort
Hetzner Online GmbH	Industriestr. 25, 91710 Gunzenhausen	Server-Hosting (Anwendung + Datenbank), Backups	Deutschland (Nürnberg)
Brevo GmbH (vormals Sendinblue GmbH)	Köpenicker Str. 126, 10179 Berlin (HRB 133191, AG Charlottenburg; Mutter: Sendinblue SAS, Paris)	Transaktionaler E-Mail-Versand (Magic-Links, Erinnerungen, Rechnungen)	EU (Frankreich)

(2) Mollie B.V. (Niederlande) wird als eigenständig Verantwortlicher zur Abwicklung der Zahlungen zwischen Anbieter und Auftraggeber eingesetzt. Mollie ist nicht Unterauftragsverarbeiter im Sinne dieses Vertrages, da Mollie die Zahlungsdaten in eigener Verantwortung und auf Grundlage eigener gesetzlicher Verpflichtungen (insbesondere PSD2, GwG) verarbeitet.

(3) Wechsel oder Hinzunahme weiterer Unterauftragsverarbeiter

Beabsichtigt der Auftragnehmer, weitere Unterauftragsverarbeiter zu beauftragen oder bestehende auszutauschen, informiert er den Auftraggeber mit einer Frist von mindestens 30 Tagen vorab in Textform.

Der Auftraggeber kann der Beauftragung aus wichtigem datenschutzrechtlichem Grund innerhalb dieser Frist in Textform widersprechen. Bei berechtigtem Widerspruch werden die Parteien zunächst eine einvernehmliche Lösung suchen. Kann eine solche nicht innerhalb von 30 Tagen nach Zugang des Widerspruchs gefunden werden, ist der Auftraggeber berechtigt, den Hauptvertrag außerordentlich zum Wirksamkeitsdatum des neuen Unterauftragsverarbeiters zu kündigen.

(4) Der Auftragnehmer wählt Unterauftragsverarbeiter sorgfältig aus und überprüft regelmäßig, mindestens jährlich, deren Eignung sowie den Bestand der erforderlichen Verträge nach Art. 28 DSGVO.

§ 6 Drittlandtransfer

(1) Eine regelmäßige Übermittlung personenbezogener Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums (EWR) ist nicht vorgesehen. Sämtliche Verarbeitungen erfolgen grundsätzlich innerhalb der Europäischen Union.

(2) Sollte im Einzelfall eine Übermittlung in Drittländer erforderlich werden – insbesondere durch Sub-Sub-Verarbeiter der eingesetzten Unterauftragsverarbeiter (z. B. Content Delivery Networks, technische Dienstleister) – erfolgt diese ausschließlich auf Grundlage

• eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) oder
• geeigneter Garantien gemäß Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln) ergänzt um angemessene zusätzliche Schutzmaßnahmen, soweit erforderlich.

(3) Der Auftragnehmer informiert den Auftraggeber auf Anfrage über die Rechtsgrundlagen etwaiger Drittlandübermittlungen.

§ 7 Haftung

(1) Es gilt Art. 82 DSGVO. Im Innenverhältnis zwischen den Parteien gelten ergänzend die Haftungsregelungen des Hauptvertrages (§ 7 AGB).

(2) Innenausgleich: Soweit der Auftragnehmer von einer betroffenen Person oder einer Aufsichtsbehörde aufgrund einer Pflichtverletzung in Anspruch genommen wird, die ausschließlich im Verantwortungsbereich des Auftraggebers liegt – insbesondere bei

• rechtswidrigen Weisungen des Auftraggebers,
• Eingabe von Daten ohne erforderliche Rechtsgrundlage oder Einwilligung,
• Verstößen gegen § 6 AGB,

stellt der Auftraggeber den Auftragnehmer von Ansprüchen Dritter im Innenverhältnis frei. Die Freistellung umfasst angemessene Kosten der Rechtsverteidigung.

(3) Absatz 2 gilt nicht, soweit der Auftragnehmer die Pflichtverletzung mit zu vertreten hat oder seine Hinweispflicht aus § 3 Abs. 2 verletzt hat.

§ 8 Beendigung des Vertrages, Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrages wird der Auftragnehmer die personenbezogenen Daten des Auftraggebers nach dessen Wahl

• löschen oder
• zurückgeben,

sofern keine gesetzliche Verpflichtung zur weiteren Speicherung besteht.

(2) Der Auftraggeber kann seine Daten innerhalb von 30 Tagen nach Vertragsende über die im Lehrer-Portal bereitgestellte Export-Funktion herunterladen. Trifft der Auftraggeber innerhalb dieser Frist keine Wahl, gilt dies als Weisung zur Löschung.

(3) Der Auftragnehmer löscht die personenbezogenen Daten spätestens 60 Tage nach Beendigung des Hauptvertrages aus den produktiven Systemen. Backups werden im Rahmen der regulären Backup-Rotation überschrieben, spätestens nach 30 Tagen.

(4) Aufbewahrungspflichten: Buchungs- und Rechnungsdaten, die der Auftragnehmer für seine eigenen handels- und steuerrechtlichen Aufbewahrungspflichten benötigt (§ 257 HGB, § 147 AO), werden für die gesetzlich vorgeschriebene Dauer (regelmäßig 10 Jahre) in einer für den eigentlichen Verarbeitungszweck nicht mehr nutzbaren Form (Sperre / Pseudonymisierung) aufbewahrt und nach Ablauf der Frist gelöscht.

(5) Der Auftragnehmer bestätigt die Löschung auf Anfrage in Textform.

§ 9 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt. Die Parteien werden sich bemühen, die unwirksame Bestimmung durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(2) Bei Widersprüchen zwischen den Regelungen des Hauptvertrages (AGB) und denen dieses Vertrages gehen die Regelungen dieses Vertrages vor, soweit sie die Verarbeitung personenbezogener Daten betreffen.

(3) Es gilt deutsches Recht. Gerichtsstand ist Nürnberg, soweit gesetzlich zulässig.

(4) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform. Dies gilt auch für die Änderung dieser Klausel.

---

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Stand: 5. Mai 2026

Der Auftragnehmer hat die nachfolgenden technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus nach Art. 32 DSGVO getroffen.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle (physisch)

• Hosting in einem ISO/IEC 27001-zertifizierten Rechenzentrum der Hetzner Online GmbH in Nürnberg, Deutschland
• Physische Zutrittskontrolle (Mehrfaktor-Authentifizierung, Videoüberwachung, 24/7-Sicherheitspersonal) durch den Hosting-Provider

Zugangskontrolle (logisch)

• Authentifizierung mit individuellen Zugangsdaten
• Mindestpasswortlänge: 12 Zeichen
• Speicherung der Passwörter ausschließlich als bcrypt-Hash
• Schutz vor Brute-Force-Angriffen durch Rate-Limiting auf Login-Endpunkten
• Server-Zugang nur über SSH mit Public-Key-Authentifizierung (kein Passwort-Login), abgesichert durch fail2ban

Zugriffskontrolle

• Rollenbasiertes Berechtigungskonzept
• Strikte Mandantentrennung (Multi-Tenancy via acts_as_tenant)
• Append-only Audit-Log aller administrativen Zugriffe (kein Löschen technisch möglich)
• Auskunftsprotokoll im Lehrer-Portal (zur Erfüllung von Art. 15 DSGVO)

Trennungsgebot

• Logische Trennung der Daten verschiedener Auftraggeber auf Datenbank-Ebene
• Technisch durchgesetzt via Mandantenfilter, der jede Query auf den eingeloggten Mandanten beschränkt

Pseudonymisierung / Verschlüsselung

• Verschlüsselung sensibler Felder (insbesondere Schüler-Notizen) auf Anwendungsebene mittels Rails Active Record Encryption
• Pseudonymisierung von Buchungsdaten nach Ablauf der Vertragslaufzeit (siehe § 8 Abs. 4 AVV)

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• TLS-Verschlüsselung sämtlicher Datenübertragungen (Let's Encrypt, automatisches Zertifikatsmanagement)
• HTTPS-Erzwingung durch HTTP Strict Transport Security (HSTS)
• CSRF-Schutz für alle zustandsverändernden Operationen
• Content-Security-Policy zur Abwehr von Cross-Site-Scripting (XSS)
• Eingabevalidierung serverseitig auf allen Endpunkten

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Server-Standort Deutschland (Hetzner, Nürnberg)
• Tägliche Datenbank-Backups, verschlüsselt at-rest
• Backup-Aufbewahrung: 30 Tage rolling, anschließend automatische Löschung
• Wiederherstellungstest: regelmäßige Überprüfung der Backup-Integrität durch Probewiederherstellung (mindestens halbjährlich)
• Automatische Sicherheits-Updates (unattended-upgrades)
• Restriktive Firewall-Konfiguration (UFW): nur HTTPS (443) und SSH (Port restriktiv) öffentlich erreichbar

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Append-only Audit-Log aller administrativen Zugriffe
• Statische Code-Analyse vor jedem Deploy (Brakeman)
• Regelmäßige Updates der Programmier-Bibliotheken auf Sicherheits-Patches
• Jährliche interne Überprüfung der TOMs auf Aktualität und Wirksamkeit

5. Auftragskontrolle (Art. 28, Art. 29 DSGVO)

• Sorgfältige Auswahl der Unterauftragsverarbeiter (Hetzner, Brevo)
• Schriftliche AVV-Verträge mit allen Unterauftragsverarbeitern
• Mindestens jährliche Überprüfung des Bestands und der Aktualität dieser Verträge
• Begrenzung der Datenverarbeitung auf das für den Zweck erforderliche Maß (Datenminimierung)

6. Lösch- und Sperrkonzept

• Daten gelöschter Schüler/Eltern werden nach 30 Tagen Soft-Delete-Phase endgültig aus der Datenbank entfernt
• Inaktive Konten ohne Zahlung werden nach 12 Monaten Inaktivität nach vorheriger Benachrichtigung gelöscht
• Backup-Daten werden nach 30 Tagen rotierend überschrieben
• Buchungs-/Rechnungsdaten: 10 Jahre pseudonymisierte Aufbewahrung, danach Löschung

Eltern-Login-Passwortspeicherung

Eltern-Passwörter (optionaler Login-Mechanismus zusätzlich zum Magic-Link) werden ausschließlich als bcrypt-Hash mit Cost 12 gespeichert. Klartext-Passwörter werden zu keinem Zeitpunkt persistent gespeichert oder in Logs geschrieben. Geburtsdaten Minderjähriger werden verschlüsselt at-rest gespeichert (Active Record Encryption, AES-256-GCM).

Auftragnehmer: Robin Oertel, handelnd unter „Oertel Computers", Dessauer Straße 8, 90522 Oberasbach