Auftragsverarbeitungsvertrag (AVV) für cmschule.de

zwischen dem Auftraggeber (Schule), der die Plattform cmschule.de nutzt,
und

Match Networks UG (haftungsbeschränkt)
Erkrather Straße 30
40233 Düsseldorf
Deutschland
Geschäftsführer: Klaus Bröcher
Amtsgericht Düsseldorf, HRB 90037
E-Mail: business@matchnetworks.de

(im Folgenden „Auftragnehmer“, die nutzende Schule im Folgenden „Auftraggeber“)

Präambel

Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO. Er gilt für die Nutzung der modularen Lernplattform cmschule.de einschließlich aller aktuellen und zukünftigen Module, Tools, Unterplattformen und Lizenzgruppen, die im Rahmen dieser Plattform bereitgestellt werden.

1. Gegenstand der Auftragsverarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten, die der Auftraggeber im Rahmen der Nutzung von cmschule.de übermittelt oder die bei der Nutzung entstehen. Die Verarbeitung erfolgt ausschließlich zur Bereitstellung, zum Betrieb und zur Weiterentwicklung der Plattform sowie der damit verbundenen Module, Apps und Dienste.

Hierzu gehören insbesondere:

• Verwaltung von Nutzerkonten (Schüler:innen, Lehrkräfte, Admins),
• Speicherung von Lernfortschritten, Übungen, Tests, Highscores und Statistiken,
• Verwaltung von Lizenzen und UUID-basierten Zugriffsrechten,
• Speicherung und Bereitstellung schulischer Inhalte (z. B. Texte, Aufgaben, Medien),
• Verarbeitung technischer Daten zur Sicherstellung der Funktionsfähigkeit und Sicherheit des Systems.

2. Art und Zweck der Datenverarbeitung

2.1 Kategorien verarbeiteter Daten

Je nach Modul und Nutzung können insbesondere folgende Datenkategorien verarbeitet werden:

a) Schüler:innen

• Name oder Pseudonym (je nach Entscheidung der Schule),
• Benutzername und interne Kennungen,
• Lern-, Übungs- und Fortschrittsdaten, Ergebnisse, Highscores, Abzeichen,
• Zuweisung zu Klassen, Gruppen oder Kursen (falls verwendet),
• UUID- oder ähnliche Identifikatoren zur Lizenz- und Zugriffsverwaltung.

b) Lehrkräfte und Administrator:innen

• Name,
• E-Mail-Adresse,
• Benutzername, Rollen und Berechtigungen,
• Lizenz- und Konfigurationseinstellungen der Schule.

c) Organisation / Schule

• Name und Anschrift der Schule,
• allgemeine Kontaktdaten (z. B. E-Mail, Telefon),
• Name und Funktion von Ansprechpersonen (z. B. Schulleitung, Projektverantwortliche),
• Lizenz- und Abrechnungsdaten.

d) Technische Daten

• IP-Adressen,
• Geräte- und Browserinformationen,
• Logdaten zu Anmeldungen und sicherheitsrelevanten Ereignissen,
• technisch notwendige Cookies oder vergleichbare Technologien (z. B. Session-IDs).

2.2 Zweck der Verarbeitung

Die Datenverarbeitung erfolgt ausschließlich zu folgenden Zwecken:

• Bereitstellung, Betrieb und Weiterentwicklung der Lernplattform cmschule.de,
• Nutzung von Lern-, Übungs-, Spiel- und Kreativmodulen durch Schüler:innen,
• Organisation, Verwaltung und Auswertung von Lern- und Übungsfortschritten,
• Verwaltung von Lizenzen und Zugriffsberechtigungen für Schulen und Lehrkräfte,
• Sicherstellung von Stabilität, Sicherheit und Funktionalität der Plattform,
• Erfüllung gesetzlicher Pflichten (z. B. Nachweis bei Sicherheitsvorfällen).

3. Dauer der Verarbeitung und Löschung

Die Verarbeitung personenbezogener Daten erfolgt für die Dauer der Nutzung von cmschule.de durch den Auftraggeber. Da schulische Projekte, Lernstände und Inhalte häufig langfristig angelegt sind und Schulen die Nutzung zeitweise unterbrechen und später fortsetzen können, bleibt der Zweck der Verarbeitung grundsätzlich bestehen.

Eine Löschung personenbezogener Daten erfolgt:

• auf ausdrückliche Anforderung der Schule (Auftraggeber), oder
• nach mehr als fünf Jahren vollständiger Inaktivität (keine Anmeldung und kein Lizenzkontakt in diesem Zeitraum), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Backups werden turnusmäßig überschrieben und nach Ablauf des jeweiligen Backup-Zyklus gelöscht.

4. Rechte und Pflichten des Auftraggebers

Der Auftraggeber ist insbesondere verantwortlich für:

• die Rechtmäßigkeit der Erhebung und Übermittlung der personenbezogenen Daten,
• die Information der betroffenen Personen (z. B. Schüler:innen, Lehrkräfte),
• die Vergabe und Verwaltung von Zugriffsrechten innerhalb der Schule,
• die Entscheidung darüber, welche Daten im Rahmen der Plattformnutzung erhoben werden,
• die Mitteilung, wenn Daten berichtigt oder gelöscht werden sollen.

5. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers und im Rahmen dieses Vertrags zu verarbeiten,
• geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten,
• personenbezogene Daten ausschließlich in Rechenzentren in Deutschland zu speichern (derzeit bei IONOS),
• nur solche Mitarbeiter:innen Zugriff auf personenbezogene Daten zu gewähren, die zur Erfüllung der vertraglichen Aufgaben erforderlich sind und zur Vertraulichkeit verpflichtet wurden,
• den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung etc.) im Rahmen der eigenen Möglichkeiten zu unterstützen,
• den Auftraggeber unverzüglich zu informieren, wenn nach Einschätzung des Auftragnehmers eine Weisung gegen datenschutzrechtliche Vorschriften verstößt,
• bei bekannt gewordenen Verletzungen des Schutzes personenbezogener Daten (Datenpannen) den Auftraggeber unverzüglich zu informieren.

6. Zugriff auf Daten und Vertraulichkeit

Der Zugriff auf personenbezogene Daten ist auf das für Betrieb, Support und Weiterentwicklung von cmschule.de notwendige Maß beschränkt (Least-Privilege-Prinzip).

Zugriff erhalten ausschließlich:

• autorisierte Mitarbeiter:innen des Auftragnehmers,
• technische Mitarbeiter:innen des Hosting-Dienstleisters (IONOS) im Rahmen von Wartung, Störungsbeseitigung oder Sicherheitsmaßnahmen.

Alle Personen, die beim Auftragnehmer mit der Verarbeitung personenbezogener Daten befasst sind, sind auf Vertraulichkeit verpflichtet und mit den datenschutzrechtlichen Anforderungen vertraut.

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, wenn hierzu eine gesetzliche Verpflichtung besteht oder der Auftraggeber ausdrücklich zustimmt.

7. Unterauftragsverhältnisse

Der Auftragnehmer setzt für das Hosting und den technischen Betrieb der Plattform IONOS als Unterauftragsverarbeiter ein.

Der Auftragnehmer ist berechtigt, weitere Unterauftragsverarbeiter hinzuzuziehen oder auszutauschen, sofern diese ein dem Niveau der DSGVO entsprechendes Datenschutzniveau gewährleisten. Über wesentliche Änderungen bei Unterauftragsverarbeitern informiert der Auftragnehmer den Auftraggeber in geeigneter Weise. Der Auftraggeber kann solchen Änderungen innerhalb von 14 Tagen widersprechen. Im Falle eines Widerspruchs ist eine weitere Nutzung der Plattform gegebenenfalls nicht oder nur eingeschränkt möglich.

8. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer stellt durch geeignete technische und organisatorische Maßnahmen sicher, dass personenbezogene Daten vor Verlust, Zerstörung, unbefugtem Zugriff, unbefugter Veränderung oder unbefugter Weitergabe geschützt sind.

Zu den Maßnahmen gehören insbesondere:

• Verschlüsselung der Datenübertragung (z. B. SSL/TLS),
• sichere Speicherung von Passwörtern (z. B. durch Hash-Verfahren),
• Zugriffsbeschränkungen und Rechtekonzepte,
• Firewall- und Server-Sicherheitskonfigurationen,
• regelmäßige Aktualisierung von Systemen und Software,
• Backups und Konzepte zur Wiederherstellung im Falle eines Systemausfalls,
• Protokollierung sicherheitsrelevanter Ereignisse, soweit technisch vorgesehen.

Details zu den technischen und organisatorischen Maßnahmen können bei Bedarf in einer separaten TOM-Anlage dokumentiert und dem Auftraggeber zur Verfügung gestellt werden.

9. Rückgabe und Löschung von Daten

Nach Aufforderung durch den Auftraggeber stellt der Auftragnehmer diesem die ihn betreffenden personenbezogenen Daten in einem gängigen, maschinenlesbaren Format zur Verfügung, soweit dies technisch möglich ist.

Nach wirksamer Kündigung der Nutzung von cmschule.de oder bei ausdrücklicher Löschanforderung durch den Auftraggeber werden die personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Daten in Backups werden im Rahmen des normalen Backup-Zyklus überschrieben und damit endgültig entfernt.

10. Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere der DSGVO. Jede Partei haftet für die von ihr zu verantwortenden Pflichtverletzungen im Rahmen dieses Vertrags.

11. Kontakt für Datenschutz- und Löschanfragen

Anfragen zu Datenschutz, Auskunft, Berichtigung oder Löschung können gerichtet werden an:

Match Networks UG (haftungsbeschränkt)
Erkrather Straße 30
40233 Düsseldorf
Deutschland
E-Mail: business@matchnetworks.de

12. Abschluss des Vertrags und Geltung

Dieser Auftragsverarbeitungsvertrag wird dem Auftraggeber in elektronischer Form zur Verfügung gestellt und ist fester Bestandteil der Nutzungs- und Lizenzbedingungen von cmschule.de.

Der Vertrag gilt als rechtsverbindlich abgeschlossen, sobald der Auftraggeber:

• eine Lizenz für cmschule.de erwirbt oder aktiviert, oder
• die Plattform cmschule.de im schulischen Kontext nutzt.

Eine gesonderte handschriftliche oder elektronische Unterschrift ist nicht erforderlich. Die Nutzung der Plattform stellt die Anerkennung dieses Auftragsverarbeitungsvertrags dar.

13. Änderungen und Schlussbestimmungen

Der Auftragnehmer ist berechtigt, diesen Vertrag anzupassen, soweit dies zur Berücksichtigung geänderter rechtlicher, technischer oder organisatorischer Rahmenbedingungen erforderlich ist. Wesentliche Änderungen, die die Rechte und Pflichten des Auftraggebers betreffen, werden diesem in geeigneter Form mitgeteilt.

Widerspricht der Auftraggeber wesentlichen Änderungen, kann dies die weitere Nutzung der Plattform einschränken oder ausschließen. Die Fortsetzung der Nutzung nach Mitteilung von Änderungen gilt als Zustimmung zu den angepassten Vertragsbedingungen.

Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt eine Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

Stand: