Rechtliches

Auftragsverarbeitungsvertrag

Stand: 27. April 2026 · Muster nach Art. 28 DSGVO zwischen Schulträger (Verantwortliche:r) und Zykloid (Auftragsverarbeiter:in).

Aktueller Status: Während der laufenden Validierungsphase mit Fachkräften wird mit jeder teilnehmenden Schule eine individuelle, unentgeltliche Test-Teilnahmevereinbarung abgeschlossen. Dieser AVV-Mustertext dient als Vorlage für künftige entgeltliche Pilot- und Lizenzverträge; TOM- und Subprozessor-Anhänge werden mit der jeweils konkreten Vertragsverhandlung individuell ergänzt.

Präambel

Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der jeweiligen Hauptvereinbarung (Test-Teilnahmevereinbarung, Pilotvertrag oder spätere AGB) zwischen dem Schulträger (nachstehend „Verantwortlicher") und Zykloid (nachstehend „Auftragsverarbeiter") ergeben. Er findet auf alle Tätigkeiten Anwendung, bei denen der Auftragsverarbeiter oder von ihm Beauftragte personenbezogene Daten des Verantwortlichen verarbeiten.

§ 1 Gegenstand und Dauer der Verarbeitung

Gegenstand: Bereitstellung der Software-as-a-Service-Plattform Zykloid zur strukturierten Lernstandsdiagnostik und Förderplanung im Mathematikunterricht der Grundschule.

Dauer: Der Vertrag ist an die Laufzeit der Hauptvereinbarung gekoppelt. Er endet automatisch mit Beendigung der Hauptvereinbarung. Eine Kündigung in Textform ist mit den gleichen Fristen möglich wie die Kündigung der Hauptvereinbarung.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der Bereitstellung des im Hauptvertrag beschriebenen Dienstes. Sie umfasst:

  • Speicherung und Wiedergabe pseudonymisierter Beobachtungsdaten und Lernstands-Einschätzungen
  • Generierung pädagogischer Vorschläge mittels KI-Modellen (siehe § 6 — Subprozessoren)
  • Bereitstellung von Auswertungen und Druckansichten für die Lehrkraft
  • Verschlüsselte Datenspeicherung und automatische Backups

§ 3 Datenkategorien und betroffene Personen

Folgende Daten werden im Auftrag verarbeitet:

KategorieBeispieleBetroffene Personen
Pseudonymisierte Lernstandsdaten Beobachtungstexte, Diagnostik-Profile, Förderplan-Bausteine Schüler:innen (mittelbar, da pseudonymisiert)
Lehrkräfte-Stammdaten Name, dienstliche E-Mail, Schule, Klasse Lehrkräfte
Schul-Administrationsdaten Name, Funktion, Kontaktdaten der Ansprechperson Schulleitung / IT-Verantwortliche
Nutzungs- und Sicherheitsdaten Login-Zeitpunkt, gehashte IP, Sitzungs-Lebensdauer Lehrkräfte

Klarnamen von Schüler:innen werden vom Auftragsverarbeiter nicht gespeichert. Die Pseudonymisierung erfolgt durch die Lehrkraft im Rahmen der Falleingabe. Die Zuordnung Pseudonym → Klarname verbleibt bei der Schule.

§ 4 Pflichten und Weisungsrechte des Verantwortlichen

  • Der Verantwortliche bleibt für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (Art. 24 DSGVO).
  • Der Verantwortliche erteilt Weisungen in Textform — in dringenden Fällen mündlich, mit unverzüglicher schriftlicher Bestätigung.
  • Der Verantwortliche ist berechtigt, Auskunft zu erhalten und Kontrollen (auch vor Ort) nach Maßgabe von § 8 dieses Vertrags durchzuführen.

§ 5 Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
  • Verpflichtung der Mitarbeitenden auf Vertraulichkeit und Datengeheimnis.
  • Umsetzung der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO, Anhang dieses Vertrags.
  • Unterstützung des Verantwortlichen bei Anfragen Betroffener (Art. 12 ff. DSGVO), bei DSFA (Art. 35), bei Datenpannen-Meldungen (Art. 33–34).
  • Meldung von Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, in Textform.
  • Unterstützung bei der Erfüllung der Rechte Betroffener (Auskunft, Berichtigung, Löschung).
  • Auf Anweisung Löschung oder Rückgabe aller Daten nach Vertragsende.

§ 6 Subprozessoren

Der Auftragsverarbeiter setzt folgende Subprozessoren ein. Eine Änderung der Subprozessor-Liste wird dem Verantwortlichen rechtzeitig vor Wirksamwerden angezeigt; der Verantwortliche kann der Änderung in Textform widersprechen.

SubprozessorSitzVerarbeitungDrittland-Garantie
Hetzner Online GmbH Gunzenhausen, DE Hosting, Backup, Logfiles EU/EWR
Sendinblue SAS (Brevo) Paris, FR Transaktionale E-Mails EU/EWR
Anthropic PBC San Francisco, US KI-Modell für Diagnose-Chat DPF-zertifiziert + SCC + TIA

Die jeweils aktuelle Subprozessor-Liste wird auf Anfrage zur Verfügung gestellt. Mit jedem Subprozessor besteht ein gesonderter Vertrag mit gleichen Datenschutzpflichten, Art. 28 Abs. 4 DSGVO.

§ 7 Drittlandübermittlungen

Übermittlungen in Drittländer (USA) sind durch den Angemessenheitsbeschluss EU-US Data Privacy Framework (DPF) abgesichert, ergänzt durch EU-Standardvertragsklauseln (SCC, Durchführungsbeschluss (EU) 2021/914) sowie ein Transfer-Impact-Assessment (TIA). Die Doppelabsicherung wird auch dann beibehalten, wenn das DPF gerichtlich infrage gestellt werden sollte.

§ 8 Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, sich von der Einhaltung der Pflichten dieses Vertrags zu überzeugen. Er kann hierzu:

  • schriftliche Auskünfte einholen
  • Einsicht in Zertifizierungen, Audit-Berichte oder Selbstauskünfte des Auftragsverarbeiters nehmen
  • nach Vorankündigung mit angemessener Frist (mindestens 14 Tage) eine Vor-Ort-Kontrolle durchführen oder durch eine zur Vertraulichkeit verpflichtete Drittperson durchführen lassen

Die Kosten der Vor-Ort-Kontrolle trägt der Verantwortliche, sofern keine erheblichen Verstöße festgestellt werden.

§ 9 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft folgende TOM nach Art. 32 DSGVO. Eine vollständige Detail-Dokumentation ist Anhang 1 dieses Vertrags und wird mindestens jährlich überprüft.

  • Vertraulichkeit: Zutrittskontrolle Hetzner-Rechenzentrum (ISO 27001), Zugangskontrolle (Login mit Passwort-Hash + MFA), Zugriffskontrolle (rollenbasiert), Trennungskontrolle (logische Mandantentrennung)
  • Integrität: Eingabekontrolle (Audit-Logs), Weitergabekontrolle (TLS 1.2+ in Transit, AES-256 at Rest)
  • Verfügbarkeit: tägliche Backups mit 30 Tagen Retention, geografisch getrennte Backup-Speicherung, dokumentierte Wiederherstellungs-Prozedur
  • Resilienz: Notfall-Plan, regelmäßige Restore-Tests
  • Verfahren zur regelmäßigen Überprüfung: jährliches Datenschutz-Review, Penetration-Test alle zwei Jahre
  • Pseudonymisierung: Klarnamen von Schüler:innen werden nicht gespeichert

§ 10 Haftung

Die Parteien haften nach den allgemeinen gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO. Die haftungsbegrenzenden Regelungen der Hauptvereinbarung gelten entsprechend, soweit zwingendes Recht dem nicht entgegensteht.

§ 11 Schlussbestimmungen

  • Sollten Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  • Änderungen oder Ergänzungen bedürfen der Textform.
  • Es gilt das Recht der Bundesrepublik Deutschland.
  • Bei Widersprüchen zwischen diesem AVV und der Hauptvereinbarung gehen die Regelungen dieses AVV vor, soweit datenschutzrechtliche Pflichten betroffen sind.

Anhänge

Mit der individuellen Vertragsverhandlung werden ergänzt:

  • Anhang 1: Detaillierte TOM-Dokumentation
  • Anhang 2: Aktuelle Subprozessor-Liste mit Zertifizierungs-Stand
  • Anhang 3: Bundeslandspezifische Schul-DSVO-Mappings. Verfügbar:
    • Thüringen — § 57 ThürSchulG, ThürDSG, TLfDI-Positionen, KI-Opt-Out-Option (auf Anforderung)
    • In Vorbereitung: Baden-Württemberg, Nordrhein-Westfalen, Bayern, Sachsen — sukzessive nach Pilot-Akquise