Gegenstand und Dauer der Verarbeitung

Dieser Auftragsverarbeitungsvertrag konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien im Zusammenhang mit der Bereitstellung und dem Betrieb des Avapingu-Streaming-Systems.

Der Auftragnehmer betreibt im Auftrag des Auftraggebers die technische Infrastruktur für das Live-Streaming-System „Avapingu", das kranken Schülerinnen und Schülern die Teilnahme am Unterricht per Video- und Audio-Übertragung ermöglicht.

Dieser Vertrag gilt für folgende Bereitstellungsmodelle:

Die Dauer der Auftragsverarbeitung richtet sich nach der Laufzeit des zugrundeliegenden Hauptvertrags (Dienstleistungsvertrag). Der AVV endet automatisch mit Beendigung des Hauptvertrags, sofern nicht eine gesonderte Vereinbarung getroffen wird.

Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Bereitstellung und des Betriebs des Avapingu-Live-Streaming-Systems. Dieses System ermöglicht es erkrankten Schülerinnen und Schülern, per Video- und Audio-Livestream am Unterrichtsgeschehen teilzunehmen.

Die Verarbeitung umfasst insbesondere:

• Übertragung von Live-Video- und Audio-Streams vom Klassenzimmer zum erkrankten Kind
• Bereitstellung und Verwaltung der Streaming-Server-Infrastruktur
• Verwaltung von Zugangsdaten und Benutzerkonten
• Technische Protokollierung zur Sicherstellung des Betriebs
• Wartung und Aktualisierung der Serversoftware

Eine darüber hinausgehende Verarbeitung, insbesondere eine Aufzeichnung der Streams, findet durch den Auftragnehmer nicht statt. Die Streams werden ausschließlich in Echtzeit übertragen und nicht gespeichert.

Art der personenbezogenen Daten

Datenkategorie	Beschreibung
Video- und Audio-Livestreams	Echtzeit-Übertragung von Bild und Ton aus dem Klassenzimmer; keine Aufzeichnung oder Speicherung durch den Auftragnehmer
Zugangsdaten / Login-Credentials	Benutzernamen und Passwörter für den Zugriff auf das Streaming-System (SRT-Passphrase, Web-Interface-Zugänge)
Gerätedaten	IP-Adressen, Browser-/Client-Informationen, Gerätetypen bei Zugriff auf das System
Nutzungsprotokolle	Technische Logdaten (Verbindungszeitpunkte, Verbindungsdauer, Fehlermeldungen) zur Sicherstellung des Betriebs

Kategorien betroffener Personen

Kategorie	Beschreibung
Schülerinnen und Schüler (Kinder)	Erkrankte Kinder, die per Livestream am Unterricht teilnehmen, sowie Mitschülerinnen und Mitschüler, die im Klassenzimmer durch die Kamera erfasst werden können
Lehrkräfte	Lehrerinnen und Lehrer, die im Rahmen des Unterrichts durch die Kamera erfasst werden
Erziehungsberechtigte	Eltern bzw. gesetzliche Vertreter, soweit deren Daten im Rahmen der Einrichtung und Verwaltung des Systems verarbeitet werden (z. B. Kontaktdaten, Zugangsdaten)

Pflichten des Auftragsverarbeiters

5.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

5.2 Vertraulichkeit

Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

5.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die konkreten Maßnahmen sind in der separaten Anlage „Technische und organisatorische Maßnahmen (TOM)" zu diesem Vertrag aufgeführt. Das aktuelle TOM-Dokument ist unter avapingu.de/docs/TOM_Avapingu.html einsehbar und wird bei Änderungen an der technischen Infrastruktur aktualisiert.

5.4 Meldepflichten bei Datenschutzverletzungen

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 33 und 34 DSGVO. Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, jede Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält mindestens:

1. Eine Beschreibung der Art der Verletzung
2. Die Kategorien und die ungefähre Anzahl der betroffenen Personen
3. Eine Beschreibung der wahrscheinlichen Folgen
4. Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

5.5 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei:

• der Beantwortung von Anfragen betroffener Personen (Art. 15–22 DSGVO)
• der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• der vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)

Technische und organisatorische Maßnahmen (TOM)

Unterauftragsverarbeiter

Der Auftraggeber erteilt dem Auftragnehmer die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.

Zum Zeitpunkt des Vertragsschlusses werden folgende Unterauftragsverarbeiter eingesetzt:

Unterauftragsverarbeiter	Leistung
Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen Deutschland	Bereitstellung der Server-Infrastruktur (Hosting, Netzwerk, Stromversorgung, physische Sicherheit des Rechenzentrums). Rechenzentrumsstandorte ausschließlich in Deutschland.

Der Auftragnehmer stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten, die in diesem Vertrag festgelegt sind, insbesondere hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt.

Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Bestimmungen dieses Vertrags beim Auftragnehmer zu überprüfen. Dies umfasst insbesondere:

1. Auskunftsrecht: Der Auftraggeber kann jederzeit Auskünfte über die getroffenen technischen und organisatorischen Maßnahmen verlangen.
2. Inspektionen: Der Auftraggeber kann nach angemessener Vorankündigung (mindestens 14 Tage) Überprüfungen durchführen oder durch einen beauftragten Prüfer durchführen lassen. Der Auftragnehmer stellt die hierfür erforderlichen Informationen zur Verfügung.
3. Nachweis: Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

Der Auftragnehmer kann alternativ aktuelle Zertifizierungen, Prüfberichte oder Auszüge aus Prüfberichten unabhängiger Stellen vorlegen, um die Einhaltung der vereinbarten Maßnahmen nachzuweisen.

Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags ist der Auftragnehmer verpflichtet, nach Wahl des Auftraggebers:

1. Sämtliche im Auftrag verarbeiteten personenbezogenen Daten an den Auftraggeber zurückzugeben und anschließend datenschutzkonform zu löschen, oder
2. sämtliche personenbezogenen Daten datenschutzkonform zu löschen und die Löschung schriftlich zu bestätigen.

Die Löschung erfolgt spätestens innerhalb von 30 Tagen nach Vertragsende, sofern keine gesetzliche Aufbewahrungspflicht besteht. Dies umfasst insbesondere:

• Löschung aller Zugangsdaten und Benutzerkonten
• Löschung aller Logdaten, die personenbezogene Daten enthalten
• Löschung aller Konfigurationsdaten mit Personenbezug
• Bei Modell 2: Vollständige Löschung des dedizierten Servers

Bestehende Datensicherungen werden spätestens innerhalb von 90 Tagen nach Vertragsende gelöscht.

Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Danach haftet jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird.

Der Auftragnehmer haftet für Schäden, die durch eine Verarbeitung entstehen, die nicht im Einklang mit den speziell an Auftragsverarbeiter gerichteten Pflichten der DSGVO oder unter Verstoß gegen die rechtmäßigen Anweisungen des Auftraggebers erfolgt.

Der Auftragnehmer wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Die Parteien stellen sich gegenseitig von Ansprüchen Dritter frei, die auf einer Verletzung der Pflichten aus diesem Vertrag durch die jeweils andere Partei beruhen.

Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Änderung dieser Schriftformklausel.

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragnehmers, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

Dieser Vertrag ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags über die Bereitstellung des Avapingu-Streaming-Systems.