Abgrenzung zum Auftragsverarbeitungsvertrag (AVV): Bei Modell 3 betreibt der Kunde den Avapingu-Streaming-Server eigenständig auf eigener Infrastruktur. Der Dienstleister hat keinen dauerhaften Zugriff auf den Server oder die darauf verarbeiteten Daten. Ein klassischer Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist daher in der Regel nicht erforderlich. Diese Vereinbarung regelt stattdessen die Vertraulichkeit und die Bedingungen für gelegentliche Fernwartungszugriffe.
Auftraggeber (Kunde)
Name und Anschrift des Kunden (z. B. Schule, Schulträger) – werden mit der Bestellung bzw. Auftragsbestätigung festgelegt.
– nachfolgend „Kunde" –
Dienstleister
Jürgen Dorsch
Käferflugstraße 45, 74076 Heilbronn
E-Mail: info@avapingu.de
– nachfolgend „Dienstleister" –
Gegenstand der Vereinbarung
Diese Vereinbarung regelt die Bedingungen für die Erbringung technischer Supportleistungen durch den Dienstleister im Zusammenhang mit dem Avapingu-Streaming-System (Modell 3 – Eigenserver).
Der Leistungsumfang des Dienstleisters umfasst:
- Bereitstellung vorkonfigurierter SD-Karten: Der Dienstleister liefert SD-Karten mit vorinstallierter und vorkonfigurierter Software für den Betrieb des Avapingu-Streaming-Systems. Die SD-Karten werden vor Auslieferung mit den vom Kunden mitgeteilten Konfigurationsparametern eingerichtet.
- Technischer Support: Beratung und Unterstützung bei der Einrichtung, Konfiguration und dem Betrieb des Systems per E-Mail, Telefon oder Fernwartung.
- Fernwartung: Zugriff auf den Server des Kunden per SSH ausschließlich auf ausdrückliche Anfrage und mit Genehmigung des Kunden zur Fehlerdiagnose, Fehlerbehebung oder Konfigurationsanpassung.
Der Kunde betreibt den Avapingu-Streaming-Server eigenständig auf eigener Infrastruktur. Der Dienstleister hat keinen dauerhaften oder eigenständigen Zugriff auf den Server oder die darauf verarbeiteten Daten.
Zugriff nur auf ausdrückliche Anfrage
Der Dienstleister erhält Zugriff auf den Server des Kunden ausschließlich unter folgenden Bedingungen:
- Der Kunde erteilt eine ausdrückliche, anlassbezogene Anfrage für den Fernwartungszugriff (z. B. per E-Mail, Ticket oder telefonisch).
- Der Kunde aktiviert den SSH-Zugang eigenständig und teilt dem Dienstleister die erforderlichen Zugangsdaten mit, oder der Kunde gewährt den Zugriff über einen bereits eingerichteten, aber standardmäßig deaktivierten SSH-Zugang.
- Der Zugriff ist zeitlich auf die Dauer der angefragten Supportleistung begrenzt.
- Nach Abschluss der Arbeiten deaktiviert der Kunde den SSH-Zugang wieder oder ändert die Zugangsdaten.
Ein eigenständiger, unaufgeforderter Zugriff durch den Dienstleister findet nicht statt.
Vertraulichkeit
Der Dienstleister verpflichtet sich, alle Informationen und Daten, die ihm im Rahmen der Fernwartung oder des technischen Supports bekannt werden, streng vertraulich zu behandeln. Dies umfasst insbesondere:
- Personenbezogene Daten, die auf dem Server des Kunden verarbeitet werden (z. B. Zugangsdaten, Konfigurationsdaten, Logdaten)
- Technische Informationen über die Infrastruktur des Kunden (IP-Adressen, Netzwerkkonfiguration, Serverkonfiguration)
- Inhalte von Video- und Audio-Streams, sofern diese während der Fernwartung zufällig wahrgenommen werden
- Organisatorische Informationen des Kunden (Schulnamen, Personennamen, interne Abläufe)
Die Vertraulichkeitspflicht gilt unbefristet über das Ende dieser Vereinbarung hinaus.
Der Dienstleister gewährleistet, dass alle Mitarbeiter und Hilfspersonen, die im Rahmen dieser Vereinbarung tätig werden, in gleicher Weise zur Vertraulichkeit verpflichtet sind.
Protokollierung der Zugriffe
Jeder Fernwartungszugriff wird dokumentiert. Die Protokollierung umfasst mindestens:
| Protokollinhalt |
Beschreibung |
| Datum und Uhrzeit |
Beginn und Ende des Fernwartungszugriffs |
| Anlass |
Grund der Anfrage bzw. Fehlerbeschreibung |
| Durchgeführte Maßnahmen |
Beschreibung der vorgenommenen Arbeiten und Konfigurationsänderungen |
| Zugreifende Person |
Name des Mitarbeiters des Dienstleisters, der den Zugriff durchgeführt hat |
| Ergebnis |
Ergebnis der Fernwartung (Problem behoben, weitere Schritte erforderlich etc.) |
Die Protokolle werden dem Kunden auf Anfrage zur Verfügung gestellt. Der Dienstleister bewahrt die Protokolle für die Dauer der Vertragsbeziehung und darüber hinaus für einen Zeitraum von 12 Monaten auf.
Keine dauerhafte Datenspeicherung beim Dienstleister
Der Dienstleister speichert keine personenbezogenen Daten des Kunden dauerhaft. Im Einzelnen gilt:
- Während der Fernwartung eingesehene Daten werden nicht kopiert, heruntergeladen oder anderweitig beim Dienstleister gespeichert.
- Zugangsdaten, die der Kunde dem Dienstleister für den Fernwartungszugriff mitteilt, werden nach Abschluss der Arbeiten unverzüglich und unwiderruflich gelöscht (z. B. aus E-Mails, Chat-Verläufen, Notizen).
- Auf den vorkonfigurierten SD-Karten befinden sich keine personenbezogenen Daten der betroffenen Personen. Die SD-Karten enthalten ausschließlich die Systemsoftware und die vom Kunden mitgeteilten technischen Konfigurationsparameter (z. B. Server-Adresse, Ports, Passphrasen).
- Sollte der Dienstleister im Rahmen der Fehlerdiagnose temporär Logdaten oder Konfigurationsdateien erhalten, werden diese nach Abschluss der Supportleistung innerhalb von 7 Tagen gelöscht.
Pflichten des Kunden
Der Kunde ist als Betreiber des Avapingu-Streaming-Servers auf eigener Infrastruktur der datenschutzrechtlich Verantwortliche im Sinne der DSGVO. Dem Kunden obliegen insbesondere folgende Pflichten:
- Datenschutzverantwortung: Der Kunde ist für die Einhaltung aller datenschutzrechtlichen Vorschriften im Zusammenhang mit dem Betrieb des Streaming-Systems verantwortlich, insbesondere der DSGVO, des BDSG und der einschlägigen Landesdatenschutzgesetze.
- Einwilligungen: Der Kunde stellt sicher, dass alle erforderlichen Einwilligungen der betroffenen Personen (insbesondere der Erziehungsberechtigten der Schülerinnen und Schüler sowie der Lehrkräfte) vor Inbetriebnahme des Systems eingeholt werden.
- Datenschutz-Folgenabschätzung: Der Kunde prüft eigenverantwortlich, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich ist, und führt diese gegebenenfalls durch.
- Zugangskontrolle: Der Kunde ist für die Verwaltung und Sicherheit der Zugangsdaten zu seinem Server verantwortlich. Der Kunde deaktiviert den SSH-Zugang nach Abschluss jeder Fernwartung.
- Informationspflichten: Der Kunde informiert die betroffenen Personen gemäß Art. 13 und 14 DSGVO über die Datenverarbeitung.
- Technische Sicherheit: Der Kunde ist für die Sicherheit seines Servers und seines Netzwerks verantwortlich, einschließlich regelmäßiger Sicherheitsupdates, Firewall-Konfiguration und Zugriffsschutz.
Haftungsabgrenzung
Die Haftung der Parteien wird wie folgt abgegrenzt:
7.1 Haftung des Dienstleisters
Der Dienstleister haftet für Schäden, die durch eine schuldhafte Verletzung seiner Pflichten aus dieser Vereinbarung entstehen, insbesondere für:
- Verletzung der Vertraulichkeitspflicht
- Schäden, die durch fehlerhafte Fernwartungsarbeiten am Server des Kunden verursacht werden
- Fehlerhafte Konfiguration der bereitgestellten SD-Karten, soweit diese auf ein Verschulden des Dienstleisters zurückzuführen ist
7.2 Keine Haftung des Dienstleisters
Der Dienstleister haftet nicht für:
- Den datenschutzkonformen Betrieb des Servers durch den Kunden
- Die Einholung erforderlicher Einwilligungen durch den Kunden
- Datenschutzverletzungen, die auf Handlungen oder Unterlassungen des Kunden zurückzuführen sind
- Die Verfügbarkeit und Sicherheit der Infrastruktur des Kunden
- Schäden, die durch vom Kunden eigenständig vorgenommene Konfigurationsänderungen entstehen
- Die Inhalte der über das System übertragenen Streams
7.3 Haftungsbeschränkung
Die Haftung des Dienstleisters für leicht fahrlässige Pflichtverletzungen ist auf den vorhersehbaren, vertragstypischen Schaden begrenzt, es sei denn, es handelt sich um Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. Diese Haftungsbeschränkung gilt nicht bei Vorsatz oder grober Fahrlässigkeit.
Laufzeit und Kündigung
Diese Vereinbarung tritt mit Unterzeichnung durch beide Parteien in Kraft und gilt für die Dauer der Geschäftsbeziehung zwischen den Parteien.
Die Vereinbarung kann von jeder Partei mit einer Frist von 30 Tagen zum Monatsende schriftlich gekündigt werden. Die Vertraulichkeitspflichten gemäß § 3 gelten unbefristet fort.
Bei Beendigung der Vereinbarung löscht der Dienstleister unverzüglich alle ihm vorliegenden Zugangsdaten, Konfigurationsdaten und Protokolle des Kunden, sofern keine gesetzliche Aufbewahrungspflicht besteht.
Schlussbestimmungen
Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für die Änderung dieser Schriftformklausel.
Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.
Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Dienstleisters, sofern der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
Vertragsschluss: Diese Vereinbarung kommt durch die Bestellung des Kunden (über avapingu.de/angebot.html bzw. per E-Mail) und die Auftragsbestätigung durch den Dienstleister (Avapingu) per E-Mail zustande. Eine gesonderte handschriftliche Unterschrift ist nicht erforderlich.