Auftragsverarbeitungsvertrag (AVV)
Gemäß Art. 28 DSGVO
Vertragsparteien
Auftraggeber: Die jeweilige Schule (Mandant)
Auftragsverarbeiter: Lernwerk
Gegenstand
Bereitstellung der SaaS-Plattform zur Schulverwaltung einschließlich Hosting, Backup und technischem Support.
Art der verarbeiteten Daten
Personenbezogene Daten von Schülern, Eltern, Lehrkräften und Verwaltungsmitarbeitern gemäß Datenschutzerklärung.
Technische und organisatorische Maßnahmen
- Mandantentrennung durch tenant_id in allen Tabellen
- Verschlüsselte Passwörter (bcrypt)
- Rollenbasierte Zugriffskontrolle
- CSRF-Schutz für Formulare
- Protokollierung von Datenschutz-Einwilligungen
- Backup und Wiederherstellungskonzept (vom Betreiber bereitzustellen)
Unterauftragsverarbeiter
Hosting-Provider und E-Mail-Dienstleister werden in einer aktuellen Liste beim Betreiber geführt.
Löschung nach Vertragsende
Nach Beendigung des Mandatsverhältnisses werden alle personenbezogenen Daten des Mandanten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.