Auftragsverarbeitungsvertrag (AVV)
dem jeweiligen Nutzer von Preceptly (nachfolgend „Verantwortlicher")
und
Andreas Eirich, andicode / Preceptly, Birkenweg 7, 49577 Ankum, Deutschland
E-Mail: impressum@andicode.de (nachfolgend „Auftragsverarbeiter")
Durch die Nutzung von Preceptly und die Zustimmung zu den Allgemeinen Geschäftsbedingungen schließt der Verantwortliche diesen Auftragsverarbeitungsvertrag ab.
1. Gegenstand und Dauer der Verarbeitung
1.1 Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten im Rahmen der Bereitstellung der SaaS-Plattform Preceptly.
1.2 Die Verarbeitung erfolgt für die Dauer der Nutzung von Preceptly durch den Verantwortlichen.
2. Art, Zweck und Umfang der Verarbeitung
2.1 Folgende Kategorien personenbezogener Daten sind Gegenstand der Verarbeitung:
- Schülerstammdaten (Name, Klasse/Jahrgangsstufe, Fach)
- Vertragsdaten (Fach, Vergütung, geplante Stundenzahl)
- Termindaten (Stundentermine, Notizen, Hausaufgabenvermerke)
- Elternportal-Daten (Namen und E-Mail-Adressen von Erziehungsberechtigten, sofern genutzt)
- Rechnungsdaten (erbrachte Leistungen, Beträge)
2.2 Betroffene Personengruppen:
- Schüler des Verantwortlichen
- Erziehungsberechtigte (sofern das Elternportal genutzt wird)
2.3 Zweck der Verarbeitung ist die technische Unterstützung der Nachhilfeverwaltung des Verantwortlichen (Stundenplanung, Vertragsverwaltung, Rechnungsstellung).
3. Weisungsgebundenheit
3.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch das Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
3.2 Die Nutzung der Plattformfunktionen durch den Verantwortlichen gilt als dokumentierte Weisung im Sinne des Art. 28 DSGVO.
4. Vertraulichkeit
4.1 Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind.
5. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gem. Art. 32 DSGVO, insbesondere:
- Verschlüsselte Datenübertragung (HTTPS/TLS)
- Sicheres Passwort-Hashing (PBKDF2/bcrypt)
- Mandantentrennung: jeder Nutzer sieht ausschließlich seine eigenen Daten
- Zugangsbeschränkung auf authentifizierte Nutzer
- Regelmäßige Datensicherungen
- Protokollierung sicherheitsrelevanter Ereignisse
6. Unterauftragsverarbeiter
6.1 Der Auftragsverarbeiter ist berechtigt, folgende Unterauftragsverarbeiter einzusetzen:
| Unterauftragsverarbeiter | Zweck | Sitz | Transfergrundlage |
|---|---|---|---|
| Railway Corp. | Infrastruktur & Hosting | USA | Standardvertragsklauseln (SCCs) |
| Anthropic, PBC | KI-Unterrichtsplanung (nur Pro-Tarif) | USA | Standardvertragsklauseln (SCCs) |
Stripe, Inc. verarbeitet ausschließlich Zahlungsdaten des Verantwortlichen (Abo-Gebühren) und ist damit kein Unterauftragsverarbeiter für Schülerdaten im Sinne dieses AVV. Stripe ist in der allgemeinen Datenschutzerklärung separat ausgewiesen.
6.2 Änderungen hinsichtlich der eingesetzten Unterauftragsverarbeiter werden dem Verantwortlichen durch eine Aktualisierung dieser Seite mitgeteilt. Der Verantwortliche kann innerhalb von 14 Tagen nach Bekanntgabe Einspruch erheben.
7. Rechte der betroffenen Personen
7.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
8. Löschung und Rückgabe
8.1 Nach Beendigung des Auftrags löscht oder gibt der Auftragsverarbeiter – nach Wahl des Verantwortlichen – alle personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
8.2 Der Verantwortliche kann die Löschung seiner Daten jederzeit per E-Mail an impressum@andicode.de beantragen.
9. Kontrollrechte
9.1 Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags beim Auftragsverarbeiter zu überprüfen oder durch einen beauftragten Dritten überprüfen zu lassen. Der Auftragsverarbeiter stellt alle erforderlichen Informationen zur Verfügung und kooperiert bei Überprüfungen.
10. Meldepflichten bei Datenpannen
10.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
10.2 Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, per E-Mail an die im Konto hinterlegte Adresse.