# Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) > **ENTWURF — Rechtliche Prüfung erforderlich.** Diese Vorlage wurde nicht > durch einen Fachanwalt für IT-Recht / Datenschutzrecht freigegeben. Vor > Unterzeichnung ist eine juristische Prüfung dringend empfohlen. --- ## Zwischen **Auftraggeber (Schule)** - Schulname: - Anschrift: - Vertretungsberechtigte:r (Schulleitung): - E-Mail: und **Auftragsverarbeiter (Betreiber)** - Name: - Anschrift: - Vertretungsberechtigte:r: - E-Mail: — im Folgenden gemeinsam "die Vertragsparteien" — --- ## § 1 Gegenstand und Dauer der Auftragsverarbeitung (1) Gegenstand des Auftrags ist der Betrieb der Software-as-a-Service- Plattform "Aula" für die Organisation von Schulveranstaltungen (insbesondere Abi-Feiern, Schulfeste, Jubiläen, Klassenfahrten). (2) Die Verarbeitung beginnt mit Inkrafttreten dieses Vertrages und läuft auf unbestimmte Zeit. Sie endet mit Beendigung des Hauptvertrags oder Kündigung des Auftragsverarbeitungsvertrags. ## § 2 Art, Umfang und Zweck der Verarbeitung (1) Art der Daten: Identitätsdaten (Name, E-Mail, ggf. Telefonnummer), schulspezifische Rollen-Informationen, Projekt- und Aufgabendaten, Budget- und Lieferantendaten, Kommunikationsinhalte. (2) Kategorien betroffener Personen: - Schüler:innen der Abiturjahrgänge der Schule - Lehrkräfte und Schulleitung - Eltern und Förderverein-Mitglieder - Externe Ansprechpartner:innen (Lieferanten, Sponsoren) (3) Zweck der Verarbeitung: Bereitstellung der Plattform-Funktionalität; Sicherstellung der Datensicherheit; Audit zur Missbrauchsabwehr; optional: KI-gestützte Hilfsfunktionen mit strukturierten Eingaben. ## § 3 Technische und organisatorische Maßnahmen (TOMs) Der Auftragsverarbeiter verpflichtet sich zur Einhaltung folgender TOMs gemäß Art. 32 DSGVO: - **Vertraulichkeit:** Zugriffskontrolle (passwortbasierte Authentifizierung mit argon2id-Hashing), Mandantentrennung auf Datenbank-Ebene (PostgreSQL Row-Level Security), Verschlüsselung der Übertragung (TLS via Cloudflare-Tunnel). - **Integrität:** Append-only Audit-Logs für sicherheitsrelevante und geschäftliche Ereignisse (security_events, activity_events, generation_events). - **Verfügbarkeit:** Tägliche Snapshots; Wiederherstellungs-Tests mindestens halbjährlich. - **Belastbarkeit:** Trennung von Identitäts-Layer (User), Mitgliedschaft und Projekt-Rollen; Pseudonymisierung statt Hartlöschung bei DSGVO-Erasure-Anfragen. Eine vollständige TOM-Liste ist als Anlage 1 beigefügt. ## § 4 Berichtigung, Löschung und Sperrung von Daten (1) Auf Weisung des Auftraggebers nimmt der Auftragsverarbeiter Berichtigungen, Löschungen und Sperrungen unverzüglich vor. (2) Bei Löschung wird die Person pseudonymisiert: PII-Felder werden auf NULL gesetzt, der technische Datensatz mit anonymem Anzeigenamen ("Ehemaliger Nutzer") bleibt zur Wahrung der referenziellen Integrität von Projekten und Audit-Logs erhalten. ## § 5 Unterauftragsverhältnisse (1) Der Auftragsverarbeiter darf folgende Unterauftragsverarbeiter einsetzen: - E-Mail-Versand: Resend Inc. (USA) — Standardvertragsklauseln - AI-Funktionen (optional): Anthropic (USA) — Standardvertragsklauseln - Hosting / Edge-Routing: Cloudflare Inc. (USA) — Standardvertragsklauseln (2) Eine Erweiterung um weitere Unterauftragsverarbeiter erfordert die schriftliche Zustimmung des Auftraggebers. (3) **AI-Verarbeitung** erfolgt durch Anthropic (USA, Standardvertrags- klauseln, **Zero Data Retention**). Schulen-spezifische Inhalte werden für die Modellverbesserung **NICHT** verwendet. Der Auftraggeber kann einzelne KI-gestützte Funktionen (z.B. den Archiv-Import) auf Wunsch deaktivieren lassen. ## § 6 Pflichten des Auftraggebers Der Auftraggeber sorgt für die rechtmäßige Erhebung der Daten und informiert die betroffenen Personen. ## § 7 Mitteilung von Datenschutzverletzungen Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten. ## § 8 Sonstige Bestimmungen (1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt. (2) Es gilt das Recht der Bundesrepublik Deutschland. --- ## Unterschriften Ort, Datum: ____________________ Auftraggeber (Schule): ____________________ Auftragsverarbeiter: ____________________