Vertrag

Präambel

Diese Auftragsverarbeitungsvereinbarung nimmt Bezug auf eine Nutzung der Software „Lehrmeister“ unter den Allgemeinen Geschäftsbedingungen für die Nutzung von Lehrmeister. Der Auftraggeber bzw. dessen Mitarbeiter nutzen bzw. sollen die vom Auftragsverarbeiter angebotenen Services nutzen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

§ 1 Vertragsgegenstand

1. Der Auftragsverarbeiter stellt für den Auftraggeber und ggf. dessen Mitarbeiter*innen die Software Lehrmeister zur Verfügung. Dabei handelt es sich um eine Anwendung mit der Nutzer organisatorische Tätigkeiten verwalten können. Die Anwendung ist als App für iOS und Android, sowie als Webversion im Browser verfügbar. Auf alle Daten, die von dem Nutzer in die Anwendung eingetragen werden, haben Dritte keinen Zugriff. Dabei handelt es sich zum Beispiel um Informationen zu Klassen, Kursen, Schüler*innen, Noten, Unterrichtsstunden. Diese Anwendungsdaten werden mit dem geheimen Passwort des Nutzers Ende-zu-Ende verschlüsselt. Zur Datensicherung und Synchronisation zwischen verschiedenen Geräten werden die verschlüsselten Anwendungsdaten auf Servern des Auftragsverarbeiters gespeichert. Dabei erhält der Auftragsverarbeiter Zugriff auf die verschlüsselten personenbezogenen Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers.
2. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung.
3. Der Auftragsverarbeiter verarbeitet personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO auf Grundlage dieses Vertrags sowie gesetzlicher Erfordernisse.
4. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen dem Auftraggeber und Lehrmeister abzustimmen, und schriftlich in einem dokumentierten elektronischen Format festzulegen.
5. Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff DSGVO erfüllt sind.
6. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragsverarbeiter und seine Beschäftigten oder durch den Auftragsverarbeiter Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber bzw. von dessen Mitarbeitern erhoben wurden.
7. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit der Nutzung der Services, sofern sich aus den nachfolgenden Bestimmungen nicht darüber hinausgehende Verpflichtungen oder Kündigungsrechte ergeben.

§ 2 Weisungsrecht

1. Der Auftragsverarbeiter darf Daten nur im Rahmen der Nutzung der Services und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragsverarbeiter durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
2. Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Die weisungsberechtigten Personen ergeben sich aus Anlage 2. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner unverzüglich der/die Nachfolger*in bzw. Vertreter*in in Textform zu benennen.
3. Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragsverarbeiter mindestens in Textform zu dokumentieren. Weisungen, die über die vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
4. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich in Textform darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragsverarbeiter darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

§ 3 Art der verarbeiteten Daten, Kreis der Betroffenen

1. Im Rahmen der Durchführung der Services verarbeitet der Auftragsverarbeiter die von den Nutzern hochgeladenen, verschlüsselten, personenbezogenen Daten.
2. Grundsätzlich ist nur der Nutzer von der Datenverarbeitung betroffen, im Übrigen liegt es beim Nutzer inwiefern Dritte von der Datenverarbeitung betroffen sind.

§ 4 Schutzmaßnahmen des Auftragsverarbeiters

1. Der Auftragsverarbeiter ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
2. Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO, insbesondere mindestens die in Anlage 2 aufgeführten Maßnahmen. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
3. Sofern ein betrieblicher Datenschutzbeauftragter gesetzlich vorgeschrieben ist, veröffentlicht der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten auf seiner Internetseite und teilt sie der Aufsichtsbehörde mit. Beim Auftragsverarbeiter ist ansonsten als Ansprechpartner für den Datenschutz bestellt: [Tobias Eberle]. Veröffentlichung und Mitteilung weist der Auftragsverarbeiter auf Anforderung des Auftraggebers in geeigneter Weise nach.
4. Den bei der Datenverarbeitung durch den Auftragsverarbeiter beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragsverarbeiter wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragsverarbeiter bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

§ 5 Informationspflichten des Auftragsverarbeiters

1. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragsverarbeiters, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragsverarbeiter den Auftraggeber unverzüglich in Textform informieren. Dasselbe gilt für Prüfungen des Auftragsverarbeiters durch die Datenschutz-Aufsichtsbehörde. Das gilt insbesondere im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und 34 DSGVO. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:
1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
2. eine Beschreibung der von dem Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
2. Der Auftragsverarbeiter trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
3. Der Auftragsverarbeiter ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.
4. Der Auftragsverarbeiter gewährleistet dem Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 angemessen zu unterstützen (Art. 28 III Satz 2 lit. f DSGVO). Meldungen nach Art. 33, 34 DSGVO für den Auftraggeber darf der Auftragverarbeiter nur nach vorheriger Weisung gemäß § 3 dieses Vertrages durchführen.
5. Sollten die Daten des Auftraggebers beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragsverarbeiter wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegt.
6. Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 5 Abs. 2 hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu unterrichten.
7. Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.
8. An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragsverarbeiter im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.

§ 6 Kontrollrechte des Auftraggebers

1. Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters. Hierfür kann er z. B. Auskünfte des Auftragsverarbeiters einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragsverarbeiters dabei nicht unverhältnismäßig stören.
2. Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auf dessen schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters erforderlich sind.
3. Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragsverarbeiter mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragsverarbeiter unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragsverarbeiter die notwendigen Verfahrensänderungen unverzüglich mit.
4. Der Auftragsverarbeiter stellt dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung.
5. Der Auftragsverarbeiter weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach § 5 Abs. 4 auf Verlangen nach.

§ 7 Einsatz von Subunternehmen

1. Der Auftragsverarbeiter ist im Rahmen seiner vertraglichen Verpflichtungen allgemein zur Begründung von Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) unter Beachtung aller anwendbarer gesetzlichen Anforderungen befugt. Bei Begründung eines neuen oder Veränderung eines bisherigen Subunternehmerverhältnisses hat der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter zu informieren. Die Kommunikation erfolgt im Rahmen der Services an alle Nutzer.
2. Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport und Versandleistungen, Reinigungsleistungen, Wartungs- und Prüfleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Auftraggeber erbringt und Bewachungsdienste.
3. Zurzeit sind für den Auftragsverarbeiter folgende Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt:
1. Netcup GmbH, Daimlerstraße 25 in 76185 Karlsruhe, Deutschland
   Bereitstellung der Server und Domain
2. Hetzner Online GmbH, Industriestr. 25 in 91710 Gunzenhausen, Deutschland
   Bereitstellung des Backupspeichers

§ 8 Anfragen und Rechte Betroffener

1. Der Auftragsverarbeiter unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DSGVO.
2. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragsverarbeiter geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
3. Der Auftraggeber und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

§ 9 Haftung

1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragsverarbeiter alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich. Im Übrigen wird auf Art. 82 DSGVO verwiesen.

§ 10 Außerordentliches Kündigungsrecht

1. Der Auftraggeber kann gemeinsam mit dem/der Lehrer*in der/die den Hauptvertrag geschlossen hat den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragsverarbeiter seinen wesentlichen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers willkürlich missachtet. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragsverarbeiter eine angemessene Frist, innerhalb welcher der Auftragsverarbeiter den Verstoß abstellen kann.

§ 11 Beendigung des Hauptvertrags

1. Der Auftragsverarbeiter wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragsverarbeiter. Der Auftragsverarbeiter hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu entsorgende Unterlagen sind mit einem Aktenvernichter nach DIN 32757-1 zu vernichten. Zu entsorgende Datenträger sind nach DIN 66399 zu vernichten. Die Löschung von Daten in der Cloud erfolgt durch unwiderrufliche Entfernung von den Systemen des Cloudanbieters und ausdrücklich nicht durch Anonymisierung der Daten.
2. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragsverarbeiter in geeigneter Weise zu kontrollieren.
3. Der Auftragsverarbeiter ist verpflichtet, auch über das Ende der Nutzung der Services hinaus die ihm im Zusammenhang mit dem Vertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus so lange gültig, wie der Auftragsverarbeiter über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.

§ 12 Schlussbestimmungen

1. Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragsverarbeiter i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
2. Der Auftragsverarbeiter geht davon aus, dass Lehrer*innen, die für den Auftraggeber Daten an den Auftragsverarbeiter übermitteln, entsprechend auch zur Zeichnung dieser Vereinbarung berechtigt sind. Der Auftraggeber sichert diese Vertretungsberechtigung zu.
3. Der Auftragsverarbeiter ist berechtigt die Schule als Vertragspartner öffentlich anzugeben, insbesondere um einen Abgleich hinsichtlich des Bestands einer Auftragsverarbeitungsvereinbarung für Lehrer zu ermöglichen.
4. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
5. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
6. Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Stuttgart/Mitte.

Anlagen zu diesem Vertrag

Anlage 1: Weisungsberechtigte Personen
Anlage 2: Technische und organisatorische Maßnahmen des Auftragsverarbeiters

Musterstadt, 01.11.2025

Ort, Datum

Max Mustermann

Stuttgart, 01.11.2025

Ort, Datum

Korbinian Kuhn

Korbinian Kuhn
Software Werke GmbH

Anlage 1: Weisungsberechtigte Personen

1. Weisungsempfänger beim Auftragsverarbeiter ist der Geschäftsführer.
2. Weisungsberechtigt für den Auftraggeber ist der bzw. die Unterzeichnende.

Anlage 2: Technische und organisatorische Maßnahmen des Auftragsverarbeiters

Die Parteien vereinbaren folgende technische und organisatorische Maßnahmen. Die jeweils neueste Version ist unter folgendem Link zu finden:

http://localhost:42057/assets/pdf/lehrmeister-technische-und-organisatorische-massnahmen.pdf

Software Werke GmbH