Zum Hauptinhalt springen
← Zurück zur Lizenzverwaltung

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Version 2026-03 · Stand: März 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen der Schule bzw. dem Lizenzinhaber (nachfolgend „Verantwortlicher") und dem Betreiber von sprechtag.app, Magnus Botscher, Ferrenberg 23, 51491 Overath (nachfolgend „Auftragsverarbeiter") geschlossen.

Der AVV ergänzt die Allgemeinen Geschäftsbedingungen von sprechtag.app und regelt die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter erbringt für den Verantwortlichen die in den Allgemeinen Geschäftsbedingungen beschriebenen Leistungen (digitale Verwaltung von Elternsprechtagen). Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags (Lizenzvertrag). Mit Beendigung des Hauptvertrags endet auch dieser AVV, vorbehaltlich der Regelungen zur Datenlöschung in § 7.

§ 2 Art, Zweck und Umfang der Verarbeitung

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter sind in der Datenschutzerklärung unter Verarbeitungstätigkeit 3 beschrieben. Im Einzelnen:

MerkmalInhalt
ZweckTerminbuchung für Elternsprechtage; Buchungsbestätigung per E-Mail
Art der VerarbeitungErheben, Speichern, Übermitteln, Löschen
Kategorien BetroffenerEltern; indirekt Schülerinnen und Schüler (Name)
DatenkategorienName Elternteil, Name Kind, E-Mail (optional), Termin, Buchungszeitpunkt
Ort der VerarbeitungSupabase, AWS eu-central-1, Frankfurt (Deutschland)

§ 3 Weisungsbindung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Plattform sprechtag.app gemäß den vereinbarten Funktionen gilt als dokumentierte Weisung.

Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, teilt er dies dem Verantwortlichen unverzüglich mit.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • Alle mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO)
  • Die in § 6 und im TOM-Katalog beschriebenen technischen und organisatorischen Maßnahmen zu treffen und aufrechtzuerhalten
  • Den Verantwortlichen unverzüglich zu informieren, wenn dem Auftragsverarbeiter eine Datenpanne bekannt wird (Art. 33 DSGVO)
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) soweit möglich zu unterstützen
  • Alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung zu stellen und Prüfungen zu ermöglichen

§ 5 Unterauftragsverhältnisse (Subprozessoren)

Der Auftragsverarbeiter setzt folgende Subprozessoren ein. Die Beauftragung weiterer Subprozessoren oder der Wechsel bestehender Subprozessoren ist dem Verantwortlichen mit angemessener Frist anzukündigen:

Supabase Inc. (USA)

Datenbankhosting — Serverstandort: AWS Frankfurt (eu-central-1, Deutschland). Daten verlassen die EU nicht. SCC gemäß Art. 46 DSGVO.

Vercel Inc. (USA)

Anwendungs-Hosting und Infrastruktur. SCC gemäß Art. 46 DSGVO.

Resend Inc. (USA)

Transaktionaler E-Mail-Versand (Buchungsbestätigungen, Erinnerungen). SCC gemäß Art. 46 DSGVO.

Sentry GmbH (Deutschland)

Error-Monitoring — Verarbeitung in EU-Region (ingest.de.sentry.io, Frankfurt). 30 Tage Aufbewahrung. Kein Session-Replay, kein Performance-Tracking, keine Cookies.

§ 6 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen. Die detaillierte Beschreibung der Maßnahmen ist im TOM-Katalog festgehalten, der auf Anfrage zur Verfügung gestellt wird.

Wesentliche Maßnahmen im Überblick:

  • Verschlüsselung aller PII-Felder in der Datenbank (AES-256-GCM)
  • Verschlüsselung in der Übertragung (HTTPS / TLS 1.3)
  • Zugriffskontrolle durch Row Level Security (RLS)
  • Passwortloser Zugang (Magic Link / OTP) mit Rate Limiting
  • Automatische Löschung von Buchungsdaten 14 Tage nach Sprechtag-Ende
  • Datenbankserver in Deutschland (AWS Frankfurt)

TOM-Katalog anfordern: kontakt@sprechtag.app

§ 7 Löschung und Rückgabe von Daten

Buchungsdaten (Name Elternteil, Name Kind, E-Mail-Adresse) werden automatisch 14 Tage nach dem Enddatum des jeweiligen Sprechtags gelöscht. Dies entspricht der datenschutzrechtlichen Anforderung der Datensparsamkeit und Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).

Nach Beendigung des Hauptvertrags werden alle verbleibenden personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Verantwortliche kann die Löschung schriftlich bestätigen lassen.

§ 8 Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV durch Anfragen, Dokumentenprüfungen oder Vor-Ort-Prüfungen zu kontrollieren. Prüfungen sind mit angemessener Frist anzukündigen (mindestens 5 Werktage). Der Auftragsverarbeiter unterstützt entsprechende Kontrollen.

Anfragen richten Sie an: kontakt@sprechtag.app

§ 9 Schlussbestimmungen

Dieser AVV unterliegt deutschem Recht. Änderungen bedürfen der Textform. Im Übrigen gelten die Allgemeinen Geschäftsbedingungen von sprechtag.app. Bei Widersprüchen zwischen AVV und AGB gehen die Regelungen dieses AVV vor.

Hinweis zur digitalen Akzeptanz

Durch die Bestätigung in Ihrem Lizenz-Bereich akzeptieren Sie diesen AVV verbindlich im Namen Ihrer Schule. Der Zeitstempel der Akzeptanz wird gespeichert. Dieser AVV kann über Ihren Lizenz-Bereich jederzeit abgerufen und ausgedruckt werden.