Entwurf · Art. 28 DSGVO

AVV

Vertrag zur Auftragsverarbeitung für Schulen, Schulträger und Bildungseinrichtungen, die Lærry im schulischen Kontext einsetzen möchten.

Vertragspartner

Dieser Vertrag zur Auftragsverarbeitung wird geschlossen zwischen der Schule, dem Schulträger oder der sonstigen Bildungseinrichtung als Verantwortlichem im Sinne von Art. 4 Nr. 7 DSGVO und Felix Küster, Lærry, Lärchenweg 26, 78315 Radolfzell am Bodensee, Deutschland, als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

Die konkrete Bezeichnung des Verantwortlichen, Ansprechpersonen, Vertragsbeginn und gegebenenfalls besondere schulische Vorgaben werden in der jeweiligen Beitritts-, Bestell- oder Individualvereinbarung ergänzt.

1. Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung der Plattform Lærry für Unterrichtsvorbereitung, Materialerstellung, digitale Klassenräume, Übungsformate, Hörverstehen, Quizze, Sprachhilfen und damit verbundene Verwaltungsfunktionen.

Die Verarbeitung erfolgt für die Dauer des jeweiligen Nutzungs-, Lizenz- oder Vertragsverhältnisses. Nach Ende der Leistungserbringung werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

2. Art und Zweck der Verarbeitung

Lærry verarbeitet personenbezogene Daten ausschließlich, um die vereinbarten Plattformfunktionen bereitzustellen, zu sichern, zu warten und im Auftrag des Verantwortlichen nutzbar zu machen.

Zwecke sind insbesondere Account- und Zugangsverwaltung, Klassenraumzugang, Anzeige freigegebener Unterrichtsinhalte, Bearbeitung von Aufgaben, pädagogische Rückmeldung, Speicherung von Unterrichtsmaterialien, KI-gestützte Erstellung von Materialien im Auftrag der Lehrkraft sowie Support und technischer Betrieb.

3. Datenarten und betroffene Personen

Betroffene Personen

Betroffen sein können Lehrkräfte, schulische Administratorinnen und Administratoren sowie Schülerinnen und Schüler.

Daten von Schülerinnen und Schülern

Lærry ist auf Datensparsamkeit ausgelegt. Für den Zugang zum geschlossenen Klassenraum werden keine Schüler-E-Mail-Adressen und keine vollständigen Schülerprofile benötigt. Nachnamen, vollständige Namen, Handynummern oder ähnliche Kontaktdaten von Schülerinnen und Schülern werden nicht abgefragt. Typische Daten sind Vorname, technische Zugangsdaten zum Klassenraum, Bearbeitungsstände, Antworten, Punkte, Freigabestatus und freiwillige Texteingaben in vorgesehenen Lernfunktionen.

Daten von Lehrkräften

Bei Lehrkräften können insbesondere Name, E-Mail-Adresse, Login-Daten, Rollen, Einstellungen, Schulzuordnung, erstellte Materialien, Freigaben, Nutzungsdaten innerhalb der Plattform und Supportkommunikation verarbeitet werden.

4. Weisungen des Verantwortlichen

Lærry verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, soweit keine gesetzliche Pflicht zur Verarbeitung besteht. Die Weisungen ergeben sich aus diesem AVV, dem Hauptvertrag, den im Produkt gewählten Einstellungen und schriftlichen Einzelweisungen des Verantwortlichen.

Hält Lærry eine Weisung für datenschutzrechtlich bedenklich, wird der Verantwortliche hierüber informiert.

5. Pflichten von Lærry

Lærry verpflichtet sich insbesondere dazu,

  • personenbezogene Daten nur zweckgebunden und nach Weisung zu verarbeiten,
  • zur Verarbeitung befugte Personen zur Vertraulichkeit zu verpflichten,
  • geeignete technische und organisatorische Maßnahmen umzusetzen,
  • den Verantwortlichen bei Betroffenenrechten nach Möglichkeit zu unterstützen,
  • Datenschutzverletzungen unverzüglich nach Bekanntwerden zu melden, soweit Daten des Verantwortlichen betroffen sind,
  • Unterauftragnehmer nur nach Maßgabe dieses Vertrags einzusetzen,
  • nach Vertragsende Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben.

6. Technische und organisatorische Maßnahmen

Lærry setzt technische und organisatorische Maßnahmen ein, die auf den Schutz von Schülerdaten und schulischen Unterrichtsräumen ausgerichtet sind. Dazu gehören insbesondere:

  • Hosting produktiver Daten bei Hetzner in einem Rechenzentrum in Deutschland,
  • verschlüsselte Übertragung per HTTPS,
  • rollen- und zugangsbeschränkte Lehrerbereiche,
  • funktionale Trennung von Lehrerbereich und Schülerbereich,
  • aktive Freigaben durch Lehrkräfte statt automatischer Sichtbarkeit für Schülerinnen und Schüler,
  • kein Tracking und keine Analytics in geschlossenen Schülerbereichen wie dem Klassenraum,
  • serverseitige Reduktion sensibler Angaben in Sprachpartner-Chats, soweit technisch erkennbar,
  • Protokollierung und administrative Schutzmaßnahmen für Betrieb, Fehlersuche und Sicherheit.

Die Maßnahmen werden im Rahmen der technischen Entwicklung regelmäßig überprüft und angepasst.

7. KI-Funktionen und Schülerdaten

KI-Funktionen werden nur eingesetzt, wenn sie für eine konkrete Funktion erforderlich sind, etwa zur Erstellung von Unterrichtsmaterialien, Sprachhilfen, Quizzen, Hörtexten oder Sprachpartner-Antworten.

Schülerlisten, Klasse, Schule, E-Mail-Adressen und weitere identifizierende Profildaten werden nicht als KI-Kontext übergeben. Beim virtuellen Sprachpartner kann optional ein einzelner Vorname genutzt werden, damit die Ansprache natürlicher wirkt. Dieser Vorname wird nicht zusammen mit Schule, Klasse, Schülerliste oder E-Mail-Adresse an KI-Dienste oder Dritte übergeben.

Lehrkräfte sollen keine persönlichen Schülerdaten in Prompts, hochgeladenen Materialien, Hörtexten oder sonstigen Texteingaben verwenden. Lærry weist auf diese Sorgfaltspflicht in den Datenschutzinformationen hin.

8. Unterauftragnehmer

Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz der nachfolgend genannten Unterauftragnehmer. Änderungen werden rechtzeitig in geeigneter Weise mitgeteilt, sodass der Verantwortliche Einspruch erheben kann.

Dienst Zweck Datenkategorien Hinweis
Hetzner Hosting und technischer Betrieb Produktivdaten, Unterrichtsinhalte, Klassenraumdaten, technische Betriebsdaten Rechenzentrum in Deutschland
OpenAI KI-Funktionen auf konkrete Anforderung Funktionsbezogene Inhalte wie Prompts, Uploads, Aufgaben, Chatnachrichten Keine routinemäßige Übergabe von Schülerlisten oder Klassenverwaltungsdaten
ElevenLabs Audioerzeugung Der Text, der vertont werden soll Keine Schülerlisten oder vollständigen Schülerprofile erforderlich

9. Betroffenenrechte und Unterstützung

Der Verantwortliche ist für die Bearbeitung von Anfragen betroffener Personen verantwortlich. Lærry unterstützt den Verantwortlichen im Rahmen des Zumutbaren und technisch Möglichen bei Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.

10. Löschung, Rückgabe und Kontrolle

Nach Ende des Vertrags oder auf dokumentierte Weisung werden personenbezogene Daten gelöscht oder zurückgegeben, soweit dies technisch möglich ist und keine gesetzlichen Pflichten entgegenstehen. Sicherheitskopien werden nach den hierfür vorgesehenen Löschzyklen entfernt.

Lærry stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachzuweisen. Prüfungen erfolgen nach angemessener vorheriger Ankündigung und unter Wahrung von Betriebs- und Sicherheitsinteressen.

Anlagen und weitere Informationen

Bestandteil dieses Entwurfs sind die Beschreibung der Verarbeitung, die technischen und organisatorischen Maßnahmen, die Unterauftragnehmerübersicht sowie die freiwilligen Informationen zum Schülerdatenschutz.

Dieser AVV-Entwurf muss vor verbindlicher Verwendung rechtlich geprüft und gegebenenfalls an Schulträger, Bundesland, Lizenzmodell und konkrete Unterauftragnehmerverträge angepasst werden.