Anmelden Registrieren Impressum /
Datenschutz

Auftragsverarbeitungsvertrag

Stand: 15.12.2024

GeniusQ – Lernplattform

Auftragsverarbeitungsvereinbarung (AVV)

Prof. Dr. Oliver Janz / GeniusQ

1. Gegenstand und Dauer der Verarbeitung

Der Auftraggeber nutzt die vom Auftragnehmer betriebene Lernplattform GeniusQ , die auf Infrastruktur von DigitalOcean betrieben wird. Die Plattform ermöglicht Mitarbeitern und Trainern des Auftraggebers das Erstellen, Durchführen und Nutzen von Onlinekursen. KI-Funktionen werden über API-Anfragen an OpenAI und Anthropic bereitgestellt. Diese Vereinbarung gilt für die Dauer der Nutzung der Plattform durch den Auftraggeber.

2. Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken: * Bereitstellung und Betrieb der Lernplattform * Benutzerverwaltung, Rollen und Kurszuordnung * Durchführung von Onlinekursen * Protokollierung des Lernfortschritts * Technischer Betrieb, Wartung und Sicherheit * Keine Verarbeitung zu eigenen Zwecken.

Der Auftragnehmer ist berechtigt, personenbezogene Daten zu anonymisieren. Anonymisierte Daten (bei denen kein Rückschluss auf einzelne Personen mehr möglich ist) unterliegen nicht mehr der Weisungsgebundenheit und dürfen vom Auftragnehmer zur Verbesserung der Systemstabilität, für statistische Auswertungen und zur Weiterentwicklung der Lernplattform zeitlich unbegrenzt genutzt werden. Eine Nutzung anonymisierter Daten zum Training externer KI-Modelle erfolgt nicht.

3. Nutzung von KI-Funktionen

Die Plattform stellt KI-gestützte Funktionen bereit, die auf zwei Arten genutzt werden können: * Erstellung von Lerninhalten: Unterstützung von Trainern und Administratoren bei der Erstellung, Strukturierung und Analyse von Lehrmaterialien. * Lernunterstützung: Interaktive Funktionen für Lernende (z. B. Beantwortung von Fragen, Feedback zu Aufgaben, Prüfungssimulationen).

Für beide Anwendungsbereiche gilt: * Übermittlung zur Vertragserfüllung: Inhalte, die Nutzer in KI-Funktionen eingeben (z. B. PDF-Dokumente, Freitextantworten), werden an die Unterauftragsverarbeiter (z. B. OpenAI, Anthropic, LlamaIndex) übermittelt. * Dies erfolgt ausschließlich weisungsgebunden zum Zweck der Analyse und der Generierung von Antworten. * Kein KI-Training: Der Auftragnehmer sichert zu, dass die übermittelten Kundendaten gemäß den Vereinbarungen mit den KI-Anbietern nicht zum Training oder zur Verbesserung der KI-Modelle der Anbieter verwendet werden. * Die Daten bleiben vertraulich und isoliert. * Datenminimierung: Der Auftragnehmer implementiert technische Maßnahmen, um die Übermittlung personenbezogener Metadaten (wie User-IDs, Klarnamen) an KI-Dienste auf das technisch notwendige Minimum zu beschränken.

4. Art der personenbezogenen Daten

  • Stammdaten: Name, geschäftliche E-Mail-Adresse, Rollen
  • Logindaten, Hashwerte, interne IDs
  • Kursdaten, Lernstände, Kommentare, Uploads
  • Nutzungsdaten (Zeitpunkte, Interaktionen)
  • Inhalte, die Nutzer in KI-Funktionen eingeben

4a. Ausschluss besonderer Datenkategorien

Die Plattform ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen) konzipiert. Der Auftraggeber verpflichtet sich, keine Kursinhalte oder Eingabefelder bereitzustellen, die systematisch zur Erhebung solcher Daten führen. Sollte der Auftraggeber dennoch besondere Kategorien verarbeiten wollen, ist vorab eine gesonderte Vereinbarung zu treffen.

5. Kategorien betroffener Personen

  • Mitarbeitende (Lernende) des Auftraggebers
  • Trainer / Dozenten des Auftraggebers
  • Administratoren

6. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich: * Daten nur auf dokumentierte Weisung zu verarbeiten. * DSGVO-Vorgaben einzuhalten (insbesondere Art. 28). * Vertraulichkeit sicherzustellen. * Geeignete technische und organisatorische Maßnahmen umzusetzen. * Den Auftraggeber bei Datenschutzpflichten zu unterstützen. * Daten nach Vertragsende zu löschen oder zu übergeben. * Datenschutzverletzungen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, zu melden.

7. Pflichten des Auftraggebers

  • Sicherstellung der Rechtmäßigkeit der Verarbeitung
  • Information des Auftragnehmers über relevante Änderungen
  • Sichere Verwaltung von Nutzerkonten und Rollen
  • Nutzung der Plattform im gesetzlichen Rahmen

8. Unterauftragsverarbeiter

Genehmigte Unterauftragsverarbeiter: Die zum Zeitpunkt des Vertragsschlusses vom Auftraggeber genehmigten Unterauftragsverarbeiter sowie deren Standorte und Aufgaben sind in der Anlage „Liste der Unterauftragsverarbeiter“ aufgeführt.

Vertragliche Grundlagen: Mit allen Unterauftragsverarbeitern bestehen Auftragsverarbeitungsverträge oder gleichwertige vertragliche Vereinbarungen gemäß Art. 28 DSGVO. Der Auftragnehmer prüft bei wesentlichen Änderungen der Vereinbarungen, ob das Datenschutzniveau gewahrt bleibt.

Änderungsmechanismus und Einspruch: Der Auftragnehmer ist berechtigt, die in der Anlage aufgeführten Unterauftragsverarbeiter zu ändern (neue hinzuzuziehen oder bestehende zu ersetzen), sofern das vertraglich vereinbarte Datenschutzniveau gewahrt bleibt.

Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Textform (z. B. per E-Mail oder Systembenachrichtigung). Diese Information erfolgt mit einer Vorlaufzeit von mindestens 14 Tagen vor dem geplanten Einsatz des neuen Unterauftragsverarbeiters.

Genehmigungsfiktion: Der Auftraggeber kann gegen die Änderung innerhalb der 14-tägigen Frist ab Zugang der Information aus wichtigem datenschutzrechtlichem Grund Einspruch einlegen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Änderung als genehmigt.

Im Fall eines begründeten Einspruchs werden die Parteien eine einvernehmliche Lösung suchen. Gelingt dies nicht, steht dem Auftragnehmer ein Sonderkündigungsrecht zu, sofern die Leistung ohne den neuen Unterauftragsverarbeiter nicht erbracht werden kann.

9. Datenübermittlung in Drittländern

  1. Das Hosting der Plattform erfolgt ausschließlich in Deutschland (DigitalOcean Region FRA1).
  2. Soweit für KI-Funktionen oder Parsing-Dienste (z. B. OpenAI, Anthropic, LlamaIndex) Daten in ein Drittland (insb. USA) übermittelt werden, stellt der Auftragnehmer die Zulässigkeit durch geeignete Garantien gem. Art. 44 ff. DSGVO sicher.
  3. Rechtsgrundlage für diese Übermittlungen sind vorrangig der Angemessenheitsbeschluss für das EU-US Data Privacy Framework (DPF), sofern der Anbieter zertifiziert ist.
  4. Ersatzweise oder ergänzend werden die EU-Standardvertragsklauseln (SCC) abgeschlossen.
  5. Sollte ein Unterauftragsverarbeiter seine Zertifizierung unter dem EU-US Data Privacy Framework verlieren oder sollte der Angemessenheitsbeschluss aufgehoben werden, stellt der Auftragnehmer die Rechtmäßigkeit der Datenübermittlung durch den Abschluss von EU-Standardvertragsklauseln (SCC) oder vergleichbare geeignete Garantien sicher.

10. Unterstützungspflichten und Übermittlung personenbezogener Lerndaten

Der Auftragnehmer verarbeitet personenbezogene Lerndaten (z. B. Lernfortschritte, Kursteilnahmen, Testergebnisse) ausschließlich im Auftrag des Auftraggebers. Der Auftragnehmer ist berechtigt und verpflichtet, dem Auftraggeber sämtliche personenbezogenen Lerndaten zur Verfügung zu stellen, die für die Nutzung der Plattform erforderlich sind. Dies umfasst insbesondere Informationen darüber, ob Nutzer Kurse begonnen, abgeschlossen oder Tests bestanden bzw. nicht bestanden haben. Eine Weitergabe personenbezogener Lerndaten an andere Stellen als den Auftraggeber erfolgt nicht. Der Auftraggeber ist dafür verantwortlich, seine Nutzer gemäß Art. 13 DSGVO über die Verarbeitung und Auswertung der Lerndaten zu informieren. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Datenschutzpflichten, insbesondere bei: * Auskunftsersuchen betroffener Personen, * Berichtigung, Einschränkung und Löschung personenbezogener Daten, * Bereitstellung von Daten für Zwecke der Datenübertragbarkeit, * Meldung und Dokumentation von Datenschutzverletzungen, * Bereitstellung von Informationen im Rahmen von Datenschutz-Folgenabschätzungen.

11. Technische und organisatorische Maßnahmen (TOM)

Die technischen und organisatorischen Maßnahmen sind in Anhang 1 (TOM-Dokument) beschrieben und Bestandteil dieser Vereinbarung. Der Auftragnehmer ist berechtigt, diesen Anhang bei gleichbleibendem Schutzniveau zu aktualisieren.

12. Löschung, Rückgabe und Aufbewahrung von Daten

Nach Vertragsende gelten folgende Regelungen:

12.1 Löschung personenbezogener Daten Der Auftragnehmer löscht sämtliche personenbezogenen Daten unverzüglich, spätestens innerhalb von 7 Werktagen nach Beendigung des Vertragsverhältnisses, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

12.2 Gesetzliche Aufbewahrungspflichten Der Auftragnehmer ist nur dann zur Aufbewahrung verpflichtet, wenn dies gesetzlich vorgeschrieben ist (z. B. handels- oder steuerrechtliche Aufbewahrungsfristen nach HGB/AO). Da der Auftragnehmer keine abrechnungsrelevanten Unterlagen der Nutzer speichert, bestehen im Regelfall keine gesetzlichen Aufbewahrungspflichten für personenbezogene Lerndaten. System- und Sicherheitsprotokolle (z. B. ServerLogs) können personenbezogene Daten wie IPAdressen enthalten. Diese werden ausschließlich zur Sicherstellung der Systemstabilität genutzt und unterliegen folgenden Fristen: * AccessLogs: automatische Löschung nach maximal 30 Tagen * Fehler- und Ereignisprotokolle: automatische Löschung nach maximal 90 Tagen Längere Aufbewahrung erfolgt nur, wenn dies zur Aufklärung sicherheitsrelevanter Vorfälle erforderlich ist.

12.3 Rückgabe der Daten Auf Wunsch des Auftraggebers stellt der Auftragnehmer vor der Löschung eine vollständige Kopie personenbezogener Daten in einem gängigen, strukturierten Format bereit.

12.4 Umgang mit Backups Backups enthalten personenbezogene Daten und werden wie folgt behandelt: * Eigene Backups des Auftragnehmers * Backups werden täglich erstellt. * Backups werden verschlüsselt gespeichert. * Backups werden nach 14 Tagen automatisch überschrieben. * Damit werden personenbezogene Daten nach Ablauf der BackupRotation endgültig entfernt. * Backups des Unterauftragsverarbeiters DigitalOcean * DigitalOcean erstellt im Rahmen seiner Managed-Database-Dienste automatische Backups mit einer Aufbewahrungsfrist von 7 Tagen. * Diese Backups werden nach Ablauf automatisch überschrieben. Der Auftragnehmer hat keinen direkten Zugriff auf diese infrastrukturseitigen Backups; * deren Verwaltung erfolgt ausschließlich durch DigitalOcean gemäß dessen DPA. * Diese Backups werden durch DigitalOcean regulär automatisiert überschrieben oder gelöscht.

13. Kontrolle und Auditrechte

Der Auftraggeber ist berechtigt, die Einhaltung dieser Vereinbarung sowie der gesetzlichen Datenschutzanforderungen durch den Auftragnehmer zu überprüfen. Audits erfolgen grundsätzlich als Dokumentenprüfung. Hierzu gehören insbesondere Einsicht in das TOM-Dokument, Datenschutzkonzepte, Sicherheitsmaßnahmen sowie Zertifizierungen oder Sicherheitsberichte der Unterauftragsverarbeiter (z. B. DigitalOcean, Better Stack). Audits erfolgen remote und nur nach vorheriger schriftlicher Ankündigung mit angemessener Frist. Ein physischer Zugang zu Systemen, Servern oder Rechenzentren wird nicht gewährt. Der Auftragnehmer ist verpflichtet, auf Anfrage des Auftraggebers angemessene Informationen zur Verfügung zu stellen, soweit diese zur Bewertung der Datenschutzkonformität notwendig sind. Geschäftsgeheimnisse, sicherheitskritische Details oder interne Abläufe müssen nicht offengelegt werden. Der Umfang, die Dauer und der Zeitpunkt eines Audits dürfen den Geschäftsbetrieb des Auftragnehmers nicht unangemessen beeinträchtigen. Außerordentliche, besonders aufwändige Audits oder externe Prüfungen sind separat zu vereinbaren und können dem Auftraggeber in Rechnung gestellt werden.

14. Haftung

Für den Ersatz von Schäden, die ein Nutzer oder Dritte durch die Nutzung der Plattform erleiden, haftet der Auftragnehmer unbeschränkt nur bei Vorsatz oder grober Fahrlässigkeit. Für leichte Fahrlässigkeit haftet der Auftragnehmer nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht), deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber vertrauen darf. In diesem Fall ist die Haftung auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden begrenzt. Die Haftung für Datenverlust wird auf den typischen Wiederherstellungsaufwand beschränkt, der bei regelmäßiger und gefahrentsprechender Anfertigung von Sicherungskopien durch den Auftraggeber eingetreten wäre. Soweit der Schaden durch einen Unterauftragsverarbeiter (z. B. KI-Anbieter) verursacht wurde, tritt der Auftragnehmer vorrangig seine eigenen Schadensersatzansprüche gegen den Unterauftragsverarbeiter an den Auftraggeber ab. Eine subsidiäre Haftung des Auftragnehmers gemäß Art. 28 DSGVO bleibt hiervon unberührt.

15. Schriftform

Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieser Schriftformklausel. Elektronische Signaturen (z. B. DocuSign, Adobe Sign) sind zulässig und der handschriftlichen Unterschrift gleichgestellt. Anpassungen aufgrund gesetzlicher oder regulatorischer Änderungen dürfen vom Auftragnehmer schriftlich mit angemessener Frist angekündigt werden.

16. Schlussbestimmungen

Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Im Falle von Widersprüchen zwischen dieser AVV und dem Hauptvertrag hat diese AVV Vorrang, soweit es um datenschutzrechtliche Regelungen geht. Diese Vereinbarung unterliegt deutschem Recht. Gerichtsstand ist Darmstadt . Diese Vereinbarung tritt mit ihrer Unterzeichnung in Kraft und gilt für die gesamte Dauer der Nutzung der Plattform.

Impressum Datenschutz AGB AVV TOM Subunternehmer