AVV

Vertrag zur Auftragsdatenverarbeitung (AVV) für „Accidents@School – Das Unfallbuch“

Auftragsverarbeiter (AV): ClassyMade GmbH, Zum Schwimmbad 44, 65232 Taunusstein

Auftraggeber (AG): Schule bzw. Schulträger

1. Gegenstand und Dauer der Verarbeitung

  1. Gegenstand: Verarbeitung personenbezogener Daten im Rahmen der Software „Accidents@School – Das Unfallbuch“ (Hosting, Betrieb, Wartung, Support, Backup).
  2. Die Verarbeitung beginnt mit der Aktivierung der Zustimmung in der App und endet mit der Löschung aller Daten gemäß § 7.

2. Art, Zweck und Mittel der Verarbeitung

  1. Art: Erfassung, Organisation, Speicherung, Anpassung, Auswertung, Auskunft, Löschung/Sperrung, Aggregation, Pseudonymisierung.
  2. Zweck: Erfüllung der gesetzlichen Pflicht zur Führung eines Unfallbuchs, Dokumentation melde- und nichtmeldepflichtiger Unfälle, Revisionsfähigkeit, Bereitstellung anonymisierter Statistiken.
  3. Mittel: SaaS-Betrieb auf Hetzner-Servern (EWR), E‑Mail-Versand via AWS SES (eu-central-1), Push-Benachrichtigungen via Firebase Cloud Messaging, Verfügbarkeitsmonitoring via Uptime Kuma, verschlüsselte Übertragung (HTTPS).

3. Kategorien betroffener Personen

  • Schülerinnen und Schüler
  • Lehr- und Verwaltungspersonal (inkl. Schulleitung, Schulträger)
  • Eltern und Sorgeberechtigte
  • Betriebsangehörige (Ausbilder, Ersthelfer)
  • Externe Personen (Besucher, Praktikant:innen, Dienstleister)

4. Art der verarbeiteten Daten

  • Stammdaten (Name, Rolle, E‑Mail, externe ID)
  • Kontaktdaten (Adresse, Telefon)
  • Gesundheitsdaten (Vorerkrankungen, Allergien, Medikation)
  • Unfalldaten (Zeit, Ort, Hergang, Verletzungen, Ersthilfe, Zeug:innen)
  • Audit-Logs, Backup-Dumps, CSV-Importdaten, Supportanfragen

5. Rechte und Pflichten des Auftraggebers

Der AG bleibt für die Rechtmäßigkeit der Verarbeitung verantwortlich und bestimmt Umfang, Art und Weise der Datenverarbeitung gemäß Art. 28 Abs. 3 DSGVO.

6. Pflichten des Auftragsverarbeiters

  1. Verarbeitung ausschließlich nach dokumentierten Weisungen des AG (Art. 28 Abs. 3 DSGVO).
  2. Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit gemäß den TOMs (Art. 32 DSGVO).
  3. Meldung von Datenschutzverletzungen unverzüglich und spätestens innerhalb von 24 Stunden an den AG (Art. 33 DSGVO).
  4. Unterstützung bei Auskunfts-, Lösch-, Berichtigungs- und Portabilitätsanfragen (Art. 12–23 DSGVO) sowie Datenschutz-Folgenabschätzungen (Art. 35 DSGVO).

7. Rückgabe und Löschung

Nach Vertragsende löscht der AV alle personenbezogenen Daten innerhalb von 6 Monaten, sofern keine längeren gesetzlichen Aufbewahrungsfristen bestehen.

8. Unterauftragsverhältnisse

Subprozessoren:

  • Hetzner Online GmbH (Hosting)
  • Amazon Web Services EMEA SARL (AWS SES)
  • Firebase Cloud Messaging (Push-Benachrichtigung)
  • Uptime Kuma (Monitoring)

Weitere Subprozessoren nur nach vorheriger schriftlicher Zustimmung des AG.

9. Haftung und Versicherung

Der AV haftet für Vorsatz und grobe Fahrlässigkeit gemäß den gesetzlichen Bestimmungen und unterhält eine Betriebshaftpflichtversicherung mit einer Mindestdeckungssumme von EUR 1 Mio.

10. Sonstige Vereinbarungen

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Gerichtsstand und anwendbares Recht: Taunusstein, Deutschland.