Klassenstudio · PearTech
Auftragsverarbeitungsvereinbarung (AVV)
Version 2026-06-11 · gemäß Art. 28 DSGVO
Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO) — Auftragsverarbeitungsvereinbarung („AVV").
Verantwortlicher (Auftraggeber): die unten bestätigende Schule, vertreten durch ihre Schulleitung. Die Schulleitung ist für die Verarbeitung der Daten von Schüler:innen datenschutzrechtlich Verantwortliche im Sinne des Art. 4 Z 7 DSGVO (vgl. § 4 Bildungsdokumentationsgesetz 2020).
Auftragsverarbeiter (Auftragnehmer): PearTech, Inhaber Dipl.-Ing. Tim Seferagic, BSc, Rudolf Jungmair-Gasse 2, 4840 Vöcklabruck, Österreich (UID: ATU80853729) — Betreiber der Software „Klassenstudio".
Gegenstand der Verarbeitung: Bereitstellung der Software-as-a-Service-Anwendung „Klassenstudio" zur Verwaltung von Klassen, Noten und Bewertungen, Kompetenz-Einschätzungen sowie Wochen- und Terminplanung durch Lehrkräfte der Schule. Hauptvertrag ist der Nutzungsvertrag der jeweiligen Lehrkraft gemäß den Allgemeinen Geschäftsbedingungen (AGB) von Klassenstudio; diese Vereinbarung regelt die damit verbundene Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen.
Kategorien personenbezogener Daten:
- Stammdaten von Schüler:innen: Name, optional Geburtsdatum und Notfallkontakt
- Bewertungen und Noten
- Kompetenz-Einschätzungen
- Termine und Planungsdaten (z. B. Schularbeiten, Elterngespräche)
Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO sind nicht Gegenstand der Verarbeitung; Klassenstudio sieht hierfür bewusst keine Eingabefelder vor.
Kategorien betroffener Personen: Schüler:innen, Erziehungsberechtigte (als Notfallkontakte), Lehrkräfte.
Dauer: Diese Vereinbarung gilt für die Laufzeit des Hauptvertrags und endet mit dessen Beendigung. Die Pflichten zur Löschung bzw. Rückgabe der Daten nach Vertragsende bleiben davon unberührt.
§ 1 Verarbeitung nur auf dokumentierte Weisung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Als dokumentierte Weisung gelten der Hauptvertrag, diese Vereinbarung sowie die Nutzung der Funktionen von Klassenstudio durch die Lehrkräfte der Schule.
Dies gilt auch für die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, sofern der Auftragsverarbeiter nicht durch das Recht der Union oder eines Mitgliedstaats hierzu verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, informiert er den Verantwortlichen unverzüglich.
§ 2 Vertraulichkeit und Datengeheimnis
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO; Datengeheimnis gemäß § 6 DSG).
Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung der Tätigkeit fort.
§ 3 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die zum Zeitpunkt des Abschlusses dieser Vereinbarung getroffenen Maßnahmen sind in Anlage 1 beschrieben.
Die Maßnahmen unterliegen dem technischen Fortschritt und dürfen vom Auftragsverarbeiter weiterentwickelt werden, sofern das vereinbarte Schutzniveau dabei nicht unterschritten wird.
§ 4 Sub-Auftragsverarbeiter
Der Verantwortliche erteilt die allgemeine Genehmigung (Art. 28 Abs. 2 DSGVO) zur Beiziehung der in Anlage 2 gelisteten Sub-Auftragsverarbeiter.
Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung eines Sub-Auftragsverarbeiters. Der Verantwortliche kann gegen derartige Änderungen aus wichtigem datenschutzrechtlichem Grund Einspruch erheben; in diesem Fall steht beiden Parteien ein außerordentliches Kündigungsrecht hinsichtlich des Hauptvertrags zu.
Der Auftragsverarbeiter überbindet jedem Sub-Auftragsverarbeiter im Wege eines Vertrags dieselben Datenschutzpflichten, die in dieser Vereinbarung festgelegt sind (Art. 28 Abs. 4 DSGVO), insbesondere hinreichende Garantien für geeignete technische und organisatorische Maßnahmen. Kommt ein Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
§ 5 Unterstützung bei Betroffenenrechten (Art. 12–23 DSGVO)
Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, dessen Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Art. 12 bis 23 DSGVO nachzukommen (Art. 28 Abs. 3 lit. e DSGVO).
Klassenstudio stellt hierfür insbesondere bereit: Berichtigung und Löschung einzelner Datensätze direkt in der Anwendung sowie einen Datenexport als maschinenlesbares JSON-Bundle (Datenübertragbarkeit, Art. 20 DSGVO).
Anträge betroffener Personen, die direkt beim Auftragsverarbeiter einlangen, leitet dieser unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht selbständig.
§ 6 Unterstützung bei Pflichten nach Art. 32–36 DSGVO
Der Auftragsverarbeiter unterstützt den Verantwortlichen — unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen — bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Art. 28 Abs. 3 lit. f DSGVO): Sicherheit der Verarbeitung, Meldung von Verletzungen an die Aufsichtsbehörde, Benachrichtigung betroffener Personen, Datenschutz-Folgenabschätzung und vorherige Konsultation.
Für eine Datenschutz-Folgenabschätzung des Verantwortlichen stellt der Auftragsverarbeiter insbesondere die Beschreibung der Verarbeitung (Präambel) und der technischen und organisatorischen Maßnahmen (Anlage 1) als Zuarbeit zur Verfügung.
§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die im Auftrag verarbeitete Daten betrifft, unverzüglich nach Bekanntwerden (Art. 33 Abs. 2 DSGVO).
Die Meldung enthält — soweit verfügbar — die Informationen gemäß Art. 33 Abs. 3 DSGVO, insbesondere die Art der Verletzung, die Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen und vorgeschlagenen Abhilfemaßnahmen. Noch nicht verfügbare Informationen werden ohne unangemessene Verzögerung nachgereicht.
§ 8 Löschung und Rückgabe nach Vertragsende
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück, sofern nicht nach Unionsrecht oder dem Recht eines Mitgliedstaats eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).
Die Rückgabe erfolgt über den in der Anwendung integrierten Datenexport (JSON-Bundle). Die Löschung erfolgt über die Self-Service-Kontolöschung: Nach Ablauf einer Widerrufsfrist von 30 Tagen werden das Konto und sämtliche damit verbundenen Daten automatisiert und endgültig gelöscht; Sicherungskopien rotieren innerhalb der Backup-Aufbewahrung (maximal 7 Tage) aus.
§ 9 Nachweispflichten und Kontrollrechte
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu ihnen bei (Art. 28 Abs. 3 lit. h DSGVO).
Der Nachweis erfolgt in der Regel durch Vorlage geeigneter Dokumentation, insbesondere der Beschreibung der technischen und organisatorischen Maßnahmen (Anlage 1) sowie der Auftragsverarbeitungsverträge und Zertifizierungen der Sub-Auftragsverarbeiter. Inspektionen vor Ort erfolgen nach angemessener Vorankündigung zu üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs.
§ 10 Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO)
Der Auftragsverarbeiter führt ein Verzeichnis aller Kategorien von im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO und stellt es der Aufsichtsbehörde auf Anfrage zur Verfügung.
§ 11 Verarbeitungsort und Drittlandübermittlung
Die Verarbeitung der Daten erfolgt grundsätzlich innerhalb der Europäischen Union; die Datenbank wird in der Region EU-Frankfurt betrieben. Die Auslieferung der Anwendungen erfolgt über die Edge-Infrastruktur des Sub-Auftragsverarbeiters Cloudflare, primär über Standorte in Wien und Frankfurt.
Soweit ein Sub-Auftragsverarbeiter personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet (etwa bei Backups, Logs oder Support-Zugriffen), erfolgt dies auf Grundlage der Standardvertragsklauseln der EU-Kommission (SCC) gemäß den in Anlage 2 verlinkten Auftragsverarbeitungsverträgen der jeweiligen Anbieter.
§ 12 Keine Verarbeitung zu eigenen Zwecken
Der Auftragsverarbeiter verwendet die im Auftrag verarbeiteten personenbezogenen Daten ausschließlich zur Erfüllung des Hauptvertrags und dieser Vereinbarung. Eine Verarbeitung zu eigenen Zwecken — insbesondere zu Werbe-, Analyse- oder Trainingszwecken — sowie eine Weitergabe an Dritte außerhalb der in Anlage 2 gelisteten Sub-Auftragsverarbeiter findet nicht statt.
§ 13 Haftung
Für die Haftung der Parteien gilt Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei nur für den Teil des Schadens, der durch eine Verletzung der sie treffenden datenschutzrechtlichen Pflichten verursacht wurde (Art. 82 Abs. 5 DSGVO).
§ 14 Elektronischer Abschluss
Diese Vereinbarung wird gemäß Art. 28 Abs. 9 DSGVO in einem elektronischen Format abgefasst und abgeschlossen. Der Abschluss erfolgt durch die Bestätigung der Schulleitung auf der versionierten Bestätigungsseite von Klassenstudio; eine eigenhändige Unterschrift ist nicht erforderlich.
Zur Nachweissicherung protokolliert der Auftragsverarbeiter den Zeitpunkt der Bestätigung, Name und Funktion der bestätigenden Person, die IP-Adresse sowie die Version dieses Dokuments. Die jeweils bestätigte Dokumentversion ist auf der Bestätigungsseite und im Konto der Lehrkraft ersichtlich.
Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
1. Vertraulichkeit und Zugangskontrolle
Zugriff auf die Anwendung nur nach Authentifizierung über Supabase Auth (Magic-Link oder Passwort). Sitzungen laufen über HttpOnly-Cookies (SameSite=Lax) auf eigener Domain. Administrative Funktionen sind in eine getrennte Admin-Anwendung mit eigener Berechtigungsprüfung ausgelagert; Service-Schlüssel liegen ausschließlich als verschlüsselte Secrets der Hosting-Plattform vor, niemals im Quellcode.
2. Integrität
Row-Level-Security (RLS) auf jeder Datenbanktabelle: Jede Lehrkraft kann ausschließlich auf eigene bzw. ihr explizit freigegebene Klassendaten zugreifen — durchgesetzt auf Datenbankebene, unabhängig vom Anwendungscode. Ein datenbankseitiges Audit-Log protokolliert sämtliche Änderungen (Anlegen, Ändern, Löschen) über Trigger; Aufbewahrung 12 Monate rollierend.
3. Verfügbarkeit
Betrieb auf gemanagter Infrastruktur (Supabase für Datenbank und Auth, Cloudflare für Hosting). Die Datenbank wird täglich automatisiert gesichert (Supabase-Backups).
4. Belastbarkeit
Auslieferung der Anwendungen über die global verteilte Edge-Infrastruktur von Cloudflare (primär Wien und Frankfurt), die Lastspitzen abfedert. Laufendes Fehler-Monitoring über Sentry; personenbezogene Daten (E-Mail, Namen, Kennungen) werden vor der Übertragung an das Monitoring entfernt.
5. Wiederherstellbarkeit
Tägliche automatisierte Backups der Datenbank mit Point-in-Time-Restore (bis zu 7 Tage rückwirkend). Zusätzlich steht ein vollständiger Datenexport als maschinenlesbares JSON-Bundle direkt in der Anwendung zur Verfügung.
6. Pseudonymisierung und Datenminimierung
Die Datenerhebung ist auf das für den Zweck Erforderliche beschränkt: Für Schüler:innen ist nur der Name verpflichtend, Geburtsdatum und Notfallkontakt sind optional. Eingabefelder für besondere Kategorien nach Art. 9 DSGVO existieren bewusst nicht. Das Fehler-Monitoring arbeitet ohne Klarnamen, E-Mail-Adressen und Datensatz-Kennungen (serverseitiger PII-Strip vor Versand).
7. Verschlüsselung
Sämtliche Verbindungen sind transportverschlüsselt (TLS/HTTPS) — vom Browser bis zur Datenbank. Die Daten werden bei Supabase verschlüsselt gespeichert (Verschlüsselung at rest, AES-256).
8. Regelmäßige Überprüfung, Bewertung und Evaluierung
Die Zugriffsregeln (RLS-Policies) werden durch automatisierte Datenbank-Tests (pgTAP) abgesichert. Regelmäßige interne Sicherheits-Audits sowie die Security-Advisor-Prüfungen der Datenbank-Plattform ergänzen die laufende Kontrolle. Alle Anwendungen setzen Sicherheits-Header (u. a. Content-Security-Policy, HSTS).
9. Zutritts- und Zugriffskontrolle
Der physische Zutritt zu den Servern ist über die zertifizierten Rechenzentren des Sub-Auftragsverarbeiters Supabase in der Region EU-Frankfurt (eu-central-1) geregelt. Der logische Zugriff ist rollenbasiert: Lehrkräfte sehen ausschließlich eigene Daten (RLS), administrative Zugriffe sind auf den Betreiber beschränkt und erfolgen ausschließlich über authentifizierte, verschlüsselte Verbindungen.
10. Weisungskontrolle
Die Verarbeitung erfolgt ausschließlich im Rahmen des Hauptvertrags und dieser Vereinbarung. Sub-Auftragsverarbeiter sind über Auftragsverarbeitungsverträge (Anlage 2) an gleichwertige Pflichten gebunden. Das datenbankseitige Audit-Log macht Verarbeitungsvorgänge nachvollziehbar und dient als Kontrollinstrument gegenüber weisungswidriger Verarbeitung.
Anlage 2 — Genehmigte Sub-Auftragsverarbeiter
| Unternehmen | Zweck | Standort | AVV / DPA |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Speicher | EU-Frankfurt (eu-central-1) | supabase.com/legal/dpa |
| Cloudflare Inc. | Hosting und Auslieferung der Anwendungen (CDN) | EU und global (Edge, primär Wien/Frankfurt) | www.cloudflare.com/cloudflare-customer-dpa/ |
| netcup GmbH | Versand von Transaktions-E-Mails (SMTP) und E-Mail-Hosting | Deutschland (Nürnberg) | www.netcup.com/de/kontakt/datenschutz |
| Functional Software, Inc. (Sentry) | Fehler-Tracking (personenbezogene Daten werden vor Übertragung entfernt) | EU-Frankfurt | sentry.io/legal/dpa/ |