Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag gilt zwischen:

Gemeinsam als die „Parteien" bezeichnet.

• DSGVO: Verordnung (EU) 2016/679, die Datenschutz-Grundverordnung.
• Personenbezogene Daten: alle Informationen über eine identifizierte oder identifizierbare natürliche Person im Sinne von Artikel 4 Absatz 1 DSGVO.
• Verarbeitung: jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Speichern, Verändern, Abfragen, Offenlegen oder Löschen.
• Betroffene Person: die natürliche Person, auf die sich die personenbezogenen Daten beziehen — vorwiegend Lehrkräfte und Teilnehmer.
• Datenschutzverletzung: eine Verletzung der Sicherheit, die versehentlich oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt.
• Unterauftragsverarbeiter: ein Dritter, der vom Auftragsverarbeiter beauftragt wird, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten.

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch Lectame im Rahmen der Bereitstellung der Lectame-Plattform — einer KI-gestützten Präsentations- und Interaktionsplattform für Bildung und Schulung.

Der Vertrag tritt in Kraft, sobald der Auftraggeber Lectame in Gebrauch nimmt (durch Kontoerstellung oder durch das Organisieren einer Sitzung, in der Teilnehmerdaten verarbeitet werden), und bleibt in Kraft, solange Lectame personenbezogene Daten im Namen des Auftraggebers verarbeitet.

Der Vertrag endet automatisch, wenn Lectame keine personenbezogenen Daten mehr für den Auftraggeber verarbeitet, oder durch schriftliche Kündigung einer der Parteien unter Einhaltung der im Hauptvertrag festgelegten Frist.

• Auftraggeber ist der Verantwortliche für Verarbeitungen, die im Rahmen seiner Unterrichts- oder Schulungstätigkeiten mit Lectame stattfinden.
• Lectame ist der Auftragsverarbeiter für Verarbeitungen, die im Auftrag des Auftraggebers stattfinden.
• Für Verarbeitungen, die Lectame zu eigenen Geschäftszwecken durchführt (wie Kontoverwaltung, Sicherheit, Abrechnung, eigenes Marketing), ist Lectame selbst der Verantwortliche. Dieser Vertrag erfasst das nicht; siehe hierzu die Datenschutzerklärung.

Lectame verarbeitet personenbezogene Daten ausschließlich auf der Grundlage dokumentierter Weisungen des Auftraggebers. Dieser Vertrag, die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung bilden zusammen diese Weisungen, ebenso wie die Einstellungen, die der Auftraggeber in der Anwendung vornimmt (zum Beispiel die Wahl, KI-Funktionen oder Analysen ein- oder auszuschalten).

Lectame informiert den Auftraggeber, wenn es der Ansicht ist, dass eine Weisung gegen die DSGVO verstößt.

• Das Erstellen und Bearbeiten von Präsentationen, einschließlich gegebenenfalls KI-generierter Inhalte auf Wunsch der Lehrkraft.
• Das Organisieren und Durchführen von Live-Sitzungen, an denen Teilnehmer über einen Sitzungscode oder QR-Code teilnehmen.
• Das Erfassen und Präsentieren der Antworten und Reaktionen der Teilnehmer für die Lehrkraft, zu formativen Zwecken.
• Verwaltung und Authentifizierung der Konten des Auftraggebers und seiner Mitarbeiter.
• Protokollierung und Überwachung zu Zwecken der Sicherheit und Stabilität.

• Lehrkräfte und Administratoren des Auftraggebers, die ein Konto haben.
• Teilnehmer (typischerweise Studierende oder Kursteilnehmer), die über einen Sitzungscode an einer Live-Sitzung teilnehmen.
• Gäste die ohne Konto Präsentationen unter der Verantwortung des Auftraggebers erstellen.

Lectame ist nicht für die strukturelle Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO) oder strafrechtlicher Daten (Artikel 10 DSGVO) ausgelegt. Der Auftraggeber stellt sicher, dass Nutzer innerhalb der eigenen Organisation keine Gesundheitsdaten, Diagnosen, religiösen Überzeugungen, ethnische Herkunft, sexuelle Orientierung oder vergleichbare Daten in Präsentationsinhalte, KI-Prompts oder Sitzungsdaten eingeben, es sei denn, hierfür wurden vorab eine rechtmäßige Grundlage und geeignete Maßnahmen eingerichtet.

Wo relevant, zeigt Lectame in der Benutzeroberfläche Warnungen an, die Nutzer auffordern, keine personenbezogenen Daten, Patientendaten oder vertraulichen Informationen in KI-Prompts aufzunehmen.

Alle Mitarbeiter von Lectame und alle für Lectame tätigen externen Personen, die Zugang zu personenbezogenen Daten erhalten können, sind aufgrund ihres Arbeits- oder Dienstleistungsvertrags oder einer zusätzlichen Vertraulichkeitserklärung zur Vertraulichkeit verpflichtet.

Lectame trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Im Wesentlichen handelt es sich um:

• Zugriffsverwaltung, Authentifizierung und rollenbasierte Autorisierung.
• Verschlüsselung von Verbindungen und Verschlüsselung der Speicherung auf Plattformebene.
• Protokollierung und Überwachung sicherheitsrelevanter Ereignisse.
• Backup- und Wiederherstellungsvorkehrungen.
• Regelmäßige Updates und Patching von Komponenten.
• Verfahren zur Reaktion auf Vorfälle.
• Prüfung von Lieferanten und Unterauftragsverarbeitern.
• Datenminimierung und Zweckbindung bei der Gestaltung von Funktionen.
• Regelmäßige Bewertung der Maßnahmen.

Eine Erläuterung im Überblick findest du auf der Sicherheitsseite. Weitere Details können unter Vertraulichkeitsvereinbarungen mit Schulen und Organisationen geteilt werden, die diese für ihre eigene Prüfung benötigen.

Der Auftraggeber erteilt hiermit eine allgemeine schriftliche Genehmigung für die Beauftragung der unten genannten Unterauftragsverarbeiter. Für Änderungen gilt das Verfahren in Artikel 14.

Lectame informiert den Auftraggeber mindestens 30 Tage vor einer geplanten Änderung bei den Unterauftragsverarbeitern (Hinzufügung, Ersetzung oder Standortänderung). Innerhalb dieser Frist kann der Auftraggeber begründet Widerspruch einlegen. Bei berechtigtem Widerspruch suchen die Parteien nach einer angemessenen Lösung; gelingt dies nicht, kann der Auftraggeber den Vertrag kündigen.

Die primäre Speicherung erfolgt innerhalb des EWR. Für Unterauftragsverarbeiter, bei denen die Verarbeitung (teilweise) außerhalb des EWR stattfinden kann, wenden wir Garantien wie das EU-US Data Privacy Framework und/oder Standardvertragsklauseln an. Die jeweils geltende Garantie pro Unterauftragsverarbeiter ist in der Tabelle oben angegeben.

Lectame unterstützt den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch), indem die erforderlichen Daten, soweit möglich, über die Verwaltungsfunktionen der Plattform zugänglich gemacht oder exportiert werden.

Bei Anfragen, die der Auftraggeber nicht selbst bearbeiten kann, hilft Lectame in angemessener Weise mit den angeforderten Informationen.

Lectame unterstützt den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) und bei einer etwaigen vorherigen Konsultation der Aufsichtsbehörde, soweit dies vernünftigerweise von Lectame erwartet werden kann.

Lectame meldet eine mögliche Datenschutzverletzung ohne unangemessene Verzögerung an den Auftraggeber, nachdem Lectame davon Kenntnis erlangt hat. Der Auftraggeber prüft anschließend als Verantwortlicher, ob eine Meldung an die Aufsichtsbehörde (grundsätzlich innerhalb von 72 Stunden nach Kenntnisnahme durch den Auftraggeber) und an die betroffenen Personen erforderlich ist.

Lectame dokumentiert alle Datenschutzverletzungen und die daraufhin ergriffenen Maßnahmen.

Auf Anfrage stellt Lectame dem Auftraggeber vernünftigerweise verfügbare Informationen zur Verfügung, mit denen der Auftraggeber die Einhaltung dieses Vertrags überprüfen kann. Ein Audit durch oder im Namen des Auftraggebers ist auf Grundlage einer schriftlichen Ankündigung möglich, unter Berücksichtigung einer angemessenen Vorbereitungszeit und der Geschäftskontinuität sowie unter Vertraulichkeitsvereinbarungen. Etwaige Kosten eines Audits trägt der Auftraggeber, es sei denn, das Audit weist einen wesentlichen Mangel nach.

Nach Beendigung der Dienstleistung löscht Lectame die personenbezogenen Daten innerhalb von 30 Tagen aus aktiven Systemen, es sei denn, gesetzliche Aufbewahrungspflichten erfordern etwas anderes. Auf Wunsch des Auftraggebers wird vor der Löschung ein Export in einem gängigen Format bereitgestellt.

Rotierende Backups, die zum Zeitpunkt der Löschung noch persistent sind, verschwinden gemäß dem Backup-Zeitplan unseres Hosting-Anbieters; in diesem Zeitraum bleiben die darin gespeicherten Daten verschlüsselt und für den Produktivbetrieb nicht zugänglich.

Die Haftung von Lectame im Rahmen dieses Vertrags richtet sich nach der Haftungsregelung in unseren Allgemeinen Geschäftsbedingungen, soweit nicht zwingendes Recht etwas anderes vorsieht (wie Artikel 82 DSGVO).

Bei Widersprüchen zwischen diesem Auftragsverarbeitungsvertrag, den Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung gilt die folgende Rangfolge:

1. Dieser Auftragsverarbeitungsvertrag (für Verarbeitungsfragen).
2. Die Allgemeinen Geschäftsbedingungen.
3. Die Datenschutzerklärung (als Erläuterung der Verarbeitung).

Fragen zu diesem Auftragsverarbeitungsvertrag? Schreib an [email protected] oder [email protected]. Bei Beschwerden über die Verarbeitung personenbezogener Daten kannst du dich auch an die Autoriteit Persoonsgegevens.