(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der Software „Censurio“.
(2) Die Verarbeitung erfolgt zum Zweck der digitalen Verwaltung, Analyse und Dokumentation von Schülerdaten, Noten und Leistungsbeurteilungen.
(3) Die Dauer der Verarbeitung richtet sich nach der Laufzeit des zugrunde liegenden Nutzungsvertrags über Censurio.
3. Art und Zweck der Verarbeitung
Die Verarbeitung umfasst insbesondere:
Erhebung
Speicherung
Strukturierung
Auswertung
Übermittlung innerhalb der Anwendung
Löschung
Die Verarbeitung dient ausschließlich der Bereitstellung der Funktionen von Censurio.
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.
(2) Weisungen können sich aus diesem Vertrag, dem Nutzungsvertrag oder aus schriftlichen Einzelweisungen ergeben.
(3) Der Auftragnehmer informiert den Auftraggeber, wenn er der Ansicht ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
7. Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich insbesondere:
personenbezogene Daten nur im Rahmen der Weisungen zu verarbeiten
die Vertraulichkeit zu wahren
geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen
den Auftraggeber bei der Wahrnehmung der Betroffenenrechte zu unterstützen
Datenschutzverletzungen unverzüglich zu melden
8. Technische und organisatorische Maßnahmen (TOM)
Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere:
Zugriffsbeschränkungen und Authentifizierung
Verschlüsselung von Datenübertragungen
Datensicherungen
Rollen- und Berechtigungskonzepte
Schutz vor unbefugtem Zugriff
Eine detaillierte Beschreibung der TOM kann auf Anfrage zur Verfügung gestellt werden.
9. Einsatz von Unterauftragsverarbeitern
(1) Der Auftragnehmer kann Unterauftragsverarbeiter (z. B. Hosting- oder Zahlungsdienstleister) einsetzen.
(2) Der Einsatz erfolgt ausschließlich unter Einhaltung der Anforderungen des Art. 28 DSGVO.
(3) Der Auftragnehmer stellt sicher, dass mit Unterauftragsverarbeitern entsprechende Auftragsverarbeitungsverträge abgeschlossen werden.
10. Unterstützung des Auftraggebers
Der Auftragnehmer unterstützt den Auftraggeber bei:
der Beantwortung von Auskunftsersuchen
der Erfüllung von Meldepflichten bei Datenschutzverletzungen
der Durchführung von Datenschutz-Folgenabschätzungen, soweit erforderlich
11. Löschung und Rückgabe von Daten
(1) Nach Beendigung des Nutzungsverhältnisses löscht der Auftragnehmer alle personenbezogenen Daten, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
(2) Eine Rückgabe der Daten erfolgt auf Wunsch des Auftraggebers in einem gängigen elektronischen Format.
12. Kontrollrechte
Der Auftraggeber ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorgaben beim Auftragnehmer zu kontrollieren oder kontrollieren zu lassen, unter Wahrung der Verhältnismäßigkeit.
13. Haftung
Es gelten die Haftungsregelungen der DSGVO sowie die vertraglichen Vereinbarungen zwischen den Parteien.
14. Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.
(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Es gilt das Recht der Bundesrepublik Deutschland.