Zurück zur Startseite

Auftragsverarbeitungsvereinbarung (AVV)

gemäß Art. 28 Abs. 3 DSGVO — Version 1.0, Stand Juni 2026

zwischen

[Schulname], vertreten durch die Schulleitung
— nachfolgend „Verantwortlicher“ —

gemäß § 4 Abs. 1 Z 1 BilDokG 2020 i.V.m. § 15 Z 1 IKT-Schulverordnung

und

Possibly
Manuel Jäger und Partner

Sinnhub 2, 5541 Altenmarkt, Österreich
E-Mail: info@possibly.at
UID: ATU78856819
— nachfolgend „Auftragsverarbeiter“ —

§ 1 Gegenstand und Dauer

(1) Der Auftragsverarbeiter betreibt die webbasierte Lernplattform„Benno“ (benno.at) für den Einsatz im Schulunterricht. Die vorliegende Vereinbarung regelt die Rechte und Pflichten der Vertragsparteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.

(2) Die Vereinbarung gilt für die Dauer der Nutzung von Benno durch die Schule. Sie beginnt mit der Annahme durch den Verantwortlichen und endet mit Beendigung des Nutzungsverhältnisses.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der Bereitstellung der Lernplattform Benno, insbesondere:

  • Verwaltung von Benutzerkonten für Lehrpersonen und Schüler:innen
  • Bereitstellung von Unterrichtsmodulen zur Berufsorientierung
  • Erfassung von Lernfortschritten und Übungsergebnissen
  • Klassenverwaltung und Einschreibung von Schüler:innen
  • Kommunikation zwischen Plattform und Nutzer:innen (z. B. E-Mail-Bestätigungen)
  • Optionaler Einsatz KI-gestützter Funktionen (z. B. KI-Berufsberater)

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Lehrpersonen: Vorname, Nachname, E-Mail-Adresse, Schulzugehörigkeit
  • Schüler:innen: Benutzername (ggf. Pseudonym), Klasse, Schulstufe, Lernfortschritte, Übungsergebnisse, ggf. Stärkenprofil
  • Nutzungsdaten: Login-Zeitpunkte, Interaktion mit Modulen, technische Zugriffsdaten (IP-Adresse, Browser)

§ 4 Kategorien betroffener Personen

  • Lehrpersonen der Schule
  • Schülerinnen und Schüler der Schule
  • Ggf. Erziehungsberechtigte (soweit deren Daten im Rahmen der Einschreibung verarbeitet werden)

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung der Plattform gemäß den Nutzungsbedingungen gilt als allgemeine Weisung.

(2) Der Auftragsverarbeiter gewährleistet, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

(3) Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage).

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO, insbesondere bei der Meldung von Datenschutzverletzungen und bei Datenschutz-Folgenabschätzungen.

(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Art. 15–22 DSGVO.

(6) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

§ 6 Unterauftragsverarbeitung

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter:

UnterauftragsverarbeiterZweckStandort / Rechtsgrundlage
Supabase Inc.Datenbank, AuthentifizierungEU-Region (Irland), AVV gem. Art. 28 DSGVO
Vercel Inc.Anwendungshosting, CDNEU-US Data Privacy Framework, Angemessenheitsbeschluss Art. 45 DSGVO
Vercel AI GatewayKI-gestützte Funktionen (optional)EU-US Data Privacy Framework

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ablösung von Unterauftragsverarbeitern. Der Verantwortliche hat die Möglichkeit, innerhalb von 14 Tagen Einspruch zu erheben.

(3) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden wie dem Auftragsverarbeiter selbst.

§ 7 Rechte der betroffenen Personen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte gemäß Art. 15–22 DSGVO, insbesondere bei Auskunfts-, Berichtigungs-, Löschungs- und Übertragbarkeitsanfragen.

(2) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

§ 8 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem ihm die Verletzung bekannt wurde (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung enthält mindestens:

  • eine Beschreibung der Art der Verletzung
  • die Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
  • eine Beschreibung der wahrscheinlichen Folgen
  • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

(3) Die Meldung erfolgt an die bei der Registrierung hinterlegte E-Mail-Adresse des Verantwortlichen.

§ 9 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsverhältnisses löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, es sei denn, eine gesetzliche Aufbewahrungspflicht besteht.

(2) Auf Wunsch des Verantwortlichen stellt der Auftragsverarbeiter die Daten vor der Löschung in einem gängigen, maschinenlesbaren Format zur Verfügung.

(3) Die Löschung wird dem Verantwortlichen auf Anfrage bestätigt.

§ 10 Kontrollrechte

(1) Der Verantwortliche hat das Recht, die Einhaltung der in dieser Vereinbarung festgelegten Pflichten zu überprüfen. Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(2) Inspektionen und Überprüfungen sind nach angemessener Voranmeldung und unter Beachtung der Geschäftsgeheimnisse des Auftragsverarbeiters möglich.

§ 11 Schlussbestimmungen

(1) Diese Vereinbarung unterliegt österreichischem Recht unter Ausschluss der kollisionsrechtlichen Verweisungsnormen. Gerichtsstand ist Wien.

(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform.

(3) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Die zuständige Aufsichtsbehörde ist die Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien, www.dsb.gv.at.

Anlage: Technisch-organisatorische Maßnahmen (TOM) gem. Art. 32 DSGVO

1. Vertraulichkeit

  • Zutrittskontrolle: Cloud-basierter Dienst ohne eigene physische Server. Rechenzentren der Unterauftragsverarbeiter (Supabase, Vercel) sind nach ISO 27001 zertifiziert.
  • Zugangskontrolle: Passwortgeschützte Benutzerkonten, verschlüsselte Passwort-Speicherung (bcrypt), CAPTCHA-Schutz bei Registrierung.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Lehrer, Schüler, Admin), Row Level Security (RLS) auf Datenbankebene.
  • Trennungskontrolle: Logische Datentrennung zwischen Schulen und Klassen auf Datenbankebene.

2. Integrität

  • Weitergabekontrolle: Verschlüsselte Datenübertragung mittels TLS 1.2+. Keine Weitergabe an Dritte ohne Rechtsgrundlage.
  • Eingabekontrolle: Audit-Logs für administrative Aktionen.

3. Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: Automatisierte Backups, geo-redundante Speicherung in der EU, Monitoring.
  • Wiederherstellbarkeit: Point-in-Time Recovery der Datenbank.

4. Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Sicherheitsupdates und Dependency-Checks
  • Automatisierte Sicherheitsscans in der CI/CD-Pipeline

Stand: Juni 2026

ImpressumDatenschutzAGBAVVBarrierefreiheitMarktplatz LernappsKI in Benno