Auftragsverarbeitungsvertrag (AVV)
Stand: März 2026 · gemäß Art. 28 DSGVO
📌 Dieser AVV gilt automatisch mit Abschluss einer Schullizenz und regelt die datenschutzrechtliche Zusammenarbeit zwischen der Schule (Verantwortliche) und QRENA (Auftragsverarbeiter). Einzelne Lehrkräfte ohne Schullizenz können diesen AVV ebenfalls auf Anfrage abschließen: info@qrena.de
Vertragsparteien
Betreiber von QRENA
Hainstück 11, 35745 Herborn
E-Mail: info@qrena.de
gemäß den Angaben im Lizenzvertrag
(nachfolgend: „Verantwortliche")
§ 1 Gegenstand und Dauer
1.1 Gegenstand
Gegenstand dieses AVV ist die Bereitstellung der webbasierten Lernplattform QRENA durch den Auftragsverarbeiter zur Durchführung digitaler, differenzierter Lerneinheiten durch die Verantwortliche. Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten im Auftrag und nach Weisung der Verantwortlichen.
1.2 Dauer
Dieser AVV tritt mit Abschluss des Schullizenzverhältnisses in Kraft und gilt für die gesamte Laufzeit des Lizenzvertrages. Er endet automatisch mit dem Ende des Lizenzvertrages, es sei denn, die gesonderte Löschung der Daten erfordert ein zeitlich begrenztes Fortbestehen.
§ 2 Art und Zweck der Verarbeitung
Der Auftragsverarbeiter betreibt eine webbasierte Lernplattform für differenzierten, interaktiven Unterricht. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Bereitstellung und des Betriebs dieser Plattform für die Verantwortliche.
✅ Grundsatz der Zweckbindung: Personenbezogene Daten werden ausschließlich zur Erbringung des vertraglich vereinbarten QRENA-Dienstes verarbeitet. Eine Nutzung für Werbung, Profiling, Modelltraining oder sonstige eigene Zwecke des Auftragsverarbeiters findet nicht statt.
§ 3 Art der personenbezogenen Daten
| Datenkategorie | Beschreibung |
|---|---|
| Pseudonymisierte Identifikationsmerkmale der Teilnehmenden | Frei gewählte Teamnamen und optionale Spitznamen (keine Klarnamen, keine E-Mail-Adressen, keine biometrischen Merkmale) |
| Nutzungs- und Leistungsdaten | Punktestände, bearbeitete Aufgaben, eingereichte Antworten, Session-Logs |
| Lehrkraft-Accountdaten | E-Mail-Adresse (Pflicht), Name (optional), Passwort (gehasht) |
| Technische Daten | Anonyme Firebase User-IDs (temporär), IP-Adresse (durch Firebase verarbeitet) |
⚠️ Ausdrücklich NICHT verarbeitet: Klarnamen von Schülerinnen und Schülern, Geburtsdaten, biometrische Daten, Gesundheitsdaten, Leistungsbeurteilungen im schulrechtlichen Sinne, Noten oder sonstige besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO.
§ 4 Kategorien betroffener Personen
- Lehrkräfte – handeln als Verantwortliche im Rahmen ihrer Unterrichtstätigkeit; ihre Accountdaten werden für die Plattformnutzung gespeichert
- Schülerinnen und Schüler (Minderjährige) – nehmen pseudonym an Lerneinheiten teil; keine dauerhaften Accounts, keine Klarnamen erforderlich
§ 5 Pflichten des Auftragsverarbeiters
5.1 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der Verantwortlichen. Weisungen können per E-Mail an info@qrena.de erteilt werden.
5.2 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5.3 Technisch-organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO (siehe § 7 dieses AVV).
5.4 Unterauftragsverarbeiter
Die Verantwortliche erteilt mit Abschluss dieses AVV ihre allgemeine Genehmigung für den Einsatz der in § 8 genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert die Verantwortliche über beabsichtigte Änderungen. Die Verantwortliche hat das Recht, solchen Änderungen zu widersprechen.
5.5 Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt die Verantwortliche bei der Erfüllung ihrer Pflichten gegenüber betroffenen Personen. Anfragen können an info@qrena.de gerichtet werden.
5.6 Unterstützung bei Datenschutzverletzungen
Der Auftragsverarbeiter informiert die Verantwortliche unverzüglich, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, und unterstützt sie bei der Erfüllung ihrer Meldepflichten nach Art. 33 und 34 DSGVO.
5.7 Löschung nach Vertragsende
Session-Daten werden automatisch innerhalb von 24 Stunden nach Abschluss einer Session gelöscht. Lehrkraft-Accountdaten werden auf Anfrage oder spätestens 30 Tage nach Vertragsende gelöscht.
§ 6 Pflichten der Verantwortlichen (Schule)
- Rechtmäßigkeit sicherstellen: Die Verantwortliche stellt sicher, dass die Verarbeitung personenbezogener Daten durch den Einsatz von QRENA auf einer geeigneten Rechtsgrundlage beruht.
- Information der Betroffenen: Die Verantwortliche informiert Schülerinnen, Schüler und ggf. deren Erziehungsberechtigte gemäß Art. 13/14 DSGVO über den Einsatz von QRENA.
- Pseudonymisierung: Die Verantwortliche stellt sicher, dass Lehrkräfte keine Klarnamen als Teamnamen eingeben und keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) über die Plattform verarbeitet werden.
- Datenschutzbeauftragte/r: Bei Unsicherheiten konsultiert die Verantwortliche ihren schulischen Datenschutzbeauftragten.
- Weisungserteilung: Weisungen an den Auftragsverarbeiter erteilt die Verantwortliche schriftlich (E-Mail genügt).
§ 7 Technisch-organisatorische Maßnahmen (TOMs)
| Bereich | Maßnahme | Umsetzung |
|---|---|---|
| Vertraulichkeit | Transportverschlüsselung | TLS 1.3 (HTTPS) auf allen Endpunkten, erzwungen |
| Integrität | Zugangskontrolle (Datenbank) | Firebase Security Rules: granulare, rollenbasierte Lese- und Schreibrechte |
| Zugangskontrolle | Nutzerauthentifizierung | Passwortgeschützter Lehrkraft-Account via Firebase Authentication; Schüler pseudonym via Anonymous Authentication |
| Verfügbarkeit | Infrastruktur | Google Firebase (hochverfügbare Cloud-Infrastruktur, EU-Region europe-west1, Belgien) |
| Datensparsamkeit | Automatische Löschung | Session-Daten nach 24 h; nicht gestartete Sessions nach 7 Tagen via Cloud Function |
| Pseudonymisierung | Keine Klarnamen | Schülerinnen und Schüler nehmen ausschließlich mit frei gewählten Teamnamen teil |
| Datenspeicherung | EU-Region | Alle Daten gespeichert in europe-west1 (Belgien) – kein routinemäßiger Transfer außerhalb der EU |
| Organisatorisch | Vertraulichkeit | Der Betreiber ist zur Verschwiegenheit verpflichtet; keine Weitergabe zu Werbe- oder Profiling-Zwecken |
§ 8 Unterauftragsverarbeiter
Mit Abschluss dieses AVV genehmigt die Verantwortliche den Einsatz folgender Unterauftragsverarbeiter:
| Anbieter | Zweck | Anschrift | Serverstandort |
|---|---|---|---|
| Google Cloud EMEA Limited | Firebase Hosting, Authentication, Cloud Firestore, Firebase Storage, Cloud Functions | 70 Sir John Rogerson's Quay, Dublin 2, Irland | EU-Region europe-west1, Belgien |
| Stripe Payments Europe Ltd | Zahlungsabwicklung (Schulrechnungen) – ausschließlich Rechnungs- und Kontaktdaten; keine Schülerdaten | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland | EU |
📌 Hinweis: Änderungen an dieser Liste werden der Verantwortlichen rechtzeitig mitgeteilt. Die Verantwortliche hat das Recht, neuen Unterauftragsverarbeitern zu widersprechen.
§ 9 Laufzeit und Kündigung
9.1 Laufzeit
Dieser AVV tritt mit Abschluss des Schullizenzverhältnisses in Kraft und endet automatisch mit dessen Beendigung.
9.2 Datenlöschung nach Vertragsende
- Session-Daten werden automatisch innerhalb von 24 Stunden nach Sitzungsende gelöscht
- Lehrkraft-Accountdaten werden auf ausdrückliche Anfrage sofort gelöscht
- Spätestens 30 Tage nach Vertragsende löscht der Auftragsverarbeiter alle verbleibenden personenbezogenen Daten
- Der Auftragsverarbeiter bestätigt die erfolgte Löschung auf Anfrage schriftlich
§ 10 Schlussbestimmungen
10.1 Anwendbares Recht
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Erfüllungsort und Gerichtsstand ist Herborn, soweit gesetzlich zulässig.
10.2 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
10.3 Kontakt
Für alle Anfragen im Zusammenhang mit diesem AVV:
Dominic Schmitt · info@qrena.de
🎉 Vertrauen durch Transparenz
Dieser AVV ist öffentlich einsehbar und wird bei wesentlichen Änderungen aktualisiert.
Stand: März 2026
Dieser AVV ersetzt keine individuelle Rechtsberatung. Bei rechtlichen Unsicherheiten empfehlen wir die Konsultation eines auf Datenschutzrecht spezialisierten Rechtsanwalts oder des schulischen Datenschutzbeauftragten.