Search toggle
Search toggle
Choose your language.
Suche

DSGVO-konformer AV-Vertrag app.schülerausweis.de

Einleitung zum Auftragsverarbeitungsvertrag (AV-Vertrag) für app.schülerausweis.de

Datenschutz und Datensicherheit sind für uns von höchster Bedeutung. Als Auftragsverarbeiter unterstützen wir Schulen dabei, den digitalen Schülerausweis rechtskonform und DSGVO-konform bereitzustellen.

Gemäß Art. 28 DSGVO ist ein Auftragsverarbeitungsvertrag (AV-Vertrag) erforderlich, wenn personenbezogene Daten im Auftrag einer Schule verarbeitet werden. Dieser Vertrag regelt die Verantwortlichkeiten und Schutzmaßnahmen für die Verarbeitung von Schüler- und Lehrerdaten auf app.schülerausweis.de.

Unser AV-Vertrag enthält unter anderem:
✔ Die Rechtsgrundlagen der Datenverarbeitung
✔ Umfang und Zweck der Datenverarbeitung im Auftrag der Schule
✔ Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten
✔ Ihre Rechte und Kontrollmöglichkeiten als Schule

📌 Warum ist ein AV-Vertrag wichtig?
Schulen sind als öffentliche Stellen verantwortlich für den Schutz der personenbezogenen Daten ihrer Schüler*innen und Lehrkräfte. Unser AV-Vertrag sorgt dafür, dass alle Daten sicher verarbeitet werden und die gesetzlichen Vorgaben eingehalten werden.

Hier können Sie den vollständigen AV-Vertrag einsehen:

AUFTRAGSVERARBEITUNGSVERTRAG
(AV-VERTRAG)
Stand 3. April 2025

zwischen

(1) Schule (im Folgenden "Verantwortlicher")
Name der Schule: ________________
Anschrift: ________________
vertreten durch: ________________

und

(2) app.schülerausweis.de by Energy-Imaging (im Folgenden "Auftragsverarbeiter")
Inhaberin Susanne Henkel
Schubertstraße 21, 40699 Erkrath
E-Mail: datenschutz@energy-imaging.de

1. Begriffsbestimmungen

Im Sinne dieses Vertrags gelten folgende Begriffsbestimmungen gemäß Art. 4 DSGVO:

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

  • Verarbeitung: Jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Ändern, Übermitteln oder Löschen.

  • Verantwortlicher: Die Schule als datenverarbeitende Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet.

  • Auftragsverarbeiter: app.schülerausweis.de by Energy-Imaging, das im Auftrag der Schule personenbezogene Daten verarbeitet.

2. Gegenstand und Dauer des Auftrags

2.1 Gegenstand der Verarbeitung
Der Auftragsverarbeiter stellt dem Verantwortlichen eine digitale Plattform zur Verfügung, um digitale Schüler- und Lehrerausweise zu generieren, zu speichern und zu verwalten. Hierbei verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

Auf Wunsch des Verantwortlichen können zusätzliche Angaben auf dem Ausweis angezeigt werden, wie z. B. Barcodes für Bibliothek, Mensa oder Lehrmittelverwaltung. Ebenfalls kann die Adresse der Schülerinnen auf dem Ausweis dargestellt werden, sofern dies ausdrücklich von der Schule beauftragt wird. Der Auftragsverarbeiter empfiehlt dies jedoch aus Gründen der Datenminimierung ausdrücklich nicht, da der Ausweis primär zur Identifikation als Schülerin sowie ggf. als Altersnachweis für Vergünstigungen dient.

2.2 Dauer des Vertrags
Dieser Vertrag tritt mit der Unterzeichnung in Kraft und bleibt gültig, solange der Verantwortliche die Dienste des Auftragsverarbeiters in Anspruch nimmt. Nach Vertragsende werden die Daten gemäß Punkt 12 gelöscht.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der Bereitstellung und Verwaltung digitaler Schüler- und Lehrerausweise. Dies umfasst:

  • Erstellung und Speicherung von Ausweisen

  • Verwaltung von Identifikationsdaten

  • Integration in Apple Wallet, Google Wallet und PassWallet

  • Authentifizierung und Sicherheit der Nutzerkonten

  • Bereitstellung von Schnittstellen für Schulverwaltungen

  • Technische Wartung und Support

  • Schutz vor URL-Manipulation durch Verwendung signierter JSON Web Tokens (JWTs) zur Zugangskontrolle und Sitzungsverwaltung

4. Art der verarbeiteten personenbezogenen Daten

  • Name, Vorname

  • Geburtsdatum

  • Schüler-ID aus der Schulverwaltung

  • Foto

  • E-Mail-Adresse

  • Nutzungsdaten (IP-Adresse, Login-Zeiten, Gerätetyp)

  • Optional: Barcode-IDs (z. B. für Bibliothek oder Mensa), Schüleradresse (nur wenn beauftragt)

Die Verarbeitung sensibler Daten gemäß Art. 9 DSGVO erfolgt nicht.

5. Pflichten des Verantwortlichen

Der Verantwortliche ist verpflichtet:

  • Die Rechtmäßigkeit der Datenverarbeitung sicherzustellen (Art. 6 DSGVO)

  • Betroffene Personen über die Verarbeitung zu informieren

  • Die Weisungen an den Auftragsverarbeiter zu dokumentieren

  • Sicherheits- und Datenschutzvorgaben innerhalb der Schule umzusetzen

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Die Daten ausschließlich für die vereinbarten Zwecke zu verarbeiten

  • Keine Daten an Dritte weiterzugeben, es sei denn, dies ist vertraglich geregelt

  • Die Verarbeitung grundsätzlich innerhalb der EU/des EWR vorzunehmen; bei Nutzung von Drittdiensten gelten die Garantien nach Art. 44 ff. DSGVO

  • Angemessene technische und organisatorische Sicherheitsmaßnahmen (TOMs) zu implementieren

  • Schuladministratoren und betroffenen Personen den Zugang zu gespeicherten Daten zu ermöglichen

  • Den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung gegen Datenschutzrecht verstößt

  • Den Verantwortlichen vor Verarbeitung zu informieren, wenn der Auftragsverarbeiter rechtlich zur anderweitigen Verarbeitung verpflichtet ist, sofern keine gesetzliche Geheimhaltungspflicht entgegensteht

7. Technische und organisatorische Maßnahmen (TOMs)

  • SSL-Verschlüsselung (TLS 1.2+)

  • Zugriffskontrollen nach BSI-Standard, 2-Faktor-Authentifizierung

  • ISO 27001-zertifizierte Server in Deutschland (Mittwald)

  • Firewall und Intrusion-Detection-Systeme

  • Regelmäßige Schulungen

  • Tägliche Backups der SQL-Datenbank

  • Incident-Response-Plan inkl. Meldung an die Schule und Datenschutzbehörden gemäß Art. 33 DSGVO

  • Signierte JWTs zur Absicherung von URLs und zum Schutz vor Manipulation

8. Unterauftragsverhältnisse

Die aktuell beauftragten Unterauftragsverarbeiter sind in Anlage 1 aufgeführt. Eine Erweiterung oder Änderung erfolgt nur mit Zustimmung des Verantwortlichen.

9. Kontrollrechte der Schulen

Der Verantwortliche kann die Einhaltung dieses Vertrags überprüfen, z. B. durch:

  • Einsicht in Protokolle

  • Anforderung von Nachweisen

  • Vor-Ort-Audit (nach Absprache)

10. Unterstützung bei Anfragen betroffener Personen

Der Auftragsverarbeiter reagiert auf Anfragen (Datenkopie, Löschung etc.) innerhalb der Frist gemäß Art. 12 Abs. 3 DSGVO.

11. Dokumentation der Weisungen des Verantwortlichen

Sämtliche Weisungen werden dokumentiert und auf Anfrage nachgewiesen.

12. Beendigung des Vertrags und Datenlöschung

Nach Vertragsende verpflichtet sich der Auftragsverarbeiter:

  • Alle Daten zu löschen oder zurückzugeben

  • Die Löschung auf Anfrage zu bestätigen

  • Buchhaltungsdaten gemäß gesetzlichen Vorgaben aufzubewahren

13. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

  • Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)

  • Konsultationen mit Datenschutzbehörden (Art. 36 DSGVO)

  • Prüfungen durch Aufsichtsbehörden

Ort, Datum: ____________________________


Unterschrift Verantwortlicher: ____________________________


Unterschrift Auftragsverarbeiter: ____________________________


Anlage 1: Liste der Unterauftragsverarbeiter

Unternehmen Aufgabe Ort der Verarbeitung
Mittwald Hosting & Server Deutschland
Brevo E-Mail-Versand EU
Apple Anzeige und Verwaltung von Ausweisen über Apple Wallet. Speicherung erfolgt ausschließlich auf den Endgeräten der Nutzer*innen. Der Auftragsverarbeiter hat keinen Zugriff auf diese Daten. lokal auf Endgeräten, nutzerabhängig
PassWallet Anzeige und Verwaltung von Ausweisen auf Android-Geräten. Speicherung erfolgt ausschließlich auf den Endgeräten der Nutzer*innen. Der Auftragsverarbeiter hat keinen Zugriff auf diese Daten. lokal auf Endgeräten, nutzerabhängig
Google Wallet API Bereitstellung digitaler Ausweise über API-Schnittstelle. Google-Infrastruktur (DSGVO/GDPR-Garantien von Google)
WebUntis Schnittstelle zur Schulverwaltung (optional) Österreich / Deutschland
HubSpot Support & CRM (bei Bedarf) Deutschland
Vidyard Hosting von Support-Videos Kanada
United Domains Domainverwaltung & SSL-Zertifikate Deutschland
Stripe Zahlungsdienstleister (bei Bedarf) EU

Fragen & Antworten

Warum ist ein AV-Vertrag erforderlich?

Ein AV-Vertrag ist nach Art. 28 DSGVO vorgeschrieben, wenn eine Schule personenbezogene Daten von Schüler*innen und Lehrkräften durch einen Dienstleister verarbeiten lässt.

Wer muss den AV-Vertrag unterzeichnen?

Der AV-Vertrag wird zwischen der Schule (Verantwortlicher) und app.schülerausweis.de by Energy-Imaging (Auftragsverarbeiter) abgeschlossen.

Welche Sicherheitsmaßnahmen gibt es?

Datenübertragungen sind SSL-verschlüsselt, es gibt Zugriffskontrollen, 2-Faktor-Authentifizierung und tägliche Backups der SQL-Datenbank.

Kann die Schule Weisungen zur Datenverarbeitung geben?

Ja, die Schule als Verantwortlicher kann Weisungen zur Verarbeitung geben. Diese werden dokumentiert und auf Anfrage nachgewiesen.

Wie kann die Schule den AV-Vertrag abschließen?

Sobald sich die Schule für unser System entscheidet, stellen wir einen Auftrag mit integriertem AV-Vertrag zur Verfügung. Dieser wird digital bereitgestellt und ist für eine elektronische Unterzeichnung (E-Signatur) vorbereitet. Nach der Unterzeichnung wird der Vertrag automatisch archiviert und die Schule erhält eine Bestätigung.

Kann die Schule den AV-Vertrag vorab einsehen?

Ja, die Schule kann hier den vollständigen AV-Vertrag vorab einsehen, bevor eine Entscheidung getroffen wird. Auf Wunsch stellen wir das Dokument auch via E-Mail zur Verfügung.

Image 001

Fragen zum Datenschutz? Kontaktieren Sie uns!

Haben Sie Fragen zur Verarbeitung personenbezogener Daten auf app.schülerausweis.de oder benötigen Sie weitere Informationen zur DSGVO-Konformität unseres Systems?

Nutzen Sie das untenstehende Formular, um uns direkt zu kontaktieren. Wir beantworten gerne Anfragen von Datenschutzbeauftragten, Schulen sowie Schüler*innen und Lehrkräften, die sich über den digitalen Schülerausweis informieren möchten.

📌 Bitte beachten Sie:
Für allgemeine Fragen zur Nutzung des digitalen Schülerausweises durch Schüler*innen und Lehrkräfte empfehlen wir zunächst einen Blick in unsere FAQ oder die Datenschutzerklärung.

🔐 Datenschutz-Hinweis:
Ihre Anfrage wird verschlüsselt übertragen und ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet. Weitere Informationen finden Sie in unserer Datenschutzerklärung.