Auftragsverarbeitungsvereinbarung

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
in Verbindung mit dem österreichischen Datenschutzgesetz (DSG)

Learny^® School — Lernplattform für österreichische Schulen
Stand: April 2026

§ 1 Vertragsparteien

Verantwortlicher (Auftraggeber):

Die Schule bzw. der Schulerhalter, der eine Schullizenz für Learny^® School abschließt
(nachfolgend „Auftraggeber")

Auftragsverarbeiter (Auftragnehmer):

Emanuel Schmacher e.U.
Sielach 76, 9133 Sittersdorf, Österreich
E-Mail: info@learny.page
(nachfolgend „Auftragnehmer")

§ 2 Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Lernplattform „Learny^® School".
Die Dauer der Verarbeitung entspricht der Laufzeit der Schullizenz. Nach Beendigung der Lizenz werden sämtliche personenbezogenen Daten gemäß § 10 dieser Vereinbarung gelöscht oder zurückgegeben.
Der Auftragnehmer verarbeitet die Daten ausschließlich im Gebiet der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Eine Übermittlung in Drittstaaten erfolgt nur im Rahmen von § 7 dieser Vereinbarung.

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

Bereitstellung von Benutzerkonten für Lehrkräfte und Schüler:innen
Speicherung und Verwaltung von Lernfortschrittsdaten (Kartenstatistiken, Quiz-Ergebnisse)
Erstellung von KI-generierten Lerninhalten (Lernkarten, Quizfragen, Zusammenfassungen) ausschließlich bei erteilter Einwilligung
Verwaltung von Klassenzugehörigkeiten, Aufgaben und Schularbeiten
Bereitstellung von Auswertungen und Lernstatistiken für Lehrkräfte

§ 4 Kategorien betroffener Personen

Schüler:innen der Schule
Lehrkräfte der Schule

§ 5 Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

Kontodaten: Anzeigename, Benutzername, E-Mail-Adresse (bei Lehrkräften), Rolle, Klassenzugehörigkeit
Lernfortschrittsdaten: Anzahl richtig/falsch beantworteter Karten, Quiz-Ergebnisse, Lernaktivitäten
Schularbeitsdaten: Antworten, Punkte, Abgabezeitpunkt
KI-Interaktionsdaten: Fachinhalte und Themengebiete (keine personenbezogenen Eingaben); Protokollierung gemäß EU-KI-Verordnung mit automatischer Löschung nach 30 Tagen

Es werden keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet.

§ 6 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
Sicherzustellen, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe § 8 dieser Vereinbarung).
Weitere Auftragsverarbeiter nur nach vorheriger Zustimmung des Auftraggebers einzusetzen (siehe § 7).
Den Auftraggeber bei der Erfüllung der Rechte betroffener Personen gemäß Art. 15–22 DSGVO zu unterstützen.
Den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen (Datensicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).
Nach Beendigung der Verarbeitung alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO).
Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO).
Den Auftraggeber unverzüglich zu informieren, falls eine Weisung nach Einschätzung des Auftragnehmers gegen datenschutzrechtliche Vorschriften verstößt.

§ 7 Unterauftragsverarbeiter

Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:

Unternehmen	Zweck	Standort	Garantien
Google Cloud / Firebase	Hosting, Datenbank, Authentifizierung	EU (Frankfurt)	Standardvertragsklauseln, EU-US DPF
Mistral AI SAS (Paris, Frankreich)	Primärer KI-Anbieter: Generierung von Lernkarten, Quiz, Zusammenfassungen	EU (Frankreich)	EU-Unternehmen, unmittelbar DSGVO-verpflichtet, keine Modelltrainierung, nur bei Einwilligung
Google LLC (Google Gemini / Google Cloud)	Ergänzender Anbieter für spezialisierte Features ohne EU-Äquivalent: Text-to-Speech und KI-Gespräch	USA	Standardvertragsklauseln, EU-US DPF, keine Modelltrainierung, nur bei Einwilligung

Die Einschaltung weiterer oder anderer Unterauftragsverarbeiter bedarf der vorherigen schriftlichen oder elektronischen Zustimmung des Auftraggebers. Der Auftragnehmer informiert den Auftraggeber rechtzeitig über beabsichtigte Änderungen. Der Auftraggeber kann innerhalb von 14 Tagen Einspruch erheben.

§ 8 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft gemäß Art. 32 DSGVO insbesondere folgende Maßnahmen:

Vertraulichkeit

Verschlüsselung aller Datenübertragungen mittels TLS 1.2+
Rollenbasierte Zugriffskontrolle (Lehrer, Schüler, Admin)
Firebase Security Rules für granulare Datenzugriffskontrolle
Authentifizierung über Firebase Authentication (E-Mail/Passwort, Microsoft 365 SSO, Google, Apple)

Integrität

Eingabevalidierung und Schutz vor Injection-Angriffen
KI-Rate-Limiting zum Schutz vor Missbrauch
Audit-Logging aller KI-Interaktionen

Verfügbarkeit und Belastbarkeit

Hosting auf Google Cloud Platform mit automatischer Skalierung
Regelmäßige automatisierte Backups der Firestore-Datenbank
Überwachung der Systemverfügbarkeit

Überprüfung und Evaluierung

Regelmäßige Überprüfung der Sicherheitsmaßnahmen
Automatische Löschung von KI-Protokolldaten nach 30 Tagen
Barrierefreiheit gemäß WCAG 2.1 AA

§ 9 Meldepflichten bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und Personengruppen, wahrscheinliche Folgen und ergriffene Abhilfemaßnahmen.
Der Auftragnehmer unterstützt den Auftraggeber bei der Meldung an die österreichische Datenschutzbehörde (DSB) und bei der Benachrichtigung betroffener Personen.

§ 10 Löschung und Rückgabe von Daten

Nach Beendigung der Schullizenz löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
Auf Wunsch des Auftraggebers werden die Daten vor der Löschung in einem gängigen, maschinenlesbaren Format (JSON) zurückgegeben.
Der Auftragnehmer bestätigt die vollständige Löschung schriftlich oder elektronisch.

§ 11 Kontroll- und Prüfrechte

Der Auftraggeber hat das Recht, die Einhaltung dieser Vereinbarung und der datenschutzrechtlichen Vorschriften durch den Auftragnehmer zu überprüfen.
Überprüfungen können durch Anfragen, Vor-Ort-Inspektionen oder durch einen beauftragten Prüfer erfolgen. Die Kosten der Überprüfung trägt der Auftraggeber, sofern kein Verstoß festgestellt wird.
Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen und Nachweise zur Verfügung.

§ 12 Haftung

Die Haftung der Vertragsparteien richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den einschlägigen Bestimmungen des österreichischen Rechts.

§ 13 Laufzeit und Kündigung

Diese Vereinbarung tritt mit Abschluss der Schullizenz in Kraft und endet automatisch mit deren Beendigung.
Die Pflichten zur Löschung (§ 10), zur Vertraulichkeit (§ 6 Abs. 2) und zur Unterstützung bei der Wahrung von Betroffenenrechten gelten über die Beendigung der Vereinbarung hinaus fort.

§ 14 Schlussbestimmungen

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform oder der elektronischen Form.
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Es gilt österreichisches Recht. Gerichtsstand ist Klagenfurt, Österreich.

Ort, Datum

___________________________
Auftraggeber (Schule)

Ort, Datum

___________________________
Auftragnehmer (Emanuel Schmacher e.U.)