Auftragsverarbeitungsvereinbarung (AVV)

Schulen, die eine Schullizenz für Learny® School abschließen, erhalten eine Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO. Diese Seite informiert zusammenfassend über Inhalt und Gegenstand; die vollständige AVV wird als separates Dokument bereitgestellt.

1. Was ist eine AVV?

Eine Auftragsverarbeitungsvereinbarung (AVV) ist ein Vertrag gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO). Sie regelt die Verarbeitung personenbezogener Daten, die Learny® School im Auftrag der Schule durchführt. Die Schule bleibt als Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO für die Daten ihrer Schüler:innen und Lehrkräfte zuständig; Learny® School handelt als Auftragsverarbeiter.

2. Gegenstand, Art, Zweck und Dauer der Verarbeitung

  • Gegenstand: Bereitstellung und Betrieb der Lernplattform Learny® School.
  • Art der Verarbeitung: Erhebung, Speicherung, Anzeige, Veränderung, Übermittlung (bei KI-Nutzung) und Löschung.
  • Zweck: Erstellung und Verwaltung von Lerninhalten, Abbildung des Lernfortschritts, Klassen- und Lizenzverwaltung sowie optionale KI-Unterstützung.
  • Dauer: Laufzeit der Schullizenz zzgl. gesetzlicher Aufbewahrungsfristen.

3. Kategorien betroffener Personen und Datenarten

Betroffene Personengruppen:

  • Schülerinnen und Schüler der lizenzierenden Schule
  • Lehrkräfte und Schulleitung
  • Schulverwaltungspersonal mit Account-Zugriff

Datenkategorien:

  • Identifikationsdaten (Anzeigename, E-Mail-Adresse, Rolle)
  • Zuordnungsdaten (Klassen-ID, Schul-ID)
  • Lernfortschrittsdaten (Karten-Statistiken, Quiz-Ergebnisse)
  • Nutzergenerierte Inhalte (eigene Lernkarten, Notizen)
  • KI-Interaktionsprotokolle (Rate-Limit- und Missbrauchserkennung, 30 Tage)
  • Technische Logs (IP-Adresse, Zeitstempel, User-Agent — Aufbewahrung max. 30 Tage)

Besondere Kategorien nach Art. 9 DSGVO werden nicht verarbeitet.

4. Weisungsbindung und Vertraulichkeit

Learny® School verarbeitet die Daten ausschließlich auf dokumentierte Weisung der Schule, es sei denn, eine gesetzliche Verpflichtung nach Unionsrecht oder österreichischem Recht schreibt etwas anderes vor. In diesem Fall wird der Verantwortliche vor der Verarbeitung informiert (Art. 28 Abs. 3 lit. a DSGVO).

Alle eingesetzten Personen sind zur Vertraulichkeit verpflichtet und auf das Datengeheimnis gemäß § 6 DSG verpflichtet worden (Art. 28 Abs. 3 lit. b DSGVO).

5. Technische und organisatorische Maßnahmen (TOM, Art. 32 DSGVO)

Zur Sicherung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme werden insbesondere folgende Maßnahmen umgesetzt:

5.1 Vertraulichkeit

  • Zutrittskontrolle: Rechenzentren der Subverarbeiter (Hosteurope, Google) mit zertifiziertem physischem Zugangsschutz (ISO 27001).
  • Zugangskontrolle: Authentifizierung über Firebase Auth mit verpflichtender Passwortkomplexität; optional Single-Sign-On über Schul-Identity-Provider (Microsoft 365 for Education, Bildungsportal via SAML); TOTP für Administrator-Konten.
  • Zugriffskontrolle: rollenbasierte Berechtigungen (Schüler, Lehrkraft, Admin); Firestore Security Rules auf Datenbankebene; Least-Privilege-Prinzip.
  • Trennungskontrolle: Mandantentrennung nach Schul-ID; logische Trennung von Produktiv- und Entwicklungsumgebung.
  • Pseudonymisierung/Verschlüsselung: TLS 1.2+ für Datenübertragung; Verschlüsselung ruhender Daten (AES-256 in Firestore/Firebase Storage); AES-256-GCM-Verschlüsselung für TOTP-Secrets.

5.2 Integrität

  • Weitergabekontrolle: Protokollierung von Admin-Aktionen (Audit Log, 30 Tage Aufbewahrung); keine Weitergabe an Dritte außerhalb der dokumentierten Subverarbeiter.
  • Eingabekontrolle: Serverseitige Validierung aller Eingaben; CSRF-Schutz; strikte Content-Security-Policy.

5.3 Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: redundantes Hosting über Google Cloud (EU-Regioneurope-west1) und Webserver-Infrastruktur bei Hosteurope (Deutschland); regelmäßige Backups mit Geo-Redundanz.
  • Rasche Wiederherstellbarkeit: Firestore Point-in-Time-Recovery; Incident-Response-Prozess definiert.

5.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Datenschutz-Management: laufende Aktualisierung dieser Datenschutzunterlagen; jährliche interne Review.
  • Incident-Response: dokumentiertes Verfahren zur Erkennung und Reaktion auf Sicherheitsvorfälle, Meldung binnen 72 Stunden nach Art. 33 DSGVO an Verantwortliche und Aufsichtsbehörde.
  • Auftragskontrolle: vertragliche Regelung mit allen Subverarbeitern, Prüfung der DPA/SCC-Dokumente vor Vertragsabschluss.

6. Unterbeauftragte Verarbeiter

Die Schule stimmt der Beauftragung folgender weiterer Auftragsverarbeiter zu (Art. 28 Abs. 2 und 4 DSGVO); Learny® School informiert vorab über geplante Änderungen und räumt ein Widerspruchsrecht ein:

  • Hosteurope GmbH (Welserstraße 14, 51149 Köln, Deutschland) — Webserver-Hosting. Verarbeitet Serverlogs und durchgeleitete Anfragen. AVV gem. Art. 28 DSGVO vorhanden. Standort Deutschland (EU).
  • Mistral AI SAS (15 rue des Halles, 75001 Paris, Frankreich) — primärer KI-Anbieter für Lernkarten-, Quiz- und Zusammenfassungs-Generierung (Modell Mistral Medium). Verarbeitung innerhalb der EU durch EU-Unternehmen — keine Drittlandübermittlung, unmittelbar DSGVO-verpflichtet. Eingaben werden gemäß Mistral-Nutzungsbedingungen nicht zur Modelltrainierung verwendet.
  • Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland) — Firebase Authentication, Firestore (Datenbank, Region europe-west1), Firebase Storage. Standard-DPA mit integrierten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
  • Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) — ergänzender Anbieter (Google Gemini API, Paid Tier / Google Cloud) für spezialisierte Features, für die kein gleichwertiges EU-Modell verfügbar ist: Text-to-Speech (Sprachausgabe) und KI-Gespräch. Drittland-Übermittlung auf Basis von EU-US Data Privacy Framework (Angemessenheitsbeschluss) und SCCs.

7. Unterstützung des Verantwortlichen

Learny® School unterstützt die Schule bei der Einhaltung ihrer Pflichten nach Art. 32 bis 36 DSGVO, insbesondere bei:

  • Beantwortung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) gemäß Art. 15–22 DSGVO — Bereitstellung von Export- und Löschfunktionen im Admin-Bereich.
  • Meldung von Datenschutzverletzungen binnen 72 Stunden nach Bekanntwerden (Art. 33 DSGVO).
  • Benachrichtigung betroffener Personen bei hohem Risiko (Art. 34 DSGVO).
  • Durchführung einer Datenschutz-Folgenabschätzung bei Bedarf (Art. 35 DSGVO).

8. Löschung und Rückgabe

Nach Abschluss der Verarbeitungstätigkeiten (Beendigung der Schullizenz) werden nach Wahl der Schule alle personenbezogenen Daten gelöscht oder zurückgegeben, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Eine Löschbestätigung wird auf Anforderung ausgestellt (Art. 28 Abs. 3 lit. g DSGVO).

9. Nachweis- und Prüfrechte

Learny® School stellt der Schule alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten zur Verfügung und ermöglicht Audits — einschließlich Inspektionen — durch die Schule oder einen von dieser beauftragten Prüfer (Art. 28 Abs. 3 lit. h DSGVO). Audit-Anfragen werden mit angemessener Vorlaufzeit (mindestens 14 Tage) angekündigt.

10. Für wen ist die AVV relevant?

Die AVV ist für alle Schulen relevant, die Learny® School im Rahmen einer Schullizenz einsetzen. Bei einer Schullizenz verarbeitet Learny® School Daten von Schüler:innen im Auftrag der Schule — dafür ist eine AVV gem. Art. 28 DSGVO gesetzlich vorgeschrieben.

Einzelnutzer:innen (ohne Schullizenz) schließen einen eigenen Nutzungsvertrag direkt mit Learny® School ab; hier ist keine AVV erforderlich.

11. AVV herunterladen

Schulen, die eine Schullizenz abschließen oder bereits nutzen, können die vollständige AVV als unterschriftsreifes Dokument herunterladen und signiert zurücksenden.

AVV herunterladenPer E-Mail einsenden

Hinweis: Öffnen Sie das Dokument im Browser und drucken Sie es als PDF (Strg+P → Als PDF speichern).

12. Rechtsgrundlage

Art. 28 Abs. 3 DSGVO schreibt vor, dass die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags erfolgen muss, der den Auftragsverarbeiter gegenüber dem Verantwortlichen bindet und Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festlegt.

13. Auftragsverarbeiter

Emanuel Schmacher e.U.
Sielach 76, 9133 Sittersdorf, Österreich
E-Mail: info@learny.page

Stand: 19. April 2026