Gilt bei Nutzung der Tutlio-Plattform.
Hinweis: Dieser Datenverarbeitungsvertrag (DPA) ist Bestandteil des Dienstleistungsvertrags (sofern ein solcher unterzeichnet wurde), der internen Regeln der Tutlio-Plattform und der Datenschutzrichtlinie. Er gilt für alle Tutoren und Organisationen, die die Tutlio-Plattform nutzen und personenbezogene Daten von Schülern verarbeiten.
1. PARTEIEN UND DEFINITIONEN
1.1. Parteien und Rollen
Dieser Datenverarbeitungsvertrag (im Folgenden DPA) wird geschlossen zwischen:
- MB Tutlio (im Folgenden der Dienstleister oder die Plattform), die Dienstleistungen der Tutlio-Plattform bereitstellt, und
- dem Tutor/der Organisation (im Folgenden der Kunde), der/die die Plattform zur Verwaltung von Schülerdaten und zur Organisation von Unterricht nutzt.
Die Parteien vereinbaren ausdrücklich, dass gemäß der Datenschutz-Grundverordnung (DSGVO) bei der Verarbeitung personenbezogener Daten in der Plattform der Kunde ausschließlich als Verantwortlicher handelt, während MB Tutlio ausschließlich als Auftragsverarbeiter handelt (gemäß Artikel 28 DSGVO).
1.2. Definitionen
- DSGVO bezeichnet die Datenschutz-Grundverordnung (EU 2016/679).
- Personenbezogene Daten bezeichnet alle Informationen über eine natürliche Person (Schüler, Elternteil/Erziehungsberechtigter), deren Identität bekannt ist oder festgestellt werden kann.
- Verantwortlicher bezeichnet eine natürliche oder juristische Person (den Kunden), die die Zwecke und Mittel der Datenverarbeitung bestimmt.
- Auftragsverarbeiter bezeichnet eine natürliche oder juristische Person (MB Tutlio), die personenbezogene Daten ausschließlich im Namen und auf Anweisung des Verantwortlichen verarbeitet.
- Betroffene Person bezeichnet eine natürliche Person (Schüler, Elternteil/Erziehungsberechtigter), deren personenbezogene Daten verarbeitet werden.
- Unterauftragsverarbeiter bezeichnet einen Dritten, den der Dienstleister für Datenverarbeitungsvorgänge einsetzt (z. B. Supabase, Stripe, Perlas Finance).
2. UMFANG UND ZWECKE DER DATENVERARBEITUNG
2.1. Verarbeitete Daten
In der Plattform können auf Anweisung des Kunden die folgenden personenbezogenen Daten von Schülern und Eltern/Erziehungsberechtigten verarbeitet werden:
- Vor- und Nachname
- E-Mail-Adresse
- Telefonnummer
- Alter und Klasse (optional)
- Einladungscodes
- Unterrichtshistorie (Daten, Zeiten, Themen, Notizen)
- Zahlungsinformationen (Betrag, Status, Zahlungsfristen)
- Daten der Eltern/Erziehungsberechtigten (wenn der Zahler nicht der Schüler selbst ist): Name, E-Mail
2.2. Zwecke der Datenverarbeitung
Die Daten werden zu folgenden Zwecken verarbeitet:
- Bereitstellung der Plattformdienste: Unterrichtsplanung, Kalenderverwaltung, Versand von Erinnerungen.
- Zahlungsverwaltung: Abwicklung von Zahlungen für Unterrichtsstunden, Erstellung und Versand von Rechnungen.
- Kommunikation: Versand automatischer Benachrichtigungen (Erinnerungen, Bestätigungen, Einladungen).
- Buchhaltung: Führung finanzieller Aufzeichnungen gemäß gesetzlichen Anforderungen.
- Verbesserung der Plattform: Anonyme Statistiken zur Verbesserung der Plattformdienste.
2.3. Dauer der Datenverarbeitung
Daten werden gespeichert:
- Solange der Dienstleistungsvertrag oder die Kontonutzung zwischen dem Kunden und der Plattform gültig ist.
- Finanzunterlagen (Zahlungen, Rechnungen) für 10 Jahre gemäß den Anforderungen der Buchhaltungsgesetze.
- Nach Vertragsbeendigung / Kontolöschung: bis zu 30 Tage, sofern der Kunde nicht eine frühere Löschung oder einen Datenexport verlangt.
3. PFLICHTEN UND VERANTWORTLICHKEITEN DER PARTEIEN
3.1. Pflichten des Dienstleisters (Auftragsverarbeiter)
Der Dienstleister verpflichtet sich:
- Daten nur gemäß den Anweisungen des Kunden (Verantwortlicher) und zu den in diesem DPA genannten Zwecken zu verarbeiten.
- Geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen (Verschlüsselung, Zugriffskontrolle, Backups usw.).
- Den Kunden innerhalb von 72 Stunden nach Kenntniserlangung über Datenschutzverletzungen zu informieren.
- Den Kunden bei der Umsetzung der Rechte betroffener Personen zu unterstützen (Rechte auf Zugriff, Löschung, Berichtigung, Übertragbarkeit unter Nutzung der Plattformfunktionalität).
- Nur genehmigte Unterauftragsverarbeiter zu verwenden (siehe Abschnitt 4) und den Kunden über deren Änderungen zu informieren.
- Daten nach Vertragsende nach Wahl des Kunden zurückzugeben oder zu löschen.
- Audits zu ermöglichen: auf begründete Anfrage Informationen bereitzustellen, die zur Überprüfung der DSGVO-Konformität erforderlich sind.
- Daten nicht ohne geeignete Garantien außerhalb der EU/des EWR zu übermitteln.
3.2. Pflichten des Kunden (Verantwortlicher)
Der Kunde verpflichtet sich:
- Eine Rechtsgrundlage für die Verarbeitung aller in die Plattform eingegebenen Daten zu haben (Einwilligung, Vertrag, berechtigtes Interesse gemäß Artikel 6 DSGVO).
- Betroffene Personen (Schüler, Eltern) darüber zu informieren, welche Daten erhoben werden, warum sie erhoben werden und dass sie in der Tutlio-Plattform verarbeitet werden (durch Bereitstellung eines Links zur Datenschutzrichtlinie von Tutlio).
- Geeignete Einwilligungen einzuholen (wenn die betroffene Person minderjährig ist, die Einwilligung der Eltern/Erziehungsberechtigten einzuholen).
- Die Richtigkeit der Daten sicherzustellen und den Grundsatz der Datenminimierung einzuhalten (nur für den Unterricht erforderliche Daten einzugeben).
- Anfragen betroffener Personen eigenständig zu beantworten, bei Bedarf unter Nutzung der Plattformfunktionalität.
- Die Plattform verantwortungsvoll zu nutzen, Zugänge nicht an Dritte weiterzugeben und Login-Daten zu schützen.
4. UNTERAUFTRAGSVERARBEITER
4.1. Genehmigte Unterauftragsverarbeiter
Der Kunde erteilt dem Dienstleister eine allgemeine Genehmigung zur Nutzung der folgenden Unterauftragsverarbeiter:
Supabase Inc. Dienstleistung: Hosting und Verwaltung der Datenbank. Datenstandort: Europäische Union (AWS-Region eu-central-1). DSGVO-Konformität: DSGVO-konform, ISO 27001-zertifiziert.
Stripe, Inc. Dienstleistung: Zahlungsabwicklung (internationale Märkte). Datenstandort: USA, EU (unter Verwendung von Standardvertragsklauseln, SCC). DSGVO-Konformität: DSGVO-konform, PCI DSS Level 1-zertifiziert.
UAB Perlas Finance Dienstleistung: Open-Banking- und Zahlungsabwicklungsdienste (lokaler Markt). Datenstandort: Europäische Union (Litauen). DSGVO-Konformität: von der Bank von Litauen lizenziertes Zahlungsinstitut, DSGVO-konform.
Resend (Zernonia, Inc.) Dienstleistung: E-Mail-Versand (Erinnerungen, Benachrichtigungen). Datenstandort: USA (AWS, unter Verwendung von SCC). DSGVO-Konformität: DSGVO-konform.
4.2. Änderung von Unterauftragsverarbeitern
Wenn der Dienstleister plant, einen neuen Unterauftragsverarbeiter hinzuzufügen oder einen bestehenden zu ersetzen, informiert er den Kunden spätestens 30 Tage vor der Änderung per E-Mail. Der Kunde hat das Recht, dem neuen Unterauftragsverarbeiter zu widersprechen (wenn hierfür begründete datenschutzbezogene Gründe bestehen); in diesem Fall hat der Kunde das Recht, den Dienstleistungsvertrag zu kündigen.
5. RECHTE BETROFFENER PERSONEN
5.1. Ausübung der Rechte
Betroffene Personen (Schüler, Eltern) haben nach der DSGVO folgende Rechte: Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung (Recht auf Vergessenwerden), Recht auf Einschränkung, Recht auf Übertragbarkeit, Widerspruchsrecht, Recht auf Beschwerde bei der Staatlichen Datenschutzinspektion (VDAI).
5.2. Antwortfristen und Verfahren
Anfragen betroffener Personen sind zunächst vom Kunden (Verantwortlicher) zu bearbeiten. Wenn der Kunde technische Unterstützung beim Auslesen oder Löschen von Daten benötigt, kann er den Dienstleister per E-Mail unter info@tutlio.lt kontaktieren. Der Dienstleister beantwortet solche Anfragen spätestens innerhalb von 30 Tagen.
6. DATENSICHERHEITSMASSNAHMEN
6.1. Technische Maßnahmen
- Verschlüsselung: TLS 1.3 für die Übertragung, AES-256 im Ruhezustand (Speicherung).
- Authentifizierung: Sichere Passwortspeicherung (bcrypt-Hash).
- Zugriffskontrolle: Abgegrenzter Zugriff auf Daten (Row-Level Security - RLS).
- Backups: Automatische tägliche Backups (30 Tage gespeichert).
- Monitoring: Überwachung von Sicherheitsereignissen und Servermetriken.
6.2. Organisatorische Maßnahmen
- Mitarbeiterschulungen und Vertraulichkeitsverpflichtungen (alle Mitarbeiter unterzeichnen ein NDA).
- Zugriffsbeschränkung: Nur autorisierte Mitarbeiter haben technischen Zugriff auf die Infrastruktur.
- Incident Management: Dokumentierte Verfahren zur Behandlung von Sicherheitsverletzungen.
7. DATENSCHUTZVERLETZUNGEN
Im Falle einer Datenschutzverletzung benachrichtigt der Dienstleister den Kunden unverzüglich (spätestens innerhalb von 72 Stunden) per E-Mail, beschreibt die Art der Verletzung, nennt die ergriffenen Maßnahmen und gibt Empfehlungen. Der Kunde ist als Verantwortlicher für die weitere Information der betroffenen Personen oder der VDAI gemäß den Anforderungen der DSGVO verantwortlich.
8. INTERNATIONALE DATENÜBERMITTLUNG
Die wichtigsten personenbezogenen Daten werden in der Europäischen Union gespeichert (AWS eu-central-1). Bei Nutzung von in den USA registrierten Unterauftragsverarbeitern (z. B. Stripe, Resend) erfolgt die Datenübermittlung auf Grundlage der von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCC), um das von der EU geforderte Schutzniveau sicherzustellen.
9. AUDIT UND KONFORMITÄTSPRÜFUNG
Der Kunde hat das Recht, Informationen über die vom Dienstleister angewandten Maßnahmen zur DSGVO-Konformität anzufordern. Der Dienstleister verpflichtet sich, bestätigende Dokumente bereitzustellen. Physische Infrastrukturaudits können nur nach vorheriger Abstimmung durchgeführt werden, wobei die Kosten für die Auditunterstützung des Dienstleisters gedeckt werden und die Vertraulichkeit anderer Kunden nicht verletzt wird.
10. VERTRAGSENDE UND DATENRÜCKGABE
Bei Beendigung des Dienstleistungsvertrags oder Löschung des Kontos durch den Kunden gibt der Dienstleister die Daten im JSON- oder CSV-Format zurück (ermöglicht den Export). Nach Ablauf der 30-tägigen Übergangsfrist werden alle personenbezogenen Daten des Kunden unwiderruflich aus Systemen und Backups gelöscht, mit Ausnahme der Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist (z. B. Finanztransaktionen zu Buchhaltungszwecken).
11. HAFTUNG UND ENTSCHÄDIGUNGEN
Jede Partei haftet für Schäden, die aus ihrem eigenen Verstoß gegen diesen DPA und die DSGVO entstehen. Die maximale finanzielle Haftung des Dienstleisters (Auftragsverarbeiter) für Verstöße gegen diesen DPA ist auf die Beträge und Bedingungen beschränkt, die im Hauptdienstleistungsvertrag oder in den internen Regeln der Plattform festgelegt sind (Haftungsbeschränkung / Liability Cap).
12. KONTAKT
Kontakte von MB Tutlio für Fragen zu DSGVO und Datenschutz:
- E-Mail: info@tutlio.lt
- Betreff: DSGVO / Datenschutz
- Antwortzeit: innerhalb von 5 Arbeitstagen
13. SCHLUSSBESTIMMUNGEN
Dieser DPA tritt in Kraft, wenn der Kunde den Plattformregeln zustimmt (oder den Dienstleistungsvertrag unterzeichnet), und gilt während des gesamten Dienstleistungszeitraums. Der Dienstleister kann diesen DPA aktualisieren, indem er den Kunden spätestens 30 Tage vor Inkrafttreten der Änderungen per E-Mail informiert. Für diesen Vertrag gelten das Recht der Republik Litauen und die Anforderungen der EU-DSGVO.