Auftragsverarbeitungsvereinbarung (AVV)

Auftragsverarbeitungsvereinbarung (AVV). Gültig ab: 25. März 2026. Rechtsform: MB Tutlio. Kontakt: info@tutlio.lt.

Durch die Nutzung der Tutlio-Plattform und die Eingabe von Schülerdaten bestätigen Sie, dass Sie diese Auftragsverarbeitungsvereinbarung (AVV), die Datenschutzerklärung und die Nutzungsbedingungen gelesen haben und ihnen zustimmen.

✓ Ich stimme den AVV-Bedingungen zu

Dokument erstellt: 25.03.2026

Rechtsform: MB Tutlio

Version: 1.0

Hinweis: Diese Auftragsverarbeitungsvereinbarung (AVV) ist integraler Bestandteil der Nutzungsbedingungen und Datenschutzerklärung der Tutlio-Plattform. Sie gilt für alle Nachhilfelehrer und Organisationen, die die Tutlio-Plattform nutzen und personenbezogene Daten von Schülern verarbeiten.

10. VERTRAGSBEENDIGUNG UND DATENRÜCKGABE

• Datenrückgabe: Der Dienstanbieter liefert alle Kundendaten innerhalb von 30 Tagen im JSON- oder CSV-Format
• Datenlöschung: Der Dienstanbieter löscht alle Kunden- und Schülerdaten innerhalb von 30 Tagen sicher

10.1. Datenrückgabe oder -löschung

Bei Beendigung der Vereinbarung zwischen dem Kunden und dem Dienstanbieter kann der Kunde wählen:

• Gesetzliche Anforderungen (z. B. Buchhaltungsgesetze – 10 Jahre für Zahlungsaufzeichnungen)
• Rechtsansprüche (Streitbeilegung)
• Technische Notwendigkeit (z. B. Backups, die innerhalb von 30 Tagen automatisch gelöscht werden)

10.2. Ausnahmen

Der Dienstanbieter darf bestimmte Daten länger aufbewahren, wenn dies erforderlich ist aufgrund von:

• Der Dienstanbieter haftet für Verstöße gegen technische und organisatorische Sicherheitsmaßnahmen, Datensicherheitsvorfälle durch eigenes Verschulden
• Der Kunde haftet für die Verarbeitung von Daten ohne Rechtsgrundlage, unzureichende Benachrichtigung betroffener Personen, Eingabe ungerechtfertigter oder falscher Daten
• Gemeinsame Haftung: Wenn eine betroffene Person einen Anspruch wegen DSGVO-Verletzung geltend macht, kooperieren die Parteien und haften nach ihren jeweiligen Verantwortungsbereichen

11. HAFTUNG UND ENTSCHÄDIGUNG

Jede Partei haftet für die Nichteinhaltung ihrer Verpflichtungen aus dieser AVV:

Die Haftungsbeschränkung ist in den Nutzungsbedingungen der Plattform und dem geltenden Recht festgelegt.

MB Tutlio Kontakte für DSGVO-Angelegenheiten:

E-Mail: info@tutlio.lt

Hinweis: Derzeit hat MB Tutlio keinen benannten Datenschutzbeauftragten (DSB), da die Voraussetzungen nach Art. 37 DSGVO nicht erfüllt sind. Alle DSGVO-Angelegenheiten werden über den allgemeinen Kontakt bearbeitet.

Innerhalb von 5 Werktagen

Antwortzeit:

„DSGVO / Datenschutz"

Betreff: „DSGVO / Datenschutz"

12. KONTAKTE UND DATENSCHUTZBEAUFTRAGTER

• Tutlio Nutzungsbedingungen
• Tutlio Datenschutzerklärung
• Organisationsvereinbarungen (falls zutreffend)

13. ANHÄNGE UND ZUSÄTZLICHE INFORMATIONEN

Diese AVV ist integraler Bestandteil der folgenden Dokumente:

• Gültigkeit: Diese AVV tritt ab dem 25.03.2026 in Kraft und gilt für die gesamte Dauer der Vereinbarung zwischen dem Kunden und dem Dienstanbieter
• Änderungen: Der Dienstanbieter kann diese AVV aktualisieren und den Kunden spätestens 30 Tage vor Inkrafttreten der Änderungen per E-Mail benachrichtigen
• Geltendes Recht: Diese AVV unterliegt dem Recht der Republik Litauen und der DSGVO
• Streitigkeiten: Streitigkeiten werden durch Verhandlung beigelegt; bei fehlender Einigung – vor den Gerichten der Republik Litauen

14. SCHLUSSBESTIMMUNGEN

1. PARTEIEN UND DEFINITIONEN

• MB Tutlio (nachfolgend – der Dienstanbieter, Plattform), der Tutlio-Plattformdienste bereitstellt, und
• Nachhilfelehrer/Organisation (nachfolgend – der Kunde), der die Plattform zur Verwaltung von Schülerdaten und zur Organisation von Unterrichtsstunden nutzt.

1.1. Parteien

Diese Auftragsverarbeitungsvereinbarung (nachfolgend – AVV) wird geschlossen zwischen:

• DSGVO – Datenschutz-Grundverordnung (EU 2016/679)
• Personenbezogene Daten – alle Informationen, die sich auf eine natürliche Person (Schüler, Elternteil/Erziehungsberechtigter) beziehen, deren Identität bekannt ist oder bestimmt werden kann
• Verantwortlicher – eine natürliche oder juristische Person, die die Zwecke und Mittel der Datenverarbeitung bestimmt
• Auftragsverarbeiter – eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
• Betroffene Person – eine natürliche Person (Schüler, Elternteil/Erziehungsberechtigter), deren personenbezogene Daten verarbeitet werden
• Unterauftragsverarbeiter – ein Dritter, der vom Dienstanbieter für Datenverarbeitungsvorgänge eingesetzt wird (z. B. Supabase, Stripe)

1.2. Definitionen

2. UMFANG UND ZWECKE DER DATENVERARBEITUNG

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer
• Alter und Klasse (optional)
• Einladungscodes
• Unterrichtshistorie (Daten, Zeiten, Themen, Notizen)
• Zahlungsinformationen (Betrag, Status, Zahlungsfristen)
• Daten der Eltern/Erziehungsberechtigten (wenn der Zahler nicht der Schüler ist): Name, E-Mail

2.1. Verarbeitete Daten

Auf der Plattform können folgende personenbezogene Daten von Schülern und Eltern/Erziehungsberechtigten verarbeitet werden:

• Bereitstellung von Plattformdiensten: Unterrichtsplanung, Kalenderverwaltung, Versand von Erinnerungen
• Zahlungsverwaltung: Abwicklung von Unterrichtszahlungen, Rechnungsversand
• Kommunikation: Versand automatisierter Benachrichtigungen (Erinnerungen, Bestätigungen, Einladungen)
• Buchhaltung: Verwaltung von Finanzunterlagen gemäß den gesetzlichen Anforderungen
• Plattformverbesserung: Anonyme Statistiken zur Verbesserung der Plattformdienste

2.2. Zwecke der Datenverarbeitung

Daten werden für folgende Zwecke verarbeitet:

• Solange die Vereinbarung zwischen dem Kunden und der Plattform in Kraft ist
• Finanzunterlagen (Zahlungen, Rechnungen) – 10 Jahre gemäß Buchhaltungsgesetzen
• Nach Vertragsbeendigung: bis zu 30 Tage, es sei denn, der Kunde verlangt eine frühere Löschung oder Datenrückgabe

2.3. Dauer der Datenverarbeitung

Daten werden gespeichert:

3. PFLICHTEN UND VERANTWORTLICHKEITEN DER PARTEIEN

• Daten nur gemäß den Anweisungen des Kunden und für die in dieser AVV festgelegten Zwecke verarbeiten
• Geeignete technische und organisatorische Sicherheitsmaßnahmen umsetzen:

Datenverschlüsselung (bei der Übertragung und im Ruhezustand)

Zugangskontrolle (Authentifizierung, Autorisierung, RLS-Richtlinien)

Regelmäßige Backups und Wiederherstellungspläne

Sicherheitsaudit und Überwachung

Mitarbeiterschulung zum Datenschutz

• Datensicherheitsverletzungen innerhalb von 72 Stunden nach Entdeckung dem Kunden und der Datenschutzbehörde (falls erforderlich) melden
• Bei der Umsetzung der Betroffenenrechte unterstützen:

Auskunftsrecht – Möglichkeit zum Datenexport bereitstellen

Recht auf Löschung – Daten innerhalb von 30 Tagen löschen

Recht auf Berichtigung – Datenkorrektur über die Plattform ermöglichen

Recht auf Datenübertragbarkeit – Datenexport im JSON/CSV-Format

• Nur genehmigte Unterauftragsverarbeiter einsetzen (siehe Abschnitt 4) und den Kunden über Änderungen informieren
• Daten zurückgeben oder löschen bei Vertragsbeendigung nach Wahl des Kunden
• Prüfungen zulassen – Informationen und Dokumente bereitstellen, die für die Überprüfung der DSGVO-Konformität erforderlich sind
• Keine Daten außerhalb der EU/des EWR übertragen ohne angemessene Schutzmaßnahmen (z. B. Standardvertragsklauseln)

3.1. Pflichten des Dienstanbieters

Der Dienstanbieter verpflichtet sich:

• Eine Rechtsgrundlage haben für die Verarbeitung aller in die Plattform eingegebenen Daten (Einwilligung, Vertrag, berechtigtes Interesse gemäß Art. 6 DSGVO)
• Betroffene Personen informieren (Schüler, Eltern) über:

Welche Daten verarbeitet werden

Warum sie verarbeitet werden (Zwecke)

Dass die Daten auf der Tutlio-Plattform verarbeitet werden

Link zur Tutlio-Datenschutzerklärung: tutlio.lt/privacy-policy

Ihre Rechte (Auskunft, Löschung, Berichtigung usw.)

• Angemessene Einwilligung einholen: Bei minderjährigen betroffenen Personen (unter 16 Jahren) die Einwilligung der Eltern/Erziehungsberechtigten einholen
• Datenrichtigkeit sicherstellen: Nur korrekte und aktuelle Daten in die Plattform eingeben
• Nur notwendige Daten eingeben: Das Prinzip der Datenminimierung einhalten
• Auf Anfragen betroffener Personen reagieren: Über Plattformfunktionen oder mit Unterstützung des Dienstanbieters
• Sicherheitsvorfälle melden: Den Dienstanbieter unverzüglich über festgestellte Datensicherheitsverletzungen informieren
• Die Plattform verantwortungsvoll nutzen: Den Zugang nicht mit Dritten teilen, Anmeldedaten schützen

3.2. Pflichten des Kunden

Der Kunde verpflichtet sich:

DSGVO-Konformität:

Datenstandort:

Datenschutzerklärung:

Resend (Zernonia, Inc.)

DSGVO-Konformität: DSGVO-konform

Datenstandort: USA (AWS)

Dienst: E-Mail-Zustellung (Erinnerungen, Einladungen, Benachrichtigungen)

Dienst:

Stripe, Inc.

DSGVO-Konformität: DSGVO-konform, PCI DSS Level 1 zertifiziert

Datenstandort: USA, EU (mit Standardvertragsklauseln)

Dienst: Zahlungsabwicklung, Abonnementverwaltung

Supabase Inc.

DSGVO-Konformität: DSGVO-konform, ISO 27001 zertifiziert

Datenstandort: Europäische Union (AWS eu-central-1)

Dienst: Datenbank-Hosting und -Verwaltung

4. UNTERAUFTRAGSVERARBEITER

4.1. Genehmigte Unterauftragsverarbeiter

Der Dienstanbieter setzt folgende Unterauftragsverarbeiter für Datenverarbeitungsvorgänge ein:

4.2. Änderungen bei Unterauftragsverarbeitern

Wenn der Dienstanbieter plant, einen neuen Unterauftragsverarbeiter hinzuzufügen oder einen bestehenden zu ersetzen, wird er den Kunden spätestens 30 Tage vor der Änderung per E-Mail informieren. Der Kunde hat das Recht, dem neuen Unterauftragsverarbeiter zu widersprechen, in welchem Fall er den Vertrag ohne zusätzliche Gebühren kündigen kann.

5. RECHTE DER BETROFFENEN PERSONEN

• Auskunftsrecht (Art. 15): Eine Kopie ihrer Daten erhalten
• Recht auf Berichtigung (Art. 16): Unrichtige Daten korrigieren
• Recht auf Löschung (Art. 17): „Recht auf Vergessenwerden" (mit Ausnahmen, z. B. Buchhaltungsgesetze)
• Recht auf Einschränkung (Art. 18): Die Verarbeitung bestimmter Daten einschränken
• Recht auf Datenübertragbarkeit (Art. 20): Daten in einem strukturierten, maschinenlesbaren Format erhalten
• Widerspruchsrecht (Art. 21): Der auf berechtigtem Interesse basierenden Datenverarbeitung widersprechen
• Beschwerderecht (Art. 77): Eine Beschwerde bei der Staatlichen Datenschutzinspektion (VDAI) einreichen

5.1. Ausübung der Rechte

Betroffene Personen (Schüler, Eltern) haben folgende Rechte gemäß DSGVO:

• Direkt an den Kunden (Nachhilfelehrer/Organisation)
• Über die Plattformeinstellungen (wenn der Schüler ein Konto hat)
• Per E-Mail an den Dienstanbieter: info@tutlio.lt

5.2. Antwortfristen und Verfahren

Anfragen betroffener Personen können eingereicht werden:

Antwortfrist: Spätestens 30 Tage nach Erhalt der Anfrage (kann in komplexen Fällen auf 60 Tage verlängert werden, wobei die betroffene Person benachrichtigt wird).

6. DATENSICHERHEITSMASSNAHMEN

• Verschlüsselung: TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand
• Authentifizierung: Sichere Passwortspeicherung (bcrypt), MFA-Fähigkeit
• Zugangskontrolle: Row-Level Security (RLS) Richtlinien in der Datenbank
• Backups: Automatische tägliche Backups mit 30-tägiger Aufbewahrung
• Überwachung: Verfolgung und Benachrichtigung bei Sicherheitsereignissen
• Updates: Regelmäßige System- und Abhängigkeitsaktualisierungen

6.1. Technische Maßnahmen

• Mitarbeiterschulung: DSGVO- und Datenschutzschulung
• Vertraulichkeitsverpflichtungen: Alle Mitarbeiter unterzeichnen Vertraulichkeitsvereinbarungen
• Zugangsbeschränkung: Nur autorisierte Mitarbeiter haben Zugang zu den Daten
• Vorfallmanagement: Dokumentierte Verfahren zur Behandlung von Datensicherheitsverletzungen
• Audits: Regelmäßige interne Sicherheitsaudits

6.2. Organisatorische Maßnahmen

7. DATENSICHERHEITSVERLETZUNGEN

• Unverzüglich (innerhalb von 72 Stunden) den Kunden per E-Mail benachrichtigen
• Die Verletzung beschreiben: Art der Verletzung, welche Daten betroffen waren, wie viele betroffene Personen
• Ergriffene Maßnahmen angeben: Wie die Verletzung eingedämmt wurde, welche Maßnahmen zur Datenwiederherstellung ergriffen wurden
• Handlungsempfehlungen geben: Worüber der Kunde die betroffenen Personen benachrichtigen sollte
• Wenn die Verletzung ein hohes Risiko für die Rechte der betroffenen Personen darstellt, benachrichtigt der Dienstanbieter die Datenschutzbehörde und unterstützt den Kunden bei der Benachrichtigung betroffener Personen

7.1. Meldeverfahren

Im Falle einer Datensicherheitsverletzung wird der Dienstanbieter:

7.2. Verantwortung des Kunden

Der Kunde verpflichtet sich, dem Dienstanbieter unverzüglich alle festgestellten Sicherheitsvorfälle in Bezug auf sein Konto oder seine Daten auf der Plattform zu melden.

• Die DSGVO-Anforderungen einhalten
• Standardvertragsklauseln (SCCs) verwenden, die von der Europäischen Kommission genehmigt sind
• Über angemessene technische und organisatorische Sicherheitsmaßnahmen verfügen

8. INTERNATIONALE DATENÜBERMITTLUNGEN

Primärdaten werden in der Europäischen Union gespeichert (Supabase AWS eu-central-1 Region). Einige Unterauftragsverarbeiter (Stripe, Resend) können Daten in den USA speichern, aber sie:

Der Dienstanbieter wird keine Daten in Drittländer außerhalb der EU/des EWR ohne angemessene Schutzmaßnahmen und Information des Kunden übermitteln.

• Dokumente über die Umsetzung von Sicherheitsmaßnahmen bereitstellen
• Eine Liste der Unterauftragsverarbeiter und deren DSGVO-Konformität bereitstellen
• Audits zulassen (auf angemessene Anfrage und nach vorheriger Vereinbarung)
• Mit den Aufsichtsbehörden (VDAI) kooperieren

9. AUDIT UND KONFORMITÄTSPRÜFUNG

Der Kunde hat das Recht, Informationen über die DSGVO-Konformität des Dienstanbieters anzufordern. Der Dienstanbieter verpflichtet sich: