Rechtliches

Auftragsverarbeitungsvertrag

Stand: April 2026 · gemäß Art. 28 DSGVO

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der App Zapmi durch die nachstehend genannte Einrichtung (Auftraggeber) gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).

Der Vertrag wird abgeschlossen zwischen:

Auftraggeber (Schule, Kita oder andere Einrichtung)

Auftragnehmer (Zapmi)

Verena Behlke · Bergfelder Weg 2 · 13465 Berlin · Deutschland
E-Mail: vbehlke@behlke-info.com

§ 1 · Gegenstand und Dauer

Dieser Vertrag regelt die Rechte und Pflichten des Auftraggebers und des Auftragnehmers bei der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der App Zapmi.

Die Laufzeit dieses Vertrags entspricht der Laufzeit der Nutzungsvereinbarung. Er endet automatisch mit der vollständigen Löschung aller personenbezogenen Daten des Auftraggebers durch den Auftragnehmer.

§ 2 · Art, Zweck und Umfang der Verarbeitung

Art der Verarbeitung

Erhebung, Speicherung, Übermittlung, Nutzung und Löschung personenbezogener Daten im Rahmen des Betriebs der Zapmi-App.

Zweck der Verarbeitung

Bereitstellung der App-Funktionen: Kommunikation zwischen Eltern, Lehrkräften und Erzieher:innen, Schulkalender, Stundenplan, Hausaufgaben, Mitbringlisten, Familienorganisation sowie Sicherheitsfunktionen (SOS-Notruf).

Kategorien betroffener Personen

  • Eltern und Erziehungsberechtigte
  • Lehrkräfte und Erzieher:innen
  • Minderjährige Kinder (nur mit ausdrücklicher Einwilligung der Erziehungsberechtigten)

Kategorien personenbezogener Daten

  • Kontaktdaten (Name, E-Mail-Adresse)
  • Profildaten (Profilbild, Familienname)
  • Kommunikationsdaten (Chatnachrichten, Kalendereinträge)
  • Standortdaten (ausschließlich im SOS-Notfall, nur auf explizite Anforderung)
  • Gerätedaten (FCM-Token für Push-Benachrichtigungen)

§ 3 · Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft folgende technische und organisatorische Maßnahmen zum Schutz der verarbeiteten Daten:

  • Speicherort: Alle Daten werden ausschließlich auf Google Firebase-Servern in der EU (Region europe-west1, Frankfurt) gespeichert.
  • Verschlüsselung: Übertragung aller Daten über TLS/HTTPS. Passwörter werden ausschließlich verschlüsselt gespeichert (Firebase Authentication).
  • Zugangskontrolle: Authentifizierungspflicht für alle Nutzer, rollenbasierte Berechtigungen (Elternteil, Lehrer:in, Erzieher:in, Admin).
  • Zugriffskontrolle: Firestore Security Rules beschränken den Datenzugriff auf berechtigte Nutzer. Kein Mitarbeiter hat uneingeschränkten Datenbankzugriff.
  • Wortfilter: Der Inhaltsfilter für Kindernachrichten läuft lokal auf dem Gerät. Inhalte werden nicht serverseitig analysiert.
  • Datensparsamkeit: Es werden ausschließlich Daten erhoben, die für die jeweilige Funktion notwendig sind.
  • Löschkonzept: Daten werden auf Anfrage oder bei Kontoschließung vollständig gelöscht.
  • Incident Response: Bei Datenpannen informiert der Auftragnehmer den Auftraggeber unverzüglich, spätestens innerhalb von 72 Stunden.

§ 4 · Unterauftragnehmer

Der Auftragnehmer setzt folgende Unterauftragnehmer ein, mit denen AVV-konforme Vereinbarungen bestehen:

  • Google Firebase (Google Ireland Ltd., Dublin) – Datenbank, Authentifizierung, Push-Benachrichtigungen, Cloud Functions. Serverstandort: EU (europe-west1). DPA von Google
  • Agora (Agora Lab, Inc.) – Video- und Audio-Kommunikation. Daten werden ausschließlich während eines aktiven Anrufs übertragen und nicht dauerhaft gespeichert. Datenschutzrichtlinie von Agora

Der Einsatz weiterer Unterauftragnehmer bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers.

ℹ️ Für Agora als US-Anbieter gilt: Die Datenübertragung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Daten werden ausschließlich für die Dauer eines Anrufs verarbeitet und nicht gespeichert.

§ 5 · Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  • Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten.
  • Alle mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten.
  • Den Auftraggeber unverzüglich zu informieren, falls eine Weisung gegen geltendes Datenschutzrecht verstößt.
  • Den Auftraggeber bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung) zu unterstützen.
  • Nach Abschluss der Leistungserbringung alle personenbezogenen Daten zu löschen oder zurückzugeben.
  • Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung dieses Vertrags bereitzustellen.

§ 6 · Pflichten des Auftraggebers

Der Auftraggeber verpflichtet sich:

  • Sicherzustellen, dass eine Rechtsgrundlage für die Datenverarbeitung vorliegt (z.B. Einwilligung der Erziehungsberechtigten).
  • Betroffene Personen gemäß Art. 13/14 DSGVO über die Nutzung von Zapmi zu informieren.
  • Weisungen zur Datenverarbeitung schriftlich zu erteilen.
  • Den Auftragnehmer unverzüglich zu informieren, wenn bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten festgestellt werden.

§ 7 · Betroffenenrechte

Soweit Betroffene ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) direkt gegenüber dem Auftragnehmer geltend machen, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.

Nutzer können ihre Daten jederzeit direkt in der App löschen oder eine vollständige Kontolöschung per E-Mail an vbehlke@behlke-info.com beantragen.

§ 8 · Datenpannen und Meldepflichten

Bei Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) informiert der Auftragnehmer den Auftraggeber unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden.

Die Meldung enthält mindestens:

  • Art der Verletzung und betroffene Datenkategorien
  • Ungefähre Anzahl betroffener Personen
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen

§ 9 · Laufzeit und Kündigung

Dieser Vertrag läuft auf unbestimmte Zeit und ist von beiden Seiten mit einer Frist von 4 Wochen zum Monatsende kündbar.

Der Auftragnehmer löscht nach Vertragsende auf Wunsch alle Daten des Auftraggebers und bestätigt dies schriftlich.

§ 10 · Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Gleiches gilt für den Verzicht auf dieses Schriftformerfordernis.

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Berlin.

📬 Für Fragen zum AVV oder zur Unterzeichnung: vbehlke@behlke-info.com

Unterschriften

Mit ihrer Unterschrift bestätigen beide Parteien die Kenntnisnahme und Akzeptanz dieses Auftragsverarbeitungsvertrags.

Auftraggeber (Schule / Kita / Einrichtung)

Auftragnehmer (Zapmi · Verena Behlke)

Verena Behlke