Präambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung der Matiamu-Plattform. Sie gilt für alle Verarbeitungen personenbezogener Daten, die der Anbieter im Auftrag des Kunden durchführt. Auftraggeber (Verantwortlicher) ist der die Plattform nutzende Bildungsträger (nachfolgend „Verantwortlicher“). Auftragnehmer (Auftragsverarbeiter) ist die Limani Bildungsinstitut GmbH & Co. KG, Düsseldorfer Str. 64, 44143 Dortmund (nachfolgend „Auftragsverarbeiter“).

§ 1 Gegenstand und Dauer

(1) Gegenstand der Verarbeitung ist die Bereitstellung der Matiamu-Plattform und die damit verbundene Verarbeitung personenbezogener Daten, die der Verantwortliche in die Plattform eingibt oder dort verarbeiten lässt.

(2) Die Dauer dieser Vereinbarung entspricht der Laufzeit des zugrunde liegenden Hauptvertrags (Nutzungsvertrag/AGB). Sie endet mit dessen Beendigung, soweit nicht einzelne Pflichten (insbesondere zur Löschung) darüber hinaus fortbestehen.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Bereitstellen durch Übermittlung innerhalb der Plattform, Einschränken, Löschen und Vernichten personenbezogener Daten im Rahmen der Software-Nutzung.

(2) Zweck: Verwaltung von Teilnehmenden, Maßnahmen, FbW-Kursen, Dokumentation, Anwesenheiten, Nachweisen und Abrechnung sowie der Betrieb der zubuchbaren Module (Qualitätsmanagement, Zeiterfassung & Urlaub) für Zwecke des Verantwortlichen.

(3) Soweit der Verantwortliche optionale KI-Funktionen nutzt, dient die Verarbeitung der Erstellung von Textentwürfen (z. B. für Dokumentationseinträge oder Abschlussberichte) auf Basis der vom Verantwortlichen bereitgestellten Stichworte und Verlaufsdaten. Die Verarbeitung erfolgt über Google Cloud Vertex AI in der Region Frankfurt am Main (europe-west3, Deutschland).

§ 3 Art der Daten und Kategorien betroffener Personen

(1) Kategorien personenbezogener Daten: Stamm- und Kontaktdaten, Maßnahmen- und Teilnahmedaten, Anwesenheits- und Verlaufsdaten, Dokumentations- und Nachweisdaten, Abrechnungsdaten, Nutzer-/Zugangsdaten der Mitarbeitenden des Verantwortlichen.

(2) Es können besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet werden, insbesondere Gesundheitsdaten sowie Daten mit Sozialleistungsbezug (z. B. im Zusammenhang mit SGB II/III und der individuellen Förder- und Maßnahmesituation), soweit der Verantwortliche solche Daten in die Plattform eingibt. Der Auftragsverarbeiter trifft hierfür die in § 6 genannten erhöhten Schutzmaßnahmen.

(3) Kategorien betroffener Personen: Teilnehmende an Maßnahmen des Verantwortlichen, Mitarbeitende und Coaches des Verantwortlichen sowie ggf. weitere vom Verantwortlichen erfasste Personen.

§ 4 Weisungsbindung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der EU oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Weisungen werden in der Regel durch die Konfiguration und Nutzung der Plattform sowie ergänzend in Textform erteilt. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 5 Vertraulichkeit

Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die zur Verarbeitung befugten Personen werden mit den einschlägigen Datenschutzbestimmungen vertraut gemacht.

§ 6 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

(1) Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen insbesondere:

• Verschlüsselung der Datenübertragung (TLS) und Verschlüsselung gespeicherter Passwörter (Hashing).
• Serverstandort innerhalb der EU (Datenbank: Frankfurt am Main, Deutschland).
• Zwei-Faktor-Authentifizierung (2FA) für den Zugang zur Anwendung.
• Rollenbasierte, zeilengenaue Zugriffsrechte (Coaches sehen nur die ihnen zugeordneten Teilnehmenden), Mandantentrennung.
• Schutz vor unbefugtem Zugriff, Protokollierung sicherheitsrelevanter Ereignisse, regelmäßige Aktualisierung der eingesetzten Systeme.
• Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.
• KI-Funktionen: datensparsame Prompt-Gestaltung (keine Klarnamen), Verarbeitung ausschließlich in der EU-Region Frankfurt über Vertex AI, keine Speicherung der KI-Anfragen durch Matiamu über die Freigabe hinaus, Protokollierung der Nutzung in Audit-Logs.

(2) Aufgrund der möglichen Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) gelten erhöhte Anforderungen an Zugriffsbeschränkung und Protokollierung. Der Auftragsverarbeiter stellt sicher, dass der Zugriff auf solche Daten auf das erforderliche Minimum beschränkt ist.

§ 7 Unterauftragsverarbeiter

(1) Der Verantwortliche stimmt dem Einsatz der nachfolgenden Unterauftragsverarbeiter zu:

• Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA — Hosting der Webanwendung (EU-Standardvertragsklauseln vereinbart).
• Neon, Inc., 209 Mission Street, San Francisco, CA 94105, USA — Datenbank-Hosting mit Serverstandort Frankfurt am Main, Deutschland (EU-Standardvertragsklauseln vereinbart).
• Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA — Versand transaktionaler E-Mails (EU-Standardvertragsklauseln vereinbart).
• Google Cloud / Vertex AI — Textverarbeitung für optionale KI-Funktionen; Verarbeitungsregion Frankfurt am Main, Deutschland (europe-west3); Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (Google Cloud Datenverarbeitungsbedingungen).

(2) Mit allen Unterauftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO; bei Anbietern außerhalb der EU/EWR sind zusätzlich EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch weiterer Unterauftragsverarbeiter. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichen Grund innerhalb von zwei Wochen widersprechen.

§ 8 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung der Betroffenenrechte (Art. 12–22 DSGVO). Geht eine Betroffenenanfrage direkt beim Auftragsverarbeiter ein, leitet er diese unverzüglich an den Verantwortlichen weiter.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung), insbesondere indem er dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden mitteilt.

§ 9 Löschung und Rückgabe

Nach Abschluss der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der EU oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Bis zur Löschung stellt der Auftragsverarbeiter dem Verantwortlichen die Daten für einen Zeitraum von 30 Tagen nach Vertragsende zum Export bereit.

§ 10 Nachweise und Kontrollen

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(2) Der Auftragsverarbeiter ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. Inspektionen vor Ort sind mit angemessener Vorankündigung und während der üblichen Geschäftszeiten durchzuführen.

§ 11 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieser AVV vor.

Auftragsverarbeiter:Limani Bildungsinstitut GmbH & Co. KG · Düsseldorfer Str. 64 · 44143 Dortmund · Datenschutzbeauftragter: DataGAP GmbH, team@datagap.de