Zum Inhalt springen
HEXLE

Allgemeine Geschäftsbedingungen für HEXLE Education (Schul-/Lernplattform) - HEXLE Development & IT Solutions e.U.

Allgemeine Geschäftsbedingungen für HEXLE Education (Schul- und Lernplattform mit Pool-Stunden-Verwaltung) - HEXLE Development & IT Solutions e.U.


HEXLE Education ist eine cloudbasierte, mandantenfähige Softwarelösung zur Schul- und Unterrichtsverwaltung mit Schwerpunkt auf der Organisation und Selbstbuchung von “Pool-Stunden” (frei wählbaren Lern-/Förderstunden). Der Kunde (die Bildungseinrichtung) beauftragt HEXLE mit der Bereitstellung und Einräumung des Nutzungsrechts für die Software HEXLE Education. Der genaue Leistungsumfang, die verfügbaren Funktionen, Speicherkapazitäten und die Möglichkeiten der Nutzerverwaltung richten sich nach dem vom Kunden gewählten Tarif und den in der jeweiligen Leistungsbeschreibung oder dem individuellen Angebot festgelegten Spezifikationen.

Funktionen für die Bildungseinrichtung (Kunde): HEXLE Education ermöglicht dem Kunden insbesondere:

  • Die Verwaltung von Stammdaten der Schule: Schuljahre, Klassen, Fächer, Lehrkräfte, Schüler:innen, Räume sowie Klassengruppen und Klassenzugehörigkeiten.
  • Die Verwaltung von Pool-Stunden: Definition von Pool-Perioden (Zeitfenster), Pool-Slots (buchbare Angebote mit Lehrkraft, Raum, Fach und Kapazität), das Generieren konkreter Termine (Belegungen) sowie die Festlegung von Buchungspflichten (Mindestanzahl zu buchender Pool-Stunden je Zeitraum und Klassengruppe).
  • Das Auflösen einzelner Pool-Termine (z. B. bei Abwesenheit einer Lehrkraft) samt automatischer Benachrichtigung der betroffenen Schüler:innen und Anzeige alternativer Termine zur Umbuchung.
  • Die Lehrkräfte-Planung (Wochen-/Jahresziele für Pool-Stunden je Lehrkraft) sowie Planungsberichte (Soll-/Ist-Auswertung).
  • Konfigurationsmöglichkeiten je Schule (u. a. Stundenlänge, Vorausbuchzeit für Pool-Stunden, Rundungs- und Variationsregeln).

Funktionen für Endnutzer (Lehrkräfte und Schüler:innen):

  • Schüler:innen können angebotene Pool-Stunden im Rahmen ihrer individuellen Stundenplan-Vorgaben und etwaiger Buchungspflichten selbst buchen und umbuchen.
  • Lehrkräfte können ihre Planung und die ihnen zugeordneten Pool-Slots einsehen und verwalten.

Buchung über das HEXLE-Bookings-Modul: Die technische Abwicklung der Buchung und Umbuchung von Pool-Stunden erfolgt über das HEXLE-Bookings-Modul, das als integraler technischer Bestandteil der Education-Leistung bereitgestellt wird. HEXLE Education stellt die buchbaren Pool-Termine hierfür im Modul bereit; die eigentliche Buchungs- bzw. Umbuchungs-Interaktion der Schüler:innen sowie die zugehörigen Benachrichtigungen laufen über dieses Modul. Für diese Buchungs-Interaktion gelten diese AGB für HEXLE Education einschließlich des Auftragsverarbeitungsvertrags (AVV) in Abschnitt 11; ein gesonderter Vertragsschluss über HEXLE Bookings ist hierfür nicht erforderlich.

Zugang/Anmeldung: Der Zugang zu HEXLE Education setzt eine aktive Lizenz (Modul “Education”) des Kunden voraus. Lehrkräfte und Schüler:innen melden sich über das vom Kunden bereitgestellte Anmeldeverfahren (föderierte Anmeldung/Single Sign-On) an; eine öffentliche Selbstregistrierung durch beliebige Dritte besteht nicht. Bei der ersten Anmeldung wird ein vorhandenes Benutzerkonto der jeweiligen Person zugeordnet bzw. ein Datensatz angelegt, sofern die Bildungseinrichtung das Modul aktiviert hat.

WebUntis-Anbindung: HEXLE Education kann mit dem WebUntis-System der Bildungseinrichtung verbunden werden, um Stamm- und Stundenplandaten zu übernehmen (siehe Abschnitt 6).

Individuelle Zusätze: Optionale, individuell vereinbarte Funktionen (z. B. spezielle Schnittstellen, Branding-Anpassungen) werden gesondert in der Leistungsbeschreibung oder dem individuellen Angebot festgehalten.

Der Kunde verpflichtet sich, HEXLE Education ausschließlich bestimmungsgemäß und im Einklang mit den geltenden Gesetzen und diesen AGB zu nutzen. Insbesondere ist der Kunde verantwortlich für:

  • Die Richtigkeit, Vollständigkeit und Aktualität aller Stamm- und Planungsdaten (z. B. Klassen, Fächer, Lehrkräfte, Schüler:innen, Pool-Slots), die er in HEXLE Education eingibt, veröffentlicht oder aus angebundenen Systemen übernimmt. HEXLE übernimmt keine Haftung für Fehler oder Unstimmigkeiten in diesen vom Kunden bereitgestellten oder verantworteten Inhalten.
  • Die Bereitstellung korrekter und vollständiger Daten bei der Einrichtung und während der Nutzung der Software.
  • Die Verhinderung missbräuchlicher Nutzung von HEXLE Education, insbesondere das Hochladen oder Speichern rechtswidriger Inhalte, das Ausführen schädlichen Codes oder das Stören des Betriebs der Software.
  • Die Einhaltung der Kompatibilitätsanforderungen für die Nutzung von HEXLE Education (z. B. Browserversionen, Internetverbindung). HEXLE übernimmt keine Verantwortung für Nutzungseinschränkungen, die auf einer Nichterfüllung dieser Anforderungen seitens des Kunden beruhen.

Der Kunde ist verpflichtet, seine Zugangsdaten (Benutzernamen, Passwörter) sowie etwaige technische Zugangsdaten angebundener Systeme (z. B. WebUntis-Zugangsdaten) geheim zu halten und vor dem unberechtigten Zugriff Dritter zu schützen. Er ist für alle Aktivitäten verantwortlich, die unter seinen Zugangsdaten erfolgen. Bei Verlust oder unbefugter Nutzung der Zugangsdaten hat der Kunde HEXLE unverzüglich zu informieren.

Die über HEXLE Education verarbeiteten personenbezogenen Daten betreffen ganz überwiegend Schüler:innen, die in der Regel minderjährig sind. Der Kunde (die Bildungseinrichtung) ist alleiniger Verantwortlicher im Sinne der DSGVO für diese Daten; HEXLE agiert als Auftragsverarbeiter. Der Kunde stellt sicher, dass für die Verarbeitung eine geeignete Rechtsgrundlage besteht (z. B. landesgesetzliche Aufgabenerfüllung im Schulbereich) bzw. – soweit erforderlich – die Einwilligung der Erziehungsberechtigten eingeholt wird, und dass die betroffenen Personen bzw. deren gesetzliche Vertreter ordnungsgemäß über die Datenverarbeitung informiert werden. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwischen HEXLE und dem Kunden ist verpflichtend und regelt die Einzelheiten der Datenverarbeitung (siehe Abschnitt 11 dieser AGB).

HEXLE ist bestrebt, eine hohe Verfügbarkeit und Performance von HEXLE Education sicherzustellen. Die nachfolgenden Regelungen definieren die vereinbarten Service Level:

  • Verfügbarkeit (Uptime): HEXLE gewährleistet eine durchschnittliche jährliche Verfügbarkeit der HEXLE Education-Dienste von 99,0 %. Ausgenommen hiervon sind geplante Wartungsfenster, die dem Kunden frühzeitig mitgeteilt werden, sowie Ausfälle, die außerhalb des Verantwortungsbereichs von HEXLE liegen (z. B. höhere Gewalt, Störungen des öffentlichen Internets, Handlungen Dritter sowie Störungen oder Nichtverfügbarkeit angebundener Drittsysteme wie WebUntis).
  • Support-Zeiten: Der Kundensupport ist werktags (Montag bis Freitag, ausgenommen österreichische Feiertage) von 08:00 Uhr bis 18:00 Uhr MESZ/MEZ erreichbar.
  • Reaktionszeiten bei Störungen:
    • Kritische Störungen (Produktionseinstellung, Kernfunktionen nicht nutzbar): Reaktion innerhalb von 2 Stunden während der Support-Zeiten.
    • Wesentliche Störungen (Einschränkung der Nutzung, aber Kernfunktionen verfügbar): Reaktion innerhalb von 4 Stunden während der Support-Zeiten.
    • Geringfügige Störungen (kosmetische Fehler, kleine Funktionsfehler): Reaktion innerhalb von 12 Stunden während der Support-Zeiten.
    • Lösungszeit: HEXLE wird sich bemühen, Störungen schnellstmöglich zu beheben. Es kann jedoch keine bestimmte Lösungszeit garantiert werden, da diese von der Art und Komplexität der Störung abhängt.

HEXLE räumt dem Kunden ein nicht-ausschließliches, nicht übertragbares und zeitlich auf die Vertragslaufzeit beschränktes Recht zur Nutzung von HEXLE Education im Rahmen des gebuchten Tarifs und dieser AGB ein. Jegliche darüberhinausgehende Nutzung, insbesondere die Vervielfältigung, Verbreitung, öffentliche Zugänglichmachung oder Bearbeitung der Software, ist untersagt. Das Reverse Engineering oder die Dekompilierung der Software ist nicht gestattet.

HEXLE ist sich der Sensibilität der über HEXLE Education erfassten Daten – insbesondere von Daten Minderjähriger – bewusst. Die Speicherung und Verarbeitung der Daten erfolgt auf Servern in Österreich oder der Europäischen Union unter Einhaltung der Vorschriften der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG).

  • Verantwortlichkeit: Der Kunde (die Bildungseinrichtung) ist der Verantwortliche im Sinne der DSGVO für die personenbezogenen Daten der Schüler:innen und Lehrkräfte. HEXLE agiert in diesem Verhältnis als Auftragsverarbeiter.
  • Auftragsverarbeitungsvertrag (AVV): Für die Verarbeitung personenbezogener Daten im Auftrag des Kunden wird ein gesonderter Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwischen HEXLE und dem Kunden abgeschlossen. Dieser AVV ist integraler Bestandteil des Vertrages über die Nutzung von HEXLE Education und detailliert die Pflichten und Verantwortlichkeiten beider Parteien hinsichtlich des Datenschutzes (siehe Abschnitt 11 dieser AGB).
  • Datensicherung: HEXLE implementiert angemessene technische und organisatorische Maßnahmen zum Schutz der Daten vor Verlust, Zerstörung, unberechtigtem Zugriff oder Missbrauch. Regelmäßige Datensicherungen werden durchgeführt, um die Wiederherstellbarkeit der Daten im Falle eines technischen Fehlers zu gewährleisten. Die genauen Sicherungsintervalle und -maßnahmen sind im AVV bzw. in den Technischen und organisatorischen Maßnahmen (TOM) beschrieben.
  • Verarbeitung: HEXLE verarbeitet die eingegebenen und aus angebundenen Systemen übernommenen Daten ausschließlich im Rahmen der Leistungserbringung und nach Weisung des Kunden gemäß dem abgeschlossenen AVV.

HEXLE Education kann mit dem vom Kunden betriebenen bzw. genutzten WebUntis-System verbunden werden, um Stamm- und Stundenplandaten zu übernehmen. Hierfür gilt:

  • Bereitstellung der Zugangsdaten: Der Kunde stellt die für die Anbindung erforderlichen WebUntis-Zugangsdaten bereit und ist für deren Richtigkeit sowie für die Berechtigung zur Datenübernahme verantwortlich.
  • Lesender Zugriff: Der Datenabgleich erfolgt ausschließlich lesend. HEXLE übernimmt aus WebUntis insbesondere Lehrkräfte, Schüler:innen (Name, E-Mail, Kennung), Klassen, Fächer, Räume, Schuljahre, Ferien, Stundenplandaten sowie Abwesenheiten (inkl. Abwesenheitsgrund). Es werden keine Daten nach WebUntis zurückgeschrieben.
  • Abgleichszeitpunkte: Der Abgleich erfolgt automatisiert in regelmäßigen Intervallen sowie auf manuelle Auslösung durch den Kunden. Die jeweils gültigen Intervalle ergeben sich aus der Leistungsbeschreibung bzw. den Produkteinstellungen.
  • Verantwortung für die Datenquelle: Für Richtigkeit, Vollständigkeit und Rechtmäßigkeit der in WebUntis geführten Daten ist der Kunde verantwortlich. Störungen, Änderungen oder die Nichtverfügbarkeit von WebUntis liegen außerhalb des Verantwortungsbereichs von HEXLE.

Hinweis: HEXLE Education enthält keine integrierte Zahlungsabwicklung. Die Buchung von Pool-Stunden ist für Schüler:innen unentgeltlich; es werden über die Software keine Zahlungen von oder an Endnutzer abgewickelt. Die Vergütung der Software richtet sich nach Abschnitt 8.

  • Organisatorische Verantwortung: Die inhaltliche und organisatorische Ausgestaltung der Pool-Stunden (Angebot, Kapazitäten, Buchungspflichten, pädagogische Vorgaben) liegt allein beim Kunden. HEXLE stellt hierfür die technische Plattform bereit.
  • Buchung und Umbuchung: Schüler:innen buchen Pool-Stunden im Rahmen der vom Kunden festgelegten Regeln (z. B. Vorausbuchzeit, Buchungspflichten, Stundenplan-Vorgaben). Die technische Abwicklung der Buchung und Umbuchung erfolgt über das HEXLE-Bookings-Modul, das als integraler Bestandteil der Education-Leistung bereitgestellt wird (siehe Abschnitt 1); es gelten diese AGB einschließlich des AVV in Abschnitt 11. Eine finanzielle Abwicklung findet nicht statt.
  • Ausfall/Auflösung von Terminen: Wird ein Pool-Termin aufgelöst (z. B. wegen Abwesenheit einer Lehrkraft), werden die betroffenen, bereits gebuchten Schüler:innen über das HEXLE-Bookings-Modul benachrichtigt; soweit verfügbar, werden alternative Termine zur Umbuchung angeboten.
  • Keine Haftung von HEXLE: HEXLE übernimmt keine Haftung für den Entfall, die Verschiebung oder Änderung von Pool-Stunden oder für sich daraus ergebende organisatorische Folgen; diese liegen im Verantwortungsbereich des Kunden.

Die Preise für die Nutzung von HEXLE Education richten sich nach dem vom Kunden gewählten Tarifmodell. Die jeweils gültigen Preise sind in der aktuellen Preisliste auf der HEXLE Website oder im individuellen Angebot aufgeführt. Alle Preise verstehen sich in Euro (EUR) und, soweit nicht anders angegeben, zuzüglich der gesetzlichen Umsatzsteuer. HEXLE Education wird als Software-as-a-Service-Abonnement bereitgestellt; die Vergütung umfasst typischerweise:

  • Lizenz-/Einrichtungsgebühr: Gebühr für die Bereitstellung und Einrichtung der Software gemäß dem gewählten Tarif.
  • Laufende Nutzungsgebühr: Im vereinbarten Turnus (z. B. monatlich/jährlich) abgerechnete Gebühr für die fortlaufende Nutzung, ggf. abhängig von der Anzahl der Nutzer:innen oder Klassen.

Eine transaktionsbezogene Gebühr (z. B. je Buchung) fällt mangels Zahlungsabwicklung nicht an. Das Zahlungsziel beträgt, sofern nicht anders vereinbart, 14 Tage ab Rechnungsdatum. Abweichungen von den allgemeinen Regelungen zu Preisen und Zahlung in den Rahmen-AGB sind gesondert in der Leistungsbeschreibung oder dem individuellen Angebot zu regeln.

Ist der Kunde ein Verbraucher im Sinne des KSchG und erfolgte der Vertragsschluss im Fernabsatz, steht ihm gemäß § 11 FAGG ein gesetzliches Widerrufsrecht zu. Die Widerrufsbelehrung ist in den Rahmen-AGB von HEXLE (Abschnitt 7) enthalten und gilt ergänzend.

Erlöschen des Widerrufsrechts: Das Widerrufsrecht erlischt, wenn HEXLE die Dienstleistung vollständig erbracht hat und mit der Ausführung erst begonnen hat, nachdem der Verbraucher dazu seine ausdrückliche Zustimmung gegeben und gleichzeitig seine Kenntnis davon bestätigt hat, dass er sein Widerrufsrecht bei vollständiger Vertragserfüllung verliert (§ 18 Abs 1 Z 1 FAGG). Hat der Verbraucher verlangt, dass HEXLE Education während der Widerrufsfrist bereitgestellt wird, hat er für den bis zum Widerruf erbrachten Teil der Leistung einen angemessenen Betrag zu zahlen.

Gegenüber Verbrauchern gelten die gesetzlichen Gewährleistungsbestimmungen des Verbrauchergewährleistungsgesetzes (VGG) für digitale Leistungen. Die Gewährleistungsfrist beträgt 2 Jahre. Innerhalb von zwei Jahren ab Bereitstellung wird vermutet, dass ein Mangel bereits bei Bereitstellung vorhanden war (Beweislastumkehr gemäß § 11 VGG).

HEXLE ist verpflichtet, notwendige Aktualisierungen (insbesondere Sicherheitsupdates) für den gesetzlich vorgesehenen Zeitraum bereitzustellen (§§ 6, 7 VGG).

Der Verbraucher hat bei Mängeln zunächst das Wahlrecht zwischen Verbesserung und Herstellung des vertragsgemäßen Zustands. Ist dies unmöglich oder für HEXLE mit unverhältnismäßigem Aufwand verbunden, kann der Verbraucher Preisminderung verlangen oder vom Vertrag zurücktreten (§§ 12–15 VGG).

Gegenüber Unternehmern wird die Beweislastumkehr des § 924 ABGB ausgeschlossen.


11. Auftragsverarbeitungsvertrag (AVV) für HEXLE Education

Abschnitt betitelt „11. Auftragsverarbeitungsvertrag (AVV) für HEXLE Education“

nach Art. 28 der Datenschutz-Grundverordnung (DSGVO)

11.1 Gegenstand, Dauer und Leistungsumfang des Auftrags

Abschnitt betitelt „11.1 Gegenstand, Dauer und Leistungsumfang des Auftrags“
  1. Gegenstand: Die vorliegende Vereinbarung regelt die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Erbringung der Dienstleistung HEXLE Education (Schul- und Lernplattform mit Pool-Stunden-Verwaltung) durch den Auftragnehmer (HEXLE) für den Auftraggeber (die Bildungseinrichtung). Die Verarbeitung personenbezogener Daten erfolgt ausschließlich nach dokumentierter Weisung des Auftraggebers.
  2. Leistungsumfang: Die Verarbeitung umfasst alle Tätigkeiten, die zur Bereitstellung, Wartung und Pflege der Softwarelösung HEXLE Education notwendig sind, einschließlich des lesenden Datenabgleichs mit dem WebUntis-System des Auftraggebers sowie der Verarbeitung im HEXLE-Bookings-Modul, das als integraler technischer Bestandteil von HEXLE Education die Buchung und Umbuchung von Pool-Stunden abwickelt. Diese Verarbeitung unterliegt diesem Auftragsverarbeitungsvertrag.
  3. Dauer: Diese Vereinbarung tritt mit Vertragsabschluss in Kraft und endet automatisch mit Beendigung der Leistungsvereinbarung (Hauptvertrag) über die Nutzung von HEXLE Education.

11.2 Art und Zweck der Verarbeitung, Kategorien betroffener Personen und Daten

Abschnitt betitelt „11.2 Art und Zweck der Verarbeitung, Kategorien betroffener Personen und Daten“
  1. Zweck: Erfassung, Verwaltung, Speicherung, Abgleich und Auswertung von Schul-, Stundenplan- und Pool-Stunden-Daten zur Erfüllung von:
    • Verwaltung von Stamm- und Stundenplandaten (inkl. Abgleich mit WebUntis),
    • Organisation und Selbstbuchung von Pool-Stunden,
    • Planung und Auswertung des Lehrkräfte- und Pool-Stunden-Einsatzes (Reporting),
    • Benachrichtigung betroffener Schüler:innen bei Terminänderungen (über das HEXLE-Bookings-Modul),
    • Support und Wartung (der Auftragsverarbeiter darf zur Bearbeitung von Supportfällen Einsicht in personenbezogene Daten nehmen, sofern dies zur Behebung technischer Probleme erforderlich ist).
  2. Kategorien betroffener Personen:
    • Schüler:innen des Auftraggebers (in der Regel Minderjährige).
    • Lehrkräfte des Auftraggebers.
    • Gegebenenfalls weiteres Verwaltungspersonal/Nutzer:innen des Auftraggebers.
  3. Kategorien personenbezogener Daten:
    • Schüler:innen: Vor- und Nachname, E-Mail-Adresse, externe Kennung (WebUntis-ID), Benutzerkennung; Klassenzugehörigkeit; aus dem persönlichen Stundenplan abgeleitete Pool-Stunden (Datum, Uhrzeit, Fach); gebuchte Pool-Stunden (im HEXLE-Bookings-Modul geführt).
    • Lehrkräfte: Vor- und Nachname, Kürzel, E-Mail-Adresse, externe Kennung (WebUntis-ID), Benutzerkennung; Planungsdaten (Soll-/Ist-Stunden) inkl. frei eingebbarer Notiz; Abwesenheiten inkl. Abwesenheitsgrund (kann gesundheitsbezogene Angaben enthalten – besondere Kategorie gem. Art. 9 DSGVO).
    • Stamm- und Organisationsdaten: Klassen, Klassengruppen, Fächer, Räume, Schuljahre, Ferien (teilweise nicht personenbezogen).
    • Frei- und Notizfelder: Lehrkraft-Planungsnotiz sowie Stornierungs-/Auflösungsgründe von Pool-Terminen. Diese Felder können sensible Angaben enthalten; der Auftraggeber wird angewiesen, dort keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) zu erfassen, soweit nicht zwingend erforderlich und rechtlich zulässig.
    • Protokoll-/Bearbeitungsdaten: Kennung der jeweils handelnden Benutzer:innen sowie Erstellungs-/Änderungszeitpunkte.

11.3 Pflichten und Weisungsrecht des Auftraggebers (Verantwortlicher)

Abschnitt betitelt „11.3 Pflichten und Weisungsrecht des Auftraggebers (Verantwortlicher)“

Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen der DSGVO, insbesondere hinsichtlich der Rechtmäßigkeit der Verarbeitung (z. B. Vorliegen einer Rechtsgrundlage gemäß Art. 6 DSGVO und – bei Daten Minderjähriger – einer geeigneten Grundlage einschließlich erforderlicher Einwilligungen Erziehungsberechtigter) und der Wahrung der Rechte der betroffenen Personen, verantwortlich. Er hat insbesondere:

  1. Die Überprüfung der Rechtmäßigkeit der Verarbeitung, inkl. Informationspflichten (Art. 12 ff. DSGVO), sicherzustellen.
  2. Alle Weisungen zu erteilen und zu dokumentieren.
  3. Den Auftragnehmer unverzüglich bei Fehlern oder Unregelmäßigkeiten zu informieren.
  4. Sicherzustellen, dass er zur Übermittlung der aus WebUntis übernommenen Daten an den Auftragnehmer berechtigt ist.

11.4 Pflichten des Auftragnehmers (Auftragsverarbeiter)

Abschnitt betitelt „11.4 Pflichten des Auftragnehmers (Auftragsverarbeiter)“

Der Auftragnehmer verpflichtet sich insbesondere:

  1. Verarbeitung nur auf Weisung: Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten, es sei denn, eine gesetzliche Verpflichtung zwingt ihn dazu (Art. 28 Abs. 3 lit. a DSGVO).
  2. Informationspflicht bei rechtswidrigen Weisungen: Den Auftraggeber unverzüglich zu informieren, falls eine Weisung nach Auffassung des Auftragnehmers gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).
  3. Vertraulichkeit: Sicherzustellen, dass zur Verarbeitung der Daten befugte Personen zur Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
  4. Sicherheit der Verarbeitung (TOMs): Geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO zu treffen. Die konkreten Maßnahmen sind unter TOM (Technische und organisatorische Maßnahmen) detailliert festgehalten (z. B. Verschlüsselung, Zugangskontrolle, Pseudonymisierung).
  5. Unterauftragsverhältnisse (Subunternehmer):
    • Der Auftragnehmer ist berechtigt, die unter Genehmigte Unterauftragsverarbeiter gelisteten Unternehmen, insbesondere für Hosting- und Wartungsleistungen, als Subunternehmer (weitere Auftragsverarbeiter) hinzuzuziehen. Die Beauftragung dieser gelisteten Unternehmen gilt mit Abschluss dieses Vertrages als genehmigt. Das vom Auftraggeber betriebene bzw. beauftragte WebUntis-System gilt als Datenquelle bzw. eigenes System des Auftraggebers und nicht als vom Auftragnehmer beigezogener Subunternehmer.
    • Der Auftragnehmer hat Subunternehmer vertraglich zur Einhaltung der gleichen Datenschutzpflichten zu verpflichten, die zwischen dem Auftraggeber und dem Auftragnehmer gelten (Art. 28 Abs. 4 DSGVO).
    • Beabsichtigt der Auftragnehmer, einen neuen Subunternehmer hinzuzuziehen oder einen bestehenden zu ersetzen, muss er dies dem Auftraggeber 14 Tage vor der beabsichtigten Hinzuziehung schriftlich oder in Textform anzeigen. Der Auftraggeber hat das Recht, innerhalb dieser Frist begründeten Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Erhebt der Auftraggeber begründeten Einspruch, wird HEXLE den betreffenden Unterauftragsverarbeiter nicht einsetzen. Können sich die Parteien nicht auf eine alternative Lösung einigen, steht dem Auftraggeber ein Sonderkündigungsrecht für den betroffenen Dienst zu.
    • Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Bestimmungen dieses Vertrages durch seine Subunternehmer.
  6. Unterstützungspflichten:
    • Unterstützung des Auftraggebers bei der Beantwortung von Anträgen Betroffener (Art. 12–22 DSGVO).
    • Unterstützung bei der Einhaltung der Pflichten gem. Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung). Angesichts der Verarbeitung von Daten Minderjähriger wird der Auftraggeber bei einer etwaigen Datenschutz-Folgenabschätzung besonders unterstützt.
  7. Meldepflicht bei Datenschutzverletzungen: Unverzügliche Meldung, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, von Verletzungen des Schutzes personenbezogener Daten des Auftraggebers an diesen (Art. 33, 34 DSGVO).
  8. Löschung und Rückgabe: Nach Beendigung des Vertrages die Daten innerhalb von 90 Tagen nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 28 Abs. 3 lit. g DSGVO).
  9. Drittlandtransfer: Eine Verarbeitung personenbezogener Daten in Drittländern außerhalb der EU/des EWR erfolgt nur, sofern die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind (insbesondere Angemessenheitsbeschluss oder Standardvertragsklauseln). Die aktuell genehmigten Unterauftragsverarbeiter und deren Drittlandsgarantien sind unter Genehmigte Unterauftragsverarbeiter einsehbar.
  1. Kontrollrecht: Der Auftraggeber hat das Recht, die Einhaltung dieser Vereinbarung und der getroffenen TOMs in angemessenem Umfang zu überprüfen, etwa durch Audits oder die Einsichtnahme in Nachweise des Auftragnehmers (Art. 28 Abs. 3 lit. h DSGVO).
  2. Nachweispflicht: Der Auftragnehmer verpflichtet sich, dem Auftraggeber alle zur Einhaltung seiner Pflichten notwendigen Informationen zur Verfügung zu stellen und Nachweise zu erbringen.

Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet gegenüber betroffenen Personen für den gesamten Schaden, der durch eine nicht DSGVO-konforme Verarbeitung verursacht wurde (Art. 82 Abs. 2 DSGVO). Im Innenverhältnis trägt jede Partei den Anteil am Schaden, der ihrem Verschulden entspricht. Der Auftragnehmer haftet insbesondere für Schäden, die aus einer Verarbeitung resultieren, die nicht den Weisungen des Auftraggebers oder seinen eigenen Pflichten aus der DSGVO entspricht.


Stand: Juli 2026