Stand: März 2026 · gemäß Art. 28 DSGVO
📌 Dieser AVV gilt automatisch mit Abschluss einer Schullizenz und regelt die datenschutzrechtliche Zusammenarbeit zwischen der Schule (Verantwortliche) und QRENA (Auftragsverarbeiter). Einzelne Lehrkräfte ohne Schullizenz können diesen AVV ebenfalls auf Anfrage abschließen: info@qrena.de
Gegenstand dieses AVV ist die Bereitstellung der webbasierten Lernplattform QRENA durch den Auftragsverarbeiter zur Durchführung digitaler, differenzierter Lerneinheiten durch die Verantwortliche. Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten im Auftrag und nach Weisung der Verantwortlichen.
Dieser AVV tritt mit Abschluss des Schullizenzverhältnisses in Kraft und gilt für die gesamte Laufzeit des Lizenzvertrages. Er endet automatisch mit dem Ende des Lizenzvertrages, es sei denn, die gesonderte Löschung der Daten erfordert ein zeitlich begrenztes Fortbestehen.
Der Auftragsverarbeiter betreibt eine webbasierte Lernplattform für differenzierten, interaktiven Unterricht. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Bereitstellung und des Betriebs dieser Plattform für die Verantwortliche.
✅ Grundsatz der Zweckbindung: Personenbezogene Daten werden ausschließlich zur Erbringung des vertraglich vereinbarten QRENA-Dienstes verarbeitet. Eine Nutzung für Werbung, Profiling, Modelltraining oder sonstige eigene Zwecke des Auftragsverarbeiters findet nicht statt.
| Datenkategorie | Beschreibung |
|---|---|
| Pseudonymisierte Identifikationsmerkmale der Teilnehmenden | Frei gewählte Teamnamen und optionale Spitznamen (keine Klarnamen, keine E-Mail-Adressen, keine biometrischen Merkmale) |
| Nutzungs- und Leistungsdaten | Punktestände, bearbeitete Aufgaben, eingereichte Antworten, Session-Logs |
| Lehrkraft-Accountdaten | E-Mail-Adresse (Pflicht), Name (optional), Passwort (gehasht) |
| Technische Daten | Anonyme Firebase User-IDs (temporär), IP-Adresse (durch Firebase verarbeitet) |
⚠️ Ausdrücklich NICHT verarbeitet: Klarnamen von Schülerinnen und Schülern, Geburtsdaten, biometrische Daten, Gesundheitsdaten, Leistungsbeurteilungen im schulrechtlichen Sinne, Noten oder sonstige besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der Verantwortlichen, einschließlich in Bezug auf die Übermittlung personenbezogener Daten an Drittländer. Weisungen können per E-Mail an info@qrena.de erteilt werden. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, informiert er die Verantwortliche unverzüglich.
Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragsverarbeiter trifft alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO (siehe § 7 dieses AVV).
Die Verantwortliche erteilt mit Abschluss dieses AVV ihre allgemeine Genehmigung für den Einsatz der in § 8 genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert die Verantwortliche über beabsichtigte Änderungen bezüglich der Hinzuziehung neuer oder der Ersetzung bisheriger Unterauftragsverarbeiter. Die Verantwortliche hat das Recht, solchen Änderungen zu widersprechen.
Der Auftragsverarbeiter unterstützt die Verantwortliche bei der Erfüllung ihrer Pflichten gegenüber betroffenen Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit). Anfragen können an info@qrena.de gerichtet werden.
Der Auftragsverarbeiter informiert die Verantwortliche unverzüglich, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, und unterstützt sie bei der Erfüllung ihrer Meldepflichten nach Art. 33 und 34 DSGVO.
Nach Beendigung des Lizenzvertrages löscht oder gibt der Auftragsverarbeiter – nach Wahl der Verantwortlichen – alle personenbezogenen Daten zurück und löscht bestehende Kopien, sofern nicht eine Verpflichtung zur Speicherung nach Unionsrecht oder dem Recht der Mitgliedstaaten besteht. Session-Daten werden automatisch innerhalb von 24 Stunden nach Abschluss einer Session gelöscht (technische Maßnahme). Lehrkraft-Accountdaten werden auf Anfrage oder spätestens 30 Tage nach Vertragsende gelöscht.
| Bereich | Maßnahme | Umsetzung |
|---|---|---|
| Vertraulichkeit | Transportverschlüsselung | TLS 1.3 (HTTPS) auf allen Endpunkten, erzwungen |
| Integrität | Zugangskontrolle (Datenbank) | Firebase Security Rules: granulare, rollenbasierte Lese- und Schreibrechte |
| Zugangskontrolle | Nutzerauthentifizierung | Passwortgeschützter Lehrkraft-Account via Firebase Authentication; Schüler pseudonym via Anonymous Authentication |
| Verfügbarkeit | Infrastruktur | Google Firebase (hochverfügbare Cloud-Infrastruktur, EU-Region europe-west1, Belgien) |
| Datensparsamkeit | Automatische Löschung | Session-Daten (Teams, Punkte, Antworten) nach 24 h; nicht gestartete Sessions nach 7 Tagen via Cloud Function |
| Pseudonymisierung | Keine Klarnamen | Schülerinnen und Schüler nehmen ausschließlich mit frei gewählten Teamnamen teil – kein Klarname, keine E-Mail-Adresse erforderlich |
| Datenspeicherung | EU-Region | Alle Daten gespeichert in europe-west1 (Belgien) – kein routinemäßiger Transfer außerhalb der EU |
| Organisatorisch | Vertraulichkeit | Der Betreiber ist zur Verschwiegenheit verpflichtet; keine Weitergabe zu Werbe- oder Profiling-Zwecken |
Mit Abschluss dieses AVV genehmigt die Verantwortliche den Einsatz folgender Unterauftragsverarbeiter:
| Anbieter | Zweck | Anschrift | Serverstandort |
|---|---|---|---|
| Google Cloud EMEA Limited | Firebase Hosting, Authentication, Cloud Firestore, Firebase Storage, Cloud Functions | 70 Sir John Rogerson's Quay, Dublin 2, Irland | EU-Region europe-west1, Belgien |
| Stripe Payments Europe Ltd | Zahlungsabwicklung (Schulrechnungen) – verarbeitet ausschließlich Rechnungs- und Kontaktdaten der Schule/Schulträger; keine Schülerdaten | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland | EU |
📌 Hinweis: Änderungen an dieser Liste werden der Verantwortlichen rechtzeitig mitgeteilt. Die Verantwortliche hat das Recht, neuen Unterauftragsverarbeitern zu widersprechen. Im Fall eines berechtigten Widerspruchs, dem der Auftragsverarbeiter nicht abhelfen kann, hat die Verantwortliche das Recht zur außerordentlichen Kündigung des Lizenzvertrages.
Dieser AVV tritt mit Abschluss des Schullizenzverhältnisses in Kraft und endet automatisch mit dessen Beendigung.
Nach Beendigung des Lizenzvertrages gilt:
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Erfüllungsort und Gerichtsstand ist Herborn, soweit gesetzlich zulässig.
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien verpflichten sich, unwirksame Bestimmungen durch wirksame Regelungen zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommen.
Im Verhältnis zu den allgemeinen Nutzungsbedingungen hat dieser AVV in datenschutzrechtlichen Fragen Vorrang, soweit er speziellere Regelungen enthält.
Für alle Anfragen im Zusammenhang mit diesem AVV:
Dominic Schmitt · info@qrena.de
🎉 Vertrauen durch Transparenz
Dieser AVV ist öffentlich einsehbar und wird bei wesentlichen Änderungen aktualisiert. Bei Fragen stehen wir gerne zur Verfügung.
Stand: März 2026
Dieser AVV wurde nach bestem Wissen und Gewissen erstellt. Er ersetzt keine individuelle Rechtsberatung. Bei rechtlichen Unsicherheiten empfehlen wir die Konsultation eines auf Datenschutzrecht spezialisierten Rechtsanwalts oder des schulischen Datenschutzbeauftragten.