Auftragsverarbeitungsvertrag – Schutz Ihrer personenbezogenen Daten | Yekta Akademie

Yekta Akademie Sprach- und Bildungszentrum

Letzte Aktualisierung: 20. Juli 2025

ALLGEMEINE INFORMATIONEN

1.1 Vertragsparteien

Verantwortlicher: Yekta Akademie Sprach- und Bildungszentrum

Anschrift: [Firmenadresse]

Telefon: +49 [Telefonnummer]

E-Mail: datenschutz@yektaakademie.com

Auftragsverarbeiter: [Name des Auftragsverarbeiters]

Anschrift: [Adresse des Auftragsverarbeiters]

Kontakt: [Kontakt des Auftragsverarbeiters]

1.2 Zweck des Vertrags

Dieser Vertrag regelt das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter gemäß DSGVO Artikel 28. Er gewährleistet die sichere Verarbeitung, den Schutz personenbezogener Daten und die Einhaltung gesetzlicher Anforderungen.

1.3 Rechtsgrundlage

EU-Datenschutz-Grundverordnung (DSGVO)

Bundesdatenschutzgesetz (BDSG)

Türkisches Personendatenschutzgesetz (KVKK)

Branchenspezifische Regelungen und Standards

UMFANG DER DATENVERARBEITUNG

2.1 Zu verarbeitende Datenkategorien

Schüler-Identitätsdaten (Name, Nachname, Geburtsdatum)

Kontaktinformationen (Adresse, Telefon, E-Mail)

Bildungsdaten (Niveau, Teilnahme, Noten)

Finanzinformationen (Zahlungsstatus, Rechnungsinformationen)

Technische Daten (IP-Adresse, Cookies, Protokolle)

Besondere Kategorien von Daten (Gesundheitszustand - nur bei Bedarf)

2.2 Kategorien betroffener Personen

Aktuelle Schüler

Potentielle Schüler

Absolventen

Eltern/Erziehungsberechtigte (für Schüler unter 18)

Bildungspersonal

Geschäftspartner und Lieferanten

2.3 Verarbeitungstätigkeiten

Datenerfassung und -aufzeichnung

Organisation und Strukturierung

Speicherung und Archivierung

Abfrage und Zugriff

Nutzung und Übermittlung

Pseudonymisierung

Löschung und Vernichtung

DATENSCHUTZVERPFLICHTUNGEN

3.1 Allgemeine Verpflichtungen

Verarbeitung nur nach schriftlichen Weisungen

Einhaltung des Grundsatzes der Datenminimierung

Beachtung des Zweckbindungsgrundsatzes

Gewährleistung von Richtigkeit und Aktualität

Einhaltung von Speicherfristen

Schutz von Integrität und Vertraulichkeit

3.2 Technische Sicherheitsmaßnahmen

Verschlüsselung: AES-256 Mindeststandard

Zugriffskontrolle: Multi-Faktor-Authentifizierung

Netzwerksicherheit: Firewall und Intrusion Detection

Datensicherung: Tägliche automatische Sicherung

Überwachung: 24/7 Sicherheitsmonitoring

Ereignismanagement: Incident Response Plan

3.3 Organisatorische Maßnahmen

Mitarbeiterschulung: Jährliche DSGVO-Schulung

Zugriffsberechtigung: Need-to-know-Prinzip

Vertraulichkeitsverpflichtungen: Für alle Mitarbeiter

Prozessdokumentation: Detaillierte Verfahren

Regelmäßige Audits: Interne und externe Prüfungen

Risikobewertung: Jährliche DSFA

UNTERAUFTRAGSVERARBEITER

4.1 Kategorien von Unterauftragsverarbeitern

Cloud-Speicher-Anbieter

E-Mail-Dienstanbieter

Videokonferenz-Plattformen

Zahlungsdienstleister

Analytics-Dienstanbieter

Technische Support-Anbieter

4.2 Genehmigungsverfahren für Unterauftragsverarbeiter

Schriftliche Vorabgenehmigung erforderlich

Sicherheitsbewertung obligatorisch

Vertragliche Verpflichtungsübertragung

Regelmäßige Leistungsbewertung

Änderung bei Nichteinhaltung

Kontinuierliche Überwachung und Aufsicht

4.3 Vertragsbedingungen für Unterauftragsverarbeiter

Gleiche Datenschutzverpflichtungen

Technische und organisatorische Maßnahmen

Unterstützung bei Betroffenenrechten

Audit- und Inspektionsrechte

Vertragsbeendigungsbedingungen

Haftungs- und Entschädigungsregelungen

INTERNATIONALE DATENÜBERMITTLUNGEN

5.1 Drittlandübermittlungen

Zusätzliche Garantien für Übermittlungen außerhalb EU/EWR

Länder mit Angemessenheitsbeschluss bevorzugt

Verwendung von Standardvertragsklauseln (SCC)

Anwendung verbindlicher Unternehmensregeln (BCR)

Zertifizierungsmechanismen

Ausnahmeregelungen für besondere Situationen

5.2 Übermittlungsgarantien

Bewertung des Datenschutzniveaus

Zusätzliche Sicherheitsmaßnahmen

Regelmäßige Garantiekontrolle

Benachrichtigung bei Statusänderungen

Notfallverfahren

Mechanismen zur Übermittlungsaussetzung

BETROFFENENRECHTE

6.1 Zu unterstützende Rechte

Auskunftsrecht (DSGVO Artikel 15)

Recht auf Berichtigung (DSGVO Artikel 16)

Recht auf Löschung (DSGVO Artikel 17)

Recht auf Einschränkung der Verarbeitung (DSGVO Artikel 18)

Recht auf Datenübertragbarkeit (DSGVO Artikel 20)

Widerspruchsrecht (DSGVO Artikel 21)

6.2 Unterstützungsverpflichtungen

Antwort innerhalb von 30 Tagen

Identitätsverifikationsverfahren

Kostenlose Rechtsausübung

Bereitstellung technischer Infrastruktur

Vorbereitung von Datenausgaben

Statistiken und Berichterstattung

DATENSCHUTZVERLETZUNGSMANAGEMENT

7.1 Verletzungsmeldung

Innerhalb von 72 Stunden nach Bekanntwerden

Sofortige Benachrichtigung des Verantwortlichen

Unterstützung bei Meldung an Aufsichtsbehörde

Hilfe bei Benachrichtigung betroffener Personen

Dokumentation und Aufzeichnung

Unterstützung bei Medienkommunikation

7.2 Verletzungsreaktionsplan

Sofortige Erkennung und Eindämmung

Auswirkungsanalyse und -bewertung

Technische Korrekturmaßnahmen

Kommunikation und Benachrichtigung

Prozessverbesserung

Präventivmaßnahmen

7.3 Haftungsverteilung

Vollständige Haftung bei Auftragsverarbeiterfehler

Befreiung bei Fehlern in Verantwortlichenweisungen

Anteilige Haftung bei gemeinsamen Fehlern

Versicherungsdeckungsanforderungen

Entschädigungsgrenzen

Rechtliche Unterstützungspflicht

AUDIT UND INSPEKTION

8.1 Auditrechte

Mindestens 1 Audit jährlich

Zusätzliche Audits in außergewöhnlichen Situationen

Drittpartei-Auditunternehmen

Zugriffsrechte auf alle Systeme

Befugnis zur Mitarbeiterbefragung

Dokumentationsprüfung

8.2 Auditverfahren

30 Tage Vorankündigung

Auditplan-Austausch

Technischer und physischer Zugang

Schriftliche Berichterstattung der Befunde

Korrekturmaßnahmenplan

Folgeaudit

8.3 Nichteinhaltungsmanagement

Definition von Verbesserungszeiten

Regelmäßige Fortschrittsberichte

Notfallintervention bei kritischer Nichteinhaltung

Vertragsaussetzungsbedingungen

Suche nach alternativen Lösungen

Vertragskündigung als letztes Mittel

VERTRAGSLAUFZEIT UND KÜNDIGUNG

9.1 Vertragslaufzeit

Gleichzeitig mit Hauptdienstleistungsvertrag

Automatische Verlängerungsbedingungen

Vorzeitige Kündigungsbedingungen

Kündigungsfristen

Übergangszeiten

Datenrückgabeprozesse

9.2 Verpflichtungen nach Vertragsende

Datenrückgabe innerhalb von 30 Tagen

Sicheres Datenlöschungszertifikat

Vernichtung von Sicherungskopien

Widerruf von Zugriffsrechten

Fortsetzung der Vertraulichkeitspflicht

Abschlussbericht

FINANZIELLE BEDINGUNGEN

10.1 Datenschutzkosten

Gebühr für zusätzliche Sicherheitsmaßnahmen

Audit- und Zertifizierungskosten

Schulungs- und Entwicklungsinvestitionen

Versicherungsprämien

Incident Response-Kosten

Rechtsberatungskosten

10.2 Entschädigungs- und Strafbedingungen

Haftung für DSGVO-Verletzungsstrafen

Entschädigungsansprüche betroffener Personen

Geschäftsunterbrechungsschäden

Reputationsschäden-Entschädigung

Rechtsverfahrenskosten

Schadenaufteilung außerhalb der Versicherungsdeckung

BESONDERE UMSTÄNDE

11.1 Pandemie und Notfallsituationen

Sicherheitsprotokolle für Fernarbeit

Notfallzugriffsverfahren

Geschäftskontinuitätspläne

Kommunikationskanäle

Backup-Systeme

Krisenmanagement

11.2 Besonderheiten des Bildungssektors

Besonderer Schutz von Schülerdaten

Langfristige Speicherung von Bildungsaufzeichnungen

Zertifikats- und Diplomdaten

Elterliche Genehmigungen und Rechte

Balance zwischen akademischer Freiheit und Datenschutz

Internationale Schülerdaten

KOMMUNIKATION UND BERICHTERSTATTUNG

12.1 Kommunikationskanäle

Technische Kommunikation: technical@yektaakademie.com

Rechtliche Kommunikation: legal@yektaakademie.com

Notfall: emergency@yektaakademie.com

DSB-Kommunikation: dpo@yektaakademie.com

12.2 Regelmäßige Berichterstattung

Monatlicher Sicherheitsbericht

Vierteljährlicher Compliance-Bericht

Jährlicher Auditbericht

Ereignisbasierte Sonderberichte

Statistische Analyseberichte

Verbesserungsempfehlungen

VERTRAGSÄNDERUNGEN

13.1 Änderungsbedingungen

Gesetzliche Änderungen

Technologische Entwicklungen

Risikoprofiländerungen

Geschäftsanforderungsänderungen

Standardaktualisierungen

Kundenanforderungen

13.2 Änderungsverfahren

30 Tage Vorankündigung schriftlich

Auswirkungsanalysepräsentation

Verhandlungs- und Genehmigungsverfahren

Überarbeitete Vertragsunterzeichnung

Implementierungsplan

Übergangsperioden-Management

STREITBEILEGUNG

14.1 Einvernehmliche Lösung

Direkte Verhandlung

Mediationsverfahren

Expertenarbitrage

Technische Kommissionsarbeit

Branchenspezifische Lösungsmechanismen

14.2 Rechtliches Verfahren

Deutsche Gerichte sind zuständig

Hamburger Gericht ist örtlich zuständig

Deutsches Recht ist anwendbar

Beteiligung der Aufsichtsbehörde

Europäischer Gerichtshof als letzte Instanz

SCHLUSSBESTIMMUNGEN

15.1 Vertragsgültigkeit

Dieser Vertrag erfüllt die Anforderungen von DSGVO Artikel 28

Konform mit nationalen Datenschutzgesetzen

Konform mit branchenspezifischen Standards

Enthält internationale Best Practices

15.2 Integrität und Vorrang

Dieser Vertrag hat Vorrang bei Datenverarbeitungsangelegenheiten

Ergänzt den Hauptdienstleistungsvertrag

Bei Konflikten gilt dieser Vertrag

Teilweise Ungültigkeit beeinträchtigt nicht den gesamten Vertrag

Dieser Datenverarbeitungsvertrag wurde in deutscher, englischer und türkischer Sprache erstellt. Bei Interpretationsunterschieden ist die deutsche Version maßgebend.

Letzte Aktualisierung: 20. Juli 2025

Yekta Akademie Sprach- und Bildungszentrum

Alle Rechte vorbehalten.