Unterauftragsverarbeiter
LehrHub ist eine Anwendung zur Verwaltung schulischer Daten. Soweit über LehrHub personenbezogene Daten von Schülerinnen und Schülern verarbeitet werden, handelt LehrHub als Auftragsverarbeiter im Sinne von Art. 28 DSGVO im Auftrag der jeweils verantwortlichen Schule, des Schulträgers oder einer sonst zuständigen Stelle.
Diese Seite gibt eine Übersicht über die Unterauftragsverarbeiter und sonstigen technischen Dienstleister, die LehrHub für den Betrieb der Anwendung einsetzt. Sie ist inhaltlich deckungsgleich mit Anlage 2 des AVV (PDF).
Unterauftragsverarbeiter (mit Zugriff auf Schülerdaten)
Diese Dienstleister verarbeiten im Auftrag von LehrHub produktive Anwendungs- und Schülerdaten. Sie sind echte Unterauftragsverarbeiter im Sinne von Art. 28 Abs. 4 DSGVO.
Neon, LLC (Konzerngesellschaft der Databricks, Inc.)
- Funktion
- Bereitstellung und Betrieb der serverlosen PostgreSQL-Datenbankplattform, in der produktive Anwendungsdaten der LehrHub-Anwendung gespeichert und verarbeitet werden.
- Sitz / Verarbeitungsort
- Neon, LLC mit Sitz in San Francisco, Kalifornien, USA, als Konzerngesellschaft der Databricks, Inc., San Francisco, Kalifornien, USA. Produktive Datenverarbeitung erfolgt nach derzeitiger technischer Konfiguration in der Region Frankfurt am Main (AWS eu-central-1).
- Verarbeitete Daten
- Produktive Anwendungsdaten, einschließlich Schülerstammdaten, Leistungs- und Notendaten, Beurteilungsdaten, Nutzerzuordnungen sowie sonstige in der Anwendung gespeicherte Daten.
- Schülerdaten
- Ja, soweit diese in der LehrHub-Datenbank gespeichert werden.
- Drittlandsbezug & Garantien
- Die produktive Datenverarbeitung erfolgt innerhalb der Europäischen Union (Frankfurt am Main). Aufgrund des Sitzes der Konzerngesellschaften in den USA ist ein konzernbezogener Drittlandsbezug, insbesondere im Rahmen administrativer Zugriffe, nicht ausgeschlossen. Absicherung über die mit dem Anbieter bestehende Datenverarbeitungsvereinbarung (Bestandteil der Nutzungsbedingungen), Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 sowie die Zertifizierung nach dem EU-US-Datenschutzrahmen (Data Privacy Framework), soweit einschlägig.
Vercel Inc. (einschließlich Vercel Blob Storage)
- Funktion
- Technischer Betrieb der Anwendung, Bereitstellung der Internetseite, Auslieferung von Inhalten, technische Infrastruktur und Protokollierung; zusätzlich Bereitstellung des Objektspeichers Vercel Blob Storage zur Speicherung optionaler, durch Lehrkräfte hochgeladener Schülerfotos.
- Sitz / Verarbeitungsort
- Vercel Inc. mit Sitz in San Francisco, Kalifornien, USA. Produktive Anwendungsdaten und im Vercel Blob Storage gespeicherte Schülerfotos werden nach der derzeitigen technischen Konfiguration in der Region Frankfurt am Main bzw. innerhalb der Europäischen Union verarbeitet und gespeichert.
- Verarbeitete Daten
- Technische Infrastruktur-, Verbindungs- und Protokolldaten (insbesondere IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene Inhalte, technische Fehlermeldungen); je nach technischer Konfiguration auch Anwendungsdaten; über Vercel Blob Storage zusätzlich optional hochgeladene Schülerfotos.
- Schülerdaten
- Ja, soweit im Vercel Blob Storage optional hochgeladene Schülerfotos gespeichert werden. Diese Fotos werden nicht über öffentlich zugängliche URLs der LehrHub-Anwendung bereitgestellt, sondern ausschließlich über einen authentifizierten und nach Klassenzugehörigkeit autorisierten Abrufmechanismus der Anwendung ausgeliefert.
- Drittlandsbezug & Garantien
- Ein Drittlandsbezug ist aufgrund des Sitzes des Anbieters möglich. Absicherung über die mit dem Anbieter bestehende Datenverarbeitungsvereinbarung, Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 sowie die Zertifizierung nach dem EU-US-Datenschutzrahmen (Data Privacy Framework), soweit einschlägig.
Sonstige technische Dienstleister (ohne Zugriff auf Schülerdaten)
Diese Dienstleister erhalten ausschließlich Lehrkraft-, Vertrags-, Zahlungs-, Kommunikations-, Domain- oder Anmeldedaten — keine produktiven Schülerdaten aus der LehrHub-Anwendung. Google handelt im Rahmen der OAuth-Anmeldung als eigenständig Verantwortlicher für die Authentifizierungsdaten.
IONOS SE
- Funktion
- Registrierung und Verwaltung der Internetdomain lehrhub.de sowie Bereitstellung der geschäftlichen E-Mail-Adresse hallo@lehrhub.de einschließlich des zugehörigen Postfachs.
- Sitz / Verarbeitungsort
- IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland. Verarbeitung in der Bundesrepublik Deutschland.
- Verarbeitete Daten
- Domain-Stammdaten, technische Verbindungsdaten sowie Inhalts- und Metadaten eingehender und ausgehender E-Mails an die geschäftliche Adresse (Absender, Empfänger, Betreff, Inhalt, Zeitpunkt).
- Schülerdaten
- Nein. Produktive Schülerdaten aus der LehrHub-Anwendung werden nicht an IONOS übermittelt.
- Drittlandsbezug & Garantien
- Kein Drittlandsbezug. Sitz und Verarbeitungsort liegen in der Bundesrepublik Deutschland. Die Auftragsverarbeitung ist gemäß den IONOS-Allgemeinen Geschäftsbedingungen seit dem 19.07.2022 Bestandteil des Vertragsverhältnisses.
Stripe Payments Europe, Limited
- Funktion
- Zahlungsabwicklung, Rechnungsstellung und Verwaltung kostenpflichtiger Nutzungen.
- Sitz / Verarbeitungsort
- Stripe Payments Europe, Limited mit Sitz in Dublin, Irland, als Konzerngesellschaft der Stripe, Inc., San Francisco, Kalifornien, USA. Konzernbezogener Drittlandsbezug, insbesondere zu den USA, möglich.
- Verarbeitete Daten
- Zahlungsdaten, Rechnungsdaten, Vertragsdaten, Zahlungsstatus, Transaktionsdaten, Name und E-Mail-Adresse der zahlungspflichtigen Person bzw. Einrichtung.
- Schülerdaten
- Nein. Schülerdaten werden nicht an Stripe übermittelt.
- Drittlandsbezug & Garantien
- Ein Drittlandsbezug ist möglich. Absicherung über die mit dem Anbieter bestehende Datenverarbeitungsvereinbarung (Bestandteil des Stripe Services Agreement), Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 sowie die Zertifizierung nach dem EU-US-Datenschutzrahmen (Data Privacy Framework), soweit einschlägig.
Sendinblue SAS (handelnd unter der Marke Brevo)
- Funktion
- Versand von Systemnachrichten, vertragsbezogenen und systembezogenen E-Mails, Wartelistenkommunikation und sonstiger erforderlicher E-Mail-Kommunikation.
- Sitz / Verarbeitungsort
- Sendinblue SAS (Marke: Brevo) mit Sitz in Paris, Frankreich. Verarbeitung innerhalb der Europäischen Union.
- Verarbeitete Daten
- E-Mail-Adresse, Name, Kommunikationsdaten, Statusdaten, gegebenenfalls Informationen zur Nutzer- oder Vertragsart.
- Schülerdaten
- Nein. Schülerdaten werden nicht an Sendinblue SAS (Brevo) übermittelt.
- Drittlandsbezug & Garantien
- Die Verarbeitung erfolgt nach derzeitiger Anbieterstruktur grundsätzlich über einen europäischen Anbieter mit Sitz in Frankreich. Soweit Unterauftragnehmer oder technische Strukturen mit Drittlandsbezug eingesetzt werden, erfolgt die Absicherung über die mit dem Anbieter bestehende Datenverarbeitungsvereinbarung (Bestandteil der Nutzungsbedingungen) sowie Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914, soweit einschlägig.
Google Ireland Limited
- Funktion
- Bereitstellung der freiwilligen Anmeldung über ein Google-Konto (Single Sign-On via OAuth 2.0).
- Sitz / Verarbeitungsort
- Google Ireland Limited mit Sitz in Dublin, Irland, als Konzerngesellschaft der Google LLC, Mountain View, Kalifornien, USA. Konzernbezogener Drittlandsbezug, insbesondere zu den USA, möglich.
- Verarbeitete Daten
- Authentifizierungsdaten, insbesondere E-Mail-Adresse, Name und technische Anmeldedaten, soweit die nutzende Person die Anmeldung über Google wählt.
- Schülerdaten
- Nein. Schülerdaten werden nicht an Google zu Anmeldezwecken übermittelt.
- Drittlandsbezug & Garantien
- Ein Drittlandsbezug ist möglich. Da Google im Rahmen der Anmeldung als eigenständig Verantwortlicher handelt, erfolgt die Absicherung der Datenübermittlung über die Google Controller-Controller Data Protection Terms, Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 sowie die Zertifizierung nach dem EU-US-Datenschutzrahmen (Data Privacy Framework), soweit einschlägig.
Mitteilung bei Änderungen (30-Tage-Mechanismus)
LehrHub informiert die jeweils verantwortlichen Schulen, Schulträger oder sonst zuständigen Stellen über beabsichtigte Änderungen bei Unterauftragsverarbeitern — insbesondere über die Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters — grundsätzlich mindestens 30 Tage vor Wirksamwerden der Änderung in Textform oder über diese Informationsseite.
Der Verantwortliche kann der Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb dieser Frist gemäß Art. 28 Abs. 2 DSGVO widersprechen. Im Fall eines berechtigten Widerspruchs suchen die Parteien eine angemessene Lösung. Ist eine solche Lösung nicht möglich, kann der Verantwortliche die betroffene Nutzung beenden.
In dringenden Fällen, insbesondere bei Sicherheits-, Verfügbarkeits- oder Rechtsgründen, kann eine Änderung ausnahmsweise auch mit kürzerer Frist erfolgen. LehrHub informiert den Verantwortlichen in diesem Fall unverzüglich.
Vollständige Vertragsunterlagen
Die hier dargestellte Übersicht entspricht Anlage 2 des Auftragsverarbeitungsvertrags. Die vollständige AVV einschließlich aller Anlagen finden Sie hier: