gemäß Art. 28 DSGVO zwischen

____________________________
[Name der Schule / des Schulträgers]

____________________________
[Anschrift]

____________________________
vertreten durch [Name, Funktion]
(im Folgenden „Auftraggeber“)

und

Lena Schatz
Nelkenweg 15, 24147 Kiel, Germany
hey@asKId.de
+49 170 7929718
(im Folgenden „Auftragsverarbeiter“)

§1 Gegenstand der Vereinbarung
Diese Vereinbarung regelt die Verarbeitung von personenbezogenen oder pseudonymisierten Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers im Rahmen der Bereitstellung des digitalen KI-Chatdienstes asKId , welcher für den Einsatz mit Kindern im Bildungsbereich bestimmt ist.

§2 Art, Umfang und Zweck der Verarbeitung
• Zweck der Verarbeitung: Betrieb und Wartung des Chatbots asKId zur kindgerechten Wissensvermittlung in der Schule.
• Art der Daten: Pseudonyme, Chatnachrichten (Fragen und Antworten), optionale Lehrkraft-Zugangsdaten (Name, E-Mail).
• Besonderheit: Es werden keine Klarnamen oder direkt identifizierbaren Schülerdaten verarbeitet.
• Betroffene Personen: Schülerinnen und Schüler (pseudonymisiert), Lehrkräfte (nur bei Admin-Zugängen).
• Verarbeitungsort: Deutschland (Server, Ionos); USA (OpenAI) mit Datenschutzrahmen (siehe §5)

§3 Dauer der Verarbeitung
Die Verarbeitung beginnt mit der Einrichtung des Schulkontos und läuft für die Dauer der Nutzung des Dienstes. Nach Vertragsbeendigung werden alle Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

§4 Weisungsrecht
Der Auftraggeber behält das volle Weisungsrecht hinsichtlich der Verarbeitung der Daten. Änderungen oder Ergänzungen der Weisung sind schriftlich (E-Mail genügt) mitzuteilen.

§5 Subunternehmer (Unterauftragsverarbeitung)
Die Verarbeitung einzelner Komponenten erfolgt durch beauftragte Unterauftragsverarbeiter:
• OpenAI, 3180 18th Street, San Francisco, CA 94110, USA
• IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland
Einsatz: Verarbeitung von Chatnachrichten zur Generierung von Antworten
➝ Zertifiziert gemäß EU-US Data Privacy Framework
➝ Speicherung max. 30 Tage, keine Trainingsnutzung

Weitere Subunternehmer werden nur nach vorheriger Information und Zustimmung des Auftraggebers eingesetzt.

§6 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter verpflichtet sich, alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, darunter:
• Verschlüsselte Datenübertragung (HTTPS)
• Zugangskontrolle durch Authentifizierung
• Speicherung auf Servern in Deutschland
• Zugriffsbeschränkung auf berechtigte Personen
• Regelmäßige Sicherungen und Updates
• Löschroutinen nach Vertragsende

Eine Übersicht der TOM kann auf Anfrage bereitgestellt werden.

§7 Rechte der Betroffenen
Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Wahrung der Rechte betroffener Personen gemäß Kap. III DSGVO (Auskunft, Berichtigung, Löschung etc.).

§8 Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, sich von der Einhaltung der datenschutzrechtlichen Pflichten zu überzeugen, z. B. durch:
• Dokumentationsprüfungen
• Auskunft durch den Auftragsverarbeiter
• ggf. Vor-Ort-Kontrolle (mit Ankündigung)

§9 Vertraulichkeit
Alle mit der Datenverarbeitung betrauten Personen sind auf die Vertraulichkeit verpflichtet worden und entsprechend geschult.

§10 Löschung von Daten
Nach Abschluss der Verarbeitung oder bei Aufforderung durch den Auftraggeber werden alle personenbezogenen oder pseudonymisierten Daten vollständig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§11 Schlussbestimmungen
• Nebenabreden bedürfen der Schriftform.
• Sollte eine Bestimmung unwirksam sein, bleibt die Gültigkeit der übrigen unberührt.
• Es gilt deutsches Recht.


____________________________
[Ort, Datum, Unterschrift (Schule)]


____________________________
[Ort, Datum, Unterschrift (Auftragsverarbeiter (asKId))]


Fassung des Dokuments vom 06.03.2026