Auftragsverarbeitungsvertrag (AVV)

Über dieses Dokument

Dieser Auftragsverarbeitungsvertrag (AVV) gilt zwischen jeder Schule, die Prilog nutzt, und der Prilog GmbH als Anbieter. Er erfüllt Art. 28 DSGVO. Beim Onboarding wird er automatisch geschlossen — die Schul-Administration bestätigt die Annahme als Teil des Bestellprozesses.

Stand: April 2026 — diese Version enthält den zentralen Whisper-Server (Sprach-Transkription "Flurfunk") als Sub-Processor.

Frühere Versionen des AVV bleiben gültig bis die Schule die neue Version akzeptiert. Schulen werden bei wesentlichen Änderungen (Sub-Processor-Liste, Datenkategorien) mindestens 30 Tage vor Inkrafttreten informiert.

Vertragsparteien

Auftraggeber ist die Schule oder der Schulträger, die Prilog als Kommunikationsplattform nutzt (im Folgenden „Schule").

Auftragnehmer ist:

Prilog GmbH [Strasse] [PLZ Ort] [Handelsregister, Geschäftsführung, USt-IdNr.]
Datenschutzbeauftragter: [Name oder externer DSB], dsb@prilog.chat

(im Folgenden „Prilog")

§1 Gegenstand und Dauer

(1) Prilog stellt der Schule eine schulinterne Kommunikations-Plattform zur Verfügung. Inhalt der Auftragsverarbeitung ergibt sich aus der zugrundeliegenden Hauptvereinbarung („Bestellung Prilog-Server").

(2) Die Auftragsverarbeitung beginnt mit der Bereitstellung des Schul-Servers und endet mit Beendigung des Hauptvertrags. Nach Vertragsende gelten die Löschungs- und Rückgabepflichten aus §10.

§2 Art und Zweck der Verarbeitung

Prilog verarbeitet personenbezogene Daten ausschließlich zur:

Bereitstellung von Chat- und Direktnachrichten zwischen Mitgliedern der Schulgemeinschaft (Lehrer, Eltern, Schüler, Verwaltung)
Verwaltung von Benutzern, Rollen, Spaces und Gruppen
Speicherung und Bereitstellung hochgeladener Dokumente, Bilder, Audio- und Videodateien innerhalb der Schul-Plattform
Optional (opt-in pro Schule): Sprach-zu-Text-Transkription ("Flurfunk") von Sprachnachrichten der Schul-Mitarbeiter über einen zentralen Prilog-Whisper-Server
Optional: weitere von der Schule aktivierte Module (z.B. Krisenmanagement, Dokumenten-Management, Kalender, Aufgabenverwaltung, Workflow-Automatisierung)

Die Verarbeitung erfolgt ausschließlich nach Weisung der Schule.

§3 Art der personenbezogenen Daten

Folgende Datenarten werden verarbeitet:

Stammdaten: Name, Vorname, E-Mail-Adresse, Benutzertyp (Lehrer, Schüler, Eltern), Rolle, Klasse/Stufe, Geburtsjahr (optional)
Kommunikationsdaten: Chat-Nachrichten, Direktnachrichten, Anhänge (Dokumente, Bilder, Audio, Video)
Sprachaufnahmen: bei aktivem Flurfunk-Modul kurze Audio-Aufnahmen von Mitarbeitern (Maximaldauer konfigurierbar, Standard 30 Sekunden)
Metadaten: Zeitpunkt der Anmeldung, IP-Adresse beim Login (Audit-Log), Lesebestätigungen in Infotafeln, ungelesene-Nachrichten-Zähler
Optionale Modul-Daten: je nach aktivierten Modulen (Termine im Kalender, Aufgaben im Projekt-Modul, Dokumente im DMS, Krisenereignisse im Krisenmanagement)

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht absichtlich verarbeitet. Inhalte, die Nutzer freiwillig in Nachrichten teilen, fallen in ihre Verantwortung.

§4 Kategorien betroffener Personen

Lehrkräfte und sonstige Schul-Mitarbeiter
Schülerinnen und Schüler
Erziehungsberechtigte
Externe Personen (z.B. Schulpsychologen, Therapeuten, externe Referenten) sofern Mitglied einer Plattform

§5 Pflichten von Prilog (Art. 28 Abs. 3 DSGVO)

Prilog verpflichtet sich:

(1) Daten ausschließlich nach dokumentierter Weisung der Schule zu verarbeiten. Weisungen können über das Schul-Admin-Portal, per E-Mail oder per Schriftform erfolgen. Mündliche Weisungen werden nachträglich bestätigt.

(2) Mitarbeiter, die mit personenbezogenen Daten umgehen, zur Vertraulichkeit zu verpflichten und auf das Datengeheimnis zu schulen.

(3) Die in Anhang 2 (Technisch-Organisatorische Maßnahmen) beschriebenen Sicherheitsmaßnahmen einzuhalten und auf dem aktuellen Stand der Technik zu halten.

(4) Sub-Auftragsverarbeiter nur nach den Bedingungen aus §6 einzusetzen.

(5) Die Schule unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung ihrer Pflichten als Verantwortliche zu unterstützen — insbesondere bei Auskunfts-, Berichtigungs-, Lösch- und Datenübertragbarkeitsanfragen betroffener Personen.

(6) Die Schule unverzüglich (spätestens innerhalb von 24 Stunden nach Kenntnis) über Datenschutzverletzungen zu informieren.

(7) Nach Beendigung der Verarbeitung alle personenbezogenen Daten nach Wahl der Schule zurückzugeben oder zu löschen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(8) Der Schule auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung dieses Vertrages zur Verfügung zu stellen und Audits zu ermöglichen.

§6 Sub-Auftragsverarbeiter

(1) Die Schule erteilt ihre allgemeine Genehmigung zur Inanspruchnahme der in Anhang 3 aufgeführten Sub-Auftragsverarbeiter.

(2) Prilog wird die Schule bei jeder beabsichtigten Hinzuziehung weiterer Sub-Auftragsverarbeiter oder bei deren Ersetzung mindestens 30 Tage im Voraus informieren. Die Schule kann der Änderung innerhalb dieser Frist begründet widersprechen. Im Widerspruchsfall ist Prilog berechtigt, den Vertrag mit der Schule mit angemessener Frist zu kündigen.

(3) Mit jedem Sub-Auftragsverarbeiter wird ein eigener Auftragsverarbeitungs- Vertrag mit mindestens denselben Datenschutzpflichten geschlossen, wie sie in diesem Vertrag festgelegt sind.

(4) Prilog haftet für das Handeln seiner Sub-Auftragsverarbeiter wie für eigenes Handeln.

§7 Drittlandstransfer

Es findet kein Drittlandstransfer statt. Sämtliche Datenverarbeitung erfolgt in Rechenzentren innerhalb der Bundesrepublik Deutschland (Hetzner Online GmbH, Standorte Nürnberg und Falkenstein).

Insbesondere gilt:

Keine Weitergabe an OpenAI, Google, Microsoft, Amazon Web Services oder andere US-Anbieter
Keine Verarbeitung auf US-Cloud-Infrastruktur
Sprach-Transkription erfolgt auf einem eigenen Hetzner-Server in Deutschland, der ausschließlich von Prilog betrieben wird (siehe Anhang 3)

§8 Weisungsrecht der Schule

(1) Die Schule erteilt Weisungen grundsätzlich schriftlich oder in einem elektronisch dokumentierten Format. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(2) Prilog informiert die Schule unverzüglich, wenn eine erteilte Weisung nach Auffassung von Prilog gegen geltendes Datenschutzrecht verstößt.

(3) Zur Erteilung von Weisungen ist seitens der Schule berechtigt: die im Onboarding benannte Schul-Administration, in Vertretung der jeweilige Schulleiter oder Schulträger.

§9 Mitteilungspflichten bei Datenschutzverletzungen

Prilog meldet der Schule jede Datenschutzverletzung unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme. Die Meldung erfolgt per E-Mail an die im Onboarding hinterlegte Datenschutzkontaktadresse und enthält:

Beschreibung der Art der Verletzung
Wahrscheinliche Folgen
Umfang der betroffenen Datenkategorien und Personen
Bereits ergriffene oder geplante Maßnahmen

§10 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung der Auftragsverarbeitung werden alle Daten der Schule innerhalb von 30 Tagen nach Wahl der Schule entweder gelöscht oder zurückgegeben.

(2) Die Rückgabe erfolgt in einem strukturierten, gängigen, maschinenlesbaren Format (Matrix-Standard-Export plus JSON für Stammdaten).

(3) Die Löschung erfolgt nach Stand der Technik (sicheres Überschreiben). Backup-Kopien werden im Rahmen der regulären Backup-Rotation innerhalb von maximal 90 Tagen nach Vertragsende endgültig gelöscht.

(4) Prilog bestätigt die Löschung schriftlich.

§11 Kontroll- und Auditrechte

Die Schule hat das Recht, nach vorheriger Ankündigung (Vorlauf 14 Tage) Audits zur Einhaltung dieses Vertrages durchzuführen. Audits können entweder:

als Selbstauskunft (Prilog beantwortet einen Fragebogen),
als Vor-Ort-Begehung (begrenzt auf für die Auftragsverarbeitung relevante Bereiche), oder
durch Prüfung von Zertifikaten und Berichten unabhängiger Dritter

erfolgen. Vor-Ort-Begehungen sind auf einmal pro Jahr beschränkt, sofern kein konkreter Anlass besteht.

§12 Haftung

Es gelten die Haftungsregelungen aus dem Hauptvertrag sowie die Bestimmungen des Art. 82 DSGVO.

§13 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, so wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt.

(2) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform — das gilt auch für die Aufhebung des Schriftformerfordernisses.

(3) Es gilt deutsches Recht. Gerichtsstand ist [Sitz Prilog GmbH].

Anhang 1 — Verarbeitungsverzeichnis

Verarbeitungstätigkeit	Zweck	Datenkategorien	Aufbewahrung
Chat-Nachrichten	Schulinterne Kommunikation	Stamm- und Kommunikationsdaten	Bis Löschung durch Nutzer oder Vertragsende
Direktnachrichten	1:1-Kommunikation, Ende-zu-Ende-verschlüsselt	Wie Chat-Nachrichten, Inhalte für Prilog technisch unzugänglich	Wie Chat-Nachrichten
Anhänge (Dateien)	Austausch von Dokumenten, Bildern, Videos	Dateiinhalte, Dateinamen, Größe, Mime-Type	Bis Löschung durch Nutzer oder Vertragsende
Sprach-Transkription (Flurfunk)	Erstellung von Transkripten zu Sprachnachrichten der Mitarbeiter	Audio (max. 30 s), Text-Transkript	Audio nicht persistiert; Transkript wie Chat-Nachricht
Login-Audit-Log	Sicherheits-Nachweis	E-Mail, IP, Zeitstempel, User-Agent	90 Tage
Krisenmanagement (optional)	Strukturierte Reaktion auf Notfälle	Krisenereignisse, Aufgabenstatus, Beteiligte	Bis Vertragsende, danach 1 Jahr aus Compliance-Gründen
DMS / Dokumenten-Management (optional)	Schul-Dokumentenarchiv	Dokumentinhalte, Versionen, Tags, Metadaten	Bis Löschung durch Nutzer oder Vertragsende

Anhang 2 — Technisch-Organisatorische Maßnahmen (TOMs)

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle (physisch)

Hosting in zertifizierten Hetzner-Rechenzentren (Standorte Nürnberg und Falkenstein, Deutschland) mit ISO 27001-Zertifizierung
Physischer Zutritt zu Server-Hardware ausschließlich durch Hetzner-Personal, protokolliert
24/7 Sicherheitspersonal, Videoüberwachung, biometrische Zutrittskontrollen

Zugangskontrolle (elektronisch)

Multi-Faktor-Authentifizierung für Schul-Administrations-Konten optional
Passwort-Mindestkomplexität: 12 Zeichen, Sonderzeichen, Mischung Klein-/Groß
Brute-Force-Schutz mit progressivem Login-Throttling
SSH-Zugang zu Servern ausschließlich per Schlüsselauthentifizierung, kein Passwort-Login möglich
Server-Zugang nur über Tailscale-VPN

Zugriffskontrolle (Berechtigungen)

Rollenbasiertes Berechtigungskonzept (Schulleitung, Verwaltung, Lehrkraft, Eltern, Schüler) mit feingranularer Permission-Matrix
Trennung zwischen Schul-Administration und Plattform-Administration
Keine Inhalts-Einsicht für Prilog-Mitarbeiter ohne explizite Weisung der Schule (Impersonation nur nach Audit-Log und mit Benachrichtigung des betroffenen Nutzers)

Verschlüsselung

TLS 1.3 für alle Verbindungen zwischen Endgerät und Server
Ende-zu-Ende-Verschlüsselung (Olm/Megolm) für Direktnachrichten — Inhalte können auf dem Server NICHT eingesehen werden
At-rest-Verschlüsselung der PostgreSQL-Datenbank über LUKS auf Hetzner-Volumes
Backup-Verschlüsselung mit AES-256

Integrität

Logische Trennung der Daten verschiedener Schulen über getrennte Datenbanken und Storage-Buckets pro Tenant
Cryptographically signed events im Matrix-Protokoll
Regelmäßige Integritäts-Checks der Backups

Verfügbarkeit und Belastbarkeit

Tägliche automatisierte Backups, mindestens 7-Tage-Retention
Wöchentliche Vollbackups, 4-Wochen-Retention
Monatliche Backups mit 12-Monats-Retention (für Disaster-Recovery)
Monitoring aller produktiven Dienste mit automatisierten Alarmen
Verfügbarkeitsziel: 99,5% pro Monat (außer angekündigte Wartungsfenster)

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Vierteljährliche Sicherheits-Reviews der eingesetzten Komponenten
Jährliche externe Pentest-Berichte (auf Anfrage einsehbar)
Software-Updates: Sicherheitsrelevante Patches innerhalb von 7 Tagen, Major-Updates nach Release-Plan

Anhang 3 — Sub-Auftragsverarbeiter

Folgende Sub-Auftragsverarbeiter werden eingesetzt. Die Genehmigung gemäß §6 Abs. 1 dieses Vertrages bezieht sich auf diese Liste in der bei Vertragsschluss gültigen Fassung.

Sub-Verarbeiter	Sitz	Zweck	Datenkategorien	Drittland?
Hetzner Online GmbH	Gunzenhausen, Deutschland	Hosting des Schul-Servers (VM, Storage, Netzwerk, Backup)	Alle Plattform-Daten	Nein
Prilog Whisper-Server (zentral, Hetzner Cloud)	Hetzner-Rechenzentrum, Deutschland	Sprach-zu-Text-Transkription für Flurfunk-Sprachnachrichten von Mitarbeitern (nur bei aktivem opt-in pro Schule)	Audio-Bytes (nur transient im RAM, keine Persistenz), erzeugter Transkript-Text	Nein
Bunny.net GmbH	Slowenien (EU)	DNS-Verwaltung für Subdomains (Subdomain-Mapping, kein Inhalts-Routing)	Subdomain-Strings, IP-Adressen	Nein
MailerSend (System-E-Mails)	Litauen (EU) / USA-Standardvertragsklauseln	Versand transaktionaler System-E-Mails (Passwort-Reset, Einladungen)	E-Mail-Adresse, Vor- und Nachname	Wenn USA: SCC + Zusatzvereinbarung
Stripe Payments Europe Ltd.	Irland (EU)	Zahlungsabwicklung (nur für Schul-Träger, nicht für Schüler/Eltern)	Rechnungsdaten der Schule, Zahlungsinformationen	Nein

Whisper-Server: Datenfluss im Detail

Wenn die Schule Flurfunk (Sprach-Transkription) aktiviert, werden Sprachnachrichten von Mitarbeitern über das Backend an einen zentralen Prilog-Whisper-Server geschickt. Dieser Server:

läuft auf eigener Hardware bei Hetzner Deutschland (CCX33 Instanz)
ist ausschließlich über Tailscale-VPN aus dem Prilog-Netzwerk erreichbar, nicht öffentlich im Internet
nutzt das Open-Source-Modell Whisper large-v3 (Systran-Variante, kein OpenAI-API-Aufruf)
persistiert Audio-Daten zu KEINEM Zeitpunkt auf Disk — die Audio-Bytes werden ausschließlich im Arbeitsspeicher zur Transkription gehalten und nach Abschluss des Requests verworfen
gibt nur den Transkript-Text an das Prilog-Backend zurück, das ihn als Reply zur Original-Sprachnachricht im Chat ablegt

Eltern und Schüler können Flurfunk nicht selbst nutzen — die Funktion ist auf Mitarbeiter (Lehrkräfte, Sekretariat, Schulleitung) beschränkt. Empfänger von Sprachnachrichten können diese normal anhören.

Die Schule kann Flurfunk jederzeit über das Schul-Admin-Portal vollständig deaktivieren. Sobald deaktiviert, werden keine Audio-Daten mehr an den Whisper-Server übermittelt.

Annahme des Vertrages

Dieser Vertrag wird beim Onboarding einer neuen Schule durch die Schul-Administration via Checkbox bestätigt. Die Bestätigung wird mit Zeitstempel und IP-Adresse im Audit-Log gespeichert.

Bei wesentlichen Änderungen (insbesondere Erweiterung der Sub-Auftragsverarbeiter oder neuen Datenkategorien) wird die Schul- Administration mindestens 30 Tage vorher per E-Mail informiert. Die fortgesetzte Nutzung nach Inkrafttreten der neuen Version gilt als Annahme.

Aktuelle Version: April 2026 (V2 — Whisper-Server hinzugefügt)

Vorherige Version: [Datum] — diese ist für Bestandsschulen weiterhin gültig bis zur ausdrücklichen Annahme der V2-Version.

Auftragsverarbeitungsvertrag (AVV) ​

Vertragsparteien ​

§1 Gegenstand und Dauer ​

§2 Art und Zweck der Verarbeitung ​

§3 Art der personenbezogenen Daten ​

§4 Kategorien betroffener Personen ​

§5 Pflichten von Prilog (Art. 28 Abs. 3 DSGVO) ​

§6 Sub-Auftragsverarbeiter ​

§7 Drittlandstransfer ​

§8 Weisungsrecht der Schule ​

§9 Mitteilungspflichten bei Datenschutzverletzungen ​

§10 Löschung und Rückgabe nach Vertragsende ​

§11 Kontroll- und Auditrechte ​

§12 Haftung ​

§13 Schlussbestimmungen ​

Anhang 1 — Verarbeitungsverzeichnis ​

Anhang 2 — Technisch-Organisatorische Maßnahmen (TOMs) ​

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) ​

Integrität ​

Verfügbarkeit und Belastbarkeit ​

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung ​

Anhang 3 — Sub-Auftragsverarbeiter ​

Annahme des Vertrages ​