Auftragsverarbeitungsvertrag (AVV)
Gemäß Art. 28 DSGVO — Stand: Juni 2026
§ 1 Gegenstand und Dauer
(1) Der Auftragnehmer (Eyedia, Menasse Gebregzi, Deutz-Mülheimer-Str. 119, 51063 Köln) verarbeitet personenbezogene Daten im Auftrag des Auftraggebers (Kita-Träger) im Rahmen der Nutzung der Cloud-Software „KitaDoc".
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrags für KitaDoc.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt zum Zweck der digitalen Entwicklungsdokumentation und Portfolio-Verwaltung in Kindertageseinrichtungen. Dies umfasst:
- Speicherung und Verwaltung von Kinderdaten (Stammdaten, Entwicklungsdokumentation)
- Speicherung von Medien (Fotos, Videos, Audiodateien) im Portfolio
- Verarbeitung von Gesundheitsdaten (Allergien, Unverträglichkeiten)
- Verwaltung von Anwesenheitsdaten und Krankmeldungen
- Bereitstellung eines schreibgeschützten Eltern-Portals
- Erstellung von Entwicklungsberichten und Datenexporten
§ 3 Kategorien betroffener Personen
- Kinder — Kinder in der betreuten Kindertageseinrichtung
- Erziehungsberechtigte — Eltern und Sorgeberechtigte
- Pädagogische Fachkräfte — Erzieherinnen und Erzieher, Leitungen
- Notfallkontakte — Von den Erziehungsberechtigten benannte Personen
§ 4 Art der personenbezogenen Daten
| Kategorie | Datenarten |
|---|---|
| Stammdaten Kinder | Name, Geburtsdatum, Gruppenzugehörigkeit, Profilbild |
| Entwicklungsdaten | Beobachtungen, Kompetenzstufen, Notizen, Gesprächsprotokolle |
| Portfolio | Fotos, Videos, Audiodateien, Meilensteine, Beschreibungen |
| Gesundheitsdaten* | Allergien, Unverträglichkeiten, Schweregrade, Maßnahmen |
| Kontaktdaten | Namen, Telefonnummern, Beziehung der Notfallkontakte |
| Anwesenheitsdaten | An-/Abmeldezeiten, Krankmeldungen, Urlaubstage |
| Nutzerdaten Fachkräfte | Name, E-Mail, Rolle, Einrichtungszugehörigkeit |
* Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Die Verarbeitung erfolgt auf Grundlage einer ausdrücklichen Einwilligung der Erziehungsberechtigten.
§ 5 Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich:
- Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
- Zur Vertraulichkeit verpflichtete Personen einzusetzen
- Alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen
- Den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen
- Bei Datenschutzverletzungen unverzüglich (innerhalb von 24 Stunden) zu informieren
- Nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben
- Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen
§ 6 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer hat folgende Maßnahmen implementiert:
Zutrittskontrolle
Die Datenverarbeitung erfolgt ausschließlich in zertifizierten Rechenzentren in der EU mit physischen Zugangskontrollen.
Zugangskontrolle
- Authentifizierung über verschlüsselte Passwörter (bcrypt)
- Sitzungsverwaltung mit automatischem Timeout
- Rollenbasierte Zugriffskontrolle (Erzieherin, Leitung, Träger-Admin)
Zugriffskontrolle
- Row-Level-Security (RLS) auf Datenbankebene
- Strikte Mandantentrennung: Jede Einrichtung sieht nur eigene Daten
- Eltern-Portal mit schreibgeschütztem, tokenbasiertem Zugang
- Foto-Erlaubnis wird pro Kind vor Medien-Upload geprüft
Transportverschlüsselung
- TLS 1.3 für alle Datenübertragungen
- HTTPS erzwungen
Verschlüsselung ruhender Daten
- AES-256-Verschlüsselung der Datenbank
- Verschlüsselte Backups
Verfügbarkeit und Belastbarkeit
- Tägliche automatisierte Backups
- Redundante Infrastruktur
- Angestrebte Verfügbarkeit: 99,5 % im Jahresmittel
Wiederherstellbarkeit
- Point-in-Time-Recovery der Datenbank
- Getestete Wiederherstellungsprozeduren
§ 7 Unterauftragnehmer
Folgende Unterauftragnehmer werden eingesetzt:
| Unternehmen | Leistung | Standort |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Dateispeicher | EU (Frankfurt) |
| Stripe Inc. | Zahlungsabwicklung | EU / USA (DPF-zertifiziert) |
| Vercel Inc. / Hetzner | Webhosting, CDN | EU |
Der Auftragnehmer wird den Auftraggeber über Änderungen bei Unterauftragnehmern vorab informieren. Der Auftraggeber hat ein Widerspruchsrecht.
§ 8 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses Vertrags durch geeignete Maßnahmen zu überprüfen.
(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen, nach vorheriger Ankündigung mit angemessener Frist.
(3) Alternativ kann der Nachweis durch aktuelle Zertifikate, Berichte unabhängiger Prüfer oder geeignete Zertifizierungen erbracht werden.
§ 9 Weisungen
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf Weisung des Auftraggebers. Die Nutzung der Software gilt als allgemeine Weisung im Sinne des Art. 28 Abs. 3 lit. a DSGVO.
(2) Einzelweisungen sind schriftlich oder per E-Mail an hallo@eyedia.de zu richten.
(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er den Auftraggeber unverzüglich.
§ 10 Löschung und Rückgabe von Daten
(1) Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Auf Wunsch des Auftraggebers erfolgt vor der Löschung eine Rückgabe der Daten in einem gängigen, maschinenlesbaren Format (JSON/CSV-Export).
(3) Die Löschung wird dem Auftraggeber auf Anfrage schriftlich bestätigt.
§ 11 Schlussbestimmungen
(1) Dieser AVV ist Bestandteil des Nutzungsvertrags für KitaDoc.
(2) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
(4) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Unterschriften
Auftraggeber (Kita-Träger)
Ort, Datum, Unterschrift
Auftragnehmer (Eyedia)
Menasse Gebregzi, Köln