taktjam

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Version 1.0 · Stand: Juli 2026 · Bestandteil des Nutzungsvertrags (AGB § 9). Tipp: Diese Seite kann über die Druckfunktion des Browsers als PDF gespeichert werden.

1. Vertragsparteien und Gegenstand

(1) Verantwortliche:r ist die Nutzer:in von taktjam (Lehrkraft bzw. Musikschule laut Kontoregistrierung, „Verantwortliche:r"). Auftragsverarbeiter ist die clubjam FlexCo, Göstling 170, 3345 Göstling an der Ybbs, Österreich, FN 629031x (LG St. Pölten), datenschutz@clubjam.co („Auftragsverarbeiter"). (2) Gegenstand ist die Verarbeitung personenbezogener Daten von Schüler:innen und Erziehungsberechtigten im Rahmen der Bereitstellung der SaaS-Anwendung taktjam. (3) Dieser AVV wird mit der Registrierung Bestandteil des Nutzungsvertrags; er gilt für dessen gesamte Laufzeit.

2. Art, Zweck und Umfang der Verarbeitung (Anhang 1)

Die Verarbeitung erfolgt ausschließlich zur Bereitstellung der Funktionen von taktjam (Hosting, Speicherung, Anzeige, Übermittlung, Löschung) auf dokumentierte Weisung der Verantwortlichen. Einzelheiten — Datenarten, Betroffene, Zwecke — sind in Anhang 1 beschrieben. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

3. Weisungsrecht

(1) Der Auftragsverarbeiter verarbeitet die Daten nur auf dokumentierte Weisung der Verantwortlichen; die Nutzung der Anwendungsfunktionen gilt als Weisung. Ergänzende Weisungen erfolgen in Textform an datenschutz@clubjam.co. (2) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er die Verantwortliche unverzüglich und darf die Ausführung bis zur Bestätigung aussetzen.

4. Vertraulichkeit

Der Auftragsverarbeiter setzt nur Personen ein, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen (TOMs) und entwickelt diese entsprechend dem Stand der Technik weiter; das Schutzniveau darf dabei nicht unterschritten werden.

6. Subunternehmer (Art. 28 Abs. 2 und 4 DSGVO)

(1) Die Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz der in Anhang 3 gelisteten Subunternehmer. (2) Beabsichtigte Änderungen (Hinzufügen/Ersetzen) werden mindestens vier Wochen vorab per E-Mail bzw. in der Anwendung angekündigt; die Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Im Fall des Widerspruchs steht beiden Parteien ein Kündigungsrecht des Hauptvertrags zum Ende der laufenden Periode zu. (3) Mit jedem Subunternehmer bestehen Verträge, die den Anforderungen des Art. 28 DSGVO entsprechen. Bei Übermittlungen in Drittländer werden geeignete Garantien gemäß Kapitel V DSGVO eingesetzt (EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln); die Datenhaltung erfolgt in den in Anhang 3 genannten EU-Regionen.

7. Unterstützungspflichten

(1) Betroffenenrechte: Der Auftragsverarbeiter unterstützt die Verantwortliche bei der Erfüllung der Rechte aus Kapitel III DSGVO durch die eingebauten Selbstbedienungsfunktionen (vollständiger Datenexport, Berichtigung in der Anwendung, Löschung einzelner Datensätze und des gesamten Kontos) sowie ergänzend auf Anfrage. Anfragen Betroffener, die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich an die Verantwortliche weitergeleitet. (2) Art. 32–36 DSGVO: Der Auftragsverarbeiter unterstützt bei Sicherheitsmaßnahmen, der Meldung von Verletzungen des Schutzes personenbezogener Daten und erforderlichenfalls bei Datenschutz-Folgenabschätzungen. (3) Data Breach: Verletzungen des Schutzes der im Auftrag verarbeiteten Daten werden der Verantwortlichen unverzüglich, spätestens binnen 48 Stunden nach Kenntnis, mit den Informationen gemäß Art. 33 Abs. 3 DSGVO gemeldet.

8. Nachweise und Kontrollen

(1) Der Auftragsverarbeiter stellt alle zum Nachweis der Einhaltung des Art. 28 DSGVO erforderlichen Informationen zur Verfügung (insbesondere diesen AVV, die TOMs und Zertifizierungs-/Auditberichte der Subunternehmer, z. B. SOC 2 von Supabase). (2) Weitergehende Kontrollen einschließlich Inspektionen sind nach vorheriger Ankündigung von mindestens 14 Tagen während der Geschäftszeiten möglich; sie dürfen den Betrieb nicht unverhältnismäßig stören und die Vertraulichkeit anderer Kund:innen nicht gefährden.

9. Löschung und Rückgabe

(1) Während der Laufzeit kann die Verantwortliche Daten jederzeit selbst berichtigen, exportieren und löschen. (2) Nach Beendigung des Hauptvertrags werden alle im Auftrag verarbeiteten Daten 30 Tage nach Vertragsende gelöscht (inklusive Speicherinhalte wie Audio-, Bild- und PDF-Dateien), sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Der vorherige Export obliegt der Verantwortlichen; die Exportfunktionen stehen bis zur Löschung zur Verfügung. (3) Backups der Subunternehmer rotieren automatisch innerhalb von längstens 35 Tagen aus.

10. Schlussbestimmungen

(1) Dauer und Beendigung folgen dem Hauptvertrag. (2) Die Haftung richtet sich nach dem Hauptvertrag (AGB § 10) und Art. 82 DSGVO. (3) Es gilt österreichisches Recht; Gerichtsstand ist der Sitz des Auftragsverarbeiters. (4) Bei Widersprüchen zwischen diesem AVV und den AGB geht dieser AVV in datenschutzrechtlichen Fragen vor.

Anhang 1 — Gegenstand der Verarbeitung

Kategorien betroffener Personen

Schüler:innen der Verantwortlichen (auch Minderjährige), deren Erziehungsberechtigte.

Datenarten

Stammdaten (Name, optional Geburtsdatum, Instrument), Kontaktdaten (E-Mail, Telefon, auch der Erziehungsberechtigten), Unterrichtsdaten (Termine, Anwesenheits-/Absagestatus, Nachholstunden-Gutschriften, Unterrichtsnotizen, Hausübungen), Nachrichten zwischen Lehrkraft und Schüler:in/Eltern, Unterrichtsmaterialien und Aufnahmen einschließlich Profilfotos (Audio, Bild, Video, PDF — nur bei dokumentierter Einwilligung), Abrechnungsdaten der Schüler:innen (Tarife, Rechnungsbeträge, Zahlstatus), technische Portal-Zugriffsdaten (Anmeldeversuchs-Zähler). Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand des Auftrags; die Verantwortliche trägt dafür Sorge, solche Daten nicht einzugeben.

Zwecke

Unterrichtsverwaltung, Terminplanung, Abrechnung, Kommunikation, Bereitstellung des Übungsbereichs sowie — nur bei aktivierter Funktion — KI-gestützte Entwürfe (Anhang 3, Mistral AI; übermittelt werden ausschließlich Vorname, Instrument und Notiz-/Hausübungsauszüge).

Anhang 2 — Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselung: Transportverschlüsselung (TLS 1.2+) für sämtliche Verbindungen; Verschlüsselung ruhender Daten (AES-256) bei Datenbank und Dateispeicher. Mandantentrennung: durchgängige Row-Level-Security — jede Datenzeile ist an das Konto der Verantwortlichen gebunden und für andere Konten technisch unzugänglich. Zugriffskontrolle: Zugriff nur nach Authentifizierung; privilegierte Systemzugriffe (Service-Role) ausschließlich serverseitig, niemals im Client; der Übungsbereich ist durch teacher-verwaltete Passwörter (scrypt-gehasht, timing-sicher verifiziert), signierte HMAC-Sitzungscookies (httpOnly, 30 Tage) und Ratenbegrenzung (max. 20 Anmeldeversuche/Tag) geschützt. Weitergabekontrolle: Dateien werden nur über kurzlebige signierte URLs (60 Minuten) ausgeliefert; Aufnahmen werden im Übungsbereich nur bei hinterlegter Einwilligung angezeigt und niemals als E-Mail-Anhang versendet. Eingabekontrolle: Statusänderungen mit Zeitstempeln und Systemnotizen (z. B. Nachholstunden-Audit-Trail); Nachrichten unveränderlich. Verfügbarkeit: tägliche automatisierte Backups der Datenbank durch den Hosting-Subunternehmer; jederzeitige Selbstbedienungs-Exporte (JSON/CSV/PDF). Löschkonzept: Selbstlöschung einzelner Datensätze und des gesamten Kontos inklusive Speicherbereinigung; Löschung 30 Tage nach Vertragsende. Datenschutzfreundliche Voreinstellungen: kein Tracking und keine Analyse-Tools im Übungsbereich; KI-Chat-Verläufe werden nicht serverseitig gespeichert; Medien-Einwilligungsverwaltung pro Schüler:in. Standort: Datenhaltung in der EU (Frankfurt am Main).

Anhang 3 — Genehmigte Subunternehmer

SubunternehmerLeistungDatenstandortTransfergarantie
Supabase, Inc. (USA)Datenbank, Authentifizierung, DateispeicherEU (Frankfurt, AWS eu-central-1)EU-US DPF / SCC
Vercel Inc. (USA)Anwendungs-HostingEU (Frankfurt, Region fra1)EU-US DPF / SCC
Plus Five Five, Inc. („Resend", USA) — optionalE-Mail-Versand von UnterrichtsnotizenEU-Region konfiguriertEU-US DPF / SCC
Mistral AI SAS (Frankreich) — optionalKI-Funktionen (keine Speicherung, kein Training)EU (Frankreich)— (EU-Anbieter)

„Optional" = wird nur eingesetzt, wenn die Verantwortliche die jeweilige Funktion aktiv nutzt (E-Mail-Versand bzw. KI-Funktionen).

clubjam FlexCo · datenschutz@clubjam.co · AGB · Datenschutzerklärung · Impressum
Hinweis: Dieser AVV beschreibt den tatsächlichen technischen Stand und wird vor dem öffentlichen Launch gemeinsam mit AGB und Datenschutzerklärung anwaltlich geprüft.