Auftragsverarbeitung (AVV) & TOMs für TLH-Team
Wenn Ihre Schule TLH-Team nutzt, verarbeiten wir personenbezogene Daten in Ihrem Auftrag. Grundlage dafür ist unsere Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO.
Vereinbarung zur Auftragsverarbeitung (PDF)
Vollständige AVV inklusive aller technischen und organisatorischen Maßnahmen – zum Download für Ihre Datenschutz-Unterlagen. Stand: 15.04.2026.
Das Wichtigste in Kürze
Verantwortlicher ist Ihre Schule bzw. Institution; wir verarbeiten ausschließlich in Ihrem Auftrag und nach Ihrer Weisung – nie für eigene Zwecke.
Speicherort ist die Microsoft-Azure-Region Germany West Central (Frankfurt am Main) – verschlüsselt und geo-redundant. Einziger Unterauftragsverarbeiter ist Microsoft (Data Protection Addendum liegt vor).
Bei einer Datenschutzverletzung informieren wir Sie unverzüglich, spätestens innerhalb von 24 Stunden, und unterstützen Sie bei den Meldepflichten nach Art. 33 und 34 DSGVO.
Nach Vertragsende erhalten Sie auf Wunsch alle Daten als verschlüsseltes ZIP-Archiv (CSV). Die Daten werden noch 365 Tage aufbewahrt und anschließend unwiderruflich gelöscht.
Technische und organisatorische Maßnahmen (TOMs)
Die folgenden Maßnahmen nach Art. 32 DSGVO sind Bestandteil der AVV – hier in lesbarer Kurzfassung, vollständig und verbindlich im PDF.
Verschlüsselung
- Sämtliche Daten werden bereits im Browser (clientseitig) mit AES-256 verschlüsselt, bevor sie übertragen werden.
- Personenbezogene Daten sind zusätzlich Ende-zu-Ende-verschlüsselt – mit Elliptic Curve Cryptography auf Basis der vom BSI empfohlenen Kurve brainpoolP512r1.
- Jegliche Übertragung erfolgt ausschließlich über HTTPS; ruhende Daten sind in Azure Storage zusätzlich auf Speicherebene AES-verschlüsselt.
Authentifizierung und Schlüsselverwaltung
- Ihr Passwort verlässt zu keinem Zeitpunkt Ihren Browser – an den Server wird ausschließlich eine kryptografische Ableitung (PBKDF2) übermittelt.
- Bei der Kontoerstellung wird ein ECC-Schlüsselpaar erzeugt; der private Schlüssel wird vor der Speicherung mit einer weiteren, nie übertragenen Passwort-Ableitung verschlüsselt.
- Die eigentlichen Daten werden mit einem zufällig erzeugten Schlüssel je Schule verschlüsselt; die Anmeldung wird über ein per HMAC-SHA-256 verifiziertes Token abgesichert.
Infrastruktur und Verfügbarkeit
- Datenspeicherung in der Microsoft-Azure-Region Germany West Central (Frankfurt am Main) mit geo-redundanter Replikation (RA-GRS); das Backend läuft in derselben Region.
- Die Anwendung selbst läuft als WebAssembly vollständig im Browser – eine serverseitige Verarbeitung personenbezogener Daten durch das Frontend findet nicht statt.
- Zusätzlich zur Azure-Redundanz wird alle 12 Stunden ein vollständiges Backup aller Daten angelegt.
Protokollierung
- Zur Fehleranalyse ist Application Insights aktiv; IP-Adressen werden dabei anonymisiert (als 0.0.0.0) gespeichert.
Organisatorische Maßnahmen
- Der Zugang zu Verwaltungskonten und Systemen ist ausschließlich dem Inhaber vorbehalten.
- Die Arbeitsumgebung befindet sich in einem nicht öffentlich zugänglichen Büro.
- Support-Zugriffe (z.B. Fernwartung oder ein Benutzerkonto zur Fehleranalyse) erfolgen ausschließlich auf Veranlassung Ihrer Schule und unter Ihrer Kontrolle.
Fragen zur AVV oder zu den TOMs? Sprechen Sie uns gern an.