LösungenDemoPreiseReferenzenFallstudienBlogMicrosoft 365DigitalpaktFAQPartnerÜber mindryKontakt
Mindry KIDS öffnen →Mindry Primary öffnen →Mindry School öffnen →

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO · Stand: April 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch die Hesselmann Beratung UG (haftungsbeschränkt) als Auftragsverarbeiter im Auftrag des jeweiligen Kunden (nachfolgend „Verantwortlicher") im Rahmen der Nutzung der Softwarelösungen Mindry EDU und Mindry KIDS.

Der AVV ist Bestandteil des Nutzungsvertrags zwischen dem Verantwortlichen und der Hesselmann Beratung UG und ergänzt diesen in datenschutzrechtlicher Hinsicht.

1. Vertragsparteien

Auftragsverarbeiter:
Hesselmann Beratung UG (haftungsbeschränkt)
Schloßstraße 184, 46535 Dinslaken
Registergericht: Amtsgericht Duisburg, HRB 32806
E-Mail: hallo@hesselmann-service.de

Verantwortlicher:
Der jeweilige Kunde (Schule, Kita, Krippe, Hort oder Träger), der die Softwarelösung Mindry EDU oder Mindry KIDS nutzt und mit dem ein Nutzungsvertrag besteht.

2. Gegenstand und Dauer der Verarbeitung

Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der Softwarelösungen Mindry EDU (Schulverwaltung) und Mindry KIDS (Kitaverwaltung) einschließlich der dazugehörigen Infrastruktur und Support-Leistungen.

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrags. Nach dessen Beendigung werden die personenbezogenen Daten gemäß Ziffer 10 dieses AVV gelöscht oder zurückgegeben.

3. Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten dient folgenden Zwecken:

  • Bereitstellung, Betrieb und Weiterentwicklung der Softwarelösung
  • Speicherung und Verwaltung der vom Verantwortlichen eingegebenen Daten
  • Technischer Support und Fehlerbehebung
  • Sicherstellung der Datensicherheit und Systemstabilität

Eine Verarbeitung zu anderen als den genannten Zwecken findet nicht statt.

4. Art der personenbezogenen Daten

Je nach genutzter Softwarelösung werden folgende Kategorien personenbezogener Daten verarbeitet:

Mindry EDU (Schulverwaltung):

  • Stammdaten von Schüler:innen (Name, Geburtsdatum, Adresse, Klasse)
  • Kontaktdaten von Erziehungsberechtigten
  • Noten und schulische Leistungsdaten
  • Anwesenheits- und Absenzdaten
  • Kommunikationsdaten (Nachrichten, Mitteilungen)
  • Stammdaten von Lehrkräften und Schulpersonal

Mindry KIDS (Kitaverwaltung):

  • Stammdaten von Kindern (Name, Geburtsdatum, Betreuungszeiten)
  • Kontakt- und Bankdaten von Erziehungsberechtigten (für SEPA-Abrechnung)
  • Entwicklungsdokumentationen und Tagesberichte
  • Kommunikationsdaten (Nachrichten, Krankmeldungen)
  • Stammdaten von Erzieher:innen und Einrichtungspersonal
  • Dienstplan- und Arbeitszeit-Daten

5. Kategorien betroffener Personen

  • Minderjährige (Schüler:innen, Kinder in Betreuungseinrichtungen)
  • Erziehungsberechtigte und Sorgeberechtigte
  • Lehrkräfte, Erzieher:innen und sonstiges pädagogisches Personal
  • Verwaltungsmitarbeitende der Einrichtung

6. Pflichten des Auftragsverarbeiters

Die Hesselmann Beratung UG verpflichtet sich:

  • Personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
  • Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind
  • Alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe Ziffer 8)
  • Die Bedingungen für die Hinzuziehung von Unterauftragsverarbeitern einzuhalten (siehe Ziffer 7)
  • Den Verantwortlichen bei der Wahrnehmung der Rechte betroffener Personen zu unterstützen
  • Den Verantwortlichen bei der Erfüllung von Pflichten gemäß Art. 32–36 DSGVO zu unterstützen
  • Alle Informationen bereitzustellen, die zur Nachweisführung der Einhaltung dieses AVV erforderlich sind
  • Den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzvorschriften verstößt

7. Unterauftragsverarbeiter

Die Hesselmann Beratung UG setzt folgende Unterauftragsverarbeiter ein:

DienstleisterZweckStandort
Mittwald CM Service GmbH & Co. KGServer-Hosting (Anwendungsdaten)Deutschland 🇩🇪
Vercel Inc.Hosting der Marketing-Website (mindry.de)USA (EU-US DPF zertifiziert)

Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung zur Hinzuziehung weiterer Unterauftragsverarbeiter. Die Hesselmann Beratung UG informiert den Verantwortlichen über beabsichtigte Änderungen und gibt ihm die Möglichkeit, Einwände zu erheben.

8. Technisch-organisatorische Maßnahmen (TOMs)

Die Hesselmann Beratung UG hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen:

Vertraulichkeit:

  • Verschlüsselte Übertragung aller Daten via TLS (HTTPS)
  • Verschlüsselung sensibler Datenbankfelder (AES-256-GCM)
  • Rollenbasiertes Zugriffskonzept (RBAC) mit Prinzip der minimalen Rechtevergabe
  • Zwei-Faktor-Authentifizierung für Administrations-Zugänge

Integrität:

  • Audit-Logs für datenschutzrelevante Aktionen
  • Regelmäßige Integritätsprüfungen der Datenbank

Verfügbarkeit:

  • Tägliche automatisierte Backups auf ISO-27001-zertifizierter Infrastruktur
  • Redundante Datenhaltung beim Hosting-Dienstleister Mittwald

Belastbarkeit:

  • Monitoring und automatische Alarmierung bei Systemausfällen
  • Incident-Response-Prozess für Datenschutzvorfälle

9. Rechte des Verantwortlichen

Der Verantwortliche hat das Recht:

  • Weisungen bezüglich der Datenverarbeitung zu erteilen
  • Kontrollen und Audits durchzuführen oder durch beauftragte Dritte durchführen zu lassen, mit angemessener Voranmeldung (mindestens 5 Werktage)
  • Informationen über die ergriffenen Maßnahmen und deren Dokumentation anzufordern
  • Die unverzügliche Unterstützung bei der Bearbeitung von Betroffenenanfragen zu verlangen

10. Löschung und Rückgabe von Daten

Nach Beendigung des Nutzungsvertrags löscht die Hesselmann Beratung UG alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Auf Wunsch des Verantwortlichen können die Daten vor der Löschung in einem gängigen Format exportiert werden. Die Hesselmann Beratung UG bestätigt die vollständige Löschung auf Anfrage schriftlich.

11. Datenpannen und Meldepflichten

Die Hesselmann Beratung UG informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO). Die Meldung enthält:

  • Art der Verletzung und betroffene Datenkategorien
  • Ungefähre Anzahl betroffener Datensätze und Personen
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene und geplante Maßnahmen zur Behebung

12. Kontakt und Anfragen

Für Fragen zu diesem AVV, zur Ausübung von Betroffenenrechten oder zur Beantragung eines individuell unterzeichneten AVV wenden Sie sich bitte an:

Hesselmann Beratung UG (haftungsbeschränkt)
Schloßstraße 184, 46535 Dinslaken
E-Mail: hallo@hesselmann-service.de

Ein individuell unterzeichnetes Exemplar dieses AVV wird Kunden auf Anfrage kostenfrei zur Verfügung gestellt.

Bitte lesen und bestätigen Sie den AVV, um das unterzeichnete Exemplar anzufordern.

← Zurück zur Startseite · Datenschutzerklärung · Impressum