Diese Geheimhaltungsvereinbarung wird geschlossen zwischen der im Impressum genannten Gesellschaft (nachfolgend „Dienstleister“) und einer Schule, einem Schulträger, einer Bildungsbehörde oder einer vergleichbaren Einrichtung des öffentlichen Bildungswesens (nachfolgend „Bildungseinrichtung“).
Sie regelt den vertraulichen Umgang mit Informationen, die im Rahmen von Gesprächen, Abstimmungen, Tests, Workshops, technischen Prüfungen oder Projektanbahnungen offengelegt werden.
1. Zweck der Vereinbarung
Zweck dieser Vereinbarung ist der Schutz vertraulicher Informationen, die im Rahmen der Zusammenarbeit zwischen Dienstleister und Bildungseinrichtung ausgetauscht werden. Die Informationen werden ausschließlich genutzt, um eine mögliche Zusammenarbeit zu prüfen, technische Gegebenheiten zu klären oder die Umsetzung eines Projekts vorzubereiten.
Die Vereinbarung gilt unabhängig davon, ob später ein Vertrag zustande kommt.
2. Begriffsbestimmungen
Vertrauliche Informationen sind alle nicht öffentlich zugänglichen Informationen, die im Rahmen der Kommunikation weitergegeben werden. Dazu gehören technische Beschreibungen, IT-Architekturen, Schulungsunterlagen, Prozessbeschreibungen, administrative Abläufe, interne Dokumente der Schule oder des Schulträgers, IT-Systeme, Unterrichtsprozesse, KI-Modelle, organisatorische Strukturen, Preis- und Vertragsinformationen sowie sämtliche schriftlichen, elektronischen oder mündlichen Angaben, die als vertraulich anzusehen sind.
Nicht vertraulich sind Informationen, die
a) bereits öffentlich zugänglich sind,
b) der empfangenden Partei vor Offenlegung bekannt waren,
c) rechtmäßig von Dritten ohne Geheimhaltungsverpflichtung übergeben wurden,
d) von der empfangenden Partei unabhängig entwickelt wurden.
Besondere Datenkategorien im schulischen Kontext sind insbesondere:
– personenbezogene Daten von Schülerinnen und Schülern,
– personenbezogene Daten von Lehrkräften und Mitarbeitenden,
– schulrechtlich geschützte Verwaltungsdaten,
– Lernstands-, Bewertungs- und Leistungsdaten.
Die Verarbeitung dieser Daten ist ausschließlich nach gesetzlichen Vorgaben und nur im Rahmen gesonderter Vereinbarungen zulässig.
3. Ausschluss sensibler oder unzulässiger Daten
Ohne ausdrücklichen Zusatzvertrag verarbeitet der Dienstleister keine der folgenden Informationen:
– Schülerleistungsdaten, Lernstandsdaten oder personenbezogene Unterrichtsdaten,
– sozialpädagogische, psychologische oder sonderpädagogische Daten,
– Ordnungsmaßnahmen, disziplinarische Vorgänge oder konfliktbezogene Dokumente,
– Daten aus internen Ermittlungen oder Verdachtsfällen,
– Daten mit besonderem Schutz nach Landesdatenschutzrecht.
Ebenso ausgeschlossen ist jede Form der Verarbeitung von klassifizierten Informationen oder Verschlusssachen.
Die Bildungseinrichtung stellt sicher, dass keine der oben genannten Daten ohne gesonderte rechtliche Grundlage übermittelt werden.
4. Pflichten der empfangenden Partei
Beide Parteien verpflichten sich, vertrauliche Informationen streng vertraulich zu behandeln und diese nur zu dem festgelegten Zweck zu verwenden.
Die empfangende Partei trifft angemessene technische und organisatorische Maßnahmen, um die Informationen vor unbefugtem Zugriff zu schützen. Dazu gehören sichere Passwörter, eingeschränkte Nutzerkreise und geschützte Speichersysteme.
Vertrauliche Informationen dürfen nur solchen Personen zugänglich sein, die diese zwingend benötigen und die zur Vertraulichkeit verpflichtet sind.
5. Besondere Pflichten des Dienstleisters
Der Dienstleister verpflichtet sich zudem:
- technische und organisatorische Maßnahmen entsprechend BSI-Grundschutz oder vergleichbaren Standards einzuhalten,
- vertrauliche Daten ausschließlich innerhalb der Europäischen Union zu verarbeiten,
- Daten nur über verschlüsselte und sichere Verbindungen auszutauschen,
- nur solches Personal einzusetzen, das auf Vertraulichkeit verpflichtet wurde,
- vertrauliche Informationen nicht an Dritte weiterzugeben, sofern dies nicht ausdrücklich vereinbart wurde.
Wenn Subunternehmer oder externe Fachkräfte eingebunden werden, ist deren Verpflichtung zur Vertraulichkeit sicherzustellen. Die Einbindung solcher Dritten bedarf der vorherigen Zustimmung der Bildungseinrichtung.
6. Verarbeitung personenbezogener Daten
Sollte die Zusammenarbeit die Verarbeitung personenbezogener Daten von Schülerinnen, Schülern, Lehrkräften oder sonstigen Personen erfordern, erfolgt dies ausschließlich:
– nach den geltenden Landesdatenschutzgesetzen,
– im Rahmen eines gesonderten Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO,
– zweckgebunden und unter Einhaltung pädagogischer Schutzstandards,
– nach vorheriger Prüfung der rechtlichen Zulässigkeit durch die Bildungseinrichtung.
Ohne einen solchen Vertrag werden keine personenbezogenen Daten verarbeitet.
7. Besondere Anforderungen im schulischen Umfeld
Die Parteien erkennen an, dass Schulen und Schulträger besonderen rechtlichen, organisatorischen und pädagogischen Rahmenbedingungen unterliegen.
Vertrauliche Informationen im schulischen Kontext sind oft besonders schützenswert, da sie Bezug zu Minderjährigen haben können.
Die Vereinbarung darf nicht dazu führen, schulrechtlich vorgeschriebene Auskunfts-, Dokumentations- oder Archivierungspflichten einzuschränken.
8. Offenlegungsverpflichtungen der Bildungseinrichtung
Bildungseinrichtungen können durch schulrechtliche Regelungen, Aufsichtsbehörden, kommunale Vorgaben oder Prüfstellen zur Offenlegung bestimmter Informationen verpflichtet sein.
Sofern eine Offenlegung vertraulicher Informationen rechtlich erforderlich wird, informiert die Bildungseinrichtung den Dienstleister – soweit zulässig – vorab über Art und Umfang der Herausgabe.
9. Laufzeit der Geheimhaltung
Die Verpflichtung zur Geheimhaltung beginnt mit dem ersten Austausch vertraulicher Informationen und gilt für mindestens fünf Jahre über das Ende der Zusammenarbeit hinaus, sofern keine längere Frist gesetzlich vorgeschrieben ist.
10. Rückgabe und Löschung
Auf Anforderung der offenlegenden Partei sind vertrauliche Unterlagen vollständig zurückzugeben oder sicher zu löschen.
Wenn gesetzliche Aufbewahrungsfristen bestehen, werden die Unterlagen während dieser Fristen vertraulich behandelt und anschließend gelöscht.
11. Haftung
Die Parteien haften jeweils im Rahmen der gesetzlichen Bestimmungen.
Der Dienstleister haftet nicht für Schäden, die entstehen, weil die Bildungseinrichtung entgegen Abschnitt 3 unzulässige oder besonders geschützte Daten übermittelt hat.
12. Kein Anspruch auf Vertragsabschluss
Diese Vereinbarung verpflichtet nicht zum Abschluss eines Liefer-, Dienst- oder Projektvertrags. Sie dient ausschließlich der vertraulichen Behandlung ausgetauschter Informationen.
13. Schlussbestimmungen
Sollte eine Bestimmung unwirksam sein, bleiben die übrigen Bestimmungen davon unberührt. Es gilt das Recht der Bundesrepublik Deutschland.
Gerichtsstand ist – soweit rechtlich zulässig – der Sitz des Dienstleisters.
