Für Kitas, Kindergärten und Träger: der vollständige Liedio-AVV im Text-Preview, plus PDF-Download auf Anfrage. Anschlussfähig an DSG-EKD (evangelisch) und KDG (katholisch).
Zuletzt aktualisiert: 5. Mai 2026 · Stand: Stage-1-Vorabversion (Wasserzeichen) · Stage 2 nach DSB-Approval
Hinweis zur Stage-1-Version
Die als PDF herunterladbare Vorabversion trägt das Wasserzeichen „Muster — Vorab-Prüfung — nicht rechtsverbindlich“ und ist gedacht zur internen Prüfung durch Datenschutzbeauftragte oder Träger-Verwaltung. Die rechtsverbindliche Stage-2-Fassung ohne Wasserzeichen geben wir nach abgeschlossener DSB-Review per E-Mail in personalisierter Form heraus.
Der Auftragsverarbeitungs-Vertrag (AVV) nach Art. 28 DSGVO regelt das Verhältnis zwischen Verantwortlichem (Kita/Träger) und Auftragsverarbeiter (Liedio), wenn personenbezogene Daten im Auftrag verarbeitet werden. Wenn eine Kita Vornamen oder Anlässe an Liedio übermittelt, liegt regelmäßig eine Auftragsverarbeitung vor und ein AVV ist dann erforderlich. Die finale rechtliche Einordnung trifft der jeweilige Träger oder Datenschutzbeauftragte. Liedio stellt eine Muster-AVV-Vorlage mit TOMs, Subprozessoren-Liste und Löschkonzept bereit.
Artikel 28 Abs. 3 DSGVO listet acht Mindestbestandteile auf, die jeder AVV abdecken muss:
Pflicht: Vorname(n), Anlass, Stimmung. Optional: Aktionen, Altersgruppe, Tempo, Familienform-Kategorie, Sonderwunsch (≤400 Zeichen, gefiltert), Aussprache-Hilfe, Story-Modus. Keine Nachnamen, Geburtsdaten, Adressen, Fotos.
30 Tage nach Lieferung, dann automatische Löschung
Google Cloud europe-west3 (Frankfurt am Main)
Google Cloud (EU), Anthropic, Suno, Cloudflare — alle mit SCCs dokumentiert. Live-Liste auf /sicherheit/subprozessoren.
TLS 1.3, AES-256 at-rest, MFA, 14-Tage-Log-Retention, jährliche Schulung
Audit-Rechte, Berichtspflichten bei Datenschutzvorfällen binnen 48h, Dokumentation auf Anfrage
Vereinfachte Vorschau-Version. Die rechtsgültige Fassung mit Anlagen erhalten Sie auf Anfrage als PDF.
Der Auftragsverarbeiter (Liedio, Kristan, Enzianstr. 3, 86343 Königsbrunn) verarbeitet im Auftrag des Verantwortlichen (Kita/Träger) personenbezogene Daten zur Erstellung personalisierter Kinderlieder. Die Vertragsdauer entspricht der Vertragslaufzeit des Hauptvertrages, mindestens 12 Monate ab Vertragsbeginn.
Pflichtfelder: Vorname(n) der Kinder, Anlass (z. B. Morgenkreis, Eingewöhnung, Abschied), Stimmungsauswahl der auftraggebenden Fachkraft. Optionale Felder (vom Auftraggeber frei wählbar): Aktionen im Lied, Altersgruppe und Tempo, Familienform als Kategorie (z. B. Mama/Papa, Oma/Opa — ohne Klarnamen der Bezugspersonen), freier Sonderwunsch (max. 400 Zeichen, programmatisch gefiltert auf URLs, HTML und Kontaktdaten), Aussprache-Hilfe für ungewöhnliche Namen (max. 60 Zeichen) und Story-Modus mit Heldenfigur und optionaler Lern-Botschaft. Zweck aller Eingaben ist ausschließlich die Lied-Erstellung. Keine anderweitige Nutzung. Keine Verarbeitung von Nachnamen, Geburtsdaten, Adressen, Fotos oder Gesundheitsdaten.
Der Auftragsverarbeiter handelt ausschließlich auf dokumentierte Weisung des Verantwortlichen. Abweichende Verarbeitungen ohne ausdrückliche Freigabe sind ausgeschlossen.
Alle am Auftragsverarbeiter beschäftigten Personen sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO) und auf das Datengeheimnis nach BDSG hingewiesen.
Der Auftragsverarbeiter verpflichtet sich zu folgenden TOMs: TLS 1.3 in transit, AES-256 at rest, MFA für alle Admin-Zugänge, 14-Tage-Log-Retention, jährliche Schulung aller Mitarbeitenden, dokumentierter Incident-Response-Prozess mit Meldung binnen 48 Stunden. Details Anlage TOMs.
Der Auftragsverarbeiter nutzt folgende Subprozessoren mit SCCs: Google Cloud EMEA Limited (EU/Belgien, Hosting + Datenbank), Anthropic PBC (USA, Liedtext-LLM), Suno Inc. (USA, Audio-Generierung), Cloudflare Inc. (Global, Turnstile-CAPTCHA). Die stets aktuelle Liste mit Detail-Tabelle und Schema-Markup ist auf liedio.de/sicherheit/subprozessoren öffentlich einsehbar. Änderungen werden 30 Tage vorher angekündigt. Widerspruchsrecht des Verantwortlichen innerhalb von 14 Tagen.
Liedio unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) durch Bereitstellung relevanter Daten binnen 5 Werktagen nach Anfrage.
Bei einer Verletzung des Schutzes personenbezogener Daten erfolgt eine Meldung an den Verantwortlichen unverzüglich, spätestens binnen 48 Stunden nach Feststellung.
Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags zu kontrollieren — durch schriftliche Anfrage, Dokumenteneinsicht oder (mit 14 Tagen Vorlauf) durch Vor-Ort-Kontrolle. Kosten trägt der Verantwortliche bei eigens angeforderter Vor-Ort-Kontrolle.
Nach Ende der Vertragslaufzeit löscht der Auftragsverarbeiter alle personenbezogenen Daten binnen 30 Tagen. Auf Wunsch des Verantwortlichen werden Daten zuvor in einem maschinenlesbaren Format zur Verfügung gestellt.
Änderungen dieses AVV bedürfen der Schriftform. Es gilt deutsches Recht. Gerichtsstand ist Königsbrunn, Bayern.
Dies ist eine vereinfachte Vorschau-Version. Die rechtsgültige AVV-Vorlage mit vollständigen Anlagen (TOMs, Subprozessoren-Liste, Meldeformular) wird auf Anfrage als PDF zur Verfügung gestellt und vor Vertragsabschluss beidseitig unterschrieben.
8 Seiten, auf Anfrage
Aktualisierte Live-Version, immer abrufbar unter /sicherheit
1 Seite, auf Anfrage
Eine aktuelle Subprozessoren-Übersicht finden Sie jederzeit auf der Seite Sicherheit.
Wenn eine Kita personenbezogene Daten (auch nur Vornamen) an einen externen Dienstleister wie Liedio übermittelt, liegt regelmäßig eine Auftragsverarbeitung nach Art. 28 DSGVO vor. In diesen Fällen ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich, der schriftlich regelt, was wer wie verarbeiten darf. Die finale rechtliche Einordnung trifft der Träger oder Datenschutzbeauftragte. Liedio liefert einen ausgereiften Muster-AVV inklusive TOMs (technische und organisatorische Maßnahmen) und Subprocessor-Liste als Vorlage für genau diese Prüfung.
Die Stage-1-Vorabversion kann direkt als PDF heruntergeladen werden — siehe Download-Button auf dieser Seite. Sie enthält alle Kern-Elemente und ist deutlich als Muster zur Vorab-Prüfung gekennzeichnet (Wasserzeichen). Die rechtsverbindliche Stage-2-Fassung stellen wir nach DSB-Approval und gegebenenfalls individueller Anpassung per E-Mail bereit.
Ja. Unsere Vorlage ist bereits an DSG-EKD (evangelische Landeskirchen) und KDG (katholische Bistümer) anschlussfähig. Weitere Anpassungen werden im Einzelfall vereinbart.
Regulär die Kita-Leitung mit Vollmacht des Trägers. Bei Träger-Rahmenverträgen unterzeichnet die Träger-Verwaltung zentral für alle angeschlossenen Einrichtungen.
Ja. Der AVV wird vor Vertragsbeginn unterzeichnet und gilt ab dem Tag der ersten Datenverarbeitung durch Liedio. Rückwirkende Legalisierung ist bei DSGVO grundsätzlich nicht möglich — daher immer vor der ersten Datenverarbeitung abschließen.
Nichts. Der AVV ist Bestandteil jedes Kita-Einzelpakets, Jahresabos und Träger-Rahmenvertrags — ohne separate Kosten.
Weitere Anlässe entdecken
Stage-1-Muster sofort als PDF — oder die individualisierte Stage-2-Fassung nach DSB-Approval per E-Mail.
