Auftragsverarbeitungsvertrag
Gemäß Art. 28 Abs. 3 S. 1 DSGVO für die Kompetenzerfassungssoftware ValCom®
AVV als PDF herunterladenVertragsparteien
Auftragnehmer
oneclick Learning GmbH
Am Botten 7, 53179 Bonn
vertreten durch Roman Sauter
Auftraggeber
Der jeweilige Vertragspartner des Hauptvertrages
Anlagen: Anhang 1 „Technische und organisatorische Maßnahmen", Anhang 2 „Unterauftragsverhältnisse"
§1 Gegenstand, Datenkategorien und Zweck der Verarbeitung
Art der Daten
- Bestandsdaten (Vor- und Nachname)
- Kontaktdaten (E-Mail-Adresse)
- Nutzungsdaten (Daten der Erfassung und Auswertung)
- Nutzerspezifische, durch den Auftraggeber definierte Felder (z. B. demographische Daten)
Besondere Kategorien von Daten (Art. 9 Abs. 1 DSGVO) werden grundsätzlich nicht verarbeitet, es sei denn, der Auftraggeber konfiguriert entsprechende Erfassungsfelder.
Kategorien der Betroffenen
Mitarbeitende, Führungskräfte und weitere vom Auftraggeber bestimmte Personen.
Zweck der Verarbeitung
Die ValCom® Software erfasst und bewertet Kompetenzen und Werte von Einzelpersonen, Teams und anderen Gruppen auf der Grundlage der vom Auftraggeber angepassten Werte- und Kompetenzmodelle.
Einsatz von KI-gestützten Funktionen
Die ValCom® Software nutzt KI zur Erstellung von Jobprofilen und zur Auswertung von Kompetenzerfassungen. An die KI-Schnittstelle werden keine personenbezogenen Daten übermittelt; es werden ausschließlich sachbezogene Informationen verarbeitet. Nutzerdaten werden nicht für das Training von KI-Modellen verwendet.
§2 Weisungsrecht
1. Der Auftraggeber ist als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich.
2. Der Auftragnehmer verarbeitet Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers, es sei denn, er ist durch geltendes Recht dazu verpflichtet.
3. Der Auftraggeber kann jederzeit ergänzende Weisungen zur Datenverarbeitung erteilen.
4. Verstößt eine Weisung nach Ansicht des Auftragnehmers gegen geltendes Datenschutzrecht, weist er den Auftraggeber unverzüglich darauf hin und ist berechtigt, die Ausführung auszusetzen.
§3 Sicherheitsmaßnahmen
1. Der Auftragnehmer trifft technische und organisatorische Maßnahmen (TOMs) zur Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten (Art. 32 DSGVO). Die Maßnahmen sind in Anhang 1 beschrieben.
2. Die TOMs dürfen dem technischen Fortschritt angepasst werden, sofern das Sicherheitsniveau nicht unterschritten wird.
3. Der Auftragnehmer stellt sicher, dass zur Verarbeitung befugte Personen auf Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 S. 2 lit. b DSGVO).
§4 Informations- und Mitwirkungspflichten
1. Betroffenenrechte sind gegenüber dem Auftraggeber wahrzunehmen. Der Auftragnehmer unterstützt den Auftraggeber hierbei und informiert ihn über eingehende Anfragen (Art. 28 Abs. 3 S. 2 lit. e DSGVO).
2. Stellt der Auftragnehmer eine Verletzung des Schutzes personenbezogener Daten fest, informiert er den Auftraggeber unverzüglich und ergreift erforderliche Schutzmaßnahmen (Art. 33 und 34 DSGVO).
3. Der Auftragnehmer informiert den Auftraggeber über Tätigkeiten von Aufsichtsbehörden, die die verarbeiteten Daten betreffen können.
4. Der Auftragnehmer stellt dem Auftraggeber für die Erfüllung gesetzlicher Pflichten notwendige Informationen zur Verfügung (inkl. Rechenschaftspflichten gem. Art. 5 Abs. 2 DSGVO).
§5 Kontrollbefugnisse
1. Der Auftraggeber hat das Recht, die Einhaltung dieses AV-Vertrages im erforderlichen Umfang zu kontrollieren (Art. 28 Abs. 3 lit. h DSGVO).
2. Vor-Ort-Kontrollen sind mit mindestens 14 Tagen Vorlauf anzumelden.
3. Der Auftragnehmer darf alternativ auf gleichwertige Nachweise verweisen (z. B. Zertifizierungen, Audits durch unabhängige Dritte).
§6 Unterauftragsverhältnisse
1. Der Auftragnehmer darf Unterauftragsverarbeiter einsetzen und erlegt diesen dieselben Datenschutzpflichten auf (Art. 28 Abs. 2 u. 4 DSGVO).
2. Die bestehenden Unterauftragsverhältnisse sind in Anhang 2 aufgeführt und gelten als genehmigt.
3. Der Auftragnehmer informiert den Auftraggeber über Änderungen bei den Unterauftragsverarbeitern. Der Auftraggeber kann unter Beachtung von Treu und Glauben Einspruch erheben.
§7 Verarbeitung in Drittländern
1. Die Datenverarbeitung findet ausschließlich innerhalb der EU/EWR statt.
2. Eine Verarbeitung in Drittländern bedarf der vorherigen Zustimmung des Auftraggebers und der Erfüllung der Voraussetzungen gem. Art. 44 ff. DSGVO.
§8 Dauer, Vertragsbeendigung und Datenlöschung
1. Die Laufzeit richtet sich nach dem Hauptvertrag.
2. Das Recht auf außerordentliche Kündigung bleibt bei schwerwiegenden Verstößen vorbehalten.
3. Nach Vertragsende löscht oder gibt der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers zurück (Art. 28 Abs. 3 S. 2 lit. g DSGVO), sofern keine gesetzliche Aufbewahrungspflicht besteht.
§9 Haftung
1. Die Vertragsparteien haften im Innenverhältnis jeweils für Schäden, die durch eine ihnen zurechenbare Verletzung dieses AV-Vertrages oder geltender Datenschutzvorschriften entstehen.
2. Wird eine Vertragspartei von einem Betroffenen gem. Art. 82 DSGVO in Anspruch genommen, kann sie von der anderen Partei Ausgleich verlangen, soweit diese den Schaden verursacht hat.
3. Die Vertragsparteien unterstützen sich gegenseitig bei der Abwehr unberechtigter Ansprüche.
§10 Schlussbestimmungen
1. Änderungen und Ergänzungen bedürfen der Schriftform.
2. Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Bonn.
Anhang 1 — Technische und organisatorische Maßnahmen
1. Infrastruktur-Sicherheit (Verantwortung: IONOS SE)
Die ValCom® Software wird auf Servern von IONOS in Deutschland (Berlin) gehostet. IONOS verantwortet die physische und infrastrukturelle Sicherheit.
| Zertifizierung | Beschreibung |
|---|---|
| ISO/IEC 27001 | Informationssicherheits-Managementsystem (ISMS) |
| BSI C5-Testat | Cloud Computing Compliance Controls Catalog des BSI |
| IT-Grundschutz | ISO 27001 auf Basis von IT-Grundschutz (BSI) |
| ISAE 3000 | Prüfung durch anerkannte Wirtschaftsprüfer |
| ISO 50001 | Energiemanagement für alle Rechenzentren |
2. Anwendungs-Sicherheit (Verantwortung: oneclick Learning GmbH)
- Transportverschlüsselung: Alle Datenübertragungen erfolgen HTTPS-verschlüsselt (TLS)
- Passwort-Sicherheit: Kontopasswörter werden gehashed in der Datenbank gespeichert und sind für niemanden im Klartext einsehbar
- Zugriffsrechte: Rollenbasiertes Berechtigungskonzept (Admin, Manager/Coach, Nutzer) mit minimalen Zugriffsrechten
- Mandantentrennung: Jeder Kunde erhält einen eigenen geschützten Bereich mit separater Subdomain; logische Trennung der Kundendaten
- Software-Pflege: Regelmäßige Updates und Sicherheitspatches der Anwendung
- Vertraulichkeit: Mitarbeitende haben keinen Zugriff auf Kundeninhalte, es sei denn, der Kunde erteilt ausdrücklich Erlaubnis für Support
Anhang 2 — Unterauftragsverhältnisse
| Dienstleister | Leistung | Standort | Zertifizierungen |
|---|---|---|---|
| IONOS SE | Hosting und Betrieb der Server-Infrastruktur | Deutschland (Berlin) | ISO 27001, BSI C5, IT-Grundschutz, ISAE 3000 |
| Mailjet (Sinch Germany GmbH) | Versand von System-E-Mails (Einladungen, Benachrichtigungen) | Deutschland / Belgien (EU) | ISO 27001, DSGVO-konform |
Sämtliche Datenverarbeitung findet ausschließlich innerhalb der EU statt. Mailjet wird ausschließlich für den Versand von System-E-Mails verwendet. Erfassungsdaten werden in keinem Fall über E-Mails versandt. Der Kunde hat die Möglichkeit, einen eigenen E-Mail-Server zu nutzen.
Stand: Februar 2026
Datenschutz & Datensicherheit
Erfahren Sie mehr über unsere Sicherheitsmaßnahmen, Hosting-Infrastruktur und den Umgang mit KI.
Zur Sicherheitsseite