Data Processing Agreement (DPA)
Pursuant to Art. 28 para. 3 sentence 1 GDPR for the competence assessment software ValCom®
Download DPA as PDFNote: This English page is provided for convenience only. The legally binding version is the German original below. In the event of any discrepancy, the German version prevails.
Contracting Parties
Processor
oneclick Learning GmbH
Am Botten 7, 53179 Bonn
vertreten durch Roman Sauter
Controller
Der jeweilige Vertragspartner des Hauptvertrages
Anlagen: Anhang 1 „Technische und organisatorische Maßnahmen", Anhang 2 „Unterauftragsverhältnisse"
§1Subject Matter, Data Categories and Purpose of Processing
Type of Data
- Bestandsdaten (Vor- und Nachname)
- Kontaktdaten (E-Mail-Adresse)
- Nutzungsdaten (Daten der Erfassung und Auswertung)
- Nutzerspezifische, durch den Auftraggeber definierte Felder (z. B. demographische Daten)
Besondere Kategorien von Daten (Art. 9 Abs. 1 DSGVO) werden grundsätzlich nicht verarbeitet, es sei denn, der Auftraggeber konfiguriert entsprechende Erfassungsfelder.
Categories of Data Subjects
Mitarbeitende, Führungskräfte und weitere vom Auftraggeber bestimmte Personen.
Purpose of Processing
Die ValCom® Software erfasst und bewertet Kompetenzen und Werte von Einzelpersonen, Teams und anderen Gruppen auf der Grundlage der vom Auftraggeber angepassten Werte- und Kompetenzmodelle.
Use of AI-Supported Functions
Die ValCom® Software nutzt KI zur Erstellung von Jobprofilen und zur Auswertung von Kompetenzerfassungen. An die KI-Schnittstelle werden keine personenbezogenen Daten übermittelt; es werden ausschließlich sachbezogene Informationen verarbeitet. Nutzerdaten werden nicht für das Training von KI-Modellen verwendet.
§2Right to Issue Instructions
1. Der Auftraggeber ist als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich.
2. Der Auftragnehmer verarbeitet Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers, es sei denn, er ist durch geltendes Recht dazu verpflichtet.
3. Der Auftraggeber kann jederzeit ergänzende Weisungen zur Datenverarbeitung erteilen.
4. Verstößt eine Weisung nach Ansicht des Auftragnehmers gegen geltendes Datenschutzrecht, weist er den Auftraggeber unverzüglich darauf hin und ist berechtigt, die Ausführung auszusetzen.
§3Security Measures
1. Der Auftragnehmer trifft technische und organisatorische Maßnahmen (TOMs) zur Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten (Art. 32 DSGVO). Die Maßnahmen sind in Anhang 1 beschrieben.
2. Die TOMs dürfen dem technischen Fortschritt angepasst werden, sofern das Sicherheitsniveau nicht unterschritten wird.
3. Der Auftragnehmer stellt sicher, dass zur Verarbeitung befugte Personen auf Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 S. 2 lit. b DSGVO).
§4Information and Cooperation Obligations
1. Betroffenenrechte sind gegenüber dem Auftraggeber wahrzunehmen. Der Auftragnehmer unterstützt den Auftraggeber hierbei und informiert ihn über eingehende Anfragen (Art. 28 Abs. 3 S. 2 lit. e DSGVO).
2. Stellt der Auftragnehmer eine Verletzung des Schutzes personenbezogener Daten fest, informiert er den Auftraggeber unverzüglich und ergreift erforderliche Schutzmaßnahmen (Art. 33 und 34 DSGVO).
3. Der Auftragnehmer informiert den Auftraggeber über Tätigkeiten von Aufsichtsbehörden, die die verarbeiteten Daten betreffen können.
4. Der Auftragnehmer stellt dem Auftraggeber für die Erfüllung gesetzlicher Pflichten notwendige Informationen zur Verfügung (inkl. Rechenschaftspflichten gem. Art. 5 Abs. 2 DSGVO).
§5Audit Rights
1. Der Auftraggeber hat das Recht, die Einhaltung dieses AV-Vertrages im erforderlichen Umfang zu kontrollieren (Art. 28 Abs. 3 lit. h DSGVO).
2. Vor-Ort-Kontrollen sind mit mindestens 14 Tagen Vorlauf anzumelden.
3. Der Auftragnehmer darf alternativ auf gleichwertige Nachweise verweisen (z. B. Zertifizierungen, Audits durch unabhängige Dritte).
§6Sub-Processing Relationships
1. Der Auftragnehmer darf Unterauftragsverarbeiter einsetzen und erlegt diesen dieselben Datenschutzpflichten auf (Art. 28 Abs. 2 u. 4 DSGVO).
2. Die bestehenden Unterauftragsverhältnisse sind in Anhang 2 aufgeführt und gelten als genehmigt.
3. Der Auftragnehmer informiert den Auftraggeber über Änderungen bei den Unterauftragsverarbeitern. Der Auftraggeber kann unter Beachtung von Treu und Glauben Einspruch erheben.
§7Processing in Third Countries
1. Die Datenverarbeitung findet ausschließlich innerhalb der EU/EWR statt.
2. Eine Verarbeitung in Drittländern bedarf der vorherigen Zustimmung des Auftraggebers und der Erfüllung der Voraussetzungen gem. Art. 44 ff. DSGVO.
§8Term, Termination and Data Deletion
1. Die Laufzeit richtet sich nach dem Hauptvertrag.
2. Das Recht auf außerordentliche Kündigung bleibt bei schwerwiegenden Verstößen vorbehalten.
3. Nach Vertragsende löscht oder gibt der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers zurück (Art. 28 Abs. 3 S. 2 lit. g DSGVO), sofern keine gesetzliche Aufbewahrungspflicht besteht.
§9Liability
1. Die Vertragsparteien haften im Innenverhältnis jeweils für Schäden, die durch eine ihnen zurechenbare Verletzung dieses AV-Vertrages oder geltender Datenschutzvorschriften entstehen.
2. Wird eine Vertragspartei von einem Betroffenen gem. Art. 82 DSGVO in Anspruch genommen, kann sie von der anderen Partei Ausgleich verlangen, soweit diese den Schaden verursacht hat.
3. Die Vertragsparteien unterstützen sich gegenseitig bei der Abwehr unberechtigter Ansprüche.
§10Final Provisions
1. Änderungen und Ergänzungen bedürfen der Schriftform.
2. Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Bonn.
Annex 1 — Technical and Organisational Measures
1. Infrastructure Security (Responsibility: IONOS SE)
Die ValCom® Software wird auf Servern von IONOS in Deutschland (Berlin) gehostet. IONOS verantwortet die physische und infrastrukturelle Sicherheit.
| Zertifizierung | Beschreibung |
|---|---|
| ISO/IEC 27001 | Informationssicherheits-Managementsystem (ISMS) |
| BSI C5-Testat | Cloud Computing Compliance Controls Catalog des BSI |
| IT-Grundschutz | ISO 27001 auf Basis von IT-Grundschutz (BSI) |
| ISAE 3000 | Prüfung durch anerkannte Wirtschaftsprüfer |
| ISO 50001 | Energiemanagement für alle Rechenzentren |
2. Application Security (Responsibility: oneclick Learning GmbH)
- Transportverschlüsselung: Alle Datenübertragungen erfolgen HTTPS-verschlüsselt (TLS)
- Passwort-Sicherheit: Kontopasswörter werden gehashed in der Datenbank gespeichert und sind für niemanden im Klartext einsehbar
- Zugriffsrechte: Rollenbasiertes Berechtigungskonzept (Admin, Manager/Coach, Nutzer) mit minimalen Zugriffsrechten
- Mandantentrennung: Jeder Kunde erhält einen eigenen geschützten Bereich mit separater Subdomain; logische Trennung der Kundendaten
- Software-Pflege: Regelmäßige Updates und Sicherheitspatches der Anwendung
- Vertraulichkeit: Mitarbeitende haben keinen Zugriff auf Kundeninhalte, es sei denn, der Kunde erteilt ausdrücklich Erlaubnis für Support
Annex 2 — Sub-Processing Relationships
| Dienstleister | Leistung | Standort | Zertifizierungen |
|---|---|---|---|
| IONOS SE | Hosting und Betrieb der Server-Infrastruktur | Deutschland (Berlin) | ISO 27001, BSI C5, IT-Grundschutz, ISAE 3000 |
| Mailjet (Sinch Germany GmbH) | Versand von System-E-Mails (Einladungen, Benachrichtigungen) | Deutschland / Belgien (EU) | ISO 27001, DSGVO-konform |
Sämtliche Datenverarbeitung findet ausschließlich innerhalb der EU statt. Mailjet wird ausschließlich für den Versand von System-E-Mails verwendet. Erfassungsdaten werden in keinem Fall über E-Mails versandt. Der Kunde hat die Möglichkeit, einen eigenen E-Mail-Server zu nutzen.
Last updated: February 2026
Data Protection & Data Security
Learn more about our security measures, hosting infrastructure and our handling of AI.
Go to the security page