Vertrag zur Auftragsverarbeitung (AVV)
gemäß Art. 28 DSGVO
Stand: 28. April 2026
Vertragsparteien
Auftragsverarbeiter (nachfolgend „Auftragnehmer“):
Stephan Grundmeyer (Einzelunternehmer)
handelnd unter den Marken „NexDeck“ und „Kre8ive Evolution“
Kastellstr. 34
46147 Oberhausen
Deutschland
Telefon: +49 176 76704120
E-Mail: datenschutz@nexdeck.de
Verantwortlicher (nachfolgend „Auftraggeber“):
Der Kunde/Mandant, der die NexDeck-Plattform nutzt (jeweiliger Tenant). Die Identität ergibt sich aus dem Nutzungsvertrag (SaaS-Abonnement).
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „NexDeck“. Die Verarbeitung umfasst die Speicherung, Organisation, Abfrage und Übermittlung der vom Auftraggeber eingegebenen Daten.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (SaaS-Abonnement). Nach Vertragsende werden die Daten gemäß dem Löschkonzept (Anlage 3) behandelt.
(3) Art der Verarbeitung: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung, Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung (an Unterauftragnehmer gemäß Anlage 2), Abgleich, Verknüpfung, Einschränkung, Löschen.
(4) Zweck der Verarbeitung: Bereitstellung der NexDeck-Plattform einschließlich CRM, Rechnungsstellung, Projekt- und Aufgabenverwaltung, Kommunikation (E-Mail, Chat, Telefonie), KI-gestützte Belegerfassung, Sprachassistent, Dokumentenverwaltung und Berichtswesen.
(4a) Dispatch-spezifische Verarbeitungszwecke (Session 17.3):
- Kunden-Benachrichtigungen (z.B. „Auf dem Weg"-Status-E-Mail beim Einsatz-Start) via AWS SES (Frankfurt). Versand nur nach Consent des Endkunden, mit Widerrufs-Link.
- GPS-Standortverarbeitung (Workforce-Tracking) — optionale, vom Auftraggeber selbst zu aktivierende Funktion. Verarbeitung von GPS-Koordinaten (Breitengrad/Längengrad + Zeitstempel) während aktiver Einsatz-Zeiten zur Disposition, Fahrzeit-Kalkulation und Kunden-ETA-Kommunikation. Verarbeitung nur nach individueller Mitarbeiter-Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und nach rechtsverbindlicher Bestätigung der Verantwortlichen-Pflichten durch den Auftraggeber (DSFA, DSB, Betriebsratsvereinbarung, Mitarbeiter-Information).
(4b) Aktivierungsverantwortung GPS-Tracking: Die Aktivierung der GPS-Funktion erfolgt ausschließlich durch den Auftraggeber (Tenant-Owner) im Self-Service. Der Auftragnehmer (NexDeck) entscheidet nicht über das Ob der GPS-Verarbeitung, sondern stellt die Infrastruktur bereit und verarbeitet ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Aktivierungserklärung wird mit IP, User-Agent und Zeitstempel im Audit-Log gespeichert.
(4c) Marketing-Stack-Verarbeitungszwecke (Sprint G):
- Email-Marketing-Sequenzen (Drip-Sequences): automatisierte Versendung von Marketing-Mails an Endkunden/Leads des Auftraggebers (Subject- und Body-Templates inkl. Liquid-Variablen wie Vorname, Firma).
- Double-Opt-In-Verfahren (DOI): Einsammlung und Bestätigung von Marketing-Consent gemäß § 7 UWG inkl. Token-basierter Bestätigungs-Mail, IP-Logging zum Anmelde- und Bestätigungs-Zeitpunkt.
- One-Click-Unsubscribe (RFC 8058 / Gmail-Yahoo Bulk-Sender 2024-02): Verwaltung von Abmelde-Tokens (HMAC-deterministisch, 1 Jahr Gültigkeit), List-Unsubscribe-Header in Marketing-Mails, automatisches Suspend bei Klick.
- BGB § 312k Cancellation-Magic-Link: Token-basierter Kündigungs-Workflow für Verbraucher-Verträge des Auftraggebers (48h-Magic-Link, 7d Aufbewahrung post-Expiry, danach automatische Löschung gemäß DSGVO Art. 5 Abs. 1 lit. e).
(4d) Weisungsbezogenheit Marketing-Stack: Die Verarbeitung im Marketing-Stack (4c) erfolgt ausschließlich auf konkrete dokumentierte Weisung des Auftraggebers. Konkret weist der Auftraggeber an durch: (a) Erstellung/Aktivierung einer Email-Sequenz, (b) Konfiguration der Liquid-Templates, (c) Pflege/Anhang einer Empfänger-Liste (Subscriber-Pool nach DOI-Confirm), (d) Aktivierung/Konfiguration der Cancellation-Magic-Link-Workflows. Der Auftragnehmer stellt nur die technischen Default-Templates und Infrastruktur bereit, ohne eigenes Marketing-Interesse oder eigene Festlegung der Empfängerkreise. Die Aktivierung jeder Sequenz wird mit IP, User-Agent und Zeitstempel im Audit-Log gespeichert (append-only, GoBD § 146 AO konform).
(4e) Hard-Lock-Mechanismus (LG Hildesheim 2024 Schutz):Vor Aktivierung einer Marketing-Sequenz und vor jedem einzelnen Marketing-Mail-Versand prüft die Plattform automatisiert die Vollständigkeit der vom Auftraggeber gepflegten Pflichtangaben nach § 5 DDG. Sind Pflichtangaben unvollständig, blockiert die Plattform den Versand und pausiert ggf. bereits aktive Sequenzen. Die Sperrung wird im Audit-Log dokumentiert und ist Beweismittel für die ordnungsgemäße Mitwirkung des Auftragnehmers an der Compliance des Auftraggebers.
§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen
2.1 Kategorien personenbezogener Daten
- Stammdaten: Name, Firma, Anschrift, E-Mail, Telefon
- Vertragsdaten: Rechnungen, Angebote, Projekte, Verträge
- Kommunikationsdaten: E-Mail-Inhalte, Chat-Nachrichten, Anrufprotokolle
- Finanzdaten: Zahlungsinformationen, IBAN, Steuernummern
- Nutzungsdaten: Login-Zeiten, Geräteinformationen, IP-Adressen
- Sprach- und Textdaten: Voice-Transkripte, KI-Interaktionen
- Bilddaten: Fotos, gescannte Belege, Dokumente
- Dispatch-Kommunikationsdaten (Session 17.3-A): Kunden-E-Mail-Adresse, Klarname, Anrede, Inhalt der „Auf dem Weg"-Email inkl. geplanter Ankunftszeit und Monteur-Name. Consent-Status + Unsubscribe- Token pro Kunde.
- GPS-Standortdaten (Session 17.3-B, optional aktivierbar): GPS-Koordinaten (Breitengrad, Längengrad, Genauigkeit) mit Zeitstempel, Mitarbeiter-ID, Einsatz-ID. Einwilligungs-Metadaten (Einwilligungs-Zeitpunkt, IP-Adresse, User-Agent, Policy-Version, ggf. Widerrufs-Zeitpunkt).
- Geocodierte Adressdaten (Maps Pre-GL, seit 2026-04-28): Breiten- und Längengrad-Koordinaten von Kunden- und Projektadressen, bezogen entweder über die EU-bound Reverse-Geocoding-API der KEPTAGO LTD („Geoapify", Sitz Cyprus, Hosting auf Hetzner-Servern in Deutschland und Finnland) als unserem Auftragsverarbeiter oder über Adress-Autocomplete- Vorschläge der Google Maps Platform (eigenständiger Verantwortlicher, Details siehe Datenschutzerklärung Abschnitt 4a und Anlage 2 Subprozessor-Liste). Die Koordinaten werden ausschließlich am ausgewählten Datensatz (Kunde, Projekt, Lead) gespeichert; keine separate GPS-Trajektorien-Verarbeitung im Rahmen dieses Datensatztyps.
2.2 Kategorien betroffener Personen
- Mitarbeiter und Nutzer des Auftraggebers
- Kunden und Geschäftspartner des Auftraggebers
- Lieferanten und Subunternehmer des Auftraggebers
- Interessenten und Leads des Auftraggebers
§ 3 Pflichten des Auftragnehmers
Der Auftragnehmer
- verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). Die Weisungen ergeben sich aus dem Hauptvertrag und der Nutzung der Plattform.
- gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
- ergreift alle gemäß Art. 32 DSGVO erforderlichen Sicherheitsmaßnahmen. Die konkreten technisch-organisatorischen Maßnahmen sind in Anlage 1 (TOM) beschrieben.
- beachtet die Bedingungen für die Inanspruchnahme der in Anlage 2 aufgefuehrten Unterauftragnehmer (Art. 28 Abs. 2 und 4 DSGVO).
- unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten bezüglich der Rechte betroffener Personen (Art. 28 Abs. 3 lit. e DSGVO), insbesondere durch:
- Technische Möglichkeit zum Datenexport (JSON-Export in Kontoeinstellungen)
- Technische Möglichkeit zur Datenlöschung (Account-Löschfunktion)
- Technische Möglichkeit zur Datenberichtigung
- unterstützt den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschaetzung).
- löscht nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten oder gibt sie zurück (siehe Anlage 3: Löschkonzept). Die Löschung erfolgt spätestens 30 Tage nach Vertragsende. Ausnahme: gesetzliche Aufbewahrungspflichten (z.B. §147 AO: 10 Jahre für steuerrelevante Belege).
- stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überpruefungen (Audits).
§ 3a Routing von Betroffenen-Anfragen (DSGVO Art. 12-22)
(1) Verantwortlicher = Auftraggeber: Anfragen von Endkunden des Auftraggebers nach Art. 15-22 DSGVO (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) sind direkt an den Auftraggeber als Verantwortlichen zu richten. Der Auftragnehmer ist nicht autorisiert, eigenständig Auskünfte über Endkunden-Daten zu erteilen oder Daten zu löschen, die ausschließlich der Auftragsverwaltung des Auftraggebers unterliegen.
(2) Weiterleitungspflicht: Erreicht den Auftragnehmer versehentlich eine Endkunden-Anfrage (z.B. an datenschutz@nexdeck.de), leitet er diese innerhalb von 5 Werktagen an den zuständigen Tenant weiter und informiert den Endkunden über die Weiterleitung. Die Anfrage wird im Audit-Log dokumentiert.
(3) Technische Unterstützung: Der Auftragnehmer stellt dem Auftraggeber zur Beantwortung von Endkunden-Anfragen folgende Self-Service-Tools bereit: (a) DSAR-Export-RPC im Admin-Panel (JSON+CSV-Export aller Endkunden-bezogenen Datensätze), (b) Such- und Filter-Funktionen über Subscriber-/Lead-/Client-Tabellen, (c) Lösch-Action mit Soft-Delete + 30-Tage-Karenz + automatischer Anonymisierung (DSGVO Art. 17 + § 147 AO 10y-Aufbewahrung).
(4) SLA: Der Auftraggeber muss Endkunden-Anfragen innerhalb der gesetzlichen Monatsfrist (Art. 12 Abs. 3 DSGVO) beantworten. Der Auftragnehmer unterstützt durch unverzügliche Bereitstellung der angeforderten Daten via Self-Service oder, falls technisch ausgeschlossen, innerhalb von 5 Werktagen ab Anfrage des Auftraggebers.
§ 4 Pflichten des Auftraggebers
Der Auftraggeber
- ist für die Rechtmaessigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
- erteilt Weisungen über die Art, den Umfang und das Verfahren der Datenverarbeitung.
- informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmaessigkeiten bei der Verarbeitung feststellt.
- stellt sicher, dass die in NexDeck eingegebenen Daten rechtmäßsig erhoben wurden und eine Rechtsgrundlage für die Verarbeitung besteht.
§ 5 Unterauftragnehmer (Subunternehmer)
(1) Pauschale Zustimmung: Der Auftraggeber erteilt im Sinne des Art. 28 Abs. 2 Satz 2 DSGVO eine allgemeine schriftliche Zustimmung zur Einschaltung weiterer Unterauftragnehmer durch den Auftragnehmer. Die jeweils aktuelle Liste der eingesetzten Unterauftragnehmer wird öffentlich geführt unter nexdeck.app/subprocessors (entspricht Anlage 2 dieses AVV) und ist jederzeit einsehbar. Die Liste wird versioniert mit Datum gepflegt; Änderungen sind dort nachvollziehbar.
(2) Gleichwertiges Schutzniveau: Der Auftragnehmer verpflichtet sich, mit jedem Unterauftragnehmer einen Vertrag zu schließen, der dieselben Datenschutzpflichten gewährleistet wie dieser AVV, einschließlich technisch-organisatorischer Maßnahmen, Zero Data Retention bei KI-Modellen und Transfergrundlagen nach Art. 44 ff. DSGVO (DPF, EU-Standardvertragsklauseln).
(3) Ankündigung & Widerspruchsrecht: Geplante Hinzuziehungen oder Ersetzungen von Unterauftragnehmern werden dem Auftraggeber mindestens 30 Tage vor Wirksamkeit per E-Mail und/oder In-App-Benachrichtigung angekündigt. Der Auftraggeber kann innerhalb von 30 Tagen nach Zugang der Mitteilung aus berechtigten datenschutzrechtlichen Gründen Einspruch erheben.
(4) Einspruchsfolgen: Bei berechtigtem Einspruch bemühen sich die Parteien um eine einvernehmliche Lösung (z.B. durch Einsatz eines anderen Unterauftragnehmers mit äquivalenter Funktion). Kommt keine Einigung zustande, hat der Auftraggeber ein außerordentliches Kündigungsrecht zum geplanten Änderungsdatum. Bis dahin gilt der bisherige Stand fort.
(5) Kategorien-Ansatz: Der Auftragnehmer gruppiert eingesetzte Dienstleister nach technischen Kategorien (z.B. „LLM-Anbieter für Textanalyse“, „Sprach-zu-Text-Dienst“, „Cloud-Hosting“). Der Austausch innerhalb einer Kategorie mit gleichwertigem Schutzniveau (etwa Umschaltung auf einen Fallback-Anbieter bei Ausfall oder aus Kosten-/Qualitätsgründen) stellt keine wesentliche Änderung im Sinne von Absatz 3 dar, sondern gilt als Wartung der technischen Infrastruktur. Die öffentliche Subprozessor- Liste wird auch in diesem Fall zeitnah aktualisiert.
(6) KI-Modell-Updates: Aktualisierungen der eingesetzten KI-Modelle (Provider, Version, Region) gelten ebenfalls als Wartung gemäß Absatz 5, sofern Zero-Data-Retention-Garantien und EU-Residenz (oder gleichwertige Transfergrundlage) erhalten bleiben. Eine gesonderte Ankündigung erfolgt nur bei erstmaligem Einsatz einer neuen Kategorie (z.B. erstmaliger Einsatz einer Audio-Transkriptionstechnologie).
(7) Maps & Geocoding (Pre-GL, seit 2026-04-28): Für Reverse-Geocoding (Auflösung Geo-Koordinaten → Adresse) in Admin- Workflows setzt der Auftragnehmer die KEPTAGO LTD (handelnd unter „Geoapify", Sitz Cyprus, Hosting auf Hetzner-Servern in Deutschland und Finnland, EU-Endpoint api-eu.geoapify.com) als Auftragsverarbeiter nach Art. 28 DSGVO ein. Der entsprechende DPA ist verbindlich über die API-Nutzung (siehe Geoapify DPA). Die Adress-Eingabe von Endkunden erfolgt über die Google Maps Platform (Google Ireland Limited als Vertragspartner für EU); Google ist dabei eigenständiger Verantwortlicher (Controller-Controller-Verhältnis), nicht Auftragsverarbeiter des Auftragnehmers. Diese Konstellation wird in der Datenschutzerklärung Abschnitt 4a transparent gemacht.
§ 6 Datenübermittlung in Drittlaender
(1) Die primaere Datenverarbeitung erfolgt in der EU (Frankfurt am Main, Deutschland). Einige Unterauftragnehmer haben ihren Sitz in den USA (siehe Anlage 2).
(2) Die Übermittlung personenbezogener Daten in die USA erfolgt ausschließlich auf Grundlage des EU-U.S. Data Privacy Frameworks (DPF-Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) oder der EU-Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914).
(3) Alle in Anlage 2 aufgefuehrten US-Unterauftragnehmer sind unter dem DPF zertifiziert oder haben SCC unterzeichnet.
§ 7 Meldepflicht bei Datenschutzverletzungen
(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich (spätestens 24 Stunden) nach Kenntniserlangung über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
(2) Die Meldung umfasst mindestens:
- Beschreibung der Art der Verletzung inkl. Kategorien und ungefaehre Anzahl der betroffenen Personen
- Name und Kontaktdaten der Ansprechperson für weitere Informationen
- Beschreibung der wahrscheinlichen Folgen der Verletzung
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
§ 8 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, Überpruefungen durchzufuehren oder durch einen beauftragten Pruefer durchführen zu lassen. Der Auftragnehmer stellt die dafür erforderlichen Informationen zur Verfügung.
(2) Inspektionen vor Ort sind mit einer Vorlaufzeit von mindestens 14 Tagen anzukündigen und duerfen den Geschäftsbetrieb nicht unverhaeltnismaessig stoeren. Der Auftraggeber traegt die Kosten seiner Überpruefung.
(3) Alternativ kann der Nachweis der Einhaltung durch Vorlage aktueller Zertifizierungen, Testberichte oder Auditberichte erbracht werden.
§ 9 Haftung
Fuer die Haftung gilt Art. 82 DSGVO. Danach haftet jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wird.
§ 10 Laufzeit und Kündigung
(1) Dieser AVV ist an den Hauptvertrag (SaaS-Abonnement) gebunden und gilt für dessen Dauer.
(2) Rechte und Pflichten, die über die Beendigung hinaus bestehen (insbesondere Löschpflichten und Aufbewahrungsfristen), bleiben unberührt.
Anlage 1: Technisch-Organisatorische Maßnahmen (TOM)
gemäß Art. 32 DSGVO
1. Zutrittskontrolle
Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren:
- Kein eigener Serverraum: Alle Daten werden bei zertifizierten Cloud-Providern gehostet (Supabase/AWS in EU-Frankfurt).
- Cloud-Provider ISO 27001 zertifiziert (AWS, Google Cloud).
- Physische Büroraeueme durch Schlüssel gesichert. Keine Kundendaten auf lokalen Geräten.
2. Zugangskontrolle
Maßnahmen, die die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindern:
- Starke Passwort-Policy: Mindestens 8 Zeichen, Gross-/Kleinbuchstaben, Ziffern
- Multi-Faktor-Authentifizierung (MFA) für Admin-Zugaenge
- OAuth 2.0 mit verschlüsselten Token (AES-256)
- Session-Management mit automatischem Timeout
- Rate Limiting auf API-Endpoints (Upstash Redis)
- Fehlgeschlagene Login-Versuche werden geloggt und nach 10 Fehlversuchen temporaer gesperrt
3. Zugriffskontrolle
Maßnahmen, die gewaehrleisten, dass Berechtigte nur auf die ihrer Berechtigung unterliegenden Daten zugreifen:
- Row Level Security (RLS): Strikte Mandantentrennung auf Datenbankebene. Jeder Tenant kann nur auf seine eigenen Daten zugreifen.
- Rollenbasiertes Zugriffssystem (Owner, Admin, Member, Viewer)
- Server-seitige tenant_id Validierung bei jeder Anfrage
- Keine Cross-Tenant-Abfragen möglich (Policy-Enforcement auf DB-Ebene)
- Service-Role-Key nur serverseitig, niemals im Frontend
4. Weitergabekontrolle
Maßnahmen, die gewaehrleisten, dass Daten bei Übertragung nicht unbefugt gelesen, kopiert oder veraendert werden:
- TLS 1.2+ Verschlüsselung für alle Datenuebertragungen
- AES-256 Verschlüsselung für ruhende Daten (at rest)
- Sensible Daten (API-Keys, Tokens, IBAN) zusätzlich anwendungsseitig verschlüsselt
- S3 Object Lock (WORM) für finalisierte Rechnungen (GoBD)
- PII Redaction vor Übermittlung an KI-Provider (KI-Act Compliance)
5. Eingabekontrolle
Maßnahmen zur Nachvollziehbarkeit von Dateneingaben:
- Audit-Trail: Jede Änderung an Finanzdaten wird mit Benutzer, Zeitstempel und alter/neuer Wert protokolliert
- Unveraenderbare Audit-Logs (append-only, kein DELETE)
- Versionierung von Dokumenten und Rechnungen
- Automatische Protokollierung aller Admin-Aktionen
6. Auftragskontrolle
Maßnahmen, die gewaehrleisten, dass Daten nur gemäß den Weisungen verarbeitet werden:
- AVV mit allen Unterauftragnehmern (siehe Anlage 2)
- Schriftliche Weisungsbindung aller Mitarbeiter
- Regelmaessige Datenschutzschulungen
- Zero Data Retention bei allen KI-Providern
7. Verfügbarkeitskontrolle
Maßnahmen gegen zufällige Zerstörung oder Verlust:
- Automatische taegliche Backups der Datenbank (Supabase Point-in-Time Recovery)
- Georedundante Datenspeicherung (AWS eu-central-1)
- 99,5% Verfügbarkeits-SLA (siehe AGB § 3)
- Error Monitoring mit Sentry (Ausfallwarnung in Echtzeit)
- DDoS-Schutz über Vercel Edge Network und Cloudflare
8. Trennungsgebot
Maßnahmen zur getrennten Verarbeitung verschiedener Auftraggeber-Daten:
- Multi-Tenant-Architektur: Jeder Mandant hat eine eigene tenant_id. Alle Datenbankabfragen sind durch RLS-Policies auf den jeweiligen Mandanten beschränkt.
- Logische Trennung aller Mandantendaten (shared Database mit striktem Row Level Security)
- Separate S3-Pfade pro Mandant für Dokumente und Medien
- Separate Encryption Keys für besonders sensible Daten (API-Token, OAuth-Credentials)
Anlage 2: Liste der Unterauftragnehmer
Stand: 28. April 2026. Änderungen werden gemäß § 5 dieses AVV mit mindestens 30 Tagen Vorlauf per E-Mail und/oder In-App- Benachrichtigung angekündigt.
Maßgebliche Fassung: Die jeweils aktuelle, vollständige Subprozessor-Liste wird zentral geführt unter nexdeck.app/subprocessors. Die folgende Tabelle dokumentiert den Stand zum 16. April 2026 als Anlage 2 zu diesem AVV. Bei Abweichungen zwischen dieser Tabelle und der öffentlichen Subprozessor-Liste gilt die dort veröffentlichte, mit Datum versionierte Fassung.
| Unterauftragnehmer | Sitz | Zweck | Verarbeitungsort | Garantie |
|---|---|---|---|---|
| Amazon Web Services EMEA SARL | Luxemburg, EU | S3 Storage, SES E-Mail-Versand (transaktional + Dispatch-Kunden-Benachrichtigungen „Auf dem Weg") | EU (Frankfurt) | AVV |
| Supabase Inc. | USA | Datenbank, Auth, Realtime | EU (Frankfurt) | DPF + SCC |
| Vercel Inc. | USA | Frontend-Hosting, Serverless Functions, Middleware. Alle Serverless- und Middleware-Ausführung an fra1 (Frankfurt) gepinnt via vercel.json regions und preferredRegion. Static-Assets über globales CDN. | EU (Frankfurt) + Global CDN | DPF + SCC |
| Vercel Inc. (Speed Insights) | USA | Anonymisierte Web-Vitals-Metriken (LCP, FID, CLS). Keine Cookies, keine personenbezogenen Daten, keine Session-Reconstruction. Nicht cookie-consent-pflichtig nach §25 TTDSG. | Anonymisiert | DPF |
| Cloudflare, Inc. | USA (Global Edge) | CDN/DDoS-Schutz vor Supabase (Edge-Termination auf EU-Nodes, z. B. Düsseldorf). Durchreichender Transport-Provider, keine eigene Datenspeicherung durch uns. | Global Edge | DPF + SCC |
| Stripe Payments Europe, Ltd. (Connect / Payment Links / Subscriptions) | Irland, EU | Zahlungsabwicklung (Pay Now Connect Charges, Payment Links, Subscriptions) | EU (Irland) + DPF + SCC + SCAA | DPA + SSA + SCAA |
| Stripe Payments Europe, Ltd. (Financial Connections) | Irland, EU | Bankkonto-Verbindung + Transaktions-Abgleich (PSD2 AIS-lizenziert). Datenkategorien: Bankname, IBAN-last4, Kontoinhaber-Name, Transaktionen (Betrag, Datum, Buchungstext). Besonders sensitive Finanzdaten gem. § 9 DSGVO. Verbindung nur nach Tenant-Express-Consent. | EU (Irland) + DPF + SCC + FC Data Services Terms | DPA + FC Security Addendum |
| Google Cloud EMEA Limited | Irland, EU | Vertex AI – Primäre KI-Route: Claude-Modelle für Chat/Assistant (europe-west1, Belgien); Gemini-Modelle für OCR/Belege + multimodale Embeddings (europe-west3, Frankfurt); kein Training auf Kundendaten | EU (Frankfurt + Belgien) | AVV (Google Cloud DPA) |
| Amazon Web Services EMEA SARL (AWS Bedrock) | Luxemburg, EU | KI-Fallback 1: Claude-Modelle bei Ausfall von Vertex AI; kein Training; ISO 27001, BSI C5 | EU (Frankfurt, eu-central-1) | AVV (AWS DPA) |
| Hinweis: Anthropic (Direct API, USA) wurde am 17.04.2026 als Subprozessor entfernt. KI-Verarbeitung erfolgt ausschließlich über die beiden EU-Routen oben (Vertex AI Belgien + AWS Bedrock Frankfurt). Bei gleichzeitigem Ausfall beider wird die Verarbeitung bewusst unterbrochen (DSGVO Hard Fail) statt in die USA zu routen. | ||||
| Microsoft Ireland Operations Ltd. (Azure) | Irland, EU | Azure Cognitive Services: Neural TTS (Sprachausgabe, de-DE-ConradNeural); Azure Whisper: Sprach-Transkription (Voice-Funktion) | EU (West Europe, Niederlande) | AVV (Azure DPA) |
| Unipile S.A.S. | Frankreich, EU | Multi-Channel Messaging (E-Mail, WhatsApp, LinkedIn) | EU (Frankreich) | AVV |
| Functional Software, Inc. (Sentry) | USA | Error Monitoring, Performance | USA | DPF |
| Upstash Inc. (QStash Workflows) | USA | Background Jobs, Workflow-Engine, Rate-Limiting | EU (Frankfurt, eu-central-1) | AVV (Upstash DPA) |
| Deepgram Inc. | USA | Sprache-zu-Text (STT, Voice-Funktion); ausschließlich über EU-Endpoint (api.eu.deepgram.com); keine dauerhafte Audiodaten-Speicherung | EU-Endpoint (USA-Unternehmen) | SCC |
| OneSignal Inc. | USA | Push-Benachrichtigungen (Mobile) | USA | DPF |
| n8n GmbH | Deutschland, EU | Workflow-Automatisierung | EU (Deutschland) | AVV |
Legende:
- AVV: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
- DPF: EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss)
- SCC: EU-Standardvertragsklauseln
- ZDR: Zero Data Retention (keine Speicherung nach Verarbeitung)
Hinweis: Optionale Kunden-Integrationen
Dienste wie Lexware Office, sevDesk oder Sipgate, die der Auftraggeber mit eigenen Zugangsdaten anbindet, gelten nicht als Unterauftragnehmer des Auftragnehmers. Der Auftraggeber schliesst hier einen eigenen Vertrag mit dem jeweiligen Anbieter.
Anlage 3: Löschkonzept
gemäß Art. 17 DSGVO i.V.m. § 147 AO und GoBD
1. Löschfristen nach Vertragsende
| Datenart | Löschfrist | Grund |
|---|---|---|
| Inhaltsdaten (Projekte, Kunden, Notizen) | 30 Tage nach Vertragsende | Karenzzeit für Datenexport |
| Kommunikationsdaten (E-Mails, Chats) | 30 Tage nach Vertragsende | Karenzzeit für Datenexport |
| Rechnungen und steuerrelevante Belege | 10 Jahre (anonymisiert) | § 147 AO, GoBD |
| Angebote, Geschäftsbriefe | 6 Jahre | § 147 AO |
| Audit-Logs | 10 Jahre | GoBD Nachweispflicht |
| Backups | 60 Tage nach Vertragsende | Technische Backup-Rotation |
| Stamm- und Abrechnungsdaten | 10 Jahre nach Vertragsende | § 147 AO (Buchungsbelege) |
| KI-Transkripte (Voice Sessions) | 90 Tage | Feedback-Loop, Debugging |
| Voice-Note Audio-Aufnahmen (S3-Bucket nexdeck-voice-notes-eu) | 90 Tage Default (Tenant-Override max. 365 Tage) | Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung). Transkript verbleibt in DB. |
| RAG Embeddings (Knowledge Base) | Mit Löschung der Quelldaten | Kein eigenständiger Zweck |
| Dispatch-Kunden-Benachrichtigungen (Email-Metadaten) | Bis 10 Jahre | § 147 AO / GoBD (Geschäftsbriefe) |
| GPS-Live-Positionen (Workforce-Tracking) | Max. 24 Stunden | Art. 5 Abs. 1 lit. e DSGVO (Minimierung) |
| GPS-Fahrzeit-Aggregate (ohne Einzelkoordinaten) | Max. 90 Tage | Operative Auswertung |
| GPS-Einwilligungs-Audit (Consent-Log) | Unbefristet (Nachweispflicht) | Art. 7 Abs. 1 DSGVO |
2. Löschverfahren
- Inhaltsdaten: Unwiderrufliches DELETE aus der Datenbank nach Ablauf der Karenzzeit.
- Steuerrelevante Daten: Anonymisierung der personenbezogenen Felder (Name, Adresse, Kontakt) bei Beibehaltung der buchungsrelevanten Informationen (Betraege, Steuernummern, Rechnungsnummern).
- S3-Dateien: Löschung nach Ablauf der Object-Lock-Retention-Periode.
- Backups: Automatische Rotation. Backup-Zyklen überschreiben ältere Backups nach 60 Tagen.
- KI- und Sprach-Provider: Zero Data Retention — Daten werden nach Verarbeitung sofort gelöscht (kein dauerhafter Speicher bei Google Cloud Vertex AI, AWS Bedrock, Microsoft Azure, Deepgram).
3. Löschung auf Anfrage (Art. 17 DSGVO)
Der Auftraggeber kann jederzeit die Löschung einzelner Datensaetze oder seines gesamten Accounts anfordern:
- Einzeldaten: Über die jeweilige Löschfunktion in der Anwendung oder per E-Mail an datenschutz@nexdeck.de
- Gesamter Account: Über Einstellungen → Datenschutz → „Account löschen“ oder per E-Mail
- Bearbeitungszeit: Spaetestens 30 Tage nach Eingang der Anfrage
Einschränkung: Daten, für die gesetzliche Aufbewahrungspflichten gelten (§ 147 AO), werden nicht gelöscht, sondern anonymisiert.