Unterauftragsverarbeiter

Liste gemäß Art. 28 Abs. 2 DSGVO in Verbindung mit AGB § 11b & Auftragsverarbeitungsvereinbarung (AVV)

Stand: 7. Mai 2026

Zweck dieser Liste

Im Rahmen der Bereitstellung der NexDeck-Plattform setzen wir technische Dienstleister ein, die im Sinne des Art. 28 DSGVO als Unterauftragsverarbeiter tätig werden. Diese Seite informiert transparent über alle aktuell eingesetzten Subprozessoren, den Verarbeitungszweck, die verarbeiteten Datenkategorien und die jeweilige Rechtsgrundlage für den Transfer.

Änderungen an dieser Liste werden gemäß AGB § 11b Abs. 5 mindestens 30 Tage vor Wirksamkeit per E-Mail an die im Konto hinterlegte Kontaktadresse angekündigt. Nutzer können der Hinzunahme neuer Subprozessoren aus berechtigten datenschutzrechtlichen Gründen widersprechen.

Abonnieren Sie den Subprozessor-Benachrichtigungs-Dienst über Ihre Konto-Einstellungen → Rechtliches.

Aktuell eingesetzte Subprozessoren

Vercel

Vercel Inc.

Hosting-Infrastruktur
Sitz
USA
Verarbeitungsregion
Frankfurt (eu-central-1)
Zweck
Bereitstellung der Web-Anwendung, Edge-Netzwerk, Deploy-Automatisierung
Datenkategorien
  • IP-Adresse, User-Agent
  • Request-Metadaten (URL, Statuscode)
  • Performance-Metriken
Transfergrundlage
EU-Standardvertragsklauseln + Data Privacy Framework (DPF)
Datenschutzerklärung
https://vercel.com/legal/privacy-policy · DPA

Supabase (inkl. Realtime)

Supabase, Inc.

Datenbank-, Auth-, Storage- & Realtime-Service
Sitz
USA
Verarbeitungsregion
Frankfurt (eu-central-1)
Zweck
Zentrale Multi-Tenant-Datenbank (PostgreSQL), Authentifizierung, File Storage sowie Realtime-Live-Übertragung von Termin- und Dispositions-Änderungen an Disponent:innen- und Worker-Sessions. Realtime-Events laufen vor Auslieferung an Worker-Sessions durch eine server-seitig redaktierte Database-View (z.B. appointments_redacted_worker): fremde Privat-Termine erscheinen als „Belegt", sensible Felder (Kunde, Adresse, Beschreibung) werden je nach Sichtbarkeits-Modus entfernt. Jedes Event trägt eine payload_version und eine redaction_version, mit denen veraltete Events nach Berechtigungs-Änderungen verworfen werden.
Datenkategorien
  • Stamm- und Zugangsdaten (E-Mail, Name)
  • Geschäftsdaten (Rechnungen, Kunden, Projekte, Zeiterfassung, Termine, Crews)
  • Authentifizierungs-Tokens
  • Audit-Logs (append-only, 10 Jahre)
  • Realtime-Event-Payloads (transient, in-memory, nicht persistiert) — redaktierte Termin-Felder, payload_version, redaction_version, Empfänger-User-ID, Tenant-ID
Transfergrundlage
EU-Standardvertragsklauseln + DPA
Datenschutzerklärung
https://supabase.com/privacy · DPA

Amazon Web Services (AWS)

Amazon Web Services EMEA SARL

Cloud-Storage, E-Mail-Versand + Tracking, OCR, KI-Fallback, Audit-Logging
Sitz
Luxemburg (Mutterkonzern USA)
Verarbeitungsregion
Frankfurt (eu-central-1) + Stockholm (eu-north-1)
Zweck
S3 Object Lock (WORM) für GoBD-konforme 10-Jahre-Archivierung, SES für transaktionale E-Mails (Rechnungen, Angebote, Mahnungen) + Kunden-Benachrichtigungen (z.B. „Auf dem Weg"-Status via Dispatch-Modul) + optional BCC-Archivierung in Tenant-Postfach + optional Öffnungs-/Klicktracking (nur nach Opt-in durch Tenant-Admin), SNS für E-Mail-Delivery-Event-Streaming zur Zustellbarkeits-Analyse, CloudTrail für API-Audit-Logging (Zugriffs-Nachvollzug), Textract für OCR, Bedrock für KI-Fallback
Datenkategorien
  • Finalisierte Rechnungs-PDFs (10 Jahre WORM)
  • Belege / Expense-Receipts
  • E-Rechnungen (ZUGFeRD XML)
  • DATEV-Exports (EXTF)
  • Transaktionale E-Mail-Metadaten (Message-ID, Tags mit tenant_id/entity_type, Delivery-/Bounce-/Complaint-Events via SNS-Webhook; Speicherdauer 6 Monate, dann automatische Löschung)
  • E-Mail-BCC-Kopien zur Tenant-Archivierung (HGB § 257 Pflicht, 10 Jahre § 147 AO)
  • Optionale Öffnungs-/Klick-Tracking-Events (nur bei Opt-in, Art. 6 Abs. 1 lit. a DSGVO + § 25 TDDDG B2C / Art. 6 Abs. 1 lit. f B2B, jederzeit widerrufbar)
  • Kunden-Email-Adressen + Klarnamen für Dispatch-Benachrichtigungen (verschlüsselt in Transit, Widerrufs-Link in jeder Email, Speicherdauer 10 Jahre § 147 AO)
  • CloudTrail-Audit-Logs (AWS-API-Aufrufe inkl. Zeitstempel + Source-IP, interne Zwecke für Sicherheits-Audit, Speicherdauer 12 Monate)
Transfergrundlage
DPF + EU-Standardvertragsklauseln + GDPR DPA
Datenschutzerklärung
https://aws.amazon.com/de/privacy/ · DPA

Google Cloud Platform (Vertex AI, Document AI, Cloud Run)

Google Ireland Limited

KI-Modelle, Dokumentenverarbeitung, XSD-Validierung
Sitz
Irland (Mutterkonzern USA)
Verarbeitungsregion
europe-west1 (Belgien) für Claude; europe-west3 (Frankfurt) für Gemini & Document AI
Zweck
Claude Sonnet (Reasoning, via Vertex AI), Claude Haiku (NEX Sales Skills: Pre-Call-Briefing, Live-Call-Tags, Follow-up-Orchestrator, via Vertex AI), Gemini 2.5 Flash (KB-Q&A, Vision-OCR, Embeddings), Document AI (Layout Parser für Belegerfassung), Cloud Run (E-Rechnung XSD-Validator)
Datenkategorien
  • Text-Prompts (mit PII-Redaktion vor Übertragung)
  • Bilder von Belegen / Plänen (temporär, keine Trainings-Nutzung)
  • E-Rechnung XML (zur Validierung)
  • Chat-Queries mit Tenant-Kontext
  • NEX Sales-Briefings (Lead-Stammdaten + Aktivitäts-Snapshots, PII-redaktiert; nur bei aktiver feature.nex.* Flag)
  • NEX Outcome-Suggestions (Call-Notes des Sales-Users + Lead-Kontext, PII-redaktiert)
Transfergrundlage
EU-Datenresidenz (Frankfurt/Belgien) + DPF + Zero Data Retention + kein Training
Datenschutzerklärung
https://cloud.google.com/terms/data-processing-addendum · DPA

Anthropic (via AWS Bedrock — Fallback)

Amazon Web Services EMEA SARL (Vertrieb) / Anthropic PBC (Modelle)

KI-Modell-Fallback
Sitz
Luxemburg / USA
Verarbeitungsregion
eu-central-1 (Frankfurt)
Zweck
Claude Haiku als Fallback-Modell bei Vertex-AI-Ausfall oder Kostenoptimierung
Datenkategorien
  • Text-Prompts (mit PII-Redaktion)
  • Chat-Queries bei Fallback-Routing
Transfergrundlage
EU-Datenresidenz (Frankfurt) + DPF + AWS DPA + Anthropic Zero Data Retention
Datenschutzerklärung
https://aws.amazon.com/bedrock/

Deepgram

Deepgram, Inc.

Sprach-zu-Text (Streaming-STT)
Sitz
USA
Verarbeitungsregion
EU-Endpunkt (api.eu.deepgram.com)
Zweck
Echtzeit-Transkription für Sprach-Assistent und Voice-Commands (Nova-3 Modell)
Datenkategorien
  • Audio-Streams (während Nutzung, werden nicht dauerhaft gespeichert)
  • Transkribierter Text
Transfergrundlage
EU-Standardvertragsklauseln + DPF + Zero Data Retention
Datenschutzerklärung
https://deepgram.com/privacy · DPA

Azure OpenAI Whisper

Microsoft Ireland Operations Ltd.

Sprach-zu-Text (Batch-Transkription)
Sitz
Irland (Mutterkonzern USA)
Verarbeitungsregion
Sweden Central (EU)
Zweck
Batch-Transkription von Voice Notes (asynchron, z.B. nach Upload einer Sprachnotiz)
Datenkategorien
  • Audio-Dateien (nach Transkription ggf. gelöscht)
  • Transkribierter Text mit Tenant-Kontext
Transfergrundlage
EU-Datenresidenz (Sweden Central) + Microsoft Product Terms + Opt-Out für Trainings-Nutzung
Datenschutzerklärung
https://privacy.microsoft.com/ · DPA

Microsoft Azure Speech Services

Microsoft Ireland Operations Ltd.

Text-zu-Sprache (TTS)
Sitz
Irland
Verarbeitungsregion
westeurope (Niederlande)
Zweck
Sprachsynthese für Sprach-Assistent (de-DE-ConradNeural)
Datenkategorien
  • Text-Input zur Sprachausgabe
  • Stimm-Modell-Präferenz
Transfergrundlage
EU-Datenresidenz (westeurope) + Microsoft Product Terms
Datenschutzerklärung
https://privacy.microsoft.com/

Stripe Connect / Payment Links / Subscriptions

Stripe Payments Europe Limited

Zahlungsabwicklung (Platform-Modell)
Sitz
Irland
Verarbeitungsregion
EU / weltweit
Zweck
Zahlungsabwicklung für Nutzer-Rechnungen ("Pay Now" via Connect Destination Charges, Auto-generierte Payment Links, Wartungsvertrags-/Retainer-Subscriptions). Plattform-Gebühren, KYC/KYB-Verifizierung des Connected Accounts, PSD2-Strong-Customer-Authentication für Karten-Checkout (Stripe-hosted).
Datenkategorien
  • Handelsregisterdaten der Nutzer (Connected Account Setup)
  • Zahlungsbeträge, Rechnungs-IDs, Plattform-Gebühren
  • Webhook-Events zu Kontostatus + Zahlungseingang
  • Stripe-Customer/Account-IDs, Payment-Method-Identifier (z.B. "card", "sepa_debit")
  • Karten-PAN/CVV werden ausschließlich von Stripe erhoben, NICHT von NexDeck gespeichert
Transfergrundlage
EU-Standardvertragsklauseln + DPF + Stripe Services Agreement + Stripe Connected Account Agreement (SCAA) + Data Transfers Addendum
Datenschutzerklärung
https://stripe.com/de/privacy · DPA

Stripe Financial Connections

Stripe Payments Europe Limited

Bankkonto-Verbindung + Transaktions-Abgleich (PSD2 AIS)
Sitz
Irland
Verarbeitungsregion
EU / weltweit
Zweck
Verbindung des Tenant-Bankkontos via Stripe Financial Connections für automatisierten Abgleich eingehender Banktransaktionen mit offenen Rechnungen (Reconciliation-Engine). Stripe ist nach EU-PSD2 als Account-Information-Service-Provider lizenziert. Verbindung erfolgt ausdrücklich nach Tenant-Express-Consent vor Modal-Öffnung; PSD2 90-Tage Re-Authentifizierungs-Zyklus.
Datenkategorien
  • Bankname (z.B. "DKB", "Commerzbank")
  • IBAN-letzte-4-Stellen (vollständige IBAN bleibt bei Stripe)
  • Kontoinhaber-Name
  • Bank-Transaktionen: Betrag, Datum, Buchungstext (Description), Counterparty-Name
  • Stripe Financial Connections Account-ID + Session-ID
  • KEIN Saldo on-demand bei NexDeck (nur Transaktionen, nicht Balance)
Transfergrundlage
EU-Standardvertragsklauseln + DPF + Stripe Financial Connections Data Services Terms + FC Security Addendum
Datenschutzerklärung
https://stripe.com/legal/end-users · DPA

Unipile

Unipile SAS

Multi-Channel Messaging API (Read + Write, beidseitig)
Sitz
Frankreich (EU)
Verarbeitungsregion
Frankreich
Zweck
Synchronisierter Posteingang für E-Mail (Gmail/Outlook), WhatsApp Business, LinkedIn, iCloud Mail + bidirektionale Kalender-Synchronisation + bidirektionaler Nachrichtenversand (Reply auf Kunden-E-Mails, WhatsApp-Nachrichten, LinkedIn-DMs — für ALLE Presets inkl. Handwerk und Reinigung). Hosted-Auth-Flow (keine Zugangsdaten werden bei NexDeck gespeichert). Ausgehender Versand von Rechnungen/Angeboten läuft NICHT über Unipile — dafür ausschließlich AWS SES (Transaktions-Kanal).
Datenkategorien
  • Nachrichten-Inhalte (E-Mail-Bodies, WhatsApp-Chats, LinkedIn-DMs) — beim Empfangen UND beim aktiven Senden/Antworten
  • Anhänge, Kontaktlisten
  • Kalender-Events (Titel, Teilnehmer, Zeit, Ort)
  • Verbindungstoken (verschlüsselt gespeichert)
  • BCC-Archive-Mails (wenn Tenant BCC-Archivierung via AWS SES aktiviert hat): Unipile liest das Tenant-Postfach via IMAP und zeigt BCC-Kopien in der Timeline an
Transfergrundlage
EU-Ansässigkeit + DPA + technisch-organisatorische Maßnahmen
Datenschutzerklärung
https://www.unipile.com/privacy-policy/

Meta Platforms (via Unipile, nur bei WhatsApp-Nutzung)

Meta Platforms Ireland Ltd.

Messaging-Endpunkt (nur bei aktivem WhatsApp-Kanal)
Sitz
Irland (Mutterkonzern USA)
Verarbeitungsregion
Irland / USA
Zweck
Zustellung von WhatsApp-Nachrichten über WhatsApp Business API. Nur aktiv, wenn der Nutzer WhatsApp ausdrücklich verknüpft.
Datenkategorien
  • Telefonnummern der Endkunden
  • Nachrichteninhalte und Medien
  • Zustellungs- und Lesebestätigungen
Transfergrundlage
Meta DPA + DPF + EU-Standardvertragsklauseln
Datenschutzerklärung
https://www.whatsapp.com/legal/business-solution-terms/

LinkedIn (via Unipile, nur bei LinkedIn-Nutzung)

LinkedIn Ireland Unlimited Company

Messaging-Endpunkt (nur bei aktivem LinkedIn-Kanal)
Sitz
Irland
Verarbeitungsregion
EU
Zweck
Zustellung von LinkedIn-Nachrichten und Synchronisation von Kontakten. Nur bei ausdrücklicher Verknüpfung durch den Nutzer.
Datenkategorien
  • Messaging-Inhalte, Profilnamen, DM-Historie
Transfergrundlage
LinkedIn DPA + DPF
Datenschutzerklärung
https://www.linkedin.com/legal/privacy-policy

OneSignal

OneSignal, Inc. (EMEA HQ: London, UK)

Push-Benachrichtigungen
Sitz
USA (Muttergesellschaft); EU-Verarbeitung für EMEA-Kunden
Verarbeitungsregion
Primäre Rechenzentren in der Europäischen Union (Niederlande)
Zweck
Zustellung von Push-Benachrichtigungen auf iOS, Android und Web (Termin-Änderungen, Crew-Zuordnungen, betriebliche Hinweise). Nutzt FCM (Android) und APNs (iOS) als Transport-Layer. EU/UK-IP-Adressen werden gemäß OneSignal-Standardkonfiguration nicht gespeichert. Vor jedem Versand prüft NexDeck server-seitig, ob für den Empfänger eine gültige Permission UND ein gültiges Device-Token vorliegen (Permission-Pre-Send-Check); fehlt eine der Voraussetzungen, wird der Versand stillschweigend übersprungen. Jede Push enthält ein Deep-Linking-Token (Tenant-ID + Ressource-Typ + Ressource-ID), das beim Tap die zugehörige Detail-Ansicht in der Mandanten-isolierten Anwendung öffnet. NexDeck protokolliert Zustell-Status (queued/delivered/failed/dropped) und Versuchsanzahl in der internen Tabelle notifications_sent zur Idempotenz (Vermeidung von Doppel-Pushes) und für ein 5-Stufen-Retry-Backoff (24h Max-Alter), Auto-Delete nach 90 Tagen.
Datenkategorien
  • Device-Token
  • Push-Payload (Titel, Textinhalt — Sanitizer aktiv, siehe push-sanitizer.ts)
  • Anonyme externe Nutzer-ID (Supabase-UUID, keine Klarnamen)
  • Deep-Linking-Token (Tenant-ID, Ressource-Typ, Ressource-ID — kein PII)
  • Zustell-Status + Versuchsanzahl (intern in notifications_sent; Idempotenz + Retry-Backoff; Auto-Delete nach 90 Tagen)
Transfergrundlage
EU-Datenresidenz (primäre Rechenzentren NL) + OneSignal DPA + EU-Standardvertragsklauseln für ggf. vorhandene Fallback-Transfers
Datenschutzerklärung
https://onesignal.com/privacy_policy · DPA

Google Firebase Cloud Messaging (FCM, via OneSignal)

Google Ireland Limited

Android-Push-Transport
Sitz
Irland
Verarbeitungsregion
EU / weltweit
Zweck
Zustellung von Push-Benachrichtigungen an Android-Geräte
Datenkategorien
  • Device-Token, Push-Payload
Transfergrundlage
Google DPA + DPF
Datenschutzerklärung
https://policies.google.com/privacy

Upstash (Redis + QStash Workflows)

Upstash Inc.

Event-/Workflow-Orchestrierung, Redis & Rate-Limiting
Sitz
USA
Verarbeitungsregion
eu-central-1 (Frankfurt)
Zweck
Asynchrone Hintergrund-Jobs (Rechnungserstellung, E-Mail-Versand, DATEV-Export, Dunning, Sync-Jobs) via QStash Workflows; Rate-Limiting und Session-Caching via Upstash Redis; zeitgesteuerte Nachrichten
Datenkategorien
  • Event-Payloads (Tenant-ID, Entity-IDs, minimale Geschäftsdaten)
  • Ausführungs-Logs der Workflows
  • IP-Adresse (temporär, Rate-Limiting)
  • Session-Tokens (kurzlebig)
Transfergrundlage
EU-Datenresidenz (Frankfurt) + DPF
Datenschutzerklärung
https://upstash.com/trust/privacy.pdf

Sentry

Functional Software, Inc.

Error-Tracking & Performance-Monitoring
Sitz
USA
Verarbeitungsregion
EU-Instanz (wenn konfiguriert)
Zweck
Erfassung von Laufzeitfehlern, Stack-Traces, Performance-Profiling zur Systemstabilisierung
Datenkategorien
  • Fehler-Stacktraces
  • URL-Pfad, anonymisierte User-ID
  • Browser-/Gerät-Infos
  • KEINE Formulareingaben oder sensible Geschäftsdaten (entsprechende Filter gesetzt)
Transfergrundlage
EU-Instanz + EU-Standardvertragsklauseln + DPF
Datenschutzerklärung
https://sentry.io/privacy/

Google Workspace (OAuth — nur bei Gmail/Calendar-Verknüpfung)

Google Ireland Limited

OAuth-Identitätsprovider (opt-in)
Sitz
Irland
Verarbeitungsregion
EU / weltweit
Zweck
Anmeldung und Kalender-/Mail-Synchronisation, wenn vom Nutzer aktiviert
Datenkategorien
  • E-Mail-Adresse, Name, Kalender-Scopes
Transfergrundlage
Google DPA + DPF
Datenschutzerklärung
https://policies.google.com/privacy

Microsoft Entra ID (OAuth — nur bei Outlook/Teams-Verknüpfung)

Microsoft Ireland Operations Ltd.

OAuth-Identitätsprovider (opt-in)
Sitz
Irland
Verarbeitungsregion
EU
Zweck
Anmeldung und Synchronisation mit Office 365 / Outlook, wenn vom Nutzer aktiviert
Datenkategorien
  • E-Mail-Adresse, Name, Organisations-Info (falls erlaubt)
Transfergrundlage
Microsoft DPA + DPF
Datenschutzerklärung
https://privacy.microsoft.com/

Apple Sign-In (OAuth — nur bei Apple-Login)

Apple Distribution International Ltd.

OAuth-Identitätsprovider (opt-in)
Sitz
Irland
Verarbeitungsregion
EU
Zweck
Anmeldung via Apple-ID (Pflichtangebot im iOS-App-Store)
Datenkategorien
  • Anonymisierte User-ID
  • Optional verschleierte E-Mail (Hide My Email)
Transfergrundlage
Apple DPA + DPF
Datenschutzerklärung
https://www.apple.com/legal/privacy/

Sipgate (optional — nur bei aktivierter Telefonie-Integration)

sipgate GmbH

VoIP-Telefonie / Push-API für Call-Events (opt-in)
Sitz
Deutschland
Verarbeitungsregion
Deutschland (EU)
Zweck
Optionale VoIP-Anbindung: Wenn ein Tenant die Sipgate-Integration aktiviert, empfängt NexDeck Webhook-Metadaten (Rufnummern, Zeitstempel, Dauer, Richtung) zur Zuordnung an Leads/Kunden/Projekte. Rechtlich: Tenant schließt den AV-Vertrag direkt mit sipgate (sipgate.de/av) — NexDeck ist KEIN Auftragsverarbeiter für die Telefonie selbst, sondern nur Empfänger der Webhook-Daten.
Datenkategorien
  • Rufnummern (eingehend und ausgehend)
  • Zeitstempel: Start, Antwort, Ende
  • Gesprächsdauer
  • Call-ID für Event-Korrelation (newCall / onAnswer / onHangup)
  • KEINE Audio-Inhalte, KEINE Transkripte — Audio verbleibt bei Sipgate
Transfergrundlage
Keine Drittland-Übertragung (Sipgate ist DE-hosted). Tenant schließt eigenen AV mit sipgate direkt ab.
Datenschutzerklärung
https://www.sipgate.de/datenschutz · DPA

Geoapify (Reverse-Geocoding, Admin-only)

KEPTAGO LTD

Reverse-Geocoding für Admin-Korrekturen + Batch-Imports
Sitz
Cyprus (EU)
Verarbeitungsregion
Hetzner-Server in Deutschland und Finnland (EU); EU-Endpoint api-eu.geoapify.com
Zweck
Wenn ein Super-Admin eine Geo-Koordinate manuell überprüft oder bei einem Bestandsdaten-Import historische Koordinaten in eine strukturierte Adresse umgewandelt werden müssen, wird Geoapify zur Auflösung Lat/Lng → Adresse aufgerufen. Wird NICHT in Endkunden-facing-Flows verwendet (dort übernimmt Google Places die Adress-Eingabe).
Datenkategorien
  • Geographische Koordinaten (Lat/Lng) — keine personenbezogenen Daten in Klartext
  • API-Call-Metadaten (Zeitstempel, Request-ID); keine Klarnamen, keine Tenant-IDs
Transfergrundlage
Auftragsverarbeitung nach Art. 28 DSGVO; DPA verbindlich via API-Nutzung (kein separater Click-Through). Keine Drittland-Übertragung — Verarbeitung ausschließlich auf EU-Hetzner-Servern (DE/FI).
Datenschutzerklärung
https://www.geoapify.com/privacy-policy/ · DPA

Lexware Office (optional — nur bei aktivem Migrations-Wizard, read-only)

Haufe-Lexware GmbH & Co. KG

Optionale Datenquelle / Migrations-Schnittstelle (read-only)
Sitz
Deutschland (EU)
Verarbeitungsregion
Munzinger Str. 9, 79111 Freiburg im Breisgau, Deutschland (DE-EU-hosted, kein Drittland-Transfer)
Zweck
Wenn ein Tenant seine Bestandsdaten aus Lexware Office in NexDeck migrieren möchte, gibt er im Migration-Wizard einen Lexware-API-Key ein. NexDeck liest damit einmalig die ausgewählten Datenkategorien (read-only) und legt sie temporär in einem Staging-Bereich auf EU-Servern ab. Nach Tenant-Freigabe werden die Daten in dessen NexDeck-Instanz übernommen oder gelöscht. Maximale Staging-Aufbewahrung: 30 Tage. Rechtsmodell: Tenant ist Verantwortlicher der bei Lexware gespeicherten Daten und beauftragt NexDeck mit dem Lesezugriff; NexDeck ist Auftragsverarbeiter des Tenants für das Staging. Lexware/Tenant-AVV bleibt davon unberührt.
Datenkategorien
  • Kontakte / Kunden + Lieferanten (Firma, Anrede, Adresse, USt-IdNr, E-Mail, Telefon)
  • Ausgangsrechnungen + Stornorechnungen + Anzahlungs-/Abschlagsrechnungen (Kopf, Positionen, Status, Zahldatum)
  • Eingangsbelege (Lieferant, Datum, Betrag, MwSt, Buchungskategorie, Original-PDF)
  • Buchungskategorien (für Mapping zu NexDeck-Kategorien / SKR03/04)
  • Artikelstamm (Artikelnummer, Bezeichnung, Preis, Einheit, Steuersatz)
Transfergrundlage
Keine Drittland-Übertragung — Lexware ist in Deutschland gehostet. Tenant bleibt Verantwortlicher; NexDeck ist Auftragsverarbeiter des Tenants nur für das temporäre 30-Tage-Staging. Tenant↔Lexware-AVV (https://www.lexware.de/avv/) ist Tenant-Pflicht und unberührt.
Datenschutzerklärung
https://www.lexware.de/datenschutz/ · DPA

sevDesk (optional — nur bei aktivem Migrations-Wizard, read-only)

sevDesk GmbH

Optionale Datenquelle / Migrations-Schnittstelle (read-only)
Sitz
Deutschland (EU)
Verarbeitungsregion
Am Sandfeld 11c, 76149 Karlsruhe, Deutschland (DE-EU-hosted, kein Drittland-Transfer)
Zweck
Wenn ein Tenant seine Bestandsdaten aus sevDesk in NexDeck migrieren möchte, gibt er im Migration-Wizard einen sevDesk-API-Token ein. NexDeck liest damit einmalig die ausgewählten Datenkategorien (read-only) und legt sie temporär in einem Staging-Bereich auf EU-Servern ab. Nach Tenant-Freigabe werden die Daten in dessen NexDeck-Instanz übernommen oder gelöscht. Maximale Staging-Aufbewahrung: 30 Tage. Rechtsmodell analog zu Lexware Office: Tenant ist Verantwortlicher, NexDeck ist Auftragsverarbeiter des Tenants für das Staging.
Datenkategorien
  • Kontakte / Kunden + Lieferanten
  • Ausgangsrechnungen (Kopf, Positionen, Status, Zahldatum)
  • Eingangsbelege (Voucher) + Original-PDFs
  • Beleg- und Buchungskategorien
  • Artikelstamm (Parts)
Transfergrundlage
Keine Drittland-Übertragung — sevDesk ist in Deutschland gehostet. Tenant bleibt Verantwortlicher; NexDeck ist Auftragsverarbeiter des Tenants nur für das temporäre 30-Tage-Staging. Tenant↔sevDesk-AVV (https://sevdesk.de/avv) ist Tenant-Pflicht und unberührt.
Datenschutzerklärung
https://sevdesk.de/datenschutz/ · DPA

Datenempfänger (eigenständige Verantwortliche)

Folgende Anbieter erhalten Daten von uns als eigenständige Verantwortliche nach Art. 4 Nr. 7 DSGVO, NICHT als Auftragsverarbeiter. Es besteht kein Auftragsverarbeitungsvertrag (AVV); stattdessen gelten die jeweiligen Datenschutzbestimmungen und Controller-Terms des Anbieters. Auflistung erfolgt zur Erfüllung der Transparenzpflicht nach Art. 13 DSGVO.

Google Maps Platform — Adress-Autocomplete (eigenständiger Verantwortlicher)

Google Ireland Limited (für EU-Kunden) / Google LLC (Mutterkonzern, USA)

Adress-Autocomplete (Places API New) + Place Details (eigenständiger Controller)
Sitz
Irland (Vertragspartner für EU); Verarbeitung global
Verarbeitungs-Region
Global; Google trägt seit 2024 die SCC-Pflichten für EU-Kundenverbindungen eigenständig
Zweck
Wenn ein NexDeck-Nutzer in einem Adressfeld zu tippen beginnt, wird der Suchbegriff an Google Places Autocomplete übermittelt, um Vorschläge zu erhalten. Bei Auswahl eines Vorschlags wird über die Place-Details-API die strukturierte Adresse + Geo-Koordinaten geladen. Google verarbeitet diese Daten nach den eigenen Google Maps Platform Controller-Controller-Terms — NexDeck und Google sind unabhängige Verantwortliche, KEIN Auftragsverarbeitungsverhältnis.
Datenkategorien
  • Eingegebener Adress-Suchbegriff (vom Nutzer aktiv eingegeben)
  • IP-Adresse + User-Agent (technisch unvermeidbar bei JavaScript-SDK)
  • Session-Token (für Session-basierte Abrechnung)
  • NICHT übermittelt: Klarnamen, Kunden-IDs, Tenant-IDs, sonstiger Geschäftskontext
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Adress-Validierung) + Google Controller-Controller Terms + DPF-Zertifizierung + EU-Standardvertragsklauseln (von Google selbst getragen seit 2024)
Datenschutzerklärung / Controller-Terms
https://policies.google.com/privacy · Controller-Terms

Potentielle Fallback-Kategorien

Gemäß AGB § 11b Abs. 3 verwenden wir Anbieter-Kategorien. Innerhalb folgender Kategorien behalten wir uns vor, zusätzliche Anbieter einzusetzen oder bei Ausfall auf Fallback-Anbieter umzuschalten. Ein solcher Austausch innerhalb einer Kategorie mit gleichwertigem Schutzniveau gilt nicht als wesentliche Änderung dieser Liste.

  • Text-zu-Sprache-Fallback: Bei Ausfall von Azure Speech Services kann ein alternativer TTS-Anbieter eingesetzt werden (z.B. ElevenLabs Inc., Amazon Polly), sofern das Schutzniveau gleichwertig ist.
  • LLM-Fallback: Bei Kapazitäts-Ausfall der Primär-Modelle (Vertex AI Claude/Gemini) kann auf weitere LLM-Provider zurückgegriffen werden (z.B. Azure OpenAI, Mistral EU), sofern EU-Residenz und Zero Data Retention garantiert sind.
  • CDN / Edge-Caching: Zur Performance-Optimierung kann zusätzlich ein CDN eingesetzt werden (z.B. Cloudflare, Fastly), sofern EU-Routing und DPA vorhanden sind.
  • Live-GPS-Tracking-Erweiterung (Post-Go-Live, opt-in pro Tenant): Sobald ein Tenant das aktive GPS-Tracking seiner Mitarbeiter aktiviert (mit Betriebsrats-Vereinbarung und Einwilligung der Beschäftigten), kann optional ein Routing-Anbieter für Live-ETA-Berechnungen ergänzt werden (z.B. Google Maps Directions API). Aktivierung erfolgt mit 30 Tagen Vorankündigung und nur, wenn der Tenant GPS-Tracking selbst freischaltet. Die heute bereits aktive Adress-Autocomplete- und Reverse-Geocoding-Kette (Google Places + Geoapify) wird davon nicht berührt.
  • SMS- und WhatsApp-Versand (Post-Go-Live, Dispatch-Kunden-Benachrichtigungen): Für SMS-Versand bei Dispatch-Benachrichtigungen (Post-GL-Erweiterung zu „Auf dem Weg"-E-Mails) kann Twilio (Ireland) eingesetzt werden; für WhatsApp-Business-Versand die bestehende Unipile-Integration. Aktivierung pro Tenant auf ausdrückliche Anforderung unter „Einstellungen → Benachrichtigungen".

Änderungshistorie

07.05.2026 — Sprint Lex-α.6: Lexware Office (Haufe-Lexware GmbH & Co. KG, Freiburg im Breisgau) und sevDesk (sevDesk GmbH, Karlsruhe) als optionale Datenquellen / Migrations-Schnittstellen aufgenommen. Beide DE-EU-hosted, kein Drittland-Transfer. Read-only Lesezugriff für einmalige Datenmigration der Tenant-Bestandsdaten (Kontakte, Rechnungen, Belege, Kategorien, Artikel) in einen NexDeck-Staging-Bereich (max. 30 Tage). Aktivierung erfolgt ausschließlich, wenn der Tenant im Migration-Wizard einen API-Key/Token hinterlegt — Default: nicht aktiv. Rechtsmodell: Tenant ist Verantwortlicher der bei Lexware/sevDesk gespeicherten Daten und beauftragt NexDeck mit dem Lesezugriff; NexDeck ist Auftragsverarbeiter des Tenants für das Staging. Datenschutzerklärung-Version Bump auf 2026-05-07 — Bestandstenants werden über das ConsentRefreshGate informiert.

28.04.2026 — Maps Pre-GL-Architektur live. Geoapify (KEPTAGO LTD, Cyprus, EU-Hosting via Hetzner DE/FI) als 20. Auftragsverarbeiter aufgenommen für Reverse-Geocoding (Admin-Workflows + Batch-Imports). Google Maps Platform (Google Ireland Ltd. / Google LLC) als eigenständiger Verantwortlicher in der neuen Sektion „Datenempfänger" ergänzt — kein Auftragsverarbeitungsverhältnis (Controller-Controller-Beziehung). AWS-Eintrag erweitert um S3-Bucket nexdeck-pmtiles (Karten-Tile-Fallback, ausschließlich öffentliches OpenStreetMap-Material). Upstash-Eintrag um Maps-Cost-Safety-Kill-Switch ergänzt. Alle Maps-Subprocessor-Einträge sind von Beginn an Teil der initialen AVV (Pre-Go-Live, kein 30-Tage-Prozess erforderlich).

17.04.2026 (abends) — OneSignal-Eintrag präzisiert: primäre Rechenzentren liegen in der EU (Niederlande), EMEA-HQ in London. EU/UK-IP-Adressen werden nicht gespeichert. Zusätzlich wurde auf NexDeck-Seite ein Push-Privacy-Sanitizer implementiert (siehe AGB § 11b) — Tenants können wählen, ob Push-Bodies volle Klarnamen enthalten (Default) oder auf Sperrbildschirm-Vorschau als Kategorie reduziert werden. ElevenLabs Inc. als dokumentierter Subprozessor entfernt — aktuell nicht im Einsatz, zukünftige TTS-Anbieter-Wechsel sind durch § 11b Abs. 3 abgedeckt (Kategorie-Ansatz).

17.04.2026 — Anthropic (Direct API) als Subprozessor entfernt. Chat-Titel-Generierung läuft nun ausschließlich über Vertex AI Claude Haiku (Belgien, europe-west1). Der bisherige US-Notfall-Fallback ist per „DSGVO Hard Fail“ im Claude-Client deaktiviert — fällt EU-Verarbeitung aus, wird der Dienst bewusst unterbrochen statt nach USA zu routen.

17.04.2026 — Migration der Workflow-Orchestrierung von Inngest, Inc. (USA) auf Upstash QStash Workflows (eu-central-1 Frankfurt). Inngest als Subprozessor entfernt, Upstash-Eintrag um Workflow-Funktion ergänzt. Keine Änderung an verarbeiteten Datenkategorien.

16.04.2026 — Initiale Veröffentlichung der Subprozessor-Liste. Umstellung von Azure OpenAI Embeddings / GPT-4o-mini auf Vertex AI Gemini (Frankfurt) und Vertex AI Claude (Belgien) als Primär-Provider. Azure OpenAI Whisper bleibt für Batch-STT aktiv.

Kontakt für Datenschutz-Fragen

Fragen zur Unterauftragsverarbeitung richten Sie bitte an: datenschutz@nexdeck.de

← DatenschutzerklärungAVVAGBImpressum