Vertrag zur Auftragsverarbeitung (AVV)

Vertragsparteien

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „NexDeck“. Die Verarbeitung umfasst die Speicherung, Organisation, Abfrage und Übermittlung der vom Auftraggeber eingegebenen Daten.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (SaaS-Abonnement). Nach Vertragsende werden die Daten gemäß dem Löschkonzept (Anlage 3) behandelt.

(3) Art der Verarbeitung: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung, Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung (an Unterauftragnehmer gemäß Anlage 2), Abgleich, Verknüpfung, Einschränkung, Löschen.

(4) Zweck der Verarbeitung: Bereitstellung der NexDeck-Plattform einschließlich CRM, Rechnungsstellung, Projekt- und Aufgabenverwaltung, Kommunikation (E-Mail, Chat, Telefonie), KI-gestützte Belegerfassung, Sprachassistent, Dokumentenverwaltung und Berichtswesen.

(4a) Dispatch-spezifische Verarbeitungszwecke (Session 17.3):

• Kunden-Benachrichtigungen (z.B. „Auf dem Weg"-Status-E-Mail beim Einsatz-Start) via AWS SES (eu-north-1, Stockholm). Versand nur nach Consent des Endkunden, mit Widerrufs-Link.
• GPS-Standortverarbeitung (Workforce-Tracking) — optionale, vom Auftraggeber selbst zu aktivierende Funktion. Verarbeitung von GPS-Koordinaten (Breitengrad/Längengrad + Zeitstempel) während aktiver Einsatz-Zeiten zur Disposition, Fahrzeit-Kalkulation und Kunden-ETA-Kommunikation. Verarbeitung nur nach individueller Mitarbeiter-Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und nach rechtsverbindlicher Bestätigung der Verantwortlichen-Pflichten durch den Auftraggeber (DSFA, DSB, Betriebsratsvereinbarung, Mitarbeiter-Information).

(4b) Aktivierungsverantwortung GPS-Tracking: Die Aktivierung der GPS-Funktion erfolgt ausschließlich durch den Auftraggeber (Tenant-Owner) im Self-Service. Der Auftragnehmer (NexDeck) entscheidet nicht über das Ob der GPS-Verarbeitung, sondern stellt die Infrastruktur bereit und verarbeitet ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Aktivierungserklärung wird mit IP, User-Agent und Zeitstempel im Audit-Log gespeichert.

(4c) Marketing-Stack-Verarbeitungszwecke (Sprint G):

• Email-Marketing-Sequenzen (Drip-Sequences): automatisierte Versendung von Marketing-Mails an Endkunden/Leads des Auftraggebers (Subject- und Body-Templates inkl. Liquid-Variablen wie Vorname, Firma).
• Double-Opt-In-Verfahren (DOI): Einsammlung und Bestätigung von Marketing-Consent gemäß § 7 UWG inkl. Token-basierter Bestätigungs-Mail, IP-Logging zum Anmelde- und Bestätigungs-Zeitpunkt.
• One-Click-Unsubscribe (RFC 8058 / Gmail-Yahoo Bulk-Sender 2024-02): Verwaltung von Abmelde-Tokens (HMAC-deterministisch, 1 Jahr Gültigkeit), List-Unsubscribe-Header in Marketing-Mails, automatisches Suspend bei Klick.
• BGB § 312k Cancellation-Magic-Link: Token-basierter Kündigungs-Workflow für Verbraucher-Verträge des Auftraggebers (48h-Magic-Link, 7d Aufbewahrung post-Expiry, danach automatische Löschung gemäß DSGVO Art. 5 Abs. 1 lit. e).

(4d) Weisungsbezogenheit Marketing-Stack: Die Verarbeitung im Marketing-Stack (4c) erfolgt ausschließlich auf konkrete dokumentierte Weisung des Auftraggebers. Konkret weist der Auftraggeber an durch: (a) Erstellung/Aktivierung einer Email-Sequenz, (b) Konfiguration der Liquid-Templates, (c) Pflege/Anhang einer Empfänger-Liste (Subscriber-Pool nach DOI-Confirm), (d) Aktivierung/Konfiguration der Cancellation-Magic-Link-Workflows. Der Auftragnehmer stellt nur die technischen Default-Templates und Infrastruktur bereit, ohne eigenes Marketing-Interesse oder eigene Festlegung der Empfängerkreise. Die Aktivierung jeder Sequenz wird mit IP, User-Agent und Zeitstempel im Audit-Log gespeichert (append-only, GoBD § 146 AO konform).

(4e) Hard-Lock-Mechanismus (LG Hildesheim 2024 Schutz):Vor Aktivierung einer Marketing-Sequenz und vor jedem einzelnen Marketing-Mail-Versand prüft die Plattform automatisiert die Vollständigkeit der vom Auftraggeber gepflegten Pflichtangaben nach § 5 DDG. Sind Pflichtangaben unvollständig, blockiert die Plattform den Versand und pausiert ggf. bereits aktive Sequenzen. Die Sperrung wird im Audit-Log dokumentiert und ist Beweismittel für die ordnungsgemäße Mitwirkung des Auftragnehmers an der Compliance des Auftraggebers.

§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen

2.1 Kategorien personenbezogener Daten

• Stammdaten: Name, Firma, Anschrift, E-Mail, Telefon
• Vertragsdaten: Rechnungen, Angebote, Projekte, Verträge
• Kommunikationsdaten: E-Mail-Inhalte, Chat-Nachrichten, Anrufprotokolle
• Finanzdaten: Zahlungsinformationen, IBAN, Steuernummern
• Nutzungsdaten: Login-Zeiten, Geräteinformationen, IP-Adressen
• Sprach- und Textdaten: Voice-Transkripte, KI-Interaktionen
• Bilddaten: Fotos, gescannte Belege, Dokumente
• Dispatch-Kommunikationsdaten (Session 17.3-A): Kunden-E-Mail-Adresse, Klarname, Anrede, Inhalt der „Auf dem Weg"-Email inkl. geplanter Ankunftszeit und Monteur-Name. Consent-Status + Unsubscribe- Token pro Kunde.
• GPS-Standortdaten (Session 17.3-B, optional aktivierbar): GPS-Koordinaten (Breitengrad, Längengrad, Genauigkeit) mit Zeitstempel, Mitarbeiter-ID, Einsatz-ID. Einwilligungs-Metadaten (Einwilligungs-Zeitpunkt, IP-Adresse, User-Agent, Policy-Version, ggf. Widerrufs-Zeitpunkt).
• Geocodierte Adressdaten (Maps Pre-GL, seit 2026-04-28): Breiten- und Längengrad-Koordinaten von Kunden- und Projektadressen, bezogen entweder über die EU-bound Reverse-Geocoding-API der KEPTAGO LTD („Geoapify", Sitz Cyprus, Hosting auf Hetzner-Servern in Deutschland und Finnland) als unserem Auftragsverarbeiter oder über Adress-Autocomplete- Vorschläge der Google Maps Platform (eigenständiger Verantwortlicher, Details siehe Datenschutzerklärung Abschnitt 4a und Anlage 2 Subprozessor-Liste). Die Koordinaten werden ausschließlich am ausgewählten Datensatz (Kunde, Projekt, Lead) gespeichert; keine separate GPS-Trajektorien-Verarbeitung im Rahmen dieses Datensatztyps.

2.2 Kategorien betroffener Personen

• Mitarbeiter und Nutzer des Auftraggebers
• Kunden und Geschäftspartner des Auftraggebers
• Lieferanten und Subunternehmer des Auftraggebers
• Interessenten und Leads des Auftraggebers

§ 3 Pflichten des Auftragnehmers

Der Auftragnehmer

• verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). Die Weisungen ergeben sich aus dem Hauptvertrag und der Nutzung der Plattform.
• gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
• ergreift alle gemäß Art. 32 DSGVO erforderlichen Sicherheitsmaßnahmen. Die konkreten technisch-organisatorischen Maßnahmen sind in Anlage 1 (TOM) beschrieben.
• beachtet die Bedingungen für die Inanspruchnahme der in Anlage 2 aufgefuehrten Unterauftragnehmer (Art. 28 Abs. 2 und 4 DSGVO).
• unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten bezüglich der Rechte betroffener Personen (Art. 28 Abs. 3 lit. e DSGVO), insbesondere durch:
  • Technische Möglichkeit zum Datenexport (JSON-Export in Kontoeinstellungen)
  • Technische Möglichkeit zur Datenlöschung (Account-Löschfunktion)
  • Technische Möglichkeit zur Datenberichtigung
• unterstützt den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschaetzung).
• löscht nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten oder gibt sie zurück (siehe Anlage 3: Löschkonzept). Die Löschung erfolgt spätestens 30 Tage nach Vertragsende. Ausnahme: gesetzliche Aufbewahrungspflichten (z.B. §147 AO: 10 Jahre für steuerrelevante Belege).
• stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überpruefungen (Audits).

§ 3a Routing von Betroffenen-Anfragen (DSGVO Art. 12-22)

(1) Verantwortlicher = Auftraggeber: Anfragen von Endkunden des Auftraggebers nach Art. 15-22 DSGVO (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) sind direkt an den Auftraggeber als Verantwortlichen zu richten. Der Auftragnehmer ist nicht autorisiert, eigenständig Auskünfte über Endkunden-Daten zu erteilen oder Daten zu löschen, die ausschließlich der Auftragsverwaltung des Auftraggebers unterliegen.

(2) Weiterleitungspflicht: Erreicht den Auftragnehmer versehentlich eine Endkunden-Anfrage (z.B. an datenschutz@nexdeck.de), leitet er diese innerhalb von 5 Werktagen an den zuständigen Tenant weiter und informiert den Endkunden über die Weiterleitung. Die Anfrage wird im Audit-Log dokumentiert.

(3) Technische Unterstützung: Der Auftragnehmer stellt dem Auftraggeber zur Beantwortung von Endkunden-Anfragen folgende Self-Service-Tools bereit: (a) DSAR-Export-RPC im Admin-Panel (JSON+CSV-Export aller Endkunden-bezogenen Datensätze), (b) Such- und Filter-Funktionen über Subscriber-/Lead-/Client-Tabellen, (c) Lösch-Action mit Soft-Delete + 30-Tage-Karenz + automatischer Anonymisierung (DSGVO Art. 17 + § 147 AO 10y-Aufbewahrung).

(4) SLA: Der Auftraggeber muss Endkunden-Anfragen innerhalb der gesetzlichen Monatsfrist (Art. 12 Abs. 3 DSGVO) beantworten. Der Auftragnehmer unterstützt durch unverzügliche Bereitstellung der angeforderten Daten via Self-Service oder, falls technisch ausgeschlossen, innerhalb von 5 Werktagen ab Anfrage des Auftraggebers.

§ 4 Pflichten des Auftraggebers

Der Auftraggeber

• ist für die Rechtmaessigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
• erteilt Weisungen über die Art, den Umfang und das Verfahren der Datenverarbeitung.
• informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmaessigkeiten bei der Verarbeitung feststellt.
• stellt sicher, dass die in NexDeck eingegebenen Daten rechtmäßsig erhoben wurden und eine Rechtsgrundlage für die Verarbeitung besteht.

§ 5 Unterauftragnehmer (Subunternehmer)

(1) Pauschale Zustimmung: Der Auftraggeber erteilt im Sinne des Art. 28 Abs. 2 Satz 2 DSGVO eine allgemeine schriftliche Zustimmung zur Einschaltung weiterer Unterauftragnehmer durch den Auftragnehmer. Die jeweils aktuelle Liste der eingesetzten Unterauftragnehmer wird öffentlich geführt unter nexdeck.app/subprocessors (entspricht Anlage 2 dieses AVV) und ist jederzeit einsehbar. Die Liste wird versioniert mit Datum gepflegt; Änderungen sind dort nachvollziehbar.

(2) Gleichwertiges Schutzniveau: Der Auftragnehmer verpflichtet sich, mit jedem Unterauftragnehmer einen Vertrag zu schließen, der dieselben Datenschutzpflichten gewährleistet wie dieser AVV, einschließlich technisch-organisatorischer Maßnahmen, Zero Data Retention bei KI-Modellen und Transfergrundlagen nach Art. 44 ff. DSGVO (DPF, EU-Standardvertragsklauseln).

(3) Ankündigung & Widerspruchsrecht: Geplante Hinzuziehungen oder Ersetzungen von Unterauftragnehmern werden dem Auftraggeber mindestens 30 Tage vor Wirksamkeit per E-Mail und/oder In-App-Benachrichtigung angekündigt. Der Auftraggeber kann innerhalb von 30 Tagen nach Zugang der Mitteilung aus berechtigten datenschutzrechtlichen Gründen Einspruch erheben.

(4) Einspruchsfolgen: Bei berechtigtem Einspruch bemühen sich die Parteien um eine einvernehmliche Lösung (z.B. durch Einsatz eines anderen Unterauftragnehmers mit äquivalenter Funktion). Kommt keine Einigung zustande, hat der Auftraggeber ein außerordentliches Kündigungsrecht zum geplanten Änderungsdatum. Bis dahin gilt der bisherige Stand fort.

(5) Kategorien-Ansatz:Der Auftragnehmer gruppiert eingesetzte Dienstleister nach technischen Kategorien (z.B. „LLM-Anbieter für Textanalyse“, „Sprach-zu-Text-Dienst“, „Cloud-Hosting“). Der Austausch innerhalb einer Kategorie mit gleichwertigem Schutzniveau (etwa Umschaltung auf einen Fallback-Anbieter bei Ausfall oder aus Kosten-/Qualitätsgründen) stellt keine wesentliche Änderung im Sinne von Absatz 3 dar, sondern gilt als Wartung der technischen Infrastruktur. Die öffentliche Subprozessor- Liste wird auch in diesem Fall zeitnah aktualisiert.

(6) KI-Modell-Updates: Aktualisierungen der eingesetzten KI-Modelle (Provider, Version, Region) gelten ebenfalls als Wartung gemäß Absatz 5, sofern Zero-Data-Retention-Garantien und EU-Residenz (oder gleichwertige Transfergrundlage) erhalten bleiben. Eine gesonderte Ankündigung erfolgt nur bei erstmaligem Einsatz einer neuen Kategorie (z.B. erstmaliger Einsatz einer Audio-Transkriptionstechnologie).

(7) Maps & Geocoding (Pre-GL, seit 2026-04-28): Für Reverse-Geocoding (Auflösung Geo-Koordinaten → Adresse) in Admin- Workflows setzt der Auftragnehmer die KEPTAGO LTD (handelnd unter „Geoapify", Sitz Cyprus, Hosting auf Hetzner-Servern in Deutschland und Finnland, EU-Endpoint api-eu.geoapify.com) als Auftragsverarbeiter nach Art. 28 DSGVO ein. Der entsprechende DPA ist verbindlich über die API-Nutzung (siehe Geoapify DPA). Die Adress-Eingabe von Endkunden erfolgt über die Google Maps Platform (Google Ireland Limited als Vertragspartner für EU); Google ist dabei eigenständiger Verantwortlicher (Controller-Controller-Verhältnis), nicht Auftragsverarbeiter des Auftragnehmers. Diese Konstellation wird in der Datenschutzerklärung Abschnitt 4a transparent gemacht.

(8) Sub-Processor-Tiering: Der Auftragnehmer führt ein internes Risiko-Tiering der Unter-Auftragsverarbeiter in den folgenden Klassen:

• Tier 1 (Infrastruktur): Datenbank-, Hosting- und Storage-Anbieter (z. B. Supabase, Vercel, AWS).
• Tier 2 (Kritisch): Zahlungs-, Messaging-, Auth- und Monitoring-Dienste (z. B. Stripe, Unipile, OneSignal, Sentry).
• Tier 3 (Optional): Nutzungsabhängige Add-On-Anbieter (z. B. Sipgate, Lexware, sevDesk, Geoapify).
• Tier 4 (KI): KI-Modell-Anbieter über regionale Endpunkte (z. B. Anthropic via AWS Bedrock EU, Google Vertex AI EU, Azure OpenAI Whisper EU).

Auf begründete Anfrage des Auftraggebers stellt der Auftragnehmer einen aggregierten Tiering-Report zur Verfügung. Die Bereitstellung erfolgt innerhalb von 14 Werktagen nach Anfrage. Der Tiering-Report umfasst pro Sub-Processor: Tier-Klassifikation, Sitz, Hauptdienste, DPA-Verfügbarkeits-Status und Sicherheits-Zertifikate (falls vorhanden). Die Liste der aktiven Sub-Processors ist öffentlich unter /subprocessors einsehbar und wird im 3-Wege-Sync-Pattern mit Trust-Center und AVV-Annex synchronisiert.

§ 6 Datenübermittlung in Drittlaender

(1) Die primaere Datenverarbeitung erfolgt in der EU (Frankfurt am Main, Deutschland). Einige Unterauftragnehmer haben ihren Sitz in den USA (siehe Anlage 2).

(2) Die Übermittlung personenbezogener Daten in die USA erfolgt ausschließlich auf Grundlage des EU-U.S. Data Privacy Frameworks (DPF-Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) oder der EU-Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914).

(3) Alle in Anlage 2 aufgefuehrten US-Unterauftragnehmer sind unter dem DPF zertifiziert oder haben SCC unterzeichnet.

§ 7 Meldepflicht bei Datenschutzverletzungen

(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich (spätestens 24 Stunden) nach Kenntniserlangung über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung umfasst mindestens:

• Beschreibung der Art der Verletzung inkl. Kategorien und ungefaehre Anzahl der betroffenen Personen
• Name und Kontaktdaten der Ansprechperson für weitere Informationen
• Beschreibung der wahrscheinlichen Folgen der Verletzung
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

§ 7a NIS2-Mitwirkung und Kaskaden-Meldungen

(1) Soweit der Auftragnehmer im Sinne der NIS2-Richtlinie bzw. des BSIG als Teil der Lieferkette des Auftraggebers zur Mitwirkung verpflichtet ist, gilt zusätzlich zur 24-Stunden-Meldung nach § 7 Abs. 1 die folgende 3-Stufen- Kaskade analog Art. 23 NIS2-Richtlinie / § 32 BSIG:

• Frühwarnung binnen 24 Stunden nach Kenntniserlangung mit Aussage zu vermuteter Bösartigkeit und grenzüberschreitender Wirkung.
• Substantielle Folgemeldung binnen 72 Stunden mit Schweregrad, Auswirkungen und Kompromittierungs-Indikatoren (IoCs).
• Abschlussbericht binnen eines Monats mit Root-Cause-Analyse und Mitigationsmaßnahmen.

(2) Bei einem signifikanten Sicherheitsvorfall bei einem Unter-Auftragsverarbeiter (Sub-Processor) propagiert der Auftragnehmer diesen binnen 24 Stunden nach eigener Kenntniserlangung an den Auftraggeber.

(3) Meldekanal: E-Mail an die im Admin-Bereich hinterlegte Security-Adresse zuzüglich In-App-Banner. Auf begründete Anfrage stellt der Auftragnehmer dem Auftraggeber innerhalb von 72 Stunden einen Vorfall-Report zur Verfügung, der den Auftraggeber bei dessen eigener BSI-Meldung nach § 32 BSIG unterstützt.

(4) Klarstellung zur eigenen Pflicht: Der Auftragnehmer ist nach der eigenen Betroffenheitsprüfung (Selbstklassifizierung Stand 2026-06-15) selbst nicht direkt NIS2-pflichtig. Eine eigene BSI-Meldung erfolgt nur, sofern die NIS2-Pflicht zukünftig eintritt. Diese Klausel regelt ausschließlich die Unterstützung des Auftraggebers in dessen Lieferketten-Verantwortung nach Art. 21 Abs. 2 lit. d NIS2-Richtlinie. Eine verbindliche Bewertung der eigenen NIS2-Pflichten kann ausschließlich durch das BSI, eine akkreditierte Prüfstelle oder qualifizierte Rechtsberatung erfolgen. Anbieter: Kre8ive Evolution GmbH i.G. (in Gründung — HRB-Eintragung ausstehend). Bis zur Eintragung gilt für rechtsgeschäftliche Handlungen § 11 Abs. 2 GmbHG (Handelndenhaftung). Nach Umfirmierung zur eingetragenen GmbH erfolgt eine erneute Betroffenheitsprüfung nach § 32 BSIG.

§ 8 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, Überpruefungen durchzufuehren oder durch einen beauftragten Pruefer durchführen zu lassen. Der Auftragnehmer stellt die dafür erforderlichen Informationen zur Verfügung.

(2) Inspektionen vor Ort sind mit einer Vorlaufzeit von mindestens 14 Tagen anzukündigen und duerfen den Geschäftsbetrieb nicht unverhaeltnismaessig stoeren. Der Auftraggeber traegt die Kosten seiner Überpruefung.

(3) Alternativ kann der Nachweis der Einhaltung durch Vorlage aktueller Zertifizierungen, Testberichte oder Auditberichte erbracht werden.

(4) Enterprise-Audit-Add-On: Für Auftraggeber mit NIS2-Lieferketten-Verpflichtung stellt der Auftragnehmer jährlich auf Anfrage bereit:

• eine gekürzte Fassung des letzten externen Pen-Test-Reports,
• einen aggregierten Compliance-Status-Bericht (SOC-2-äquivalent),
• auf Wunsch ein virtuelles Audit-Meeting (max. 2 Stunden).

Die Bereitstellung erfolgt kostenfrei einmal jährlich; zusätzliche Audits werden nach Aufwand abgerechnet (Standard-Satz 150,00 € pro Stunde, zuzüglich gesetzlicher Umsatzsteuer).

(5) Trust-Center-Zugang: Der Auftraggeber kann jederzeit auf öffentlich verfügbare Compliance-Dokumente unter /trust zugreifen, darunter TOM, Sub-Processor-Liste, Vulnerability-Disclosure-Policy, Shared-Responsibility-Matrix und NIS2-Selbstauskunft.

§ 9 Haftung

Fuer die Haftung gilt Art. 82 DSGVO. Danach haftet jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wird.

§ 10 Laufzeit und Kündigung

(1) Dieser AVV ist an den Hauptvertrag (SaaS-Abonnement) gebunden und gilt für dessen Dauer.

(2) Rechte und Pflichten, die über die Beendigung hinaus bestehen (insbesondere Löschpflichten und Aufbewahrungsfristen), bleiben unberührt.