gemaess Art. 28 DSGVO
Vertragsparteien
Auftragsverarbeiter (nachfolgend „Auftragnehmer“):
Kre8ive Evolution UG (haftungsbeschraenkt)
Kastellstr. 34
46147 Oberhausen
Geschaeftsfuehrer: Stephan Grundmeyer
E-Mail: datenschutz@nexdeck.de
Verantwortlicher (nachfolgend „Auftraggeber“):
Der Kunde/Mandant, der die NexDeck-Plattform nutzt (jeweiliger Tenant). Die Identitaet ergibt sich aus dem Nutzungsvertrag (SaaS-Abonnement).
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „NexDeck“. Die Verarbeitung umfasst die Speicherung, Organisation, Abfrage und Uebermittlung der vom Auftraggeber eingegebenen Daten.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (SaaS-Abonnement). Nach Vertragsende werden die Daten gemaess dem Löschkonzept (Anlage 3) behandelt.
(3) Art der Verarbeitung: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung, Veraenderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Uebermittlung (an Unterauftragnehmer gemaess Anlage 2), Abgleich, Verknuepfung, Einschraenkung, Loeschen.
(4) Zweck der Verarbeitung: Bereitstellung der NexDeck-Plattform einschliesslich CRM, Rechnungsstellung, Projekt- und Aufgabenverwaltung, Kommunikation (E-Mail, Chat, Telefonie), KI-gestuetzte Belegerfassung, Sprachassistent, Dokumentenverwaltung und Berichtswesen.
§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen
2.1 Kategorien personenbezogener Daten
- Stammdaten: Name, Firma, Anschrift, E-Mail, Telefon
- Vertragsdaten: Rechnungen, Angebote, Projekte, Vertraege
- Kommunikationsdaten: E-Mail-Inhalte, Chat-Nachrichten, Anrufprotokolle
- Finanzdaten: Zahlungsinformationen, IBAN, Steuernummern
- Nutzungsdaten: Login-Zeiten, Geraeteinformationen, IP-Adressen
- Sprach- und Textdaten: Voice-Transkripte, KI-Interaktionen
- Bilddaten: Fotos, gescannte Belege, Dokumente
2.2 Kategorien betroffener Personen
- Mitarbeiter und Nutzer des Auftraggebers
- Kunden und Geschaeftspartner des Auftraggebers
- Lieferanten und Subunternehmer des Auftraggebers
- Interessenten und Leads des Auftraggebers
§ 3 Pflichten des Auftragnehmers
Der Auftragnehmer
- verarbeitet die personenbezogenen Daten ausschliesslich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). Die Weisungen ergeben sich aus dem Hauptvertrag und der Nutzung der Plattform.
- gewaehrleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
- ergreift alle gemaess Art. 32 DSGVO erforderlichen Sicherheitsmassnahmen. Die konkreten technisch-organisatorischen Maßnahmen sind in Anlage 1 (TOM) beschrieben.
- beachtet die Bedingungen fuer die Inanspruchnahme der in Anlage 2 aufgefuehrten Unterauftragnehmer (Art. 28 Abs. 2 und 4 DSGVO).
- unterstuetzt den Auftraggeber bei der Erfuellung seiner Pflichten bezüglich der Rechte betroffener Personen (Art. 28 Abs. 3 lit. e DSGVO), insbesondere durch:
- Technische Moeglichkeit zum Datenexport (JSON-Export in Kontoeinstellungen)
- Technische Moeglichkeit zur Datenloeschung (Account-Loeschfunktion)
- Technische Moeglichkeit zur Datenberichtigung
- unterstuetzt den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschaetzung).
- loescht nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten oder gibt sie zurueck (siehe Anlage 3: Löschkonzept). Die Löschung erfolgt spätestens 30 Tage nach Vertragsende. Ausnahme: gesetzliche Aufbewahrungspflichten (z.B. §147 AO: 10 Jahre fuer steuerrelevante Belege).
- stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfuegung und ermoeglicht Ueberpruefungen (Audits).
§ 4 Pflichten des Auftraggebers
Der Auftraggeber
- ist fuer die Rechtmaessigkeit der Datenverarbeitung sowie fuer die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
- erteilt Weisungen über die Art, den Umfang und das Verfahren der Datenverarbeitung.
- informiert den Auftragnehmer unverzueglich, wenn er Fehler oder Unregelmaessigkeiten bei der Verarbeitung feststellt.
- stellt sicher, dass die in NexDeck eingegebenen Daten rechtmaessig erhoben wurden und eine Rechtsgrundlage fuer die Verarbeitung besteht.
§ 5 Unterauftragnehmer (Subunternehmer)
(1) Der Auftraggeber stimmt der Einschaltung der in Anlage 2 aufgefuehrten Unterauftragnehmer zu. Der Auftragnehmer hat mit jedem Unterauftragnehmer einen Vertrag geschlossen, der die gleichen Datenschutzpflichten gewaehrleistet wie dieser AVV.
(2) Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen bezüglich der Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Auftraggeber kann gegen solche Änderungen Einspruch erheben. Der Einspruch muss innerhalb von 14 Tagen nach Mitteilung erfolgen.
(3) Bei berechtigtem Einspruch bemuehen sich die Parteien um eine einvernehmliche Loesung. Kommt keine Einigung zustande, hat der Auftraggeber ein Sonderkuendigungsrecht.
§ 6 Datenuebermittlung in Drittlaender
(1) Die primaere Datenverarbeitung erfolgt in der EU (Frankfurt am Main, Deutschland). Einige Unterauftragnehmer haben ihren Sitz in den USA (siehe Anlage 2).
(2) Die Uebermittlung personenbezogener Daten in die USA erfolgt ausschliesslich auf Grundlage des EU-U.S. Data Privacy Frameworks (DPF-Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) oder der EU-Standardvertragsklauseln (SCC, Durchfuehrungsbeschluss 2021/914).
(3) Alle in Anlage 2 aufgefuehrten US-Unterauftragnehmer sind unter dem DPF zertifiziert oder haben SCC unterzeichnet.
§ 7 Meldepflicht bei Datenschutzverletzungen
(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzueglich (spätestens 24 Stunden) nach Kenntniserlangung über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
(2) Die Meldung umfasst mindestens:
- Beschreibung der Art der Verletzung inkl. Kategorien und ungefaehre Anzahl der betroffenen Personen
- Name und Kontaktdaten der Ansprechperson fuer weitere Informationen
- Beschreibung der wahrscheinlichen Folgen der Verletzung
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
§ 8 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, Ueberpruefungen durchzufuehren oder durch einen beauftragten Pruefer durchfuehren zu lassen. Der Auftragnehmer stellt die dafuer erforderlichen Informationen zur Verfuegung.
(2) Inspektionen vor Ort sind mit einer Vorlaufzeit von mindestens 14 Tagen anzukuendigen und duerfen den Geschaeftsbetrieb nicht unverhaeltnismaessig stoeren. Der Auftraggeber traegt die Kosten seiner Ueberpruefung.
(3) Alternativ kann der Nachweis der Einhaltung durch Vorlage aktueller Zertifizierungen, Testberichte oder Auditberichte erbracht werden.
§ 9 Haftung
Fuer die Haftung gilt Art. 82 DSGVO. Danach haftet jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter fuer den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wird.
§ 10 Laufzeit und Kuendigung
(1) Dieser AVV ist an den Hauptvertrag (SaaS-Abonnement) gebunden und gilt fuer dessen Dauer.
(2) Rechte und Pflichten, die über die Beendigung hinaus bestehen (insbesondere Loeschpflichten und Aufbewahrungsfristen), bleiben unberuehrt.
Anlage 1: Technisch-Organisatorische Maßnahmen (TOM)
gemaess Art. 32 DSGVO
1. Zutrittskontrolle
Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren:
- Kein eigener Serverraum: Alle Daten werden bei zertifizierten Cloud-Providern gehostet (Supabase/AWS in EU-Frankfurt).
- Cloud-Provider ISO 27001 zertifiziert (AWS, Google Cloud).
- Physische Bueroraeueme durch Schluessel gesichert. Keine Kundendaten auf lokalen Geraeten.
2. Zugangskontrolle
Maßnahmen, die die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindern:
- Starke Passwort-Policy: Mindestens 8 Zeichen, Gross-/Kleinbuchstaben, Ziffern
- Multi-Faktor-Authentifizierung (MFA) fuer Admin-Zugaenge
- OAuth 2.0 mit verschluesselten Token (AES-256)
- Session-Management mit automatischem Timeout
- Rate Limiting auf API-Endpoints (Upstash Redis)
- Fehlgeschlagene Login-Versuche werden geloggt und nach 10 Fehlversuchen temporaer gesperrt
3. Zugriffskontrolle
Maßnahmen, die gewaehrleisten, dass Berechtigte nur auf die ihrer Berechtigung unterliegenden Daten zugreifen:
- Row Level Security (RLS): Strikte Mandantentrennung auf Datenbankebene. Jeder Tenant kann nur auf seine eigenen Daten zugreifen.
- Rollenbasiertes Zugriffssystem (Owner, Admin, Member, Viewer)
- Server-seitige tenant_id Validierung bei jeder Anfrage
- Keine Cross-Tenant-Abfragen moeglich (Policy-Enforcement auf DB-Ebene)
- Service-Role-Key nur serverseitig, niemals im Frontend
4. Weitergabekontrolle
Maßnahmen, die gewaehrleisten, dass Daten bei Uebertragung nicht unbefugt gelesen, kopiert oder veraendert werden:
- TLS 1.2+ Verschluesselung fuer alle Datenuebertragungen
- AES-256 Verschluesselung fuer ruhende Daten (at rest)
- Sensible Daten (API-Keys, Tokens, IBAN) zusaetzlich anwendungsseitig verschluesselt
- S3 Object Lock (WORM) fuer finalisierte Rechnungen (GoBD)
- PII Redaction vor Uebermittlung an KI-Provider (KI-Act Compliance)
5. Eingabekontrolle
Maßnahmen zur Nachvollziehbarkeit von Dateneingaben:
- Audit-Trail: Jede Änderung an Finanzdaten wird mit Benutzer, Zeitstempel und alter/neuer Wert protokolliert
- Unveraenderbare Audit-Logs (append-only, kein DELETE)
- Versionierung von Dokumenten und Rechnungen
- Automatische Protokollierung aller Admin-Aktionen
6. Auftragskontrolle
Maßnahmen, die gewaehrleisten, dass Daten nur gemaess den Weisungen verarbeitet werden:
- AVV mit allen Unterauftragnehmern (siehe Anlage 2)
- Schriftliche Weisungsbindung aller Mitarbeiter
- Regelmaessige Datenschutzschulungen
- Zero Data Retention bei allen KI-Providern
7. Verfuegbarkeitskontrolle
Maßnahmen gegen zufällige Zerstörung oder Verlust:
- Automatische taegliche Backups der Datenbank (Supabase Point-in-Time Recovery)
- Georedundante Datenspeicherung (AWS eu-central-1)
- 99,5% Verfuegbarkeits-SLA (siehe AGB § 3)
- Error Monitoring mit Sentry (Ausfallwarnung in Echtzeit)
- DDoS-Schutz über Vercel Edge Network und Cloudflare
8. Trennungsgebot
Maßnahmen zur getrennten Verarbeitung verschiedener Auftraggeber-Daten:
- Multi-Tenant-Architektur: Jeder Mandant hat eine eigene tenant_id. Alle Datenbankabfragen sind durch RLS-Policies auf den jeweiligen Mandanten beschraenkt.
- Logische Trennung aller Mandantendaten (shared Database mit striktem Row Level Security)
- Separate S3-Pfade pro Mandant fuer Dokumente und Medien
- Separate Encryption Keys fuer besonders sensible Daten (API-Token, OAuth-Credentials)
Anlage 2: Liste der Unterauftragnehmer
Stand: Februar 2026. Der Auftraggeber wird über Änderungen informiert.
| Unterauftragnehmer | Sitz | Zweck | Verarbeitungsort | Garantie |
|---|
| Amazon Web Services EMEA SARL | Luxemburg, EU | S3 Storage, SES E-Mail, Textract OCR | EU (Frankfurt) | AVV |
| Supabase Inc. | USA | Datenbank, Auth, Realtime | EU (Frankfurt) | DPF + SCC |
| Vercel Inc. | USA | Frontend-Hosting, Edge Functions | Global (Edge) | DPF |
| Stripe Payments Europe, Ltd. | Irland, EU | Zahlungsabwicklung | EU (Irland) | AVV |
| Google Cloud EMEA Limited | Irland, EU | Vertex AI (KI-Modelle, OCR, Embeddings) | EU (Frankfurt) | AVV |
| Microsoft Corporation (Azure) | USA | Azure OpenAI, Neural TTS | EU (Schweden) | DPF + SCC |
| Unipile S.A.S. | Frankreich, EU | Multi-Channel Messaging (E-Mail, WhatsApp, LinkedIn) | EU (Frankreich) | AVV |
| Functional Software, Inc. (Sentry) | USA | Error Monitoring, Performance | USA | DPF |
| Inngest Inc. | USA | Background Jobs, Workflow-Engine | USA | DPF |
| Deepgram Inc. | USA | Sprache-zu-Text (Live-Transkription) | USA | DPF + ZDR |
| ElevenLabs Inc. | USA | Text-zu-Sprache (optional, Premium-TTS) | USA | DPF |
| Upstash Inc. | USA | Rate Limiting, Caching (Redis) | EU (Frankfurt) | DPF |
| OneSignal Inc. | USA | Push-Benachrichtigungen (Mobile) | USA | DPF |
| n8n GmbH | Deutschland, EU | Workflow-Automatisierung | EU (Deutschland) | AVV |
Legende:
- AVV: Auftragsverarbeitungsvertrag gemaess Art. 28 DSGVO
- DPF: EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss)
- SCC: EU-Standardvertragsklauseln
- ZDR: Zero Data Retention (keine Speicherung nach Verarbeitung)
Hinweis: Optionale Kunden-Integrationen
Dienste wie Lexware Office, sevDesk oder Sipgate, die der Auftraggeber mit eigenen Zugangsdaten anbindet, gelten nicht als Unterauftragnehmer des Auftragnehmers. Der Auftraggeber schliesst hier einen eigenen Vertrag mit dem jeweiligen Anbieter.
Anlage 3: Löschkonzept
gemaess Art. 17 DSGVO i.V.m. § 147 AO und GoBD
1. Loeschfristen nach Vertragsende
| Datenart | Loeschfrist | Grund |
|---|
| Inhaltsdaten (Projekte, Kunden, Notizen) | 30 Tage nach Vertragsende | Karenzzeit fuer Datenexport |
| Kommunikationsdaten (E-Mails, Chats) | 30 Tage nach Vertragsende | Karenzzeit fuer Datenexport |
| Rechnungen und steuerrelevante Belege | 10 Jahre (anonymisiert) | § 147 AO, GoBD |
| Angebote, Geschaeftsbriefe | 6 Jahre | § 147 AO |
| Audit-Logs | 10 Jahre | GoBD Nachweispflicht |
| Backups | 60 Tage nach Vertragsende | Technische Backup-Rotation |
| Stamm- und Abrechnungsdaten | 10 Jahre nach Vertragsende | § 147 AO (Buchungsbelege) |
| KI-Transkripte (Voice Sessions) | 90 Tage | Feedback-Loop, Debugging |
| RAG Embeddings (Knowledge Base) | Mit Löschung der Quelldaten | Kein eigenstaendiger Zweck |
2. Loeschverfahren
- Inhaltsdaten: Unwiderrufliches DELETE aus der Datenbank nach Ablauf der Karenzzeit.
- Steuerrelevante Daten: Anonymisierung der personenbezogenen Felder (Name, Adresse, Kontakt) bei Beibehaltung der buchungsrelevanten Informationen (Betraege, Steuernummern, Rechnungsnummern).
- S3-Dateien: Löschung nach Ablauf der Object-Lock-Retention-Periode.
- Backups: Automatische Rotation. Backup-Zyklen ueberschreiben aeltere Backups nach 60 Tagen.
- KI-Provider: Zero Data Retention - Daten werden nach Verarbeitung sofort geloescht (kein dauerhafter Speicher bei Google, Azure, Deepgram, ElevenLabs).
3. Löschung auf Anfrage (Art. 17 DSGVO)
Der Auftraggeber kann jederzeit die Löschung einzelner Datensaetze oder seines gesamten Accounts anfordern:
- Einzeldaten: Ueber die jeweilige Loeschfunktion in der Anwendung oder per E-Mail an datenschutz@nexdeck.de
- Gesamter Account: Ueber Einstellungen → Datenschutz → „Account löschen“ oder per E-Mail
- Bearbeitungszeit: Spaetestens 30 Tage nach Eingang der Anfrage
Einschraenkung: Daten, fuer die gesetzliche Aufbewahrungspflichten gelten (§ 147 AO), werden nicht geloescht, sondern anonymisiert.