Vertrag zur Auftragsverarbeitung (AVV)
gemäß Art. 28 DSGVO
Stand: 16. April 2026
Vertragsparteien
Auftragsverarbeiter (nachfolgend „Auftragnehmer“):
Stephan Grundmeyer (Einzelunternehmer)
handelnd unter den Marken „NexDeck“ und „Kre8ive Evolution“
Kastellstr. 34
46147 Oberhausen
Deutschland
Telefon: +49 176 76704120
E-Mail: datenschutz@nexdeck.de
Verantwortlicher (nachfolgend „Auftraggeber“):
Der Kunde/Mandant, der die NexDeck-Plattform nutzt (jeweiliger Tenant). Die Identität ergibt sich aus dem Nutzungsvertrag (SaaS-Abonnement).
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „NexDeck“. Die Verarbeitung umfasst die Speicherung, Organisation, Abfrage und Übermittlung der vom Auftraggeber eingegebenen Daten.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (SaaS-Abonnement). Nach Vertragsende werden die Daten gemäß dem Löschkonzept (Anlage 3) behandelt.
(3) Art der Verarbeitung: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung, Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung (an Unterauftragnehmer gemäß Anlage 2), Abgleich, Verknüpfung, Einschränkung, Löschen.
(4) Zweck der Verarbeitung: Bereitstellung der NexDeck-Plattform einschließlich CRM, Rechnungsstellung, Projekt- und Aufgabenverwaltung, Kommunikation (E-Mail, Chat, Telefonie), KI-gestützte Belegerfassung, Sprachassistent, Dokumentenverwaltung und Berichtswesen.
§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen
2.1 Kategorien personenbezogener Daten
- Stammdaten: Name, Firma, Anschrift, E-Mail, Telefon
- Vertragsdaten: Rechnungen, Angebote, Projekte, Verträge
- Kommunikationsdaten: E-Mail-Inhalte, Chat-Nachrichten, Anrufprotokolle
- Finanzdaten: Zahlungsinformationen, IBAN, Steuernummern
- Nutzungsdaten: Login-Zeiten, Geräteinformationen, IP-Adressen
- Sprach- und Textdaten: Voice-Transkripte, KI-Interaktionen
- Bilddaten: Fotos, gescannte Belege, Dokumente
2.2 Kategorien betroffener Personen
- Mitarbeiter und Nutzer des Auftraggebers
- Kunden und Geschäftspartner des Auftraggebers
- Lieferanten und Subunternehmer des Auftraggebers
- Interessenten und Leads des Auftraggebers
§ 3 Pflichten des Auftragnehmers
Der Auftragnehmer
- verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). Die Weisungen ergeben sich aus dem Hauptvertrag und der Nutzung der Plattform.
- gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
- ergreift alle gemäß Art. 32 DSGVO erforderlichen Sicherheitsmaßnahmen. Die konkreten technisch-organisatorischen Maßnahmen sind in Anlage 1 (TOM) beschrieben.
- beachtet die Bedingungen für die Inanspruchnahme der in Anlage 2 aufgefuehrten Unterauftragnehmer (Art. 28 Abs. 2 und 4 DSGVO).
- unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten bezüglich der Rechte betroffener Personen (Art. 28 Abs. 3 lit. e DSGVO), insbesondere durch:
- Technische Möglichkeit zum Datenexport (JSON-Export in Kontoeinstellungen)
- Technische Möglichkeit zur Datenlöschung (Account-Löschfunktion)
- Technische Möglichkeit zur Datenberichtigung
- unterstützt den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschaetzung).
- löscht nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten oder gibt sie zurück (siehe Anlage 3: Löschkonzept). Die Löschung erfolgt spätestens 30 Tage nach Vertragsende. Ausnahme: gesetzliche Aufbewahrungspflichten (z.B. §147 AO: 10 Jahre für steuerrelevante Belege).
- stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überpruefungen (Audits).
§ 4 Pflichten des Auftraggebers
Der Auftraggeber
- ist für die Rechtmaessigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
- erteilt Weisungen über die Art, den Umfang und das Verfahren der Datenverarbeitung.
- informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmaessigkeiten bei der Verarbeitung feststellt.
- stellt sicher, dass die in NexDeck eingegebenen Daten rechtmäßsig erhoben wurden und eine Rechtsgrundlage für die Verarbeitung besteht.
§ 5 Unterauftragnehmer (Subunternehmer)
(1) Pauschale Zustimmung: Der Auftraggeber erteilt im Sinne des Art. 28 Abs. 2 Satz 2 DSGVO eine allgemeine schriftliche Zustimmung zur Einschaltung weiterer Unterauftragnehmer durch den Auftragnehmer. Die jeweils aktuelle Liste der eingesetzten Unterauftragnehmer wird öffentlich geführt unter nexdeck.app/subprocessors (entspricht Anlage 2 dieses AVV) und ist jederzeit einsehbar. Die Liste wird versioniert mit Datum gepflegt; Änderungen sind dort nachvollziehbar.
(2) Gleichwertiges Schutzniveau: Der Auftragnehmer verpflichtet sich, mit jedem Unterauftragnehmer einen Vertrag zu schließen, der dieselben Datenschutzpflichten gewährleistet wie dieser AVV, einschließlich technisch-organisatorischer Maßnahmen, Zero Data Retention bei KI-Modellen und Transfergrundlagen nach Art. 44 ff. DSGVO (DPF, EU-Standardvertragsklauseln).
(3) Ankündigung & Widerspruchsrecht: Geplante Hinzuziehungen oder Ersetzungen von Unterauftragnehmern werden dem Auftraggeber mindestens 30 Tage vor Wirksamkeit per E-Mail und/oder In-App-Benachrichtigung angekündigt. Der Auftraggeber kann innerhalb von 30 Tagen nach Zugang der Mitteilung aus berechtigten datenschutzrechtlichen Gründen Einspruch erheben.
(4) Einspruchsfolgen: Bei berechtigtem Einspruch bemühen sich die Parteien um eine einvernehmliche Lösung (z.B. durch Einsatz eines anderen Unterauftragnehmers mit äquivalenter Funktion). Kommt keine Einigung zustande, hat der Auftraggeber ein außerordentliches Kündigungsrecht zum geplanten Änderungsdatum. Bis dahin gilt der bisherige Stand fort.
(5) Kategorien-Ansatz: Der Auftragnehmer gruppiert eingesetzte Dienstleister nach technischen Kategorien (z.B. „LLM-Anbieter für Textanalyse“, „Sprach-zu-Text-Dienst“, „Cloud-Hosting“). Der Austausch innerhalb einer Kategorie mit gleichwertigem Schutzniveau (etwa Umschaltung auf einen Fallback-Anbieter bei Ausfall oder aus Kosten-/Qualitätsgründen) stellt keine wesentliche Änderung im Sinne von Absatz 3 dar, sondern gilt als Wartung der technischen Infrastruktur. Die öffentliche Subprozessor- Liste wird auch in diesem Fall zeitnah aktualisiert.
(6) KI-Modell-Updates: Aktualisierungen der eingesetzten KI-Modelle (Provider, Version, Region) gelten ebenfalls als Wartung gemäß Absatz 5, sofern Zero-Data-Retention-Garantien und EU-Residenz (oder gleichwertige Transfergrundlage) erhalten bleiben. Eine gesonderte Ankündigung erfolgt nur bei erstmaligem Einsatz einer neuen Kategorie (z.B. erstmaliger Einsatz einer Audio-Transkriptionstechnologie).
§ 6 Datenübermittlung in Drittlaender
(1) Die primaere Datenverarbeitung erfolgt in der EU (Frankfurt am Main, Deutschland). Einige Unterauftragnehmer haben ihren Sitz in den USA (siehe Anlage 2).
(2) Die Übermittlung personenbezogener Daten in die USA erfolgt ausschließlich auf Grundlage des EU-U.S. Data Privacy Frameworks (DPF-Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) oder der EU-Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914).
(3) Alle in Anlage 2 aufgefuehrten US-Unterauftragnehmer sind unter dem DPF zertifiziert oder haben SCC unterzeichnet.
§ 7 Meldepflicht bei Datenschutzverletzungen
(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich (spätestens 24 Stunden) nach Kenntniserlangung über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
(2) Die Meldung umfasst mindestens:
- Beschreibung der Art der Verletzung inkl. Kategorien und ungefaehre Anzahl der betroffenen Personen
- Name und Kontaktdaten der Ansprechperson für weitere Informationen
- Beschreibung der wahrscheinlichen Folgen der Verletzung
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
§ 8 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, Überpruefungen durchzufuehren oder durch einen beauftragten Pruefer durchführen zu lassen. Der Auftragnehmer stellt die dafür erforderlichen Informationen zur Verfügung.
(2) Inspektionen vor Ort sind mit einer Vorlaufzeit von mindestens 14 Tagen anzukündigen und duerfen den Geschäftsbetrieb nicht unverhaeltnismaessig stoeren. Der Auftraggeber traegt die Kosten seiner Überpruefung.
(3) Alternativ kann der Nachweis der Einhaltung durch Vorlage aktueller Zertifizierungen, Testberichte oder Auditberichte erbracht werden.
§ 9 Haftung
Fuer die Haftung gilt Art. 82 DSGVO. Danach haftet jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wird.
§ 10 Laufzeit und Kündigung
(1) Dieser AVV ist an den Hauptvertrag (SaaS-Abonnement) gebunden und gilt für dessen Dauer.
(2) Rechte und Pflichten, die über die Beendigung hinaus bestehen (insbesondere Löschpflichten und Aufbewahrungsfristen), bleiben unberührt.
Anlage 1: Technisch-Organisatorische Maßnahmen (TOM)
gemäß Art. 32 DSGVO
1. Zutrittskontrolle
Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren:
- Kein eigener Serverraum: Alle Daten werden bei zertifizierten Cloud-Providern gehostet (Supabase/AWS in EU-Frankfurt).
- Cloud-Provider ISO 27001 zertifiziert (AWS, Google Cloud).
- Physische Büroraeueme durch Schlüssel gesichert. Keine Kundendaten auf lokalen Geräten.
2. Zugangskontrolle
Maßnahmen, die die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindern:
- Starke Passwort-Policy: Mindestens 8 Zeichen, Gross-/Kleinbuchstaben, Ziffern
- Multi-Faktor-Authentifizierung (MFA) für Admin-Zugaenge
- OAuth 2.0 mit verschlüsselten Token (AES-256)
- Session-Management mit automatischem Timeout
- Rate Limiting auf API-Endpoints (Upstash Redis)
- Fehlgeschlagene Login-Versuche werden geloggt und nach 10 Fehlversuchen temporaer gesperrt
3. Zugriffskontrolle
Maßnahmen, die gewaehrleisten, dass Berechtigte nur auf die ihrer Berechtigung unterliegenden Daten zugreifen:
- Row Level Security (RLS): Strikte Mandantentrennung auf Datenbankebene. Jeder Tenant kann nur auf seine eigenen Daten zugreifen.
- Rollenbasiertes Zugriffssystem (Owner, Admin, Member, Viewer)
- Server-seitige tenant_id Validierung bei jeder Anfrage
- Keine Cross-Tenant-Abfragen möglich (Policy-Enforcement auf DB-Ebene)
- Service-Role-Key nur serverseitig, niemals im Frontend
4. Weitergabekontrolle
Maßnahmen, die gewaehrleisten, dass Daten bei Übertragung nicht unbefugt gelesen, kopiert oder veraendert werden:
- TLS 1.2+ Verschlüsselung für alle Datenuebertragungen
- AES-256 Verschlüsselung für ruhende Daten (at rest)
- Sensible Daten (API-Keys, Tokens, IBAN) zusätzlich anwendungsseitig verschlüsselt
- S3 Object Lock (WORM) für finalisierte Rechnungen (GoBD)
- PII Redaction vor Übermittlung an KI-Provider (KI-Act Compliance)
5. Eingabekontrolle
Maßnahmen zur Nachvollziehbarkeit von Dateneingaben:
- Audit-Trail: Jede Änderung an Finanzdaten wird mit Benutzer, Zeitstempel und alter/neuer Wert protokolliert
- Unveraenderbare Audit-Logs (append-only, kein DELETE)
- Versionierung von Dokumenten und Rechnungen
- Automatische Protokollierung aller Admin-Aktionen
6. Auftragskontrolle
Maßnahmen, die gewaehrleisten, dass Daten nur gemäß den Weisungen verarbeitet werden:
- AVV mit allen Unterauftragnehmern (siehe Anlage 2)
- Schriftliche Weisungsbindung aller Mitarbeiter
- Regelmaessige Datenschutzschulungen
- Zero Data Retention bei allen KI-Providern
7. Verfügbarkeitskontrolle
Maßnahmen gegen zufällige Zerstörung oder Verlust:
- Automatische taegliche Backups der Datenbank (Supabase Point-in-Time Recovery)
- Georedundante Datenspeicherung (AWS eu-central-1)
- 99,5% Verfügbarkeits-SLA (siehe AGB § 3)
- Error Monitoring mit Sentry (Ausfallwarnung in Echtzeit)
- DDoS-Schutz über Vercel Edge Network und Cloudflare
8. Trennungsgebot
Maßnahmen zur getrennten Verarbeitung verschiedener Auftraggeber-Daten:
- Multi-Tenant-Architektur: Jeder Mandant hat eine eigene tenant_id. Alle Datenbankabfragen sind durch RLS-Policies auf den jeweiligen Mandanten beschränkt.
- Logische Trennung aller Mandantendaten (shared Database mit striktem Row Level Security)
- Separate S3-Pfade pro Mandant für Dokumente und Medien
- Separate Encryption Keys für besonders sensible Daten (API-Token, OAuth-Credentials)
Anlage 2: Liste der Unterauftragnehmer
Stand: 16. April 2026. Änderungen werden gemäß § 5 dieses AVV mit mindestens 30 Tagen Vorlauf per E-Mail und/oder In-App- Benachrichtigung angekündigt.
Maßgebliche Fassung: Die jeweils aktuelle, vollständige Subprozessor-Liste wird zentral geführt unter nexdeck.app/subprocessors. Die folgende Tabelle dokumentiert den Stand zum 16. April 2026 als Anlage 2 zu diesem AVV. Bei Abweichungen zwischen dieser Tabelle und der öffentlichen Subprozessor-Liste gilt die dort veröffentlichte, mit Datum versionierte Fassung.
| Unterauftragnehmer | Sitz | Zweck | Verarbeitungsort | Garantie |
|---|---|---|---|---|
| Amazon Web Services EMEA SARL | Luxemburg, EU | S3 Storage, SES E-Mail-Versand | EU (Frankfurt) | AVV |
| Supabase Inc. | USA | Datenbank, Auth, Realtime | EU (Frankfurt) | DPF + SCC |
| Vercel Inc. | USA | Frontend-Hosting, Serverless Functions, Middleware. Alle Serverless- und Middleware-Ausführung an fra1 (Frankfurt) gepinnt via vercel.json regions und preferredRegion. Static-Assets über globales CDN. | EU (Frankfurt) + Global CDN | DPF + SCC |
| Vercel Inc. (Speed Insights) | USA | Anonymisierte Web-Vitals-Metriken (LCP, FID, CLS). Keine Cookies, keine personenbezogenen Daten, keine Session-Reconstruction. Nicht cookie-consent-pflichtig nach §25 TTDSG. | Anonymisiert | DPF |
| Cloudflare, Inc. | USA (Global Edge) | CDN/DDoS-Schutz vor Supabase (Edge-Termination auf EU-Nodes, z. B. Düsseldorf). Durchreichender Transport-Provider, keine eigene Datenspeicherung durch uns. | Global Edge | DPF + SCC |
| Stripe Payments Europe, Ltd. | Irland, EU | Zahlungsabwicklung | EU (Irland) | AVV |
| Google Cloud EMEA Limited | Irland, EU | Vertex AI – Primäre KI-Route: Claude-Modelle für Chat/Assistant (europe-west1, Belgien); Gemini-Modelle für OCR/Belege + multimodale Embeddings (europe-west3, Frankfurt); kein Training auf Kundendaten | EU (Frankfurt + Belgien) | AVV (Google Cloud DPA) |
| Amazon Web Services EMEA SARL (AWS Bedrock) | Luxemburg, EU | KI-Fallback 1: Claude-Modelle bei Ausfall von Vertex AI; kein Training; ISO 27001, BSI C5 | EU (Frankfurt, eu-central-1) | AVV (AWS DPA) |
| Hinweis: Anthropic (Direct API, USA) wurde am 17.04.2026 als Subprozessor entfernt. KI-Verarbeitung erfolgt ausschließlich über die beiden EU-Routen oben (Vertex AI Belgien + AWS Bedrock Frankfurt). Bei gleichzeitigem Ausfall beider wird die Verarbeitung bewusst unterbrochen (DSGVO Hard Fail) statt in die USA zu routen. | ||||
| Microsoft Ireland Operations Ltd. (Azure) | Irland, EU | Azure Cognitive Services: Neural TTS (Sprachausgabe, de-DE-ConradNeural); Azure Whisper: Sprach-Transkription (Voice-Funktion) | EU (West Europe, Niederlande) | AVV (Azure DPA) |
| Unipile S.A.S. | Frankreich, EU | Multi-Channel Messaging (E-Mail, WhatsApp, LinkedIn) | EU (Frankreich) | AVV |
| Functional Software, Inc. (Sentry) | USA | Error Monitoring, Performance | USA | DPF |
| Upstash Inc. (QStash Workflows) | USA | Background Jobs, Workflow-Engine, Rate-Limiting | EU (Frankfurt, eu-central-1) | AVV (Upstash DPA) |
| Deepgram Inc. | USA | Sprache-zu-Text (STT, Voice-Funktion); ausschließlich über EU-Endpoint (api.eu.deepgram.com); keine dauerhafte Audiodaten-Speicherung | EU-Endpoint (USA-Unternehmen) | SCC |
| OneSignal Inc. | USA | Push-Benachrichtigungen (Mobile) | USA | DPF |
| n8n GmbH | Deutschland, EU | Workflow-Automatisierung | EU (Deutschland) | AVV |
Legende:
- AVV: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
- DPF: EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss)
- SCC: EU-Standardvertragsklauseln
- ZDR: Zero Data Retention (keine Speicherung nach Verarbeitung)
Hinweis: Optionale Kunden-Integrationen
Dienste wie Lexware Office, sevDesk oder Sipgate, die der Auftraggeber mit eigenen Zugangsdaten anbindet, gelten nicht als Unterauftragnehmer des Auftragnehmers. Der Auftraggeber schliesst hier einen eigenen Vertrag mit dem jeweiligen Anbieter.
Anlage 3: Löschkonzept
gemäß Art. 17 DSGVO i.V.m. § 147 AO und GoBD
1. Löschfristen nach Vertragsende
| Datenart | Löschfrist | Grund |
|---|---|---|
| Inhaltsdaten (Projekte, Kunden, Notizen) | 30 Tage nach Vertragsende | Karenzzeit für Datenexport |
| Kommunikationsdaten (E-Mails, Chats) | 30 Tage nach Vertragsende | Karenzzeit für Datenexport |
| Rechnungen und steuerrelevante Belege | 10 Jahre (anonymisiert) | § 147 AO, GoBD |
| Angebote, Geschäftsbriefe | 6 Jahre | § 147 AO |
| Audit-Logs | 10 Jahre | GoBD Nachweispflicht |
| Backups | 60 Tage nach Vertragsende | Technische Backup-Rotation |
| Stamm- und Abrechnungsdaten | 10 Jahre nach Vertragsende | § 147 AO (Buchungsbelege) |
| KI-Transkripte (Voice Sessions) | 90 Tage | Feedback-Loop, Debugging |
| RAG Embeddings (Knowledge Base) | Mit Löschung der Quelldaten | Kein eigenständiger Zweck |
2. Löschverfahren
- Inhaltsdaten: Unwiderrufliches DELETE aus der Datenbank nach Ablauf der Karenzzeit.
- Steuerrelevante Daten: Anonymisierung der personenbezogenen Felder (Name, Adresse, Kontakt) bei Beibehaltung der buchungsrelevanten Informationen (Betraege, Steuernummern, Rechnungsnummern).
- S3-Dateien: Löschung nach Ablauf der Object-Lock-Retention-Periode.
- Backups: Automatische Rotation. Backup-Zyklen überschreiben ältere Backups nach 60 Tagen.
- KI- und Sprach-Provider: Zero Data Retention — Daten werden nach Verarbeitung sofort gelöscht (kein dauerhafter Speicher bei Google Cloud Vertex AI, AWS Bedrock, Microsoft Azure, Deepgram).
3. Löschung auf Anfrage (Art. 17 DSGVO)
Der Auftraggeber kann jederzeit die Löschung einzelner Datensaetze oder seines gesamten Accounts anfordern:
- Einzeldaten: Über die jeweilige Löschfunktion in der Anwendung oder per E-Mail an datenschutz@nexdeck.de
- Gesamter Account: Über Einstellungen → Datenschutz → „Account löschen“ oder per E-Mail
- Bearbeitungszeit: Spaetestens 30 Tage nach Eingang der Anfrage
Einschränkung: Daten, für die gesetzliche Aufbewahrungspflichten gelten (§ 147 AO), werden nicht gelöscht, sondern anonymisiert.