Mitwirkungspflichten und Verantwortungsbereiche
- Stand:
- 2026-06-01
- Verantwortlich:
- Kre8ive Evolution GmbH i.G.
Warum diese Aufteilung?
NexDeck als Software-as-a-Service-Plattform stellt die technische Infrastruktur und die Anwendungs-Funktionen bereit. Sie als Kunde nutzen die Plattform und sind verantwortlich für Ihre Daten, Ihre Nutzerverwaltung und Ihre interne Sicherheits-Organisation. Die folgende Matrix macht diese Aufteilung explizit. Sie orientiert sich am Shared-Responsibility-Modell etablierter Cloud-Anbieter (z. B. AWS oder Microsoft Azure) und übersetzt dieses Modell in deutsche Mitwirkungs-Pflichten-Sprache.
RACI-Matrix nach Domäne
Legende:
- R = Responsible (Durchführer)
- A = Accountable (Letztverantwortlich)
- C = Consulted (Beratend)
- I = Informed (Wird informiert)
- – = nicht zuständig
Domäne 1: Identität und Zugang
| Aufgabe | NexDeck | Kunde |
|---|---|---|
| Bereitstellung Login-/MFA-Technologie | RA | I |
| Aktivierung MFA für Admin-Accounts | C | RA |
| Nutzer-Anlage + Rollen-Zuweisung | – | RA |
| Passwort-Hygiene + Schulung interner Nutzer | – | RA |
| Session-Management (Timeout, Force-Logout) | RA | C |
| Audit-Log über Login-Versuche | RA | I |
Domäne 2: Daten
| Aufgabe | NexDeck | Kunde |
|---|---|---|
| Verschlüsselung at-Rest + in-Transit | RA | I |
| Tenant-Isolation (RLS) | RA | I |
| Datenklassifikation der eigenen Daten | – | RA |
| Datenqualität + Inhalt | – | RA |
| Backup (Plattform-seitig, Supabase PITR 7d) | RA | I |
| Daten-Export für Anbieterwechsel | RA | I |
| Löschung nach Auftrags-Ende | RA | A |
Domäne 3: Netzwerk und Infrastruktur
| Aufgabe | NexDeck | Kunde |
|---|---|---|
| Hosting EU (Vercel Frankfurt, Supabase eu-central-1) | RA | I |
| DDoS-Schutz Edge (Vercel) | RA | I |
| TLS-Konfiguration + HSTS | RA | I |
| Tenant-eigene Firewall-Regeln auf Endgeräten | – | RA |
| Sichere Endgeräte (Verschlüsselung, Patches) | – | RA |
Domäne 4: Anwendung
| Aufgabe | NexDeck | Kunde |
|---|---|---|
| Application-Security (OWASP Top 10) | RA | I |
| Patch-Management Plattform | RA | I |
| Sicherheits-Tests (Pen-Tests, SAST) | RA | I |
| Sichere Nutzung der API (Tenant-Code/Webhooks) | C | RA |
| Sub-Processor-Wahl für Add-On-Features (z. B. Sipgate) | RA | A |
Domäne 5: Compliance und Recht
| Aufgabe | NexDeck | Kunde |
|---|---|---|
| Plattform-Konformität mit DSGVO-Anforderungen | RA | I |
| TOM-Dokumentation + Reviews | RA | I |
| Eigene DSGVO-Pflichten als Verantwortlicher | – | RA |
| AVV-Abschluss + Sub-Processor-Akzeptanz | C | RA |
| Eigene NIS2-Pflicht-Bewertung (falls anwendbar) | C | RA |
| Eigene Aufbewahrungsfristen (HGB / AO) | – | RA |
Domäne 6: Incident-Response
| Aufgabe | NexDeck | Kunde |
|---|---|---|
| Erkennung Plattform-Vorfälle (Monitoring, Sentry) | RA | I |
| Erkennung eigener Vorfälle (z. B. Account-Übernahme) | C | RA |
| Erstmeldung an Aufsichtsbehörden (DSGVO Art. 33) | A | RA |
| 24h-Notification bei Plattform-Vorfall an Kunden | RA | I |
| Forensische Mitwirkung bei Kunden-Anfrage | RA | A |
| BSI-Meldung (falls Kunde NIS2-pflichtig) | C | RA |
Hinweise zur Anwendung
- NexDeck stellt Werkzeuge bereit — die Konfiguration und Pflege obliegt dem Kunden.
- Bei Verletzung der Mitwirkungspflichten entfallen SLA-Gutschriften nach § 6 AGB.
- Die rechtliche Verantwortung des Kunden kann nicht durch Nutzung von NexDeck delegiert werden — NexDeck unterstützt, der Kunde bleibt Verantwortlicher (Art. 4 Nr. 7 DSGVO).
- Bei Unklarheiten kontaktieren Sie compliance@nexdeck.app.
Hinweis zum Geltungsbereich
- Anbieter: Kre8ive Evolution GmbH i. G. — HRB-Eintragung ausstehend.
- Diese Darstellung ist eine Selbstauskunft und stellt keine Zertifizierung im Sinne von Art. 24 NIS2-RL dar. Stand: 2026-06-01.