Datenschutzerklärung

1. Einleitung und Verantwortlicher

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften (DSGVO) sowie dieser Datenschutzerklärung.

Verantwortlicher im Sinne der DSGVO:

Kre8ive Evolution UG
Kastellstr. 34
46147 Oberhausen
E-Mail: support@nexdeck.de
Geschäftsführer: Stephan Grundmeyer

2. Welche Daten wir verarbeiten und warum

2.1 Beim Besuch der Webseite & Web-App

Beim Aufruf unserer Plattform werden durch unseren Hosting-Provider technisch notwendige Logfiles erfasst (IP-Adresse, Browser, Zeitstempel), um die Sicherheit und Stabilität des Systems zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an Sicherheit).

2.2 Bei Registrierung und Nutzung (SaaS)

Wir verarbeiten Bestandsdaten (Name, Firma, Adresse, E-Mail), die Sie bei der Registrierung angeben, sowie die Daten, die Sie im Rahmen der Nutzung in das System eingeben (Kundendaten Ihrer Endkunden, Projektdaten, Mitarbeiterdaten, Chat-Inhalte, Dokumente).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.3 Anmeldung über Drittanbieter (Social Login / OAuth)

Sie können sich bei NexDeck auch über Drittanbieter-Konten anmelden (Google, Microsoft, Apple). Dabei werden folgende Daten vom jeweiligen Anbieter an uns übermittelt:

Name (Vor- und Nachname oder Anzeigename)
E-Mail-Adresse (zur Identifikation Ihres Accounts)
Profilbild (falls vom Anbieter freigegeben)
Eindeutige Nutzer-ID des Anbieters (zur Zuordnung)

Speicherung: Die übermittelten Daten werden in Ihrem NexDeck-Profil gespeichert. Wir speichern keine Passwörter der Drittanbieter. Die Authentifizierung erfolgt über sichere OAuth 2.0 Token, die verschlüsselt in unserer Datenbank abgelegt werden.

Anbieter und Datenschutz:

Google: Google Ireland Limited, Gordon House, Dublin 4, Irland. Datenschutzerklärung
Microsoft: Microsoft Ireland Operations Limited, Dublin, Irland. Datenschutzerklärung
Apple: Apple Distribution International Ltd., Cork, Irland. Datenschutzerklärung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl des Login-Anbieters).

2.4 Mobile App (iOS & Android)

Unsere App nutzt Funktionen Ihres Endgeräts, jedoch nur nach Ihrer expliziten Freigabe:

Kamera: Zur Erfassung von Baustellen-Fotos und Beleg-Scans.
Standort (GPS): Zur optionalen Verortung von Zeiterfassungen, Navigation zur Baustelle und automatischen Projekt-Zuordnung. Es erfolgt kein dauerhaftes Bewegungstracking im Hintergrund.
LiDAR / Tiefensensoren: Zur Erstellung von Raumaufmaßen. Hierbei werden reine Distanzdaten verarbeitet, keine biometrischen Scans.
Push-Benachrichtigungen: Um Sie über Statusänderungen (z.B. "Rechnung bezahlt") zu informieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. lit. b (Vertragserfüllung).

2.5 Marketing, Vertrieb & Demos

Wenn Sie Interesse an unserem Produkt bekunden (z.B. über ein Kontaktformular, Demo-Buchung oder Newsletter-Anmeldung), verarbeiten wir Ihre Kontaktdaten, um Ihnen NexDeck vorzustellen.

Newsletter: Der Versand erfolgt nur nach Ihrer expliziten Einwilligung (Double-Opt-In). Sie können sich jederzeit abmelden.
CRM-System: Zur Verwaltung unserer Kundenbeziehungen speichern wir Lead-Daten in unserem internen CRM.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse bei B2B-Kontakten).

2.6 E-Mail-Tracking und Engagement-Analyse

Wenn vom Tenant aktiviert (Opt-In), erfassen wir:

Zeitpunkt der E-Mail-Öffnung (opened_at)
Anzahl der Öffnungen (open_count)
Geklickte Links in E-Mails (clicked_links)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Tenants).
Opt-Out: In den Mandanten-Einstellungen unter "E-Mail Tracking" deaktivierbar.
Speicherdauer: Solange das Nutzerkonto besteht.

2.7 Kontakt-Synchronisation und Auto-Matching

Bei Verbindung externer Konten (E-Mail, LinkedIn, WhatsApp) werden Kontaktdaten automatisch mit bestehenden Kundendaten abgeglichen:

E-Mail-Adresse (exakter Abgleich)
Telefonnummer (normalisierter Abgleich)
Firmenname (unscharfer Abgleich)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenverwaltung).
Es werden nur bereits im System vorhandene Daten abgeglichen. Es findet keine Anreicherung durch externe Dienste statt.

2.8 Automatisierte Lead-Bewertung (Lead Scoring)

Wir verwenden ein automatisiertes Bewertungssystem für Geschäftskontakte:

Basisdaten (Vollständigkeit des Profils)
Engagement (E-Mail-Antworten, Terminvereinbarungen, Angebote)
Aktualität (Zeitraum seit letztem Kontakt)

Die Bewertung dient der Priorisierung von Vertriebsaktivitäten und hat keine rechtlichen Auswirkungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Vertriebssteuerung).
Ihre Rechte nach Art. 22 DSGVO: Sie können der automatisierten Bewertung jederzeit widersprechen. Kontaktieren Sie uns dafür unter den in Abschnitt 1 genannten Kontaktdaten.
Das Lead Scoring kann pro Mandant in den Einstellungen deaktiviert werden.

2.9 Kunden-Gesamtansicht (Customer 360 View)

Für die effiziente Kundenbetreuung aggregieren wir folgende bereits vorhandene Daten in einer Gesamtansicht:

Umsatzkennzahlen (Rechnungen, offene Forderungen)
Projektinformationen und -status
Kommunikationsverlauf (E-Mails, Anrufe, Nachrichten)
Angebote und Deals

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Es werden keine externen Datenquellen hinzugezogen.

3. Einsatz von Künstlicher Intelligenz (KI)

Ein Kernbestandteil von NexDeck sind intelligente Assistenzfunktionen. Wir setzen hierbei auf "Enterprise Grade"-Sicherheit.

3.1 Text- und Bildanalyse (Google Vertex AI / Azure OpenAI)

Für Funktionen wie den Beleg-Scanner, den E-Mail-Assistenten und Voice-to-Action nutzen wir:

Google Cloud Vertex AI (Google Cloud EMEA Limited, Irland)
Azure OpenAI Service (Microsoft, Rechenzentrum Schweden)

Datenstandort: Verarbeitung ausschließlich in EU-Rechenzentren (Frankfurt / Schweden).
Kein Training: Ihre Daten werden nicht verwendet, um KI-Modelle zu trainieren.
Stateless: Daten werden nach der Analyse sofort aus dem Arbeitsspeicher gelöscht ("Zero Data Retention").

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4. Infrastruktur & Weitergabe an Dritte

Wir hosten unsere Systeme nicht auf eigenen Servern, sondern nutzen spezialisierte Cloud-Infrastruktur. Mit allen Anbietern haben wir Verträge zur Auftragsverarbeitung (AVV gemäß Art. 28 DSGVO) geschlossen.

Sofern Daten an Anbieter in den USA übermittelt werden, erfolgt dies auf Grundlage des EU-U.S. Data Privacy Frameworks (DPF) oder Standardvertragsklauseln (SCC).

Dienst	Anbieter	Zweck	Standort
AWS	Amazon Web Services EMEA SARL	Server-Infrastruktur, S3 Storage	EU (Frankfurt)
Supabase	Supabase Inc.	Datenbank, Auth, Storage	EU (Frankfurt)
Vercel	Vercel Inc.	Frontend-Hosting, CDN	Global (Edge)
Stripe	Stripe Payments Europe, Ltd.	Zahlungsabwicklung	EU (Irland)
Google Vertex AI	Google Cloud EMEA Limited	KI-Assistenten, OCR, Sprachverarbeitung	EU (Frankfurt)
Azure OpenAI	Microsoft Corporation	KI-Funktionen, GPT-4	EU (Schweden)
Sentry	Functional Software, Inc.	Error Monitoring	USA (DPF)
Unipile	Unipile S.A.S.	WhatsApp, LinkedIn, E-Mail Integration	EU (Frankreich)
Inngest	Inngest Inc.	Workflow-Engine, Background Jobs	USA (DPF)
n8n	n8n GmbH	Workflow-Automatisierung	EU (Deutschland)
Apple Sign-In	Apple Inc.	OAuth Authentifizierung	Global
Google Sign-In	Google Ireland Limited	OAuth Authentifizierung	EU (Irland)
Microsoft Sign-In	Microsoft Ireland Operations	OAuth Authentifizierung	EU (Irland)
Deepgram	Deepgram Inc.	Sprache-zu-Text (Live-Transkription)	USA (DPF)
ElevenLabs	ElevenLabs Inc.	Text-zu-Sprache (optional, Premium-TTS)	USA (DPF)
AWS Textract	Amazon Web Services EMEA SARL	OCR Belegerfassung (Hybrid mit Gemini)	EU (Frankfurt)
Upstash	Upstash Inc.	Rate Limiting, Caching (Redis)	EU (Frankfurt)
OneSignal	OneSignal Inc.	Push-Benachrichtigungen (Mobile)	USA (DPF)
AWS SES	Amazon Web Services EMEA SARL	E-Mail-Versand (Transaktional)	EU (Frankfurt)

Datenschutz-Garantien

✓ Alle Anbieter haben AVV (Auftragsverarbeitungsverträge)
✓ Primäre Datenverarbeitung in der EU (DSGVO-konform)
✓ USA-Transfers nur mit DPF-Zertifizierung oder SCC
✓ Keine Datennutzung für KI-Training ohne Zustimmung
✓ Verschlüsselung in Transit (TLS) und at Rest (AES-256)

4.1 Optionale Kunden-Integrationen (kein Unterauftragnehmer)

Folgende Dienste koennen Sie optional mit NexDeck verbinden. Hierbei verwenden Sie Ihre eigenen Zugangsdaten und schliessen den Vertrag direkt mit dem jeweiligen Anbieter. NexDeck fungiert dabei lediglich als technische Schnittstelle, nicht als Auftragsverarbeiter:

Lexware Office (lexoffice): Buchhaltungs-Synchronisation (Haufe-Lexware GmbH & Co. KG, Freiburg)
sevDesk: Buchhaltungs-Synchronisation (sevDesk GmbH, Offenburg)
Sipgate: VoIP-Telefonie-Integration (sipgate GmbH, Duesseldorf)

API-Schluessel und Tokens werden verschluesselt in Ihrer Mandanten-Instanz gespeichert und bei Trennung der Verbindung vollstaendig geloescht.

Auftragsverarbeitungsvertrag (AVV)

Unseren vollstaendigen AVV gemaess Art. 28 DSGVO sowie die aktuelle Liste der Unterauftragnehmer finden Sie unter: nexdeck.app/avv

5. Ihre Rechte

Sie haben jederzeit das Recht auf:

Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
Berichtigung falscher Daten (Art. 16 DSGVO)
Löschung Ihrer Daten ("Recht auf Vergessenwerden"), sofern keine Aufbewahrungspflichten bestehen (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – z.B. LDI NRW

DSGVO Self-Service

Als registrierter Nutzer können Sie Ihre DSGVO-Rechte direkt in Ihrem Account ausüben:

•
Datenexport (Art. 15): Laden Sie alle Ihre Daten als JSON-Datei herunter unter Einstellungen → Datenschutz
•
Account löschen (Art. 17): Beantragen Sie die Löschung Ihres Accounts direkt in den Einstellungen. Beachten Sie, dass steuerrelevante Belege gemäß GoBD 10 Jahre aufbewahrt werden müssen (anonymisiert).

Für weitere Anfragen wenden Sie sich bitte an: support@nexdeck.de

6. Speicherdauer

Während der Vertragslaufzeit: Wir speichern Ihre Daten so lange, wie Sie einen aktiven Account bei uns haben.
Nach Kündigung: Ihre Inhaltsdaten werden 30 Tage nach Vertragsende unwiderruflich gelöscht (Karenzzeit für Datenexport).
Steuerrecht: Rechnungen und steuerrelevante Belege müssen wir gesetzlich 10 Jahre aufbewahren (§ 147 AO).

7. Datensicherheit

Wir nutzen moderne Verschlüsselungsverfahren:

SSL/TLS für die Übertragung
AES-256 für die Datenbank
Besonders sensible Daten (API-Token, OAuth-Credentials) werden zusätzlich isoliert und verschlüsselt gespeichert
Row Level Security (RLS) auf Datenbankebene für strikte Mandantentrennung

8. Cookies

Wir verwenden verschiedene Arten von Cookies. Sie können Ihre Einwilligung jederzeit in unseren Cookie-Einstellungen anpassen.

Notwendige Cookies (immer aktiv)

Diese Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden. Dazu gehören:

Authentifizierung (Login-Session)
Session-Verwaltung
Sicherheits-Token (CSRF-Schutz)
Cookie-Consent-Einstellungen

Analytics-Cookies (optional)

Helfen uns zu verstehen, wie Nutzer unsere Plattform verwenden. Nur mit Ihrer Einwilligung aktiv.

Marketing-Cookies (optional)

Werden verwendet, um Ihnen relevante Werbung zu zeigen. Nur mit Ihrer Einwilligung aktiv.

Ihre Cookie-Einstellungen verwalten

Sie können Ihre Cookie-Präferenzen jederzeit über das Banner am unteren Bildschirmrand anpassen (falls nicht mehr sichtbar, löschen Sie den "nexdeck-cookie-consent" Eintrag aus dem Local Storage Ihres Browsers).