Datenschutzerklärung

1. Einleitung und Verantwortlicher

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften (DSGVO) sowie dieser Datenschutzerklärung.

2. Welche Daten wir verarbeiten und warum

2.1 Beim Besuch der Webseite & Web-App

Beim Aufruf unserer Plattform werden durch unseren Hosting-Provider technisch notwendige Logfiles erfasst (IP-Adresse, Browser, Zeitstempel), um die Sicherheit und Stabilität des Systems zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an Sicherheit).

2.2 Bei Registrierung und Nutzung (SaaS)

Wir verarbeiten Bestandsdaten (Name, Firma, Adresse, E-Mail), die Sie bei der Registrierung angeben, sowie die Daten, die Sie im Rahmen der Nutzung in das System eingeben (Kundendaten Ihrer Endkunden, Projektdaten, Mitarbeiterdaten, Chat-Inhalte, Dokumente).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.3 Anmeldung über Drittanbieter (Social Login / OAuth)

Speicherung: Die übermittelten Daten werden in Ihrem NexDeck-Profil gespeichert. Wir speichern keine Passwörter der Drittanbieter. Die Authentifizierung erfolgt über sichere OAuth 2.0 Token, die verschlüsselt in unserer Datenbank abgelegt werden.

Anbieter und Datenschutz:

• Google: Google Ireland Limited, Gordon House, Dublin 4, Irland. Datenschutzerklärung
• Microsoft: Microsoft Ireland Operations Limited, Dublin, Irland. Datenschutzerklärung
• Apple: Apple Distribution International Ltd., Cork, Irland. Datenschutzerklärung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl des Login-Anbieters).

2.4 Mobile App (iOS & Android)

Unsere App nutzt Funktionen Ihres Endgeräts, jedoch nur nach Ihrer expliziten Freigabe:

• Kamera: Zur Erfassung von Baustellen-Fotos und Beleg-Scans.
• Standort (GPS): Zur optionalen Verortung von Zeiterfassungen, Navigation zur Baustelle und automatischen Projekt-Zuordnung. Es erfolgt kein dauerhaftes Bewegungstracking im Hintergrund.
• LiDAR / Tiefensensoren: Zur Erstellung von Raumaufmaßen. Hierbei werden reine Distanzdaten verarbeitet, keine biometrischen Scans.
• Push-Benachrichtigungen: Um Sie über Statusänderungen (z.B. "Rechnung bezahlt") zu informieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. lit. b (Vertragserfüllung).

2.5 Marketing, Vertrieb & Demos

Wenn Sie Interesse an unserem Produkt bekunden (z.B. über ein Kontaktformular, Demo-Buchung oder Newsletter-Anmeldung), verarbeiten wir Ihre Kontaktdaten, um Ihnen NexDeck vorzustellen.

• Newsletter: Der Versand erfolgt nur nach Ihrer expliziten Einwilligung (Double-Opt-In). Sie können sich jederzeit abmelden.
• CRM-System: Zur Verwaltung unserer Kundenbeziehungen speichern wir Lead-Daten in unserem internen CRM.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse bei B2B-Kontakten).

2.6 E-Mail-Tracking und Engagement-Analyse

Mandanten (Tenants) können optional E-Mail-Tracking für Geschäftsdokumente (Rechnungen, Angebote, Mahnungen) aktivieren. Tracking ist standardmäßig deaktiviert und erfordert eine explizite Aktivierung durch den Mandanten.

Erhobene Daten

• Zeitpunkt der E-Mail-Öffnung (opened_at)
• Anzahl der Öffnungen (open_count)
• Geklickte Links in E-Mails (URL, Zeitpunkt)
• IP-Adresse des Empfängers (nur bei aktivem Tracking)
• User-Agent des E-Mail-Clients

Rechtsgrundlage

Der Mandant wählt bei Aktivierung eine von zwei Rechtsgrundlagen:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Tracking wird nur für Kontakte aktiviert, die ausdrücklich zugestimmt haben. Die Einwilligung wird mit Zeitstempel und Herkunft dokumentiert.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Im B2B-Bereich kann Tracking auf Basis einer dokumentierten Interessenabwägung für alle Empfänger aktiviert werden.

Transparenz

E-Mails mit aktivem Tracking enthalten einen Hinweis im Fußbereich mit Verweis auf diese Datenschutzerklärung.

Widerspruch und Opt-Out

• Für Mandanten: Tracking kann jederzeit in den Einstellungen unter "Dokumente → E-Mail-Tracking" deaktiviert werden.
• Für Empfänger: Kontaktieren Sie den absendenden Mandanten oder wenden Sie sich an support@nexdeck.de, um das Tracking für Ihre E-Mail-Adresse zu deaktivieren. Per-Kontakt-Einwilligungen können im CRM des Mandanten widerrufen werden.

Speicherdauer und Auftragsverarbeiter

Speicherdauer: Tracking-Daten werden so lange gespeichert wie das zugehörige Geschäftsdokument (10 Jahre für Rechnungen gemäß § 147 AO, 6 Jahre für Angebote/Geschäftsbriefe).
Auftragsverarbeiter: Unipile S.A.S. (Frankreich, EU) verarbeitet E-Mail-Tracking-Daten im Rahmen der bestehenden Auftragsverarbeitungsvereinbarung (AVV).

2.7 Kontakt-Synchronisation und Auto-Matching

Bei Verbindung externer Konten (E-Mail, LinkedIn, WhatsApp) werden Kontaktdaten automatisch mit bestehenden Kundendaten abgeglichen:

• E-Mail-Adresse (exakter Abgleich)
• Telefonnummer (normalisierter Abgleich)
• Firmenname (unscharfer Abgleich)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenverwaltung).
Es werden nur bereits im System vorhandene Daten abgeglichen. Es findet keine Anreicherung durch externe Dienste statt.

2.8 Automatisierte Lead-Bewertung (Lead Scoring)

Wir verwenden ein automatisiertes Bewertungssystem für Geschäftskontakte:

• Basisdaten (Vollständigkeit des Profils)
• Engagement (E-Mail-Antworten, Terminvereinbarungen, Angebote)
• Aktualität (Zeitraum seit letztem Kontakt)

Die Bewertung dient der Priorisierung von Vertriebsaktivitäten und hat keine rechtlichen Auswirkungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Vertriebssteuerung).
Ihre Rechte nach Art. 22 DSGVO: Sie können der automatisierten Bewertung jederzeit widersprechen. Kontaktieren Sie uns dafür unter den in Abschnitt 1 genannten Kontaktdaten.
Das Lead Scoring kann pro Mandant in den Einstellungen deaktiviert werden.

2.9 Kunden-Gesamtansicht (Customer 360 View)

Für die effiziente Kundenbetreuung aggregieren wir folgende bereits vorhandene Daten in einer Gesamtansicht:

• Umsatzkennzahlen (Rechnungen, offene Forderungen)
• Projektinformationen und -status
• Kommunikationsverlauf (E-Mails, Anrufe, Nachrichten)
• Angebote und Deals

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Es werden keine externen Datenquellen hinzugezogen.

2.10 Offline-Modus und lokale Datenspeicherung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 32 DSGVO (Sicherheit der Verarbeitung). Details zu den eingesetzten technischen und organisatorischen Maßnahmen finden Sie in unseren Technischen und Organisatorischen Maßnahmen (TOMs).

3. Einsatz von Künstlicher Intelligenz (KI)

Ein Kernbestandteil von NexDeck sind intelligente Assistenzfunktionen. Wir setzen hierbei auf "Enterprise Grade"-Sicherheit.

3.1 Beleg-Scanner & Dokumentenanalyse (Google Vertex AI / Gemini)

Für den Beleg-Scanner und die automatische Rechnungserfassung nutzen wir Google Cloud Vertex AI mit dem Modell Gemini 2.5 Flash (Anbieter: Google Cloud EMEA Limited, Irland).

3.2 Chat-Assistent & Finance BI (Anthropic Claude)

Für den KI-gestützten Chat-Assistenten nutzen wir Claude-Modelle von Anthropic, ausschließlich über folgende EU-Anbieter geleitet:

1. Primär: Google Cloud Vertex AI (europe-west1, Belgien)
2. Fallback: AWS Bedrock EU (eu-central-1, Frankfurt/Deutschland)

Kein US-Fallback: Sollten beide EU-Anbieter gleichzeitig ausfallen, wird die Verarbeitung bewusst unterbrochen (DSGVO Hard Fail) — wir routen niemals stillschweigend in die USA. Die Anthropic Direct API ist seit dem 17.04.2026 nicht mehr im Einsatz.

3.3 Sprachein- und -ausgabe (Deepgram / Azure TTS)

Für die Spracheingabe (Speech-to-Text) nutzen wir Deepgram Inc. (USA) ausschließlich über den EU-Endpoint (api.eu.deepgram.com). Audiodaten werden nicht dauerhaft gespeichert. Übermittlung auf Basis von SCCs.

Für die Sprachausgabe (Text-to-Speech) nutzen wir Microsoft Azure Cognitive Services (Microsoft Ireland Operations Ltd., West Europe / Niederlande). Der Anbieter behält sich vor, bei Kapazitätsengpässen oder Qualitätsverbesserungen gleichwertige alternative TTS-Dienstleister einzusetzen (siehe AGB § 11b und Subprozessor-Liste /subprocessors).

Für die Batch-Transkription von Sprachnotizen (asynchron, z.B. nach Upload einer Sprachaufnahme) nutzen wir Microsoft Azure OpenAI Whisper (Sweden Central, EU). Audiodateien werden nach Transkription entsprechend der konfigurierten Aufbewahrungsfrist gelöscht. Transfergrundlage: EU-Datenresidenz + Microsoft Product Terms.

3.4 Google Cloud Dienste (Document AI + Cloud Run)

Neben Vertex AI (siehe 3.1, 3.2) nutzen wir weitere Google-Cloud-Services auf Basis desselben Google-Cloud-DPA:

• Google Document AI (EU-Region, europe-west3 Frankfurt) — Layout-Parser für die automatische Erkennung von Belegen und Rechnungen (OCR, Struktur-Erkennung).
• Google Cloud Run (EU-Region) — gehosteter XSD-Validator für die Prüfung von E-Rechnungen (ZUGFeRD 2.2 / XRechnung). Daten bleiben während der Validierung in der EU.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + Google Cloud DPA + EU-Datenresidenz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, Mikrofon-Freigabe) und lit. b (Vertragserfüllung).

3a. EU-KI-Verordnung (AI Act) — Transparenz und Risikoklassifizierung

NexDeck unterliegt als Anbieter KI-gestützter Funktionen der EU-Verordnung über Künstliche Intelligenz (Verordnung (EU) 2024/1689, „AI Act“). Wir setzen die Anforderungen wie folgt um:

Risikoklassifizierung: Begrenztes Risiko (Limited Risk)

Die KI-Funktionen von NexDeck (Chat-Assistent, Beleg-Scanner, Smart Drafts, Sprachassistent) sind als „Limited Risk“ gemäß Art. 6 und Anhang III der KI-Verordnung eingestuft. Begründung:

• Keine biometrische Identifikation oder Kategorisierung
• Keine kritische Infrastruktur-Steuerung
• Keine Kreditwürdigkeitsprüfung oder Scoring
• Keine Strafverfolgung oder Migrationskontrolle
• Assistenzfunktionen ohne eigenständige Entscheidungsbefugnis („Human in the Loop“)
• Alle KI-generierten Inhalte sind Vorschläge, die vom Nutzer geprüft werden müssen

Transparenzpflichten (Art. 50 AI Act)

Eingesetzte KI-Systeme und Zweck

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f (berechtigtes Interesse an Produktverbesserung). Die Transparenzpflichten werden gemäß Art. 50 der EU-KI-Verordnung (Verordnung (EU) 2024/1689) erfüllt, die ab dem 02.08.2026 gelten.

4. Infrastruktur & Weitergabe an Dritte

Wir hosten unsere Systeme nicht auf eigenen Servern, sondern nutzen spezialisierte Cloud-Infrastruktur. Mit allen Anbietern haben wir Verträge zur Auftragsverarbeitung (AVV gemäß Art. 28 DSGVO) geschlossen.

Sofern Daten an Anbieter in den USA übermittelt werden, erfolgt dies auf Grundlage des EU-U.S. Data Privacy Frameworks (DPF) oder Standardvertragsklauseln (SCC).

4.1 Optionale Kunden-Integrationen (kein Unterauftragnehmer)

Folgende Dienste können Sie optional mit NexDeck verbinden. Hierbei verwenden Sie Ihre eigenen Zugangsdaten und schließen den Vertrag direkt mit dem jeweiligen Anbieter. NexDeck fungiert dabei lediglich als technische Schnittstelle, nicht als Auftragsverarbeiter:

• Sipgate: VoIP-Telefonie-Integration (sipgate GmbH, Düsseldorf)
• Weitere Buchhaltungs-Integrationen (z.B. DATEV-Export) können durch den Nutzer optional aktiviert werden. Eine aktuelle Liste verfügbarer Integrationen finden Sie in Ihrem Admin-Bereich unter „Integrationen“.

API-Schlüssel und Tokens werden verschlüsselt in Ihrer Mandanten-Instanz gespeichert und bei Trennung der Verbindung vollständig gelöscht.

5. Ihre Rechte

Sie haben jederzeit das Recht auf:

• Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung falscher Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten ("Recht auf Vergessenwerden"), sofern keine Aufbewahrungspflichten bestehen (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – z.B. LDI NRW

Für weitere Anfragen wenden Sie sich bitte an: support@nexdeck.de

6. Speicherdauer

• Während der Vertragslaufzeit: Wir speichern Ihre Daten so lange, wie Sie einen aktiven Account bei uns haben.
• Nach Kündigung: Ihre Inhaltsdaten werden 30 Tage nach Vertragsende unwiderruflich gelöscht (Karenzzeit für Datenexport).
• Steuerrecht: Rechnungen und steuerrelevante Belege müssen wir gesetzlich 10 Jahre aufbewahren (§ 147 AO).

7. Datensicherheit

Wir nutzen moderne Verschlüsselungsverfahren:

• SSL/TLS für die Übertragung
• AES-256 für die Datenbank
• Besonders sensible Daten (API-Token, OAuth-Credentials) werden zusätzlich isoliert und verschlüsselt gespeichert
• Row Level Security (RLS) auf Datenbankebene für strikte Mandantentrennung

8. Cookies

Wir verwenden verschiedene Arten von Cookies. Sie können Ihre Einwilligung jederzeit in unseren Cookie-Einstellungen anpassen.