Allgemeine Geschäftsbedingungen (AGB)

§ 1 Geltungsbereich und Vertragsgegenstand

(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) regeln das Vertragsverhältnis zwischen Stephan Grundmeyer, Einzelunternehmer, Kastellstr. 34, 46147 Oberhausen, handelnd unter den Marken „NexDeck“ und „Kre8ive Evolution“(nachfolgend „Anbieter“ oder „NexDeck“) und dem Kunden (nachfolgend „Nutzer“).

(2) Das Angebot richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliche Sondervermögen (B2B). Ein Vertragsschluss mit Verbrauchern (§ 13 BGB) ist ausdrücklich ausgeschlossen.

(3) Gegenstand des Vertrages ist die Bereitstellung der SaaS-Plattform „NexDeck“ zur Verwaltung von betrieblichen Vorgängen, inklusive Funktionen zur Aufmaß-Erstellung (LiDAR), Dokumentation, KI-gestützten Belegerfassung, CRM und Kommunikation.

§ 2 Vertragsschluss & Testphase

(1) Der Vertrag kommt durch die Online-Registrierung und die Auswahl eines kostenpflichtigen Abonnements zustande. Die Registrierung kann auch über Drittanbieter-Login (Google, Microsoft, Apple) erfolgen.

(2) Soweit eine kostenlose Testphase gewährt wird, geht diese nach Ablauf nicht automatisch in ein kostenpflichtiges Abo über, sofern der Nutzer dies nicht aktiv bestätigt (Opt-in).

(3) Unternehmereigenschaft: Mit der Registrierung bestätigt der Nutzer, dass er die Software ausschließlich im Rahmen seiner gewerblichen oder selbständigen beruflichen Tätigkeit nutzt und somit als Unternehmer im Sinne des § 14 BGB handelt. Sollte ein Nutzer entgegen dieser Bestimmung als Verbraucher im Sinne des § 13 BGB einzustufen sein, so steht ihm das gesetzliche Widerrufsrecht nach § 355 BGB zu. Das Widerrufsrecht erlischt bei digitalen Inhalten vorzeitig, wenn der Nutzer ausdrücklich zugestimmt hat, dass der Anbieter vor Ablauf der Widerrufsfrist mit der Vertragserfüllung beginnt, und der Nutzer seine Kenntnis davon bestätigt hat, dass er durch seine Zustimmung sein Widerrufsrecht verliert (§ 356 Abs. 5 BGB).

§ 3 Leistungsumfang & Verfügbarkeit (SLA)

(1) NexDeck stellt die Software als „Software-as-a-Service“ am Übergabepunkt (Ausgang des Rechenzentrums) zur Verfügung.

(2) Verfügbarkeit: Der Anbieter stellt die Software mit angemessener wirtschaftlicher Sorgfalt bereit. Eine konkrete Verfügbarkeits- oder Reaktionsgarantie wird im Standard-Tarif (Team, Business) nicht geschuldet. Für den Enterprise-Tarif können abweichende Service-Level individuell vereinbart werden (siehe separates Service-Level-Agreement unter nexdeck.app/sla).

(3) Geplante Wartung: Geplante Wartungsfenster werden mindestens 48 Stunden im Voraus über Status-Seite, In-App-Banner und/oder E-Mail angekündigt. Regulärer Wartungs-Slot: jeder 1. Sonntag im Monat zwischen 02:00 und 05:00 Uhr MEZ/MESZ.

(4) Ausgenommen vom Leistungsumfang sind ausdrücklich: (a) Ausfälle oder Einschränkungen auf Seiten von Subprozessoren (siehe Unterauftragsverarbeiter-Liste), (b) Ausfälle durch Drittanbieter-APIs (WhatsApp, LinkedIn, Großhändler-Server, Banking-APIs), (c) höhere Gewalt, (d) Cyberangriffe auf Infrastruktur, soweit diese nicht vom Anbieter grob fahrlässig verschuldet sind, (e) Leistungsbeeinträchtigungen durch Internet-Transport-Provider zwischen Nutzer und Rechenzentrum.

(4) Der Anbieter ist berechtigt, die Software weiterzuentwickeln (Updates), solange der wesentliche Funktionsumfang erhalten bleibt.

§ 3a Mängelgewährleistung

(1) Rechtsnatur: Die Bereitstellung von NexDeck als SaaS-Lösung stellt ein Dauerschuldverhältnis mit mietvertraglichem Charakter dar. Für Mängel gelten die §§ 535 ff. BGB entsprechend, soweit in diesen AGB nichts Abweichendes geregelt ist.

(2) Mangelbegriff: Ein Mangel liegt vor, wenn die Software in ihrer Funktionalität wesentlich von der vereinbarten Leistungsbeschreibung abweicht und die Nutzbarkeit dadurch nicht nur unerheblich beeinträchtigt ist. Unerhebliche Abweichungen (z.B. geringfügige Darstellungsfehler, vorübergehende Performance-Schwankungen) stellen keinen Mangel dar.

(3) Mängelanzeige: Der Nutzer ist verpflichtet, Mängel unverzüglich nach Entdeckung in Textform (E-Mail an support@nexdeck.de) anzuzeigen und dabei den Mangel so präzise wie möglich zu beschreiben (betroffene Funktion, Schritte zur Reproduktion, Screenshots).

(4) Nacherfüllung: Der Anbieter wird angezeigte Mängel innerhalb angemessener Frist beseitigen. Die Art der Nacherfüllung (Fehlerbeseitigung oder Workaround) steht im Ermessen des Anbieters. Eine Minderung der Vergütung kommt erst in Betracht, wenn der Anbieter die Nacherfüllung endgültig verweigert oder diese zweimal fehlgeschlagen ist.

(5) Ausschluss: Mängelansprüche sind ausgeschlossen, soweit der Mangel auf einer nicht vertragsgemäßen Nutzung, Eingriffen des Nutzers, Fehlfunktionen der Nutzer-Hardware/-Software oder höherer Gewalt beruht.

(6) Anfangsmängel (verschuldensunabhängige Haftung): Die verschuldensunabhängige Garantiehaftung des Anbieters für bereits bei Vertragsbeginn vorhandene Mängel nach § 536a Abs. 1 Alt. 1 BGB wird ausgeschlossen. An ihre Stelle treten die Mängelrechte des Nutzers nach diesem § 3a sowie die Schadensersatzregelung des § 10. Unberührt und in vollem Umfang erhalten bleiben (a) die Haftung für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, (b) die Haftung für Vorsatz und grobe Fahrlässigkeit, (c) die Haftung aus der Übernahme einer Garantie sowie für arglistig verschwiegene Mängel, (d) die Haftung nach dem Produkthaftungsgesetz und (e) im Übrigen die Fälle der unbeschränkten Haftung nach § 10 Abs. 1. Das Recht des Nutzers zur Minderung nach § 536 BGB sowie die Haftung des Anbieters für ein von ihm zu vertretendes (schuldhaftes) Bereitstellen in mangelhaftem Zustand bleiben von diesem Ausschluss unberührt. Dieser Ausschluss erfasst ausschließlich die verschuldensunabhängige Haftung; ein Ausschluss der Haftung für anfängliche Rechtsmängel ist hiervon nicht umfasst.

§ 4 Nutzung von KI-Funktionen & Compliance-Tools

(1) NexDeck integriert Funktionen basierend auf Künstlicher Intelligenz (u.a. Anthropic Claude via Google Vertex AI / AWS Bedrock, Google Gemini) zur Textanalyse, Belegerfassung, Chat-Assistenz und Übersetzung. Gemäß der EU-KI-Verordnung (AI Act) sind NexDecks KI-Funktionen als „Limited Risk“ (begrenztes Risiko) eingestuft. Es handelt sich um Assistenzfunktionen ohne eigenständige Entscheidungsbefugnis.

(2) Fair Use Policy:Das Abonnement beinhaltet die automatisierte KI-Analyse im Rahmen einer üblichen Nutzung. Diese ist auf ein Volumen („Soft Cap“) begrenzt, das dem Doppelten des durchschnittlichen Bedarfs entspricht (z.B. 600 Seiten/Monat). Bei dauerhafter Überschreitung kann ein Upgrade verlangt werden.

(3) Keine Automatik-Entscheidung:KI-Systeme können Fehler machen („Halluzinationen“). KI-generierte Inhalte sind lediglich Vorschläge und unverbindliche Entwürfe. Der Nutzer ist verpflichtet, sämtliche KI-generierten Inhalte vor der Weiterverwendung eigenverantwortlich zu prüfen(„Human in the Loop“). Dies gilt insbesondere für:

• OCR-Ergebnisse (automatisch erkannte Beträge, Steuersätze, Kontodaten)
• Smart Drafts (E-Mail-Entwürfe, Nachrichtenvorschläge)
• Sprachassistent-Antworten und -Aktionen
• KI-generierte Kategorisierungen und Zuordnungen
• Automatisch vorgeschlagene Buchungskonten und Steuersätze

(4) Keine Rechts- oder Steuerberatung: Soweit NexDeck rechtliche Dokumente automatisiert erstellt (z.B. Verfahrensverzeichnis nach Art. 30 DSGVO), handelt es sich ausschließlich um technische Entwürfe. NexDeck erbringt keine Rechtsberatung im Sinne des RDG und keine Steuerberatung im Sinne des StBerG. Der Nutzer ist verpflichtet, sämtliche automatisiert erstellten Dokumente vor der Verwendung durch fachkundige Personen (Rechtsanwalt, Steuerberater) prüfen zu lassen.

(5) KI-Kennzeichnung (Art. 50 EU AI Act):KI-generierte Inhalte werden gemäß den Transparenzpflichten der EU-KI-Verordnung (AI Act, Art. 50) sowohl visuell als auch maschinenlesbar gekennzeichnet. Die visuelle Kennzeichnung erfolgt durch ein „KI“-Label direkt am generierten Inhalt. Die maschinenlesbare Kennzeichnung erfolgt über HTML-Datenattribute (data-ai-generated) sowie HTTP-Header (X-AI-Generated) in API-Antworten. Diese Kennzeichnung dient auch als Hinweis, dass eine eigenverantwortliche Prüfung durch den Nutzer erforderlich ist.

(6) Fair Use für Maps & Geocoding-Funktionen (Pre-Go-Live, seit 2026-04-28): Die Nutzung der Adress-Such-, Reverse-Geocoding- und Kartendarstellungs-Funktionen ist auf den üblichen geschäftlichen Gebrauch innerhalb der NexDeck-Anwendung beschränkt. Als Fair Use gelten pro Tenant und Monat:

• 2.000 abgeschlossene Adress-Auswahlen über die Adress-Autocomplete-Funktion (gemessen werden vollständige Sessions mit Auswahl eines Vorschlags — einzelne Tastendrücke innerhalb einer Session werden nicht separat gezählt)
• 500 Reverse-Geocoding-Abfragen in Admin-Workflows (Koordinaten → strukturierte Adresse)
• 20.000 Karten-Ansichten (Map-View-Renderings)

Bei dauerhafter Überschreitung dieser Limits behält NexDeck sich vor, Rücksprache mit dem Tenant zu halten oder einen Enterprise-Tarif anzubieten. Eine automatisierte oder systematische Abfrage außerhalb der NexDeck-UI (z.B. Scraping, Bulk-Geocoding-Skripte) ist nicht gestattet und kann zur sofortigen Sperrung der Funktion für den betroffenen Tenant führen.

(7) Cost-Safety-Notabschaltung (Maps): NexDeck betreibt eine automatische Notabschaltung („Kill-Switch") für Maps- und Geocoding-API-Calls bei Überschreitung des monatlichen Kosten-Budgets (€100/Monat plattform-weit, oder bei manueller Aktivierung durch das NexDeck-Betreiber-Team aus Sicherheits- oder Missbrauchsgründen). Während aktivierter Notabschaltung fallen die genannten Funktionen vorübergehend auf eine reine Text-Eingabe ohne Vorschläge zurück; die Adress-Eingabe als solche bleibt jederzeit möglich. Die Notabschaltung setzt sich automatisch nach 24 Stunden zurück.

§ 4b Integration von Drittdiensten

(1) Verfügbarkeit: NexDeck bietet Schnittstellen zu Drittanbietern (z.B. WhatsApp & LinkedIn via Unipile, Sipgate, IDS Connect). Fällt ein Drittdienst aus, begründet dies keinen Mangel an der Leistung von NexDeck.

(2) Risiko von Account-Sperrungen: Die Nutzung von Automatisierungen (z.B. Nachrichten-Bots) erfolgt auf eigenes Risiko. NexDeck haftet nicht für die Sperrung externer Accounts.

(3) Bring Your Own Device (Telefonie): Für Telefonie-Integrationen (z.B. Sipgate) benötigt der Kunde einen eigenen Vertrag mit dem Provider.

§ 4c Geistiges Eigentum & Urheberrecht

(1) Rechte an der Software: Sämtliche Rechte an der NexDeck-Software, einschließlich Quellcode, Design, Benutzeroberfläche, Dokumentation, Algorithmen und Datenbankschemata, verbleiben beim Anbieter. Der Nutzer erhält ein einfaches, nicht übertragbares, nicht unterlizenzierbares Nutzungsrecht für die Dauer des Vertrages. Eine Vervielfältigung, Dekompilierung, Reverse Engineering oder sonstige Bearbeitung der Software ist untersagt, soweit nicht gesetzlich zwingend erlaubt (§ 69e UrhG).

(2) Rechte an Nutzer-Inhalten: Alle vom Nutzer eingegebenen, hochgeladenen oder erstellten Inhalte (Texte, Bilder, Dokumente, Rechnungen, Angebote, Projekte) verbleiben im Eigentum des Nutzers. Der Nutzer räumt dem Anbieter lediglich die zur Vertragserfüllung erforderlichen Nutzungsrechte ein (Speicherung, Verarbeitung, Anzeige, Übermittlung an berechtigte Empfänger). Diese Rechteeinräumung endet mit Vertragsbeendigung.

(3) KI-generierte Inhalte: Inhalte, die durch KI-Funktionen von NexDeck generiert werden (Smart Drafts, OCR-Ergebnisse, Zusammenfassungen, Vorschläge), können vom Nutzer frei verwendet werden. Der Anbieter erhebt keine Urheberrechtsansprüche an KI-generierten Ergebnissen. Der Nutzer ist jedoch für die Prüfung und rechtmäßige Verwendung dieser Inhalte allein verantwortlich. Insbesondere garantiert der Anbieter nicht, dass KI-generierte Texte frei von Rechten Dritter sind.

(4) Vorlagen und Templates: Vom Anbieter bereitgestellte Vorlagen (PDF-Layouts, Branchen-Presets, E-Mail-Templates, Textbausteine) dürfen ausschließlich im Rahmen der NexDeck-Nutzung verwendet werden. Eine Extraktion, Weitergabe oder Nutzung außerhalb der Plattform ist untersagt.

(5) Verantwortung für hochgeladene Inhalte: Der Nutzer sichert zu, dass er berechtigt ist, sämtliche in NexDeck eingegebenen oder hochgeladenen Inhalte zu verwenden, und dass diese keine Rechte Dritter verletzen (insbesondere Urheber-, Marken- und Persönlichkeitsrechte). Dies gilt insbesondere für:

• Bilder und Fotos in Angeboten, Projekten oder Social Media Posts
• Texte in E-Mails, Nachrichten und Marketing-Materialien
• Logos und Markenzeichen in Rechnungen und Geschäftsbriefen
• Dokumente, die über die Plattform versendet oder veröffentlicht werden

Der Nutzer stellt den Anbieter von sämtlichen Ansprüchen Dritter frei, die aus einer Verletzung dieser Zusicherung entstehen (vgl. § 10a).

(6) Kein Data Mining: Der Anbieter wird Nutzer-Inhalte nicht für eigene Zwecke auswerten, analysieren oder kommerziell verwerten. Insbesondere werden keine Nutzer-Inhalte zum Training von KI-Modellen verwendet. Es findet keine mandantenübergreifende Datenanalyse statt.

(7) Markenrecht:„NexDeck“ und das NexDeck-Logo sind Marken des Anbieters. Der Nutzer darf die Marken nur im Rahmen der vertragsgemäßen Nutzung verwenden (z.B. „Erstellt mit NexDeck“ in Rechnungsfußzeilen). Eine darüber hinausgehende Nutzung bedarf der schriftlichen Zustimmung.

§ 4d Cyber-Hygiene und IT-Sicherheits-Mindeststandards des Nutzers

(1) Der Nutzer ist verpflichtet, beim Zugriff auf die Plattform angemessene Cyber-Hygiene-Maßnahmen einzuhalten. Hierzu zählen insbesondere:

• Aktivierung der angebotenen Mehr-Faktor-Authentifizierung (MFA) für alle Admin- und Owner-Konten;
• Verwendung starker, einzigartiger Passwörter (mindestens 12 Zeichen, Mischung aus Buchstaben/Zahlen/Sonderzeichen);
• Aktualisierung der eigenen Endgeräte und Browser auf aktuelle Sicherheits-Patches;
• Vollständige Festplattenverschlüsselung der für den Plattform-Zugriff genutzten Endgeräte;
• Schulung interner Mitarbeitender zu Phishing, Social-Engineering und sicherem Umgang mit Plattform-Zugängen;
• Unverzügliche Meldung verdächtiger Aktivitäten an security@nexdeck.app.

(2) Der Nutzer ist für seine eigene Wahl von Sub-Processors verantwortlich (insbesondere bei aktivierten Add-On-Features wie Voice-, Mail-, oder Telefonie-Integration). Auf das Trust-Center unter /trustwird verwiesen.

(3) Bei Verletzung dieser Mitwirkungspflichten entfallen SLA-Gutschriften nach § 3 und mögliche Schadensersatz-Ansprüche, soweit die Verletzung kausal für den Schaden war.

§ 5 Mitwirkungspflichten & GoBD-Compliance

(1) Verantwortung des Nutzers: NexDeck stellt ein technisches Werkzeug zur Unterstützung betrieblicher Abläufe bereit. Die alleinige Verantwortung für die inhaltliche Richtigkeit sämtlicher eingegebener Daten, erstellter Dokumente und getroffener Entscheidungen liegt ausschließlich beim Nutzer. Dies umfasst insbesondere:

• Richtigkeit von Rechnungsangaben (Beträge, Steuersätze, Empfängerdaten)
• Korrektheit von Angeboten, Verträgen und Geschäftsbriefen
• Ordnungsgemäße Buchführung und steuerliche Pflichten
• Einhaltung branchenspezifischer Vorschriften (z.B. Handwerkerrecht, VOB)
• Einhaltung des Datenschutzes gegenüber seinen eigenen Kunden

(2) Keine Steuerberatung: NexDeck erbringt keine geschäftsmäßige Hilfeleistung in Steuersachen im Sinne des § 1 StBerG. Sämtliche Funktionen zur Rechnungserstellung, zum DATEV-Export, zur Kassenbuchführung und zur Belegerfassung sind rein technischer Natur. Die steuerliche Beurteilung, insbesondere die Wahl des korrekten Steuersatzes, die Zuordnung zu Buchungskonten und die Prüfung der steuerlichen Abzugsfähigkeit, obliegt dem Nutzer bzw. dessen Steuerberater. NexDeck übernimmt keinerlei Haftung für steuerliche Folgen, die aus der Nutzung der Software entstehen.

(3) E-Invoicing (Elektronische Rechnungen): NexDeck erstellt Rechnungen in elektronischen Formaten (ZUGFeRD 2.2, XRechnung) nach dem europäischen Standard EN 16931. Der Nutzer ist allein verantwortlich für die Vollständigkeit und Richtigkeit der Pflichtangaben (insbesondere Steuernummern, USt-IdNr., Leistungsbeschreibungen, Steuersätze, Leitweg-IDs). NexDeck generiert die technisch konforme XML-/PDF-Struktur ausschließlich auf Basis der vom Nutzer eingegebenen Daten. Fehlerhafte Eingangsdaten führen zwangsläufig zu fehlerhaften E-Rechnungen, wofür NexDeck nicht haftet.

(4) DATEV-Export und Buchhaltungsschnittstellen: Die DATEV-Exportfunktion erstellt Buchungsstapel im EXTF-Format auf Basis der im System erfassten Daten. NexDeck ist kein Ersatz für ein Buchhaltungssystem und kein Ersatz für die Prüfung durch einen Steuerberater. Der Nutzer ist verpflichtet, exportierte Daten vor der Übernahme in seine Buchhaltung auf Richtigkeit zu prüfen.

(5) GoBD-Funktionen: NexDeck stellt technische Funktionen zur Unterstützung der GoBD-Compliance bereit (lückenlose Nummerierung, Unveränderbarkeit finalisierter Dokumente, Audit-Trail, S3 Object Lock). Die Verantwortung für die Einhaltung der GoBD-Grundsätze (Nachvollziehbarkeit, Nachprüfbarkeit, Wahrheit, Klarheit, fortlaufende Aufzeichnung) liegt ausschließlich beim Nutzer. NexDeck garantiert nicht, dass die Nutzung der Software automatisch zur GoBD-Konformität führt.

(6) Kassenbuchführung: Die Kassenbuchfunktion unterstützt den Nutzer bei der Erfassung von Bartransaktionen. Die Verantwortung für die ordnungsgemäße Kassenführung im Sinne der Kassensicherungsverordnung (KassenSichV) und der GoBD liegt allein beim Nutzer. NexDeck ersetzt keine zertifizierte TSE (Technische Sicherheitseinrichtung).

(7) Datensicherung: Der Nutzer ist verpflichtet, regelmäßige Sicherungskopien seiner Daten durch die Export-Funktionen zu erstellen (Datenhoheit). NexDeck empfiehlt eine monatliche Datensicherung.

§ 6 Digitale Angebote & Vertragsschluss mit Endkunden

(1) NexDeck ermöglicht dem Nutzer, Angebote digital an Endkunden zu versenden und diese per digitaler Unterschrift oder Klick bestätigen zu lassen.

(2) Der Nutzer erkennt an, dass diese digitalen Bestätigungen als bindender Vertragsschluss gelten. Die Beweiskraft der Audit-Logs (IP, Zeitstempel, Geodaten) wird als maßgeblich anerkannt.

§ 7 E-Mail-Integration & Datenzugriff

(1) Einwilligung: Der Nutzer beauftragt NexDeck, automatisiert Metadaten und Inhalte von verknüpften E-Mail-Konten abzurufen.

(2) Archivierung: NexDeck ist kein revisionssicheres E-Mail-Archiv. Die GoBD-konforme Archivierung obliegt dem Nutzer.

§ 7b Dispatch-Kunden-Benachrichtigungen & GPS-Tracking

7b.1 Kunden-Benachrichtigungen (z.B. „Auf dem Weg"-E-Mail)

(1) NexDeck stellt eine optionale Funktion bereit, mit der Endkunden des Nutzers automatisch per E-Mail über Einsatz-Status informiert werden (z.B. wenn ein Monteur als „auf dem Weg" markiert wird). Die Funktion ist tenant-weit deaktiviert und muss vom Nutzer in den Einstellungen aktiviert werden.

(2) Consent-Verantwortung: Der Nutzer ist als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO verpflichtet, für jeden Endkunden eine gültige Rechtsgrundlage (regelmäßig Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Vertragserfüllung gem. lit. b) vor dem Versand nachzuweisen. NexDeck prüft vor dem Versand die im System hinterlegte Consent-Markierung und versendet fail-closed.

(3) Jede versendete E-Mail enthält einen funktionierenden Widerrufs-Link, der den Consent des Endkunden sofort widerruft (Art. 7 Abs. 3 DSGVO).

7b.2 GPS-Standortverarbeitung (Workforce-Tracking) — Opt-In-Feature

(1) Opt-In-Charakter: GPS-Tracking von Mitarbeitern ist ein Opt-In-Feature und standardmäßig deaktiviert. Die Aktivierung erfolgt ausschließlich durch den Eigentümer des Tenants im Self-Service unter „Einstellungen → GPS-Tracking".

(2) Verantwortlichen-Pflichten des Nutzers: Vor der Aktivierung hat der Nutzer als datenschutzrechtlich Verantwortlicher rechtsverbindlich zu bestätigen, dass er:

1. eine Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO durchgeführt hat — GPS-Tracking ist DSK-Pflichtfall;
2. einen Datenschutzbeauftragten bestellt hat gem. § 38 BDSG (bei DSFA- pflichtigen Verarbeitungen unabhängig von der Firmengröße) oder nicht bestellpflichtig ist;
3. eine Betriebsratsvereinbarung gem. BetrVG § 87 Abs. 1 Nr. 6 abgeschlossen hat (falls Betriebsrat existiert) oder eine interne Datenschutz-Policy dokumentiert hat;
4. alle betroffenen Mitarbeiter gem. Art. 13 DSGVO schriftlich informiert hat;
5. für jede Mitarbeiter-Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO sorgt (freiwillig, widerruflich, dokumentiert).

(3) Dokumentation: Die Aktivierungserklärung wird mit Zeitstempel, IP-Adresse, User-Agent und aller sechs rechtlichen Bestätigungen im Audit-Log gespeichert und kann im Streitfall durch den Nutzer oder durch NexDeck als Nachweis herangezogen werden.

(4) Rolle NexDeck (Auftragsverarbeiter): NexDeck entscheidet nicht über das Ob der GPS-Verarbeitung, sondern verarbeitet GPS-Standorte ausschließlich auf dokumentierte Weisung des Verantwortlichen gem. Art. 28 DSGVO. Näheres regelt der AVV.

7b.3 Freistellung und Haftungsbeschränkung

(1) Der Nutzer stellt NexDeck von jeglichen Ansprüchen Dritter frei, die aus einer rechtswidrigen Nutzung der GPS-Funktion oder der Kunden- Benachrichtigungsfunktion durch den Nutzer entstehen (z.B. GPS-Aktivierung ohne DSFA, Versand ohne Consent, mangelhafte Mitarbeiter-Information).

(2) Die Haftung von NexDeck beschränkt sich auf vorsätzliches und grob fahrlässiges Verhalten sowie auf Schäden, die aus dem Bruch von Art. 28 DSGVO-Pflichten durch NexDeck selbst entstehen. Für Schäden aus Verantwortlichen-Pflichtverletzungen des Nutzers haftet NexDeck nicht.

(3) Notabschaltung: NexDeck behält sich vor, die GPS-Funktion eines Tenants bei begründetem Verdacht auf rechtswidrige Nutzung, behördlicher Anordnung oder AGB-Verstoß kurzfristig abzuschalten. Die Entscheidung wird dem Nutzer schriftlich mit Begründung mitgeteilt.

§ 7a Multi-Channel-Messaging (Unipile, WhatsApp, LinkedIn)

(1) Kanäle: Der Anbieter ermöglicht dem Nutzer über den Drittanbieter Unipile SAS die Integration weiterer Kommunikationskanäle (u.a. WhatsApp Business, LinkedIn Messaging, Gmail, Outlook, iCloud, Calendar). Diese Integration erfolgt auf ausdrücklichen Wunsch des Nutzers; die Zustimmung kann jederzeit in den Einstellungen widerrufen werden.

(2) Einwilligung der Endkunden: Der Nutzer ist als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO allein verpflichtet, vor jeder Kommunikation mit einem Endkunden eine tragfähige Rechtsgrundlage zu schaffen. Bei WhatsApp- und LinkedIn-Messaging-Flows ist regelmäßig eine aktive Einwilligung des Endkunden erforderlich (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 7 UWG). Der Nutzer verpflichtet sich, diese Einwilligung einzuholen, revisionssicher zu dokumentieren und Endkunden über den Transfer an Meta Platforms Ireland Ltd. bzw. LinkedIn Ireland Unlimited Company (Drittstaaten-Transfer USA via Data Privacy Framework) zu informieren.

(3) Freistellung: Der Nutzer stellt den Anbieter von sämtlichen Ansprüchen Dritter frei, die aus einer Verletzung der Einwilligungspflicht, aus unerlaubter Werbung (§§ 7, 8 UWG) oder aus Verletzungen der WhatsApp-/LinkedIn-Plattformrichtlinien entstehen. Dies umfasst auch angemessene Kosten der Rechtsverteidigung.

(4) Plattform-Sperrungen: Der Anbieter haftet nicht für Sperrungen oder Einschränkungen der externen Accounts des Nutzers (z.B. WhatsApp-Business-Account-Sperrung durch Meta wegen Automatisierungs-Verdachts). Die Nutzung von Nachrichtenautomatisierung erfolgt auf ausschließliches Risiko des Nutzers.

(5) AVV & Dokumentation: Der Nutzer ist verpflichtet, mit seinen eigenen Endkunden gegebenenfalls gesonderte Vereinbarungen zur Datenverarbeitung (AVV/DPA) zu schließen. NexDeck stellt den Unterauftragsverarbeitungs-Rahmen zwischen NexDeck und Unipile bereit (siehe AVV unter /avv).

(6) Email-Marketing-Sequenzen — kein Cold-E-Mail-Versand: Die in der Plattform bereitgestellten Drip-Sequenzen (cold_lead_nurture, customer_onboarding, quote_followup, mahnwesen) duerfen ausschliesslich an Empfaenger gesendet werden, die einen dokumentierten Double-Opt-In bestaetigt haben oder zu denen eine aktive Geschaeftsbeziehung im Sinne § 7 Abs. 3 UWG besteht (Bestandskunden-Ausnahme — eng auszulegen, Empfaenger muss einer aehnlichen Ware/Dienstleistung erworben haben). Cold-Email-Versand an unbekannte Adressaten ist gemaess § 7 Abs. 2 UWG in Deutschland untersagt — auch im B2B-Kontext (anders als im uebrigen EU-Raum). Der Nutzer versichert, ausschliesslich rechtskonforme Empfaengerlisten zu verwenden. NexDeck verhindert technisch den Versand an Empfaenger ohne gueltigen DOI-Eintrag und ohne aktiven Subscriber-Status (siehe Hard-Lock und Audit-Log in AVV § 1 Abs. 4d/4e).

§ 8 Preise, Zahlungsbedingungen & Gebühren

(1) Es gelten die im Bestellprozess vereinbarten Lizenzgebühren. Preise verstehen sich zzgl. gesetzlicher MwSt.

(2) Dynamische Zusatzoptionen (Slots): Weitere Premium-Verbindungen werden sofort fällig und anteilig berechnet (pro rata). Kündigung zum Monatsende möglich.

(3) Transaktionsgebühren:Bei integrierten Zahlungsfunktionen (z.B. „Pay Now“ via Stripe) können zusätzliche Gebühren anfallen.

(4) Rechnungen von NexDeck sind binnen 14 Tagen ab Rechnungszugang zur Zahlung fällig. Akzeptierte Zahlungsarten: Banküberweisung, SEPA-Lastschrift, Kreditkarte (via Stripe), auf Anfrage auch Rechnung (nach Bonitätsprüfung). Alle Preise verstehen sich zzgl. gesetzlicher Umsatzsteuer von derzeit 19%.

(5) Verzug: Bei Zahlungsverzug ist der Anbieter berechtigt, Verzugszinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz (§ 288 Abs. 2 BGB) zu verlangen sowie eine Mahnpauschale in Höhe von 40,00 € gemäß § 288 Abs. 5 BGB. Bei mehr als 30 Tagen Verzug ist der Anbieter berechtigt, die Bereitstellung der Software nach vorheriger Mahnung einzustellen; bereits gezahlte Lizenzgebühren werden in diesem Fall nicht anteilig erstattet.

§ 8a Integrierte Zahlungsabwicklung (Stripe Connect)

(1) Dreiseitige Vertragsstruktur:NexDeck bietet dem Nutzer optional die Möglichkeit, über die integrierte Stripe-Connect-Anbindung eigene Rechnungen gegenüber Endkunden einzuziehen („Pay Now“- Funktion). Bei Aktivierung dieser Funktion tritt der Nutzer zusätzlich in ein Vertragsverhältnis mit der Stripe Payments Europe, Ltd. (Stripe Connected Account Agreement, „SCAA“) ein. NexDeck fungiert als Plattform-Betreiber im Sinne des SCAA.

(2) Pass-Through-Klauseln: Der Nutzer verpflichtet sich, das jeweils aktuelle SCAA (abrufbar unter stripe.com/connect-account/legal) sowie die Stripe Services Agreement (SSA) vollständig zu akzeptieren. Stripe-spezifische Pflichten (z.B. KYC-Verifizierung, Sanktionslistenprüfung, Aufzeichnungspflichten, Abwicklung von Chargebacks) werden als Pass-Through-Verpflichtungen vom Nutzer übernommen. Bei Widersprüchen zwischen diesen AGB und dem SCAA gehen die SCAA-Regelungen in Bezug auf die Zahlungsabwicklung vor.

(3) Destination Charges: Zahlungen von Endkunden des Nutzers werden im Destination-Charges-Modell ausgeführt. Der Nutzer erscheint gegenüber dem Endkunden als Zahlungsempfänger; NexDeck zieht eine Plattformgebühr ein und leitet den Restbetrag an den Stripe-Connected- Account des Nutzers weiter. Die vertragliche Rechtsbeziehung bezüglich der erbrachten Leistung besteht ausschließlich zwischen Nutzer und Endkunde.

(4) Chargebacks & Rückbuchungen: Chargebacks, Rückbuchungen, Refunds und damit verbundene Gebühren sind ausschließlich vom Nutzer zu tragen. NexDeck ist berechtigt, entsprechende Beträge mit offenen Guthaben oder zukünftigen Auszahlungen zu verrechnen.

(5) Haftungsausschluss Stripe: NexDeck haftet nicht für Sperrungen, Verzögerungen, Gebühren, Auszahlungsstopps, KYC-Ablehnungen oder sonstige Einschränkungen durch Stripe. Bei Problemen mit der Zahlungsabwicklung wendet sich der Nutzer direkt an Stripe.

§ 9 Laufzeit, Kündigung & Datenlöschung

(1) Regellaufzeit (Team, Business): Die Mindestlaufzeit beträgt 12 Monate ab Vertragsaktivierung. Der Vertrag verlängert sich automatisch um jeweils weitere 12 Monate, sofern er nicht spätestens 30 Tage vor Ablauf der jeweiligen Laufzeit in Textform (§ 126b BGB, z.B. E-Mail an legal@nexdeck.de) gekündigt wird.

(2) Enterprise-Tarif: Laufzeit und Kündigungsfrist werden individuell im Enterprise-Rahmenvertrag vereinbart.

(3) Monatliche Abrechnung (optional): Bei individueller Vereinbarung eines monatlichen Abrechnungsrhythmus bleibt die 12-monatige Mindestlaufzeit bestehen; lediglich die Zahlungsweise ändert sich (z.B. monatliche SEPA-Abbuchung).

(4) Kündigungsmöglichkeiten (§ 312k BGB): Die Kündigung kann erfolgen über (a) den jederzeit erreichbaren Kündigungs-Button auf www.nexdeck.app/kuendigen (BGB-konformer Kündigungs-Button nach § 312k), (b) den Klick in den Kontoeinstellungen ("Abo verwalten") oder (c) per E-Mail an legal@nexdeck.de. Der Anbieter bestätigt den Zugang der Kündigung unverzüglich in Textform und den Zeitpunkt der Wirksamkeit gesondert nach Ablauf etwaiger Fristen (BGH I ZR 161/24 vom 22.05.2025).

(5) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt für beide Parteien unberührt (§ 314 BGB).

(5) Aufbewahrung von Vertragsdaten: Stammdaten und Abrechnungsdaten werden gemäß § 147 AO 10 Jahre aufbewahrt.

§ 9a Sonderkündigungsrecht (Performance-Garantie)

Der Kunde erhält einmalig zum Ende des 3. Vertragsmonats ein Sonderkündigungsrecht. Voraussetzung ist die aktive Teilnahme am Onboarding-Prozess. Übt der Kunde dieses Recht nicht aus, läuft der Vertrag regulär bis zum Ende der 12-monatigen Laufzeit weiter.

§ 9b Datenexport und Anbieterwechsel (Data Act)

Diese Regelungen setzen die Pflichten der Verordnung (EU) 2023/2854 (Data Act, in Kraft seit 12. September 2025) für Datenverarbeitungs- Dienste um.

9b.1 Datenklassifikation

(1) Tenant-Daten umfassen: alle vom Tenant eingegebenen, importierten oder über die Plattform generierten Geschäftsdaten (CRM-Datensätze, Rechnungen, Belege, E-Mails, Dokumente, Termine, etc.) sowie die Tenant-Konfiguration. Diese Daten gehören dem Tenant.

(2) Plattform-Daten umfassen: aggregierte und anonymisierte Nutzungs-Telemetrie, Plattform-übergreifende Audit-Logs zur Wirksamkeitsbewertung, sowie KI-Modell-Verbesserungs- Daten (nur soweit ausdrücklich vom Tenant über separate Einwilligung freigegeben). Diese Daten gehören NexDeck.

9b.2 Datenexport-Recht

(1) Der Tenant hat das Recht, jederzeit einen vollständigen Export aller Tenant-Daten über die Self-Service-Funktion unter /admin/settings/legal/data-export zu erhalten. Format: ZIP-Archiv mit strukturierten JSON-/CSV-Datensätzen und den zugehörigen PDF-Belegen aus dem S3-Speicher.

(2) Die Bereitstellung erfolgt innerhalb von 30 Tagen nach Anfrage (Art. 25 Abs. 1 Data Act). Bei Stör-/Notfällen ist die Bereitstellung unverzüglich, spätestens innerhalb von 72 Stunden zu gewährleisten (Art. 25 Abs. 5 Data Act).

(3) Reguläre Datenexports nach Art. 25 Abs. 1 Data Act erfolgen ohne Hinderungsgründe und unentgeltlich.

Für außerordentliche Anfragen, die über den regulären Self-Service-Umfang hinausgehen (insbesondere benutzerdefinierte Formate, parallel zur Standard-ZIP-Bereitstellung), kann NexDeck bis zum 11. Januar 2027 eine angemessene Aufwandsersatz-Pauschale erheben.

Vor Beauftragung einer kostenpflichtigen Sonder-Anfrage übermittelt NexDeck dem Tenant eine schriftliche Aufwandsschätzung mit Angabe der erwarteten Stunden und Gesamtkosten (Stunden-Standard-Satz: 150,00 €, zuzüglich gesetzlicher Umsatzsteuer). Der Tenant kann die Aufwandsschätzung vor Beauftragung ablehnen ohne Einfluss auf die regulären Export-Rechte.

Ab dem 12. Januar 2027 entfallen sämtliche Wechsel-bezogenen Gebühren gemäß Art. 29 Abs. 1 Data Act.

9b.3 Anbieterwechsel

(1) Der Tenant hat das Recht auf einen geordneten Anbieterwechsel nach Art. 23-25 Data Act. NexDeck stellt für den Wechsel folgende Unterstützung bereit:

• Vollständiger Datenexport (siehe § 9b.2);
• Technische Dokumentation der API-Endpunkte;
• Migrations-Beratung (Standard-Pauschale, siehe § 9b.2 Abs. 3);
• Sub-Processor-Liste zur Identifikation von Migrationspartnern.

(2) Die Kündigungsfrist für einen geplanten Anbieterwechsel beträgt abweichend von § 9 Abs. 2 maximal 30 Tage (Art. 23 Abs. 2 Data Act). Während dieser Frist bleibt die Plattform vollständig nutzbar.

(3) Nach Abschluss des Wechsels werden die Tenant-Daten gemäß § 9 Abs. 4 nach 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (insbesondere § 147 AO, § 257 HGB) bestehen.

Bezug: Verordnung (EU) 2023/2854 (Data Act), Art. 9-10 (Transparenz), Art. 13 (B2B-Vertragsklauseln), Art. 23-25 (Switching-Pflichten), Art. 29 (Wechselgebühren-Verbot ab 12. Januar 2027).

§ 10 Haftung

(1) Unbeschränkte Haftung: Der Anbieter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit, bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, aus der Übernahme einer Garantie sowie in den Fällen zwingender gesetzlicher Haftung (z.B. Produkthaftungsgesetz, arglistiges Verschweigen eines Mangels).

(2) Beschränkte Haftung bei Kardinalpflichten: Bei leichter Fahrlässigkeit haftet der Anbieter nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten), deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Nutzer regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt. Zu den wesentlichen Vertragspflichten gehört insbesondere die ordnungsgemäße Ermittlung und Berechnung der vertraglich geschuldeten Mengen (Aufmaß / Mengenberechnung).

(4) Ausschluss mittelbarer Schäden:Die Haftung für mittelbare Schäden, Folgeschäden, entgangenen Gewinn, entgangene Einsparungen, Schäden aus Betriebsunterbrechung, Verlust von Geschäftsinformationen, entgangene Geschäftschancen und Vermögensschäden Dritter ist ausgeschlossen, soweit kein Fall der Absätze 1 oder 2 vorliegt. Soweit ein Fall des Absatzes 2 vorliegt, bleibt die Haftung für den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden — einschließlich insoweit vorhersehbarer und vertragstypischer mittelbarer Schäden, Mangelfolgeschäden und entgangenen Gewinns — unberührt.

(5) Datenverlust: Die Haftung für Datenverlust ist auf den typischen Wiederherstellungsaufwand beschränkt, der bei ordnungsgemäßer und regelmäßiger Datensicherung durch den Nutzer (vgl. § 5 Abs. 7) entstanden wäre. Hat der Nutzer keine Datensicherung vorgenommen, haftet der Anbieter nicht für die Wiederherstellung nicht gesicherter Daten.

(6) KI-generierte Inhalte: NexDeck haftet nicht für Schäden, die aus der ungeprüften Übernahme KI-generierter Inhalte entstehen. Dies umfasst insbesondere:

• Fehlerhafte OCR-Ergebnisse (falsch erkannte Beträge, Steuersätze, Kontonummern, Bankdaten)
• Falsche oder unvollständige Smart Drafts (E-Mail-Entwürfe, Nachrichtenvorschläge)
• Fehlerhafte Sprachassistent-Aktionen (Buchungen, Zuordnungen, Kategorisierungen)
• Fehlerhafte automatische Vorschläge für Buchungskonten, Steuersätze oder Kategorien
• Halluzinationen oder sachlich falsche KI-Antworten

Der Nutzer ist gemäß § 4 Abs. 3 verpflichtet, sämtliche KI-generierte Ergebnisse vor der Weiterverwendung eigenverantwortlich zu prüfen.

(7) Steuerliche und buchhalterische Schäden: NexDeck haftet nicht für steuerliche Nachteile, Steuernachzahlungen, Zinsen, Verspätungszuschläge, Bußgelder oder sonstige Schäden, die dem Nutzer oder Dritten durch die Nutzung der Rechnungserstellungs-, DATEV-Export-, Kassenbuch- oder E-Invoicing-Funktionen entstehen. Dies gilt insbesondere für:

• Fehlerhafte E-Rechnungen aufgrund falscher Eingangsdaten des Nutzers
• Fehlerhafte DATEV-Exporte aufgrund falscher Kontenzuordnungen
• Fehler im Kassenbuch aufgrund falscher Eingaben
• Nichtanerkennung von Belegen durch das Finanzamt
• Verstöße gegen GoBD-Grundsätze aufgrund fehlerhafter Nutzung

NexDeck stellt ausschließlich technische Werkzeuge bereit (vgl. § 5 Abs. 2-6) und erbringt keine Steuerberatung.

(8) Messergebnisse und LiDAR: Aufmaßergebnisse aus LiDAR-Scans sind technische Näherungswerte. Eine Haftung für die Genauigkeit von Messergebnissen und daraus abgeleiteten Kalkulationen ist ausgeschlossen, soweit kein Fall der Absätze 1 oder 2 vorliegt. Für die Verletzung der Pflicht zur ordnungsgemäßen Mengenberechnung (Absatz 2) gilt Absatz 2 entsprechend; ein vollständiger Haftungsausschluss für Mess- oder Berechnungsfehler ist nicht vereinbart.

(9) Drittanbieter und Integrationen: NexDeck haftet nicht für Ausfälle, Fehler, Datenverluste oder sonstige Beeinträchtigungen, die durch Drittanbieter-Dienste verursacht werden (insbesondere Unipile, Stripe, WhatsApp, LinkedIn, Sipgate, Google, Microsoft, AWS). Die Haftung für die Verfügbarkeit und Funktionsfähigkeit von Drittanbieter-APIs ist ausgeschlossen.

(10) Account-Sperrungen durch Dritte: NexDeck haftet nicht für Sperrungen oder Einschränkungen von Nutzer-Accounts bei Drittanbietern (z.B. WhatsApp, LinkedIn, Meta), die durch die Nutzung von Automatisierungsfunktionen verursacht werden (vgl. § 4b Abs. 2).

(11) Softwarefehler: Software ist ihrem Wesen nach nie vollkommen fehlerfrei. Der Anbieter schuldet keine Fehlerfreiheit der Software. Geringfügige Abweichungen von der Leistungsbeschreibung, die die Nutzbarkeit nicht oder nur unerheblich beeinträchtigen, begründen keine Mängelansprüche.

(12) Höhere Gewalt: Der Anbieter haftet nicht für die Nichterfüllung oder verspätete Erfüllung seiner Pflichten, soweit dies auf Umstände zurückzuführen ist, die außerhalb seiner zumutbaren Kontrolle liegen (höhere Gewalt). Dies umfasst insbesondere Naturkatastrophen, Pandemien, Krieg, Terrorismus, Streiks, behördliche Anordnungen, Ausfall von Telekommunikationsnetzen, Cyberangriffe, Ausfall von Cloud-Providern sowie Änderungen der Rechtslage.

§ 10a Freistellung (Indemnification)

(1) Der Nutzer stellt den Anbieter von sämtlichen Ansprüchen Dritter frei, die gegen den Anbieter aufgrund einer rechtswidrigen Nutzung der Software durch den Nutzer oder mit dessen Billigung oder aufgrund von Streitigkeiten über die vom Nutzer eingegebenen Inhalte oder erstellten Dokumente geltend gemacht werden. Dies umfasst auch angemessene Rechtsverteidigungskosten.

(2) Die Freistellungspflicht gilt insbesondere für:

• Ansprüche aus fehlerhaften Rechnungen, die der Nutzer über NexDeck erstellt hat
• Steuerrechtliche Beanstandungen aufgrund vom Nutzer eingegebener Daten
• Datenschutzverstöße durch den Nutzer gegenüber seinen Endkunden
• Wettbewerbsverstöße durch vom Nutzer versendete Nachrichten
• Urheberrechtsverletzungen durch vom Nutzer hochgeladene Inhalte
• Verstöße gegen Plattformrichtlinien von Drittanbietern (WhatsApp, LinkedIn, Meta)
• Verstöße gegen § 312k BGB (Kündigungsbutton) auf der eigenen Webseite des Nutzers — siehe § 10c
• Verstöße gegen § 5 DDG durch unrichtige oder veraltete Pflichtangaben in vom Nutzer hinterlegten Stammdaten — siehe § 10d

(3) Der Nutzer wird den Anbieter über geltend gemachte Ansprüche unverzüglich informieren und ihm alle zur Verteidigung erforderlichen Informationen bereitstellen.

§ 10c Kündigungsbutton-Pflicht des Nutzers (§ 312k BGB)

(1) Pflicht zur Einbindung: Sofern der Nutzer über NexDeck Verbraucher-Verträge abschließt (B2C-Verkäufe, Verbraucher-Abos, Wartungsverträge mit Verbrauchern, etc.), ist er gemäß § 312k BGB verpflichtet, einen Kündigungsbutton mit der Beschriftung "Verträge hier kündigen" auf seiner eigenen Webseite permanent sichtbar im Footer einzubinden. Der Button muss ohne Login direkt zur Kündigungsseite führen (BGH I ZR 161/24, 22.05.2025).

(2) NexDeck stellt die Kündigungsseite bereit: Unter der Adresse https://www.nexdeck.app/t/{slug}/kuendigen wird automatisch eine BGB-konforme Kündigungsseite mit dem Branding und Impressum des Nutzers gerendert (slug = vom Nutzer im Onboarding gewählter Identifier). Der Nutzer findet den vollständigen Einbindungs-Hinweis inklusive Code-Snippets unter Einstellungen → Rechtliches → Kündigungsbutton.

(3) Verantwortung: Der Nutzer ist allein verantwortlich für die korrekte technische Einbindung des Kündigungsbutton-Links auf seiner Webseite. NexDeck kann die Einbindung nicht erzwingen, weist aber regelmäßig automatisiert auf die Pflicht hin (Quartals-Reminder).

(4) Freistellung: Wird NexDeck wegen einer fehlenden oder fehlerhaften Einbindung des Kündigungsbutton-Links auf der Webseite des Nutzers in Anspruch genommen (z.B. durch Mitbewerber-Abmahnung wegen Mit-Störerhaftung im Sinne von § 8 Abs. 2 UWG, vgl. LG Hildesheim 09.01.2024 — 18 O 10/23 zu Plattform-Mitwirkung), stellt der Nutzer NexDeck von sämtlichen Ansprüchen einschließlich Rechtsverteidigungskosten frei.

§ 10d Korrektheit der Pflichtangaben (§ 5 DDG)

(1) Korrektheits-Garantie: Der Nutzer garantiert die Richtigkeit, Vollständigkeit und Aktualität der von ihm in NexDeck hinterlegten Pflichtangaben nach § 5 DDG (Diensteanbieter-Identifikation), insbesondere Firma, Anschrift, Vertretungsberechtigte, Handelsregister, Umsatzsteuer-Identifikationsnummer, Kontakt-Email und -Telefon, sowie ggf. Aufsichtsbehörde und Berufsbezeichnung.

(2) Pflicht zur Aktualisierung: Bei Änderungen (z.B. Sitzverlegung, Geschäftsführer-Wechsel, Rechtsform-Änderung) aktualisiert der Nutzer seine Daten unverzüglich, spätestens jedoch innerhalb von 14 Tagen nach Wirksamwerden der Änderung.

(3) Quartalsweise Bestätigung: Einmal pro Quartal sendet NexDeck dem Nutzer eine Erinnerungs-Email mit der Bitte, die Aktualität der Pflichtangaben zu bestätigen. Erfolgt die Bestätigung nicht innerhalb von 30 Tagen, werden tenant-spezifische öffentliche Seiten (/t/{slug}/*) und Marketing-Sequenzen automatisch deaktiviert (Soft-Lock), bis der Nutzer die Bestätigung nachholt. Transaktionale Mails (Rechnungen, Auftragsbestätigungen) bleiben weiter möglich.

(4) Freistellung: Der Nutzer stellt NexDeck von Ansprüchen Dritter frei, die durch unrichtige oder veraltete Pflichtangaben des Nutzers in NexDeck-generierten Dokumenten oder auf Tenant-Public-Pages entstehen.

§ 10b Verjährung

(1) Ansprüche aus diesem Vertragsverhältnis verjähren in einem Jahr ab dem gesetzlichen Verjährungsbeginn, soweit es sich nicht um Ansprüche aus vorsätzlichen oder grob fahrlässigen Pflichtverletzungen, Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit oder Ansprüche nach dem Produkthaftungsgesetz handelt.

(2) Die Verkürzung der Verjährungsfrist gilt auch für Ansprüche aus vorvertraglichen Pflichtverletzungen und unerlaubter Handlung, soweit gesetzlich zulässig.

§ 11 Datenschutz & Dritte Dienste

(1) Die Parteien schließen einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO. Der AVV ist einsehbar unter: nexdeck.app/avv.

(2) Zur Sicherstellung der Systemstabilität setzt der Anbieter spezialisierte Dienstleister ein (z.B. Sentry, Stripe, Google Cloud, Microsoft Azure). Details regelt die Datenschutzerklärung.

§ 11b Technologie- und Provider-Flexibilität

(1) Grundsatz: Der Anbieter behält sich vor, die zur Leistungserbringung eingesetzten technischen Infrastruktur-Komponenten (Hosting, Datenbank, KI-Modelle, Sprach-/Transkriptionsdienste, Payment, Kommunikation, CDN, Monitoring etc.) nach freiem Ermessen zu ändern, auszutauschen oder durch zusätzliche Anbieter zu ergänzen, sofern dies nicht zu einer Verschlechterung des Datenschutzniveaus oder der vertraglich geschuldeten Leistung führt.

(2) Gleichwertigkeit: Ein gleichwertiges Schutzniveau liegt insbesondere dann vor, wenn der neue Dienstleister (a) seinen Sitz im Europäischen Wirtschaftsraum hat oder im Rahmen einer genehmigten Transfergrundlage (Data Privacy Framework, EU-Standardvertragsklauseln, Angemessenheitsbeschluss) verarbeitet, (b) mindestens vergleichbare technisch-organisatorische Maßnahmen einhält (ISO 27001, SOC 2 o.ä.), (c) ein unterzeichnetes DPA gemäß Art. 28 DSGVO bereitstellt und (d) im Falle von KI-Modellen keine Nutzung der übertragenen Inhalte zu Trainingszwecken erfolgt (Zero Data Retention).

(3) Kategorie-Ansatz:Statt einer namentlichen Auflistung jedes einzelnen technischen Anbieters in diesen AGB werden die eingesetzten Dienstleister nach Kategorien zusammengefasst (z.B. „LLM-Anbieter für Textanalyse“, „Sprach-zu-Text- Transkriptionsdienst“, „Text-zu-Sprache-Dienst“, „Cloud-Hosting“, „E-Mail-Versandanbieter“). Der Austausch innerhalb einer Kategorie stellt keine wesentliche Änderung dieser AGB im Sinne des § 12 Abs. 2 dar.

(4) Öffentliche Subprozessor-Liste: Die jeweils aktuelle namentliche Liste aller eingesetzten Subprozessoren (Art. 28 Abs. 2 DSGVO) wird öffentlich unter nexdeck.app/subprocessors geführt und versioniert. Änderungen werden dort mit Datum dokumentiert. Der Nutzer kann die Liste jederzeit einsehen.

(5) Ankündigung und Widerspruchsrecht: Der Anbieter wird den Nutzer über die Hinzunahme eines neuen Subprozessors mindestens 30 Tage vor Wirksamkeit per E-Mail und/oder In-App- Benachrichtigung informieren. Der Nutzer kann der Änderung innerhalb von 30 Tagen nach Zugang der Mitteilung aus berechtigten datenschutzrechtlichen Gründen widersprechen. Im Falle eines berechtigten Widerspruchs steht dem Nutzer ein außerordentliches Kündigungsrecht zum Zeitpunkt der Änderung zu. Eine Pflicht zur individuellen Zustimmung oder zur Neu- Auflegung dieser AGB besteht nicht.

(6) KI-Modelle: Für eingesetzte KI-Modelle gilt zusätzlich: Der Anbieter ist berechtigt, Modelle (Version, Provider, Region) jederzeit anzupassen, sofern Datenschutz-, Sicherheits- und Zero-Data-Retention-Garantien erhalten bleiben. Ein Modell-Update innerhalb desselben Providers (z.B. von einer Claude-Version auf eine nachfolgende) oder ein Wechsel auf einen Fallback-Provider bei Ausfall/Overload zählt nicht als Subprozessor-Wechsel im Sinne von Absatz 5, sondern als Wartung der technischen Infrastruktur.

(7) Ausgleich: Diese Klausel berücksichtigt die Interessen beider Parteien an einer funktionsfähigen, stabilen und innovationsoffenen Plattform einerseits und dem Bedürfnis des Nutzers an Transparenz und Schutz vor wesentlichen Änderungen andererseits.

§ 11a Elektronischer Geschäftsverkehr (§ 312i BGB)

(1) Der Anbieter stellt dem Nutzer vor Abgabe seiner Vertragserklärung die Vertragsbedingungen (diese AGB, Datenschutzerklärung, AVV) zum Abruf bereit und ermöglicht deren Speicherung in wiedergabefähiger Form.

(2) Der Bestellvorgang umfasst folgende Schritte: (a) Auswahl des gewünschten Abonnements, (b) Eingabe der Unternehmensdaten, (c) Anzeige einer Bestellübersicht mit allen wesentlichen Vertragsbestandteilen (Leistungsumfang, Preis, Laufzeit), (d) Möglichkeit zur Korrektur der Eingaben vor Absendung, (e) Bestätigung durch den Nutzer.

(3) Der Zugang der Bestellung wird dem Nutzer unverzüglich auf elektronischem Wege bestätigt (Bestellbestätigung per E-Mail).

(4) Soweit beide Vertragsparteien Unternehmer sind, können die Parteien gemäß § 312i Abs. 2 BGB von den Regelungen in Abs. 1–3 abweichen.

§ 12 Änderung dieser AGB

(1) Der Anbieter ist berechtigt, diese AGB mit Wirkung für die Zukunft zu ändern. Die Zustimmung des Nutzers ist nach Maßgabe der folgenden Absätze erforderlich. Diese Klausel berücksichtigt die Rechtsprechung des Bundesgerichtshofs zur Unwirksamkeit pauschaler Zustimmungsfiktionen (BGH XI ZR 26/20 vom 27.04.2021).

(2) Wesentliche Änderungen (Preise, Leistungsumfang, Haftungsregelungen, Laufzeiten, Rechtswahl, Gerichtsstand, Datenverarbeitung in Drittländern): Der Anbieter wird den Nutzer mindestens dreißig (30) Tage vor geplantem Inkrafttreten per E-Mail informieren und die geänderte Fassung hervorgehoben darstellen. Die Änderung tritt nur in Kraft, wenn der Nutzer aktiv zustimmt (z.B. durch Klick auf eine entsprechende Schaltfläche beim nächsten Login oder durch gesonderte Checkbox-Bestätigung). Ein bloßes Schweigen des Nutzers gilt nicht als Zustimmung.

(3) Redaktionelle und nicht-wesentliche Änderungen(Rechtschreibkorrekturen, Klarstellungen ohne Inhaltsänderung, Anpassung an neue gesetzliche Rahmenbedingungen, Hinzufügen zusätzlicher Subprozessoren mit gleichwertigem Schutzniveau): Der Anbieter wird den Nutzer per In-App-Banner und/oder E-Mail über die Änderung informieren. Eine aktive Zustimmung ist in diesen Fällen nicht erforderlich. Der Nutzer kann redaktionellen Änderungen innerhalb von 30 Tagen widersprechen; in diesem Fall gilt für den Nutzer weiterhin die bisherige Fassung bis zum nächsten regulären Vertragsanpassungszeitpunkt.

(4) Sonderkündigungsrecht: Stimmt der Nutzer einer wesentlichen Änderung gemäß Absatz 2 nicht zu, so steht ihm ein Sonderkündigungsrecht zum geplanten Inkrafttretens-Datum zu. Bis zur Wirksamkeit der Kündigung gelten die bisherigen AGB fort. Alternativ kann der Nutzer den Vertrag zu den alten Konditionen bis Vertragsende fortführen, sofern die Fortführung für den Anbieter zumutbar ist (z.B. keine gesetzliche oder technische Unmöglichkeit).

§ 12a Datenspeicherung, Aufbewahrung und Löschung

(1) Grundsatz der Speicherbegrenzung: Der Anbieter speichert personenbezogene Daten des Nutzers und seiner Beschäftigten nur so lange, wie es für die Vertragserfüllung, zur Erfüllung gesetzlicher Aufbewahrungspflichten oder zur Verfolgung berechtigter Interessen (Art. 5 Abs. 1 lit. e DSGVO) erforderlich ist.

(2) Audit-Log — 10 Jahre: Sicherheits-, Berechtigungs- und Compliance-relevante Vorgänge (z.B. Status-Wechsel, Rollen- Änderungen, Zugriffe auf Audit-Exporte, Realtime-Channel-Authentifikation, Lösch-Anfragen) werden in einem fälschungssicheren Audit-Log (append-only) protokolliert und gemäß § 257 HGB, § 147 AO sowie aufsichtsrechtlicher Vorgaben für die Dauer von zehn (10) Jahren aufbewahrt. Eine vorzeitige Löschung ist ausgeschlossen.

(3) Pseudonymisierung bei Lösch-/Auskunftsanforderungen: Stellt ein Nutzer oder eine Beschäftigte einen Antrag auf Löschung nach Art. 17 DSGVO, wird der Klarname (Vor- und Nachname, E-Mail-Adresse) in den oben genannten Audit-Log-Einträgen frühestens drei (3) Jahre nach dem jeweiligen Ereignis auf manuelle Anfrage des Tenant-Owners hin durch einen kryptographischen Hash ersetzt (Service-Role-gesteuertes Verfahren). Eine automatisierte zeitgesteuerte Pseudonymisierung befindet sich aktuell in Entwicklung und ist als Sprint-Item für eine kommende Iteration vorgesehen. Der Audit-Trail und seine Integrität bleiben erhalten — die Identifizierung der betroffenen Person ist anschließend nicht mehr ohne weiteres möglich. Die dreijährige Sperrfrist dient der Verteidigung gegen Rechtsansprüche (§§ 195, 199 BGB) sowie der GoBD-Nachvollziehbarkeit.

(4) Steuerrelevante Belege — 10 Jahre WORM: Rechnungen, Eingangsbelege, ZUGFeRD-XML, DATEV-Exports und sonstige steuerrelevante Dokumente werden gemäß § 147 AO und § 257 HGB für zehn (10) Jahre in einem unveränderbaren WORM-Speicher (AWS S3 Object Lock) archiviert. Eine Löschung vor Ablauf der Aufbewahrungsfrist ist ausgeschlossen, auch im Falle einer Vertragsbeendigung. Der Nutzer erhält im Falle der Vertragsbeendigung einen vollständigen Export seiner Daten (§ 9).

(5) Operative Daten — 30 Tage Karenz: Nicht- aufbewahrungspflichtige Inhalts- und Kommunikationsdaten (Termine, Aufgaben, Notizen, Push-Zustellungs-Protokolle) werden 30 Tage nach Vertragsende endgültig gelöscht. Push-Zustellungs-Protokolle werden unabhängig von der Vertragslaufzeit nach maximal 90 Tagen automatisch gelöscht (Datenminimierung).

(6) Recht auf Auskunft und Löschung: Die DSGVO-Rechte des Nutzers (Art. 15 ff.) bleiben unberührt. Die konkrete Ausgestaltung und etwaige Beschränkungen durch gesetzliche Aufbewahrungspflichten sind in der Datenschutzerklärung im Detail beschrieben.

§ 12b Mehrgeräte-Nutzung und gleichzeitige Bearbeitung

(1) Der Nutzer und seine Beschäftigten können die Plattform parallel auf mehreren Endgeräten (Desktop-Browser, Mobile-App iOS/Android, Tablet) verwenden. Sitzungen werden je Endgerät getrennt authentifiziert und in Echtzeit synchronisiert (Supabase Realtime; siehe Datenschutzerklärung Abschnitt 4c).

(2) Optimistic-Locking-Verfahren: Wird derselbe Datensatz (z.B. ein Termin, eine Rechnung, ein Kunde) gleichzeitig von mehreren Sitzungen bearbeitet, prüft der Server beim Speichern die Version des zugrundeliegenden Datensatzes. Stimmt die clientseitige Version nicht mit der serverseitig aktuellen Version überein, wird die Speicherung mit dem HTTP-Status 409 Conflict abgewiesen. Die nutzerseitige Anwendung zeigt in diesem Fall einen Konflikt-Dialog an, in dem die abweichenden Werte gegenübergestellt und eine manuelle Auflösung durch den Nutzer angefordert wird.

(3) Kein stilles Überschreiben: Ein „Last-Write-Wins"- Verhalten findet ausdrücklich nicht statt. Es ist technisch ausgeschlossen, dass Änderungen einer Sitzung ohne Kenntnis und ohne Mitwirkung des Nutzers durch eine parallele Sitzung überschrieben werden. Der Konflikt-Hinweis wird zusätzlich im Audit-Log protokolliert (vgl. § 12a Abs. 2).

(4) Pflichten des Nutzers: Der Nutzer hat dafür Sorge zu tragen, dass seine Beschäftigten die im Konflikt-Dialog angebotenen Auflösungs-Optionen sorgfältig prüfen. Ein leichtfertiges Verwerfen von Konflikt-Hinweisen kann zum Verlust eigener Änderungen führen. Der Anbieter haftet nicht für Datenverluste, die auf eine bewusste oder grob fahrlässige Auflösung von Konflikten durch den Nutzer zurückzuführen sind.

(5) Offline-Modus: Bei vorübergehender Offline-Nutzung (z.B. der Mobile-App auf der Baustelle) werden Änderungen lokal in einer verschlüsselten Warteschlange (AES-256, max. 7 Tage) zwischengespeichert und nach Wiederherstellung der Verbindung synchronisiert. Bei zwischenzeitlich von anderen Geräten erfolgten konkurrierenden Änderungen greift ebenfalls das Optimistic-Locking nach Absatz 2.

§ 12c Nutzer-Rollen und Berechtigungen

(1) Die Plattform unterscheidet zwischen einer Plattform-Ebene (NexDeck-interne Super-Admin-Rolle für den Anbieter-Betrieb, gekennzeichnet durch das Boolean-Flag is_super_admin) und einer Tenant-Ebene (Mandanten-Rollen, die ausschließlich innerhalb der Mandanten-Daten des Nutzers wirken). Beide Ebenen sind strikt voneinander getrennt; Tenant-Rollen erhalten keinen Zugriff auf die Plattform-Verwaltung.

(2) Tenant-Rollen (Kern-Rollen): Innerhalb seines Mandanten kann der Nutzer Beschäftigten folgende Rollen zuweisen:

(3) Erweiterte Rollen: Zusätzlich zu den Kern-Rollen stehen folgende ergänzende Rollenbilder zur Verfügung:

• sales_partner — Handelsvertreter:in nach § 84 HGB (selbständig). Eingeschränkter Zugriff auf eigene Leads und Provisions-Abrechnungen. Steuerrechtlich eigener Unternehmer; die Verarbeitung erfolgt im Rahmen einer separat zu vereinbarenden Auftragsverarbeitung bzw. Joint-Controllership.
• member — Legacy-Rolle aus früheren NexDeck-Versionen, wird in Bestandsmandanten weitergeführt und über das in der Plattform hinterlegte Mapping auf eine Kern-Rolle (i.d.R. worker) abgebildet. Neuen Mandanten steht diese Rolle nicht mehr zur Verfügung.

(4) Industry-Presets: Branchenspezifische Berechtigungsprofile (z.B. „Handwerk", „Reinigung", „Immobilien") werden in der Plattform über das Tenant-Attribut industry_preset_slug gesteuert. Sie konfigurieren ausschließlich Default-Permissions und UI- Sichtbarkeiten innerhalb der oben aufgeführten Kern-Rollen — es werden keine branchen-spezifischen, eigenständigen Rollen eingeführt. Abweichende Berechtigungen können der Nutzer / die Administrator:in über permission_overrides auf User-Ebene feinjustieren.

(5) Verantwortlichkeit des Nutzers (Art. 28 DSGVO): Die Auswahl, Vergabe und der Entzug von Rollen ist eine Weisungs- und Organisations-Entscheidung des Nutzers als Verantwortlichem im Sinne des Art. 4 Nr. 7 DSGVO. Der Anbieter führt diese Weisungen aus, prüft jedoch nicht die arbeits- oder mitbestimmungsrechtliche Zulässigkeit (z.B. § 87 Abs. 1 Nr. 6 BetrVG). Bei Aktivierung sensibler Sichtbarkeits-Modi (vgl. Datenschutzhinweise für Beschäftigte, Abschnitt 3a) ist der Nutzer verpflichtet, die betroffenen Beschäftigten zu informieren.

§ 12d Öffentliche Terminbuchung (optional)

(1) Optionales Feature: Der Nutzer kann die öffentliche Terminbuchung („Public Booking", erreichbar unter /book/[slug]/...) als Calendly-Alternative innerhalb der NexDeck-Plattform aktivieren. Default ist deaktiviert. Aktivierung erfolgt im Mandanten-Bereich unter „Einstellungen → Öffentliche Terminbuchung" durch einen Mandanten-Administrator.

(2) Verantwortlichkeit nach DSGVO: Bei aktivierter Public Booking erhebt und verarbeitet NexDeck im Auftrag des Nutzers personenbezogene Daten der buchenden Endkunden (insbesondere Name, E-Mail, ggf. Telefon, Nachricht, gewählter Slot). Der Nutzer ist Verantwortlicher gem. Art. 4 Nr. 7 DSGVO; NexDeck ist Auftragsverarbeiter gem. Art. 28 DSGVO. Es gelten die im AVV (Anlage 2 zur AVV — Subprozessoren-Liste) geregelten Pflichten und Weisungsrechte.

(2a) Pflicht zur eigenen Datenschutzerklärung: Der Nutzer ist verpflichtet, eine eigene Datenschutzerklärung vorzuhalten, die seine Endkunden gem. Art. 13 DSGVO über die Verarbeitung ihrer Daten informiert. Die Verlinkung der NexDeck-Datenschutzerklärung allein ist NICHT ausreichend. Der Nutzer muss seine eigene Datenschutz-URL in den Booking-Einstellungen hinterlegen (Feld „Datenschutzerklärung-URL"). Ohne diesen Eintrag kann die öffentliche Terminbuchung nicht aktiviert werden. NexDeck-Datenschutzerklärung wird ergänzend als Plattform-Hinweis auf der Buchungsseite verlinkt.

(3) Aktivierungs-Voraussetzungen: Vor Aktivierung sind durch den Mandanten-Administrator folgende Voraussetzungen zu erfüllen (technisch im Aktivierungs-Wizard geprüft):

• Konfiguration eines eindeutigen Booking-Slugs (URL-Pfad)
• Anlage mindestens eines aktiven Event-Typs
• Konfiguration mindestens einer Verfügbarkeitsregel
• Bestätigung der Mit-Verantwortlichkeit nach Abs. 2

(4) Sub-Auftragsverarbeiter: Bei aktivierter Public Booking kommen folgende bereits in der Subprozessoren-Übersicht gelisteten Auftragsverarbeiter zum Einsatz: AWS SES (Magic-Link-Email), Upstash (Rate-Limit), Supabase (Speicherung). Anti-Bot-Schutz wird via ALTCHA Self-Hosted (Open-Source MIT-Lizenz, Library `altcha-lib`) auf NexDecks bestehender EU-Infrastruktur (Vercel Frankfurt) implementiert — KEIN externer Subprozessor, kein Drittland-Transfer. Es entstehen daher keine neuen DSGVO-Vorlauf-Pflichten.

(5) Anti-Abuse-Maßnahmen: Zum Schutz vor automatisierten Anfragen werden technische Sicherheits-Daten verarbeitet (IP-Adresse, User-Agent, ALTCHA-Proof-Hash, Honeypot-Status). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse Plattform-Schutz). Standardmäßig gelten Rate-Limits von 5 Anfragen pro IP/Stunde + 50 pro Mandant/Tag (Mandanten-konfigurierbar).

(6) iframe-Einbettung: Der Nutzer kann das Buchungs-Widget via iframe in seine eigene Website einbetten. Erlaubte Embed-Origins müssen explizit in den Mandanten-Einstellungen gewhitelistet werden. NexDeck setzt bei nicht-gewhitelisteten Origins technische Schutzmaßnahmen (CSPframe-ancestors). Die einbettende Website ist für ihre eigene Cookie- und Tracking-Compliance verantwortlich.

(7) Bestätigte Termine: Erfolgreich verifizierte Buchungs- Anfragen werden automatisch zu regulären Terminen (vgl. § 12c) konvertiert und unterliegen den allgemeinen Aufbewahrungs- und Löschregeln gem. § 12a.

(8) Owner-Approval-Workflow & Mitbestimmung (Wave 42l-Closure 2026-05-20): Wenn der Nutzer für einen Event-Typ requires_owner_approval=true aktiviert, entscheidet ein Owner / Admin / Dispatcher manuell über eingehende Anfragen vor Termin-Materialisierung („Genehmigen"/„Ablehnen"). Dieses Approval-System gibt Owner/Admin Entscheidungsgewalt über die Bindung von Mitarbeiter-Kapazität — bei Nutzern mit Betriebsrat kann das System als „technische Einrichtung zur Verhaltens- und Leistungskontrolle" im Sinne des § 87 Abs. 1 Nr. 6 BetrVG zu werten sein und entsprechend mitbestimmungspflichtig sein. NexDeck stellt die technische Infrastruktur bereit und prüft NICHT die arbeits-/mitbestimmungsrechtliche Zulässigkeit — diese liegt in der alleinigen Verantwortung des Nutzers (vgl. § 12c Abs. 5).

§ 12e Geschäfts-E-Mail-Bereitstellung

NexDeck stellt optional Funktionen für geschäftliche E-Mail-Kommunikation, gemeinsame Postfachbearbeitung, Domain-Authentifizierung und Versand im Namen kundeneigener Domains bereit. Die Funktionen werden in mehreren Stufen aktiviert (Sender-Domain → CRM-Kommunikationshistorie → Shared-Postfach), die der Kunde unabhängig voneinander nutzen kann.

§ 12f Tenant-Verantwortung (Business-E-Mail)

Der Kunde bleibt Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO insbesondere für:

• Inhalte ausgehender E-Mails (Pflichtangaben, Werbeeinwilligungen, Rechtmäßigkeit);
• Auswahl der Empfänger (Geschäftsbeziehung, Consent für Marketing-Kommunikation);
• DNS-Konfiguration der Tenant-eigenen Domains (bei seinem Domain-Provider);
• interne Berechtigungsvergabe + Mitarbeiterinformation;
• Auswahl + rechtliche Bewertung verbundener Mailprovider (z.B. US-Anbieter, Drittland-Transfer-Bewertung Art. 44–49 DSGVO).

NexDeck zeigt Empfehlungen und Status-Informationen, übernimmt aber keine inhaltliche Prüfung und trifft keine Rechtsentscheidungen für den Kunden.

§ 12g Shared-Inbox-Mitarbeiter-Zugriff

Bei Aktivierung des gemeinsamen Postfachs ist der Kunde verantwortlich für:

• Berechtigung aller Nutzer, die einer Shared-Inbox oder Mailbox-Verbindung zugewiesen werden;
• betriebsverfassungsrechtliche Konsultation gem. § 87 Abs. 1 Nr. 6 BetrVG bei vorhandenem Betriebsrat (siehe Hinweis weiter oben in dieser AGB-Sektion zu „technischen Einrichtungen zur Verhaltens- und Leistungskontrolle" sowie Muster-BV-Vorlage in den NexDeck-Compliance-Templates);
• arbeitsrechtliche + datenschutzrechtliche interne Freigaben;
• Information der Mitarbeitenden über protokollierte Zugriffe.

NexDeck protokolliert lesende, antwortende und administrative Zugriffe in einem revisionssicheren Audit-Log gemäß § 12a (10 Jahre Aufbewahrung, § 257 HGB / Art. 5 Abs. 2 DSGVO „demonstrability").

§ 12h Inhaltliche Rechtmäßigkeit

Der Kunde ist verantwortlich für die inhaltliche Rechtmäßigkeit ausgehender E-Mails, insbesondere:

• Pflichtangaben für Geschäftsbriefe gem. § 37a HGB / § 35a GmbHG / § 80 AktG / § 125a HGB;
• DDG § 5 Mindestangaben;
• Werbeeinwilligungen (§ 7 Abs. 2 UWG) + branchen-spezifische Informationspflichten;
• Empfänger-Selektion (B2B-/B2C-Unterscheidung).

NexDeck liefert eine Rechtsform-Engine als Hilfestellung, die jedoch keine abschließende Prüfung im Einzelfall ersetzt.

§ 12i Drittanbieter-Mailprovider

Soweit der Kunde fremde Mailprovider (z.B. Gmail Workspace, Microsoft 365, IONOS, GMX) auswählt oder über NexDeck anbindet, erfolgt deren Einsatz auf Grundlage der Kundenauswahl. NexDeck macht den Einsatz transparent (siehe Subprocessor-Liste), übernimmt aber nicht die materielle Zulässigkeitsprüfung der Providerwahl. Bei US-Anbietern ist der Kunde für die Drittland-Transfer-Bewertung verantwortlich (Art. 44–49 DSGVO, Transfer-Impact-Assessment).

§ 12j Haftungsbegrenzung

NexDeck haftet für Vorsatz und grobe Fahrlässigkeit nach den gesetzlichen Bestimmungen.

Für leichte Fahrlässigkeit haftet NexDeck nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten), wobei die Haftung der Höhe nach auf den vertragstypischen, vorhersehbaren Schaden begrenzt ist.

Die Haftungsbeschränkung gilt nicht für die Verletzung von Leben, Körper oder Gesundheit sowie nicht für Ansprüche nach dem Produkthaftungsgesetz.

§ 12k Haftungs-Cap

Die Haftung von NexDeck gegenüber dem Kunden ist je Schadensfall auf den Betrag der vom Kunden in den 12 Monaten vor Schadenseintritt gezahlten Nutzungsgebühren begrenzt, höchstens jedoch auf 50.000 EUR.

Diese Begrenzung gilt nicht bei Vorsatz, grober Fahrlässigkeit, Verletzung von Leben/Körper/Gesundheit oder Ansprüchen nach dem Produkthaftungsgesetz.

Hinweis: Der vereinbarte Cap-Wert ist Gegenstand der externen Anwalts-Freigabe (Legal Gate A). Bei abweichender Empfehlung wird er bei Inkrafttreten finalisiert (Versions-Bump + Consent-Refresh).

§ 12l Ausschluss Folgeschäden

Soweit gesetzlich zulässig ausgeschlossen sind: entgangener Gewinn, mittelbare Schäden, Folgeschäden und Schäden aus unterbrochenen Geschäftsbeziehungen, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt.

§ 12m Keine Zustellbarkeits-Garantie

NexDeck garantiert nicht die Zustellung von E-Mails bei Drittservern (Empfängerpostfächern, Mailprovidern Dritter). NexDeck zusichert ausschließlich die SLO-konforme Verfügbarkeit der eigenen Plattform-Verarbeitungs-Funktionen (siehe SLA §§ SLA.4–6).

Zustellbarkeit hängt von DKIM/SPF/DMARC-Konfiguration durch den Kunden, Reputation der Sender-Domain und Receiver-Policies Dritter ab. Diese Faktoren liegen außerhalb des Verantwortungsbereichs von NexDeck.

§ 12n Empfänger-System-Disclaimer

NexDeck kontrolliert nicht die Systeme der E-Mail-Empfänger oder der vom Kunden gewählten Mailprovider. Entscheidungen von Spamfiltern, Blacklists, DMARC-Policies Dritter, Mail-Flow-Rules und vergleichbare Vorgänge liegen außerhalb des Verantwortungsbereichs von NexDeck.

§ 12o Klassifikation von Anhängen

NexDeck führt für eingehende E-Mail-Anhänge eine heuristische Vor-Klassifikation auf Basis der Dateiendung und des deklarierten MimeType durch. Anhänge mit risikobehafteten Endungen (z.B. .exe, .scr, .bat, doppel-Extensions wie .pdf.exe) werden in der Nutzeroberfläche als „verdächtig" markiert, um den Nutzer zur Vorsicht beim Öffnen zu bewegen.

Diese heuristische Klassifikation ersetzt keinen Antivirus-Scan. NexDeck führt keine Inhalts- oder Signatur-basierte Malware-Prüfung durch. Der Kunde trägt die Verantwortung für endgeräteseitigen Virenschutz seiner Mitarbeitenden und für organisatorische Schutzmaßnahmen beim Umgang mit empfangenen Dateianhängen. NexDeck haftet nicht für Schäden, die durch Malware in Anhängen entstehen, die von der heuristischen Vor-Klassifikation nicht erkannt wurden.

§ 12p Lebenszyklus von Geschäfts-E-Mails (Soft-Delete + Legal Hold)

(1) Soft-Delete: Berechtigte Nutzer des Kunden (Owner, Admin oder per Connection-Grant `can_manage`) können einzelne empfangene oder gesendete E-Mails sowie interne Notizen als „gelöscht" markieren. Beim Soft-Delete werden alle Body-Inhalte (Klartext und verschlüsselte Kopien) unwiderruflich aus den Datenbank-Spalten entfernt. Eine Tombstone-Zeile mit Metadaten (Absender, Betreff, Datum, lösch-User-ID, optionale Lösch-Begründung) bleibt für die Dauer der Audit-Aufbewahrung (10 Jahre, GoBD / § 257 HGB) erhalten.

(2) Auto-Legal-Hold-Heuristik:NexDeck blockt Soft-Delete-Aktionen automatisch, wenn die Mail GoBD-relevante Indikatoren enthält (Absender oder Empfänger aus typischen Rechnungs-/Mahnungs-Postfächern, PDF-Anhang > 50 KB). Owner oder Admin können den Auto-Hold mit explizitem Bypass übersteuern; jede Übersteuerung wird protokolliert. Diese Heuristik ersetzt keine rechtliche Prüfung der Aufbewahrungspflicht — der Kunde ist Verantwortlicher für die Einhaltung von § 147 AO / § 257 HGB.

(3) Legal Hold: Owner/Admin des Kunden können einzelne Nachrichten unter Legal Hold stellen (z.B. bei Rechts- streit, behördlicher Anordnung). Legal Hold blockt jegliche Soft-Delete-Aktion. Setzen und Lösen werden protokolliert.

(4) Auskunftspflicht nach Art. 15 DSGVO: Bei einem Auskunftsantrag eines Endkunden umfasst der Auskunfts- anspruch auch die im Tombstone verbleibenden Metadaten (Absender, Betreff, Datum, Lösch-Aktion). Die Body-Inhalte einer soft- gelöschten Mail können nicht mehr zur Verfügung gestellt werden, da sie irreversibel gewipet sind.

(5) Komplett-Löschung nach Art. 17 DSGVO: Bei einem Antrag eines Betroffenen auf vollständige Löschung kann der Kunde über das Support-Ticket-System eine Komplett- Pseudonymisierung des Tombstones beantragen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Details siehe AVV Modul A §A.9.5.

(6) Verantwortung: Der Kunde ist Verantwort- licher für die Soft-Delete-Aktionen seiner Mitarbeitenden und für die Einrichtung interner Policy, wann Soft-Delete erlaubt ist (insbesondere im Kontext steuerlicher und handelsrechtlicher Aufbewahrungspflichten).

§ 12q Open-Source-Komponenten und Drittlizenzen

(1) Die NexDeck-Plattform nutzt zur Bereitstellung ihrer Leistungen eine Vielzahl von Open-Source-Software-Komponenten Dritter, die jeweils unter den eigenen, freien Lizenzen ihrer Autorinnen und Autoren stehen (z.B. MIT, Apache-2.0, BSD, ISC, MPL-2.0, LGPL-Lizenzen). Eine vollständige und stets aktuelle Liste dieser Komponenten mit Angabe der jeweiligen Lizenz und Bezugsquelle ist unter nexdeck.app/legal/third-party-notices öffentlich einsehbar und Bestandteil dieser AGB.

(2) Daneben setzt der Anbieter einzelne kommerziell lizenzierte Drittkomponenten ein (z.B. FullCalendar Premium Commercial License). Soweit für die Nutzung der Plattform durch den Nutzer relevant, sind diese Komponenten ebenfalls in der unter Absatz 1 verlinkten Übersicht gekennzeichnet.

(3) Die Nutzungsrechte des Nutzers an der NexDeck-Plattform richten sich ausschließlich nach diesen AGB und der dem Nutzer gewährten SaaS-Lizenz (§§ 3, 4c). Eine Übertragung der Lizenzbedingungen einzelner Open-Source-Komponenten auf den Nutzer oder eine Verpflichtung des Nutzers zur Einhaltung dieser Lizenzbedingungen im Verhältnis zu den jeweiligen Autorinnen und Autoren findet, soweit gesetzlich zulässig, nicht statt — die Lizenz-Compliance gegenüber den Open-Source-Autorinnen und -Autoren obliegt allein dem Anbieter.

(4) Der Anbieter behält sich vor, einzelne Open-Source- oder Drittkomponenten gegen funktional gleichwertige Alternativen auszutauschen, ohne dass dies eine Änderung dieser AGB nach § 12 darstellt. Die Liste unter Absatz 1 wird in solchen Fällen aktualisiert.

§ 12r DATEV-Export, GoBD-Unterstützung und Buchhaltungsschnittstellen

§ 12r.1 DATEV-Schnittstelle

(1) Der Anbieter stellt einen Export im DATEV-EXTF-Format bereit. Der Anbieter ist kein Vertragspartner der DATEV eG. Die Markenbezeichnung „DATEV“ wird ausschließlich beschreibend zur Kennzeichnung des Datenformats nach § 23 Abs. 1 Nr. 3 MarkenGverwendet (Nennung zum Hinweis auf die Kompatibilität des Produkts mit dem DATEV-Datenformat, „schonende“ Nutzung im Sinne der BGH-Rechtsprechung I ZR 210/18 vom 15.10.2020).

(2) Der Anbieter nutzt kein DATEV-Logo, ist nicht „DATEV-zertifiziert“, ist nicht „DATEV-Partner“und bietet keine „offizielle DATEV-Schnittstelle“ im Sinne einer DATEV-Partnerschaft an.

DATEV ist eingetragene Marke der DATEV eG, Nürnberg. NexDeck steht in keiner gesellschaftsrechtlichen oder partnerschaftlichen Verbindung zur DATEV eG.

§ 12r.2 GoBD-Unterstützung

(1) Der Anbieter stellt technische Funktionen bereit, die den Nutzer bei der Einhaltung der GoBD (BMF-Schreiben vom 28.11.2019, IV A 4 – S 0316/19/10003 :001) unterstützen. Die Verantwortung für die GoBD-konforme Buchführung, die Erstellung und Pflege der Verfahrensdokumentation sowie die ordnungsgemäße Bedienung der Software liegt ausschließlich beim Nutzer.

(2) Der Anbieter übernimmt keine Garantie für die rechtliche oder steuerliche Einstufung einzelner Vorgänge; die abschließende Prüfung obliegt ausschließlich dem Nutzer und dessen Steuerberater.

(3) Automatische Vorschläge (z.B. Konten, BU-Schlüssel, Belegfeld-Befüllung) sind rein technische Vorschläge; sie gelten erst mit Bestätigung durch den Nutzer oder Steuerberater als Grundlage seiner Buchführung.

§ 12r.3 Keine Steuer- oder Rechtsberatung

(1) Die Bereitstellung von Software-Funktionen ersetzt keine steuerliche oder rechtliche Beratung. Der Anbieter empfiehlt ausdrücklich die Abstimmung des Buchführungsprozesses und insbesondere der Konfiguration des DATEV-Exports (Beraternummer, Mandantennummer, Kontenrahmen, Sonderfälle) mit dem Steuerberater oder einer steuerlich beratenden Person.

(2) Die Export-Funktion entspricht § 6 Steuerberatungsgesetz (mechanische Arbeitsvorgänge bei der Buchführung) und stellt keine vorbehaltene steuerberatende Tätigkeit dar.

§ 12r.4 Beta-Funktionen und Pilot-Phase

(1) Einzelne Funktionen der Plattform werden als „Beta“, „Early Access“, „Pilot“, „Vorschau“ oder „experimentell“ gekennzeichnet (nachfolgend „Beta-Funktionen“) — hierzu zählt insbesondere der DATEV-Export. Das Aufmaß- und Mengenermittlungs-Modul wird demgegenüber als regulär freigegebene Funktion bereitgestellt (keine Beta-Funktion); für dessen Leistungsumfang sowie die Abgrenzung zur VOB/DIN gilt § 12s. Beta-Funktionen befinden sich in der Erprobung. Gegenstand der vertraglich geschuldeten Beschaffenheit ist insoweit ausschließlich die Bereitstellung im jeweils tatsächlich angebotenen, vorläufigen Entwicklungsstand. Eine bestimmte Verfügbarkeit, Vollständigkeit, Fehlerfreiheit, Datenbeständigkeit, Performance oder Eignung für den produktiven Einsatz oder einen bestimmten Zweck wird für Beta-Funktionen ausdrücklich nicht geschuldet und nicht vereinbart. Diese Beschaffenheitsbestimmung gilt nur für die jeweils als Beta gekennzeichnete Zusatzfunktion, nicht für den übrigen, produktiv freigegebenen Leistungsumfang der Plattform.

(2) Soweit gesetzlich zulässig sind Gewährleistungsansprüche des Nutzers in Bezug auf Beta-Funktionen ausgeschlossen. Der Anbieter kann Beta-Funktionen jederzeit ändern, einschränken oder einstellen.

(3) § 309 Nr. 7 BGB bleibt unberührt: Die Haftung im Zusammenhang mit Beta-Funktionen ist nach Maßgabe von § 10 beschränkt. Unberührt und in vollem Umfang bestehen bleibt die Haftung für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, für Vorsatz und grobe Fahrlässigkeit, für die Verletzung wesentlicher Vertragspflichten (Kardinalpflichten; bei einfacher Fahrlässigkeit jedoch der Höhe nach begrenzt auf den vertragstypischen, vorhersehbaren Schaden), für arglistig verschwiegene Mängel, für übernommene Garantien sowie nach dem Produkthaftungsgesetz und sonstiger zwingender gesetzlicher Haftung.

(4) Der Nutzer wird vor der erstmaligen Nutzung einer Beta-Funktion durch einen deutlichen Hinweis in der Anwendung auf deren experimentellen Charakter und die eingeschränkte Gewährleistung hingewiesen und bestätigt die Kenntnisnahme aktiv; die Bestätigung wird protokolliert. Der Nutzer verpflichtet sich, Beta-Funktionen nicht für geschäftskritische oder rechtlich bzw. steuerlich verbindliche Vorgänge ohne unabhängige Kontrolle und Sicherung einzusetzen. Setzt der Nutzer eine als Beta gekennzeichnete Funktion gleichwohl in Kenntnis dieser Hinweise für solche Zwecke ein, ist dies bei der Schadensbemessung nach § 254 BGB zu seinen Lasten zu berücksichtigen.

§ 12r.5 Verfahrensdokumentations-Template

(1) Der Anbieter stellt ein Template zur Erstellung einer GoBD-Verfahrensdokumentation als Hilfestellung bereit. Das Template ersetzt keine individuelle Verfahrensdokumentation für den Tenant-Betrieb. Die Anpassung an die individuellen Verhältnisse des Nutzers (eingesetzte Verfahren, Kontenrahmen, organisatorische TOMs, Belegerfassungs-Workflows, Aufbewahrungsprozesse) sowie die laufende Aktualisierung obliegen ausschließlich dem Nutzer.

(2) Eine vom Nutzer erstellte Verfahrensdokumentation ist Voraussetzung für die GoBD-Konformität — die Bereitstellung einer Template-PDF durch den Anbieter stellt diese Voraussetzung nicht her und ersetzt sie nicht.

§ 12s Aufmaß und Abrechnung; Abgrenzung zur VOB

(1) Der Anbieter stellt ein Software-Werkzeug zur Erfassung, Berechnung und Dokumentation von Aufmaßen sowie zur Erstellung von Mengen- und Abrechnungsunterlagen bereit. Die Software unterstützt eine an § 14 VOB/B orientierte Mengenermittlung und Abrechnung. Das Modul wird als regulär freigegebene Funktion bereitgestellt (keine Beta-Funktion im Sinne von § 12r.4). Die hinterlegten Übermessungs-Schwellen orientieren sich an den ATV der VOB/C und sind tenantseitig anpassbar; sie stellen keine zugesicherte Norm-Eigenschaft dar.

(2) Der Anbieter garantiert nichtdie Konformität der mit der Software erzeugten Aufmaße, Mengenberechnungen oder Rechnungen mit der VOB/B, der VOB/C oder einzelnen DIN-Normen (insbesondere den Allgemeinen Technischen Vertragsbedingungen — ATV — der VOB/C einschließlich der gewerkespezifischen Aufmaß- und Übermessungsregeln). Die Software wendet zur Mengenermittlung voreingestellte, an den ATV der VOB/C orientierte Übermessungs-Schwellenje Gewerk automatisiert an (z. B. werden Einzelöffnungen oberhalb einer gewerkebezogenen Flächenschwelle abgezogen, darunter liegende übermessen). Diese Schwellen sind Richtwerte, vom Nutzer überprüf- und je Mandant anpassbar und stellen keine zugesicherte Norm-Eigenschaft dar; eine bestimmte Norm- oder Mengenrichtigkeit wird damit nicht zugesichert. Die Software trifft keine rechtliche Bewertung des Einzelfalls und erbringt weder eine Rechtsdienstleistung im Sinne des RDG noch eine bausachverständige Aufmaßprüfung. Ob und in welchem Umfang die Aufmaß- und Übermessungsregeln der VOB/C im konkreten Vertragsverhältnis des Nutzers überhaupt anwendbar sind, richtet sich allein nach dem zwischen dem Nutzer und seinem Auftraggeber geschlossenen Vertrag (siehe Absatz 3); die automatische Anwendung der voreingestellten Schwellen durch die Software ersetzt diese vertragliche Prüfung nicht.

(3) Die Pflicht zur prüfbaren Abrechnung der erbrachten Bauleistung obliegt nach § 14 Abs. 1 VOB/B dem Auftragnehmer (Nutzer). Der Nutzer ist allein verantwortlich für (a) die richtige und vollständige Eingabe der Aufmaßdaten, (b) die zutreffende Anwendung der einschlägigen Aufmaß- und Übermessungsregeln der ATV der VOB/C für das jeweilige Gewerk, (c) die nach § 14 Abs. 2 VOB/B möglichst gemeinsame Feststellung des Aufmaßes mit dem Auftraggeber sowie die rechtzeitige Beantragung gemeinsamer Feststellungen bei später nicht mehr feststellbaren Leistungen und (d) die abschließende fachliche und rechtliche Prüfung der erzeugten Unterlagen vor deren Verwendung.

(4) Bei Zweifeln zur Anwendung der VOB oder einzelner DIN-Normen wird die Hinzuziehung fachkundiger Beratung (z.B. Bausachverständiger, Maler-/Fach-Innung oder Handwerkskammer) empfohlen. Die gesetzliche Haftung des Anbieters, insbesondere für Vorsatz, grobe Fahrlässigkeit, die Verletzung wesentlicher Vertragspflichten sowie für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, bleibt unberührt (§ 10 Abs. 1 und 2).

§ 12t NIS2-Mitwirkung des Tenants und Kaskaden-Meldungen

(1) Soweit der Tenant nach der NIS2-Richtlinie bzw. dem BSIG selbst eine wesentliche oder wichtige Einrichtung ist, gelten ergänzend zur AVV-Klausel AVV § 7a folgende Mitwirkungs-Pflichten:

• Eigenständige Betroffenheitsprüfung: Der Tenant prüft selbst, ob er der NIS2-Richtlinie unterliegt. NexDeck kann und darf eine solche Bewertung nicht für den Tenant vornehmen (siehe interne Selbstauskunft unter /trust/nis2).
• Vertraulichkeit von Forensik-Daten: Im Falle einer gemeinsamen Vorfall-Untersuchung verpflichtet sich der Tenant zur vertraulichen Behandlung der von NexDeck bereitgestellten technischen Details und Vorfall-Reports.
• Lieferketten-Disclosures: Der Tenant teilt NexDeck mit, wenn er aufgrund eigener NIS2-Klassifizierung neue vertragliche Anforderungen an NexDeck stellen möchte (z. B. zusätzliche Audit-Rechte). Eine Anpassung der AVV erfolgt bei Bedarf nach beiderseitiger Zustimmung.
• Pass-Through der 3-Stufen-Kaskade: Der Tenant bestätigt, dass die in AVV § 7a beschriebene Kaskade (24h Frühwarnung / 72h Folgemeldung / 1 Monat Abschlussbericht) seinen eigenen BSI-Meldepflichten genügt.

(2) Klarstellung Eigene Pflicht: NexDeck ist selbst nicht direkt NIS2-pflichtig (Stand 2026-06-15). Diese Klausel regelt ausschließlich die Mitwirkung des Tenants in dessen eigener NIS2-Verantwortung als wesentliche oder wichtige Einrichtung. Anbieter: Kre8ive Evolution GmbH i.G. (in Gründung — HRB-Eintragung ausstehend). Bis zur Eintragung gilt für rechtsgeschäftliche Handlungen § 11 Abs. 2 GmbHG (Handelndenhaftung). Nach Umfirmierung zur eingetragenen GmbH erfolgt eine erneute Betroffenheitsprüfung nach § 32 BSIG.

§ 12u Sprachgestütztes Aufmaß-Diktat (Voice-Aufmaß)

(1) Der Anbieter stellt eine optionale Funktion bereit, mit der der Nutzer Maß- und Mengenangaben per Sprache erfassen kann („Voice-Aufmaß“). Die gesprochene Eingabe wird in Echtzeit über einen EU-Endpoint eines Sprach-zu-Text-Dienstleisters transkribiert; vor der Speicherung erfolgt eine akustische Rückbestätigung (Text-zu-Sprache-Vorlesen der erkannten Werte). Erst nach Bestätigung durch den Nutzer wird das Transkript übernommen. Diese Funktion ergänzt das Aufmaß-Modul; § 12s (Abgrenzung zur VOB) gilt entsprechend.

(2) Keine Audio-Speicherung. Der Anbieter speichert die Audioaufnahme der gesprochenen Eingabe nicht dauerhaft. Die Audiodaten werden ausschließlich flüchtig im Arbeitsspeicher zur unmittelbaren Transkription verarbeitet und anschließend verworfen; dauerhaft gespeichert wird allein das vom Nutzer bestätigte Transkript (Text). Es erfolgt keine biometrische Stimm-Identifikation, keine Erstellung von Stimmprofilen und keine Sprecher-Trennung (keine Diarization).

(3) Der Anbieter garantiert nichtdie Vollständigkeit oder Richtigkeit der automatischen Spracherkennung. Erkennungs- und Transkriptionsfehler (z. B. falsch verstandene Zahlen, Einheiten oder Raumbezeichnungen) sind technisch nicht ausgeschlossen. Die abschließende fachliche und rechnerische Prüfung der erfassten Werte vor deren Verwendung obliegt allein dem Nutzer; § 12s Abs. 2 und Abs. 3 gelten entsprechend.

(4) Verantwortung des Nutzers für Einwilligung und Beschäftigtendatenschutz.Setzt der Nutzer die Funktion durch eigene Beschäftigte ein, ist allein der Nutzer als datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO) dafür verantwortlich, die hierfür erforderlichen Rechtsgrundlagen zu schaffen, insbesondere die Erfüllung der Informationspflichten gegenüber den Beschäftigten, die Beachtung des § 26 BDSG sowie etwaiger Mitbestimmungsrechte des Betriebs- bzw. Personalrats (§ 87 Abs. 1 Nr. 6 BetrVG) und – soweit erforderlich – die Einholung von Einwilligungen. Der Anbieter handelt insoweit ausschließlich als Auftragsverarbeiter (Art. 28 DSGVO) und stellt die technische Funktion sowie Transparenz-Informationen bereit; eine inhaltliche Prüfung oder Bewertung der arbeits- und datenschutzrechtlichen Zulässigkeit beim Nutzer nimmt der Anbieter nicht vor.

(5) Eingesetzte Sub-Auftragsverarbeiter (Sprach-zu-Text, Text-zu-Sprache) sind in der Subprozessor-Liste und im AVV gelistet. Die Verarbeitung der Spracheingabe erfolgt über einen EU-Endpoint; eine Drittland-Übertragung der Audio- oder Transkriptdaten findet im Normalbetrieb nicht statt (vgl. AVV und Datenschutzerklärung).

(6) Die gesetzliche Haftung des Anbieters, insbesondere für Vorsatz, grobe Fahrlässigkeit, die Verletzung wesentlicher Vertragspflichten sowie für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, bleibt unberührt (§ 10 Abs. 1 und 2).

§ 13 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

(2) Gerichtsstand für alle Streitigkeiten aus dem Vertragsverhältnis ist der Sitz des Anbieters (Oberhausen), sofern der Nutzer Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

(3) Salvatorische Klausel: Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung. Gleiches gilt für etwaige Regelungslücken.

(4) Schriftform: Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Abbedingung dieses Schriftformerfordernisses. Mündliche Nebenabreden bestehen nicht.

(5) Abtretung durch den Nutzer: Der Nutzer darf Rechte und Pflichten aus diesem Vertrag nur mit vorheriger schriftlicher Zustimmung des Anbieters auf Dritte übertragen.

(6) Vertragsübertragung bei Rechtsformwechsel / Umfirmierung des Anbieters (Antizipierte Zustimmung): Der Anbieter ist derzeit ein Einzelunternehmen (Stephan Grundmeyer). Es ist beabsichtigt, den Geschäftsbetrieb in naher Zukunft in eine haftungsbeschränkte Kapitalgesellschaft (UG [haftungsbeschränkt] oder GmbH) zu überführen. Der Nutzer stimmt mit Abschluss dieses Vertrags bereits jetzt ausdrücklich und unwiderruflich zu, dass der Anbieter sämtliche Rechte und Pflichten aus diesem Vertragsverhältnis (einschließlich aller Anlagen, Nebenvereinbarungen und des AVV) im Wege der rechtsgeschäftlichen Vertragsübernahme nach § 415 BGB auf ein vom Inhaber gegründetes oder übernommenes Nachfolgeunternehmen (UG oder GmbH) übertragen darf, sofern folgende Bedingungen kumulativ erfüllt sind:

• Alleiniger oder wesentlich beherrschender Gesellschafter des Nachfolgeunternehmens ist der bisherige Inhaber des Einzelunternehmens oder eine von ihm kontrollierte Holding.
• Der bisherige Leistungsumfang, die technische Infrastruktur und das Datenschutzniveau bleiben mindestens unverändert.
• Das Nachfolgeunternehmen tritt in sämtliche Verpflichtungen aus diesen AGB, der Datenschutzerklärung, dem AVV und dem SLA vollumfänglich ein.
• Der Anbieter informiert den Nutzer mindestens 30 Tage vor Wirksamkeit der Übertragung in Textform (E-Mail) über die Umfirmierung unter Angabe der neuen Firmierung, Anschrift, Handelsregister-Nummer und USt-IdNr des Nachfolgeunternehmens.
• Der bisherige Inhaber übernimmt als Gesamtschuldner die Haftung für alle zum Zeitpunkt der Übertragung bereits entstandenen Ansprüche des Nutzers.

(7) Außerordentliches Kündigungsrecht bei Umfirmierung: Im Falle einer Vertragsübertragung gemäß Absatz 6 steht dem Nutzer ein außerordentliches Kündigungsrecht zum Zeitpunkt der geplanten Wirksamkeit der Übertragung zu. Die Kündigung ist innerhalb von 30 Tagen nach Zugang der Mitteilung gegenüber dem Anbieter bzw. seinem Nachfolgeunternehmen in Textform zu erklären. Übt der Nutzer dieses Recht nicht aus, gilt die Übertragung als akzeptiert.

(8) Datenschutz bei Umfirmierung: Das Nachfolge- unternehmen tritt auch als neuer Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO in den AVV ein. Eine gesonderte Einwilligung in die Datenverarbeitung ist hierfür nicht erforderlich, da die Daten weiterhin zum selben Zweck und unter identischen Bedingungen verarbeitet werden. Der Nutzer wird über die Änderung des Verantwortlichen gemäß Art. 14 DSGVO informiert.

(9) Sonstige Umstrukturierungen: Für sonstige Fälle der Umwandlung nach dem UmwG (Formwechsel, Verschmelzung, Spaltung, Vermögensübertragung) gelten die gesetzlichen Regelungen (insbesondere § 324 UmwG), in deren Rahmen Verträge grundsätzlich ohne gesonderte Zustimmung des Nutzers auf den Rechtsnachfolger übergehen.