Verfahrensverzeichnis nach Art. 30 DSGVO
Stand: 2026-04-24 Verantwortlicher: Stephan Grundmeyer, Kastellstr. 34, 46147 Oberhausen (Einzelunternehmen gem. § 14 BGB, geplante Umfirmierung zu GmbH Pre-Go-Live) Kontakt Datenschutz: datenschutz@nexdeck.app Master-Data-Quelle: _master-data.md
Dieses Verzeichnis dokumentiert alle Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO. Es wird mindestens einmal jährlich überprüft und bei neuen Verarbeitungen unmittelbar aktualisiert.
Einordnung
- NexDeck als Verantwortlicher (V-01 ff.): für das eigene Saas-Produkt + Marketing/Verkauf gegenüber eigenen Kunden (B2B-Tenants).
- NexDeck als Auftragsverarbeiter (AV-xx): für Tenant-Kunden-Daten (Datenhaltung, RLS-isoliert). Hier gilt Art. 28 + AVV (siehe /avv).
Dieses Dokument listet die NexDeck-als-Verantwortlicher-Seite. Die AV-Verarbeitungen sind im AVV geregelt.
V-13 — Telephony-Matching (optional pro Tenant)
| Feld | Wert |
|---|---|
| Nummer | V-13 |
| Bezeichnung | Sipgate-Webhook-Empfang + CRM-Matching von Call-Metadaten |
| Zweck | Zuordnung eingehender/ausgehender Telefonate zu Leads/Kunden/Projekten im CRM. Effizienzsteigerung im Vertrieb + Kundenkontakt-Management. Basis für Timeline-Einträge, Rückruf-Tasks. |
| Rechtsgrundlage | Bestandskunden: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Unbekannte Anrufer: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, Rückruf-Management) — Interessenabwägung dokumentiert (siehe unten). |
| Betroffene | Telefonpartner des jeweiligen Tenants (Leads, Kunden, Interessenten, gelegentliche Anrufer) |
| Datenkategorien | Rufnummer (eingehend + ausgehend), Zeitstempel (Start, Antwort, Ende), Gesprächsdauer, Richtung (inbound/outbound), Call-ID für Event-Korrelation, verantwortlicher Nutzer (falls ausgehend). KEINE Audio-Inhalte, KEINE Transkripte. |
| Empfänger | sipgate GmbH (Düsseldorf, DE) — nur Webhook-Gegenstelle. Intern: RLS-isoliert pro Tenant, Zugriff nur durch authentifizierte Tenant-User. |
| Drittland-Transfer | Keiner. Sipgate DE-hosted. Keine US-Sub-Prozessoren im Webhook-Pfad. |
| Löschfristen | Matched Calls (Lead/Client/Project): 6 Jahre (HGB § 257). Unmatched Calls: 90 Tage Anonymisierung (SHA-256-Hash), danach 180 Tage Löschung (Art. 5 Abs. 1 lit. e DSGVO). Durchgesetzt via public.anonymize_unidentified_calls() + QStash-Cron telephony/anonymize-unidentified (täglich 03:00 UTC). |
| TOMs | TLS-Transport, RLS-basierte Tenant-Isolation, Audit-Log (crm_calls_audit_log), Webhook-Payload append-only (telephony_webhook_log), SECURITY DEFINER Retention-Function mit service_role-GRANT. Keine Gesprächsaufzeichnung. |
Interessenabwägung (Art. 6 Abs. 1 lit. f) — Unbekannte Anrufer
- Berechtigtes Interesse NexDecks/der Tenants: effizientes Kundenkontakt-Management, Rückrufbereitschaft, keine verlorenen Lead-Chancen
- Interesse der Betroffenen: Informationelle Selbstbestimmung, Datenminimierung
- Abwägung: Rufnummer ist nur als Metadatum gespeichert, keine Inhalts-Daten. Kurze Retention (90/180 Tage). Widerspruchsrecht nach Art. 21 DSGVO gegenüber dem Tenant. Die Verarbeitung entspricht üblichen CRM-Standards und ist für den Geschäftszweck erforderlich.
- Ergebnis: Interessen der Betroffenen überwiegen nicht.
V-14 — Unknown-Caller-Archiv (Retention-Layer zu V-13)
| Feld | Wert |
|---|---|
| Nummer | V-14 |
| Bezeichnung | Temporäre Speicherung unidentifizierter Rufnummern + Anonymisierungs- und Löschpipeline |
| Zweck | Ermöglicht Rückruf-Zuordnung eines unbekannten Anrufers zu einem noch nicht im CRM erfassten Lead innerhalb eines angemessenen Rückruf-Fensters. Verhindert gleichzeitig unbegrenzte Speicherung von Rufnummern ohne Geschäftsbezug. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenkontakt-Rekonstruktion). Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) bestimmt die Fristen. |
| Betroffene | Nicht im Tenant-CRM erfasste Anrufer (One-off-Anrufer, versehentliche Anrufe, Spam-Nummern) |
| Datenkategorien | Gleich wie V-13, plus Retention-Status (anonymized_at), Generated Column is_identified. |
| Empfänger | Nur intern (Tenant-Admins via NexDeck-UI). Keine Weitergabe. |
| Drittland-Transfer | Keiner. |
| Löschfristen | 90 Tage: Anonymisierung — Rufnummer wird zu SHA-256-Hash mit Prefix ANON_. 180 Tage: Vollständige Löschung der Zeile. Webhook-Logs: unabhängig nach 180 Tagen gelöscht (Debug-Trail ohne Geschäftswert). |
| TOMs | Cron-basierte automatische Durchsetzung (anonymize_unidentified_calls()). Generated Column is_identified verhindert manuelle Umgehung der Retention. Audit-Trail via activity_log bei jedem Cron-Lauf. Index idx_crm_calls_unidentified_created für effizienten Scan. |
V-15 — E-Mail-Archivierung via BCC (ab Plan C Aktivierung)
| Feld | Wert |
|---|---|
| Nummer | V-15 |
| Bezeichnung | BCC-basierte Archivierung versendeter Geschäftsmails (Rechnungen, Angebote, Mahnungen) in Tenant-eigenes Postfach |
| Zweck | Erfüllung der gesetzlichen Aufbewahrungspflicht für Geschäftsbriefe und Rechnungen. Archivierungs-Mitteilung an Tenant-eigenes Postfach zur späteren Prüfung, Revision, Steuerberater-Weitergabe. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. c DSGVO i.V.m. HGB § 257 (Geschäftsbriefe 6 Jahre) und AO § 147 (Rechnungen 10 Jahre). Keine Einwilligung erforderlich — gesetzliche Pflicht. |
| Betroffene | Empfänger der jeweiligen E-Mail (Bestandskunden, Angebots-Empfänger) |
| Datenkategorien | Vollständige Mail (Header + Body + Anhänge inkl. PDF-Rechnung). Message-ID zur Korrelation mit document_email_log. |
| Empfänger | Amazon Web Services (SES, EU-Frankfurt) — Versand-Infrastruktur. Tenant-eigenes Postfach — Archiv-Zweck. Optional via Unipile (FR, EU) für Tenant-Inbox-Anzeige. |
| Drittland-Transfer | Keiner (AWS EU, Unipile FR/EU). |
| Löschfristen | 6 Jahre (HGB § 257) bzw. 10 Jahre (AO § 147). Danach Pflicht-Löschung. |
| TOMs | TLS-Transport, S3 Object Lock (WORM) für finalisierte PDF-Anhänge, Tenant-RLS auf document_email_log und email_events, Tags mit tenant_id in SES MessageTags für Zuordnung. |
V-16 — E-Mail-Öffnungs- und Klicktracking (Opt-in, ab Plan C)
| Feld | Wert |
|---|---|
| Nummer | V-16 |
| Bezeichnung | Optionales Tracking von E-Mail-Öffnungen und Link-Klicks (nur nach Tenant-Admin-Opt-in) |
| Zweck | Messung der E-Mail-Performance für Vertriebs-Optimierung (Angebots-Nachverfolgung, Kampagnen-Effizienz). |
| Rechtsgrundlage | Kontextabhängig: B2B (gewerbliche Empfänger): Art. 6 Abs. 1 lit. f DSGVO. § 25 TDDDG nach herrschender Meinung nicht anwendbar (Unternehmensgeräte keine „Endeinrichtung"). B2C (Privatpersonen): Art. 6 Abs. 1 lit. a DSGVO (aktive Einwilligung) + § 25 TDDDG. Da der B2B/B2C-Kontext technisch nicht erkennbar ist, bleibt Opt-in als Default. |
| Betroffene | E-Mail-Empfänger (Bestandskunden, Angebots-Empfänger) |
| Datenkategorien | Öffnungs-Zeitstempel, IP-Adresse des Öffners, User-Agent, geklickte Links (Link-Redirects). |
| Empfänger | Amazon Web Services (SES Event Destinations → SNS). Intern: email_events Tabelle, pro Tenant RLS-isoliert. |
| Drittland-Transfer | Keiner (AWS EU-Frankfurt). |
| Löschfristen | 24 Monate nach Event, danach Pflicht-Löschung. Widerruf der Einwilligung jederzeit möglich (Art. 7 Abs. 3 DSGVO). |
| TOMs | Feature-Flag feature.email.open_tracking default OFF. Opt-in erfordert Zweit-Bestätigungsmodal mit Rechtstext. Widerruf-Flow gleich einfach wie Opt-in (siehe Plan B B7). Consent-Historie in user_consent_log (granted/revoked). |
V-17 — KI-gestützte CRM-Vorschläge (NEX Sales Assistant, ab Plan E)
| Feld | Wert |
|---|---|
| Nummer | V-17 |
| Bezeichnung | Automatisierte Vorschläge für Vertriebshandlungen durch LLM-basierte Analyse von Lead-/Call-Kontext |
| Zweck | Effizienzsteigerung im Vertrieb durch kontextuelle KI-Vorschläge: Pre-Call-Briefing, Outcome-Vorschlag, Follow-up-Empfehlung, Datenlücken-Hinweise, Kampagnen-Insights. Keine autonomen Schreibvorgänge — jede Empfehlung erfordert User-Bestätigung (KI-Act Art. 14). |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Vertriebs-Effizienz). Tenant-Admin aktiviert pro Feature-Flag. |
| Betroffene | Leads, Kontakte, Bestandskunden, Kampagnen-Zielpersonen |
| Datenkategorien | Name, Rufnummer, E-Mail, Unternehmen, Kommunikationshistorie (Text), Lead-Status, Kampagnen-Attribution. KEIN Call-Audio, KEINE Transkripte. |
| Empfänger | Google LLC via Vertex AI (EU-Region europe-west1) und Amazon Web Services via Bedrock (EU-Region) — beide mit @anthropic-ai/vertex-sdk bzw. eu.anthropic.claude-*-Modell-IDs. Kein direkter Anthropic-API-Zugriff. |
| Drittland-Transfer | Keiner — alle AI-Calls bleiben in EU. Kein TIA, keine SCC erforderlich. |
| Löschfristen | Keine eigene NEX-Speicherung. Alle verwendeten Daten verbleiben in NexDeck-DB und unterliegen den jeweiligen Retention-Policies (V-13, V-14, Tenant-CRM-Daten). |
| TOMs | TLS in transit, AES-256 at rest (RDS/Bedrock). Capability-basierte Zugriffskontrolle (nex-capability.ts). Budget-Limit pro Tenant (ai_budget_cents_daily default 500 Cent/Tag). Audit-Log mit actor_type='nex_assistant' und cost_cents pro Request. Human-in-the-Loop für alle Write-Aktionen (User-Confirm-Pflicht). |
Änderungshistorie
| Datum | Version | Änderung |
|---|---|---|
| 2026-04-24 | v1 | Initiale Anlage mit V-13 bis V-17 (Telephony-Matching, Unknown-Caller-Archiv, E-Mail-Archiv, E-Mail-Tracking, NEX Sales Assistant) anlässlich Pre-Go-Live-Compliance-Hardening (Plan A) und Vorbereitung Plan B/C/E. |
Cross-References
- _master-data.md — Unternehmensdaten als Single Source of Truth
- subprocessors.md — Unterauftragnehmer-Liste (Sipgate als 3.9 seit 2026-04-24)
- toms.md — Technisch-organisatorische Maßnahmen
- /privacy — Betroffenen-Informationen (Art. 13/14 DSGVO)
- Plan A:
.claude/plans/active/2026-04-24_pre-golive-compliance-hardening.md - Plan B:
.claude/plans/active/2026-04-24_legal-update-telephony-communication.md - Plan C:
.claude/plans/active/2026-04-24_ses-communication-layer.md - Plan E:
.claude/plans/active/2026-04-24_nex-sales-call-assistant.md