Zurück zur Startseite

Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO

Zwischen

dem Kunden, der das Angebot zur Nutzung von NexDeck angenommen hat
(nachfolgend "Verantwortlicher" genannt)

und

Stephan Grundmeyer
Einzelunternehmer — handelnd unter den Marken „NexDeck" und „Kre8ive Evolution"
Kastellstr. 34, 46147 Oberhausen
(nachfolgend "Auftragsverarbeiter" genannt)

Präambel

Der Verantwortliche hat den Auftragsverarbeiter mit der Erbringung von Software-as-a-Service (SaaS) Leistungen unter dem Produktnamen "NexDeck" beauftragt. Grundlage hierfür sind das individuelle Angebot und die Allgemeinen Geschäftsbedingungen (AGB) des Auftragsverarbeiters (nachfolgend "Hauptvertrag").

Im Rahmen der Durchführung des Hauptvertrages ist es notwendig, dass der Auftragsverarbeiter personenbezogene Daten für den Verantwortlichen verarbeitet. Dieser Vertrag konkretisiert die Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer des Auftrags

(1) Gegenstand:

Gegenstand des Auftrags ist die Durchführung folgender Dienstleistungen durch den Auftragsverarbeiter:

  • Bereitstellung der SaaS-Plattform NexDeck (Hosting, Betrieb, Wartung)
  • Speicherung und Verwaltung von Kunden-, Projekt- und Angebotsdaten des Verantwortlichen in der Cloud-Datenbank
  • Verarbeitung von Finanzdaten (Rechnungen, Transaktionen) zur automatisierten Buchhaltungsvorbereitung
  • Versand von E-Mails (Angebote, Rechnungen) im Auftrag des Verantwortlichen
  • Optional: Verarbeitung von 3D-Raumdaten (LiDAR-Scans)

(2) Dauer: Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrages. Er endet automatisch mit Beendigung des Hauptvertrages.

§ 2 Art der Daten und Kategorien betroffener Personen

(1) Art der personenbezogenen Daten:

  • Stammdaten (Namen, Adressen, E-Mail, Telefon)
  • Vertragsdaten (Angebote, Aufträge, Rechnungen)
  • Finanzdaten (Bankverbindungen, Zahlungen)
  • Kommunikationsdaten (E-Mail-Verläufe, Metadaten)
  • Nutzungsdaten (Logfiles, IP-Adressen, Login-Zeiten)
  • Geodaten und Objektdaten (Adressen, Raummaße/Scans)

(2) Kategorien betroffener Personen:

  • Kunden und Interessenten des Verantwortlichen (inkl. Verbraucher/B2C)
  • Mitarbeiter des Verantwortlichen
  • Lieferanten und Geschäftspartner des Verantwortlichen

§ 3 Rechte und Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 DSGVO allein verantwortlich.

(2) Der Verantwortliche ist "Herr der Daten". Ihm stehen alle Rechte an den von ihm eingebrachten Daten zu. Er ist berechtigt, jederzeit Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

§ 4 Pflichten des Auftragsverarbeiters

(1) Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen, sofern er nicht durch Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist.

(2) Verarbeitungsgebiet: Die Verarbeitung personenbezogener Daten des Verantwortlichen findet grundsätzlich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) statt. Folgende EU-Regionen sind konfiguriert: Vercel — Frankfurt (fra1); Supabase — Frankfurt; AWS S3/SQS — Frankfurt (eu-central-1); AWS S3 Archiv und SES — Stockholm (eu-north-1); Upstash Redis und Upstash QStash/Workflow — AWS Frankfurt; Azure OpenAI (Embeddings/Whisper) — Sweden Central; Azure TTS — West Europe (Amsterdam); Google Vertex AI, Document AI, Cloud Run — europe-west3 (Frankfurt), Claude-Endpoint Belgien; Deepgram — EU-Endpoint; Sentry — Deutschland; Unipile — Frankreich (Scaleway). Microsoft EU Data Boundary ist aktiviert. Eine Übermittlung in Drittländer erfolgt nur in folgenden Ausnahmen: Vercel Speed Insights (aggregierte Metriken). Alle Drittlandstransfers sind unter den Voraussetzungen der Art. 44 ff. DSGVO auf Basis von EU-Standardvertragsklauseln (SCC) und – soweit zutreffend – der Zertifizierung nach dem EU-U.S. Data Privacy Framework (DPF) abgesichert.

(3) Vertraulichkeit: Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen (Mitarbeiter) zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(4) Sicherheit der Verarbeitung (TOMs): Der Auftragsverarbeiter ergreift gemäß Art. 32 DSGVO alle erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen Maßnahmen sind in Anlage 1 (siehe unten) beschrieben.

§ 5 Unterauftragsverhältnisse (Sub-Prozessoren)

(1) Der Verantwortliche genehmigt dem Auftragsverarbeiter die Inanspruchnahme der in Anlage 2 aufgeführten Unterauftragsverarbeiter zur Erbringung des Hauptvertrages.

(2) Der Auftragsverarbeiter ist berechtigt, weitere oder andere Unterauftragsverarbeiter hinzuzuziehen, sofern er den Verantwortlichen hierüber vorab (z.B. per E-Mail oder im Admin-Dashboard) informiert und ihm die Möglichkeit gibt, binnen einer Frist von 14 Tagen zu widersprechen.

(3) Eine detaillierte und tagesaktuelle Liste ist jederzeit einsehbar unter:
https://nexdeck.de/unterauftragsverarbeiter

(4) Der Auftragnehmer stellt vertraglich sicher, dass für alle Unterauftragnehmer dasselbe Datenschutzniveau gilt wie in diesem Vertrag vereinbart (EU-Standardvertragsklauseln oder Angemessenheitsbeschluss).

(5) Der Auftragsverarbeiter ist verpflichtet, mit den Unterauftragsverarbeitern Verträge zu schließen, die den Anforderungen des Art. 28 DSGVO entsprechen und ihnen mindestens die gleichen Pflichten auferlegen, die der Auftragsverarbeiter gegenüber dem Verantwortlichen hat.

§ 6 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung der Pflichten aus diesem Vertrag durch den Auftragsverarbeiter zu überprüfen oder durch einen beauftragten Dritten überprüfen zu lassen.

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung. Als Nachweis können auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen der eingesetzten Infrastruktur-Partner (z.B. SOC 2 / ISO 27001-Zertifikate von Vercel, Supabase oder AWS) dienen.

§ 7 Mitteilungspflichten bei Verstößen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO. Insbesondere wird der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Data Breach).

§ 8 Beendigung des Auftrags

Nach Abschluss der Erbringung der Verarbeitungsleistungen oder bei Beendigung des Hauptvertrages wird der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern keine gesetzliche Verpflichtung zur Speicherung besteht.

Der Auftragsverarbeiter wird die Daten nach einer Karenzzeit von 30 Tagen nach Vertragsende unwiederbringlich löschen.

§ 9 Schlussbestimmungen

(1) Sollte eine Bestimmung dieses AVV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(2) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters (Oberhausen).

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO (Stand: 21.11.2025)

Der Auftragsverarbeiter hat folgende Maßnahmen zur Gewährleistung der Datensicherheit getroffen. Diese Maßnahmen sind an die spezifische Infrastruktur der SaaS-Plattform NexDeck angepasst.

1.Vertraulichkeit (Zutritts-, Zugangs- und Zugriffskontrolle)

Physischer Zutritt:

Alle Server befinden sich in zertifizierten Rechenzentren in der EU bzw. im EWR. Jedes Rechenzentrum verfügt über etablierte physische Sicherheitsmaßnahmen (Zutrittskontrollen, Videoüberwachung, Sicherheitspersonal, Brand- und Einbruchschutz). Die eingesetzten Infrastruktur-Partner verfügen über etablierte Zertifizierungen (ISO 27001, SOC 2, PCI DSS).

Konfigurierte EU-Regionen:

  • Vercel — Frankfurt (fra1) für Anwendung und Middleware
  • Supabase — Frankfurt für Datenbank, Auth und Storage
  • AWS — Frankfurt (eu-central-1) für S3, SQS; Stockholm (eu-north-1) für SES, S3-Archiv
  • Upstash Redis + QStash/Workflow — AWS Frankfurt
  • Azure OpenAI — Sweden Central (Embeddings/Whisper); Azure TTS — West Europe Amsterdam
  • Google Vertex AI, Document AI, Cloud Run — europe-west3 (Frankfurt); Claude-Endpoint Belgien
  • Deepgram — EU-Endpoint; Sentry — Deutschland; Unipile — Frankreich (Scaleway)

Elektronischer Zugang (Systemzugriff):

  • Zugriff auf die Administrations-Oberfläche von NexDeck ist nur über verschlüsselte Verbindungen (HTTPS/TLS 1.2+) möglich
  • Administrativer Zugriff auf die Cloud-Infrastruktur (Vercel, Supabase, AWS) ist auf einen minimalen Kreis von berechtigten Mitarbeitern beschränkt und zwingend durch 2-Faktor-Authentifizierung (2FA/MFA) geschützt
  • Einsatz von Firewalls und Zugriffsregeln (Supabase Row-Level-Security, AWS Security Groups) zur Abschottung der internen Systeme (Datenbank, S3) vom öffentlichen Internet

Interner Zugriff (Datenzugriff):

  • Rollenspezifisches Berechtigungskonzept: Mitarbeiter haben nur Zugriff auf die Daten, die sie zur Erfüllung ihrer Aufgaben zwingend benötigen ("Need-to-know"-Prinzip)
  • Mandantenfähigkeit: Die Software-Architektur stellt durch logische Trennung (Tenant-IDs in der Datenbank) sicher, dass Kunden nur auf ihre eigenen Daten zugreifen können

2.Integrität (Weitergabe- und Eingabekontrolle)

Weitergabekontrolle:

  • Datenübertragung über öffentliche Netze erfolgt ausschließlich verschlüsselt (TLS 1.2+ für Web-Traffic, SSH für administrative Zugänge)
  • Verschlüsselung der Daten "at rest": Die Datenbank (Supabase PostgreSQL) und der Objektspeicher (AWS S3) sind serverseitig mit AES-256 verschlüsselt

Eingabekontrolle:

  • Protokollierung aller systemrelevanten Zugriffe und Änderungen auf Infrastruktur-Ebene (Vercel-Deployments, Supabase-Audit-Logs, AWS CloudTrail)
  • Die Anwendung protokolliert, welcher Nutzer wann welche wesentlichen Änderungen (z.B. Angebotserstellung, Rechnungsversand) vorgenommen hat

3.Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle & Wiederherstellbarkeit:

  • Hosting in hochverfügbaren Cloud-Umgebungen (Vercel, Supabase, AWS) mit redundanter Auslegung kritischer Komponenten
  • Automatische, tägliche Voll-Backups der Datenbank über Supabase Point-in-Time-Recovery
  • Speicherung von Dateien mit Versionierung im AWS S3 (physisch getrennte Availability Zones)
  • Revisionssichere Archivierung von Rechnungen über AWS S3 Object Lock (Write-Once-Read-Many) mit der handels-/steuerrechtlich vorgeschriebenen Aufbewahrungsfrist

Belastbarkeit (Resilience):

  • Einsatz von skalierbarer Serverless-Infrastruktur (Vercel Functions), die Lastspitzen automatisch abfangen kann
  • Schutz vor DDoS-Angriffen durch das Edge-Netzwerk von Vercel und AWS Shield

4.Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung der Protokolle auf Auffälligkeiten
  • Jährliche Überprüfung und Aktualisierung dieser TOMs an den Stand der Technik
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis und regelmäßige Schulungen

Anlage 2: Liste der Unterauftragsverarbeiter

Der Verantwortliche stimmt der Beauftragung der folgenden Unterauftragsverarbeiter zu:

Eine vollständige und tagesaktuelle Liste aller Unterauftragsverarbeiter finden Sie hier:

Liste der Unterauftragsverarbeiter anzeigen