Zurück zur Startseite

Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO

Zwischen

dem Kunden, der das Angebot zur Nutzung von NexDeck angenommen hat
(nachfolgend "Verantwortlicher" genannt)

und

Kre8ive Evolution GmbH
Vertreten durch Stephan Grundmeyer
Kastellstr. 34, 46147 Oberhausen
(nachfolgend "Auftragsverarbeiter" genannt)

Präambel

Der Verantwortliche hat den Auftragsverarbeiter mit der Erbringung von Software-as-a-Service (SaaS) Leistungen unter dem Produktnamen "NexDeck" beauftragt. Grundlage hierfür sind das individuelle Angebot und die Allgemeinen Geschäftsbedingungen (AGB) des Auftragsverarbeiters (nachfolgend "Hauptvertrag").

Im Rahmen der Durchführung des Hauptvertrages ist es notwendig, dass der Auftragsverarbeiter personenbezogene Daten für den Verantwortlichen verarbeitet. Dieser Vertrag konkretisiert die Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer des Auftrags

(1) Gegenstand:

Gegenstand des Auftrags ist die Durchführung folgender Dienstleistungen durch den Auftragsverarbeiter:

  • Bereitstellung der SaaS-Plattform NexDeck (Hosting, Betrieb, Wartung)
  • Speicherung und Verwaltung von Kunden-, Projekt- und Angebotsdaten des Verantwortlichen in der Cloud-Datenbank
  • Verarbeitung von Finanzdaten (Rechnungen, Transaktionen) zur automatisierten Buchhaltungsvorbereitung
  • Versand von E-Mails (Angebote, Rechnungen) im Auftrag des Verantwortlichen
  • Optional: Verarbeitung von 3D-Raumdaten (LiDAR-Scans)

(2) Dauer: Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrages. Er endet automatisch mit Beendigung des Hauptvertrages.

§ 2 Art der Daten und Kategorien betroffener Personen

(1) Art der personenbezogenen Daten:

  • Stammdaten (Namen, Adressen, E-Mail, Telefon)
  • Vertragsdaten (Angebote, Aufträge, Rechnungen)
  • Finanzdaten (Bankverbindungen, Zahlungen)
  • Kommunikationsdaten (E-Mail-Verläufe, Metadaten)
  • Nutzungsdaten (Logfiles, IP-Adressen, Login-Zeiten)
  • Geodaten und Objektdaten (Adressen, Raummaße/Scans)

(2) Kategorien betroffener Personen:

  • Kunden und Interessenten des Verantwortlichen (inkl. Verbraucher/B2C)
  • Mitarbeiter des Verantwortlichen
  • Lieferanten und Geschäftspartner des Verantwortlichen

§ 3 Rechte und Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 DSGVO allein verantwortlich.

(2) Der Verantwortliche ist "Herr der Daten". Ihm stehen alle Rechte an den von ihm eingebrachten Daten zu. Er ist berechtigt, jederzeit Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

§ 4 Pflichten des Auftragsverarbeiters

(1) Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen, sofern er nicht durch Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist.

(2) Verarbeitungsgebiet: Die Verarbeitung der Daten findet grundsätzlich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) statt (Serverstandort: AWS Frankfurt, Deutschland). Eine Verlagerung in ein Drittland erfolgt nur unter den Voraussetzungen der Art. 44 ff. DSGVO.

(3) Vertraulichkeit: Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen (Mitarbeiter) zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(4) Sicherheit der Verarbeitung (TOMs): Der Auftragsverarbeiter ergreift gemäß Art. 32 DSGVO alle erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen Maßnahmen sind in Anlage 1 (siehe unten) beschrieben.

§ 5 Unterauftragsverhältnisse (Sub-Prozessoren)

(1) Der Verantwortliche genehmigt dem Auftragsverarbeiter die Inanspruchnahme der in Anlage 2 aufgeführten Unterauftragsverarbeiter zur Erbringung des Hauptvertrages.

(2) Der Auftragsverarbeiter ist berechtigt, weitere oder andere Unterauftragsverarbeiter hinzuzuziehen, sofern er den Verantwortlichen hierüber vorab (z.B. per E-Mail oder im Admin-Dashboard) informiert und ihm die Möglichkeit gibt, binnen einer Frist von 14 Tagen zu widersprechen.

(3) Eine detaillierte und tagesaktuelle Liste ist jederzeit einsehbar unter:
https://nexdeck.de/unterauftragsverarbeiter

(4) Der Auftragnehmer stellt vertraglich sicher, dass für alle Unterauftragnehmer dasselbe Datenschutzniveau gilt wie in diesem Vertrag vereinbart (EU-Standardvertragsklauseln oder Angemessenheitsbeschluss).

(5) Der Auftragsverarbeiter ist verpflichtet, mit den Unterauftragsverarbeitern Verträge zu schließen, die den Anforderungen des Art. 28 DSGVO entsprechen und ihnen mindestens die gleichen Pflichten auferlegen, die der Auftragsverarbeiter gegenüber dem Verantwortlichen hat.

§ 6 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung der Pflichten aus diesem Vertrag durch den Auftragsverarbeiter zu überprüfen oder durch einen beauftragten Dritten überprüfen zu lassen.

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung. Als Nachweis können auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Datenschutzauditoren, ISO 27001-Zertifikat von AWS) dienen.

§ 7 Mitteilungspflichten bei Verstößen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO. Insbesondere wird der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Data Breach).

§ 8 Beendigung des Auftrags

Nach Abschluss der Erbringung der Verarbeitungsleistungen oder bei Beendigung des Hauptvertrages wird der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern keine gesetzliche Verpflichtung zur Speicherung besteht.

Der Auftragsverarbeiter wird die Daten nach einer Karenzzeit von 30 Tagen nach Vertragsende unwiederbringlich löschen.

§ 9 Schlussbestimmungen

(1) Sollte eine Bestimmung dieses AVV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(2) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters (Oberhausen).

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO (Stand: 21.11.2025)

Der Auftragsverarbeiter hat folgende Maßnahmen zur Gewährleistung der Datensicherheit getroffen. Diese Maßnahmen sind an die spezifische Infrastruktur der SaaS-Plattform NexDeck angepasst.

1.Vertraulichkeit (Zutritts-, Zugangs- und Zugriffskontrolle)

Physischer Zutritt:

Die Server befinden sich in Hochsicherheitsrechenzentren von Amazon Web Services (AWS) in der Region Frankfurt (eu-central-1). AWS implementiert modernste physische Sicherheitsmaßnahmen (Zutrittskontrollen, Videoüberwachung, Sicherheitspersonal), die nach ISO 27001, SOC 2 und PCI DSS zertifiziert sind.

Elektronischer Zugang (Systemzugriff):

  • Zugriff auf die Administrations-Oberfläche von NexDeck ist nur über verschlüsselte Verbindungen (HTTPS/TLS 1.2+) möglich
  • Administrativer Zugriff auf die Cloud-Infrastruktur (AWS) ist auf einen minimalen Kreis von berechtigten Mitarbeitern beschränkt und zwingend durch 2-Faktor-Authentifizierung (2FA/MFA) geschützt
  • Einsatz von VPNs und Firewalls (AWS Security Groups) zur Abschottung der internen Systeme (Datenbanken) vom öffentlichen Internet

Interner Zugriff (Datenzugriff):

  • Rollenspezifisches Berechtigungskonzept: Mitarbeiter haben nur Zugriff auf die Daten, die sie zur Erfüllung ihrer Aufgaben zwingend benötigen ("Need-to-know"-Prinzip)
  • Mandantenfähigkeit: Die Software-Architektur stellt durch logische Trennung (Tenant-IDs in der Datenbank) sicher, dass Kunden nur auf ihre eigenen Daten zugreifen können

2.Integrität (Weitergabe- und Eingabekontrolle)

Weitergabekontrolle:

  • Datenübertragung über öffentliche Netze erfolgt ausschließlich verschlüsselt (TLS 1.2+ für Web-Traffic, SSH für administrative Zugänge)
  • Verschlüsselung der Daten "at rest": Die zentrale Datenbank (AWS RDS PostgreSQL) und die Objektspeicher (AWS S3) sind serverseitig mit AES-256 verschlüsselt

Eingabekontrolle:

  • Protokollierung aller systemrelevanten Zugriffe und Änderungen durch Mitarbeiter des Auftragsverarbeiters (Audit Logs in AWS CloudTrail)
  • Die Anwendung protokolliert, welcher Nutzer wann welche wesentlichen Änderungen (z.B. Angebotserstellung, Rechnungsversand) vorgenommen hat

3.Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle & Wiederherstellbarkeit:

  • Hosting in einer hochverfügbaren Cloud-Umgebung (AWS) mit redundanter Auslegung kritischer Komponenten
  • Automatische, tägliche Voll-Backups der Datenbank sowie kontinuierliche Sicherung der Transaktionslogs (Point-in-Time Recovery der letzten 35 Tage möglich)
  • Speicherung der Backups in einem physisch getrennten Rechenzentrumsbereich (AWS Availability Zone)
  • Revisionssichere Archivierung von Rechnungen in einem speziellen WORM-Speicher (Write Once, Read Many) mit Objektsperre für 10 Jahre (AWS S3 Object Lock)

Belastbarkeit (Resilience):

  • Einsatz von skalierbarer Infrastruktur, die Lastspitzen abfangen kann
  • Schutz vor DDoS-Angriffen durch AWS Shield

4.Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung der Protokolle auf Auffälligkeiten
  • Jährliche Überprüfung und Aktualisierung dieser TOMs an den Stand der Technik
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis und regelmäßige Schulungen

Anlage 2: Liste der Unterauftragsverarbeiter

Der Verantwortliche stimmt der Beauftragung der folgenden Unterauftragsverarbeiter zu:

Eine vollständige und tagesaktuelle Liste aller Unterauftragsverarbeiter finden Sie hier:

Liste der Unterauftragsverarbeiter anzeigen