Anlage 1 - Verarbeitungstätigkeit

1. Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten durch die Nexato GmbH (Auftragsverarbeiter) erfolgt ausschließlich zum Zweck der Bereitstellung und Nutzung des Cloud-Dienstes „nexcore“. Dies umfasst insbesondere die Verarbeitung von Daten, die erforderlich sind zur:

• Organisation, Verwaltung und Disposition von Aufträgen, Aufgaben und Ressourcen,

• Protokollierung von Übergaben, Rücknahmen und weiteren Arbeitsprozessen,

• Dokumentation in Form von Texten, Bildern, Signaturen, Zeiteinträgen und sonstigen Dateien,

• Bereitstellung der Anwendungsdaten über Web- und mobile Anwendungen sowie Schnittstellen (API, Webhooks),

• Verwaltung von Benutzerkonten, Zugriffsrechten und Kommunikation im Rahmen der Systemnutzung.

2. Art der Verarbeitung

Die im Rahmen des Cloud-Dienstes „nexcore“ durchgeführten Verarbeitungen umfassen insbesondere:

• Erhebung personenbezogener Daten durch Eingabe in die Web- und Mobilanwendungen oder durch Schnittstellen (API, Webhooks),

• Speicherung und Organisation der Daten in mandantengetrennten Datenbanken,

• Verwendung im Rahmen von Auftrags-, Aufgaben- und Ressourcendisposition,

• Übermittlung an berechtigte Nutzer innerhalb des Systems sowie ggf. an vom Auftraggeber angebundene Drittsysteme,

• Protokollierung von Arbeitsschritten, Zeitpunkten, Eingaben und Statusänderungen,

• Löschung oder Anonymisierung nach Ablauf der vertraglich vereinbarten bzw. gesetzlichen Speicherfristen.

3. Arten der verarbeiteten Daten

Im Rahmen der Nutzung von „nexcore“ werden typischerweise folgende Datenarten verarbeitet:

• Mitarbeiterdaten des Auftraggebers

  • Nutzerdaten (z. B. Name, Vorname, Benutzerkennung, Rolle),

  • Kommunikationsdaten (z. B. Telefonnummer, E-Mail-Adresse, geschäftliche Anschrift),

  • Standort- und Positionsdaten (z. B. GPS-Standorte bei Auftragsdurchführung),

  • Protokolldaten (z. B. Zeitpunkt der Nutzung, Eingaben, Log-Files zur Fehlerreplikation).

• Endkundendaten des Auftraggebers

  • Kundenstammdaten (z. B. Firma, Rechtsform, Niederlassung, Anschrift, Ansprechpartner),

  • Kommunikationsdaten (z. B. Kontaktpersonen, Telefonnummer, E-Mail-Adresse, Anschrift),

  • Auftragsstammdaten (z. B. Auftragsnummer, Positionen),

  • Auftragsabrechnungsdaten (z. B. Abrechnungszeiträume, Zahlungsmodalitäten),

  • Elektronische Signaturen (z. B. zur Bestätigung von Übergaben oder Auftragserfüllungen).

• Betriebs- und Ressourcendaten

  • Daten des Betriebs oder der Niederlassungen (z. B. Adresse, Ansprechpartner),

  • Fahrzeug- und Maschinenstammdaten (z. B. Kennzeichen, Typ, interne IDs),

  • Standortdaten von Fahrzeugen oder Maschinen (zur Verwaltung, Disposition und Rückverfolgung).

  • Nutzungs- und Betriebsstatus (z. B. Maschine in Betrieb, außer Betrieb, verfügbar, freigemeldet, einsatzbereit)

• Meta- und Systemdaten

  • Kommunikations- und Metadaten (z. B. Zeitstempel, Übertragungsinformationen, API-Logs),

  • System- und Nutzungsdaten (z. B. Fehlermeldungen, Aktivitätenprotokolle).

• Individuelle Daten

  • Vom Auftraggeber frei definierte Datenfelder (Custom Attributes),

  • Individuelle, vom Auftraggeber erstellte Datenabfragen oder Protokolle.

4. Kategorien betroffener Personen

Von der Verarbeitung können insbesondere folgende Kategorien von Personen betroffen sein:

• Kunden des Auftraggebers,

• Beschäftigte / Mitarbeiter des Auftraggebers,

• Ansprechpartner bei Endkunden, Partnern und Lieferanten,

• Lieferanten und deren Vertreter,

• Dienstleister / Drittunternehmer,

• der Auftraggeber selbst (z. B. Administratoren, Systemnutzer).

5. Einschränkung der zulässigen Datenarten

Die Nutzung von nexcore erfordert nicht die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO (z. B. Gesundheitsdaten, Daten zur religiösen oder politischen Überzeugung, biometrische oder genetische Daten).

Eine Verarbeitung solcher Daten ist im Rahmen der vereinbarten Leistung nicht vorgesehen, nicht erforderlich und nicht Vertragsbestandteil.

6. Verantwortung des Auftraggebers

Der Auftraggeber verpflichtet sich sicherzustellen, dass keine besonderen Kategorien personenbezogener Daten in nexcore eingegeben oder über Schnittstellen eingebracht werden. Sollte der Auftraggeber entgegen dieser Vereinbarung dennoch derartige Daten verarbeiten, erfolgt dies ausschließlich in seiner Verantwortung.

Der Auftragsverarbeiter ist in diesem Fall nicht verpflichtet, zusätzliche technische oder organisatorische Maßnahmen zum Schutz besonderer Kategorien personenbezogener Daten vorzuhalten. Der Auftraggeber trägt die alleinige datenschutzrechtliche Verantwortung für die Verarbeitung solcher Daten.