# DSE {% hint style="info" %} Version 1.4 (Gültig ab: 01.10.2025 / Stand: 01.10.2025) {% endhint %} ## 1. Geltung und Rollen Diese Datenschutzhinweise gelten für die Nutzung der nexcore Web- und Mobil-Apps durch Mitarbeiter unserer Geschäftskunden (B2B). ### 1.1 Verarbeitung von Geschäfts-/Inhaltsdaten in nexcore z. B. Auftrags-, Touren-, Ressourcen- und Kundendaten inkl. Fotos, Signaturen, Standort: Verantwortlicher im Sinne der DSGVO ist Ihr Arbeitgeber / unser Geschäftskunde. Nexato verarbeitet diese Daten im Auftrag (Art. 28 DSGVO) auf Grundlage der mit dem Kunden geschlossenen AVV. ### 1.2 Verarbeitung von Betriebs- und Systemdaten z. B. Benutzerverwaltung/Authentifizierung, Sicherheits- und Fehlerprotokolle, Stabilitäts- und Performance-Monitoring: Verantwortlicher ist Nexato GmbH, da diese Verarbeitungen für den sicheren Betrieb des SaaS-Dienstes erforderlich sind. Verantwortlicher (für Verarbeitungen in eigener Verantwortung): * Nexato GmbH, Florengasse 18, 36043 Fulda, Deutschland * Telefon: +49 (0) 661 480 191 00 · E-Mail: Ein Datenschutzbeauftragter ist nicht bestellt (keine gesetzliche Verpflichtung). ### 1.4 Hinweis zu Betroffenenrechten * Für Inhalts-/Geschäftsdaten (Arbeit in nexcore) wenden Sie sich bitte an Ihren Arbeitgeber (den Verantwortlichen). * Für Betriebs-/Systemdaten (Login, Sicherheits-/Fehler-Logs etc.) können Sie sich an Nexato wenden (Kontaktdaten siehe oben). *** ## 2. Zwecke und Rechtsgrundlagen ### 2.1 Auftragsverarbeitung (Kunde als Verantwortlicher) Bereitstellung der App-Funktionen (Auftrags-, Touren- und Ressourcendisposition, Dokumentation, Signaturen, Fotos, Status, Standortbezug), Kommunikation und Nachweisführung. Rechtsgrundlage legt der jeweilige Verantwortliche (Kunde) fest (regelmäßig Art. 6 Abs. 1 lit. b DSGVO). ### 2.2 Nexato als Verantwortlicher * Betrieb/IT-Sicherheit/Fehleranalyse: Protokollierung, Monitoring, Missbrauchs- und Störungsabwehr (Art. 6 Abs. 1 lit. f DSGVO). * Authentifizierung/Autorisation: Nutzerverwaltung, Login-Nachweise, Token-Management (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO). * Kommunikation/Support: Bearbeitung von Anfragen/Tickets (Art. 6 Abs. 1 lit. b/f DSGVO). * Abrechnung/Lizenzverwaltung (B2B): (Art. 6 Abs. 1 lit. b DSGVO). Soweit eine Einwilligung (z. B. für optionale Funktionen) erforderlich ist: Art. 6 Abs. 1 lit. a DSGVO.
*** ## 3. Kategorien personenbezogener Daten Entspricht [Anlage 1 der AVV](/policies/bestimmungen/avv/anlage-1-verarbeitungstatigkeit.md); u. a. Mitarbeiter-/Endkundendaten, Kommunikations-/Meta-/Systemdaten, Standort-/Positionsdaten, Fotos/Signaturen, Auftrags- und Tourendaten, Custom Attributes).
*** ## 4. App-Berechtigungen Für die Funktion der mobilen Apps können je nach Betriebssystem (OS) folgende Berechtigungen erforderlich sein: * Kamera (Fotos/Dokumentation), * Standort (GPS, z. B. zur Disposition/Belegführung), * Mitteilungen (Push-Benachrichtigungen). Die Berechtigungen können im Gerät verwaltet werden; ohne einzelne Berechtigungen stehen ggf. nur eingeschränkte App-Funktionen zur Verfügung (Rechtsgrundlage je nach Zweck Art. 6 Abs. 1 lit. b/f bzw. bei Einwilligung lit. a DSGVO). *** ## 5. Speicherung auf dem Endgerät Temporäre lokale Zwischenspeicherung (u. a. Caching von Auftrags-/Tourendaten, Bilderfassungen, Protokolldaten, Token) zur Offline-Nutzung und sicheren Übertragung. Das Passwort wird nicht lokal gespeichert; zur Session-Fortsetzung wird ein Token verwendet, der bei Passwortänderung ungültig wird. *** ## 6. Protokollierung und Log-Daten (Nexato als Verantwortlicher) Technische Nutzungs- und Ereignisdaten (z. B. Zeitstempel, Nutzerkennung, Fehlermeldungen, API-Events, Auth-Logs) werden zur Sicherstellung von Betrieb, Sicherheit und Fehleranalyse verarbeitet. Speicherdauern (Richtwerte): * Anwendungs-/Fehler-Logs: max. 7 Tage, * Authentifizierungs-/Sicherheits-Logs: bis zu 3 Monate. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. *** ## 7. Empfänger / Kategorien von Empfängern * Beim Kunden: Berechtigte Nutzer/Administratoren des Mandanten (gemäß Rollen/Berechtigungen). * Nexato intern: Betrieb/Support/Entwicklung nach dem Need-to-know-Prinzip. * Subprozessoren gemäß [Anlage 4 ](/policies/bestimmungen/avv/anlage-4-subprozessoren-und-datenstandorte.md)(z. B. Hosting/Cloud, Auth, Zahlungsabwicklung, Support-Tools) auf Basis von AVV/SCC/DPF. * Behörden/Gerichte im gesetzlichen Rahmen. *** ## 8. Drittlandübermittlungen Primär findet die Verarbeitung in der EU/EWR statt. Soweit Daten an Dienstleister in Drittländern (z. B. USA) übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO: * EU-US Data Privacy Framework (DPF), sofern der Empfänger zertifiziert ist (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023), oder * EU-Standardvertragsklauseln (SCC) inkl. ggf. ergänzender Maßnahmen. (Infos/Quellen: EU-Durchführungsbeschluss 2023/1795; Program Overview DPF. ) Hinweis: Der EU-Gerichtshof hat das DPF inzwischen gerichtlich bestätigt (2025, EuG – „Latombe ./. Kommission“); ein Rechtsmittel ist möglich. *** ## 9. Speicherdauer und Löschung * Inhalts-/Geschäftsdaten (Auftragsverarbeitung): nach Vorgaben des verantwortlichen Kunden; nach Vertragsende: 30-Tage-Exportmöglichkeit, anschließend Löschung (vgl. [AGB](/policies/bestimmungen/agb.md)/[AVV](/policies/bestimmungen/avv.md)). * Verarbeitungen in eigener Verantwortung: zweckgebunden; Löschung nach Wegfall des Zwecks bzw. Ablauf der genannten Fristen; gesetzliche Aufbewahrungsfristen bleiben unberührt. *** ## 10. Betroffenenrechte (Art. 12–22 DSGVO) Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e/f DSGVO; Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft. Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO). (Transparenzanforderungen nach Art. 13/14 DSGVO.) * Für Daten, bei denen der Kunde Verantwortlicher ist, sind Betroffenenrechte direkt gegenüber dem Kunden geltend zu machen. * Für Verarbeitungen, bei denen Nexato Verantwortlicher ist, gelten die Kontakte gemäß [Abschnitt 1](#id-1.-geltung-und-rollen). *** ## 11. Sicherheit der Verarbeitung Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (u. a. TLS-Transportverschlüsselung, Encryption-at-Rest, Zugriffs-/Zugangskontrollen, Rollen-/Rechtekonzept, Protokollierung, Backup/Recovery). Details siehe [Anlage 2 der AVV (TOM)](/policies/bestimmungen/avv/anlage-2-technische-und-organisatorische-massnahmen.md). *** ## 12. App-Stores / Plattformen Beim Download und der Nutzung der App können die jeweiligen Store-Betreiber Daten in eigener Verantwortung verarbeiten (z. B. Apple App Store / Google Play). Es gelten deren Datenschutzhinweise/Nutzungsbedingungen (siehe [Apple Privacy Policy](https://www.apple.com/legal/privacy/de-ww/); [App Store Privacy Details](https://www.apple.com/legal/internet-services/itunes/de/terms.html); [Google Play-Store Terms](https://play.google.com/intl/de_de/about/play-terms.html)). *** ## 13. Eigene Abfragen des Kunden („Custom Attributes“) Kunden können in nexcore eigene Datenfelder/Abfragen definieren und damit zusätzliche Daten erheben. Für deren Rechtmäßigkeit, Information der Betroffenen und Löschkonzepte ist der Kunde als Verantwortlicher zuständig. Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht vorgesehen ([vgl. AVV Anlage 1, Ziff. 5/6](https://docs.nexcore.de/policies/bestimmungen/pages/NxLciqww7AebVwBpPBht#id-5.-einschrankung-der-zulassigen-datenarten)). *** ## 14. Änderungen dieser Datenschutzhinweise Nexato kann diese Hinweise anpassen, wenn dies rechtlich, organisatorisch oder technisch erforderlich ist. Die jeweils aktuelle Version wird in der App bzw. im Hilfe-Center veröffentlicht. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.nexcore.de/policies/bestimmungen/dse.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.