Termin buchen

DSE

Datenschutzhinweise zur Nutzung von „nexcore“ (DSE)

Version 1.4 (Gültig ab: 01.10.2025 / Stand: 01.10.2025)

1. Geltung und Rollen

Diese Datenschutzhinweise gelten für die Nutzung der nexcore Web- und Mobil-Apps durch Mitarbeiter unserer Geschäftskunden (B2B).

1.1 Verarbeitung von Geschäfts-/Inhaltsdaten in nexcore

z. B. Auftrags-, Touren-, Ressourcen- und Kundendaten inkl. Fotos, Signaturen, Standort:

Verantwortlicher im Sinne der DSGVO ist Ihr Arbeitgeber / unser Geschäftskunde.

Nexato verarbeitet diese Daten im Auftrag (Art. 28 DSGVO) auf Grundlage der mit dem Kunden geschlossenen AVV.

1.2 Verarbeitung von Betriebs- und Systemdaten

z. B. Benutzerverwaltung/Authentifizierung, Sicherheits- und Fehlerprotokolle, Stabilitäts- und Performance-Monitoring:

Verantwortlicher ist Nexato GmbH, da diese Verarbeitungen für den sicheren Betrieb des SaaS-Dienstes erforderlich sind.

Verantwortlicher (für Verarbeitungen in eigener Verantwortung):

  • Nexato GmbH, Florengasse 18, 36043 Fulda, Deutschland

  • Telefon: +49 (0) 661 480 191 00 · E-Mail: [email protected]

Ein Datenschutzbeauftragter ist nicht bestellt (keine gesetzliche Verpflichtung).

1.4 Hinweis zu Betroffenenrechten

  • Für Inhalts-/Geschäftsdaten (Arbeit in nexcore) wenden Sie sich bitte an Ihren Arbeitgeber (den Verantwortlichen).

  • Für Betriebs-/Systemdaten (Login, Sicherheits-/Fehler-Logs etc.) können Sie sich an Nexato wenden (Kontaktdaten siehe oben).

2. Zwecke und Rechtsgrundlagen

2.1 Auftragsverarbeitung (Kunde als Verantwortlicher)

Bereitstellung der App-Funktionen (Auftrags-, Touren- und Ressourcendisposition, Dokumentation, Signaturen, Fotos, Status, Standortbezug), Kommunikation und Nachweisführung.

Rechtsgrundlage legt der jeweilige Verantwortliche (Kunde) fest (regelmäßig Art. 6 Abs. 1 lit. b DSGVO).

2.2 Nexato als Verantwortlicher

  • Betrieb/IT-Sicherheit/Fehleranalyse: Protokollierung, Monitoring, Missbrauchs- und Störungsabwehr (Art. 6 Abs. 1 lit. f DSGVO).

  • Authentifizierung/Autorisation: Nutzerverwaltung, Login-Nachweise, Token-Management (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO).

  • Kommunikation/Support: Bearbeitung von Anfragen/Tickets (Art. 6 Abs. 1 lit. b/f DSGVO).

  • Abrechnung/Lizenzverwaltung (B2B): (Art. 6 Abs. 1 lit. b DSGVO).

    Soweit eine Einwilligung (z. B. für optionale Funktionen) erforderlich ist: Art. 6 Abs. 1 lit. a DSGVO.

3. Kategorien personenbezogener Daten

Entspricht Anlage 1 der AVV; u. a. Mitarbeiter-/Endkundendaten, Kommunikations-/Meta-/Systemdaten, Standort-/Positionsdaten, Fotos/Signaturen, Auftrags- und Tourendaten, Custom Attributes).

4. App-Berechtigungen

Für die Funktion der mobilen Apps können je nach Betriebssystem (OS) folgende Berechtigungen erforderlich sein:

  • Kamera (Fotos/Dokumentation),

  • Standort (GPS, z. B. zur Disposition/Belegführung),

  • Mitteilungen (Push-Benachrichtigungen).

Die Berechtigungen können im Gerät verwaltet werden; ohne einzelne Berechtigungen stehen ggf. nur eingeschränkte App-Funktionen zur Verfügung (Rechtsgrundlage je nach Zweck Art. 6 Abs. 1 lit. b/f bzw. bei Einwilligung lit. a DSGVO).

5. Speicherung auf dem Endgerät

Temporäre lokale Zwischenspeicherung (u. a. Caching von Auftrags-/Tourendaten, Bilderfassungen, Protokolldaten, Token) zur Offline-Nutzung und sicheren Übertragung. Das Passwort wird nicht lokal gespeichert; zur Session-Fortsetzung wird ein Token verwendet, der bei Passwortänderung ungültig wird.

6. Protokollierung und Log-Daten (Nexato als Verantwortlicher)

Technische Nutzungs- und Ereignisdaten (z. B. Zeitstempel, Nutzerkennung, Fehlermeldungen, API-Events, Auth-Logs) werden zur Sicherstellung von Betrieb, Sicherheit und Fehleranalyse verarbeitet.

Speicherdauern (Richtwerte):

  • Anwendungs-/Fehler-Logs: max. 7 Tage,

  • Authentifizierungs-/Sicherheits-Logs: bis zu 3 Monate.

    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

7. Empfänger / Kategorien von Empfängern

  • Beim Kunden: Berechtigte Nutzer/Administratoren des Mandanten (gemäß Rollen/Berechtigungen).

  • Nexato intern: Betrieb/Support/Entwicklung nach dem Need-to-know-Prinzip.

  • Subprozessoren gemäß Anlage 4 (z. B. Hosting/Cloud, Auth, Zahlungsabwicklung, Support-Tools) auf Basis von AVV/SCC/DPF.

  • Behörden/Gerichte im gesetzlichen Rahmen.

8. Drittlandübermittlungen

Primär findet die Verarbeitung in der EU/EWR statt. Soweit Daten an Dienstleister in Drittländern (z. B. USA) übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO:

  • EU-US Data Privacy Framework (DPF), sofern der Empfänger zertifiziert ist (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023), oder

  • EU-Standardvertragsklauseln (SCC) inkl. ggf. ergänzender Maßnahmen.

    (Infos/Quellen: EU-Durchführungsbeschluss 2023/1795; Program Overview DPF. )

    Hinweis: Der EU-Gerichtshof hat das DPF inzwischen gerichtlich bestätigt (2025, EuG – „Latombe ./. Kommission“); ein Rechtsmittel ist möglich.

9. Speicherdauer und Löschung

  • Inhalts-/Geschäftsdaten (Auftragsverarbeitung): nach Vorgaben des verantwortlichen Kunden; nach Vertragsende: 30-Tage-Exportmöglichkeit, anschließend Löschung (vgl. AGB/AVV).

  • Verarbeitungen in eigener Verantwortung: zweckgebunden; Löschung nach Wegfall des Zwecks bzw. Ablauf der genannten Fristen; gesetzliche Aufbewahrungsfristen bleiben unberührt.

10. Betroffenenrechte (Art. 12–22 DSGVO)

Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e/f DSGVO; Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft. Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO). (Transparenzanforderungen nach Art. 13/14 DSGVO.)

  • Für Daten, bei denen der Kunde Verantwortlicher ist, sind Betroffenenrechte direkt gegenüber dem Kunden geltend zu machen.

  • Für Verarbeitungen, bei denen Nexato Verantwortlicher ist, gelten die Kontakte gemäß Abschnitt 1.

11. Sicherheit der Verarbeitung

Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (u. a. TLS-Transportverschlüsselung, Encryption-at-Rest, Zugriffs-/Zugangskontrollen, Rollen-/Rechtekonzept, Protokollierung, Backup/Recovery). Details siehe Anlage 2 der AVV (TOM).

12. App-Stores / Plattformen

Beim Download und der Nutzung der App können die jeweiligen Store-Betreiber Daten in eigener Verantwortung verarbeiten (z. B. Apple App Store / Google Play). Es gelten deren Datenschutzhinweise/Nutzungsbedingungen (siehe Apple Privacy Policy; App Store Privacy Details; Google Play-Store Terms).

13. Eigene Abfragen des Kunden („Custom Attributes“)

Kunden können in nexcore eigene Datenfelder/Abfragen definieren und damit zusätzliche Daten erheben. Für deren Rechtmäßigkeit, Information der Betroffenen und Löschkonzepte ist der Kunde als Verantwortlicher zuständig. Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht vorgesehen (vgl. AVV Anlage 1, Ziff. 5/6).

14. Änderungen dieser Datenschutzhinweise

Nexato kann diese Hinweise anpassen, wenn dies rechtlich, organisatorisch oder technisch erforderlich ist. Die jeweils aktuelle Version wird in der App bzw. im Hilfe-Center veröffentlicht.

VorherigeAnlage 4 - Subprozessoren und DatenstandorteNächsteAPI-Richtlinie

Zuletzt aktualisiert