Datenschutzerklärung

Stand: 08.06.2026

1. Verantwortlicher

Art. 13 Abs. 1 lit. a DSGVO

NextGen IT Solutions GmbH
Stockholmer Platz 1
70173 Stuttgart
Deutschland

Telefon: +49 711 34063810
E-Mail: info@nextgenitsolutions.de

Amtsgericht Stuttgart · HRB 798341
Geschäftsführer: Sage Michael Speer

2. Datenschutzbeauftragter

Art. 13 Abs. 1 lit. b DSGVO

Bei datenschutzrechtlichen Anfragen wenden Sie sich bitte an unseren Datenschutzbeauftragten:

E-Mail: privacy@nextgenitsolutions.de

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Art. 13 Abs. 1 lit. c/d DSGVO

  • Plattform-Bereitstellung: Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.
  • Rechnungsstellung (sevDesk/DATEV): Vertragserfüllung und gesetzliche Pflicht gemäß Art. 6 Abs. 1 lit. b und lit. c DSGVO i. V. m. § 147 AO, § 257 HGB.
  • GoBD-Pflicht-Aufbewahrung: Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrungsfrist 10 Jahre).
  • WebAuthn-Authentifizierung: Berechtigtes Interesse an der Sicherheit der Plattform gemäß Art. 6 Abs. 1 lit. f DSGVO.
  • Audit-Event-Logs: Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO (ISO 27001 / GoBD).

4. Kategorien personenbezogener Daten

  • Stammdaten: Name, Anschrift, E-Mail-Adresse, Telefonnummer.
  • Vertragsdaten: Aufträge, Angebote, Rechnungen, Aufmaße.
  • Zahlungsdaten: IBAN (Verschlüsselung at-rest geplant), Umsatzsteuer-Identifikationsnummer, Steuernummer.
  • Authentifizierungsdaten: WebAuthn-Credentials, Session-Cookies.
  • Nutzungsdaten: Audit-Events, IP-Adressen (kurzfristig, pseudonymisiert).
  • Foto-Metadaten: Bei Aufmaß-Fotos werden EXIF-GPS-Daten vor der Speicherung automatisch entfernt.

5. Empfänger und Auftragsverarbeiter

Art. 13 Abs. 1 lit. e DSGVO

Personenbezogene Daten werden ausschließlich an folgende Auftragsverarbeiter weitergegeben, mit denen ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen wurde oder sich in Abschluss befindet:

  • Hetzner Online GmbH, Gunzenhausen (DE) — Hosting und Infrastruktur; ISO 27001 und BSI C5 zertifiziert; AVV unterzeichnet.
  • sevDesk GmbH, Offenburg (DE) — Rechnungsverwaltung; AVV unterzeichnet.
  • DATEV eG, Nürnberg (DE) — Steuerexport; AVV in Prüfung (Issue #70).
  • Stripe Payments Europe Ltd., Dublin (IE/US) — Abonnement-Abrechnung; AVV in Prüfung (Issue #70).

6. Drittstaaten-Transfer

Art. 44–49 DSGVO

Stripe Payments Europe Ltd. setzt die Stripe, Inc. (USA) als Sub-Auftragsverarbeiterin ein. Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Modul 2, Kommissionsbeschluss 2021/914) und/oder des EU-US Data Privacy Framework gemäß Art. 45 DSGVO. Auf Anfrage stellen wir die einschlägigen Garantien zur Verfügung.

Alle übrigen Auftragsverarbeiter verarbeiten Daten ausschließlich innerhalb der Europäischen Union.

7. Speicherdauer

  • Rechnungs- und Steuerdaten: 10 Jahre (§ 147 AO, § 257 HGB).
  • Audit-Events: 6 Jahre (GoBD).
  • Session-Cookies: 30 Tage.
  • Kundendaten nach Vertragsende: 3 Jahre (§ 195 BGB — regelmäßige Verjährungsfrist).

Nach Ablauf der jeweiligen Aufbewahrungsfrist werden personenbezogene Daten routinemäßig und sicher gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8. Ihre Rechte

Art. 15–22 DSGVO

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunft über die verarbeiteten Daten (Art. 15 DSGVO).
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO).
  • Löschung Ihrer Daten (Art. 17 DSGVO), soweit dem keine gesetzlichen Aufbewahrungspflichten — insbesondere nach GoBD, § 147 AO oder § 257 HGB — entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit in einem maschinenlesbaren Format (Art. 20 DSGVO).
  • Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO).
  • Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO): Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW).

Zur Wahrnehmung Ihrer Rechte wenden Sie sich bitte an privacy@nextgenitsolutions.de.

9. Cookies und Tracking

TTDSG § 25

Die Plattform verwendet ausschließlich technisch notwendige Cookies:

  • Session-Cookie: Authentifizierungssitzung (Lebensdauer: 30 Tage).
  • CSRF-Token: Schutz vor Cross-Site-Request-Forgery (Sitzungsdauer).

Es werden keine Analyse-, Tracking- oder Marketing-Cookies eingesetzt. Eine Einwilligung gemäß TTDSG § 25 ist für die vorgenannten Cookies nicht erforderlich, da sie für den technisch sicheren Betrieb der Plattform unbedingt notwendig sind.

10. Sicherheit der Verarbeitung

Art. 32 DSGVO

Wir setzen folgende technische und organisatorische Maßnahmen (TOM) ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

  • Transport-Verschlüsselung via TLS 1.3 für alle Verbindungen.
  • Mandantentrennung durch PostgreSQL Row-Level-Security (RLS) pro Tenant.
  • Audit-Event-Hashkette (SHA-256) zur Integritätssicherung von Protokollen.
  • Passwortfreie Authentifizierung mittels WebAuthn (FIDO2).
  • Hosting ausschließlich bei Hetzner Online GmbH — ISO/IEC 27001:2022 zertifiziert und BSI C5 geprüft.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit Änderungen der Rechtslage, behördliche Vorgaben oder neue technische Funktionen dies erfordern. Bei wesentlichen Änderungen werden alle aktiven Tenant-Administratoren mindestens 14 Tage vor Inkrafttreten per Plattform-Benachrichtigung informiert.

Das Datum der jeweils gültigen Fassung ist oben unter „Stand" ausgewiesen.