Stand: Februar 2026

Datenschutzerklärung

Mit den folgenden Hinweisen informieren wir Sie über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung des Nexor Terminal Dashboards („Plattform”). Die Verarbeitung erfolgt in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie sonstigen einschlägigen datenschutzrechtlichen Bestimmungen.

Die Plattform richtet sich ausschließlich an Unternehmen und Gewerbetreibende (B2B-Service).

1. Verantwortlicher

Jung & Zotov IT-Dienstleistungen GbR
Poststraße 2, 89522 Heidenheim an der Brenz, Deutschland
Telefon: +49 (0) 162 9340432
E-Mail: info@nexor-software.de

Sofern ein gesetzlicher Datenschutzbeauftragter zu bestellen ist, erreichen Sie diesen unter den vorstehenden Kontaktdaten mit dem Zusatz „Datenschutzbeauftragter“.

2. Begriffe

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Verarbeitung meint jeden Umgang mit diesen Daten (Erheben, Speichern, Übermitteln, Auswerten usw.). Nutzer der Plattform sind Mitarbeiter von Unternehmen, die mit Terminals, Produkten und Verkaufsdaten arbeiten.

3. Datenquellen und Kategorien

Wir verarbeiten folgende Kategorien personenbezogener Daten:

• Nutzerdaten: E-Mail-Adresse, Name, Rollenprofile, Login-Zeitpunkte
• Technische Daten: IP-Adresse, Browsertyp, Sitzungs-IDs, Geräteinformationen
• Terminal-Daten: Geräte-IDs, API-Schlüssel, Standortdaten der Terminals, Status- und Fehlerprotokolle
• Verkaufsdaten: Verkaufs-IDs, Umsatz- und Steuerbeträge, Zeitstempel, zugeordnete Benutzer-IDs
• Kommunikationsdaten: Support-Anfragen, Fehlermeldungen
• Tracking- und Nutzungsdaten: Ereignisse wie Seitenaufrufe, Benutzerinteraktionen und aggregierte Nutzungsmuster (über PostHog EU Cloud)

Die Daten stammen aus der direkten Eingabe durch Nutzer, systemseitigen Generierungen und Schnittstellen zu angeschlossenen Backend-Systemen.

4. Zwecke und Rechtsgrundlagen

Die Verarbeitung erfolgt zu folgenden Zwecken:

• Bereitstellung der B2B-Plattform zur Verwaltung von Terminals, Produkten und Verkäufen (Art. 6 Abs. 1 lit. b DSGVO)
• Durchführung von Unternehmensverträgen mit Geschäftskunden (Art. 6 Abs. 1 lit. b DSGVO)
• Authentifizierung und Systemsicherheit durch Sitzungsverwaltung und Zugriffsschutz (Art. 6 Abs. 1 lit. b und lit. f DSGVO)
• Fehleranalyse und Systemüberwachung zur Gewährleistung der Plattformstabilität (Art. 6 Abs. 1 lit. f DSGVO)
• Nutzerverhalten und Nutzungsanalyse zur Verbesserung der Plattform, Optimierung der Funktionalität und Identifikation von Systemfehlern (Art. 6 Abs. 1 lit. a DSGVO – Einwilligung)
• Erfüllung gesetzlicher Pflichten, insbesondere handels- und steuerrechtliche Aufbewahrung (Art. 6 Abs. 1 lit. c DSGVO)
• Geschäftskommunikation über Support- und Servicekanäle (Art. 6 Abs. 1 lit. b DSGVO)

Sofern wir eine Einwilligung einholen, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

5. Empfänger und Auftragsverarbeiter

Zur technischen Bereitstellung der Plattform setzen wir folgende Dienstleister ein:

5.1 Railway (Hosting der Anwendung in der EU – Amsterdam)

Anbieter: Railway Corporation, USA
Zweck: Hosting der Frontend-Webanwendung und ggf. dazugehöriger Backend-Dienste

Unsere Anwendung wird in einer von Railway bereitgestellten EU-Region betrieben („EU West / Amsterdam“, Niederlande). In dieser Region werden die von der Anwendung verarbeiteten Daten (einschließlich IP-Adressen, Protokolldaten und Inhalte von API-Anfragen) auf Infrastruktur eines großen Cloud-Anbieters gespeichert und verarbeitet. Railway stellt eine Plattform-as-a-Service-Lösung bereit und schließt mit seinen Kunden ein Data Processing Addendum (DPA), das Standardvertragsklauseln (SCC) für Datentransfers in Drittländer enthält. docs.railway

Art der Verarbeitung:

• Technische Bereitstellung und Betrieb der Plattform
• Ausführung von Code (Container/Builds)
• Lastverteilung, Skalierung und grundlegendes Monitoring

Drittlandbezug: Railway ist ein US-Unternehmen. Auch wenn die Datenverarbeitung in einer EU-Region erfolgt, kann ein Zugriff aus den USA rechtlich nicht vollständig ausgeschlossen werden. Die Absicherung erfolgt über Standardvertragsklauseln gemäß Art. 46 DSGVO und ergänzende technische und organisatorische Maßnahmen (z.B. Verschlüsselung, Zugriffskontrollen). railway

Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitungsvertrag) in Verbindung mit Art. 46 DSGVO (SCC).

5.2 Turso (Datenbank-Hosting auf AWS in Irland)

Anbieter: Turso Tech, Inc., 2093 Philadelphia Pike, #6336, Claymont, Delaware 19703, USA
Zweck: Datenbank-Hosting (libSQL/SQLite) für Anwendungsdaten

Die von unserer Plattform genutzte Datenbank wird über Turso auf Infrastruktur in Rechenzentren von Amazon Web Services (AWS) in der Europäischen Union betrieben, insbesondere in der Region Irland (eu-west-1). AWS bietet hierfür umfangreiche Sicherheits- und Compliance-Maßnahmen für die DSGVO-konforme Verarbeitung personenbezogener Daten. aws.amazon

Datentypen:

• Nutzerdaten (z.B. Name, E-Mail, Rollen)
• Terminal- und Gerätestammdaten
• Verkaufs- und Transaktionsdaten
• System- und Fehlerprotokolle

Art der Verarbeitung:

• Speicherung und Verwaltung der Anwendungsdaten
• Replikation und Skalierung
• Absicherung der Daten mittels Verschlüsselung in Transit (TLS) und at Rest (z.B. durch AWS-Verschlüsselungsfunktionen) aws.amazon

Drittlandbezug:
Die Daten werden zwar in einem EU-Rechenzentrum gespeichert, Turso ist jedoch ein US-Unternehmen. Ein (theoretischer) Zugriff durch US-Behörden kann deshalb nicht vollständig ausgeschlossen werden. Dies stellt einen Drittlandtransfer im Sinne der Art. 44 ff. DSGVO dar.

Schutzmaßnahmen:

• Abschluss eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO
• Verwendung von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO
• Einsatz von Verschlüsselung und Zugriffskontrollen auf Infrastruktur-Ebene (über AWS)
• Durchführung eines Transfer Impact Assessments (TIA), um das Schutzniveau zu bewerten

Rechtsgrundlage: Art. 28 DSGVO i.V.m. Art. 46 DSGVO.

5.3 PostHog EU Cloud (Analyse und Tracking)

Anbieter: PostHog B.V., Niederlande
Zweck: Analyse von Nutzerverhalten und Ereignissen zur Verbesserung der Plattform

Wir verwenden PostHog Cloud EU, eine eigenständige Instanz von PostHog, die auf Infrastruktur in der Europäischen Union betrieben wird. Nach Angaben des Anbieters wird PostHog Cloud EU in der AWS-Region eu-central-1 (Frankfurt am Main, Deutschland) gehostet, sodass alle Ereignisdaten und Nutzerinformationen innerhalb der EU verarbeitet werden. posthog

Art der Verarbeitung:

• Erfassung von Ereignissen und Interaktionen (z.B. Seitenaufrufe, Klicks, Nutzung einzelner Funktionen)
• Speicherung von Ereignissen mit Zeitstempel
• Erstellung aggregierter Auswertungen

Datenumfang bei Opt-in (mit Einwilligung):

Bei erteilter Einwilligung werden insbesondere folgende Daten an PostHog übermittelt:

• E-Mail-Adresse des Nutzers
• Name des Nutzers
• Benutzer-ID aus der Plattform
• Interaktionen und Ereignisse (z.B. welche Seiten aufgerufen, welche Funktionen genutzt wurden)
• Geräteinformationen (Browsertyp, Betriebssystem)
• Zeitstempel der Aktivitäten

Datenumfang bei Opt-out (ohne Einwilligung):

Wenn keine Einwilligung erteilt oder eine Einwilligung widerrufen wird, erfolgt entweder keine Übermittlung an PostHog oder nur eine solche, bei der keine personenbezogene Zuordnung mehr möglich ist (z.B. rein aggregierte Daten).

Weitere Einschränkungen:

PostHog Cloud EU wird von uns so konfiguriert, dass:

• keine Session Replays oder Bildschirmaufnahmen stattfinden,
• keine Tastatureingaben oder Inhalte von Formularfeldern mitgeschnitten werden,
• kein Tracking über externe Websites hinweg erfolgt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Auftragsverarbeitung: Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO mit PostHog. Weitere Informationen zur DSGVO-Compliance finden sich in der Dokumentation von PostHog Cloud EU. posthog

5.4 Software-Komponenten

Die Plattform nutzt die Open-Source-Bibliothek Better Auth für die Authentifizierung. Diese Bibliothek wird in unserer eigenen Infrastruktur betrieben und führt zu keinem zusätzlichen externen Datentransfer.

Mit allen externen Dienstleistern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

6. Drittstaatentransfers

Personenbezogene Daten können im Rahmen der Nutzung externer Dienstleister in folgende Drittländer übermittelt werden oder dort einem potenziellen Zugriff unterliegen:

• USA (Railway): US-Anbieter, Betrieb der Anwendung in einer EU-Region (Amsterdam). Drittlandtransfer abgesichert über Standardvertragsklauseln (SCC) und zusätzliche technische Maßnahmen. getdeploying
• USA (Turso): US-Anbieter, Datenhosting in EU-Rechenzentren von AWS (u.a. Irland). Drittlandtransfer über SCC und ergänzende Maßnahmen abgesichert. aws.amazon

Details zu den jeweils verwendeten Schutzmechanismen (Standardvertragsklauseln, technische/organisatorische Maßnahmen, Transfer Impact Assessments) stellen wir auf Anfrage zur Verfügung.

Für PostHog Cloud EU ist nach Angaben des Anbieters keine Übermittlung personenbezogener Daten in Drittländer vorgesehen, da sämtliche Verarbeitung innerhalb der EU stattfindet. posthog

7. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die Zwecke der Verarbeitung erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Sitzungsdaten: Löschung bei Logout oder nach Ablauf definierter Session-Timeouts
• Transaktions- und Terminaldaten: Für die Dauer der Geschäftsbeziehung sowie nach den handels- und steuerrechtlichen Aufbewahrungsfristen (in der Regel 6–10 Jahre)
• System-Logs: Löschung oder Anonymisierung in der Regel nach spätestens 12 Monaten
• PostHog-Tracking-Daten: Speicherung entsprechend der von uns gewählten Konfiguration innerhalb von PostHog Cloud EU (z.B. 90 Tage oder länger, sofern notwendig und zulässig) posthog

8. Cookies und lokale Speicherung

8.1 Technisch notwendige Cookies

Wir setzen technisch notwendige Cookies und vergleichbare Technologien ein, um:

• Anmeldungen und Sitzungen aufrechtzuerhalten (Authentifizierungs-Cookies)
• den Zustand der Benutzeroberfläche (z.B. Sidebar geöffnet/geschlossen) zu speichern
• Anzeigepräferenzen (z.B. Theme, Sprache) lokal zu speichern

Diese Cookies sind für den Betrieb der Plattform erforderlich und beruhen auf Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 82 ePrivacy-Richtlinie.

8.2 Analyse- und Tracking-Cookies (PostHog)

Für Analysezwecke setzen wir – nach Einwilligung – ein Tracking-Cookie von PostHog Cloud EU ein, das:

• ein Session-Token
• und Zeitstempel von Interaktionen

speichert und bei Opt-in mit der Nutzer-ID verknüpft sein kann. Ohne Einwilligung wird PostHog nicht geladen und es werden keine entsprechenden Cookies gesetzt.

8.3 Marketing- und weitere Cookies

Wir verwenden keine Marketing-, Retargeting- oder Social-Media-Cookies.

9. Cookie-Banner und Consent-Management

Beim ersten Besuch der Plattform werden Sie durch einen Cookie-Banner über den Einsatz von technisch notwendigen und optionalen Analyse-Cookies informiert. Im Banner können Sie:

• Analyse-Cookies (PostHog) akzeptieren oder ablehnen
• Ihre Auswahl speichern

Sie können Ihre Einwilligung jederzeit in den Einstellungen der Plattform ändern. Eine erteilte oder verweigerte Einwilligung wird protokolliert und bei zukünftigen Besuchen beachtet.

10. Bereitstellungspflicht

Für die Bereitstellung unserer B2B-Plattform ist es erforderlich, bestimmte personenbezogene Daten zu erfassen (z.B. Name, E-Mail-Adresse zur Registrierung von Nutzerkonten). Ohne diese Daten kann kein Nutzerkonto angelegt werden. Die Verwendung von Analyse-Tools wie PostHog ist freiwillig und nicht Voraussetzung für die Nutzung der Plattform.

11. Automatisierte Entscheidungen

Wir setzen keine ausschließlich automatisierten Entscheidungsfindungen im Sinne von Art. 22 DSGVO ein, die rechtliche Wirkungen entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

12. Datensicherheit

Wir haben geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umgesetzt, darunter:

• Rollen- und berechtigungsbasierte Zugriffskonzepte
• Verschlüsselte Datenübertragung per TLS/HTTPS
• Regelmäßige Überprüfung und Aktualisierung von Sicherheitsmaßnahmen
• Sicheres Passwort- und Authentifizierungsmanagement
• Nutzung der Sicherheitsfunktionen der von uns eingesetzten Infrastruktur-Anbieter (z.B. AWS für Turso, Cloud-Infrastruktur von Railway und PostHog Cloud EU) aws.amazon

13. Betroffenenrechte

Betroffene haben im Rahmen der geltenden Datenschutzgesetze folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (Art. 21 DSGVO)
• Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte können Sie sich jederzeit an die in Abschnitt 1 genannten Kontaktdaten wenden. Zudem haben Sie das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen (Art. 77 DSGVO).

Wenn Sie Ihre Einwilligung in das Tracking durch PostHog widerrufen oder die dort gespeicherten Daten löschen lassen möchten, kontaktieren Sie bitte unseren Support. Wir veranlassen dann, dass keine weiteren Tracking-Daten mehr erhoben werden und bereits gespeicherte Daten – im Rahmen der technischen Möglichkeiten und gesetzlichen Vorgaben – gelöscht oder anonymisiert werden.

14. Aktualisierungen

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage oder des Dienstes anzupassen. Die jeweils aktuelle Fassung ist jederzeit auf dieser Seite abrufbar.