Version 2.1 · Stand: 24. Mai 2026
Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 7 DSGVO ist:
NEX NEXT EXPERIENCE LLP 5307 Victoria Drive #458 Vancouver, BC, V5P 3V7, Kanada
Eingetragen im British Columbia LLP-Register unter LL03158.
Kontakt allgemein: admin@nex.company Kontakt für Datenschutzanfragen: dataprivacy@nex.company
Hinweis zur EU-Vertretung: Als nicht in der EU niedergelassener Verantwortlicher nehmen wir Datenschutzanfragen von betroffenen Personen aus der EU jederzeit unter den oben genannten E-Mail-Adressen entgegen und beantworten sie binnen der gesetzlichen Frist von einem Monat (Art. 12(3) DSGVO). Sollten Sie einen schriftlichen Postweg bevorzugen, nutzen Sie bitte die obige kanadische Anschrift mit dem Vermerk „Datenschutz / Data Protection".
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, App und unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt in der Regel nur nach Einwilligung des Nutzers, es sei denn, eine vorherige Einholung der Einwilligung ist aus tatsächlichen Gründen nicht möglich und die Verarbeitung ist gesetzlich gestattet.
Daten: E-Mail-Adresse, gehashtes Passwort (bcrypt), Name, optionale Telefonnummer, Spracheinstellung, Abonnement-Stufe, Erstellungsdatum, letzter Login, Geräte-ID, Anzahl fehlgeschlagener Login-Versuche, ggf. 2FA-Secret (Fernet-verschlüsselt), Wiederherstellungscodes, FCM-Push-Token, Firmenzugehörigkeit. Zweck: Bereitstellung des Nutzerkontos, Authentifizierung, Schutz vor unberechtigtem Zugriff. Rechtsgrundlage: Art. 6(1)(b); zusätzlich Art. 6(1)(f) für die Sicherheitslogs. Speicherdauer: Bis zur Kontolöschung durch den Nutzer; danach Entfernung aus Backup-Snapshots innerhalb von 30 Tagen.
Daten: Aktuelle GPS-Koordinate, Zeitstempel, Geschwindigkeit, Genauigkeit. Zweck: Live-Routenführung, Routenverlauf, SOS-Notruf, Driver-Score-Auswertung. Rechtsgrundlage: Art. 6(1)(b); Art. 6(1)(d) im Notfall. Speicherdauer: Tier-abhängig — Free 30 Tage, Lite 60, Pro 90, Solo 180, Business/Enterprise 365; Soft-Delete am Stichtag, Hard-Delete nach 30 Tagen.
Daten: Eingegebene Stopps, optimierte Reihenfolge, Abschluss-Status, Fahrtdauer. Zweck: Routenoptimierung und Routenverlauf. Rechtsgrundlage: Art. 6(1)(b). Speicherdauer: Bis zur Kontolöschung; gemeinsam mit dem GPS-Cleanup gelöscht.
Daten: Frachtfotos, Übergabe-Unterschriften, ePOD-/eCMR-Belege, Sendungs-Metadaten. Zweck: Lieferdokumentation, Schadensnachweis, gesetzliche Aufbewahrung. Rechtsgrundlage: Art. 6(1)(b) und Art. 6(1)(c) (HGB §257, AO §147). Speicherdauer: 10 Jahre ab Ende des Kalenderjahres der Erstellung. Speicherort: Cloudflare R2 mit EU-Datenresidenz; Zugriff ausschließlich über signierte URLs mit 60-minütiger Gültigkeit.
Daten: Fahrer-, Fahrzeug- und Strecken-Metadaten pro Schicht. Zweck: Lohnsteuerliche und buchhalterische Dokumentation. Rechtsgrundlage: Art. 6(1)(b) und Art. 6(1)(c) (R 8.1(9) LStR, GoBD). Speicherdauer: 10 Jahre.
Daten: Transaktions-ID, Datum, Betrag, letzte vier Stellen der Karte, Fahrer-/Fahrzeug-Zuordnung. Die vollständige Kartennummer wird nicht gespeichert. Zweck: Spesenabrechnung, Kostenkontrolle. Rechtsgrundlage: Art. 6(1)(b) und (c). Speicherdauer: 10 Jahre.
Daten: Nachrichten zwischen Fahrer und Firmen-Admin sowie zwischen Fahrer und NexStops-Support. Zweck: Vertragsabwicklung, Support, Auftragskommunikation. Rechtsgrundlage: Art. 6(1)(b). Speicherdauer: 12 Monate nach letzter Aktivität.
Daten: Notfall-Auslösungs-Zeitstempel, GPS-Koordinate, Schweregrad, Benachrichtigungs-Status, Notfallkontakte (Name, Telefon, E-Mail). Zweck: Lebensrettung, schnelle Benachrichtigung der Kontakte und Admins. Rechtsgrundlage: Art. 6(1)(d) und Art. 6(1)(b). Speicherdauer: 24 Monate als Audit-Trail, danach Anonymisierung.
Daten: Stripe-Customer-ID, Abonnement-Status, Rechnungsdaten, letzte vier Stellen der Karte. Vollständige Kartennummern werden niemals von uns gespeichert — sie werden direkt von Stripe erfasst. Zweck: Abonnement-Abrechnung, Rechnungslegung. Rechtsgrundlage: Art. 6(1)(b) und Art. 6(1)(c). Speicherdauer: Rechnungen 10 Jahre (HGB §257).
Daten: Vom Nutzer veröffentlichte Fracht-/Fahrzeuganzeigen, Preise, Standorte, Kontaktdaten. Zweck: Veröffentlichung und Vermittlung von Fracht- und Fahrzeug-Angeboten. Rechtsgrundlage: Art. 6(1)(a) (Einwilligung — aktive Veröffentlichung durch den Nutzer). Speicherdauer: Bis zur Löschung durch den Nutzer oder 90 Tage nach Inaktivität.
Daten: Anonymes Geräte-Token von Firebase Cloud Messaging. Zweck: Zustellung kritischer System- und Notfall-Benachrichtigungen; auf Wunsch auch Marketing-Push. Rechtsgrundlage: Art. 6(1)(f) für systemkritische Benachrichtigungen; Art. 6(1)(a) für Marketing-Push. Speicherdauer: Bis zur Deaktivierung der Push-Benachrichtigungen oder zur Kontolöschung.
Daten: Beschleunigung, Bremsung, Geschwindigkeits-Compliance, Pünktlichkeit (aggregiert aus den oben genannten GPS-Daten). Zweck: Schulungs-Identifikation und Sicherheits-Monitoring durch den Firmen-Admin. Hinweis nach Art. 22 DSGVO: Die Bewertung wird ausschließlich intern verwendet. Sie hat keine automatische rechtliche Wirkung auf den Fahrer. Eine natürliche Person (der Firmen-Admin) entscheidet auf Basis der Bewertung über etwaige Maßnahmen. Recht auf menschliche Überprüfung: Sie können jederzeit eine manuelle Überprüfung Ihres Scores verlangen, Ihren Standpunkt darlegen und der Bewertung widersprechen (Art. 21 DSGVO). Rechtsgrundlage: Art. 6(1)(f). Speicherdauer: 24 Monate, danach Anonymisierung.
Der Algorithmus empfiehlt eine optimierte Stopp-Reihenfolge. Diese Funktion ist rein beratend und unverbindlich — der Fahrer kann jederzeit davon abweichen. Es liegt keine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO vor.
Daten: Request-IDs, anonymisierte User-IDs, Fehler-Stacktraces. PII-Payloads werden vor der Übermittlung an Sentry gefiltert. Zweck: Betriebssicherheit, Fehlerdiagnose, SOS-Eskalation an den Admin-Pool. Rechtsgrundlage: Art. 6(1)(f). Speicherdauer: 30 Tage roh, 90 Tage aggregiert.
Daten: IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Statuscode, User-Agent, Referrer. Zweck: Betriebssicherheit, Missbrauchs- und Angriffserkennung. Rechtsgrundlage: Art. 6(1)(f). Speicherdauer: 30 Tage.
Wir geben Ihre Daten an die folgenden Auftragsverarbeiter weiter, jeweils auf Basis eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO):
| Empfänger | Funktion | Standort | Übermittlungs-Garantie |
|---|---|---|---|
| Stripe Inc. / Stripe Payments Europe Ltd. | Zahlungsabwicklung | US / IE | EU-US Data Privacy Framework + SCC |
| Sendinblue SAS (Brevo) | Transaktionale E-Mail | FR | EU-interne Verarbeitung |
| Mailgun Technologies Inc. | Sekundärer E-Mail-Gateway | US | SCC |
| Twilio Inc. / Twilio Ireland Ltd. | SMS (Notfall, Monitoring) | US / IE | SCC + EU-Subunternehmer |
| Google LLC (Firebase Cloud Messaging) | Push-Benachrichtigungen | US | EU-US Data Privacy Framework |
| Functional Software Inc. (Sentry) / Sentry GmbH | Fehlerverfolgung | US / AT | SCC + EU-Subunternehmer |
| Cloudflare, Inc. (R2) | Datei-Speicherung | Global Edge (EU-Datenresidenz) | SCC + EU-Datenresidenz |
| Contabo GmbH | Server-Hosting | Rechenzentrum: Lauterbourg, Frankreich (EU) | EU-interne Verarbeitung |
Eine Übermittlung an sonstige Dritte erfolgt nicht, sofern wir nicht rechtlich dazu verpflichtet sind (z. B. behördliche Anordnung).
Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA (Stripe, Mailgun, Twilio Inc., Google/Firebase, Sentry Inc., Cloudflare). Die Übermittlung erfolgt jeweils auf einer der folgenden Grundlagen: - EU-US Data Privacy Framework (Stripe, Google/Firebase): zertifizierte Empfänger gewährleisten ein der EU vergleichbares Schutzniveau. - Standardvertragsklauseln (SCC) der EU-Kommission (Mailgun, Twilio, Sentry, Cloudflare): vertragliche Verpflichtung zur Einhaltung europäischer Datenschutzstandards.
Eine aktuelle Liste der Auftragsverarbeiter und ihrer Garantien stellen wir auf Anfrage bereit (dataprivacy@nex.company).
| Datenkategorie | Speicherdauer |
|---|---|
| Kontodaten | Bis zur Löschung + 30 Tage Backup |
| GPS-Positionen | 30/60/90/180/365 Tage (tier-abhängig) + 30 Tage Hard-Delete |
| Routendaten | Bis zur Kontolöschung |
| Cargo-Dokumente (ePOD/eCMR) | 10 Jahre (HGB §257, AO §147) |
| Fahrtenbuch | 10 Jahre (GoBD) |
| Tankkarten-Daten | 10 Jahre (Buchhaltung) |
| Chat-Nachrichten | 12 Monate nach letzter Aktivität |
| SOS-Events | 24 Monate, danach Anonymisierung |
| Zahlungs-/Rechnungsdaten | 10 Jahre (HGB §257) |
| Marketplace-Anzeigen | Bis zur Löschung oder 90 Tage Inaktivität |
| Push-Token | Bis zur Deaktivierung |
| Driver Score | 24 Monate |
| Monitoring-/Fehlerlogs | 30 Tage roh, 90 Tage aggregiert |
| Server-Logs | 30 Tage |
Sie haben uns gegenüber als Verantwortlichem folgende Rechte: - Auskunftsrecht (Art. 15 DSGVO) - Recht auf Berichtigung (Art. 16 DSGVO) - Recht auf Löschung (Art. 17 DSGVO) — soweit keine gesetzliche Aufbewahrungspflicht entgegensteht - Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) - Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — JSON-Export verfügbar - Widerspruchsrecht (Art. 21 DSGVO) — einschließlich des Driver Scores - Recht auf Widerruf der Einwilligung (Art. 7(3) DSGVO) — jederzeit, wirksam für die Zukunft; die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt - Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig in Deutschland: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Straße 153, 53117 Bonn. Nutzer in anderen EU-Mitgliedstaaten können sich an ihre jeweilige Landesdatenschutzbehörde wenden.
Zur Geltendmachung dieser Rechte wenden Sie sich an dataprivacy@nex.company.
| Cookie | Zweck | Speicherdauer | Rechtsgrundlage |
|---|---|---|---|
| Session-Cookie | Anmelde-Status | Sitzungsende | Art. 6(1)(b) — erforderlich |
_ga, _gid, _gat (Google Analytics 4) |
Reichweitenmessung | bis 24 Monate | Art. 6(1)(a) — Einwilligung |
| Stripe.js | Sichere Zahlungsabwicklung | nur im Checkout aktiv | Art. 6(1)(b) |
| Consent-Cookie | Speichert Ihre Cookie-Auswahl | 12 Monate | TTDSG §25(2) Nr. 2 |
Analyse-Cookies werden nur mit Ihrer ausdrücklichen Einwilligung über unser Cookie-Banner geladen. Sie können Ihre Auswahl jederzeit ändern oder widerrufen über den Link „Cookie-Einstellungen" am Seitenende.
Unsere Server stehen im Rechenzentrum unseres Hosting-Anbieters Contabo GmbH in Lauterbourg, Grand Est, Frankreich (PLZ 67630). Die Verarbeitung erfolgt damit innerhalb der Europäischen Union. Es findet keine Übermittlung Ihrer Account-, Routen- oder Cargo-Daten in Drittländer statt, mit Ausnahme der unter Punkt 4 und 5 genannten spezifischen Auftragsverarbeiter.
Unser Dienst richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Sofern eine Einwilligung einer Person unter 16 Jahren erforderlich ist, ist sie gemäß Art. 8 DSGVO durch den Inhaber der elterlichen Verantwortung zu erteilen oder zu autorisieren.
Wir treffen keine automatisierten Entscheidungen mit rechtlicher Wirkung für Sie. Die Routen-Optimierung ist rein beratend; der Driver Score wird ausschließlich intern für Schulungs-Identifikation und Sicherheits-Monitoring verwendet — die Entscheidung über konkrete Maßnahmen trifft stets ein menschlicher Firmen-Admin. Näheres siehe Punkte 3.12 und 3.13.
Wir behalten uns vor, diese Datenschutzerklärung an geänderte Rechtslagen oder Änderungen unserer Verarbeitungs-Praktiken anzupassen. Die jeweils aktuelle Version ist unter https://nexstops.com/privacy abrufbar. Wesentliche Änderungen werden wir Ihnen per E-Mail und über die App-Benachrichtigung mindestens 30 Tage vor Inkrafttreten ankündigen.
E-Mail: dataprivacy@nex.company Post: NEX NEXT EXPERIENCE LLP, Datenschutz, 5307 Victoria Drive #458, Vancouver, BC, V5P 3V7, Kanada