NextyaZur App →

Datenschutzerklärung

Stand: April 2026

Diese Datenschutzerklärung wird regelmäßig durch einen Datenschutzbeauftragten geprüft und gegebenenfalls ergänzt.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist Samuel Zimmermann, Trappentreustr. 43, 80339 München. Kontakt: support@nextya.de.

2. Welche Daten verarbeiten wir?

Bei der Nutzung von NEXTYA werden folgende Daten verarbeitet:

  • Kontodaten (E-Mail, Name) zur Authentifizierung
  • Klientendaten (Name, Geburtsdatum, Aktenzeichen) zur Berichtserstellung
  • Dokumentationsinhalte und Berichtstexte
  • PDF-Dateien, die zum Fachassistenten hochgeladen werden (zur KI-Analyse)
  • Klientendaten und Berichtsinhalte, die optional als Kontext im Fachassistenten bereitgestellt werden
  • Nutzungsprotokolle (Audit-Log) zur Nachvollziehbarkeit

3. Speicherort und Sicherheit

Alle Daten werden ausschließlich in der Europäischen Union gespeichert und verarbeitet:

  • Datenbank: Supabase, Frankfurt (eu-central-1)
  • KI-Verarbeitung: AWS Bedrock, Frankfurt (eu-central-1)
  • Verschlüsselung: TLS bei Übertragung, AES-256 im Ruhezustand

4. KI-Verarbeitung

NEXTYA nutzt KI-Modelle (Claude von Anthropic, bereitgestellt über AWS Bedrock) für die automatisierte Berichtserstellung, die optionale Berichtsanalyse (Qualitäts-, Verlaufs- und Neutralitätsprüfung) sowie den Fachassistenten. Im Fachassistenten können PDF-Dateien zur Analyse hochgeladen werden. Optional kann ein Klient ausgewählt werden, um die KI-Antworten auf dessen Berichtsdaten zu beziehen (Klient-Kontext). Diese Daten werden nur für die aktuelle Anfrage an die KI übermittelt und nicht gespeichert. Die Antworten des Fachassistenten und die Ergebnisse der Berichtsanalyse sind Arbeitshilfen und stellen keine Rechtsberatung dar. Dabei gilt:

  • Daten werden nicht zum Training von KI-Modellen verwendet
  • Die Verarbeitung erfolgt ausschließlich in Frankfurt (EU)
  • KI-generierte Inhalte werden als solche gekennzeichnet
  • Jeder KI-generierte Berichtsabschnitt muss von der Fachkraft bestätigt werden
  • Ergebnisse der Berichtsanalyse werden nicht dauerhaft gespeichert (ephemer)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die KI-Verarbeitung ist für die Erbringung der vereinbarten Leistung (Berichtserstellung, Berichtsanalyse und fachliche Unterstützung) erforderlich.

Auftragsverarbeitung: Mit AWS (Amazon Web Services EMEA SARL) besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Anthropic (Hersteller von Claude) ist als Sub-Auftragsverarbeiter eingebunden.

5. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Wenden Sie sich dazu an support@nextya.de.

Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de

6. Aufbewahrung und Backups

Daten werden so lange gespeichert, wie Ihr Konto aktiv ist. Nach Kontolöschung werden alle personenbezogenen Daten innerhalb von 30 Tagen aus den aktiven Systemen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Datenbank-Backups: Zur Sicherstellung der Datenintegrität werden täglich automatisierte Sicherungskopien der Datenbank erstellt. Diese Backups werden komprimiert auf einem gesicherten Server in Deutschland (Hetzner Online GmbH) gespeichert und nach maximal 7 Tagen automatisch gelöscht. Gelöschte Daten können in bestehenden Backups bis zu deren Ablauf verbleiben, werden jedoch nicht aktiv genutzt oder wiederhergestellt. Die Backups verbleiben ausschließlich in Deutschland.

7. Unterauftragsverarbeiter

Folgende Dienstleister werden als Unterauftragsverarbeiter eingesetzt:

  • Supabase Inc. (Datenbank, Authentifizierung) — Standort: Frankfurt, eu-central-1
  • Amazon Web Services EMEA SARL (KI-Verarbeitung via AWS Bedrock) — Standort: Frankfurt (eu-central-1)
  • Anthropic PBC (KI-Modell Claude, Sub-Auftragsverarbeiter von AWS) — Verarbeitung in Frankfurt
  • Resend Inc. (transaktionale E-Mails, Versand) — Standort: Irland (eu-west-1), DPA gemäß Art. 28 DSGVO
  • Heinlein Hosting GmbH / mailbox.org (Support-E-Mail-Postfach für support@nextya.de, Empfang und Versand) — Standort: Deutschland, AVV gemäß Art. 28 DSGVO
  • Stripe Payments Europe, Ltd. (Zahlungsabwicklung) — Standort: Dublin, Irland, DPA gemäß Art. 28 DSGVO
  • Cloudflare, Inc. (Reverse Proxy, CDN, SSL-Terminierung, DNS, Pages-Hosting) — Standort: USA (DPF-zertifiziert), globale PoPs; DPA gemäß Art. 28 DSGVO (self-executing, v6.4 vom 03.04.2026), TIA durchgeführt
  • Better Stack s.r.o. (Uptime-Monitoring — nur Health-Checks auf nextya.de) — Standort: Tschechien (EU), DPA gemäß Art. 28 DSGVO
  • Hetzner Online GmbH (Hosting, Backups) — Standort: Deutschland

Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV) bzw. Data Processing Agreements (DPA) gemäß Art. 28 DSGVO.

Diese Datenschutzerklärung wird regelmäßig durch einen Datenschutzbeauftragten geprüft.