Datenschutzerklärung

• Kontaktdaten von Ansprechpartnern: Name, Unternehmen, Funktion, Anschrift, Telefonnummer, E-Mail-Adresse und Kommunikationsinhalte.
• Benutzer- und Kontodaten: Name, E-Mail-Adresse, Rolle, Berechtigungen, Authentifizierungsstatus, Sitzungsdaten, MFA-Informationen und Kontoereignisse.
• Vertrags- und Abrechnungsdaten: Tarif, Laufzeit, Rechnungen, Zahlstatus, steuerlich relevante Angaben und Buchungsinformationen.
• Plattformdaten im Auftrag: Kundenstammdaten, Mitarbeiterdaten, Termin- und Einsatzdaten, Dokumente, Nachrichten, Signaturen, Leistungsnachweise, Rechnungsdaten und Organisationsdaten des Unternehmenskunden.
• Besondere Kategorien personenbezogener Daten: Je nach Nutzung können Gesundheits- oder Sozialdaten, Pflegegrade, leistungsbezogene Informationen oder betreuungsrelevante Angaben verarbeitet werden. Die Rechtsgrundlage hierfür bestimmt der Unternehmenskunde als Verantwortlicher.
• Technische Daten: IP-Adresse, Geräte- und Browserinformationen, Logdaten, Zeitstempel, Sicherheitsereignisse, Fehlerdaten, API-Aufrufe und Audit-Logs.

Personenbezogene Daten werden verarbeitet zur Bereitstellung der Website und Plattform, zur Vertragsanbahnung und -durchführung, zur Kundenbetreuung, zur Abrechnung, zur Erfüllung gesetzlicher Pflichten, zur IT-Sicherheit, zur Missbrauchserkennung, zur Durchsetzung vertraglicher Rechte und zur Dokumentation sicherheitsrelevanter Vorgänge.

Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b DSGVO für Vertrag und vorvertragliche Maßnahmen, Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Pflichten, Art. 6 Abs. 1 lit. f DSGVO für berechtigte Interessen an sicherem, stabilem und nachvollziehbarem Plattformbetrieb sowie Art. 6 Abs. 1 lit. a DSGVO bei freiwilligen Einwilligungen.

Bei Auftragsverarbeitung verarbeitet Nordiqo personenbezogene Daten auf Grundlage des Vertrags mit dem Kunden, des Auftragsverarbeitungsvertrags und dokumentierter Weisungen des Kunden. Rechtsgrundlagen gegenüber betroffenen Personen sind vom Kunden festzulegen.

Die Plattform und Website werden unter Einbindung technischer Dienstleister betrieben. Nach aktuellem Stand werden insbesondere netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe, Deutschland, für Hosting/Infrastruktur und Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992, für Datenbank-, Authentifizierungs- und Backenddienste eingesetzt. Der Datenstandort ist nach aktueller Konfiguration Deutschland beziehungsweise Europäische Union, soweit in der Leistungsbeschreibung nicht anders angegeben.

Empfänger personenbezogener Daten können außerdem Support-, IT-Sicherheits-, Kommunikations-, Zahlungs-, Steuerberatungs-, Rechtsberatungs- und Behördenempfänger sein, soweit dies für die genannten Zwecke erforderlich oder gesetzlich vorgeschrieben ist.

Drittlandübermittlungen erfolgen nur, wenn ein Angemessenheitsbeschluss, Standardvertragsklauseln, zusätzliche Schutzmaßnahmen oder eine sonstige Rechtsgrundlage nach Art. 44 ff. DSGVO vorliegen.

Die Plattform verwendet technisch notwendige Cookies und vergleichbare Speichertechnologien für Authentifizierung, Sitzungsverwaltung, Sicherheitsfunktionen, Nutzerpräferenzen und Consent-Protokollierung. Rechtsgrundlage für den Zugriff auf Endeinrichtungen ist § 25 Abs. 2 TDDDG, soweit die Speicherung unbedingt erforderlich ist.

Analyse-, Marketing- oder nicht notwendige Tracking-Technologien werden nur eingesetzt, wenn hierfür eine wirksame Einwilligung nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO vorliegt.

Personenbezogene Daten werden gelöscht oder anonymisiert, sobald sie für die Zwecke der Verarbeitung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen entgegenstehen.

• Vertrags- und Abrechnungsunterlagen werden regelmäßig bis zu zehn Jahre nach handels- und steuerrechtlichen Vorgaben aufbewahrt.
• Support- und Kommunikationsdaten werden grundsätzlich für die Dauer der Kundenbeziehung und anschließend nach Maßgabe gesetzlicher Verjährungsfristen gespeichert.
• Sicherheits- und Audit-Logs werden risikobasiert gespeichert, regelmäßig jedoch nicht länger als für Nachweis, Sicherheit und Missbrauchsprävention erforderlich.
• Kundendaten in Auftragsverarbeitung werden nach Vertragsende nach Maßgabe des AVV und der Datenlöschrichtlinie zurückgegeben, exportiert, gelöscht oder anonymisiert.

Betroffene Personen haben nach Maßgabe der DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Soweit Nordiqo Daten ausschließlich als Auftragsverarbeiter verarbeitet, leitet Nordiqo Betroffenenanfragen grundsätzlich an den zuständigen Unternehmenskunden weiter oder unterstützt diesen nach Maßgabe des AVV. Direkte Löschungen oder Auskünfte zu Kundendaten erfolgen nicht ohne Weisung oder gesetzliche Pflicht.

Betroffene Personen haben außerdem das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen. Zuständig für Nordiqo ist nach Sitz die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover.

Nordiqo trifft angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO, insbesondere Transportverschlüsselung, rollenbasierte Berechtigungen, Zugriffsbeschränkungen, Protokollierung, Mandantentrennung, sichere Authentifizierung, Backup-Prozesse und regelmäßige Überprüfung sicherheitsrelevanter Maßnahmen.

Eine absolute Sicherheit elektronischer Kommunikation und Datenverarbeitung kann technisch nicht garantiert werden. Sicherheitsmaßnahmen werden unter Berücksichtigung von Stand der Technik, Implementierungskosten, Art, Umfang, Kontext, Zweck und Risiko fortlaufend weiterentwickelt.

Diese Datenschutzerklärung wird angepasst, wenn sich Datenverarbeitungen, eingesetzte Dienstleister, rechtliche Anforderungen oder Plattformfunktionen wesentlich ändern. Maßgeblich ist die jeweils veröffentlichte Fassung.