Calliscribe UG (haftungsbeschränkt)

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · elektronischer Abschluss

Version: 2026-04 · Am Dorfanger 4, 12529 Schönefeld · info@calliscribe.de

1. Vertragsparteien

Auftraggeber (Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO): Das jeweilige Unternehmen bzw. die juristische oder natürliche Person, die sich als Unternehmerin oder Unternehmer im Sinne des § 14 BGB für die Dienste der Calliscribe UG (haftungsbeschränkt) registriert und diese nutzt. Die Identität des Auftraggebers ergibt sich aus den zum Zeitpunkt der Registrierung im Kundenkonto hinterlegten Angaben.

Auftragnehmer (Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO): Calliscribe UG (haftungsbeschränkt), Am Dorfanger 4, 12529 Schönefeld, Deutschland (nachfolgend „Calliscribe").

2. Hintergrund und Zweck

Calliscribe stellt dem Auftraggeber eine SaaS-Plattform zur automatisierten Erstellung und zum postalischen Versand individuell gestalteter, handgeschriebener Karten und Briefe zur Verfügung. Im Rahmen dieser Leistungserbringung verarbeitet Calliscribe personenbezogene Daten, die der Auftraggeber übermittelt — insbesondere Empfängeradressen und Briefinhalte.

Dieser AVV regelt den datenschutzrechtlichen Rahmen dieser Verarbeitung gemäß Art. 28 DSGVO. Der Auftraggeber bleibt in Bezug auf die übermittelten Daten alleiniger Verantwortlicher; Calliscribe handelt ausschließlich als Auftragsverarbeiter nach Maßgabe dieses Vertrags und der erteilten Weisungen.

3. Gegenstand der Verarbeitung

Gegenstand und Einzelheiten der Verarbeitung — insbesondere Art, Umfang und Zweck, verarbeitete Datenkategorien sowie betroffene Personengruppen — sind in Anlage 1 zu diesem Vertrag festgelegt.

4. Vertragslaufzeit

Dieser AVV tritt mit elektronischer Bestätigung durch den Auftraggeber in Kraft und ist an die Laufzeit des zugrundeliegenden Hauptvertrags (AGB) gebunden. Er endet automatisch mit Beendigung des Hauptvertrags, ohne dass es einer gesonderten Kündigung bedarf. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

Jede Partei kann diesen AVV aus wichtigem Grund außerordentlich kündigen, insbesondere bei schwerwiegenden oder wiederholten Verstößen gegen datenschutzrechtliche Pflichten, die trotz Abmahnung nicht abgestellt werden.

5. Weisungsrecht des Auftraggebers

Calliscribe verarbeitet personenbezogene Daten des Auftraggebers ausschließlich auf dessen dokumentierte Weisung hin. Weisungen können schriftlich oder per E-Mail erteilt werden; die Nutzung von Plattformfunktionen (z. B. Daten-Upload, Konfiguration von Kampagnen, Auswahl von Versandoptionen) gilt ebenfalls als dokumentierte Weisung im Sinne von Art. 28 Abs. 3 lit. a DSGVO.

Hält Calliscribe eine Weisung für unvereinbar mit datenschutzrechtlichen Vorgaben, wird der Auftraggeber hierüber unverzüglich informiert. Calliscribe ist berechtigt, die Ausführung bis zur schriftlichen Bestätigung oder Änderung der Weisung auszusetzen.

Eine Verarbeitung ohne oder abweichend von Weisungen ist nur zulässig, soweit Calliscribe hierzu durch Unionsrecht oder nationales Recht verpflichtet ist. In diesem Fall erfolgt eine unverzügliche Unterrichtung des Auftraggebers, sofern keine gesetzlichen Mitteilungshindernisse bestehen.

Der Auftraggeber benennt auf Anfrage eine oder mehrere weisungsberechtigte Personen und teilt personelle Änderungen unverzüglich mit.

6. Pflichten von Calliscribe

Calliscribe verpflichtet sich:

  • personenbezogene Daten ausschließlich im Rahmen dieses AVV und dokumentierter Weisungen zu verarbeiten;
  • alle mit der Verarbeitung befassten Mitarbeiterinnen und Mitarbeiter auf Vertraulichkeit zu verpflichten und über die einschlägigen datenschutzrechtlichen Anforderungen zu unterweisen;
  • geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO umzusetzen und regelmäßig zu überprüfen (siehe Anlage 2);
  • den Auftraggeber bei der Wahrung von Betroffenenrechten und bei behördlichen Anfragen zu unterstützen;
  • Datenschutzverletzungen unverzüglich zu melden (siehe Abschnitt 11);
  • nach Vertragsende Daten zu löschen oder zurückzugeben (siehe Abschnitt 13).
7. Technische und organisatorische Maßnahmen (TOM)

Calliscribe hat angemessene technische und organisatorische Maßnahmen zum Schutz der verarbeiteten Daten festgelegt und in Anlage 2 dokumentiert. Die Maßnahmen werden regelmäßig und anlassbezogen überprüft und bei Bedarf angepasst, wobei das bestehende Schutzniveau nicht unterschritten werden darf.

Änderungen, die das Schutzniveau wesentlich beeinflussen, werden dem Auftraggeber in geeigneter Form mitgeteilt.

8. Unterauftragsverarbeiter

Mit Abschluss dieses AVV erteilt der Auftraggeber die allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgelistet; deren Einsatz gilt mit Vertragsabschluss als genehmigt.

Über beabsichtigte Änderungen an der Subprozessorenliste — ob Hinzufügung oder Austausch — wird der Auftraggeber mindestens 30 Tage vorab in Textform informiert. In begründeten Ausnahmefällen (z. B. ungeplanter Ausfall oder Sicherheitsproblem bei einem bestehenden Dienstleister) kann diese Frist angemessen verkürzt werden.

Der Auftraggeber kann einer geplanten Änderung widersprechen, wenn konkrete und begründete Anhaltspunkte vorliegen, dass der neue Subprozessor datenschutzrechtliche Anforderungen nicht erfüllt. Lässt sich der Dienst ohne den betreffenden Subprozessor nicht fortführen, steht dem Auftraggeber ein außerordentliches Kündigungsrecht für den Hauptvertrag zu.

Calliscribe verpflichtet alle Unterauftragsverarbeiter vertraglich zu gleichwertigen Datenschutzpflichten wie in diesem AVV vereinbart. Verarbeitungen in Drittstaaten außerhalb der EU/des EWR erfolgen ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln).

9. Drittlandübermittlungen

Soweit Subprozessoren außerhalb der EU/des EWR eingesetzt werden, stellt Calliscribe sicher, dass ein angemessenes Datenschutzniveau gemäß Art. 44 ff. DSGVO gewährleistet ist — etwa durch einen Angemessenheitsbeschluss der EU-Kommission (z. B. für das Vereinigte Königreich) oder durch EU-Standardvertragsklauseln (z. B. für die USA). Die jeweils anwendbaren Garantien sind in Anlage 3 je Subprozessor ausgewiesen.

10. Unterstützung bei Betroffenenrechten und Behördenanfragen

Calliscribe unterstützt den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei der Bearbeitung von Anfragen betroffener Personen nach Art. 12–22 DSGVO (z. B. Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung).

Wenden sich Betroffene, Aufsichtsbehörden oder sonstige Dritte direkt an Calliscribe, wird der Auftraggeber unverzüglich informiert und das weitere Vorgehen abgestimmt, soweit rechtlich zulässig.

Darüber hinaus unterstützt Calliscribe den Auftraggeber bei der Erfüllung von Pflichten nach Art. 32–36 DSGVO, insbesondere bei der Datenschutz-Folgenabschätzung und der vorherigen Konsultation der Aufsichtsbehörde.

11. Meldung von Datenschutzverletzungen

Calliscribe meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten, die Daten des Auftraggebers betrifft, unverzüglich und ohne schuldhaftes Zögern — in der Regel innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung enthält, soweit verfügbar: Art und Umfang der Verletzung, betroffene Datenkategorien, voraussichtliche Folgen sowie bereits ergriffene oder geplante Abhilfemaßnahmen.

Die Frist zur Meldung gegenüber der zuständigen Aufsichtsbehörde nach Art. 33 DSGVO (72 Stunden) liegt in der Verantwortung des Auftraggebers als Verantwortlichem. Calliscribe unterstützt bei der Erstellung der Meldung nach Maßgabe der vorliegenden Informationen.

12. Kontroll- und Nachweisrechte

Calliscribe stellt dem Auftraggeber auf Anfrage Nachweise zur Einhaltung der datenschutzrechtlichen Pflichten aus diesem AVV zur Verfügung. Der Nachweis erfolgt vorrangig durch Dokumentationen, Auditberichte oder Zertifizierungen; umfangreichere Audits vor Ort sind nach vorheriger Abstimmung und unter Berücksichtigung der Verhältnismäßigkeit zulässig.

13. Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags löscht Calliscribe alle personenbezogenen Daten des Auftraggebers oder stellt sie diesem — nach dessen Wahl — in einem gängigen Format zur Verfügung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Gesetzlich aufbewahrungspflichtige Daten werden für sonstige Zwecke gesperrt und nach Ablauf der Frist gelöscht.

14. Vertraulichkeit

Calliscribe verpflichtet alle Personen, die Zugang zu personenbezogenen Daten des Auftraggebers haben, auf Vertraulichkeit — dauerhaft und über das Ende dieses Vertrags hinaus. Calliscribe gibt Daten des Auftraggebers nicht ohne dessen ausdrückliche Weisung an Dritte weiter, es sei denn, eine gesetzliche Verpflichtung erfordert dies.

15. Haftung

Die datenschutzrechtliche Haftung richtet sich nach Art. 82 DSGVO sowie den Regelungen des Hauptvertrags. Im Verhältnis zwischen den Parteien ist jede Partei für die Verletzungen verantwortlich, die sie zu vertreten hat.

16. Elektronischer Abschluss und Nachweis

Dieser AVV kommt durch aktive elektronische Bestätigung des Auftraggebers zustande — typischerweise durch Setzen einer Checkbox im Rahmen der Registrierung oder bei der ersten Nutzung der Dienste. Einer gesonderten handschriftlichen Unterschrift bedarf es nicht.

Calliscribe dokumentiert den Abschluss unter Angabe von Account-ID, Zeitstempel und der jeweils gültigen AVV-Version. Der Auftraggeber kann diesen AVV jederzeit unter calliscribe.de/legal/avv abrufen und speichern. Wesentliche Änderungen können eine erneute Bestätigung erfordern.

17. Schlussbestimmungen

Änderungen dieses AVV bedürfen der Textform. Sollte eine Bestimmung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht. Gerichtsstand für Streitigkeiten zwischen Unternehmern ist der Sitz von Calliscribe.

Ändert sich die DSGVO oder eine in Bezug genommene Rechtsgrundlage, gelten die Verweise in diesem AVV entsprechend für die jeweiligen Nachfolgeregelungen.

Anlage 1 – Beschreibung der Verarbeitung
1. Gegenstand und Zweck

Calliscribe erbringt für den Auftraggeber Dienstleistungen im Bereich der automatisierten Erstellung und des postalischen Versands individuell gestalteter, handgeschriebener Karten und Briefe sowie den Betrieb der zugehörigen SaaS-Plattform. Dies umfasst insbesondere:

  • Bereitstellung und Betrieb der Webapp (webapp.calliscribe.de) mit Kontakt-, Vorlagen- und Kampagnenverwaltung,
  • Entgegennahme und Verarbeitung von Empfänger-/Adressdaten für den Versand,
  • Verarbeitung von Briefinhalten (Texte, Vorlagen, Kampagnenvariablen) zur Produktion,
  • Speicherung von Signaturgrafiken als gestalterisches Element in Schriftstücken,
  • Bereitstellung von QR-Code-Weiterleitungen über webapp.calliscribe.de/q/[code],
  • Produktion und Übergabe an den postalischen Versanddienstleister,
  • Abrechnung, technischer Support und Systemsicherheit (im erforderlichen Umfang).
2. Art der Verarbeitung
  • Erheben (Upload, Formular-Eingabe, CSV-Import, API),
  • Speichern und Strukturieren in der Datenbank,
  • Auslesen, Verarbeiten und Übermitteln (an Versand-, Rendering- und E-Mail-Dienstleister),
  • Produktion handgeschriebener Karten und Übergabe an Deutsche Post AG,
  • Löschen und Anonymisieren nach Konfiguration und Vertragsende.
3. Verarbeitete Datenkategorien
DatenkategorieBeispiele / Konkretisierung
Empfänger-/AdressdatenVor- und Nachname, Anschrift (Straße, Hausnummer, PLZ, Ort, Land), ggf. Firmenname, Abteilung, Anrede
BriefinhalteTexte, Vorlagen, Kampagnenvariablen, Platzhalter-Befüllungen, Absendertexte
SignaturgrafikenVom Auftraggeber erstellte Unterschrift-Grafiken (SVG, Single-Stroke) als gestalterisches Element; keine biometrischen Daten
QR-Code-ZieldatenVom Auftraggeber hinterlegte Ziel-URLs, die über calliscribe.de/q/[code] weitergeleitet werden
Account- und NutzerdatenBenutzername, E-Mail-Adresse, Rollen und Berechtigungen, Authentifizierungsdaten
Protokoll- und SicherheitsdatenIP-Adressen, Zeitstempel, Zugriffs-Logs, Fehlerlogs — ausschließlich im technisch erforderlichen Umfang
4. Kategorien betroffener Personen
  • Empfänger der Karten und Briefe (Kunden, Interessenten, Kontakte des Auftraggebers),
  • Absender (sofern Absenderdaten als personenbezogene Daten des Auftraggebers hinterlegt),
  • Mitarbeiter des Auftraggebers (soweit als Nutzer der Webapp oder als Absender erfasst),
  • Nutzer der Plattform (Webapp-Nutzer mit Account beim Auftragnehmer).
5. Weisungsberechtigte und Weisungsempfänger

Weisungsberechtigt auf Seiten des Auftraggebers sind die in der Organisation für die Plattformnutzung verantwortlichen Personen (z. B. Account-Inhaber, Administratoren). Weisungsempfänger bei Calliscribe sind die an der Leistungserbringung beteiligten Mitarbeiterinnen und Mitarbeiter aus den Bereichen Support, Produktion und Technik — jeweils beschränkt auf den erforderlichen Zugang (Need-to-know-Prinzip).

Anlage 2 – Technische und organisatorische Maßnahmen (TOM)
  • Zugangskontrolle: Individuelles Rollen- und Berechtigungskonzept, starke Passwort-Richtlinien, Multi-Faktor-Authentifizierung (MFA), Session-Management.
  • Zugriffskontrolle: Need-to-know-Prinzip, logische Mandantentrennung zwischen Kundenkonten, Protokollierung administrativer Zugriffe.
  • Weitergabekontrolle: Verschlüsselte Übertragung aller Daten (TLS/HTTPS), kontrollierte API-Zugänge mit individuellen Schlüsseln.
  • Eingabekontrolle: Audit-Logs mit Benutzer-ID und Zeitstempel, Nachvollziehbarkeit von Datenänderungen und -löschungen.
  • Verfügbarkeitskontrolle: Automatische Backups, Wiederherstellungsprozesse, Redundanzen in der Infrastruktur.
  • Trennungskontrolle: Logische Datentrennung zwischen Kunden (Mandantentrennung), getrennte Zugriffsberechtigungen.
  • Privacy by Design/Default: Datenminimierung, datenschutzfreundliche Voreinstellungen, dokumentierte Löschkonzepte.
  • Subprozessor-Management: Auswahl der Unterauftragsverarbeiter unter Sorgfaltsgesichtspunkten, DSGVO-konforme AVV-Abschlüsse.
  • Schulung und Organisation: Vertraulichkeitsverpflichtungen aller mit der Verarbeitung befassten Personen, definierte Verantwortlichkeiten.
  • Überprüfung: Die TOM werden mindestens jährlich sowie anlassbezogen geprüft und bei Bedarf angepasst.
Anlage 3 – Genehmigte Unterauftragsverarbeiter
Nr.SubprozessorTätigkeit / ZweckDatenkategorienOrt / Transfergrundlage
1Supabase, Inc. San Francisco, CA, USAHosting, Infrastruktur, DatenbankbetriebAlle im Rahmen der Plattform verarbeiteten DatenEU (Frankfurt) — Datenspeicherung ausschließlich in der EU
2IONOS SE Elgendorfer Straße 57, 56410 Montabaur, DeutschlandHosting-Infrastruktur für Handschrift-Rendering (Echtzeit-Konvertierung von Text in handschriftliche SVG-Ausgabe auf eigenem Server). Ausschließliche Echtzeitverarbeitung, keine Speicherung von Inhalten über die Verarbeitung hinaus.Briefinhalte, Texte, Kampagnenvariablen, Empfänger-/Adressdaten (Name, Anschrift); ggf. weitere personenbezogene Daten abhängig vom Briefinhalt des AuftraggebersEU (Deutschland) — AVV Bestandteil der IONOS AGB
3Resend, Inc. San Francisco, CA, USASystem-E-Mails (Registrierung, Passwort-Reset, Sicherheitshinweise)E-Mail-Adresse, NameUSA (EU-US DPF)
4Brevo SAS (ehem. Sendinblue) Paris, FrankreichTransaktions-E-Mails (Bestellbestätigungen, Versandbenachrichtigungen)E-Mail-Adresse, Name, Bestellreferenzen, VersandstatusEU (Frankreich)
5Celonis, Inc. (Make) One World Trade Center, 87th Floor, New York, NY 10007, USAAutomatisierungsworkflows (E-Mail-Trigger, Datenweiterleitung)E-Mail-Adresse, Name, Bestellreferenzen, StatusinformationenUSA / EU — Standardvertragsklauseln (SCC, Art. 46 DSGVO)
6Deutsche Post AG Bonn, DeutschlandProduktion und postalischer Versand handgeschriebener Karten und BriefeEmpfänger-/Adressdaten; Briefinhalte soweit produktionsbedingt erforderlichEU (Deutschland)