Auftragsverarbeiter
Stand: 21. Mai 2026
Calie nutzt für den Betrieb der Plattform sorgfältig ausgewählte Dienstleister, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit allen Subprozessoren bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO. Bei Datenflüssen in Drittländer (insbesondere USA) kommen EU-Standardvertragsklauseln (SCC) sowie — wo verfügbar — das Data Privacy Framework (DPF) zur Anwendung.
Bei Wechsel oder Aufnahme eines neuen Subprozessors informieren wir registrierte Nutzer per E-Mail mindestens 30 Tage vor Aktivierung, sodass ein Widerspruchsrecht ausgeübt werden kann.
Aktuelle Subprozessoren
| Anbieter | Zweck / Datenkategorien | Standort | Rechtsgrundlage |
|---|---|---|---|
Supabase Inc. DPA → | Datenbank, Authentifizierung, Datei-Speicher Sämtliche App-Daten (verschlüsselt at-rest), User-Auth-Daten, hochgeladene Dateien | EU (Frankfurt) | AVV nach Art. 28 DSGVO |
Vercel Inc. DPA → | Hosting der Web-App, Edge-Network, Cron-Jobs HTTP-Request-Daten, Session-Cookies, IP-Adressen (anonymisiert in Logs) | EU / USA | AVV nach Art. 28 DSGVO + SCC (EU-Standardvertragsklauseln) |
Anthropic PBC DPA → | KI-Verarbeitung: Mail-Klassifikation, Vorschläge, Konzept-Generierung, PDF-Briefing-Analyse Vom Nutzer eingegebene Mail-Inhalte, Briefing-PDFs, Coop-Kontext (kein Training, keine Speicherung) | USA | AVV + SCC + DPF-Zertifizierung |
Resend, Inc. DPA → | Transaktionaler E-Mail-Versand (Outbound zu Brands, System-Mails) E-Mail-Adressen, Subject, Mail-Inhalt | EU | AVV nach Art. 28 DSGVO |
Functional Software, Inc. (Sentry) DPA → | Error-Tracking und Performance-Monitoring Fehler-Stacktraces (PII redacted via Pino-Redact), Browser-Metadaten, anonymisierte User-IDs | EU (Frankfurt) | AVV nach Art. 28 DSGVO |
Inngest, Inc. DPA → | Background-Jobs, Cron-Pipelines (Erinnerungen, Steuer-Mail-Versand) Job-Payloads (User-IDs, Cooperation-IDs), keine PII | EU | AVV nach Art. 28 DSGVO |
Stripe Payments Europe Ltd. DPA → | Zahlungsabwicklung, Subscription-Management Zahlungsdaten, Abrechnungsadresse, USt-ID | EU / USA | AVV nach Art. 28 DSGVO + SCC + DPF |
Dropbox Sign (HelloSign Inc.) DPA → | Rechtsgültige digitale Signatur von Verträgen und Angeboten Vertragsdokumente, Signatur-Metadaten, E-Mail-Adressen der Vertragsparteien | USA | AVV + SCC + DPF |
Was Calie selbst betreibt
Folgende Verarbeitungsschritte führen wir im eigenen Anwendungs-Layer durch — die Daten verlassen unsere Server-Region (EU-Frankfurt) hierfür nicht:
- Reliability-Score-Berechnung (statistisch, regel-basiert, keine externe KI)
- Pricing-Engine (Surcharges, Rules, Floor — Logik ohne KI)
- Vertragsgenerierung aus Templates (keine externe Verarbeitung der Daten)
- Konflikt-Detection (Industrie-/Exklusivität-Vergleich)
- Steuer-Rücklage- und ESt-Schätzungs-Logik
Sonderhinweis KI-Verarbeitung
Wir setzen Anthropic Claude (USA) für KI-gestützte Aufgaben ein (Mail-Klassifikation, Vorschläge, Konzept-Generierung, Brand-Briefing-Decomposition). Anthropic ist gemäß DPF zertifiziert. Wir übermitteln Inhalte nur über die Messages- API; Anthropic darf diese gemäß ihrer Datenschutzrichtlinie nicht zum Training von Foundation-Modellen verwenden.
Personenbezogene Daten werden nur dann an Anthropic übermittelt, wenn der Nutzer sie aktiv in die Plattform eingibt (z.B. Mail-Inhalte mit Brand-Kontakt-Namen). Bei jedem KI-Aufruf wird ein Audit-Eintrag in unserer Datenbank erzeugt (90-Tage-Retention).
Kontakt
Bei Fragen zu Subprozessoren oder Datenflüssen: hello@uplifts.de. Datenschutzerklärung: /legal/privacy.