Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten auf dieser Website und bei Nutzung unseres Briefversand-Dienstes ist:
PostlyGreen, Hafenstraße 39, 67346 Speyer, Deutschland
E-Mail: kontakt@postlygreen.de (nachfolgend „wir“, „uns“).

Diese Datenschutzerklärung richtet sich vorrangig an unsere Geschäftskunden (B2B) sowie deren Ansprechpartner.

2. Unser Verständnis von Datenschutz

Der Brief ist eines der vertraulichsten Kommunikationsmittel. Wir verarbeiten Daten nach dem Prinzip der Datenminimierung und der Zweckbindung. Je nach Kundenkonfiguration werden Inhalte ausschließlich automatisiert verarbeitet oder in technisch unlesbarer Form (z. B. clientseitig verschlüsselt). Eine manuelle Einsicht in Briefinhalte erfolgt nur, soweit dies in Ausnahmefällen zur Behebung technischer Störungen zwingend erforderlich und vertraglich geregelt ist.

3. Kategorien personenbezogener Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Je nach Nutzung verarbeiten wir insbesondere:

• Adress- und Versanddaten: Name, Anschrift, Land, optionale Zusatzangaben, Versandoptionen.
• Vertrags- und Kontodaten: Kunden-ID, Login-Daten (Hash), Rollen & Berechtigungen.
• Briefinhalte/Dokumente: hochgeladene PDFs, ausschließlich automatisierte Verarbeitung; optional Ende-zu-Ende-Verschlüsselung (wir sehen keinen Klartext).
• Kommunikation & Support: E-Mails, Tickets, Protokolle.
• Nutzungs- & Protokolldaten: IP-Adresse, Zeitstempel, technische Ereignis-Logs (Upload, Validierung, Übergabe an Zusteller).
• Abrechnungsdaten: Rechnungs- und Zahlungsinformationen.

Quelle der Daten sind Sie selbst bzw. Ihre autorisierten Nutzer oder Systeme (z. B. E-Mail-Einlieferung). Server-Logfiles fallen beim Besuch der Website an.

4. Zwecke und Rechtsgrundlagen

• Vertragserfüllung & vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Kontoanlage, Briefversand, Status-Informationen, Abrechnung, Support.
• Rechtspflichten (Art. 6 Abs. 1 lit. c DSGVO): z. B. steuer-/handelsrechtliche Aufbewahrung, Auskunftspflichten.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): sicherer Plattformbetrieb, IT-Sicherheit, Missbrauchsvermeidung, Nachweis der Einlieferung (z. B. Prüfsummen/Hashes), produktbezogene Auswertungen ohne Profiling.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): optionale Funktionen (z. B. Newsletter). Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

5. Rollenmodell (Verantwortlicher/Auftragsverarbeiter)

Für den Besuch dieser Website und unsere eigene Kundenverwaltung sind wir datenschutzrechtlich Verantwortlicher. Nutzen Sie PostlyGreen für Ihren Briefversand, handeln wir in der Regel als Auftragsverarbeiter gemäß Art. 28 DSGVO für die von Ihnen übermittelten Adress- und Inhaltsdaten. Ein entsprechender Auftragsverarbeitungsvertrag (AVV) kann im Kundenbereich digital abgeschlossen werden.

Ist unsere Lösung so konfiguriert, dass Briefinhalte technisch nie im Klartext verarbeitet werden (z. B. clientseitige Verschlüsselung), verarbeiten wir die Inhaltsdaten nur als Chiffre; Adressdaten bleiben personenbezogen und werden auf Grundlage der vorstehenden Rechtsgrundlagen verarbeitet.

6. Sicherheit & Verschlüsselung

• Transportverschlüsselung (TLS) und HSTS für Web-Zugriffe.
• Speicherschutz durch zeitgemäße Verschlüsselung und strikte Rollen-/Rechtekonzepte (Least-Privilege).
• Technische und organisatorische Maßnahmen nach Art. 32 DSGVO, regelmäßige Prüfungen sowie Protokollierung sicherheitsrelevanter Ereignisse.
• Optional: Ende-zu-Ende-Verschlüsselung (clientseitig). In diesem Modus werden Inhalte ausschließlich als Chiffre verarbeitet.
• Mitarbeitende, die mit Datenverarbeitung oder Produktion in Berührung kommen können, sind auf Vertraulichkeit verpflichtet und werden regelmäßig geschult.

7. Automatisierte Verarbeitung, Druck & Kuvertierung

Der Produktionsprozess (Druck, Kuvertierung, Frankierung und Übergabe an den Zustellpartner) ist weitgehend vollautomatisiert. Es erfolgen ausschließlich technische Prüfungen (z. B. PDF-Format, Seitenanzahl, Position des Adressfensters).

Eine manuelle Einsicht in Dokumente findet nicht statt, es sei denn, dies ist zur Beseitigung technischer Störungen oder zur Erfüllung gesetzlicher Pflichten unvermeidbar und wird streng dokumentiert. In diesen Fällen erfolgt der Zugriff nur durch besonders berechtigte Personen, die zur Verschwiegenheit verpflichtet sind.

Nach erfolgreicher Produktion und Übergabe an den Zustellpartner stehen die zugehörigen Briefdokumente im Kundenportal für bis zu 60 Tage zur Einsicht zur Verfügung, um eine Nachvollziehbarkeit und Fehleranalyse für unsere Geschäftskunden zu ermöglichen. Nach Ablauf dieser Frist werden die Briefdokumente automatisiert gelöscht oder so anonymisiert, dass ein Personenbezug nicht mehr besteht.

8. Empfänger & Dienstleister

Im Rahmen der genannten Zwecke übermitteln wir Daten an folgende Kategorien von Empfängern:

• Druck- und Zustellpartner (z. B. Post- oder Lettershops)
• Rechenzentrums- und Hosting-Dienstleister
• Zahlungsdienstleister (z. B. Stripe, siehe Abschnitt 10a)
• E-Maildienstleister für transaktionale E-Mails (z. B. Mailjet, siehe Abschnitt 10b)
• IT-Dienstleister (z. B. Wartung, Monitoring, Support) und sonstige Auftragsverarbeiter nach Art. 28 DSGVO

Mit allen eingesetzten Dienstleistern bestehen Vereinbarungen nach Art. 28 DSGVO (Auftragsverarbeitung), soweit diese in unserem Auftrag handeln. Zustellpartner sind für den eigenen Zustellprozess teilweise selbst Verantwortliche.
Eine Weitergabe zu eigenen Werbezwecken der Dienstleister erfolgt nicht.

9. Aufbewahrung & Löschung

• Briefdateien (Portalansicht): Die im Rahmen des Versandauftrags bereitgestellten Briefdokumente (PDF) werden nach erfolgreicher Produktion und Übergabe an den Zustellpartner im Kundenportal bis zu 60 Tage zur Einsicht bereitgehalten, um unseren Geschäftskunden eine Nachvollziehbarkeit und Fehleranalyse zu ermöglichen (Art. 6 Abs. 1 lit. b, f DSGVO). Nach Ablauf dieser Frist werden die Dokumente automatisiert gelöscht oder so anonymisiert, dass ein Personenbezug nicht mehr besteht.
• Status-/Nachweisdaten: Speicherung bis zu 24 Monate zur Vertragserfüllung, Nachweisführung und Abrechnung (Art. 6 Abs. 1 lit. b, f DSGVO).
• Rechnungs-/Buchhaltungsdaten: Aufbewahrung nach HGB/AO (in der Regel 6–10 Jahre).
• Server-Logs: kurzzeitige Speicherung (z. B. 7–30 Tage) zur Gewährleistung von Stabilität und Sicherheit.

10. Hosting, Protokolle & Cookies

Unsere Systeme werden ausschließlich in nach ISO 27001 und BSI C5 zertifizierten Rechenzentren in Deutschland (z. B. AWS Region Frankfurt) betrieben; die Übertragung erfolgt ausschließlich verschlüsselt. Beim Seitenaufruf verarbeiten wir Server-Logfiles (IP-Adresse, Datum/Uhrzeit, User-Agent, Referer, Statuscode) zur Sicherstellung eines sicheren Betriebs (Art. 6 Abs. 1 lit. f DSGVO).

Wir setzen ohne Ihre Einwilligung keine Tracking- oder Marketing-Cookies ein. Technisch notwendige Cookies (z. B. für Session/Anmeldung oder Sicherheitsfunktionen) können erforderlich sein (Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 TTDSG).

10a. Zahlungsabwicklung über Stripe

Für die Abwicklung von Zahlungen (z. B. beim Erwerb von Briefguthaben oder Coin-Paketen) nutzen wir den Dienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.

Stripe verarbeitet im Rahmen der Zahlungsabwicklung personenbezogene Daten, darunter Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsmittel (z. B. Kreditkarten- oder Kontodaten), Transaktionssumme, Datum, Uhrzeit und Zahlungsstatus. Stripe kann diese Daten zur Erfüllung gesetzlicher Pflichten (z. B. Geldwäschegesetz, Buchhaltung) speichern.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und effizienter Zahlungsabwicklung). Stripe kann Daten auch in Drittländern (insbesondere USA) verarbeiten; hierbei werden geeignete Garantien nach Kap. V DSGVO (z. B. EU-Standardvertragsklauseln) eingesetzt.

Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.

10b. E-Mail-Versand & transaktionale E-Mails (Mailjet)

Für den Versand von transaktionalen E-Mails (z. B. Registrierungsbestätigungen, sicherheitsrelevante Hinweise, Systembenachrichtigungen, Informationen zu Versand- und Kontostatus) setzen wir den Dienst Mailjet ein, einen Dienst der Sinch Email / Mailjet SAS, 13–13 bis rue de l'Aubrac, 75012 Paris, Frankreich.

Mailjet verarbeitet in unserem Auftrag insbesondere Ihre E-Mail-Adresse, Ihren Namen (falls angegeben), technische Versanddaten (z. B. IP-Adresse, Zeitstempel, Zustell- und Öffnungsstatus) sowie den Inhalt der jeweiligen E-Mail. Mailjet betreibt u. a. Rechenzentren innerhalb der Europäischen Union und ist nach einschlägigen Sicherheits- und Datenschutzstandards (z. B. ISO 27001) zertifiziert.

Rechtsgrundlage für die Nutzung von Mailjet ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, z. B. Zusendung vertraglich erforderlicher Informationen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und zuverlässigen E-Mail-Zustellung). Soweit Mailjet Daten in Drittländer übermittelt oder innerhalb einer Unternehmensgruppe verarbeitet, werden geeignete Garantien nach Kap. V DSGVO (z. B. EU-Standardvertragsklauseln) eingesetzt.

Mit Mailjet besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Weitere Informationen finden Sie in der Datenschutzerklärung von Mailjet.

11. Drittlandübermittlungen & Garantien

Die Kerndatenverarbeitung für den Briefversand und das Hosting der Plattform erfolgt innerhalb der EU, überwiegend in Rechenzentren in Deutschland. Soweit in dieser Datenschutzerklärung auf Dienstleister mit Sitz außerhalb der EU/des EWR oder global tätige Gruppen hingewiesen wird (z. B. Stripe, Mailjet), kann eine Verarbeitung personenbezogener Daten in Drittländern stattfinden.

In diesen Fällen stellen wir vor der Übermittlung sicher, dass entweder ein Angemessenheitsbeschluss der EU-Kommission besteht oder geeignete Garantien nach Kap. V DSGVO (insbesondere EU-Standardvertragsklauseln und ergänzende technische und organisatorische Maßnahmen) vereinbart sind.

12. Ihre Rechte

Sie haben die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit (Art. 15–20 DSGVO) sowie Widerspruch (Art. 21 DSGVO). Einwilligungen können jederzeit widerrufen werden (Art. 7 Abs. 3 DSGVO). Darüber hinaus haben Sie das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO), z. B. beim Landesbeauftragten für den Datenschutz Rheinland-Pfalz.

Bitte richten Sie entsprechende Anfragen an: kontakt@postlygreen.de.

13. Kommunikation & E-Mail-Einlieferung

Bei Kontaktaufnahme per E-Mail oder Nutzung der E-Mail-Einlieferung verarbeiten wir Ihre Angaben zur Bearbeitung des Anliegens bzw. zur technischen Einlieferung von Briefen. Die Verarbeitung in der Plattform erfolgt automatisiert; eine manuelle Einsicht ist – abgesehen von Einzelfällen zur Störungsbeseitigung – nicht vorgesehen. Optional können Sie clientseitige Verschlüsselung verwenden.

14. Auftragsverarbeitung (praktische Ausgestaltung)

Als Auftragsverarbeiter verarbeiten wir Daten ausschließlich nach Ihren dokumentierten Weisungen. Wir setzen geeignete technische und organisatorische Maßnahmen (TOM) um, führen ein Verzeichnis von Verarbeitungstätigkeiten, unterstützen Sie bei Betroffenenrechten und bei der Sicherheit der Verarbeitung und informieren Sie über Datenschutzvorfälle entsprechend der gesetzlichen Vorgaben. Eine jeweils aktuelle Liste wesentlicher Unterauftragsverarbeiter stellen wir im Kundenbereich bereit.

15. Schutz vor Missbrauch (Captcha-Dienst)

Zum Schutz unserer Formulare vor automatisierten Anfragen kann ein Captcha-Dienst eingesetzt werden, der ohne Tracking-Cookies arbeitet. Dabei werden technische Informationen (z. B. IP-Adresse, User-Agent, Browser-Header, Interaktionssignale) verarbeitet, um die Sicherheit der Anwendung zu gewährleisten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer Systeme). Sofern ein externer Anbieter als Auftragsverarbeiter eingebunden ist, werden geeignete Garantien für etwaige Drittlandübermittlungen eingesetzt (z. B. EU-Standardvertragsklauseln).

16. Daten von Kindern

Unser Angebot richtet sich nicht an Kinder im Sinne der DSGVO. Wir verarbeiten wissentlich keine Daten von Kindern ohne erforderliche Einwilligung der Sorgeberechtigten.

17. Pflicht zur Bereitstellung & automatisierte Entscheidungen

Die Bereitstellung von Adress- und Versanddaten ist zur Durchführung des Briefversands erforderlich. Ohne diese Daten ist eine Leistungserbringung nicht möglich. Eine automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

18. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, etwa bei technischen Weiterentwicklungen oder geänderten rechtlichen Anforderungen. Die jeweils aktuelle Version ist auf unserer Website abrufbar. Wesentliche Änderungen kommunizieren wir im Kundenbereich.