Datenschutzerklärung – Avamboo Encrypt for Outlook (New)
§ 1 Allgemeines
Diese Datenschutzerklärung gilt für das Microsoft Outlook Add-in „Avamboo Encrypt for Outlook (New)“ (nachfolgend „Add-in“), entwickelt und betrieben von: Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing Telefon: 0821 57086670 info@avamboo.de Ihre personenbezogenen Daten werden nur gemäß den Bestimmungen des deutschen Datenschutzrechts und der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verarbeitet.
§ 2 Welche Daten werden verarbeitet?
(1) Azure AD Object ID (OID) Zur Identifikation des Benutzers wird die Azure AD Object ID (OID) verwendet. Diese wird durch Microsoft Identity (MSAL / Nested App Authentication) bereitgestellt und dient ausschließlich der Zuordnung von Lizenz und Einstellungen. Die OID wird auf unseren Servern gespeichert. (2) E-Mail-Adresse des Benutzers Die E-Mail-Adresse des angemeldeten Benutzers wird für die Lizenzverwaltung und Kontaktaufnahme verarbeitet. Sie wird auf unseren Servern gespeichert. (3) E-Mail-Adressen der Empfänger (gehasht) Zur Durchsetzung der lizenzbasierten Versandlimits werden die E-Mail-Adressen der Empfänger als SHA-256-Hash gespeichert. Eine Rückführung auf die ursprüngliche Adresse ist technisch nicht möglich. (4) Lizenz- und Nutzungsdaten Informationen über die aktive Lizenz, Versandlimits (täglich/monatlich) und Aktivierungszeitstempel werden zur Lizenzverwaltung gespeichert. (5) Benutzereinstellungen Einstellungen des Add-ins (z. B. Verschlüsselungsverhalten, Vorlagen) werden auf unseren Servern gespeichert und dem Benutzer zugeordnet. (6) Verschlüsselte Schlüsselmaterialien Im Rahmen des Passwortmanagers werden verschlüsselte private Schlüssel und verschlüsselte Masterschlüssel auf unseren Servern gespeichert. Diese Daten sind ausschließlich mit dem persönlichen Benutzer-Schlüssel des Nutzers entschlüsselbar, der niemals an uns übermittelt wird (Zero-Knowledge-Architektur). (7) Empfängerpasswörter (verschlüsselt) Im Passwortmanager gespeicherte Passwörter werden clientseitig mit AES-256-GCM verschlüsselt. Wir haben keinen Zugriff auf die unverschlüsselten Passwörter. (8) Betriebslogs Zur Nachvollziehbarkeit von Systemaktionen und zur Betriebssicherheit werden interne Logs geführt. Diese enthalten keine unverschlüsselten E-Mail-Inhalte oder Passwörter.
§ 3 Zweck der Verarbeitung
Die Daten werden ausschließlich für folgende Zwecke verarbeitet: • Benutzerauthentifizierung und Identifikation • Lizenzverwaltung und Durchsetzung von Nutzungslimits • Bereitstellung und Speicherung von Benutzereinstellungen • Betrieb des Passwortmanagers (verschlüsselt, Zero-Knowledge) • Technischer Support und Fehlerbehebung
§ 4 Rechtsgrundlagen
Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen: • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — für Lizenz- und Nutzungsdaten • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — für Audit-Logs und Sicherheit
§ 5 Zero-Knowledge-Architektur
Das Add-in verwendet eine Zero-Knowledge-Architektur für alle kryptografischen Schlüssel und Passwörter: • Alle Verschlüsselungs- und Entschlüsselungsoperationen erfolgen ausschließlich auf dem Gerät des Benutzers (clientseitig). • Der persönliche Benutzer-Schlüssel wird niemals an unsere Server übermittelt. • Private Schlüssel werden nur in verschlüsselter Form gespeichert. • Empfängerpasswörter verlassen das Gerät ausschließlich in verschlüsselter Form. • Avamboo GmbH hat technisch keinen Zugriff auf unverschlüsselte Schlüssel, Passwörter oder E-Mail-Inhalte.
§ 6 Datenweitergabe an Dritte
Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nicht, außer: • an Hosting-Dienstleister im Rahmen der Auftragsverarbeitung (Server-Betrieb) • wenn wir gesetzlich dazu verpflichtet sind Unsere Server befinden sich in der EU/Deutschland.
§ 7 Speicherdauer
• OID, E-Mail-Adresse, Lizenz- und Einstellungsdaten: für die Dauer der aktiven Lizenz + gesetzliche Aufbewahrungspflichten (max. 10 Jahre gem. § 257 HGB, § 147 AO) • Gehashte Empfänger-E-Mail-Adressen: automatische Löschung nach Ablauf des jeweiligen Abrechnungszeitraums • Verschlüsselte Schlüsselmaterialien und Passwörter: bis zur Löschung durch den Benutzer oder auf ausdrückliche Löschungsanfrage an info@avamboo.de • Betriebslogs: für den zur Betriebssicherheit erforderlichen Zeitraum
§ 8 Rechte der betroffenen Person
Sie haben folgende Rechte uns gegenüber: 1. Auskunftsrecht (Art. 15 DSGVO) 2. Recht auf Berichtigung (Art. 16 DSGVO) 3. Recht auf Löschung (Art. 17 DSGVO) 4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) 5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO) 6. Widerspruchsrecht (Art. 21 DSGVO) 7. Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) 8. Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@avamboo.de
§ 9 Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18, 91522 Ansbach https://www.lda.bayern.de
§ 10 Verantwortlicher
Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing Telefon: 0821 57086670 info@avamboo.de