Privacybeleid – Avamboo Encrypt for Outlook (New)
§ 1 Algemeen
Dit privacybeleid is van toepassing op de Microsoft Outlook-add-in „Avamboo Encrypt for Outlook (New)” (hierna „Add-in”), ontwikkeld en geëxploiteerd door: Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing Telefoon: 0821 57086670 info@avamboo.de Uw persoonsgegevens worden uitsluitend verwerkt in overeenstemming met de bepalingen van het Duitse gegevensbeschermingsrecht en de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.
§ 2 Welke gegevens worden verwerkt?
(1) Azure AD Object ID (OID) Voor de identificatie van de gebruiker wordt de Azure AD Object ID (OID) gebruikt. Deze wordt door Microsoft Identity (MSAL / Nested App Authentication) ter beschikking gesteld en dient uitsluitend voor de toewijzing van licentie en instellingen. De OID wordt opgeslagen op onze servers. (2) E-mailadres van de gebruiker Het e-mailadres van de aangemelde gebruiker wordt verwerkt voor het licentiebeheer en contactopname. Het wordt opgeslagen op onze servers. (3) E-mailadressen van de ontvangers (gehasht) Voor de handhaving van de licentiegebonden verzendlimieten worden de e-mailadressen van de ontvangers opgeslagen als SHA-256-hash. Een herleiding tot het oorspronkelijke adres is technisch niet mogelijk. (4) Licentie- en gebruiksgegevens Informatie over de actieve licentie, verzendlimieten (dagelijks/maandelijks) en activeringstijdstempels wordt opgeslagen voor het licentiebeheer. (5) Gebruikersinstellingen Instellingen van de Add-in (bijv. versleutelingsgedrag, sjablonen) worden op onze servers opgeslagen en aan de gebruiker toegewezen. (6) Versleuteld sleutelmateriaal Binnen het kader van de wachtwoordmanager worden versleutelde privésleutels en versleutelde hoofdsleutels op onze servers opgeslagen. Deze gegevens kunnen uitsluitend met de persoonlijke gebruikerssleutel van de gebruiker worden ontsleuteld, die nooit aan ons wordt doorgegeven (zero-knowledge-architectuur). (7) Ontvangerwachtwoorden (versleuteld) In de wachtwoordmanager opgeslagen wachtwoorden worden aan de clientzijde met AES-256-GCM versleuteld. Wij hebben geen toegang tot de onversleutelde wachtwoorden. (8) Bedrijfslogboeken Voor de traceerbaarheid van systeemhandelingen en de operationele veiligheid worden interne logboeken bijgehouden. Deze bevatten geen onversleutelde e-mailinhoud of wachtwoorden.
§ 3 Doel van de verwerking
De gegevens worden uitsluitend voor de volgende doeleinden verwerkt: • Gebruikersauthenticatie en identificatie • Licentiebeheer en handhaving van gebruikslimieten • Beschikbaarstelling en opslag van gebruikersinstellingen • Werking van de wachtwoordmanager (versleuteld, zero-knowledge) • Technische ondersteuning en probleemoplossing
§ 4 Rechtsgronden
De verwerking vindt plaats op basis van de volgende rechtsgronden: • Art. 6 Abs. 1 lit. b AVG (uitvoering van de overeenkomst) — voor licentie- en gebruiksgegevens • Art. 6 Abs. 1 lit. f AVG (gerechtvaardigd belang) — voor auditlogboeken en beveiliging
§ 5 Zero-knowledge-architectuur
De Add-in maakt gebruik van een zero-knowledge-architectuur voor alle cryptografische sleutels en wachtwoorden: • Alle versleutelings- en ontsleutelingshandelingen vinden uitsluitend plaats op het apparaat van de gebruiker (aan de clientzijde). • De persoonlijke gebruikerssleutel wordt nooit aan onze servers doorgegeven. • Privésleutels worden uitsluitend in versleutelde vorm opgeslagen. • Ontvangerwachtwoorden verlaten het apparaat uitsluitend in versleutelde vorm. • Avamboo GmbH heeft technisch geen toegang tot onversleutelde sleutels, wachtwoorden of e-mailinhoud.
§ 6 Doorgifte aan derden
Een doorgifte van uw persoonsgegevens aan derden vindt niet plaats, behalve: • aan hostingdienstverleners binnen het kader van de verwerking in opdracht (serverexploitatie) • wanneer wij daartoe wettelijk verplicht zijn Onze servers bevinden zich in de EU/Duitsland.
§ 7 Bewaartermijn
• OID, e-mailadres, licentie- en instellingsgegevens: voor de duur van de actieve licentie + wettelijke bewaarplichten (max. 10 jaar conform § 257 HGB, § 147 AO) • Gehashte e-mailadressen van ontvangers: automatische verwijdering na afloop van de desbetreffende factureringsperiode • Versleuteld sleutelmateriaal en wachtwoorden: tot verwijdering door de gebruiker of op uitdrukkelijk verwijderingsverzoek aan info@avamboo.de • Bedrijfslogboeken: voor de voor de operationele veiligheid noodzakelijke periode
§ 8 Rechten van de betrokkene
U heeft de volgende rechten jegens ons: 1. Recht op inzage (Art. 15 AVG) 2. Recht op rectificatie (Art. 16 AVG) 3. Recht op wissing (Art. 17 AVG) 4. Recht op beperking van de verwerking (Art. 18 AVG) 5. Recht op gegevensoverdraagbaarheid (Art. 20 AVG) 6. Recht van bezwaar (Art. 21 AVG) 7. Recht op intrekking van een toestemming (Art. 7 Abs. 3 AVG) 8. Recht om een klacht in te dienen bij een toezichthoudende autoriteit (Art. 77 AVG) Voor het uitoefenen van uw rechten kunt u contact opnemen met: info@avamboo.de
§ 9 Recht om een klacht in te dienen bij een toezichthoudende autoriteit
Onverminderd een ander bestuursrechtelijk of gerechtelijk rechtsmiddel heeft u het recht een klacht in te dienen bij een toezichthoudende autoriteit, indien u van mening bent dat de verwerking van uw persoonsgegevens in strijd is met de AVG. Bevoegde toezichthoudende autoriteit: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18, 91522 Ansbach https://www.lda.bayern.de
§ 10 Verwerkingsverantwoordelijke
Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing Telefoon: 0821 57086670 info@avamboo.de