隐私政策 – Avamboo Encrypt for Outlook (New)
§ 1 概述
本隐私政策适用于 Microsoft Outlook 加载项“Avamboo Encrypt for Outlook (New)”(下称“加载项”),由以下公司开发和运营: Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing 电话:0821 57086670 info@avamboo.de 您的个人数据仅依据德国数据保护法和欧盟《通用数据保护条例》(GDPR) 的规定进行处理。
§ 2 处理哪些数据?
(1) Azure AD 对象 ID (OID) Azure AD 对象 ID (OID) 用于识别用户。它由 Microsoft Identity(MSAL / 嵌套应用身份验证)提供,仅用于关联许可证和设置。OID 存储在我们的服务器上。 (2) 用户的电子邮件地址 已登录用户的电子邮件地址用于许可证管理和联系。它存储在我们的服务器上。 (3) 收件人电子邮件地址(已哈希) 为了执行基于许可证的发送限制,收件人的电子邮件地址以 SHA-256 哈希形式存储。技术上无法还原为原始地址。 (4) 许可证和使用数据 有关活动许可证、发送限制(每日/每月)和激活时间戳的信息存储用于许可证管理。 (5) 用户设置 加载项的设置(如加密行为、模板)存储在我们的服务器上并与用户关联。 (6) 加密密钥材料 在密码管理器框架内,加密的私钥和加密的主密钥存储在我们的服务器上。这些数据只能使用用户的个人用户密钥解密,该密钥从不传输给我们(零知识架构)。 (7) 收件人密码(已加密) 密码管理器中存储的密码在客户端使用 AES-256-GCM 加密。我们无法访问未加密的密码。 (8) 运行日志 为了追溯系统操作和确保运行安全,会保留内部日志。这些日志不包含未加密的邮件内容或密码。
§ 3 处理目的
数据仅用于以下目的: • 用户身份验证和识别 • 许可证管理和使用限制的执行 • 提供和存储用户设置 • 密码管理器的运行(加密、零知识) • 技术支持和故障排除
§ 4 法律依据
处理基于以下法律依据: • GDPR 第 6(1)(b) 条(合同履行)— 用于许可证和使用数据 • GDPR 第 6(1)(f) 条(合法利益)— 用于审计日志和安全
§ 5 零知识架构
本加载项对所有加密密钥和密码采用零知识架构: • 所有加密和解密操作仅在用户设备上进行(客户端)。 • 个人用户密钥从不传输到我们的服务器。 • 私钥仅以加密形式存储。 • 收件人密码仅以加密形式离开设备。 • Avamboo GmbH 在技术上无法访问未加密的密钥、密码或邮件内容。
§ 6 向第三方传输数据
我们不会将您的个人数据传输给第三方,除非: • 在委托处理的框架内传输给托管服务提供商(服务器运行) • 我们在法律上有义务这样做 我们的服务器位于欧盟/德国。
§ 7 存储期限
• OID、电子邮件地址、许可证和设置数据:活动许可证期限 + 法定保留义务(根据 § 257 HGB、§ 147 AO,最长 10 年) • 哈希的收件人电子邮件地址:相应计费期结束后自动删除 • 加密密钥材料和密码:直至用户删除或向 info@avamboo.de 明确请求删除 • 运行日志:出于运行安全所需的时间段
§ 8 数据主体的权利
您对我们享有以下权利: 1. 知情权(GDPR 第 15 条) 2. 更正权(GDPR 第 16 条) 3. 删除权(GDPR 第 17 条) 4. 限制处理权(GDPR 第 18 条) 5. 数据可携带权(GDPR 第 20 条) 6. 反对权(GDPR 第 21 条) 7. 撤销同意权(GDPR 第 7(3) 条) 8. 向监管机构投诉的权利(GDPR 第 77 条) 要行使您的权利,请联系: info@avamboo.de
§ 9 向监管机构投诉的权利
在不影响任何其他行政或司法救济的情况下,如果您认为对您个人数据的处理违反 GDPR,您有权向监管机构投诉。 主管监管机构: 巴伐利亚州数据保护监督局 (BayLDA) Promenade 18, 91522 Ansbach https://www.lda.bayern.de
§ 10 负责人
Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing 电话:0821 57086670 info@avamboo.de