Waterkant.Hamburg
Waterkant.Hamburg by adebar GmbH

Datenschutz

Diese Hinweise beschreiben die Verarbeitung personenbezogener Daten beim Einsatz von CardCaptain auf cardcaptain.waterkant-ki.de sowie über Zugänge unter waterkant.hamburg, waterkant-ki.de, waterkantki.de und Microsoft Teams.

Stand: 13. Juli 2026

1. Verantwortlicher und Rollenverteilung

Verantwortlicher im Sinne der DSGVO für die technische Bereitstellung, Lizenzverwaltung und eigenen Betriebsdaten ist die adebar GmbH, Jagdhaus 7b, 18375 Wieck a. Darß, vertreten durch die Geschäftsführerin Anne Horstmann. E-Mail: info@adebar.de. Niederlassung Hamburg: Neuer Wall 80, 20354 Hamburg. Waterkant.Hamburg ist ein Markenauftritt der adebar GmbH.

Soweit CardCaptain operative Fachdaten im Auftrag eines Kunden verarbeitet, ist regelmäßig der jeweilige Kunde Verantwortlicher und die adebar GmbH Auftragsverarbeiter. Einzelheiten richten sich nach der vertraglichen Vereinbarung und gegebenenfalls einem Vertrag zur Auftragsverarbeitung.

2. Zweck der Verarbeitung

CardCaptain verarbeitet Daten zur strukturierten Erfassung, Bearbeitung, Prüfung und Nachverfolgung von Kreditkarten- und belegbezogenen Vorgängen. Dazu gehören insbesondere Stammdaten zu beteiligten Personen, Kreditkarten-, Beleg- und Projektinformationen, Statusverläufe sowie technisch erforderliche Protokoll- und Sitzungsdaten.

3. Authentifizierung und Zugriffssteuerung

Für den Zugriff auf das Tool werden Microsoft Entra ID und Microsoft Teams SSO verwendet. Dabei verarbeitet das Tool insbesondere geschäftliche E-Mail-Adressen, Mandantenkennungen, Teams- und Sitzungsinformationen sowie sicherheitsrelevante Prüfwerte zur Absicherung gegen unberechtigte Zugriffe.

Für die Sitzung können technisch notwendige Cookies oder lokale Browser-Speicher eingesetzt werden. Sie dienen der Anmeldung und Zugriffssicherung, nicht der werblichen Profilbildung.

4. Rechtsgrundlagen

Die Verarbeitung zur Bereitstellung, Lizenzierung und Authentifizierung erfolgt insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Sicherheits-, Protokoll- und Missbrauchsschutzdaten verarbeitet die adebar GmbH auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Soweit eine Einwilligung erforderlich ist, gilt Art. 6 Abs. 1 lit. a DSGVO. Für operative Kreditkartenabrechnungs- und Beschäftigtendaten im Kundentenant legt der jeweilige Kunde die einschlägigen Rechtsgrundlagen fest.

5. Datenhaltung

Die fachlichen Einträge werden in den vom Kunden hinterlegten SharePoint-Listen im jeweiligen Microsoft-365-Tenant gespeichert. Die Anwendung greift nur im technisch und vertraglich vorgesehenen Umfang auf diese Daten zu. Soweit die adebar GmbH Daten weisungsgebunden für den Kunden verarbeitet, erfolgt dies nach den Regelungen zur Auftragsverarbeitung.

6. Kategorien verarbeiteter Daten

Verarbeitet werden je nach Nutzung insbesondere Name, geschäftliche Kontaktdaten, Organisationsbezug, Rollen, Kreditkarten-, Abrechnungs- und Belegdaten, Statusinformationen, Bearbeitungshistorien, technische Konfigurationsdaten des Kundentenants und sicherheitsrelevante Zugriffsdaten. Sofern im Kundentenant freigeschaltet, können auch Profilfotos und Teamzuordnungen aus Microsoft Graph angezeigt werden.

7. Empfänger und technische Dienstleister

Empfänger der Daten sind in erster Linie die vom Kunden autorisierten Nutzer innerhalb des jeweiligen Microsoft-365-Tenants. Für Authentifizierung, Datenzugriffe und System-E-Mails werden Dienste von Microsoft, insbesondere Microsoft Entra ID, Teams, Graph, SharePoint und Exchange Online, genutzt. Anbieter ist Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Die Webanwendung wird über Vercel betrieben. Dabei können technische Server- und Protokolldaten verarbeitet werden. Soweit Daten in Drittländer übermittelt werden, erfolgt dies auf Grundlage der gesetzlichen Voraussetzungen und geeigneter Garantien.

8. Speicherdauer

Die Speicherdauer der fachlichen Daten richtet sich nach den Regelungen und Aufbewahrungsfristen des jeweiligen Kundentenants. Technische Protokoll- und Sitzungsdaten werden nur so lange vorgehalten, wie dies für Sicherheit, Fehleranalyse und Betriebsstabilität erforderlich ist.

9. Rechte betroffener Personen

Betroffene Personen haben im Rahmen der gesetzlichen Vorgaben insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch. Anfragen sind in der Regel an den jeweiligen Kunden als fachlich verantwortliche Stelle zu richten. Ergänzend kann eine Kontaktaufnahme über die im Tool hinterlegte Kontaktadresse erfolgen.

10. Sicherheit

Der Zugriff auf das Tool ist durch tenantbezogene Konfiguration, kurzlebige signierte Berechtigungsnachweise, serverseitige Rate-Limits und Microsoft-seitige Authentifizierungsmechanismen abgesichert. Die Sicherheit der im Kundentenant gespeicherten Inhalte richtet sich zusätzlich nach den Sicherheits- und Backup-Konzepten des Kunden innerhalb von Microsoft 365.

11. Beschwerderecht

Betroffene Personen können sich bei einer zuständigen Datenschutzaufsichtsbehörde beschweren. Für die adebar GmbH ist insbesondere der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Schloss Schwerin, Lennéstraße 1, 19053 Schwerin, erreichbar.

ImpressumDatenschutzAGB