1. Verantwortlicher und Rollenverteilung
Verantwortlicher im Sinne der DSGVO für die technische Bereitstellung, Lizenzverwaltung und eigenen Betriebsdaten ist die adebar GmbH, Jagdhaus 7b, 18375 Wieck a. Darß, vertreten durch die Geschäftsführerin Anne Horstmann. E-Mail: info@adebar.de. Niederlassung Hamburg: Neuer Wall 80, 20354 Hamburg. Waterkant.Hamburg ist ein Markenauftritt der adebar GmbH.
Soweit CardCaptain operative Fachdaten im Auftrag eines Kunden verarbeitet, ist regelmäßig der jeweilige Kunde Verantwortlicher und die adebar GmbH Auftragsverarbeiter. Einzelheiten richten sich nach der vertraglichen Vereinbarung und gegebenenfalls einem Vertrag zur Auftragsverarbeitung.
2. Zweck der Verarbeitung
CardCaptain verarbeitet Daten zur strukturierten Erfassung, Bearbeitung, Prüfung und Nachverfolgung von Kreditkarten- und belegbezogenen Vorgängen. Dazu gehören insbesondere Stammdaten zu beteiligten Personen, Kreditkarten-, Beleg- und Projektinformationen, Statusverläufe sowie technisch erforderliche Protokoll- und Sitzungsdaten.
3. Authentifizierung und Zugriffssteuerung
Für den Zugriff auf das Tool werden Microsoft Entra ID und Microsoft Teams SSO verwendet. Dabei verarbeitet das Tool insbesondere geschäftliche E-Mail-Adressen, Mandantenkennungen, Teams- und Sitzungsinformationen sowie sicherheitsrelevante Prüfwerte zur Absicherung gegen unberechtigte Zugriffe.
Für die Sitzung können technisch notwendige Cookies oder lokale Browser-Speicher eingesetzt werden. Sie dienen der Anmeldung und Zugriffssicherung, nicht der werblichen Profilbildung.
4. Rechtsgrundlagen
Die Verarbeitung zur Bereitstellung, Lizenzierung und Authentifizierung erfolgt insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Sicherheits-, Protokoll- und Missbrauchsschutzdaten verarbeitet die adebar GmbH auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Soweit eine Einwilligung erforderlich ist, gilt Art. 6 Abs. 1 lit. a DSGVO. Für operative Kreditkartenabrechnungs- und Beschäftigtendaten im Kundentenant legt der jeweilige Kunde die einschlägigen Rechtsgrundlagen fest.
5. Datenhaltung
Die fachlichen Einträge werden in den vom Kunden hinterlegten SharePoint-Listen im jeweiligen Microsoft-365-Tenant gespeichert. Die Anwendung greift nur im technisch und vertraglich vorgesehenen Umfang auf diese Daten zu. Soweit die adebar GmbH Daten weisungsgebunden für den Kunden verarbeitet, erfolgt dies nach den Regelungen zur Auftragsverarbeitung.
6. Kategorien verarbeiteter Daten
Verarbeitet werden je nach Nutzung insbesondere Name, geschäftliche Kontaktdaten, Organisationsbezug, Rollen, Kreditkarten-, Abrechnungs- und Belegdaten, Statusinformationen, Bearbeitungshistorien, technische Konfigurationsdaten des Kundentenants und sicherheitsrelevante Zugriffsdaten. Sofern im Kundentenant freigeschaltet, können auch Profilfotos und Teamzuordnungen aus Microsoft Graph angezeigt werden.
7. Empfänger und technische Dienstleister
Empfänger der Daten sind in erster Linie die vom Kunden autorisierten Nutzer innerhalb des jeweiligen Microsoft-365-Tenants. Für Authentifizierung, Datenzugriffe und System-E-Mails werden Dienste von Microsoft, insbesondere Microsoft Entra ID, Teams, Graph, SharePoint und Exchange Online, genutzt. Anbieter ist Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Die Webanwendung wird über Vercel betrieben. Dabei können technische Server- und Protokolldaten verarbeitet werden. Soweit Daten in Drittländer übermittelt werden, erfolgt dies auf Grundlage der gesetzlichen Voraussetzungen und geeigneter Garantien.
8. Speicherdauer
Die Speicherdauer der fachlichen Daten richtet sich nach den Regelungen und Aufbewahrungsfristen des jeweiligen Kundentenants. Technische Protokoll- und Sitzungsdaten werden nur so lange vorgehalten, wie dies für Sicherheit, Fehleranalyse und Betriebsstabilität erforderlich ist.
9. Rechte betroffener Personen
Betroffene Personen haben im Rahmen der gesetzlichen Vorgaben insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch. Anfragen sind in der Regel an den jeweiligen Kunden als fachlich verantwortliche Stelle zu richten. Ergänzend kann eine Kontaktaufnahme über die im Tool hinterlegte Kontaktadresse erfolgen.
10. Sicherheit
Der Zugriff auf das Tool ist durch tenantbezogene Konfiguration, kurzlebige signierte Berechtigungsnachweise, serverseitige Rate-Limits und Microsoft-seitige Authentifizierungsmechanismen abgesichert. Die Sicherheit der im Kundentenant gespeicherten Inhalte richtet sich zusätzlich nach den Sicherheits- und Backup-Konzepten des Kunden innerhalb von Microsoft 365.
11. Beschwerderecht
Betroffene Personen können sich bei einer zuständigen Datenschutzaufsichtsbehörde beschweren. Für die adebar GmbH ist insbesondere der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Schloss Schwerin, Lennéstraße 1, 19053 Schwerin, erreichbar.
