Auftragsverarbeitungsvereinbarung yourMAIL Teams für Office 365 (Softwareversion 2025.1)

Note: The English version of this document can be found at the end of this text.

1. Gegenstand der Verarbeitung

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden im Rahmen des „Bereits abgelegt“-Features. Ziel ist es, Mitarbeitenden anzuzeigen, wenn eine E-Mail bereits von einem Kollegen abgelegt oder zu Planner zugeordnet wurde.

Hierzu wird aus E-Mail-Metadaten ein pseudonymisierter Hash gebildet und an einen von yourMAIL betriebenen Azure-Dienst (EU) übermittelt. Bei Übereinstimmung wird im Outlook-Postfach automatisch die Kategorie „Teams“ oder „Planner“ gesetzt. yourMAIL verarbeitet keine Inhalte, Anhänge oder personenbezogenen Daten aus E-Mails.

2. Art und Zweck der Verarbeitung

Art: Erheben, Speichern und Abgleichen pseudonymisierter Hash-Codes und Benutzerkennungen.
Zweck: Erkennung bereits abgelegter oder zugeordneter E-Mails zur Verbesserung der Zusammenarbeit.

3. Kategorien betroffener Personen

Mitarbeiter des Kunden, die die yourMAIL-Software verwenden.

4. Arten personenbezogener Daten

  • Pseudonymisierte Hash-Codes
  • Microsoft-365-Benutzerkennung (z. B. UPN oder pseudonymisierte ID)

5. Unterauftragsverarbeiter

Zur Bereitstellung der Dienste setzt yourMAIL Microsoft Ireland Operations Ltd. ein (EU-Rechenzentren). Abgesichert durch Standardvertragsklauseln (SCC) und Data Privacy Framework (DPF). yourMAIL informiert über Änderungen und gewährt Widerspruchsrecht.

6. Rechte und Pflichten des Kunden

Der Kunde bleibt Verantwortlicher im Sinne der DSGVO. yourMAIL verarbeitet Daten ausschließlich auf dokumentierte Weisung des Kunden.

7. Technische und Organisatorische Maßnahmen

yourMAIL setzt Maßnahmen nach Art. 32 DSGVO um:

  • Zugriffsschutz und Rollenprinzip
  • Verschlüsselung bei Übertragung und Speicherung
  • Protokollierung und Prüfung
  • Sicherung der Systemverfügbarkeit

8. Unterstützung bei Betroffenenrechten

yourMAIL unterstützt den Kunden bei der Erfüllung seiner Pflichten gegenüber Betroffenen.

9. Löschung von Daten

Nach Vertragsende werden Hash-Codes und zugehörige Daten innerhalb von 90 Tagen gelöscht, sofern keine gesetzlichen Pflichten bestehen. Abrechnungsdaten bleiben unberührt und werden nach gesetzlichen Vorgaben aufbewahrt.

10. Vertragsdauer

Dieser AVV gilt für die Dauer des Hauptvertrags (EULA).

11. Nachweis- und Kontrollrechte

yourMAIL ermöglicht dem Kunden, sich von der Einhaltung der DSGVO-Pflichten zu überzeugen und stellt auf Anfrage Nachweise (z. B. Zertifikate) bereit.

12. Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand ist Berlin.

Data Processing Agreement (DPA) yourMAIL

1. Subject of Processing

This Agreement governs the processing of personal data on behalf of the Customer within the “Already Filed” feature. The purpose is to inform employees when an email has already been filed or assigned to Planner. A pseudonymized hash is generated from email metadata and transmitted to a yourMAIL-controlled Azure service (EU). If a match is found, the Outlook category “Teams” or “Planner” is assigned. yourMAIL does not process email content or attachments.

2. Nature and Purpose

Nature: Collection, storage, and comparison of pseudonymized hash codes and user identifiers.
Purpose: Detection of already filed or assigned emails to improve collaboration.

3. Categories of Data Subjects

Employees of the customer using the yourMAIL software.

4. Categories of Personal Data

  • Pseudonymized hash codes
  • Microsoft 365 user ID (e.g., UPN or pseudonymized ID)

5. Subprocessor

yourMAIL uses Microsoft Ireland Operations Ltd. (EU datacenters) as subprocessor, secured via SCCs and DPF. Customers are informed of changes and may object.

6. Rights and Obligations of the Customer

The customer remains the controller under GDPR. yourMAIL acts only on documented instructions.

7. Technical and Organizational Measures

Measures per Art. 32 GDPR:

  • Access control and role principle
  • Encryption in transit and at rest
  • Logging and review
  • Availability assurance

8. Assistance with Data Subject Rights

yourMAIL assists the customer in fulfilling data subject requests.

9. Data Deletion

After termination, hash data is deleted within 90 days unless legally required. Accounting data remains stored under statutory retention obligations.

10. Term

This Agreement applies for the duration of the main contract (EULA).

11. Audit and Verification Rights

yourMAIL allows the customer to verify compliance with GDPR and provides relevant documentation upon request.

12. Final Provisions

German law applies. Place of jurisdiction is Berlin.