Datenschutzerklärung

Die empowsec Corporation ("Unternehmen", "wir", "uns" oder "unser") verpflichtet sich, Ihre personenbezogenen Daten zu schützen. Diese Datenschutzerklärung erläutert, wie wir Informationen erheben, verwenden, offenlegen und schützen, wenn Sie unsere Security-Awareness-Trainingsplattform nutzen, empowsec.com besuchen oder mit uns interagieren.

Durch Zugriff auf den Service bestätigen Sie, dass Sie diese Datenschutzerklärung gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, stellen Sie die Nutzung des Service bitte ein.

• Kontoinformationen: Name, E-Mail-Adresse, Unternehmensname, Berufsbezeichnung, Telefonnummer, Rechnungsadresse und Profildaten.
• Zahlungsinformationen: Abrechnungsdaten und Zahlungsmetadaten, die über Stripe verarbeitet werden. Vollständige Kartendaten speichern wir nicht auf unseren Servern.
• Mitarbeiterdaten: Namen, E-Mail-Adressen, Abteilungszuordnungen und Benutzerdaten, die über den Service hochgeladen oder bereitgestellt werden.
• Nutzungs- und Simulationsdaten: Schulungsfortschritt, Quizwerte, Zertifikate, Phishing-Simulations-Öffnungen, Klicks, Eingaben, Meldungen und Lernaktivitäten.
• Geräte- und Protokolldaten: IP-Adresse, Browser, Betriebssystem, Gerätekennungen, Spracheinstellungen, Zugriffszeiten, besuchte Seiten, Referrer, Cookies und ähnliche Technologien.
• Daten Dritter: Profildaten aus SSO, OIDC, SAML, Google, Microsoft, Empfehlungslinks, Affiliates oder Reseller-Zuordnung.

• Bereitstellung, Betrieb, Wartung und Absicherung des Service.
• Auslieferung von Schulungsinhalten, Durchführung von Phishing-Simulationen, Erstellung von Analysen und Berichten, Ausstellung von Zertifikaten und Kontoverwaltung.
• Verarbeitung von Abonnements, Rechnungen, Zahlungen, Supportanfragen, Servicehinweisen, Passwortzurücksetzungen, Abrechnungsbenachrichtigungen und Sicherheitswarnungen.
• Verbesserung des Service, Entwicklung neuer Funktionen, Analyse von Nutzungsmustern, Verhinderung von Betrug und Missbrauch, Reaktion auf Sicherheitsvorfälle und Einhaltung gesetzlicher Pflichten.
• Versand von Marketingkommunikation, soweit gesetzlich zulässig und entsprechend Ihren Einwilligungseinstellungen.

• Vertragserfüllung: Verarbeitung, die zur Bereitstellung des Service, Kontoverwaltung und Zahlungsabwicklung erforderlich ist.
• Berechtigte Interessen: Verarbeitung für Sicherheit, Betrugsprävention, Serviceverbesserung und Geschäftsbetrieb, soweit Ihre Rechte nicht überwiegen.
• Einwilligung: Verarbeitung auf Grundlage Ihrer Einwilligung, z. B. optionale Cookies oder Marketingkommunikation.
• Gesetzliche Pflicht: Verarbeitung zur Einhaltung geltender Gesetze oder durchsetzbarer behördlicher Anforderungen.

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir können Informationen an vertrauenswürdige Dienstleister, Administratoren Ihrer Organisation, Reseller oder White-Label-Partner, soweit zutreffend, Behörden bei rechtlicher Verpflichtung, Parteien einer Unternehmensübertragung und andere Empfänger mit Ihrer Einwilligung weitergeben.

Wir speichern personenbezogene Daten, solange Ihr Konto aktiv ist oder dies zur Bereitstellung des Service erforderlich ist. Nach Vertragsende werden Daten für einen angemessenen Zeitraum, typischerweise 30 Tage, zur Reaktivierung oder zum Export gespeichert und danach gelöscht oder anonymisiert, sofern keine längere Aufbewahrung aus rechtlichen, Streitbeilegungs-, Sicherheits- oder berechtigten Geschäftszwecken erforderlich ist.

• Erforderliche Cookies: Authentifizierung, Sitzungsverwaltung, CSRF-Schutz und notwendige Plattformfunktionen.
• Analyse- und Präferenz-Cookies: Nutzungsmessung, Produktverbesserung, Sprache, Design und Anzeigeeinstellungen.
• Tracking von Phishing-Simulationen: Tracking-Pixel und eindeutige Links, die nur zur Messung simulierter Kampagnen für berechtigte Administratoren verwendet werden.

Die meisten Browser erlauben Cookie-Einstellungen. Das Deaktivieren bestimmter Cookies kann die Funktion des Service beeinträchtigen.

• Verschlüsselung bei Übertragung und Speicherung.
• Rollenbasierte Zugriffskontrollen und Prinzip der geringsten Rechte.
• Sicherheitsprüfungen, sichere Entwicklung, Code-Reviews, Incident Response, Mitarbeiterschulungen und Zugriffsaudits.

Keine Übertragungs- oder Speichermethode ist vollständig sicher. Wir verpflichten uns jedoch, Sicherheitsvorfälle zügig zu bearbeiten.

Ihre Informationen können in Länder außerhalb Ihres Wohnsitzlandes, einschließlich der USA, übertragen und dort verarbeitet werden. Für Übermittlungen aus dem EWR, dem Vereinigten Königreich oder der Schweiz nutzen wir geeignete Garantien wie Standardvertragsklauseln oder andere rechtlich anerkannte Mechanismen.

Je nach Rechtsordnung haben Sie Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch gegen Verarbeitung und Widerruf einer Einwilligung.

Personen im EWR, Vereinigten Königreich, der Schweiz und in Kalifornien können zusätzliche Rechte nach DSGVO, gleichwertigen Gesetzen oder CCPA haben. Sie können außerdem Beschwerde bei einer Aufsichtsbehörde einlegen.

Zur Ausübung dieser Rechte kontaktieren Sie [email protected]. Wir antworten innerhalb von 30 Tagen oder schneller, wenn gesetzlich erforderlich, und können Ihre Identität prüfen.

Kunde als Verantwortlicher. Wenn Sie Mitarbeiterdaten über den Service verarbeiten, handeln Sie als Verantwortlicher und wir als Auftragsverarbeiter nach Ihren dokumentierten Weisungen.

Verfügbarkeit eines AVV. Wir bieten eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO an. Fordern Sie diese über [email protected] an.

Unterauftragsverarbeiter. Wir nutzen eine begrenzte Anzahl von Unterauftragsverarbeitern zur Bereitstellung des Service und informieren über wesentliche Änderungen, die personenbezogene Daten betreffen.

• Umfang: Wir erfassen Öffnungen, Klicks, simulierte Anmeldedaten-Ereignisse und Meldungen über das Outlook-Add-in.
• Keine Speicherung echter Zugangsdaten: Auf simulierten Landingpages eingegebene Daten werden sofort verworfen; nur das Ereignis wird protokolliert.
• Datenzugriff: Ergebnisse sind nur für berechtigte Administratoren und zutreffende Reseller oder White-Label-Partner verfügbar.
• Zweckbindung: Simulationsdaten werden für Security-Awareness-Bewertung und Schulung verwendet.

Der Service richtet sich nicht an Personen unter 16 Jahren. Wenn wir erfahren, dass wir personenbezogene Daten eines Kindes unter 16 Jahren ohne elterliche Einwilligung erhoben haben, löschen wir diese unverzüglich. Kontaktieren Sie [email protected], wenn Sie dies vermuten.

Der Service kann Links zu Diensten Dritter enthalten oder mit diesen integriert sein. Für deren Datenschutzpraktiken sind wir nicht verantwortlich. Bitte prüfen Sie deren Datenschutzhinweise.

Wir können diese Datenschutzerklärung aktualisieren, um Änderungen unserer Praktiken, des Service oder geltenden Rechts abzubilden. Wesentliche Änderungen werden mit aktualisiertem Datum veröffentlicht; Änderungen mit wesentlichen Auswirkungen auf die Verarbeitung werden, soweit angemessen, zusätzlich mitgeteilt.

Die fortgesetzte Nutzung des Service nach Wirksamwerden gilt als Annahme der überarbeiteten Datenschutzerklärung.

Bei Fragen, Anliegen oder Anfragen zu dieser Datenschutzerklärung oder unseren Datenpraktiken kontaktieren Sie uns:

Wenn Sie sich im EWR befinden und der Ansicht sind, dass Ihre Datenschutzrechte nicht angemessen berücksichtigt wurden, können Sie Beschwerde bei Ihrer lokalen Datenschutzaufsichtsbehörde einlegen.