hookfree Phishing Engine

Datenschutzerklärung

1. Einleitung

Der Schutz personenbezogener Daten ist uns ein wichtiges Anliegen. Diese Datenschutzerklärung informiert darüber, welche personenbezogenen Daten bei der Nutzung der hookfree Phishing Engine verarbeitet werden, zu welchen Zwecken dies geschieht und welche Rechte betroffene Personen haben.

2. Verantwortlicher

hookfree UG (haftungsbeschränkt)
Geschäftsführer: Thomas Wüsten
Buscher Weg 15
41751 Viersen
E-Mail: info@hookfree.de

3. Zweck der Plattform

Die hookfree Phishing Engine ist eine Plattform zur Vorbereitung, Verwaltung, Durchführung und Auswertung von Phishing-Simulationen und Awareness-Maßnahmen. Die Plattform wird für hookfree-managed Simulationen und perspektivisch für mandantenfähige Self-Service-Modelle eingesetzt.

4. Kategorien personenbezogener Daten

Je nach Nutzung der Plattform können insbesondere folgende Daten verarbeitet werden:

  • Benutzerkonten der Plattform, insbesondere Name, E-Mail-Adresse, Rolle und Mandantenzuordnung
  • Login-, Sitzungs- und Sicherheitsdaten, insbesondere Zeitpunkt des Logins und technische Sitzungsinformationen
  • Empfängerdaten für Simulationen, insbesondere E-Mail-Adresse, Vorname, Nachname, Abteilung und Status
  • Simulationsaufträge, Kampagnen, Empfängerlisten, Testmail-Aufträge und Workflow-Kommunikation
  • Versand- und Zustellinformationen, soweit diese für Durchführung, Fehleranalyse und Reporting erforderlich sind
  • Tracking- und Ereignisdaten, beispielsweise Linkklicks oder Landingpage-Aufrufe, abhängig von den vereinbarten Reporting- und Datenschutzeinstellungen
  • Audit-Logs und Sicherheitsereignisse zur Nachvollziehbarkeit kritischer Aktionen
  • Server-Logdaten wie IP-Adresse, Zeitpunkt des Zugriffs, Browserinformationen, angefragte URL und technische Fehlerdaten

5. Zwecke der Verarbeitung

Die Verarbeitung erfolgt insbesondere zu folgenden Zwecken:

  • Bereitstellung und sicherer Betrieb der Plattform
  • Authentifizierung, Sitzungsverwaltung und Zugriffsschutz
  • Mandantenverwaltung und rollenbasierte Berechtigungssteuerung
  • Vorbereitung, Durchführung und Auswertung von Phishing-Simulationen
  • Versand von Testmails und Simulationsmails über kontrollierte Versandprozesse
  • Darstellung von Reports und datenschutzfreundlichen Auswertungen
  • Fehleranalyse, Missbrauchserkennung und technische Absicherung
  • Auditierung sicherheitsrelevanter und geschäftskritischer Aktionen
  • Erfüllung vertraglicher, gesetzlicher und organisatorischer Pflichten

6. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt, je nach Kontext, auf Grundlage von:

  • Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung gesetzlicher Pflichten
  • Art. 6 Abs. 1 lit. f DSGVO auf Grundlage berechtigter Interessen am sicheren, kontrollierten und nachvollziehbaren Betrieb der Plattform
  • Art. 6 Abs. 1 lit. a DSGVO, sofern eine Einwilligung im konkreten Einzelfall erforderlich ist

Werden personenbezogene Daten im Auftrag eines Kunden verarbeitet, erfolgt dies auf Grundlage der jeweiligen vertraglichen Vereinbarung und, soweit erforderlich, eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.

7. Cookies, lokale Speicherung und Einwilligungsmanagement

Die hookfree Phishing Engine verwendet technisch notwendige Cookies und vergleichbare Technologien, soweit diese für die Anmeldung, Sitzungsverwaltung, Zugriffssicherung und den ordnungsgemäßen Betrieb der Plattform erforderlich sind.

Der Zugriff auf oder die Speicherung von Informationen in der Endeinrichtung erfolgt bei technisch notwendigen Funktionen auf Grundlage von § 25 Abs. 2 TDDDG. Soweit dabei personenbezogene Daten verarbeitet werden, erfolgt die Verarbeitung insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b oder lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, stabilen und kontrollierten Betrieb der Plattform.

Auf den öffentlich zugänglichen Seiten der hookfree Phishing Engine verwenden wir eine selbst entwickelte Einwilligungslösung. Besucher können darin entscheiden, ob neben den technisch notwendigen Funktionen auch optionale Analyse- und Marketing-Technologien verwendet werden dürfen.

Die getroffene Auswahl wird im lokalen Speicher des Browsers gespeichert, damit sie bei späteren Seitenaufrufen berücksichtigt werden kann. Ohne eine entsprechende Einwilligung werden keine optionalen Google-Dienste geladen. Die Auswahl kann jederzeit über den Link „Cookie-Einstellungen“ geändert oder widerrufen werden.

Der geschützte Kunden- und Administrationsbereich der Plattform wird nicht für Marketingzwecke mit Google Ads ausgewertet.

8. Google Ads und Conversion-Messung

Auf den öffentlich zugänglichen Seiten der hookfree Phishing Engine verwenden wir nach Ihrer ausdrücklichen Einwilligung das Google-Ads-Tag der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Die Verarbeitung dient dazu, die Wirksamkeit unserer Werbeanzeigen zu messen und festzustellen, ob Besucher nach dem Aufruf einer Anzeige bestimmte Aktionen auf unserer Website durchführen, beispielsweise eine Registrierung beginnen, ein Formular absenden oder einen Buchungsprozess abschließen.

Dabei können insbesondere folgende Informationen verarbeitet werden:

  • aufgerufene Seiten und ausgeführte Aktionen
  • Zeitpunkt und Herkunft eines Websitebesuchs
  • Browser-, Geräte- und technische Verbindungsinformationen
  • IP-Adresse
  • Anzeigen- und Kampagneninformationen
  • gegebenenfalls von Google gesetzte oder ausgelesene Kennungen

Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG.

Wir verwenden den Google Consent Mode. Dabei wird die im Einwilligungsbanner getroffene Entscheidung an das Google-Tag übergeben. Das Google-Ads-Tag wird in unserer Umsetzung erst geladen, nachdem Sie der Verwendung optionaler Analyse- und Marketing-Technologien zugestimmt haben. Bei einer Ablehnung wird das Google-Ads-Tag nicht geladen.

Eine Verarbeitung durch weitere Unternehmen der Google-Gruppe und eine Übermittlung personenbezogener Daten in Drittländer, insbesondere in die USA, kann nicht ausgeschlossen werden. Weitere Informationen finden Sie in den Datenschutzhinweisen von Google.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen“ ändern oder widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

9. Phishing-Simulationen, Tracking und Reporting

Im Rahmen von Phishing-Simulationen können technische Ereignisse wie Versandstatus, Zustellung, Linkklicks, Landingpage-Aufrufe oder vergleichbare Ereignisse verarbeitet werden. Umfang und Sichtbarkeit dieser Daten richten sich nach dem jeweiligen Auftrag, dem Mandantenmodell, den Reporting-Einstellungen und den vereinbarten Datenschutzvorgaben.

Ziel ist eine datenschutzfreundliche Auswertung. Personenbezogene Detailauswertungen werden nur eingesetzt, wenn dies fachlich erforderlich, vertraglich vereinbart und rechtlich zulässig ist. Aggregierte oder eingeschränkte Auswertungen können eingesetzt werden, um Beschäftigte zu schützen und gleichzeitig Awareness-Maßnahmen messbar zu machen.

10. Audit-Logs und Sicherheitsprotokolle

Kritische Aktionen innerhalb der Plattform können in Audit-Logs protokolliert werden. Dazu gehören beispielsweise Login-Ereignisse, Rollen- und Mandantenaktionen, Änderungen an Kampagnen, Freigaben, Versandstarts, Abbrüche oder sicherheitsrelevante Fehler. Diese Protokolle dienen der Nachvollziehbarkeit, Missbrauchserkennung und Absicherung der Plattform.

11. Empfänger von Daten

Eine Weitergabe personenbezogener Daten erfolgt nur, soweit dies für Betrieb, Vertragserfüllung, technische Bereitstellung, Support, gesetzliche Pflichten oder berechtigte Sicherheitsinteressen erforderlich ist. Soweit Dienstleister eingesetzt werden, erfolgt dies auf Grundlage geeigneter vertraglicher Vereinbarungen und, soweit erforderlich, eines Auftragsverarbeitungsvertrags.

Soweit eine entsprechende Einwilligung erteilt wurde, kann Google Ireland Limited Empfänger von Daten aus der Nutzung der öffentlich zugänglichen Seiten und der Conversion-Messung sein. Eine Verarbeitung durch weitere Unternehmen der Google-Gruppe und eine Übermittlung in Drittländer kann nicht ausgeschlossen werden.

12. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist. Maßgeblich sind insbesondere Vertragslaufzeiten, gesetzliche Aufbewahrungspflichten, Sicherheits- und Nachweisanforderungen sowie vereinbarte Löschfristen. Empfänger-, Kampagnen- und Reportingdaten werden nach den jeweils vereinbarten Datenschutz- und Löschkonzepten verarbeitet.

Die im Browser gespeicherte Einwilligungsentscheidung bleibt gespeichert, bis sie durch den Nutzer geändert, widerrufen oder aus dem lokalen Speicher des Browsers entfernt wird.

Die Speicherdauer der durch Google verarbeiteten Daten richtet sich nach den Einstellungen und Regelungen des jeweiligen Google-Dienstes.

13. Technische und organisatorische Maßnahmen

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Manipulation und Missbrauch zu schützen. Dazu gehören insbesondere rollenbasierte Zugriffskonzepte, Mandantentrennung, Protokollierung, Zugriffsbeschränkungen, verschlüsselte Verbindungen und kontrollierte Versandprozesse.

14. Rechte betroffener Personen

Betroffene Personen haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

  • Auskunft über gespeicherte personenbezogene Daten gemäß Art. 15 DSGVO
  • Berichtigung unrichtiger Daten gemäß Art. 16 DSGVO
  • Löschung personenbezogener Daten gemäß Art. 17 DSGVO
  • Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
  • Datenübertragbarkeit gemäß Art. 20 DSGVO
  • Widerspruch gegen die Verarbeitung gemäß Art. 21 DSGVO
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft

Anfragen können an die oben genannte Kontaktadresse gerichtet werden.

15. Beschwerderecht bei einer Aufsichtsbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung personenbezogener Daten zu beschweren.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich technische, rechtliche oder organisatorische Rahmenbedingungen ändern. Es gilt die jeweils aktuelle Fassung.

Stand: 16.06.2026

Zur Anmeldung
Impressum·Datenschutz