Datenschutzhinweise
für Website, Registrierung und Nutzung der hookfree Phishing Engine
Version: 1.0
Stand: 07.06.2026
Anbieter / Verantwortlicher: hookfree UG (haftungsbeschränkt), Buscher Weg 15, 41751 Viersen
Geschäftsführer: Thomas Wüsten
E-Mail: info@hookfree.de
Website: hookfree.de
1. Einleitung
Der Schutz personenbezogener Daten ist uns ein wichtiges Anliegen.
Mit diesen Datenschutzhinweisen informieren wir Sie darüber, welche personenbezogenen Daten wir verarbeiten, wenn Sie unsere Website besuchen, Kontakt zu uns aufnehmen, sich für die hookfree Phishing Engine registrieren, ein Paket buchen, die Plattform nutzen oder mit uns im Rahmen unserer Leistungen kommunizieren.
Diese Datenschutzhinweise richten sich insbesondere an:
Besucherinnen und Besucher unserer Website,
Interessenten,
Kunden,
Ansprechpartnerinnen und Ansprechpartner von Kunden,
Nutzerinnen und Nutzer der hookfree Phishing Engine,
Personen, die mit uns über Kontaktformulare, E-Mail oder andere Kommunikationswege in Verbindung treten,
Personen, deren Daten im Rahmen von Vertrags- und Geschäftsbeziehungen verarbeitet werden.
Soweit wir im Rahmen von Phishing-Simulationen personenbezogene Daten von Beschäftigten, Mitarbeitenden oder sonstigen Empfängern im Auftrag eines Kunden verarbeiten, erfolgt diese Verarbeitung regelmäßig als Auftragsverarbeitung. Einzelheiten hierzu ergeben sich aus dem Auftragsverarbeitungsvertrag einschließlich der Technischen und Organisatorischen Maßnahmen.
2. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung ist:
hookfree UG (haftungsbeschränkt)
Buscher Weg 15
41751 Viersen
Deutschland
Geschäftsführer: Thomas Wüsten
E-Mail: info@hookfree.de
3. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist derzeit nicht benannt, sofern keine gesetzliche Benennungspflicht besteht.
Bei Fragen zum Datenschutz können Sie sich jederzeit an die oben genannte Kontaktadresse wenden.
4. Allgemeine Hinweise zur Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten nur, soweit dies für die jeweils genannten Zwecke erforderlich ist oder eine gesetzliche Erlaubnis besteht.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Hierzu können beispielsweise Name, E-Mail-Adresse, Telefonnummer, IP-Adresse, Benutzerkennung, Unternehmenszuordnung, Zahlungsstatus, Nutzungsdaten, Logdaten oder Kommunikationsinhalte gehören.
Wir verarbeiten personenbezogene Daten insbesondere auf Grundlage folgender Rechtsgrundlagen:
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung,
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung oder vorvertragliche Maßnahmen,
Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung,
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse,
Art. 28 DSGVO – Auftragsverarbeitung, soweit wir personenbezogene Daten im Auftrag eines Kunden verarbeiten.
5. Besuch unserer Website
Beim Aufruf unserer Website werden technisch erforderliche Daten verarbeitet, damit die Website angezeigt, sicher betrieben und technisch bereitgestellt werden kann.
Hierzu können insbesondere folgende Daten verarbeitet werden:
IP-Adresse,
Datum und Uhrzeit des Zugriffs,
aufgerufene Seite oder Datei,
Referrer-URL,
Browsertyp und Browserversion,
Betriebssystem,
übertragene Datenmenge,
HTTP-Statuscode,
Server-Logdaten.
Die Verarbeitung erfolgt zur Bereitstellung, Stabilität, Sicherheit und Optimierung der Website.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren und funktionsfähigen Betrieb unserer Website.
Server-Logdaten werden nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist, und anschließend gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten oder Sicherheitsgründe eine längere Speicherung erfordern.
6. Kontaktaufnahme
Wenn Sie uns per Kontaktformular, E-Mail, Telefon oder über andere Kommunikationswege kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten.
Hierzu können insbesondere gehören:
Name,
E-Mail-Adresse,
Telefonnummer,
Unternehmen oder Organisation,
Funktion oder Rolle,
Inhalt Ihrer Nachricht,
gewünschte Leistung,
Unternehmensgröße,
Branche,
Zeitpunkt der Anfrage,
technische Metadaten der Kommunikation.
Die Verarbeitung erfolgt zur Bearbeitung Ihrer Anfrage, zur Kommunikation mit Ihnen, zur Angebotserstellung, zur Vertragsanbahnung und zur Dokumentation der Kommunikation.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage auf einen Vertrag oder vorvertragliche Maßnahmen gerichtet ist, sowie Art. 6 Abs. 1 lit. f DSGVO für sonstige Anfragen. Unser berechtigtes Interesse liegt in der sachgerechten Bearbeitung und Dokumentation von Anfragen.
Anfragen werden gelöscht, sobald sie nicht mehr erforderlich sind, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen einer längeren Speicherung entgegenstehen.
7. Registrierung für die hookfree Phishing Engine
Wenn Sie sich für die hookfree Phishing Engine registrieren, verarbeiten wir die Daten, die für die Einrichtung, Prüfung und Verwaltung des Kundenkontos erforderlich sind.
Hierzu können insbesondere gehören:
Benutzer- und Admin-Daten
Vorname,
Nachname,
geschäftliche E-Mail-Adresse,
Passwort bzw. Passwort-Hash,
Rolle oder Funktion im Unternehmen,
Telefonnummer,
Benutzerrolle innerhalb der Plattform,
Aktivierungsstatus,
Zwei-Faktor-Authentifizierungsstatus,
Login- und Sicherheitsstatus,
Zeitpunkt der Registrierung,
Bestätigung der E-Mail-Adresse,
technische Protokolldaten zur Registrierung.
Unternehmens- und Rechnungsdaten
Firmenname,
rechtlicher Unternehmensname,
Rechtsform,
Anschrift,
Land,
Website,
Rechnungs-E-Mail-Adresse,
USt-ID,
Branche,
Anzahl der Mitarbeitenden,
Kundennummer,
primäre Empfängerdomain,
Accountprüfstatus,
Domainprüfstatus.
Vertrags- und Buchungsdaten
gebuchtes Paket,
Vertragsmodell,
Vertragsbeginn,
Vertragsende,
Zahlungsstatus,
Checkout-ID,
gebuchte Zusatzleistungen,
Kontingente,
Zusatzdomains,
Zeitpunkt der Buchung,
akzeptierte Vertragsunterlagen und Versionen.
Die Verarbeitung erfolgt zur Registrierung, Vertragsdurchführung, Accountprüfung, Rechnungsstellung, Bereitstellung der Plattform, Sicherheitsprüfung und Verwaltung des Kundenverhältnisses.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit gesetzliche Aufbewahrungspflichten bestehen, ist Art. 6 Abs. 1 lit. c DSGVO Rechtsgrundlage. Für Sicherheits- und Missbrauchsschutzmaßnahmen ist ergänzend Art. 6 Abs. 1 lit. f DSGVO einschlägig.
8. E-Mail-Bestätigung, Aktivierungslinks und Passwort-Reset
Für die Einrichtung und Sicherheit von Benutzerkonten verarbeiten wir Daten im Zusammenhang mit Aktivierungslinks, Passwort-Reset-Links und sicherheitsrelevanten E-Mails.
Hierzu können insbesondere gehören:
E-Mail-Adresse,
Benutzer-ID,
Token-Status,
Zweck des Tokens,
Ablaufzeitpunkt,
Zeitpunkt der Nutzung,
IP-bezogene Sicherheitsinformationen,
Protokolldaten zur Auslösung und Verwendung.
Aktivierungs- und Reset-Tokens werden nicht als Klartext veröffentlicht und nur für den jeweiligen Sicherheitszweck verwendet.
Die Verarbeitung erfolgt zur sicheren Kontoaktivierung, zur Wiederherstellung des Zugangs, zur Verhinderung von Missbrauch und zur Dokumentation sicherheitsrelevanter Vorgänge.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
9. Zwei-Faktor-Authentifizierung und Sicherheitsfunktionen
Für geschützte Funktionen der Plattform kann die Nutzung einer Zwei-Faktor-Authentifizierung erforderlich sein.
Dabei verarbeiten wir insbesondere:
Benutzerkennung,
Status der Zwei-Faktor-Authentifizierung,
Zeitpunkt der Aktivierung,
Zeitpunkt einer Deaktivierung oder Zurücksetzung,
technische Sicherheitsdaten,
Audit-Log-Einträge.
Soweit technische Geheimnisse oder Secrets für die Zwei-Faktor-Authentifizierung verwendet werden, werden diese besonders geschützt gespeichert und nicht im Klartext angezeigt.
Die Verarbeitung erfolgt zum Schutz von Benutzerkonten, Kundendaten und Plattformfunktionen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Absicherung der Plattform und der Verhinderung unbefugter Zugriffe.
10. Nutzung der hookfree Phishing Engine
Bei Nutzung der Plattform verarbeiten wir Daten, die für die Bereitstellung, Verwaltung, Sicherheit und Nachvollziehbarkeit der Plattform erforderlich sind.
Hierzu können insbesondere gehören:
Benutzer-ID,
Mandanten- bzw. Organisationszuordnung,
Benutzerrolle,
Login-Zeitpunkte,
Sitzungsinformationen,
technische Nutzungsdaten,
IP-bezogene Sicherheitsinformationen,
aufgerufene Funktionen,
angelegte oder bearbeitete Empfängerlisten,
Simulationen und Aufträge,
Testmail-Anfragen,
Freigaben,
Feedback im Workflow,
Shopkäufe,
Vertrags- und Kontingentinformationen,
Audit-Log-Einträge.
Die Verarbeitung erfolgt zur Vertragserfüllung, zur Bereitstellung der Plattform, zur Sicherstellung der Mandantentrennung, zur Nachvollziehbarkeit sicherheitsrelevanter Aktionen und zur Missbrauchsvermeidung.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
11. Account- und Domainprüfung
Bei Self-Service-Registrierungen prüfen wir die angegebenen Unternehmensdaten, die geschäftliche E-Mail-Adresse und die angegebene oder abgeleitete Empfängerdomain.
Dabei können insbesondere verarbeitet werden:
Unternehmensdaten,
Admin-E-Mail-Adresse,
abgeleitete Domain,
Website,
Domainstatus,
Prüfstatus,
interne Prüfhistorie,
Rückfragen,
Freigabe- oder Ablehnungsentscheidung,
Zahlungsstatus.
Die Prüfung dient dazu, Missbrauch zu verhindern, die Berechtigung zur Nutzung der angegebenen Domain zu plausibilisieren und sicherzustellen, dass Simulationen nur im berechtigten organisatorischen Umfeld durchgeführt werden.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, rechtmäßigen und missbrauchsarmen Bereitstellung der Plattform.
12. Zahlungsabwicklung über Stripe
Wenn Sie kostenpflichtige Leistungen über die Plattform buchen, kann die Zahlungsabwicklung über den Zahlungsdienstleister Stripe erfolgen.
Je nach Zahlungsart und Checkout-Prozess können dabei insbesondere folgende Daten verarbeitet und an Stripe übermittelt werden:
Name oder Unternehmensname,
E-Mail-Adresse,
Rechnungsdaten,
Zahlungsbetrag,
Währung,
gebuchtes Produkt,
Checkout-ID,
Zahlungsstatus,
technische Zahlungsinformationen,
Rechnungs- und Beleginformationen.
Vollständige Zahlungsdaten, etwa vollständige Kreditkartennummern, werden von uns nicht gespeichert.
Die Verarbeitung erfolgt zur Durchführung der Zahlung, zur Vertragsabwicklung, zur Abrechnung und zur Zahlungsdokumentation.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. c DSGVO, soweit steuer- und handelsrechtliche Aufbewahrungspflichten bestehen.
Für die Verarbeitung durch Stripe gelten zusätzlich die Datenschutzinformationen von Stripe.
13. Shop, Zusatzkäufe und Rechnungsanfragen
Wenn Sie Zusatzleistungen, Zusatzsimulationen, Zusatzdomains, Serviceleistungen oder andere Shop-Produkte buchen oder anfragen, verarbeiten wir die dafür erforderlichen Daten.
Hierzu können insbesondere gehören:
Kundenkonto,
Mandant,
Benutzer,
Produkt,
Menge,
Preis,
Zahlungsstatus,
Domainangaben,
Zusatzinformationen zur Leistung,
Rechnungsanfrage,
interne Bearbeitungsnotizen,
E-Mail-Bestätigungen,
Freigabe- oder Ablehnungsstatus.
Die Verarbeitung erfolgt zur Durchführung des Kaufs, zur Prüfung von Zusatzdomains, zur Bereitstellung der Zusatzleistung, zur Kommunikation und zur Abrechnung.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
14. Systemmails und Benachrichtigungen
Wir versenden E-Mails, die für Registrierung, Aktivierung, Vertragsdurchführung, Sicherheit, Shopkäufe, Domainprüfung, Support oder Plattformbetrieb erforderlich sind.
Hierzu können insbesondere gehören:
Aktivierungsmails,
Passwort-Reset-Mails,
Sicherheitsbenachrichtigungen,
Shop-Bestätigungen,
Hinweise zu Domainprüfungen,
Hinweise zu Accountfreigaben,
interne Benachrichtigungen an hookfree,
vertragsbezogene E-Mails.
Dabei werden insbesondere E-Mail-Adresse, Name, Unternehmensbezug, gebuchtes Paket, Statusinformationen und erforderliche technische Versanddaten verarbeitet.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
15. Empfängerlisten und Simulationsempfänger
Wenn Kunden Empfängerlisten in der hookfree Phishing Engine anlegen oder verwenden, können personenbezogene Daten der vorgesehenen Simulationsempfänger verarbeitet werden.
Hierzu können insbesondere gehören:
E-Mail-Adresse,
Vorname,
Nachname,
Abteilung oder Organisationseinheit,
optionale Gruppenzuordnung,
Importstatus,
Validierungsstatus,
Zugehörigkeit zu einer Empfängerliste,
Teilnahme an einer Simulation.
Diese Verarbeitung erfolgt regelmäßig im Auftrag des Kunden. Der Kunde bleibt Verantwortlicher für die Rechtmäßigkeit der Bereitstellung und Nutzung dieser Daten.
hookfree verarbeitet diese Daten im Rahmen der vereinbarten Leistungen, insbesondere zur Vorbereitung, Durchführung und Auswertung der Phishing-Simulationen.
Rechtsgrundlage für die Verarbeitung durch hookfree im Verhältnis zum Kunden ist Art. 28 DSGVO in Verbindung mit dem Auftragsverarbeitungsvertrag.
16. Durchführung von Phishing-Simulationen
Im Rahmen einer Phishing-Simulation können je nach Szenario, Plattformkonfiguration und Reporting-Einstellungen personenbezogene oder pseudonyme Ereignisdaten verarbeitet werden.
Hierzu können insbesondere gehören:
Empfängerbezug,
Versandstatus,
Zustellstatus,
Bounce- oder Fehlerstatus,
Zeitpunkt des Versands,
Zeitpunkt eines Link-Klicks,
Trackingereignisse,
Formularereignisse,
Abteilungs- oder Gruppenzuordnung,
pseudonymisierte technische Metadaten,
Hashwerte technischer Informationen,
Kampagnenzuordnung,
Berichtsdaten.
Die Auswertung erfolgt grundsätzlich datenschutzfreundlich und nach den für den Kunden festgelegten Reportingregeln.
Soweit personenbezogene Detailauswertungen aktiviert sind, erfolgt dies im Rahmen der vertraglichen Vereinbarung und Verantwortung des Kunden.
Die Verarbeitung erfolgt im Auftrag des Kunden auf Grundlage von Art. 28 DSGVO und dem Auftragsverarbeitungsvertrag.
17. Formular- und Login-Simulationen
Soweit Simulationen Formular- oder Login-Elemente enthalten, dienen diese ausschließlich der kontrollierten Awareness-Simulation.
Eingegebene Rohwerte, insbesondere Passwörter, Zugangscodes, Zahlungsdaten oder vergleichbare sensible Inhalte, werden nicht als Klarwerte gespeichert.
Die Plattform kann erfassen, ob ein Formular abgesendet wurde oder ob bestimmte Eingabetypen genutzt wurden, beispielsweise ob ein E-Mail-Feld oder Passwortfeld befüllt wurde. Die konkrete Eingabe selbst ist nicht Gegenstand der Speicherung oder Auswertung.
Diese Verarbeitung erfolgt zur datenschutzfreundlichen Durchführung und Auswertung der Simulation im Auftrag des Kunden.
18. Tracking, technische Ereignisse und Sicherheitslogs
Zur Durchführung von Simulationen und zum sicheren Plattformbetrieb werden technische Ereignisse verarbeitet.
Hierzu können insbesondere gehören:
Trackingtoken,
Kampagnenbezug,
Ereignistyp,
Zeitpunkt,
pseudonymisierte technische Metadaten,
Hashwerte von IP-bezogenen Informationen,
Hashwerte von User-Agent-Informationen,
Fehlerereignisse,
Versandereignisse,
Sicherheitsereignisse.
Soweit möglich und zweckmäßig, werden technische Daten pseudonymisiert, gekürzt oder gehasht verarbeitet.
Die Verarbeitung erfolgt zur Durchführung der Simulation, zur Auswertung, zur Missbrauchserkennung, zur Systemsicherheit und zur Nachvollziehbarkeit.
Rechtsgrundlagen sind im Kundenverhältnis Art. 28 DSGVO sowie für eigene Sicherheitszwecke Art. 6 Abs. 1 lit. f DSGVO.
19. Reports und Auswertungen
Die Plattform kann Reports, PDF-Berichte, Ergebnisübersichten oder sonstige Auswertungen erzeugen.
Je nach Konfiguration können diese enthalten:
aggregierte Versanddaten,
Klickquoten,
Zeitverläufe,
Abteilungsauswertungen,
Gruppenberichte,
Hinweise zu Datenschutz- und Reportingregeln,
personenbezogene Interaktionsübersichten, sofern ausdrücklich freigeschaltet.
Standardmäßig werden Reports datenschutzfreundlich und aggregiert erstellt. Personenbezogene Detaildaten werden nur angezeigt oder exportiert, wenn dies freigeschaltet, vertraglich vorgesehen und datenschutzrechtlich durch den Kunden verantwortet ist.
Die Verarbeitung erfolgt im Auftrag des Kunden auf Grundlage des Auftragsverarbeitungsvertrags.
20. Audit-Logs
Zur Nachvollziehbarkeit sicherheitsrelevanter und vertragsrelevanter Aktionen führen wir Audit-Logs.
Audit-Logs können insbesondere folgende Informationen enthalten:
ausführender Benutzer,
Organisation bzw. Mandant,
Aktion,
Zeitpunkt,
betroffene Ressource,
technische Metadaten,
Zusammenfassung der Aktion,
Status oder Ergebnis.
Audit-Logs dienen der Sicherheit, Nachvollziehbarkeit, Missbrauchsvermeidung, Fehleranalyse und Erfüllung vertraglicher sowie rechtlicher Anforderungen.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. f DSGVO sowie, soweit erforderlich, Art. 6 Abs. 1 lit. c DSGVO.
21. Support und Kommunikation im Kundenverhältnis
Wenn Sie Supportanfragen stellen oder mit uns im Rahmen des Kundenverhältnisses kommunizieren, verarbeiten wir die dafür erforderlichen Daten.
Hierzu können insbesondere gehören:
Name,
E-Mail-Adresse,
Unternehmen,
Benutzerrolle,
Inhalt der Anfrage,
technische Informationen,
Fehlermeldungen,
betroffene Plattformfunktionen,
Bearbeitungsverlauf,
interne Notizen.
Die Verarbeitung erfolgt zur Bearbeitung der Anfrage, zur Fehleranalyse, zur Verbesserung der Plattform und zur Vertragsdurchführung.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
22. Newsletter, Marketing und Informationsmails
Soweit wir Newsletter oder werbliche Informationen anbieten, erfolgt der Versand nur auf Grundlage einer Einwilligung oder einer sonstigen gesetzlichen Erlaubnis.
Bei Anmeldung zu einem Newsletter können insbesondere verarbeitet werden:
E-Mail-Adresse,
Name,
Zeitpunkt der Anmeldung,
Bestätigungsstatus,
technische Nachweise der Einwilligung,
Abmeldestatus.
Sie können eine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO.
Vertragsrelevante Systemmails, Sicherheitsmails oder notwendige Kundeninformationen sind keine werblichen Newsletter und können unabhängig von einer Newslettereinwilligung versendet werden.
23. Cookies und vergleichbare Technologien
Unsere Website und Plattform können Cookies oder vergleichbare Technologien verwenden.
Technisch notwendige Cookies werden eingesetzt, um grundlegende Funktionen bereitzustellen, insbesondere:
Sitzungssteuerung,
Login-Funktion,
Sicherheitsfunktionen,
CSRF- und Missbrauchsschutz,
Speicherung technischer Zustände,
Warenkorb- oder Checkout-Funktionen, soweit erforderlich.
Rechtsgrundlage für technisch notwendige Cookies ist Art. 6 Abs. 1 lit. f DSGVO, bei vertragsbezogenen Plattformfunktionen zusätzlich Art. 6 Abs. 1 lit. b DSGVO.
Analyse- oder Marketing-Cookies werden nur eingesetzt, wenn eine entsprechende Rechtsgrundlage vorliegt, insbesondere eine Einwilligung, sofern diese erforderlich ist.
24. Empfänger personenbezogener Daten
Personenbezogene Daten können im erforderlichen Umfang an Empfänger weitergegeben werden.
Hierzu können insbesondere gehören:
Hosting- und Infrastruktur-Dienstleister,
E-Mail- und Kommunikationsdienstleister,
Zahlungsdienstleister,
Steuerberater oder Buchhaltungsdienstleister,
Rechtsberater,
IT-Dienstleister,
Behörden oder öffentliche Stellen, soweit gesetzlich erforderlich,
Kunden bzw. berechtigte Nutzer innerhalb eines Mandanten,
Subunternehmer im Rahmen der Auftragsverarbeitung.
Eine Weitergabe erfolgt nur, wenn dies für die genannten Zwecke erforderlich ist, eine Rechtsgrundlage besteht oder eine gesetzliche Verpflichtung vorliegt.
25. Hosting und technische Infrastruktur
Die Plattform und damit zusammenhängende Systeme werden auf technischer Infrastruktur betrieben, die für die Bereitstellung der Leistungen erforderlich ist.
Dabei können personenbezogene Daten auf Servern, Datenbanken, Backup-Systemen, Logsystemen und sonstigen technischen Komponenten verarbeitet werden.
Wir treffen angemessene technische und organisatorische Maßnahmen, um die Daten zu schützen, insbesondere durch Zugriffsbeschränkungen, Verschlüsselung bei der Übertragung, Rollen- und Berechtigungskonzepte, Protokollierung, Backup-Konzepte und weitere Sicherheitsmaßnahmen.
Einzelheiten zur Auftragsverarbeitung und zu den Technischen und Organisatorischen Maßnahmen werden im AVV und in den TOMs geregelt.
26. Drittlandübermittlungen
Eine Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, wenn hierfür eine geeignete Rechtsgrundlage besteht.
Dies kann insbesondere der Fall sein, wenn Dienstleister mit Sitz oder Konzernbezug in einem Drittland eingesetzt werden, beispielsweise Zahlungsdienstleister oder bestimmte IT-Dienstleister.
Soweit erforderlich, werden geeignete Garantien eingesetzt, insbesondere Angemessenheitsbeschlüsse, Standardvertragsklauseln oder sonstige gesetzlich vorgesehene Mechanismen.
27. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
Die Speicherdauer richtet sich insbesondere nach:
Vertragsdauer,
gesetzlichen Aufbewahrungspflichten,
steuer- und handelsrechtlichen Pflichten,
Sicherheitsanforderungen,
Nachweis- und Dokumentationspflichten,
vereinbarten Löschfristen,
Auftragsverarbeitungsvertrag,
berechtigten Interessen im Einzelfall.
Personenbezogene Daten aus Kontaktanfragen werden gelöscht, sobald die Anfrage abgeschlossen ist und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen entgegenstehen.
Vertrags- und Rechnungsdaten werden entsprechend gesetzlicher Aufbewahrungspflichten gespeichert.
Empfänger- und Simulationsdaten werden nach den im Vertrag, AVV oder in den Plattformregeln festgelegten Lösch- und Aufbewahrungsfristen gelöscht, anonymisiert oder pseudonymisiert.
Soweit Daten zur Sicherheit, Missbrauchsvermeidung oder Nachweisführung erforderlich sind, können sie für einen angemessenen Zeitraum gespeichert werden.
28. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff, Veränderung oder Offenlegung zu schützen.
Hierzu können insbesondere gehören:
TLS-Verschlüsselung bei der Übertragung,
rollenbasierte Zugriffskontrollen,
Mandantentrennung,
Zwei-Faktor-Authentifizierung,
Passwortschutz,
Zugriffsbeschränkungen,
Protokollierung sicherheitsrelevanter Aktionen,
Sicherheitsheader,
Rate-Limits,
Backup- und Wiederherstellungsprozesse,
Schutz vor unbefugten Zugriffen,
regelmäßige technische Weiterentwicklung.
Die konkreten Maßnahmen können abhängig von Plattformbereich, Datenkategorie und technischer Entwicklung angepasst werden.
29. Pflicht zur Bereitstellung personenbezogener Daten
Die Bereitstellung bestimmter personenbezogener Daten ist erforderlich, um die Website, Kommunikation, Registrierung, Vertragsdurchführung, Zahlung, Accountprüfung oder Plattformnutzung zu ermöglichen.
Ohne erforderliche Daten können bestimmte Leistungen nicht bereitgestellt werden.
Beispielsweise können wir ohne geschäftliche E-Mail-Adresse kein Benutzerkonto aktivieren, ohne Unternehmensdaten keine Accountprüfung durchführen und ohne Zahlungsdaten keine kostenpflichtige Buchung abwickeln.
30. Automatisierte Entscheidungen
Eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt.
Bestimmte technische Prüfungen, Validierungen, Sicherheitsprüfungen oder Statusänderungen können automatisiert unterstützt werden. Eine endgültige Account- oder Domainfreigabe kann durch hookfree geprüft und entschieden werden.
31. Rechte betroffener Personen
Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen folgende Rechte:
Recht auf Auskunft nach Art. 15 DSGVO,
Recht auf Berichtigung nach Art. 16 DSGVO,
Recht auf Löschung nach Art. 17 DSGVO,
Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO,
Recht auf Datenübertragbarkeit nach Art. 20 DSGVO,
Recht auf Widerspruch nach Art. 21 DSGVO,
Recht auf Widerruf einer Einwilligung nach Art. 7 Abs. 3 DSGVO,
Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde nach Art. 77 DSGVO.
Zur Ausübung Ihrer Rechte können Sie sich an info@hookfree.de wenden.
Soweit wir personenbezogene Daten im Auftrag eines Kunden verarbeiten, leiten wir Anfragen betroffener Personen gegebenenfalls an den jeweiligen Verantwortlichen weiter oder stimmen die Bearbeitung mit diesem ab.
32. Widerspruchsrecht nach Art. 21 DSGVO
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen Verarbeitungen Widerspruch einzulegen, die auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruhen.
Wir verarbeiten die betroffenen personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
33. Widerruf von Einwilligungen
Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt.
34. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.
Sie können sich insbesondere an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Datenschutzverstoßes wenden.
35. Änderungen dieser Datenschutzhinweise
Wir behalten uns vor, diese Datenschutzhinweise anzupassen, wenn sich technische, rechtliche oder organisatorische Änderungen ergeben.
Die jeweils aktuelle Fassung wird auf unserer Website oder innerhalb der Plattform bereitgestellt.
Bei wesentlichen Änderungen können wir Kunden zusätzlich innerhalb der Plattform oder per E-Mail informieren.
36. Kontakt
Bei Fragen zum Datenschutz wenden Sie sich bitte an:
hookfree UG (haftungsbeschränkt)
Buscher Weg 15
41751 Viersen
E-Mail: info@hookfree.de