Leistungsbeschreibung / Produktbedingungen
hookfree Phishing Engine – Managed Phishing-Simulationen
Version: 1.0
Stand: 07.06.2026
Anbieter: hookfree UG (haftungsbeschränkt), Buscher Weg 15, 41751 Viersen
Produkt: hookfree Phishing Engine
Geltungsbereich: Managed Phishing Engine, Managed-Self-Service, Pilot-Simulationen, Zusatzleistungen und Shop-Produkte
1. Zweck dieser Leistungsbeschreibung
Diese Leistungsbeschreibung konkretisiert den Leistungsumfang der hookfree Phishing Engine im Managed-Modell. Sie beschreibt, welche Leistungen im jeweiligen Paket enthalten sind, welche Voraussetzungen für die Nutzung gelten, welche Mitwirkungspflichten der Kunde hat und welche Leistungen nicht oder nur nach gesonderter Vereinbarung enthalten sind.
Diese Leistungsbeschreibung ist Bestandteil der Vertragsunterlagen und gilt ergänzend zu den Allgemeinen Geschäftsbedingungen, dem Auftragsverarbeitungsvertrag einschließlich Technischer und Organisatorischer Maßnahmen sowie den Datenschutzhinweisen.
Bei Widersprüchen zwischen einem individuellen Angebot und dieser Leistungsbeschreibung geht das individuelle Angebot vor, soweit es ausdrücklich abweichende Regelungen enthält.
2. Produktüberblick
Die hookfree Phishing Engine ist eine Plattform zur Vorbereitung, Durchführung und Auswertung kontrollierter Phishing-Simulationen für Unternehmen, Behörden, öffentliche Stellen, Vereine und sonstige Organisationen.
Ziel der Plattform ist es, Beschäftigte für typische Phishing- und Social-Engineering-Risiken zu sensibilisieren, organisatorische Risiken sichtbar zu machen und Awareness-Maßnahmen planbarer zu gestalten.
Im Managed-Modell übernimmt hookfree die technische Durchführung der Simulation. Der Kunde benötigt keine eigene technische Infrastruktur für Versand, Tracking, Landingpages oder Mailserver.
Der Kunde wählt eine Simulation aus dem Vorlagenkatalog aus, hinterlegt die erforderlichen Angaben und Empfängerdaten, prüft die von hookfree vorbereitete Umsetzung und beauftragt die Simulation anschließend verbindlich über den geführten Workflow.
3. Betriebsmodell: Managed Phishing Engine
Im Managed-Modell erstellt der Kunde keine technische Kampagne aus Mailservern, SMTP-Profilen, Trackingdomains, Landingpages und Templates. Diese technische Komplexität wird durch hookfree übernommen.
Der typische Ablauf lautet:
Der Kunde registriert sich oder wird durch hookfree angelegt.
Der Kunde bucht ein Paket oder erhält einen Vertrag.
Der Kunde bestätigt seine E-Mail-Adresse und richtet die erforderlichen Sicherheitsfunktionen ein.
Der Kunde wählt eine Simulation aus dem Vorlagenkatalog aus.
Der Kunde hinterlegt Zeitraum, Empfängerumfang und weitere Angaben.
hookfree prüft Account, Domain und technische Umsetzbarkeit.
hookfree plant die Simulation technisch.
Der Kunde erhält eine prüffähige Vorschau bzw. Zusammenfassung.
Der Kunde kann eine Testmail an eine freigegebene Testadresse anfordern.
Der Kunde gibt Feedback oder beauftragt die Simulation verbindlich.
hookfree erzeugt bzw. plant die technische Kampagne.
Die Simulation wird im vereinbarten Zeitraum durchgeführt.
Der Kunde erhält eine Auswertung bzw. einen Bericht.
Die technische Kampagne entsteht erst nach Freigabe bzw. verbindlicher Beauftragung durch den Kunden und nach Vorliegen aller technischen, organisatorischen und vertraglichen Voraussetzungen.
4. Managed-Self-Service
Beim Managed-Self-Service kann der Kunde den Einstieg selbstständig über die Plattform beginnen.
Der Kunde kann sich registrieren, Firmendaten hinterlegen, ein Paket auswählen, per Stripe bezahlen und seine Admin-E-Mail-Adresse bestätigen. Nach erfolgreicher Zahlung und E-Mail-Bestätigung erhält der Kunde Zugang zur Plattform.
Der Plattformzugang bedeutet nicht automatisch, dass bereits Simulationen verbindlich beauftragt oder durchgeführt werden können.
Vor der Accountfreigabe darf der Kunde insbesondere:
die Plattform betreten,
Firmendaten einsehen,
das gebuchte Paket einsehen,
den Vorlagenkatalog ansehen,
eine erste Simulation vorbereiten,
Angaben zum geplanten Zeitraum machen,
Inhalte und Vorschauinformationen prüfen,
Empfängerlisten vorbereiten, soweit technisch freigeschaltet,
Rückfragen im Workflow stellen.
Vor der Accountfreigabe darf der Kunde insbesondere nicht:
eine Simulation verbindlich beauftragen,
einen produktiven Versand auslösen,
eine technische Kampagne starten,
nicht freigegebene Domains verwenden,
Zusatzdomains aktiv nutzen,
sicherheitsrelevante Freigaben selbst vornehmen.
Die verbindliche Beauftragung einer Simulation ist erst möglich, wenn hookfree den Account, die zulässige Empfängerdomain und die technische Umsetzung geprüft und freigegeben hat.
5. Accountprüfung und Domainfreigabe
Jeder Self-Service-Kunde wird durch hookfree geprüft. Die Prüfung dient insbesondere der Missbrauchsvermeidung, der Domainvalidierung, der Plausibilitätsprüfung der Organisation und der sicheren Durchführung der ersten Simulation.
Für Neukunden wird standardmäßig eine primäre Empfängerdomain aus der geschäftlichen Admin-E-Mail-Adresse abgeleitet.
Beispiel:
Admin-E-Mail-Adresse:
max.mustermann@beispiel-gmbh.de
Standardmäßig vorgesehene Empfängerdomain:
beispiel-gmbh.de
Diese Domain wird nicht automatisch endgültig freigegeben, sondern zunächst durch hookfree geprüft.
Kunden dürfen Domains nicht eigenständig final freischalten. Zusätzliche Domains können nur nach gesonderter Buchung, Prüfung und Freigabe durch hookfree genutzt werden.
Wird eine Account- oder Domainfreigabe endgültig abgelehnt, erfolgt eine Erstattung bereits gezahlter Beträge, soweit dies in den AGB, dieser Leistungsbeschreibung oder im Checkout vorgesehen ist und keine berechtigten Gegenansprüche bestehen.
Eine angegebene Prüfzeit, beispielsweise „in der Regel innerhalb von 12 Stunden an Werktagen“, stellt keinen garantierten Freigabezeitpunkt dar. Sie beschreibt lediglich das Ziel für eine erste Prüfung oder Rückmeldung.
6. Sicherheitsvoraussetzungen für den Plattformzugang
Für die Nutzung geschützter Funktionen ist eine Zwei-Faktor-Authentifizierung erforderlich. Der Kunde kann sich anmelden, um die Zwei-Faktor-Authentifizierung einzurichten. Geschützte Funktionen bleiben gesperrt, bis die erforderlichen Sicherheitsvoraussetzungen erfüllt sind.
Der Kunde ist verpflichtet, Zugangsdaten vertraulich zu behandeln, starke Passwörter zu verwenden und Benutzerkonten nur berechtigten Personen zur Verfügung zu stellen.
hookfree kann Funktionen sperren oder einschränken, wenn Sicherheitsvoraussetzungen nicht erfüllt sind, ein Missbrauchsverdacht besteht, der Account nicht freigegeben ist, ein Vertrag nicht aktiv ist oder technische bzw. rechtliche Gründe entgegenstehen.
7. Pakete und Vertragsmodelle
Die hookfree Phishing Engine kann insbesondere in folgenden Varianten gebucht werden:
Pilot-Simulation / Schnupperpaket
Managed Phishing Engine mit 1-Jahres-Vertrag
Managed Phishing Engine mit 3-Jahres-Vertrag
Individuelles Managed-Paket
Zusatzleistungen und Shop-Produkte
Die im Checkout oder Angebot angezeigten Paketdaten, Laufzeiten, Preise und Kontingente sind maßgeblich.
Soweit nicht abweichend vereinbart, gelten die nachfolgenden Produktbedingungen.
8. Pilot-Simulation / Schnupperpaket
Die Pilot-Simulation ist ein einmaliges Einstiegspaket ohne dauerhaftes Abonnement.
Sie dient dazu, die hookfree Managed Phishing Engine mit einer begrenzten Simulation kennenzulernen.
Die Pilot-Simulation umfasst grundsätzlich:
eine einmalige Phishing-Simulation,
bis zu 100 Empfänger,
eine freigegebene Empfängerdomain,
eine Standardvorlage aus dem hookfree-Vorlagenkatalog,
einen Testmail- bzw. Freigabeprozess,
eine kompakte Ergebnisübersicht bzw. Auswertung,
keine automatische Verlängerung.
Die Pilot-Simulation umfasst nicht:
mehrere Simulationen,
mehrere Empfängerdomains,
individuelle Sondervorlagen,
komplexe Managementberichte,
Live-Ergebnispräsentationen,
umfangreiche Beratungsleistungen,
freie technische Kampagnenkonfiguration durch den Kunden,
Nutzung nicht freigegebener Domains.
Soweit im Checkout, Angebot oder in der Plattform ausdrücklich ausgewiesen, kann ein Teil des Preises der Pilot-Simulation bei Abschluss eines regulären Managed-Vertrags angerechnet werden. Eine Anrechnung erfolgt nur, wenn sie ausdrücklich ausgewiesen oder individuell vereinbart wurde.
Pilotkunden erhalten nur eingeschränkten Shopzugriff. Insbesondere können Zusatzdomains, Zusatzsimulationen oder weitere Zusatzleistungen erst nach Upgrade auf ein reguläres Paket verfügbar sein.
9. Managed Phishing Engine – reguläre Pakete
Die reguläre Managed Phishing Engine ist für wiederkehrende Phishing-Simulationen vorgesehen.
Soweit nicht anders vereinbart, umfasst ein reguläres Managed-Paket:
einen Mandanten,
eine Empfängerorganisation,
eine primäre freigegebene Empfängerdomain,
Nutzung des hookfree-Vorlagenkatalogs,
12 Phishing-Simulationen pro Vertragsjahr,
einen geführten Managed-Workflow,
technische Planung durch hookfree,
Testmail- und Freigabeprozess,
Durchführung der Simulationen durch hookfree,
kompakte Auswertung bzw. Bericht je Simulation,
datenschutzfreundliche Reporting-Grundeinstellungen,
keine separate Einrichtungsgebühr, soweit nicht anders vereinbart.
Die 12 Simulationen werden als Jahreskontingent bereitgestellt. Das Kontingent kann innerhalb der vertraglichen, technischen und organisatorischen Grenzen flexibel genutzt werden. Es besteht kein Anspruch darauf, alle Simulationen exakt monatlich oder zu beliebigen kurzfristigen Zeitpunkten durchzuführen.
Nicht genutzte Simulationen verfallen nicht monatlich. Ob und in welchem Umfang nicht genutzte Simulationen in Folgezeiträume übernommen werden, richtet sich nach dem gebuchten Paket, der Plattformlogik und der jeweiligen Vereinbarung.
10. Standardpakete nach Empfängerlimit
Reguläre Managed-Pakete können nach Empfänger- bzw. Mitarbeiterlimit gestaffelt sein.
Typische Standardpakete sind:
bis 50 Empfänger,
bis 100 Empfänger,
bis 250 Empfänger,
bis 500 Empfänger,
bis 1.000 Empfänger,
individuelles Paket.
Das gebuchte Empfängerlimit beschreibt die maximale Anzahl der Empfänger, die in einer Simulation im Rahmen des Pakets verwendet werden dürfen, soweit nicht ausdrücklich abweichend vereinbart.
Bei individuellen Paketen können abweichende Limits, Preise, Domains, Auswertungen, Laufzeiten oder Zusatzleistungen vereinbart werden.
Eine Überschreitung des gebuchten Empfängerlimits ist nur nach vorheriger Freigabe, Paketwechsel, Zusatzbuchung oder individueller Vereinbarung zulässig.
11. Enthaltene Standardleistungen
Soweit im Paket nicht anders angegeben, enthält eine reguläre Managed-Simulation folgende Standardleistungen:
Auswahl einer Vorlage aus dem hookfree-Vorlagenkatalog,
technische Vorbereitung der Simulation durch hookfree,
Prüfung der vorgesehenen Absenderdarstellung,
Auswahl bzw. Zuordnung einer geeigneten Trackingdomain durch hookfree,
Zuordnung einer geeigneten Landingpage oder Awareness-Zielseite,
Versandplanung im vereinbarten Zeitraum,
Testmail an eine freigegebene Testempfängeradresse,
Kundenprüfung der geplanten Simulation,
Möglichkeit zur Rückmeldung im Workflow,
verbindliche Beauftragung durch den Kunden,
technischer Versand durch hookfree,
Tracking der vorgesehenen Ereignisse,
Auswertung nach den gebuchten und freigeschalteten Reportingregeln,
kompakter Bericht oder Ergebnisübersicht.
Die konkrete Darstellung, die genutzten Vorlagen, Trackingdomains, Absenderprofile und Landingpages werden durch hookfree ausgewählt oder geplant, soweit sie nicht ausdrücklich individuell vereinbart wurden.
12. Nicht enthaltene Leistungen
Soweit nicht ausdrücklich vereinbart, sind folgende Leistungen nicht im Standardumfang enthalten:
vollständig individuelle Sondervorlagen,
mehrere getrennte Kampagnen je Simulation,
mehrere Versandzeitpunkte innerhalb einer Simulation,
mehrere Empfängerorganisationen,
mehrere Empfängerdomains ohne Zusatzbuchung und Prüfung,
Spear-Phishing-Sonderkampagnen,
besonders zielgerichtete Simulationen gegen einzelne Personen,
komplexe technische Integrationen,
SSO- oder Verzeichnisdienstintegration,
individuelle Schnittstellen,
Live-Präsentationen der Ergebnisse,
Workshops oder Schulungen,
umfangreiche Managementberichte,
Rechtsberatung, Datenschutzberatung oder arbeitsrechtliche Beratung,
Durchführung interner Abstimmungen beim Kunden,
Abstimmung mit Personalvertretung, Betriebsrat, Datenschutzbeauftragten oder ähnlichen Stellen,
Whitelisting in der Infrastruktur des Kunden,
Analyse oder Konfiguration kundenseitiger Mailserver, Firewalls oder Security-Gateways,
garantierte Zustellung jeder einzelnen E-Mail,
kurzfristige Ad-hoc-Simulationen außerhalb des geplanten Prozesses,
Nutzung eigener technischer Infrastruktur des Kunden im Managed-Modell.
Solche Leistungen können, soweit verfügbar, separat vereinbart oder gebucht werden.
13. Vorlagenkatalog
Der Vorlagenkatalog enthält vorbereitete Szenarien für typische Phishing- und Awareness-Situationen.
Die Vorlagen können insbesondere Angaben enthalten zu:
Name der Simulation,
Beschreibung,
Kategorie,
Schwierigkeitsgrad,
Standard-Betreff,
Mailvorschau,
Standardinhalt,
vorgesehener Landingpage,
geeigneter Trackingdomain,
Absenderdarstellung.
Der Kunde wählt im Managed-Modell eine passende Vorlage aus. Der Kunde bearbeitet das technische Master-Template nicht selbst.
hookfree kann Vorlagen ändern, erweitern, deaktivieren oder ersetzen, wenn dies aus technischen, rechtlichen, qualitativen oder sicherheitsrelevanten Gründen erforderlich ist.
Ein Anspruch auf dauerhaft unveränderte Verfügbarkeit bestimmter Vorlagen besteht nicht.
14. Kundenprüfung, Testmail und Freigabe
Nach technischer Planung stellt hookfree dem Kunden eine prüffähige Vorschau bzw. Zusammenfassung zur Verfügung.
Der Kunde sieht insbesondere:
Simulation bzw. Vorlage,
Betreff,
sichtbare Absenderdaten,
sichtbare Link- oder Trackingdomain,
grob beschriebene Landingpage bzw. Zielseite,
geplanten Versandzeitraum,
Empfängeranzahl bzw. Empfängerumfang,
Angaben zum Empfängerupload oder zur Empfängerliste,
verfügbare Testmail-Optionen,
Feedback- und Freigabemöglichkeiten.
Der Kunde sieht keine internen technischen Geheimnisse oder nicht erforderlichen Betriebsdetails, insbesondere keine SMTP-Secrets, SMTP-Zugangsdaten, internen Versandprofil-IDs, Workerjobs, Trackingtoken oder sonstigen technischen Interna.
Testmails dürfen nur an freigegebene Testempfängeradressen gesendet werden. Die Testempfängeradresse muss zu einer für den Kunden freigegebenen Domain gehören.
Mit der verbindlichen Beauftragung bestätigt der Kunde, dass die geplante Simulation aus seiner Sicht durchgeführt werden darf und die notwendigen internen Voraussetzungen vorliegen.
15. Empfängerlisten und Empfängerdaten
Der Kunde stellt die für die Simulation erforderlichen Empfängerdaten bereit oder pflegt sie innerhalb der Plattform.
Soweit nicht anders vereinbart, dürfen Empfänger nur aus den freigegebenen Empfängerdomains stammen.
Der Kunde ist verantwortlich für die Richtigkeit, Aktualität und Rechtmäßigkeit der bereitgestellten Empfängerdaten.
Empfängerlisten können technischen Beschränkungen unterliegen, insbesondere hinsichtlich Dateiformat, Dateigröße, Spaltenstruktur, Anzahl der Zeilen, zulässiger Domains und Pflichtfelder.
hookfree kann Empfängerlisten ablehnen oder bereinigen, wenn sie unzulässige Domains, offensichtlich fehlerhafte Daten, technische Risiken oder nicht vertragsgemäße Inhalte enthalten.
16. Trackingdomains und Landingpages
Im Managed-Modell werden Trackingdomains und Landingpages durch hookfree bereitgestellt, ausgewählt oder technisch geplant.
Die Trackingdomain ist die sichtbare Linkdomain in der E-Mail und dient der technischen Verarbeitung des Klicks.
Die Landingpage oder Zielseite beschreibt, was nach dem Klick geschieht. Dies kann je nach Szenario eine gehostete Awareness-Seite, eine neutrale Hinweisseite, eine simulierte Eingabeseite ohne Speicherung eingegebener Rohwerte oder eine Weiterleitung auf eine externe Awareness-Seite sein.
Der Kunde hat keinen Anspruch auf eine bestimmte Trackingdomain oder Landingpage, sofern dies nicht ausdrücklich vereinbart wurde.
hookfree kann Trackingdomains oder Landingpages austauschen, deaktivieren oder ändern, wenn dies aus Sicherheits-, Rechts-, Zustellbarkeits-, Reputations- oder Betriebsgründen erforderlich ist.
17. Formular- und Login-Simulationen
Soweit eine Simulation Formular- oder Login-Elemente enthält, dienen diese ausschließlich der kontrollierten Awareness-Simulation.
Eingegebene Rohwerte wie Passwörter, Zugangscodes, Zahlungsdaten oder sonstige sensible Eingaben dürfen nicht als Klarwerte gespeichert werden.
Die Auswertung kann erfassen, ob ein Formular abgeschickt wurde oder ob bestimmte Eingabetypen genutzt wurden, beispielsweise ob eine E-Mail-Adresse oder ein Passwortfeld befüllt wurde. Die konkrete Eingabe selbst ist nicht Gegenstand der Speicherung oder Auswertung.
hookfree kann Formular- oder Login-Simulationen ablehnen oder anpassen, wenn rechtliche, datenschutzrechtliche, ethische oder sicherheitsrelevante Gründe entgegenstehen.
18. Reporting und Datenschutz in der Auswertung
Die Auswertung erfolgt nach den für den Kunden hinterlegten Reporting- und Datenschutzregeln.
Standardmäßig stellt hookfree datenschutzfreundliche, aggregierte Auswertungen bereit.
Die Auswertung kann insbesondere enthalten:
Versandstatus,
Zustellinformationen,
Klickrate,
Anzahl der Link-Klicks,
zeitliche Klickaktivität,
Auswertung nach Abteilungen oder Gruppen, soweit freigeschaltet und datenschutzrechtlich zulässig,
Hinweise zur Einordnung,
kompakte Ergebnisübersicht oder PDF-Bericht.
Personenbezogene Klickdetails werden nur bereitgestellt, wenn sie ausdrücklich aktiviert, vertraglich vorgesehen und datenschutzrechtlich durch den Kunden verantwortet sind.
Mindestgrößen für Abteilungs- oder Gruppenauswertungen können durch hookfree konfiguriert werden. Kleine Gruppen können ausgeblendet oder aus verhaltensbezogenen Kennzahlen herausgerechnet werden, um Rückschlüsse auf Einzelpersonen zu vermeiden.
Der Kunde ist für die interne Verwendung, Weitergabe und arbeitsrechtliche bzw. organisatorische Einordnung der Auswertung verantwortlich.
19. Zusatzdomains
Reguläre Kunden können, sofern verfügbar, zusätzliche Empfängerdomains buchen oder anfragen.
Zusatzdomains werden nicht automatisch aktiviert. Der Ablauf lautet grundsätzlich:
Der Kunde bucht oder beantragt eine Zusatzdomain.
Der Kunde gibt die gewünschte Domain an.
Die Zahlung erfolgt über den vorgesehenen Zahlungsweg, soweit kostenpflichtig.
Die Domain wird mit Prüfstatus angelegt.
hookfree prüft die Domain.
Bei Freigabe wird die Domain aktiviert.
Bei Ablehnung erfolgt eine Klärung oder Erstattung nach den vereinbarten Regeln.
Zusatzdomains dürfen erst genutzt werden, wenn sie durch hookfree freigegeben wurden.
hookfree kann Zusatzdomains ablehnen, wenn die Berechtigung nicht plausibel ist, die Domain nicht zur Organisation passt, Missbrauchsrisiken bestehen oder rechtliche bzw. technische Gründe entgegenstehen.
20. Zusatzsimulationen und Zusatzkontingente
Reguläre Kunden können, sofern verfügbar, zusätzliche Simulationen oder Zusatzkontingente buchen.
Zusatzsimulationen erhöhen das verfügbare Simulationskontingent des Kunden nach erfolgreicher Zahlung oder Freischaltung.
Die Nutzung zusätzlicher Simulationen ist nur innerhalb der bestehenden Vertrags-, Domain-, Freigabe- und Sicherheitsgrenzen möglich.
Zusatzsimulationen begründen keinen Anspruch auf mehrere Empfängerorganisationen, mehrere Domains, Sondervorlagen, Sonderberichte oder abweichende technische Durchführung, sofern dies nicht ausdrücklich vereinbart wurde.
21. Shop-Produkte und Zusatzleistungen
Die Plattform kann einen Shop für Zusatzprodukte enthalten.
Mögliche Zusatzprodukte sind insbesondere:
Zusatzsimulationen,
Zusatzdomains,
Kurz-Einweisungen,
individuelle Landingpages,
Service-Add-ons,
sonstige spätere Zusatzleistungen.
Nicht jedes Shop-Produkt steht jedem Kunden zur Verfügung. Die Sichtbarkeit und Buchbarkeit kann abhängig sein von:
Paketart,
Accountfreigabe,
Vertragsstatus,
Rolle des eingeloggten Benutzers,
Zahlungsstatus,
Domainstatus,
technischer Verfügbarkeit.
Shopkäufe dürfen nur von entsprechend berechtigten Kundenadmins ausgelöst werden. Operatoren oder andere Rollen können Shop- oder Kontingentinformationen sehen, soweit freigeschaltet, aber keine kostenpflichtigen Käufe auslösen, sofern dies nicht ausdrücklich anders geregelt ist.
Stripe-Rechnungen und Zahlungsbestätigungen werden durch Stripe bzw. den Zahlungsprozess bereitgestellt. hookfree kann zusätzlich Bestätigungsmails über die Plattform versenden.
22. Individuelle Landingpages
Soweit eine individuelle Landingpage als Zusatzleistung angeboten wird, umfasst die Leistung grundsätzlich die Erstellung oder Anpassung einer einfachen Landingpage bzw. Awareness-Zielseite nach Abstimmung.
Nicht enthalten sind, sofern nicht ausdrücklich vereinbart:
komplexe Webentwicklung,
kundenspezifische Anwendungen,
Anbindung an Kundensysteme,
umfangreiches Corporate-Design-Projekt,
mehrsprachige Varianten,
rechtliche Prüfung von Kundentexten,
Hosting außerhalb der hookfree-Infrastruktur,
dauerhafte Pflege über die vereinbarte Simulation hinaus.
hookfree meldet sich nach Buchung zur Abstimmung der Inhalte, soweit dies für die Leistung erforderlich ist.
23. Kurz-Einweisung und Schulungsleistungen
Soweit Kurz-Einweisungen, Schulungen oder Awareness-Leistungen über die Plattform oder den Shop angeboten werden, gilt der jeweils angegebene Leistungsumfang.
Eine Kurz-Einweisung kann beispielsweise eine kurze Einführung in Plattformnutzung, Ablauf, Empfängerlisten, Freigabeprozess oder Ergebnisinterpretation umfassen.
Nicht enthalten sind, sofern nicht ausdrücklich vereinbart:
vollständige Awareness-Schulungen,
individuelle Beratungskonzepte,
Live-Präsentationen vor großen Gruppen,
Schulungsunterlagen außerhalb des vereinbarten Umfangs,
Rechts- oder Datenschutzberatung,
technische Einrichtung kundenseitiger Systeme.
24. Zahlung und Aktivierung
Erstbuchungen und Shopkäufe können über Stripe Checkout abgewickelt werden.
Bei Self-Service-Buchungen erhält der Kunde Plattformzugriff erst nach erfolgreicher Zahlung, vollständigen Pflichtangaben und bestätigter Admin-E-Mail-Adresse.
Eine Zahlung vor Accountfreigabe bedeutet nicht, dass die Simulation bereits durchgeführt werden darf. Die Zahlung aktiviert das gebuchte Paket bzw. den gebuchten Prozess; die finale Simulationsbeauftragung bleibt bis zur Prüfung und Freigabe durch hookfree gesperrt.
Bei fehlgeschlagener Zahlung, Rücklastschrift, Erstattung, Stornierung oder Zahlungsstörung kann hookfree den Zugriff auf Funktionen sperren oder einschränken.
Erstattungen erfolgen nicht automatisch nach Ablauf einer Prüfzeit. Eine Erstattung erfolgt insbesondere bei endgültiger Ablehnung des Accounts oder einer kostenpflichtig gebuchten Zusatzdomain, wenn keine Nutzung oder Klärung möglich ist und keine anderweitige vertragliche Regel entgegensteht.
25. Laufzeit und Vertragsperioden
Die Laufzeit ergibt sich aus dem gebuchten Paket, dem Checkout, dem Angebot oder der individuellen Vereinbarung.
Reguläre Managed-Verträge können insbesondere als 1-Jahres- oder 3-Jahres-Verträge angeboten werden.
Das Simulationskontingent wird, soweit nicht anders vereinbart, pro Vertragsjahr bereitgestellt. Bei mehrjährigen Verträgen wird das Jahreskontingent grundsätzlich je Vertragsjahr gutgeschrieben.
Vertragslaufzeit und Kontingentperiode können technisch getrennt sein. Die Vertragslaufzeit beschreibt die Gesamtdauer des Vertrags. Die Kontingentperiode beschreibt den Zeitraum, für den ein Jahreskontingent bereitgestellt wird.
Bei Vertragsende kann der Zugang eingeschränkt, der Vertrag deaktiviert oder der Mandant gesperrt werden. Daten werden nach den vereinbarten Lösch- und Aufbewahrungsregeln behandelt.
26. Mitwirkungspflichten des Kunden
Der Kunde wirkt bei der Durchführung der Simulationen angemessen mit.
Hierzu gehören insbesondere:
vollständige und korrekte Firmendaten,
Nutzung einer geschäftlichen E-Mail-Adresse,
Bereitstellung zulässiger Empfängerlisten,
Prüfung der Domainberechtigung,
Pflege einer geeigneten Testempfängeradresse,
rechtzeitige Rückmeldung im Workflow,
sorgfältige Prüfung der Vorschau und Testmail,
verbindliche Freigabe erst nach interner Prüfung,
Sicherstellung interner Zuständigkeiten,
Abstimmung mit Datenschutzbeauftragten, Personalvertretungen oder sonstigen Stellen, soweit erforderlich,
technische Vorbereitung der eigenen Umgebung, soweit erforderlich,
Information an hookfree bei Änderungen, Problemen oder besonderen Risiken.
Verzögert sich die Durchführung aufgrund fehlender Mitwirkung, unvollständiger Angaben, technischer Blockaden beim Kunden oder ausstehender Freigaben, verlängern sich vereinbarte Zeiträume angemessen. Ein Anspruch auf Erstattung oder Schadensersatz entsteht hierdurch nicht, sofern hookfree die Verzögerung nicht zu vertreten hat.
27. Technische Zustellbarkeit
hookfree bemüht sich um eine ordnungsgemäße technische Durchführung der Simulationen.
Eine vollständige Zustellung aller E-Mails wird nicht garantiert. Die Zustellung kann insbesondere beeinflusst werden durch:
Spamfilter,
Secure E-Mail Gateways,
Microsoft 365- oder Google-Workspace-Sicherheitsfunktionen,
kundenseitige Firewalls,
Mailserver-Konfigurationen,
DNS-Einstellungen,
Blocklisten,
Providerentscheidungen,
Sicherheitsrichtlinien des Kunden,
technische Störungen außerhalb des Einflussbereichs von hookfree.
Der Kunde ist verantwortlich für erforderliche kundenseitige Vorbereitungen, beispielsweise Whitelisting, Abstimmung mit IT-Security, Freigabe von Absendern oder Prüfung der Zustellbarkeit in der eigenen Umgebung.
28. Grenzen der Leistung
Phishing-Simulationen sind Awareness- und Analysemaßnahmen. Sie ersetzen keine vollständige Sicherheitsstrategie, keine technischen Schutzmaßnahmen, keine Schulungsstrategie, keine Rechtsberatung und keine Datenschutzberatung.
hookfree schuldet insbesondere nicht:
vollständige Vermeidung realer Phishing-Angriffe,
bestimmtes Verhalten einzelner Beschäftigter,
bestimmte Klick- oder Meldequoten,
rechtliche Zulässigkeit kundenseitiger interner Maßnahmen,
arbeitsrechtliche Verwertbarkeit von Ergebnissen,
vollständige Repräsentativität der Ergebnisse,
vollständige Zustellung jeder E-Mail,
Erfolg bestimmter Awareness-Maßnahmen.
Die Ergebnisse sind als Momentaufnahme und als Grundlage für Sensibilisierung, Kommunikation und weitere Maßnahmen zu verstehen.
29. Missbrauchsschutz
hookfree kann Simulationen, Domains, Empfängerlisten, Vorlagen, Inhalte oder Buchungen ablehnen, sperren oder abbrechen, wenn Anhaltspunkte für Missbrauch bestehen.
Missbrauch liegt insbesondere vor bei:
Simulationen gegen fremde Organisationen,
Nutzung nicht autorisierter Domains,
Nutzung privater oder fremder Empfängerbereiche ohne Berechtigung,
rechtswidrigen, diskriminierenden, beleidigenden oder bedrohenden Inhalten,
tatsächlicher Täuschung außerhalb kontrollierter Awareness-Maßnahmen,
Versuch der Erhebung echter Passwörter oder sensibler Rohdaten,
Umgehung von Domain-, Rollen-, Versand- oder Freigabelogik,
Nutzung der Plattform für Spam, Betrug, Schadsoftware oder sonstige Angriffe.
hookfree kann bei Missbrauchsverdacht Nachweise verlangen, Funktionen sperren oder den Vertrag außerordentlich kündigen.
30. Rollen und Berechtigungen
Die Plattform kann verschiedene Rollen enthalten, insbesondere Kundenadmin und Operator.
Kundenadmins können je nach Freischaltung Benutzer verwalten, Shopkäufe auslösen, Empfängerlisten verwalten, Simulationen vorbereiten und Freigaben vornehmen.
Operatoren können je nach Freischaltung operative Funktionen nutzen, dürfen aber keine kostenpflichtigen Käufe auslösen und keine sicherheits- oder vertragskritischen Verwaltungsfunktionen ausführen, sofern nicht ausdrücklich anders geregelt.
hookfree kann Rollen, Berechtigungen und Funktionszugriffe aus Sicherheits-, Datenschutz- oder Produktgründen anpassen.
31. Änderungen des Leistungsumfangs
hookfree entwickelt die Plattform fortlaufend weiter.
Funktionen, Benutzeroberflächen, Workflows, Vorlagen, Reportingdarstellungen und technische Prozesse können angepasst werden, wenn dies aus Sicherheits-, Datenschutz-, Rechts-, Betriebs-, Qualitäts- oder Produktgründen erforderlich oder sinnvoll ist.
Der vertraglich vereinbarte Kernnutzen des gebuchten Pakets bleibt erhalten, sofern keine individuelle abweichende Vereinbarung getroffen wird.
Sicherheitskritische Änderungen können kurzfristig und ohne vorherige Ankündigung erfolgen.
32. Rangfolge der Unterlagen
Für die Leistungen gelten die folgenden Unterlagen:
Individuelles Angebot oder individuelle Vereinbarung, soweit vorhanden,
Bestellübersicht bzw. Checkout-Angaben,
diese Leistungsbeschreibung / Produktbedingungen,
Allgemeine Geschäftsbedingungen,
Auftragsverarbeitungsvertrag einschließlich TOMs, soweit personenbezogene Daten im Auftrag verarbeitet werden,
Datenschutzhinweise.
Der Auftragsverarbeitungsvertrag regelt vorrangig datenschutzrechtliche Fragen der Auftragsverarbeitung.
33. Kontakt
hookfree UG (haftungsbeschränkt)
Buscher Weg 15
41751 Viersen
E-Mail: info@hookfree.de