Datenschutzerklärung Phishing Simulation und Awareness Manager (AWM)

Im Folgenden möchten wir Sie darüber informieren, welche personenbezogenen Daten die G DATA verarbeitet und zu welchen Zwecken dies geschieht. Wir informieren Sie außerdem über weitere datenschutzrechtlich wichtige Details, zum Beispiel über Ihre Rechte.

1. Verantwortliche Stelle und Datenschutzbeauftragter

Der Verantwortliche für die nachfolgend dargestellte Datenverarbeitung im Sinne datenschutzrechtlicher Vorschriften ist die:

G DATA CyberDefense AG
Königsallee 178 a
D-44799 Bochum
Deutschland

E-Mail: info@remove-this.gdata.de

Weitere Fragen zum Datenschutz können Sie auch per E-Mail stellen an: dsgvo@remove-this.gdata.de

Unser externer Datenschutzbeauftragter ist:

Ali Tschakari
Bitkom Servicegesellschaft mbH
Albrechtstraße 10
10117 Berlin

Anfragen können Sie an folgende E-Mail-Adresse stellen: datenschutz@remove-this.bitkom-consult.de

2. Zwecke und Rechtsgrundlagen der Datenverarbeitung

2.1 Verarbeitung von Logdaten

Bei Ihrem Besuch unserer Webseite https://awarenessmanager.gdata.de/ werden von Ihrem Browser bestimmte übermittelte Daten automatisch auf unseren Servern gespeichert. Die hieraus erstellten Logdateien beinhalten Daten wie Ihre IP-Adresse, die URL, die Zeit, Art und Anzahl der Anfragen, übertragene Datenmenge, Datum, Uhrzeit und Dauer einzelner Zugriffe, Ihren Browsertyp sowie ggf. weitere ähnliche Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere IT-Systeme sowie dem Schutz vor Lizenzmissbrauch dienen.

Die Erhebung und Nutzung der in den Logfiles gespeicherten Informationen dient lediglich der korrekten Auslieferung der Inhalte unserer Webseiten sowie zur Verbesserung unserer Dienste. Die Datenverarbeitung erfolgt auf Grundlage unseres berechtigten Interesses (gem. Art. 6 Abs. 1 lit. f DSGVO iVm § 25 Abs. 2 Nr. 2 TDDDG).

2.2 Anmeldung und Durchführung

Im Rahmen der Anmeldung (wie z. B. bei der Eröffnung eines Kontos) und der Nutzung unserer Dienste verarbeiten wir personenbezogene Daten, die von Ihnen bzw. den Mitarbeitern des Lizenznehmers aktiv zur Verfügung gestellt werden. Diese Daten speichern und verwenden wir zum Zweck der vertragsgemäßen Erbringung unserer Leistungen. Diese Daten umfassen in der Regel:

• Vorname
• Nachname
• E-Mail-Adresse
• Unternehmen/Organisation
• Spracheinstellungen

Die Datenverarbeitung erfolgt zur Erfüllung unserer vertraglichen Pflichten (gem. Art. 6 Abs. 1 lit. b DSGVO), sofern Sie als betroffene Person selbst Vertragspartner sind. Andernfalls erfolgt unsere Datenverarbeitung auf Grundlage unseres berechtigten Interesses an der vertragsgemäßen und sicheren Bereitstellung unserer Dienstleistungen.

2.3 Beantwortung von Supportanfragen

Sofern Benutzer Supportanfragen stellen, werden diese durch uns bearbeitet und beantwortet. Die erhobenen Daten werden dabei ausschließlich zur Beantwortung und Bearbeitung der Supportanfragen verwendet.

Die Datenverarbeitung erfolgt zur Erfüllung unserer vertraglichen Pflichten gegenüber Ihnen als Benutzer (gem. Art. 6 Abs. 1 lit. b DSGVO), sofern Sie als betroffene Person selbst Vertragspartner sind. Andernfalls erfolgt unsere Datenverarbeitung auf Grundlage unseres berechtigten Interesses an der vertragsgemäßen und sicheren Bereitstellung unserer Dienstleistungen.

2.4 Phishing-Simulation

Phishing wird für die Verbreitung von Malware und gezielte Angriffe gegen Unternehmen eingesetzt. Dies kann zum Verlust von sensiblen Informationen führen und erhebliche Schäden an der Infrastruktur erzeugen, die bis zum Stillstand der Produktion reichen können.

Bei der „Phishing-Simulation“ analysieren wir den Umgang mit genau diesen E-Mails. Dabei senden wir Ihnen über einen vordefinierten Zeitraum spezielle Phishing-Mails und werten anschließend die Ergebnisse in einem Management Report aus. Für das Versenden der E-Mails verwenden wir die von Ihnen übermittelten Daten, die Sie uns zur Vertragsabwicklung und Bearbeitung Ihrer Anfragen bereits bereitgestellt haben. Diese umfassen in der Regel:

• Vorname
• Nachname
• E-Mail-Adresse
• Titel
• Abteilung

Anschließend erstellen wir einen Management-Bericht und zeigen detailliert die Awareness-Situation für alle Teilnehmer eines Unternehmens auf. Der Bericht enthält dabei ausschließlich statistische Angaben, es werden keine personenbezogenen Daten zu Ihrer Person dargelegt. Ihre Identität kann folglich nicht festgestellt werden.

Unter anderem werden folgende statistische Daten aufgezeigt:

• Besuch unsicherer Webseiten
• Anzahl geöffneter E-Mails (Phishing-Mails)
• Preisgabe sensibler Daten (Die sensiblen Daten werden hierbei nicht verarbeitet, es wird lediglich erfasst, dass sensible Daten angegeben wurden.)
• Anzahl geöffneter Anhänge

Der Bericht wird dem Kunden im Awareness Manager zum Download bereitgestellt.

Die Verarbeitung erfolgt dabei in Erfüllung unserer vertraglichen Pflicht gegenüber Ihnen als Benutzer (gem. Art. 6 Abs. 1 lit. b DSGVO), sofern Sie als betroffene Person selbst Vertragspartner sind. Andernfalls erfolgt unsere Datenverarbeitung auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der vertragsgemäßen und sicheren Bereitstellung unserer Dienstleistungen.

3. Empfänger oder Kategorien von Empfängern der Daten

Die G DATA übermittelt Ihre personenbezogenen Daten an folgende Empfänger:

• Dienstleister, die wir zur Erbringung unserer Produkte und Services einsetzen, u.a.:
  • IONOS SE, Elgendorfer Str. 57, 56410 Montabaur (Hosting)
  • G DATA Service GmbH, Königsallee 178 a, 44799 Bochum (Support-Dienstleistungen)

Soweit die Übermittlung Ihrer personenbezogenen Daten an Dienstleister der G DATA erfolgt, geschieht dies auf der Grundlage von Verträgen zur Auftragsverarbeitung gem. Art. 28 DSGVO.

Innerhalb unseres Unternehmens haben die diejenigen Personen Zugriff auf Ihre personenbezogenen Daten, die diese für die jeweils genannten Zwecke benötigen.

4. Speicherdauern Ihrer Daten

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen wir als Verantwortlicher unterliegen, vorgesehen wurde.

Die personenbezogenen Daten werden 1 Jahr nach Ablauf der Lizenz gelöscht.

5. Ihre Betroffenenrechte

Hinsichtlich der hier aufgeführten Datenverarbeitung stehen Ihnen diverse Betroffenenrechte zu, die in der DSGVO geregelt sind.

Recht auf Auskunft (Art. 15 DSGVO) ­– Sie haben das Recht von uns Auskunft über Ihre gespeicherten personenbezogenen Daten zu verlangen. Auf Verlangen stellen wir Ihnen eine Kopie der Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.

Recht auf Berichtigung (Art. 16 DSGVO) – Sie können von uns die Berichtigung unrichtiger personenbezogener Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO) – Sie haben das Recht, von uns die Löschung Ihrer personenbezogener Daten zu verlangen. Wir sind zur Löschung u.a. verpflichtet, wenn Ihre personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind, wenn Sie eine einmal erteilte Einwilligung widerrufen haben oder wenn die Daten unrecht­mäßig verarbeitet wurden.

Recht auf Einschränkung (Art. 18 DSGVO) – Unter bestimmten Voraussetzungen haben Sie das Recht von uns die Einschränkung der Verarbeitung zu verlangen. Dazu gehört, dass Sie die Richtigkeit Ihrer personenbezogenen Daten bestreiten und wir Ihren Einwand über­prüfen müssen. In dem Fall dürfen Ihre Daten von uns, mit Ausnahme der Speicherung, nicht weiterverarbeitet werden, bis die Frage der Richtig­keit geklärt ist.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie haben das Recht, die sie betreffenden personenbezogenen Daten, die Sie uns haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, sofern die Datenverarbeitung auf Grundlage Ihrer Einwilligung oder einem Vertrag erfolgt.

Jederzeitiges Widerrufsrecht (Art. 7 DSGVO) – Beruht die Datenverarbeitung durch uns auf Ihrer Einwilligung, haben Sie das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt von dem Widerruf unberührt.

Jederzeitiges Widerspruchsrecht (Art. 21 DSGVO) ­– Beruht die Verarbeitung Ihrer Daten durch uns auf der Wahrnehmung einer Aufgabe, die im öffent­lichen Interesse liegt, oder erfolgt sie in der Ausübung öffent­licher Gewalt (Art. 6 Abs. 1 Satz 1 lit. e DSGVO) oder beruht die Datenverarbeitung auf berechtigten Interessen unsererseits, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen. Wir werden die Verarbeitung dann beenden, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen an der Beendigung der Verarbeitung überwiegen.

Der Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten zu Zwecken der Direktwerbung ist jederzeit ohne Einschränkungen möglich.

Beschwerderecht (Art. 77 DSGVO) ­– Sie haben zudem das Recht bei einer Datenschutzaufsichtsbehörde zu beschweren. Sie können sich hierfür an die Datenschutzaufsichtsbehörde Ihres üblichen Aufenthaltsortes oder unseres Firmensitzes wenden. Die Anschrift der für uns zuständigen Aufsichtsbehörde lautet:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestrasse 2 – 4
40213 Düsseldorf

6. Abschließende Bestimmungen

Die G DATA behält sich vor, diese Datenschutzerklärung jederzeit anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen der Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services oder Änderungen am Dienstleistungsangebot.