Präambel

Der hier angebotene Service ist ein simulierter Phishing-Angriff auf ein übergebenes Adress-Material. Dieser Service ist ein reiner B2B (Business to Business) Service. Grundsätzlich gehen wir daher davon aus, dass die bereitgestellten Daten Unternehmensdaten sind. Dies ist besonders dann von Belang, wenn der Kunde eMail Adressen zur etwaigen Kontaktaufnahme, im Sinne des geschlossenen Dienstleistungsvertrages überliefert.

Wir behandeln diese Daten dennoch mit aller gebührenden Sorgfalt, gemäß den Datenschutzgesetzen.

Dem Unternehmen ist der Schutz der persönlichen Daten sowie die Einhaltung der Vertraulichkeit, Verfügbarkeit und Integrität gemäß relevanter Datenschutzgesetze ein besonderes Anliegen. Die Datenerhebung, -verarbeitung und sonstige Nutzung wird minimiert, soweit es gemäß Art. 25 Abs. 2 Europäischer Datenschutzgrundverordung (EU-DSGVO) und etwaiger Aufbewahrungsfristen möglich und gemäß geschäftlicher Anforderung nötig ist.

Sofern es möglich ist, werden Pseudonymisierung und Anonymisierung eingesetzt.

Externes Datenverarbeitungsverzeichnis

Das Unternehmen erfasst folgende personenbezogene Daten.

Cookies

Wir erfassen nur Cookies, die technisch notwendig sind.
Die Cookies tragen zur Sicherheit der Plattform, zur Benutzersteuerung sowie zur Nutzung des password-fish bei.

Kundendaten

Der Kunde oder mögliche Kunde registriert sich durch seine eMail Adresse, die für den Empfang der Testmail unerlässlich ist. Die Angabe der eMail Adresse kann durch Angabe des Vor- und Zunamen sowie einer beruflchen Position ergänzt werden. Diese Adressdaten werden ausschließelich für diese und gegebenenfalls weitere Geschäftsbeziehungen verwendet. Mit Beauftragung einer „Subscription“ gibt der Kunde seine Zahlungsverbindungen sowie in der Regel seine Rechnungsadresse an. Die Zahlungen erfolgen über einen Payment Provider, der diese Informationen zur Sicherstellung seiner Rechte benötigt. Die abakus-IT SmartCyber GmbH erhält die Rechnungsdaten vom Payment Provider.

Empfängerdaten

Zur Erfüllung des Vertrages, werden Empfängerdaten des Kunden (eMail Adressen sowie gegebenenfalls Vor- und Zuname und die berufliche Position) empfangen und gemäß Art. 6 DSGVO verarbeitet. Für den Versand der eMail beauftragen wir einen Dienstleister, der die Daten im Auftrag verarbeitet. Der Auftragsverarbeiter handelt nach Weisung des Auftraggebers, gemäß Art. 28 DSGVO.

Nutzerdaten

Die Empfänger werden zu Nutzer der Phishing-Simulation.
Ziel dieser Simulation ist die Prüfung der Sensibilität für die Informationssicherheit über das Einfallstor der eMails.
Dazu werden folgende Daten aufgezeichnet und zum Abschluss oder bei gesonderter Beauftragung an den Kunden berichtet:

• Das Öffnen der Simulations-eMail (noch nicht umgesetzt).
• Das „Klicken“ des simulierten Phishing-Links.
• Das Übermitteln etwaiger Phishing-Daten.
• Die Nutzung der enthaltenen Trainings-Sessions.
Die übermittelten Daten sind reine statistische Daten, ohne Hinweis auf Individuen.
Die Übermittlung detaillierterer Daten ist nach Zeichnung einer Ethik-Richtlinie gesondert zu beauftragen.

IP-Adressen (Verkehrsdaten)

Wir nutzen einen Internet Service Provider, um unseren Service anzubieten. Dieser Internet Service Provider speichert IP Adressen zur Sicherstellung seines Betriebes und weiterer gesetzlicher Anforderungen.
Der Europäische Gerichtshof (EuGH) hat am 20.09.2022 die in Deutschland angedachte gesetzliche Regelung zur Vorratsdatenspeicherung als Verfassungswidrig abgelehnt.
Es gilt nun das Quick-Freeze Verfahren, bei dem die Ermittlungsbehörden das „Einfrieren“ der Verkehrsdaten beim Provider beantragen können. Die abakus-IT SmartCyber GmbH speichert keine personenbezogene Daten.

eMail Kontaktaufnahme

Die abakus-IT SmartCyber GmbH hat diverse eMail Kontaktadressen, je nach Anliegen.
Die Inhalte, gleichgültig ob personenbezogen oder nicht, werden nach Abschluss des Vorganges, spätestens zum Jahresende und wenn keine gesetzlichen Anforderungen dagegen sprechen, gelöscht.

Technische und organisatorische Maßnahmen

Die abakus-IT SmartCyber GmbH hat, baiserend auf einer Risikoanalyse, entsprechende technische und organisatorische Maßnahmen umgesetzt, um die Vertraulichkeit, Verfügbarkeit und Integrität angemessen und nach Stand der Technik zu gewährleisten.
Für personenbezogene Daten deren Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folgehaben können, wird eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt. Personenbezogene Daten besonderer Kategorien (Art. 9 DSGVO) werden nicht verarbeitet.

Rechte der betroffenen Personen

Die betroffenen Personen haben gemäß Kapitel 3 DSGVO folgende Rechte, die wir den Betroffenen nach Angemessenheit und soweit die Anforderungen durch relevante Gesetze abgedeckt sind, gewähren und sicherstellen.

Transparenz und Modalitäten (Art. 12)

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten (Art. 13, 14, 15)

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
Auskunftsrecht der betroffenen Person

Berichtigung und Löschung (Art. 16, 17, 18, 19, 20)

Recht auf Berichtigung
Recht auf Löschung („Recht auf Vergessenwerden“)
Recht auf Einschränkung der Verarbeitung
Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Recht auf Datenübertragbarkeit

Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall (Art. 21, 22)

Widerspruchsrecht
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Beschränkungen (Art. 23)

Beschränkungen

Verantwortlichkeiten

Verantwortlich für die Einhaltung der Datenschutzgesetze ist die Geschäftsführung.

Bei Fragen zu Inhalten dieser Datenschutzerklärung oder bei Fragen zuLasten der Bertoffenen oder eines Betroffenen, wenden Sie sich bitte an die eMail Adresse: datenschutz@smartcyber.de.

Alternativ können Sie sich auch postalisch an folgende Adresse:
Mittelweg 144, 20148 Hamburg
oder telefonisch an +49 40 8000 84 84 6 wenden.

Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Ludwig-Erhard-Straße 22, 20459 Hamburg, Telefon: +49 40 428 544 040