Datenschutzerklärung

Stand: 24.02.2026

1. Verantwortlicher

Webguardiola FlexCo
Untermühl 1/1
4113 Sankt Martin im Mühlkreis
Österreich
E-Mail: hello@webguardiola.com
Geschäftsführer: Mag. Fabian Hable

2. Allgemeines

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir beim Besuch unserer Website und bei der Nutzung unserer Trainingsplattform verarbeiten und zu welchen Zwecken.

3. Website-Hosting

Unsere Website wird über Netlify, Inc. (Hosting/CDN, San Francisco, USA) bereitgestellt. Netlify verarbeitet dabei technische Nutzungsdaten (z. B. IP-Adresse, Zugriffszeitpunkt) als Auftragsverarbeiter im Rahmen der Bereitstellung der Website. Die Datenübertragung in die USA stützt sich auf das EU-US Data Privacy Framework bzw. Standardvertragsklauseln.

4. Authentifizierung (Magic Link / Passwortlose Anmeldung)

Für die Anmeldung zu unserer Trainingsplattform verwenden wir ein passwortloses Verfahren über sogenannte „Magic Links". Dabei geben Sie Ihre E-Mail-Adresse ein und erhalten einen einmaligen, zeitlich befristeten Anmeldelink per E-Mail. Bei diesem Vorgang werden folgende Daten verarbeitet:

• E-Mail-Adresse
• Zeitpunkt der Anfrage und der Anmeldung
• IP-Adresse
• Sitzungstoken (zur Aufrechterhaltung der angemeldeten Sitzung)

Die Verarbeitung erfolgt über Supabase, Inc. (San Francisco, USA) als Auftragsverarbeiter. Die Datenbanken werden in der EU (Frankfurt, Deutschland) gehostet. Die Datenübertragung stützt sich auf das EU-US Data Privacy Framework bzw. Standardvertragsklauseln. Es wird kein Passwort erhoben oder gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Zugangs zur Trainingsplattform).

5. Trainingsplattform / E-Learning

Wenn Sie unsere Trainingsplattform nutzen, verarbeiten wir die folgenden personenbezogenen Daten zur Bereitstellung, Durchführung und Dokumentation des Security Awareness Trainings:

A) Profildaten

• E-Mail-Adresse (als Benutzername/Identifikator)
• Benutzer-ID (intern, nicht personenbezogen zuordenbar)
• Lizenzstufe (z. B. Part 1 / Part 2 freigeschaltet)

B) Trainingsfortschritt

• Gestartete und abgeschlossene Module (z. B. „Passwortsicherheit", „Phishing erkennen")
• Zeitstempel von Modulstart und -abschluss
• SCORM-Daten (Lernfortschritt, Suspendierungsdaten für Wiederaufnahme)

C) Quiz & Zertifikate

• Quizergebnisse (Punktzahl, Bestanden/Nicht bestanden)
• Zertifikats-ID (bei erfolgreichem Abschluss)
• Zeitpunkt des Zertifikatserwerbs

Diese Daten werden in einer Supabase-Datenbank gespeichert (EU-hosted, Frankfurt). Die Verarbeitung ist erforderlich, damit Sie das Training absolvieren, Ihren Fortschritt speichern und bei Bedarf ein Schulungszertifikat als Compliance-Nachweis erhalten können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des gebuchten Trainings). Soweit die Verarbeitung dem Nachweis der Schulungsteilnahme gegenüber Ihrem Arbeitgeber oder Aufsichtsbehörden dient (z. B. NIS2-Compliance), stützen wir uns ergänzend auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Dokumentation der Schulungsteilnahme).

6. Video-Einbindung (Vimeo)

Unsere Trainingsplattform und unsere Website binden Videos über Vimeo, Inc. (New York, USA) ein. Beim Laden einer Seite mit eingebettetem Vimeo-Video wird eine Verbindung zu den Servern von Vimeo hergestellt. Dabei werden folgende Daten an Vimeo übermittelt:

• IP-Adresse
• Browsertyp und -version, Betriebssystem
• Referrer-URL (die Seite, auf der das Video eingebettet ist)
• Geräteinformationen

Die Videos werden im „Background Mode" bzw. „Do Not Track"-Modus (dnt=1) eingebunden, wodurch Vimeo nach eigenen Angaben keine Cookies zu Tracking- oder Werbezwecken setzt. Wir nutzen Vimeo ausschließlich zur Bereitstellung der Trainingsinhalte, nicht zu Werbezwecken.

Weitere Informationen finden Sie in der Datenschutzerklärung von Vimeo. Die Datenübertragung in die USA stützt sich auf das EU-US Data Privacy Framework bzw. Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung der Trainingsinhalte) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch zuverlässigen und performanten Videoauslieferung).

7. Schriftarten (Google Fonts)

Diese Website verwendet Schriftarten des Dienstes Google Fonts (Google Ireland Ltd., Irland / Google LLC, USA). Beim Aufruf unserer Website werden die Schriftdateien direkt von Google-Servern nachgeladen. Dabei wird Ihre IP-Adresse an Google übermittelt. Google Fonts setzt nach eigenen Angaben dabei keine Cookies.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen und ansprechenden Darstellung der Website). Die Datenübertragung stützt sich auf das EU-US Data Privacy Framework.

Weitere Informationen: Google Fonts Datenschutz-FAQ.

8. Server-Logfiles / Technische Daten

Beim Aufruf der Website werden aus technischen Gründen Daten verarbeitet, die Ihr Browser übermittelt (z. B. IP-Adresse, Datum/Uhrzeit, aufgerufene Seite, Referrer-URL, Browsertyp/Version, Betriebssystem). Die Verarbeitung erfolgt zur Sicherstellung des Betriebs, zur IT-Sicherheit (z. B. Abwehr von Angriffen) und zur Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem Betrieb).

9. Kontaktaufnahme

Wenn Sie uns per E-Mail oder über ein Kontaktformular kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten (z. B. Name, E-Mail-Adresse, Nachricht) zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen/Vertrag) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).

10. Einbindung von Formularen / Nutzung von mailworx

Für die Bereitstellung unserer Kontakt- und Anmeldeformulare (insbesondere zur „Hacker-Challenge" / Phishing-Simulation) nutzen wir den Dienst mailworx der eworx Network & Internet GmbH, Hanriederstraße 25, 4150 Rohrbach-Berg, Österreich. Wenn Sie ein solches Formular absenden, werden die von Ihnen eingegebenen Daten sowie technische Protokolldaten zur Bearbeitung Ihrer Anfrage an die Server von mailworx übertragen und dort gespeichert. Wir haben mit dem Anbieter einen Vertrag zur Auftragsverarbeitung (AVV) geschlossen, der die Sicherheit Ihrer Daten gewährleistet.

Hinweis zur Phishing-Simulation: Soweit Sie sich über ein Formular für die Simulation anmelden, gilt ergänzend der separate „Datenschutzhinweis / Privacy Notice" zur Simulation (Art. 13 DSGVO). Dort erklären wir im Detail, welche spezifischen Daten im Rahmen der Simulation verarbeitet werden.

11. Spam-Schutz & Sicherheit (Captchas)

Um unsere Website und Formulare vor missbräuchlichen, automatisierten Eingaben (Bots) und Cyberangriffen zu schützen, setzen wir folgende Dienste ein:

Friendly Captcha: Für unsere Anmeldeformulare (z. B. Phishing-Simulation) nutzen wir den datenschutzfreundlichen Dienst Friendly Captcha (Friendly Captcha GmbH, Deutschland). Dieser Dienst prüft Anfragen, ohne Cookies zu setzen.

Rechtsgrundlage: Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses an der Sicherheit der Website und der Abwehr von Spam und Angriffen (Art. 6 Abs. 1 lit. f DSGVO).

12. Cookies & Lokale Speicherung

Unsere Website verwendet technisch notwendige Cookies und lokale Speicherung (localStorage), um den Betrieb, die Sicherheit und die grundlegende Funktionalität der Website zu gewährleisten. Im Einzelnen:

• Supabase-Sitzungscookies/-token: Zur Aufrechterhaltung Ihrer angemeldeten Sitzung auf der Trainingsplattform (technisch notwendig).
• Spracheinstellungen: Ihre gewählte Sprache (DE/EN) wird im localStorage gespeichert, damit sie bei einem erneuten Besuch beibehalten wird.

Wir verwenden keine Marketing- oder Tracking-Cookies (z. B. kein Google Analytics, keine Werbe- oder Retargeting-Pixel).

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) sowie — soweit einschlägig — § 165 Abs. 3 TKG 2021 (AT) bzw. ePrivacy-Regeln (technisch notwendig für die Bereitstellung des Dienstes).

13. Empfänger / Auftragsverarbeiter

Für den Website- und Plattformbetrieb werden folgende Dienstleister eingesetzt:

• Netlify, Inc. (Website-Hosting / CDN) — USA, EU-US DPF
• Supabase, Inc. (Authentifizierung / Datenbank) — Datenbank EU-hosted (Frankfurt), Unternehmenssitz USA, EU-US DPF
• Vimeo, Inc. (Video-Hosting / Streaming) — USA, EU-US DPF
• Google Ireland Ltd. / Google LLC (Schriftarten / Google Fonts) — Irland / USA, EU-US DPF
• Microsoft Ireland Operations Ltd. (E-Mail-Dienste / Office 365) — EU
• Eworx Network & Internet GmbH (Formularsystem / mailworx) — Österreich
• Friendly Captcha GmbH (Spam-Schutz) — Deutschland

Hinweis: Details zu Unterauftragsverarbeitern und Drittlandtransfers ergeben sich aus den Informationen der jeweiligen Anbieter. Soweit Daten in die USA übertragen werden, stützen wir uns auf das EU-US Data Privacy Framework (DPF) und/oder Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

14. Speicherdauer

Wir verarbeiten personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist bzw. gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen:

• Benutzerkonto & Profildaten: Solange Ihr Konto aktiv ist. Bei Löschung des Kontos werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Trainingsfortschritt & SCORM-Daten: Solange Ihr Konto aktiv ist und für die Dauer eines laufenden Lizenzzeitraums, damit Sie Ihr Training fortsetzen und wiederholen können.
• Zertifikate & Abschlussnachweise: Zertifikate werden für die Dauer von 3 Jahren nach Ausstellungsdatum aufbewahrt, um Ihnen und Ihrem Arbeitgeber einen dauerhaften Compliance-Nachweis zu ermöglichen (z. B. für NIS2-Audits). Danach werden sie gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten eine längere Speicherung erfordern.
• Kontaktanfragen: Werden so lange gespeichert, wie es zur Bearbeitung und für eventuelle Anschlussfragen notwendig ist, in der Regel max. 2 Jahre.
• Server-Logfiles: Werden in der Regel nach 30 Tagen gelöscht (gemäß Netlify-Standardeinstellungen).
• Abrechnungsdaten: Werden gemäß den gesetzlichen Aufbewahrungspflichten (7 Jahre gemäß § 132 BAO) aufbewahrt.

15. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie – soweit anwendbar – Widerspruch (Art. 21 DSGVO). Außerdem können Sie eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: hello@webguardiola.com

16. Beschwerderecht

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen Datenschutzrecht verstößt, können Sie Beschwerde bei der österreichischen Datenschutzbehörde einlegen:
Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien, Österreich
E-Mail: dsb@dsb.gv.at

Privacy Policy

Last updated: February 24, 2026

1. Data Controller

Webguardiola FlexCo
Untermühl 1/1
4113 Sankt Martin im Mühlkreis
Austria
Email: hello@webguardiola.com
Managing Director: Mag. Fabian Hable

2. General Information

We take the protection of your personal data very seriously. This privacy policy informs you about which data we process when you visit our website and use our training platform, and for which purposes.

3. Website Hosting

Our website is hosted by Netlify, Inc. (hosting/CDN, San Francisco, USA). Netlify processes technical usage data (e.g., IP address, access time) as a data processor in connection with providing the website. Data transfers to the USA are based on the EU-US Data Privacy Framework or Standard Contractual Clauses.

4. Authentication (Magic Link / Passwordless Login)

To log in to our training platform, we use a passwordless authentication method via so-called "magic links." You enter your email address and receive a one-time, time-limited login link via email. The following data is processed in this context:

• Email address
• Timestamp of the request and login
• IP address
• Session token (to maintain the authenticated session)

Processing is carried out via Supabase, Inc. (San Francisco, USA) as a data processor. Databases are hosted in the EU (Frankfurt, Germany). Data transfers are based on the EU-US Data Privacy Framework or Standard Contractual Clauses. No password is collected or stored.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract — providing access to the training platform).

5. Training Platform / E-Learning

When you use our training platform, we process the following personal data to provide, conduct, and document the Security Awareness Training:

A) Profile Data

• Email address (as username/identifier)
• User ID (internal, not personally identifiable on its own)
• License level (e.g., Part 1 / Part 2 unlocked)

B) Training Progress

• Started and completed modules (e.g., "Password Security," "Phishing Detection")
• Timestamps of module start and completion
• SCORM data (learning progress, suspension data for resumption)

C) Quizzes & Certificates

• Quiz results (score, pass/fail)
• Certificate ID (upon successful completion)
• Timestamp of certificate issuance

This data is stored in a Supabase database (EU-hosted, Frankfurt). Processing is necessary so that you can complete the training, save your progress, and — where applicable — obtain a training certificate as proof of compliance.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract — providing the booked training). Insofar as processing serves to document training participation for your employer or supervisory authorities (e.g., NIS2 compliance), we additionally rely on Art. 6(1)(f) GDPR (legitimate interest in documenting training participation).

6. Video Embedding (Vimeo)

Our training platform and website embed videos via Vimeo, Inc. (New York, USA). When a page with an embedded Vimeo video is loaded, a connection is established to Vimeo's servers. The following data is transmitted to Vimeo:

• IP address
• Browser type and version, operating system
• Referrer URL (the page on which the video is embedded)
• Device information

Videos are embedded in "Background Mode" with the "Do Not Track" parameter (dnt=1), which means that according to Vimeo's own statements, no cookies are set for tracking or advertising purposes. We use Vimeo solely to deliver training content, not for advertising purposes.

For more information, see the Vimeo Privacy Policy. Data transfers to the USA are based on the EU-US Data Privacy Framework or Standard Contractual Clauses.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract — delivering training content) and Art. 6(1)(f) GDPR (legitimate interest in technically reliable and performant video delivery).

7. Fonts (Google Fonts)

This website uses fonts from the Google Fonts service (Google Ireland Ltd., Ireland / Google LLC, USA). When you access our website, the font files are loaded directly from Google servers. In this process, your IP address is transmitted to Google. According to Google, Google Fonts does not set cookies in this context.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in a uniform and visually appealing presentation of the website). Data transfers are based on the EU-US Data Privacy Framework.

More information: Google Fonts Privacy FAQ.

8. Server Log Files / Technical Data

When you access the website, your browser automatically transmits certain data for technical reasons (e.g., IP address, date/time, page accessed, referrer URL, browser type/version, operating system). This processing is necessary for website operation, IT security (e.g., defense against attacks), and error analysis. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in secure, stable operation).

9. Contact

If you contact us by email or via a contact form, we process the data you provide (e.g., name, email address, message) to handle your inquiry. Legal basis: Art. 6(1)(b) GDPR (pre-contractual measures/contract) or Art. 6(1)(f) GDPR (legitimate interest in efficient communication).

10. Forms / Use of mailworx

For our contact and registration forms (particularly for the "Hacker Challenge" / phishing simulation), we use the mailworx service by eworx Network & Internet GmbH, Hanriederstraße 25, 4150 Rohrbach-Berg, Austria. When you submit such a form, your entered data and technical log data are transmitted to and stored on mailworx servers. We have concluded a data processing agreement (DPA) with the provider to ensure the security of your data.

Note on phishing simulation: If you register for the simulation via a form, the separate "Privacy Notice for the Simulation" (Art. 13 GDPR) applies additionally. It explains in detail which specific data is processed during the simulation.

11. Spam Protection & Security (Captchas)

To protect our website and forms from abusive, automated submissions (bots) and cyberattacks, we use the following services:

Friendly Captcha: For our registration forms (e.g., phishing simulation), we use the privacy-friendly service Friendly Captcha (Friendly Captcha GmbH, Germany). This service checks requests without setting cookies.

Legal basis: Processing is based on our legitimate interest in website security and defense against spam and attacks (Art. 6(1)(f) GDPR).

12. Cookies & Local Storage

Our website uses technically necessary cookies and local storage (localStorage) to ensure operation, security, and basic functionality. Specifically:

• Supabase session cookies/tokens: To maintain your authenticated session on the training platform (technically necessary).
• Language preference: Your chosen language (DE/EN) is stored in localStorage so that it is retained on subsequent visits.

We do not use marketing or tracking cookies (e.g., no Google Analytics, no advertising or retargeting pixels).

Legal basis: Legitimate interest (Art. 6(1)(f) GDPR) and — where applicable — § 165(3) TKG 2021 (AT) or ePrivacy rules (technically necessary for providing the service).

13. Recipients / Data Processors

The following service providers are used for website and platform operation:

• Netlify, Inc. (website hosting / CDN) — USA, EU-US DPF
• Supabase, Inc. (authentication / database) — database EU-hosted (Frankfurt), company HQ USA, EU-US DPF
• Vimeo, Inc. (video hosting / streaming) — USA, EU-US DPF
• Google Ireland Ltd. / Google LLC (fonts / Google Fonts) — Ireland / USA, EU-US DPF
• Microsoft Ireland Operations Ltd. (email services / Office 365) — EU
• Eworx Network & Internet GmbH (form system / mailworx) — Austria
• Friendly Captcha GmbH (spam protection) — Germany

Note: Details on sub-processors and third-country transfers can be found in the information provided by the respective providers. Where data is transferred to the USA, we rely on the EU-US Data Privacy Framework (DPF) and/or Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR.

14. Retention Periods

We process personal data only for as long as necessary for the stated purposes or as required by statutory retention obligations. Specifically:

• User account & profile data: For as long as your account is active. Upon account deletion, all personal data is deleted within 30 days, unless statutory retention obligations apply.
• Training progress & SCORM data: For as long as your account is active and for the duration of an active license period, so you can continue and repeat your training.
• Certificates & completion records: Certificates are retained for 3 years after the date of issuance to provide you and your employer with a lasting proof of compliance (e.g., for NIS2 audits). After that, they are deleted unless statutory retention obligations require longer storage.
• Contact inquiries: Stored for as long as necessary for processing and any follow-up questions, typically no longer than 2 years.
• Server log files: Typically deleted after 30 days (per Netlify default settings).
• Billing data: Retained in accordance with statutory retention obligations (7 years per § 132 BAO, Austrian Federal Fiscal Code).

15. Your Rights

You have the right to access (Art. 15 GDPR), rectification (Art. 16 GDPR), erasure (Art. 17 GDPR), restriction of processing (Art. 18 GDPR), data portability (Art. 20 GDPR), and — where applicable — objection (Art. 21 GDPR). You may also withdraw any consent given at any time with effect for the future (Art. 7(3) GDPR).

To exercise your rights, please contact: hello@webguardiola.com

16. Right to Lodge a Complaint

If you believe that the processing of your data violates data protection law, you may lodge a complaint with the Austrian Data Protection Authority:
Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Vienna, Austria
Email: dsb@dsb.gv.at