Datenschutzerklärung

Stand: 16. März 2026

1. Verantwortlicher

Webguardiola FlexCo
Untermühl 1/1
4113 Sankt Martin im Mühlkreis
Österreich
E-Mail: [email protected]
Geschäftsführer: Mag. Fabian Hable

2. Allgemeines

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir beim Besuch unserer Website und bei der Nutzung unserer Trainingsplattform verarbeiten und zu welchen Zwecken.

3. Website-Hosting & Content Delivery (Bunny.net)

Unsere Website und Trainingsplattform werden über Bunny.net (BunnyWay d.o.o., Letališka cesta 29c, 1000 Ljubljana, Slowenien) bereitgestellt. Bunny.net ist ein in der EU ansässiger CDN- und Hosting-Dienst. Bei jedem Aufruf verarbeitet Bunny.net technische Nutzungsdaten (z. B. IP-Adresse, Zugriffszeitpunkt, aufgerufene Ressource) zur Auslieferung der Inhalte. Da Bunny.net seinen Sitz innerhalb der EU hat, findet keine Datenübertragung in Drittländer statt.

Trainingsvideos werden ebenfalls über Bunny Stream (Bunny.net) ausgeliefert und direkt von Bunny-CDN-Servern gestreamt. Es werden keine Tracking-Daten zu Werbezwecken erhoben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem Betrieb).

4. Authentifizierung (E-Mail-OTP / Passwortlose Anmeldung)

Für die Anmeldung zu unserer Trainingsplattform verwenden wir ein passwortloses Verfahren per E-Mail-Code (One-Time Password / OTP). Dabei geben Sie Ihre E-Mail-Adresse ein und erhalten einen einmaligen, zeitlich befristeten Zugangscode (6-stellig) per E-Mail. Bei diesem Vorgang werden folgende Daten verarbeitet:

Die Verarbeitung erfolgt über Supabase, Inc. (San Francisco, USA) als Auftragsverarbeiter. Die Datenbanken werden in der EU (Frankfurt, Deutschland) gehostet. Die Datenübertragung stützt sich auf das EU-US Data Privacy Framework bzw. Standardvertragsklauseln. Es wird kein Passwort erhoben oder gespeichert.

Der Versand der OTP-E-Mails erfolgt über MailPace (OhMySMTP Ltd, England, Company No. 13200428) als Auftragsverarbeiter. MailPace verarbeitet Ihre E-Mail-Adresse ausschließlich zur Zustellung des Zugangscodes. Die Datenverarbeitung erfolgt ausschließlich innerhalb der EU. MailPace setzt keine Tracking-Pixel und kein Link-Tracking ein (Privacy by Design).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Zugangs zur Trainingsplattform).

5. Trainingsplattform / E-Learning

Wenn Sie unsere Trainingsplattform nutzen, verarbeiten wir die folgenden personenbezogenen Daten zur Bereitstellung, Durchführung und Dokumentation des Security Awareness Trainings:

A) Profildaten

B) Trainingsfortschritt & Interaktionsdaten

C) Quiz & Zertifikate

D) Unternehmensreports (Cyber-Fitness-Check und Business-Pakete)

Für Unternehmenskunden können auf Basis der aggregierten Trainings- und Phishing-Daten Unternehmensreports erstellt werden (Schwachstellenanalyse pro Themengebiet, Branchenvergleich/Benchmark). Diese Reports enthalten nur aggregierte Daten auf Unternehmensebene und keine personenbezogenen Einzelauswertungen.

E) Wissenschaftliche Forschung & Produktverbesserung

Wir verwenden anonymisierte und aggregierte Nutzungsdaten aus der Trainingsplattform (z. B. Klickverhalten bei Phishing-Simulationen, Quizergebnisse auf Kohortenebene, Modulabschlussraten) für wissenschaftliche Forschung im Bereich Cybersecurity und zur Verbesserung unserer Trainingsinhalte. Diese Forschung erfolgt in Zusammenarbeit mit universitären Partnern.

Die dabei verwendeten Daten sind vollständig anonymisiert — es ist kein Rückschluss auf einzelne Personen oder Unternehmen möglich. Anonymisierte Daten fallen nicht unter die DSGVO (Erwägungsgrund 26). Die Ergebnisse dieser Forschung fließen direkt in die Weiterentwicklung der Trainingsmodule ein und kommen somit allen Nutzerinnen und Nutzern zugute.

Rechtsgrundlage für den Anonymisierungsvorgang: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der wissenschaftlichen Verbesserung der Trainingsqualität und Cybersecurity-Forschung).

Diese Daten werden in einer Supabase-Datenbank gespeichert (EU-hosted, Frankfurt). Die Verarbeitung ist erforderlich, damit Sie das Training absolvieren, Ihren Fortschritt speichern und bei Bedarf ein Schulungszertifikat als Compliance-Nachweis erhalten können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des gebuchten Trainings). Soweit die Verarbeitung dem Nachweis der Schulungsteilnahme gegenüber Ihrem Arbeitgeber oder Aufsichtsbehörden dient (z. B. NIS2-Compliance), stützen wir uns ergänzend auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Dokumentation der Schulungsteilnahme).

6. Schriftarten (Google Fonts)

Diese Website verwendet Schriftarten des Dienstes Google Fonts (Google Ireland Ltd., Irland / Google LLC, USA). Beim Aufruf unserer Website werden die Schriftdateien direkt von Google-Servern nachgeladen. Dabei wird Ihre IP-Adresse an Google übermittelt. Google Fonts setzt nach eigenen Angaben dabei keine Cookies.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen und ansprechenden Darstellung der Website). Die Datenübertragung stützt sich auf das EU-US Data Privacy Framework.

Weitere Informationen: Google Fonts Datenschutz-FAQ.

7. Server-Logfiles / Technische Daten

Beim Aufruf der Website werden aus technischen Gründen Daten verarbeitet, die Ihr Browser übermittelt (z. B. IP-Adresse, Datum/Uhrzeit, aufgerufene Seite, Referrer-URL, Browsertyp/Version, Betriebssystem). Die Verarbeitung erfolgt zur Sicherstellung des Betriebs, zur IT-Sicherheit (z. B. Abwehr von Angriffen) und zur Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem Betrieb).

8. Kontaktaufnahme

Wenn Sie uns per E-Mail oder über ein Kontaktformular kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten (z. B. Name, E-Mail-Adresse, Nachricht) zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen/Vertrag) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).

9. Einbindung von Formularen / Nutzung von mailworx

Für die Bereitstellung unserer Kontakt- und Anmeldeformulare (insbesondere zur „Hacker-Challenge" / Phishing-Simulation) nutzen wir den Dienst mailworx der eworx Network & Internet GmbH, Hanriederstraße 25, 4150 Rohrbach-Berg, Österreich. Wenn Sie ein solches Formular absenden, werden die von Ihnen eingegebenen Daten sowie technische Protokolldaten zur Bearbeitung Ihrer Anfrage an die Server von mailworx übertragen und dort gespeichert. Wir haben mit dem Anbieter einen Vertrag zur Auftragsverarbeitung (AVV) geschlossen, der die Sicherheit Ihrer Daten gewährleistet.

Hinweis zur Phishing-Simulation: Soweit Sie sich über ein Formular für die Simulation anmelden, gilt ergänzend der separate „Datenschutzhinweis / Privacy Notice" zur Simulation (Art. 13 DSGVO). Dort erklären wir im Detail, welche spezifischen Daten im Rahmen der Simulation verarbeitet werden.

10. Spam-Schutz & Sicherheit (Captchas)

Um unsere Website und Formulare vor missbräuchlichen, automatisierten Eingaben (Bots) und Cyberangriffen zu schützen, setzen wir folgende Dienste ein:

Friendly Captcha: Für unsere Anmeldeformulare (z. B. Phishing-Simulation) nutzen wir den datenschutzfreundlichen Dienst Friendly Captcha (Friendly Captcha GmbH, Deutschland). Dieser Dienst prüft Anfragen, ohne Cookies zu setzen.

Rechtsgrundlage: Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses an der Sicherheit der Website und der Abwehr von Spam und Angriffen (Art. 6 Abs. 1 lit. f DSGVO).

11. Cookies & Lokale Speicherung

Unsere Website verwendet technisch notwendige Cookies und lokale Speicherung (localStorage), um den Betrieb, die Sicherheit und die grundlegende Funktionalität der Website zu gewährleisten. Im Einzelnen:

Wir verwenden keine Marketing- oder Tracking-Cookies (z. B. kein Google Analytics, keine Werbe- oder Retargeting-Pixel).

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) sowie — soweit einschlägig — § 165 Abs. 3 TKG 2021 (AT) bzw. ePrivacy-Regeln (technisch notwendig für die Bereitstellung des Dienstes).

12. Empfänger / Auftragsverarbeiter

Für den Website- und Plattformbetrieb werden folgende Dienstleister eingesetzt:

Hinweis: Details zu Unterauftragsverarbeitern und Drittlandtransfers ergeben sich aus den Informationen der jeweiligen Anbieter. Soweit Daten in die USA übertragen werden, stützen wir uns auf das EU-US Data Privacy Framework (DPF) und/oder Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

13. Speicherdauer

Wir verarbeiten personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist bzw. gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen:

14. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie – soweit anwendbar – Widerspruch (Art. 21 DSGVO). Außerdem können Sie eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [email protected]

15. Beschwerderecht

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen Datenschutzrecht verstößt, können Sie Beschwerde bei der österreichischen Datenschutzbehörde einlegen:
Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien, Österreich
E-Mail: [email protected]

Privacy Policy

Last updated: March 16, 2026

1. Data Controller

Webguardiola FlexCo
Untermühl 1/1
4113 Sankt Martin im Mühlkreis
Austria
Email: [email protected]
Managing Director: Mag. Fabian Hable

2. General Information

We take the protection of your personal data very seriously. This privacy policy informs you about which data we process when you visit our website and use our training platform, and for which purposes.

3. Website Hosting & Content Delivery (Bunny.net)

Our website and training platform are hosted by Bunny.net (BunnyWay d.o.o., Letališka cesta 29c, 1000 Ljubljana, Slovenia), an EU-based CDN and hosting service. On each visit, Bunny.net processes technical usage data (e.g., IP address, access time, requested resource) to deliver content. As Bunny.net is headquartered within the EU, no data transfer to third countries takes place.

Training videos are also delivered via Bunny Stream (Bunny.net), streamed directly from Bunny CDN servers. No tracking data is collected for advertising purposes.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract) and Art. 6(1)(f) GDPR (legitimate interest in secure, stable operation).

4. Authentication (Email OTP / Passwordless Login)

To log in to our training platform, we use a passwordless authentication method via email one-time passwords (OTP). You enter your email address and receive a one-time, time-limited access code (6 digits) via email. The following data is processed in this context:

Processing is carried out via Supabase, Inc. (San Francisco, USA) as a data processor. Databases are hosted in the EU (Frankfurt, Germany). Data transfers are based on the EU-US Data Privacy Framework or Standard Contractual Clauses. No password is collected or stored.

OTP emails are sent via MailPace (OhMySMTP Ltd, England, Company No. 13200428) as a data processor. MailPace processes your email address solely to deliver the access code. All data processing takes place exclusively within the EU. MailPace does not use tracking pixels or link tracking (Privacy by Design).

Legal basis: Art. 6(1)(b) GDPR (performance of a contract — providing access to the training platform).

5. Training Platform / E-Learning

When you use our training platform, we process the following personal data to provide, conduct, and document the Security Awareness Training:

A) Profile Data

B) Training Progress & Interaction Data

C) Quizzes & Certificates

D) Company Reports (Cyber Fitness Check and Business packages)

For enterprise customers, company reports may be generated based on aggregated training and phishing data (vulnerability analysis per topic area, industry comparison/benchmark). These reports contain only aggregated data at the company level and no individual personal evaluations.

E) Scientific Research & Product Improvement

We use anonymized and aggregated usage data from the training platform (e.g., click behavior in phishing simulations, quiz results at cohort level, module completion rates) for scientific research in the field of cybersecurity and to improve our training content. This research is conducted in collaboration with university partners.

The data used for this purpose is fully anonymized — no inference about individual persons or companies is possible. Anonymized data does not fall under the GDPR (Recital 26). The results of this research directly feed into the further development of training modules and thus benefit all users.

Legal basis for the anonymization process: Art. 6(1)(f) GDPR (legitimate interest in the scientific improvement of training quality and cybersecurity research).

This data is stored in a Supabase database (EU-hosted, Frankfurt). Processing is necessary so that you can complete the training, save your progress, and — where applicable — obtain a training certificate as proof of compliance.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract — providing the booked training). Insofar as processing serves to document training participation for your employer or supervisory authorities (e.g., NIS2 compliance), we additionally rely on Art. 6(1)(f) GDPR (legitimate interest in documenting training participation).

6. Fonts (Google Fonts)

This website uses fonts from the Google Fonts service (Google Ireland Ltd., Ireland / Google LLC, USA). When you access our website, the font files are loaded directly from Google servers. In this process, your IP address is transmitted to Google. According to Google, Google Fonts does not set cookies in this context.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in a uniform and visually appealing presentation of the website). Data transfers are based on the EU-US Data Privacy Framework.

More information: Google Fonts Privacy FAQ.

7. Server Log Files / Technical Data

When you access the website, your browser automatically transmits certain data for technical reasons (e.g., IP address, date/time, page accessed, referrer URL, browser type/version, operating system). This processing is necessary for website operation, IT security (e.g., defense against attacks), and error analysis. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in secure, stable operation).

8. Contact

If you contact us by email or via a contact form, we process the data you provide (e.g., name, email address, message) to handle your inquiry. Legal basis: Art. 6(1)(b) GDPR (pre-contractual measures/contract) or Art. 6(1)(f) GDPR (legitimate interest in efficient communication).

9. Forms / Use of mailworx

For our contact and registration forms (particularly for the "Hacker Challenge" / phishing simulation), we use the mailworx service by eworx Network & Internet GmbH, Hanriederstraße 25, 4150 Rohrbach-Berg, Austria. When you submit such a form, your entered data and technical log data are transmitted to and stored on mailworx servers. We have concluded a data processing agreement (DPA) with the provider to ensure the security of your data.

Note on phishing simulation: If you register for the simulation via a form, the separate "Privacy Notice for the Simulation" (Art. 13 GDPR) applies additionally. It explains in detail which specific data is processed during the simulation.

10. Spam Protection & Security (Captchas)

To protect our website and forms from abusive, automated submissions (bots) and cyberattacks, we use the following services:

Friendly Captcha: For our registration forms (e.g., phishing simulation), we use the privacy-friendly service Friendly Captcha (Friendly Captcha GmbH, Germany). This service checks requests without setting cookies.

Legal basis: Processing is based on our legitimate interest in website security and defense against spam and attacks (Art. 6(1)(f) GDPR).

11. Cookies & Local Storage

Our website uses technically necessary cookies and local storage (localStorage) to ensure operation, security, and basic functionality. Specifically:

We do not use marketing or tracking cookies (e.g., no Google Analytics, no advertising or retargeting pixels).

Legal basis: Legitimate interest (Art. 6(1)(f) GDPR) and — where applicable — § 165(3) TKG 2021 (AT) or ePrivacy rules (technically necessary for providing the service).

12. Recipients / Data Processors

The following service providers are used for website and platform operation:

Note: Details on sub-processors and third-country transfers can be found in the information provided by the respective providers. Where data is transferred to the USA, we rely on the EU-US Data Privacy Framework (DPF) and/or Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR.

13. Retention Periods

We process personal data only for as long as necessary for the stated purposes or as required by statutory retention obligations. Specifically:

14. Your Rights

You have the right to access (Art. 15 GDPR), rectification (Art. 16 GDPR), erasure (Art. 17 GDPR), restriction of processing (Art. 18 GDPR), data portability (Art. 20 GDPR), and — where applicable — objection (Art. 21 GDPR). You may also withdraw any consent given at any time with effect for the future (Art. 7(3) GDPR).

To exercise your rights, please contact: [email protected]

You also have the right to lodge a complaint with the Austrian Data Protection Authority (Datenschutzbehörde): www.dsb.gv.at

© 2026 Webguardiola FlexCo · Impressum · Datenschutz · Startseite

© 2026 Webguardiola FlexCo · Imprint · Privacy · Home