Datenschutzerklärung

Stand: 4. Juli 2026 · Version 1.2 · Geltungsbereich: secdrills.com

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten auf secdrills.com ist:

BlueGravitas GmbH

Wiesengasse 20

8570 Voitsberg, Österreich

E-Mail: datenschutz@secdrills.com

Web: www.secdrills.com

Ein gesonderter Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht vorliegen.

2. Grundsätze der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb der Website und der Plattform erforderlich ist. Rechtsgrundlagen sind:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung und vorvertragliche Maßnahmen (Registrierung, Nutzerkonto, Bearbeitung von Anfragen, Plattformbetrieb)
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen (IT-Sicherheit, Missbrauchs- und Spam-Prävention, Geschäftsanbahnung)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (sofern im Einzelfall eingeholt)

3. Welche Daten wir verarbeiten

3.1 Registrierung und Nutzerkonto

Für die Nutzung der Plattform ist eine Registrierung erforderlich. Dabei verarbeiten wir Vor- und Nachname, geschäftliche E-Mail-Adresse, Unternehmen/Organisation, ein verschlüsselt gespeichertes Passwort sowie den Zeitstempel der Registrierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.2 Lead- und Kontaktformulare

Über unsere Formulare (u. a. „Übungsreife-Check", „Jetzt starten", „Für Führungskräfte" sowie das Kontakt-/Registrierungsformular) kannst du mit uns in Kontakt treten. Dabei verarbeiten wir die von dir angegebenen Daten:

  • Vor- und Nachname
  • (geschäftliche) E-Mail-Adresse
  • Unternehmen / Organisation
  • Telefonnummer (optional)
  • betroffene Regulierung (z. B. NIS2, DORA)
  • Anliegen / Freitext (optional)

Die Verarbeitung dient der Bearbeitung deiner Anfrage, der Kontaktaufnahme und der Geschäftsanbahnung. Die Daten werden in unserer Datenbank (Supabase, siehe Ziffer 5) gespeichert und zur Bearbeitung an unser CRM-System Pipedrive übermittelt.

Zur Abwehr von Missbrauch und automatisierten Eingaben (Rate-Limiting/Spam-Schutz) wird bei der Übermittlung des Formulars deine IP-Adresse kurzzeitig verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

3.3 Plattformnutzung und Übungsdaten

Bei der Durchführung von Tabletop Exercises (TTX) auf der Plattform verarbeiten wir die ausgewählten Szenarien und Konfigurationen, Antworten und Eingaben während der Übung, Zeitstempel/Sitzungsdauer sowie technische Metadaten (z. B. IP-Adresse) zu Sicherheits- und Stabilitätszwecken.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

3.4 E-Mail-Versand

Transaktionale E-Mails (z. B. Eingangsbestätigungen und Benachrichtigungen) versenden wir über unsere eigene Versand-Infrastruktur unter der Absenderdomain notify.secdrills.com. Jede nicht rein vertragsnotwendige Nachricht enthält einen Abmeldelink; abgemeldete Adressen werden in einer Sperrliste geführt, um weitere Zusendungen zu verhindern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

3.5 Zahlungsdaten

Auf den öffentlichen Marketing-Seiten findet keine Zahlungsabwicklung statt. Für kostenpflichtige Leistungen innerhalb der eingeloggten Plattform erfolgt die Zahlungsabwicklung über den externen Zahlungsdienstleister Stripe, Inc. Wir speichern selbst keine Kreditkarten- oder Bankdaten.

3.6 Technische Protokolldaten

Beim Aufruf der Website werden automatisch technische Protokolldaten erfasst (IP-Adresse, Datum/Uhrzeit, aufgerufene URL, HTTP-Statuscode). Diese Daten dienen ausschließlich dem Betrieb und der Sicherheit und werden nach spätestens 30 Tagen gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

4. Cookies und lokale Speicherung

Wir setzen keine Marketing-Cookies ein. Eine Analyse deines Nutzungsverhaltens findet ausschließlich mit deiner vorherigen Einwilligung statt (Kategorie „Analyse" im Cookie-Hinweis, siehe Ziffer 4.1). Schriftarten werden lokal von unserem Server ausgeliefert (kein Abruf von Google Fonts).

Technisch notwendig nutzen wir lediglich die lokale Speicherung deines Browsers (localStorage):

  • cm_cookie_consent / cm_cookie_prefs — speichern deine Auswahl im Cookie-Hinweis.
  • Supabase-Sitzungsdaten — nur im eingeloggten Bereich, zur Authentifizierung.

4.1 Google Analytics 4 (nur mit Einwilligung)

Zur Reichweiten- und Nutzungsanalyse setzen wir Google Analytics 4 (GA4) ein, einen Dienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. GA4 wird erst geladen, nachdem du im Cookie-Hinweis die Kategorie „Analyse" aktiviert und gespeichert hast. Ohne diese Einwilligung wird weder ein GA4-Skript geladen noch ein Analyse-Cookie gesetzt.

Nach erteilter Einwilligung setzt GA4 Cookies (u. a. _ga, _ga_<ID>) zur Wiedererkennung von Besucher:innen. Verarbeitet werden pseudonyme Nutzungsdaten wie aufgerufene Seiten, ungefähre Herkunft, Gerät/Browser und Interaktionen. Die IP-Adresse wird von Google nur kurzzeitig zur groben Verortung genutzt und nicht gespeichert (IP-Anonymisierung aktiv).

Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du im Cookie-Hinweis die Kategorie „Analyse" deaktivierst. Anschließend werden keine weiteren Daten an GA4 übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 165 Abs. 3 TKG 2021 (Zugriff auf Endgeräteinformationen mit Einwilligung).

Der Cookie-Hinweis bietet die optionalen Kategorien „Analyse" (steuert GA4, siehe Ziffer 4.1) und „Marketing" an; für „Marketing" sind derzeit keine Dienste aktiv, sodass bei einer Auswahl keine zusätzlichen personenbezogenen Daten verarbeitet werden.

Rechtsgrundlage für die technisch notwendige Speicherung: Art. 6 Abs. 1 lit. f DSGVO bzw. § 165 Abs. 3 TKG 2021.

5. Auftragsverarbeiter und Drittanbieter

Wir setzen folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit jedem Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) bzw. Data Processing Agreement (DPA).

Anbieter Zweck Sitz Hosting-Region Transfer
Lovable Labs AB Entwicklung und Hosting der Frontend-Applikation 🇸🇪 Schweden / EU EU (wählbar) Kein Drittlandtransfer
Supabase, Inc. Datenbank, Authentifizierung, Backend-Infrastruktur 🇺🇸 USA EU-West (Frankfurt, AWS) SCCs (EU 2021/914)
Amazon Web Services, Inc. Cloud-Infrastruktur (Subprozessor von Supabase) 🇺🇸 USA eu-central-1 (Frankfurt) SCCs (via Supabase DPA)
Pipedrive CRM – Verwaltung von Anfragen und Leads 🇪🇪 Estland (EU) / 🇺🇸 USA EU / USA SCCs (EU 2021/914)
Google Ireland Ltd. Webanalyse (Google Analytics 4) – nur mit Einwilligung 🇮🇪 Irland (EU) / 🇺🇸 USA EU / USA SCCs + EU-US DPF
KI-Anbieter von Lovable KI-gestützte Code-Generierung (Plattformentwicklung) 🇺🇸 USA (voraussichtlich) SCCs (via Lovable DPA)

Hinweis zu KI-Subprozessoren

Lovable nutzt für die Plattformentwicklung externe KI-Anbieter. Deine im Rahmen der Plattformnutzung eingegebenen Daten (Übungsinhalte, Nutzereingaben) werden nicht für das Training von KI-Modellen verwendet.

6. Drittlandtransfers

Einige der eingesetzten Anbieter haben ihren Sitz in den USA (Drittland im Sinne der DSGVO) bzw. übermitteln Daten dorthin. Die Übermittlung erfolgt auf Basis der von der EU-Kommission genehmigten Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss EU 2021/914).

Supabase: Die Datenhaltung erfolgt in der AWS-Region eu-central-1 (Frankfurt, Deutschland). Daten verlassen die EU-Region standardmäßig nicht. Das DPA inkl. SCCs liegt vor.

Pipedrive: Übermittelte Lead-/Kontaktdaten werden im CRM verarbeitet; die Übermittlung in Drittländer ist durch SCCs abgedeckt.

Google Analytics 4: Nur bei aktivierter Analyse-Einwilligung können Daten an Google-Server in den USA übermittelt werden. Die Übermittlung ist durch die Standardvertragsklauseln (SCCs) im Google-Datenverarbeitungsvertrag abgedeckt; Google LLC ist zudem unter dem EU-US Data Privacy Framework zertifiziert.

KI-Subprozessoren von Lovable: Soweit KI-Anbieter in den USA ansässig sind, ist die Übermittlung durch das Lovable DPA (inkl. SCCs) abgedeckt. Eine vollständige Liste der Lovable-Subprozessoren kann bei dpo@lovable.dev angefordert werden.

7. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist:

  • Nutzerkonto: Für die Dauer der Vertragsbeziehung; nach Kündigung/Löschung maximal 30 Tage Aufbewahrungsfrist für Sicherungszwecke, danach vollständige Löschung.
  • Lead-/Kontaktanfragen: Bis zur abschließenden Bearbeitung; bei Geschäftsanbahnung bis zum Wegfall des Interesses, danach spätestens nach 3 Jahren (steuerliche Aufbewahrungsfristen bleiben unberührt).
  • Übungsdaten (TTX-Ergebnisse): Für die Dauer der Vertragsbeziehung, es sei denn, du löschst sie früher aktiv.
  • Protokolldaten: Maximal 30 Tage.

8. Deine Rechte

Dir stehen nach der DSGVO folgende Rechte zu:

Auskunft (Art. 15)

Du kannst jederzeit Auskunft über die zu deiner Person gespeicherten Daten verlangen.

Berichtigung (Art. 16)

Unrichtige Daten können jederzeit korrigiert werden.

Löschung (Art. 17)

Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Einschränkung (Art. 18)

Du kannst die Verarbeitung einschränken lassen, z. B. während einer Überprüfung der Richtigkeit.

Datenübertragbarkeit (Art. 20)

Du kannst eine Kopie deiner Daten in einem gängigen, maschinenlesbaren Format anfordern.

Widerspruch (Art. 21)

Du kannst der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.

Widerruf (Art. 7 Abs. 3)

Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Beschwerde (Art. 77)

Du hast das Recht, dich bei der zuständigen Aufsichtsbehörde zu beschweren.

Zur Ausübung deiner Rechte wende dich an: datenschutz@secdrills.com

9. Kontakt und Beschwerden

Für datenschutzbezogene Anfragen stehen wir dir unter folgender Adresse zur Verfügung:

Datenschutz-Kontakt

BlueGravitas GmbH

E-Mail: datenschutz@secdrills.com

Du hast außerdem das Recht, dich bei der zuständigen Datenschutzbehörde zu beschweren. In Österreich ist dies:

Österreichische Datenschutzbehörde (DSB)

Barichgasse 40–42, 1030 Wien

www.dsb.gv.at

10. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die technische Infrastruktur, die eingesetzten Anbieter oder die rechtlichen Rahmenbedingungen ändern. Bei wesentlichen Änderungen werden registrierte Nutzer:innen per E-Mail informiert. Das Datum der letzten Aktualisierung ist oben angegeben.