Stand: 4. Juli 2026 · Version 1.2 · Geltungsbereich: secdrills.com
Inhaltsverzeichnis
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten auf secdrills.com ist:
BlueGravitas GmbH
Wiesengasse 20
8570 Voitsberg, Österreich
E-Mail: datenschutz@secdrills.com
Web: www.secdrills.com
Ein gesonderter Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht vorliegen.
Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb der Website und der Plattform erforderlich ist. Rechtsgrundlagen sind:
Für die Nutzung der Plattform ist eine Registrierung erforderlich. Dabei verarbeiten wir Vor- und Nachname, geschäftliche E-Mail-Adresse, Unternehmen/Organisation, ein verschlüsselt gespeichertes Passwort sowie den Zeitstempel der Registrierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Über unsere Formulare (u. a. „Übungsreife-Check", „Jetzt starten", „Für Führungskräfte" sowie das Kontakt-/Registrierungsformular) kannst du mit uns in Kontakt treten. Dabei verarbeiten wir die von dir angegebenen Daten:
Die Verarbeitung dient der Bearbeitung deiner Anfrage, der Kontaktaufnahme und der Geschäftsanbahnung. Die Daten werden in unserer Datenbank (Supabase, siehe Ziffer 5) gespeichert und zur Bearbeitung an unser CRM-System Pipedrive übermittelt.
Zur Abwehr von Missbrauch und automatisierten Eingaben (Rate-Limiting/Spam-Schutz) wird bei der Übermittlung des Formulars deine IP-Adresse kurzzeitig verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.
Bei der Durchführung von Tabletop Exercises (TTX) auf der Plattform verarbeiten wir die ausgewählten Szenarien und Konfigurationen, Antworten und Eingaben während der Übung, Zeitstempel/Sitzungsdauer sowie technische Metadaten (z. B. IP-Adresse) zu Sicherheits- und Stabilitätszwecken.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.
Transaktionale E-Mails (z. B. Eingangsbestätigungen und Benachrichtigungen) versenden wir über unsere eigene Versand-Infrastruktur unter der Absenderdomain notify.secdrills.com. Jede nicht rein vertragsnotwendige Nachricht enthält einen Abmeldelink; abgemeldete Adressen werden in einer Sperrliste geführt, um weitere Zusendungen zu verhindern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.
Auf den öffentlichen Marketing-Seiten findet keine Zahlungsabwicklung statt. Für kostenpflichtige Leistungen innerhalb der eingeloggten Plattform erfolgt die Zahlungsabwicklung über den externen Zahlungsdienstleister Stripe, Inc. Wir speichern selbst keine Kreditkarten- oder Bankdaten.
Beim Aufruf der Website werden automatisch technische Protokolldaten erfasst (IP-Adresse, Datum/Uhrzeit, aufgerufene URL, HTTP-Statuscode). Diese Daten dienen ausschließlich dem Betrieb und der Sicherheit und werden nach spätestens 30 Tagen gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Wir setzen keine Marketing-Cookies ein. Eine Analyse deines Nutzungsverhaltens findet ausschließlich mit deiner vorherigen Einwilligung statt (Kategorie „Analyse" im Cookie-Hinweis, siehe Ziffer 4.1). Schriftarten werden lokal von unserem Server ausgeliefert (kein Abruf von Google Fonts).
Technisch notwendig nutzen wir lediglich die lokale Speicherung deines Browsers (localStorage):
cm_cookie_consent / cm_cookie_prefs — speichern deine Auswahl im Cookie-Hinweis.Zur Reichweiten- und Nutzungsanalyse setzen wir Google Analytics 4 (GA4) ein, einen Dienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. GA4 wird erst geladen, nachdem du im Cookie-Hinweis die Kategorie „Analyse" aktiviert und gespeichert hast. Ohne diese Einwilligung wird weder ein GA4-Skript geladen noch ein Analyse-Cookie gesetzt.
Nach erteilter Einwilligung setzt GA4 Cookies (u. a. _ga, _ga_<ID>) zur Wiedererkennung von Besucher:innen. Verarbeitet werden pseudonyme Nutzungsdaten wie aufgerufene Seiten, ungefähre Herkunft, Gerät/Browser und Interaktionen. Die IP-Adresse wird von Google nur kurzzeitig zur groben Verortung genutzt und nicht gespeichert (IP-Anonymisierung aktiv).
Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du im Cookie-Hinweis die Kategorie „Analyse" deaktivierst. Anschließend werden keine weiteren Daten an GA4 übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 165 Abs. 3 TKG 2021 (Zugriff auf Endgeräteinformationen mit Einwilligung).
Der Cookie-Hinweis bietet die optionalen Kategorien „Analyse" (steuert GA4, siehe Ziffer 4.1) und „Marketing" an; für „Marketing" sind derzeit keine Dienste aktiv, sodass bei einer Auswahl keine zusätzlichen personenbezogenen Daten verarbeitet werden.
Rechtsgrundlage für die technisch notwendige Speicherung: Art. 6 Abs. 1 lit. f DSGVO bzw. § 165 Abs. 3 TKG 2021.
Wir setzen folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit jedem Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) bzw. Data Processing Agreement (DPA).
| Anbieter | Zweck | Sitz | Hosting-Region | Transfer |
|---|---|---|---|---|
| Lovable Labs AB | Entwicklung und Hosting der Frontend-Applikation | 🇸🇪 Schweden / EU | EU (wählbar) | Kein Drittlandtransfer |
| Supabase, Inc. | Datenbank, Authentifizierung, Backend-Infrastruktur | 🇺🇸 USA | EU-West (Frankfurt, AWS) | SCCs (EU 2021/914) |
| Amazon Web Services, Inc. | Cloud-Infrastruktur (Subprozessor von Supabase) | 🇺🇸 USA | eu-central-1 (Frankfurt) | SCCs (via Supabase DPA) |
| Pipedrive | CRM – Verwaltung von Anfragen und Leads | 🇪🇪 Estland (EU) / 🇺🇸 USA | EU / USA | SCCs (EU 2021/914) |
| Google Ireland Ltd. | Webanalyse (Google Analytics 4) – nur mit Einwilligung | 🇮🇪 Irland (EU) / 🇺🇸 USA | EU / USA | SCCs + EU-US DPF |
| KI-Anbieter von Lovable | KI-gestützte Code-Generierung (Plattformentwicklung) | 🇺🇸 USA (voraussichtlich) | — | SCCs (via Lovable DPA) |
Hinweis zu KI-Subprozessoren
Lovable nutzt für die Plattformentwicklung externe KI-Anbieter. Deine im Rahmen der Plattformnutzung eingegebenen Daten (Übungsinhalte, Nutzereingaben) werden nicht für das Training von KI-Modellen verwendet.
Einige der eingesetzten Anbieter haben ihren Sitz in den USA (Drittland im Sinne der DSGVO) bzw. übermitteln Daten dorthin. Die Übermittlung erfolgt auf Basis der von der EU-Kommission genehmigten Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss EU 2021/914).
Supabase: Die Datenhaltung erfolgt in der AWS-Region eu-central-1 (Frankfurt, Deutschland). Daten verlassen die EU-Region standardmäßig nicht. Das DPA inkl. SCCs liegt vor.
Pipedrive: Übermittelte Lead-/Kontaktdaten werden im CRM verarbeitet; die Übermittlung in Drittländer ist durch SCCs abgedeckt.
Google Analytics 4: Nur bei aktivierter Analyse-Einwilligung können Daten an Google-Server in den USA übermittelt werden. Die Übermittlung ist durch die Standardvertragsklauseln (SCCs) im Google-Datenverarbeitungsvertrag abgedeckt; Google LLC ist zudem unter dem EU-US Data Privacy Framework zertifiziert.
KI-Subprozessoren von Lovable: Soweit KI-Anbieter in den USA ansässig sind, ist die Übermittlung durch das Lovable DPA (inkl. SCCs) abgedeckt. Eine vollständige Liste der Lovable-Subprozessoren kann bei dpo@lovable.dev angefordert werden.
Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist:
Dir stehen nach der DSGVO folgende Rechte zu:
Auskunft (Art. 15)
Du kannst jederzeit Auskunft über die zu deiner Person gespeicherten Daten verlangen.
Berichtigung (Art. 16)
Unrichtige Daten können jederzeit korrigiert werden.
Löschung (Art. 17)
Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkung (Art. 18)
Du kannst die Verarbeitung einschränken lassen, z. B. während einer Überprüfung der Richtigkeit.
Datenübertragbarkeit (Art. 20)
Du kannst eine Kopie deiner Daten in einem gängigen, maschinenlesbaren Format anfordern.
Widerspruch (Art. 21)
Du kannst der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.
Widerruf (Art. 7 Abs. 3)
Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Beschwerde (Art. 77)
Du hast das Recht, dich bei der zuständigen Aufsichtsbehörde zu beschweren.
Zur Ausübung deiner Rechte wende dich an: datenschutz@secdrills.com
Für datenschutzbezogene Anfragen stehen wir dir unter folgender Adresse zur Verfügung:
Du hast außerdem das Recht, dich bei der zuständigen Datenschutzbehörde zu beschweren. In Österreich ist dies:
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die technische Infrastruktur, die eingesetzten Anbieter oder die rechtlichen Rahmenbedingungen ändern. Bei wesentlichen Änderungen werden registrierte Nutzer:innen per E-Mail informiert. Das Datum der letzten Aktualisierung ist oben angegeben.