Datenschutzerklärung
Stand: Juli 2026
1. Verantwortliche Person
Verantwortlich für die Datenbearbeitung ist Robin Ben Baumgärtner, Einzelunternehmen "PhishingRadar", Engelgasse 12, 5647 Oberrüti, Schweiz, kontakt@phishingradar.ch (nachfolgend "wir"). Diese Erklärung informiert Firmenkunden und deren Mitarbeitende darüber, welche Daten wir im Rahmen der Nutzung von PhishingRadar bearbeiten.
2. Zwei Rollen: Verantwortliche und Auftragsbearbeiterin
Für die Vertrags- und Rechnungsdaten des Firmenkunden (z. B. Firmenname, Rechnungsadresse, Zahlungsdaten) sind wir selbst datenschutzrechtlich verantwortlich. Für die Daten der eingeladenen Mitarbeitenden (Name, E-Mail, Abteilung, Testergebnisse) handeln wir hingegen im Auftrag des jeweiligen Firmenkunden als Auftragsbearbeiterin gemäss Art. 9 DSG. Der Firmenkunde bleibt für die Rechtmässigkeit der Bearbeitung gegenüber seinen eigenen Mitarbeitenden verantwortlich. Auf Anfrage stellen wir Firmenkunden eine Auftragsbearbeitungsvereinbarung (ADV) zur Verfügung.
3. Bearbeitete Daten
Wir bearbeiten insbesondere: Namen, E-Mail-Adressen und Abteilungszugehörigkeit der eingeladenen Mitarbeitenden; Testergebnisse und ausgestellte Nachweise; Firmenangaben, Rechnungs- und Zahlungsdaten der Firmenkunden (Zahlungsabwicklung über Stripe, siehe Ziff. 5); technische Protokolldaten (z. B. IP-Adresse, Zeitstempel) zur Sicherstellung des Betriebs.
4. Zweck der Bearbeitung
Die Daten dienen der Durchführung des Phishing-Erkennungstests, der Ausstellung zeitlich befristeter Nachweise, der internen Übersicht im Firmenbereich für Firmenadministrator·innen, der Abwicklung des Abonnements sowie der Erfüllung gesetzlicher Pflichten (z. B. Buchführung).
5. Weitergabe an Dritte und Auftragsverarbeiter
Eine Weitergabe an Dritte erfolgt nur, soweit dies zur Erbringung des Dienstes erforderlich ist oder gesetzlich vorgeschrieben ist. Wir setzen folgende Auftragsverarbeiter ein: Stripe (Zahlungsabwicklung und Rechnungsstellung), Resend (Versand von Einladungs-, Erinnerungs- und Systemmitteilungen) sowie Cloudflare (Turnstile-Captcha zum Schutz der Registrierung vor Missbrauch). Der Serverbetrieb erfolgt bei einem professionellen Hosting-Anbieter mit Serverstandort innerhalb der EU. Mit allen Auftragsverarbeitern bestehen entsprechende Verträge, welche ein angemessenes Datenschutzniveau sicherstellen.
6. Bekanntgabe ins Ausland
Stripe, Resend und Cloudflare sind Unternehmen mit Sitz oder Konzerngesellschaften in den USA; eine Bearbeitung Ihrer Daten kann daher auch dort erfolgen. Wir stellen sicher, dass in diesen Fällen angemessene Garantien bestehen, insbesondere durch Standardvertragsklauseln oder eine Zertifizierung des jeweiligen Anbieters nach dem Swiss-U.S. Data Privacy Framework. Eine Kopie der jeweiligen Garantien kann bei uns angefordert werden.
7. Speicherort und -dauer
Daten werden nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Verlässt ein Mitarbeitender den Firmenkunden, kann der Firmenadmin das Konto im Firmenbereich entfernen; bereits ausgestellte, öffentlich überprüfbare Nachweise sowie Audit-Log-Einträge bleiben aus Nachweis- und Compliance-Gründen bestehen.
8. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen, um Ihre Daten gegen Verlust, Missbrauch und unbefugten Zugriff zu schützen, unter anderem Verschlüsselung der Übertragung (TLS), Zugriffskontrollen und ein Protokoll aller sicherheitsrelevanten Firmenaktionen (Audit-Log).
9. Cookies
Wir setzen ausschliesslich technisch notwendige Cookies ein, insbesondere zur Aufrechterhaltung Ihrer Anmeldesitzung. Es werden keine Analyse-, Marketing- oder Tracking-Cookies verwendet.
10. Ihre Rechte
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung und Datenherausgabe (Datenportabilität). Die Auskunft ist kostenlos und wird innert 30 Tagen erteilt. Mitarbeitende von Firmenkunden wenden sich hierzu primär an ihren Firmenadmin; alternativ direkt an kontakt@phishingradar.ch. Sie haben zudem das Recht, eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB, www.edoeb.admin.ch) einzureichen.
11. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung anpassen, um sie an geänderte Rechtsgrundlagen oder Funktionen von PhishingRadar anzupassen. Es gilt jeweils die zum Zeitpunkt Ihres Besuchs veröffentlichte Fassung.