Dieser Hinweis beschreibt, wie die Endolum GmbH personenbezogene und technische Daten innerhalb des Canary-Trackings Hacked bearbeitet. Er entspricht dem revidierten Schweizer Datenschutzgesetz (revDSG) und, soweit anwendbar, der EU-Datenschutz-Grundverordnung (DSGVO). Die Marketing-Website unter endolum.io verfügt über eine separate Datenschutzerklärung der Website, die Tracking und Kontaktformulare auf den öffentlichen Seiten abdeckt.
Endolum GmbH, Oberdorfstrasse 8, 8853 Lachen SZ, Schweiz. Handelsregister UID CHE-297.991.738. Kontakt: contact@endolum.io.
Hacked unterscheidet zwei Gruppen betroffener Personen, und die Rolle der Verantwortlichen unterscheidet sich entsprechend.
Für die Inhaberin oder den Inhaber des Workspace sowie für die Workspace-Mitglieder ist Endolum verantwortlich für die zum Betrieb erforderlichen Kontodaten. Dies betrifft die Person, die den Canary erstellt, die Empfängerinnen und Empfänger der Alarme sowie die in den Workspace eingeladenen Teammitglieder.
Für die beim Auslösen eines Canarys erfassten Daten ist die betreibende Organisation des Workspace verantwortlich, und Endolum agiert als Auftragsbearbeiterin. Die betreibende Organisation entscheidet, wo der Canary platziert wird, wer ihn auslösen soll und wie der resultierende Alarm genutzt wird. Endolum führt die technische Erfassung und Anreicherung im Auftrag der Betreiberin oder des Betreibers gemäss diesen Bestimmungen und der mit dem Abonnement übergebenen Auftragsbestätigung aus.
Der Endolum Identity Service speichert die E-Mail-Adresse, den Anzeigenamen, die Organisations- oder Workspace-Zugehörigkeit, den Status der Zwei-Faktor-Authentifizierung sowie die Berechtigungen, die für die Funktion des Produkts erforderlich sind. In der Hacked-Datenbank werden auf Workspace-Ebene das Canary-Inventar, die Liste der Empfänger (E-Mail-Adressen und Webhook-URLs) sowie das Audit-Log der Betreiberin oder des Betreibers geführt.
Canaries sind erzeugte Artefakte wie Word-Dokumente, Excel-Arbeitsmappen, PDF-Dateien, SVG-Bilder, Tracking-Pixel, URL-Verknüpfungen, QR-Codes, Weiterleitungs-Links und nachgebildete Anmeldeseiten. Bei aus einer Vorlage erzeugten Canaries wählt die betreibende Person eine Bezeichnung und optional einen Dateinamen. Für Word-Dokumente kann eigenes .docx-Material hochgeladen werden, das gespeichert wird, um Tracking zu integrieren und den erneuten Download zu ermöglichen. Hochgeladene Inhalte dürfen nur genutzt werden, wenn die nötigen Rechte vorliegen und keine personenbezogenen Daten Dritter ohne Rechtsgrundlage enthalten sind.
Wird ein Canary ausgelöst, erfasst Hacked den Zeitstempel, die Quell-IP-Adresse, die User-Agent-Zeichenkette sowie die Canary-Kennung. Bei Business-Workspaces wird die IP angereichert um Land und Stadt aus einer Geolokationsdatenbank, um die ASN und den Namen des Netzwerkbetreibers sowie um einen Hinweis darauf, ob die Adresse aus einem bekannten VPN- oder Proxy-Bereich stammt. Der User-Agent wird in Betriebssystem und Browser zerlegt. Beim Canary-Typ "nachgebildete Anmeldeseite" werden zusätzlich der eingegebene Benutzername sowie die Länge des eingegebenen Passworts erfasst. Das Passwort selbst wird weder gespeichert noch übertragen oder protokolliert.
Sobald ein Trigger-Ereignis entsteht, sendet Hacked einen Alarm an die konfigurierten Empfänger. E-Mail-Alarme werden über den zentralen Endolum-Mailservice zugestellt. Webhook-Alarme posten den Ereignisdatensatz per HTTPS an die von der betreibenden Person konfigurierte URL (Slack, Microsoft Teams oder ein generischer Endpunkt). Endolum hat keinen Einfluss darauf, was die empfangende Plattform nach der Zustellung mit dem Alarminhalt macht.
Die Abonnementabrechnung erfolgt über die Stripe Payments Europe Limited. Endolum erhält den Kundendatensatz, den Status des Abonnements sowie die Rechnungsmetadaten. Kartennummern, Ablaufdaten und Prüfziffern werden von Endolum weder empfangen noch gespeichert.
Das Backend erfasst Anfrage-URLs, IP-Adressen, User-Agents und Zeitstempel im Rahmen der üblichen betrieblichen Protokollierung. Die Protokolle werden bis zu 30 Tage aufbewahrt und dienen der Fehleranalyse, der Missbrauchserkennung sowie dem Schutz des Dienstes gegen automatisierte Angriffe.
| Zweck | Rechtsgrundlage |
|---|---|
| Erzeugung und Auslieferung von Canary-Artefakten, Erfassung von Trigger-Ereignissen und Versand von Alarmen im Auftrag der betreibenden Organisation | Vertragserfüllung |
| Erfassung von Trigger-Daten über Personen, die mit einem Canary interagieren | Berechtigtes Interesse der betreibenden Organisation an der Erkennung unautorisierter Zugriffe auf eigene Systeme und Vermögenswerte, abgewogen gegen die Rechte der betroffenen Person (siehe Abschnitt 5) |
| Kontoverwaltung, Authentifizierung und Zwei-Faktor-Authentifizierung | Vertragserfüllung |
| Abonnementabrechnung und gesetzliche Rechnungsstellung | Vertragserfüllung und gesetzliche Verpflichtung |
| Betriebliche Protokollierung, Missbrauchsabwehr und Plattformsicherheit | Berechtigtes Interesse am Schutz und an der Verfügbarkeit des Dienstes |
| Gesetzliche Aufbewahrung von Buchhaltungs- und Rechnungsdaten | Gesetzliche Verpflichtung |
Canary-Tracking erfasst Daten über Personen, die mit einem getarnten Artefakt interagieren. Die betreibende Organisation ist dafür verantwortlich, Canaries ausschliesslich in Systemen und Kontexten zu platzieren, in denen eine solche Erfassung zulässig und verhältnismässig ist. Im Einzelnen:
Endolum unterstützt betreibende Organisationen bei der Erfüllung dieser Pflichten durch Export- und Löschfunktionen, durch eine auf Anfrage unterzeichnete Auftragsbearbeitungsvereinbarung sowie durch eine Dokumentation der technischen Erfassung.
Hacked stützt sich auf die nachstehenden Unterauftragsbearbeiter, um den Dienst zu erbringen. Die vollständige, aktuelle Liste aller Endolum-Unterauftragsbearbeiter über sämtliche Produkte hinweg ist unter endolum.io/de/sub-processors einsehbar.
| Unterauftragsbearbeiter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Betrieb des Hacked-Backends, der Datenbanken und des Identity Service auf einem Kubernetes-Cluster | Falkenstein, Deutschland (EU) |
| Stripe Payments Europe Limited | Abonnementabrechnung, Rechnungserstellung, Zahlungsabwicklung | Dublin, Irland (EU), mit Verarbeitung in den Vereinigten Staaten |
| ip-api.com (verbunden im Betrieb) | IP-Geolokation und ASN-Auflösung für die Anreicherung von Trigger-Ereignissen | Europäische Union |
Hacked übermittelt weder Canary-Inhalte noch Trigger-Daten an einen KI-Dienst.
Hacked wird auf Infrastruktur in Deutschland innerhalb des EU/EWR-Raums betrieben. Die Übermittlung der Abrechnungsdaten an Stripe stützt sich auf die Zertifizierung von Stripe im Rahmen des EU-US-Data-Privacy-Frameworks sowie für verbleibende Übermittlungen auf Standardvertragsklauseln. Trigger-Daten werden vollständig innerhalb des EU/EWR-Raums verarbeitet. Soweit weitere Unterauftragsbearbeiter Daten ausserhalb der Schweiz oder des EWR bearbeiten, stützen wir uns auf einen Angemessenheitsbeschluss, auf Standardvertragsklauseln oder auf Ihre ausdrückliche Einwilligung in die konkrete Übermittlung.
Daten in der Übertragung sind durch TLS geschützt. Datenbanken sind auf Speicherebene verschlüsselt. Die Authentifizierung erfolgt über RS256-signierte Token, die der Endolum Identity Service ausstellt. Eine Zwei-Faktor-Authentifizierung steht zur Verfügung und wird empfohlen. Der API-Zugriff in Business-Workspaces nutzt Schlüssel mit dem Präfix eh_, die jederzeit rotiert oder widerrufen werden können. Beim Canary-Typ "nachgebildete Anmeldeseite" werden keine eingegebenen Passwörter gespeichert. Die Löschung eines Kontos löst eine Kaskade aus, welche Canaries, Trigger-Ereignisse, Empfänger und Audit-Historie plattformweit entfernt.
Wenn Sie Inhaberin oder Inhaber eines Workspace, Mitglied eines Workspace oder Alarmempfängerin oder Alarmempfänger sind, hält Endolum Ihre Kontodaten und Sie können die unten aufgeführten Rechte direkt gegenüber Endolum ausüben.
Wenn Ihre personenbezogenen Daten in einem Trigger-Ereignis erscheinen, weil Sie mit einem von einer Endolum-Kundin oder einem Endolum-Kunden platzierten Canary interagiert haben, ist diese Kundin oder dieser Kunde für den Datensatz verantwortlich. Endolum kann den zuständigen Workspace identifizieren und Ihre Anfrage weiterleiten, die Entscheidung über Auskunft oder Löschung liegt aber bei der betreibenden Person, sofern die Anfrage nicht einen offensichtlichen Fehler in der technischen Erfassung betrifft.
Nach revDSG und, soweit anwendbar, der DSGVO können Sie folgende Rechte ausüben:
Schreiben Sie an contact@endolum.io, um eines dieser Rechte auszuüben. Wir antworten innerhalb von 30 Tagen.
Wenn Sie der Auffassung sind, dass Ihre Datenschutzrechte verletzt wurden, können Sie sich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in der Schweiz beschweren. Soweit die DSGVO auf Ihre Situation Anwendung findet, können Sie zusätzlich eine Beschwerde bei einer Aufsichtsbehörde in der EU oder im EWR einreichen.
Wir können diesen Hinweis von Zeit zu Zeit aktualisieren. Das Datum der jeweiligen Fassung steht oben auf der Seite. Wesentliche Änderungen werden im Datum sowie in den geänderten Abschnitten ersichtlich, und soweit eine Änderung bestehende Kundinnen oder Kunden betrifft, kündigen wir sie mit angemessener Vorlaufzeit an.
Bei datenschutzbezogenen Fragen zu Hacked schreiben Sie an contact@endolum.io oder an die Endolum GmbH, Oberdorfstrasse 8, 8853 Lachen SZ, Schweiz.