Datenschutzerklärung

Letzte Aktualisierung: 30.03.2026

1. Verantwortlicher für die Datenverarbeitung

atworkstudio
Website: www.atworkstudio.it
Kontakt: www.atworkstudio.it/contatti

2. Erhobene personenbezogene Daten

Wir erheben ausschließlich die folgenden Daten, die vom Nutzer freiwillig bereitgestellt werden:

  • E-Mail-Adresse — zur Identifizierung der Eingabe und zum Versand des persönlichen Zugangslinks
  • Firmenname — zur Personalisierung des Assessment-Reports
  • Antworten im Fragebogen — die Antworten auf die 106 Fragen basierend auf dem NIST CSF 2.0 und eventuelle zusätzliche Kommentare

Wir erheben keine Navigationsdaten, Profiling-Cookies, Geolokalisierungsdaten oder sonstige personenbezogene Daten über die oben genannten hinaus.

3. Zwecke der Datenverarbeitung

Die personenbezogenen Daten werden für folgende Zwecke verarbeitet:

  • Erbringung der Dienstleistung — Erstellung des Cybersecurity-Assessment-Reports auf Grundlage der gegebenen Antworten (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)
  • Kommunikation — Versand des persönlichen Zugangslinks per E-Mail (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)

Die Daten werden nicht für Marketingzwecke, Profiling oder die Weitergabe an Dritte zu kommerziellen Zwecken verwendet.

4. Rechtsgrundlage der Verarbeitung

  • Art. 6 Abs. 1 lit. a DSGVO — Ausdrückliche Einwilligung der betroffenen Person, erteilt durch das Ausfüllen des Fragebogens und die Annahme dieser Datenschutzerklärung
  • Art. 6 Abs. 1 lit. b DSGVO — Notwendigkeit zur Erfüllung der vom Nutzer angeforderten Dienstleistung

5. Empfänger und Auftragsverarbeiter

Die Daten können verarbeitet werden von:

  • Microsoft Azure — Hosting der Anwendung und der Datenbank (Rechenzentrum in der EU)

Es werden keine Datenübermittlungen in Drittländer außerhalb der EU ohne angemessene Garantien durchgeführt (Art. 46 DSGVO).

6. Speicherdauer

Die Daten werden für einen Zeitraum von maximal 12 Monaten ab dem Datum der Eingabe gespeichert und danach automatisch gelöscht. Der Nutzer kann jederzeit eine vorzeitige Löschung beantragen (siehe Punkt 7).

7. Rechte der betroffenen Person

Gemäß Art. 15–22 der DSGVO hat der Nutzer das Recht auf:

  • Auskunft — Bestätigung der Verarbeitung und Kopie der eigenen Daten zu erhalten
  • Berichtigung — unrichtige oder unvollständige Daten zu korrigieren (über den persönlichen Zugangslink)
  • Löschung — die Löschung der eigenen Daten jederzeit zu verlangen. Die Anwendung bietet eine sofortige Selbstlöschungsfunktion, die über die Bestätigungsseite zugänglich ist
  • Datenübertragbarkeit — die eigenen Daten in einem strukturierten Format zu erhalten
  • Widerspruch — der Verarbeitung der eigenen Daten zu widersprechen
  • Widerruf der Einwilligung — die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der zuvor erfolgten Verarbeitung berührt wird

Zur Ausübung dieser Rechte kontaktieren Sie uns über die Kontaktseite

Der Nutzer hat zudem das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen.

8. Cookies

Diese Anwendung verwendet keine Profiling- oder Drittanbieter-Cookies. Es werden ausschließlich technisch notwendige Cookies für den Betrieb des Dienstes verwendet (administrative Authentifizierung), für die gemäß geltendem Datenschutzrecht keine Einwilligung erforderlich ist.

9. Sicherheitsmaßnahmen

In Übereinstimmung mit Art. 32 DSGVO und den Kontrollen nach ISO/IEC 27001 setzen wir folgende technische und organisatorische Maßnahmen ein:

  • Verschlüsselung bei der Übertragung — sämtliche Kommunikation erfolgt über das HTTPS/TLS-Protokoll
  • Verschlüsselung im Ruhezustand — die Datenbank wird auf Azure mit Verschlüsselung der gespeicherten Daten gehostet
  • Authentifizierter Zugang — der Verwaltungsbereich ist durch Microsoft Entra ID Authentifizierung geschützt
  • Zugangstoken — der Zugriff des Nutzers auf seine Daten erfolgt über einen einzigartigen kryptografischen Token (64 hexadezimale Zeichen)
  • Eingabevalidierung — alle eingehenden Daten werden validiert und bereinigt, um Angriffe zu verhindern (XSS, SQL Injection)
  • Prepared Statements — Datenbankabfragen verwenden Prepared Statements zur Verhinderung von SQL Injection
  • Prinzip der minimalen Berechtigung — der Datenzugriff ist auf autorisiertes Personal und strikt notwendige Funktionen beschränkt

10. Änderungen der Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung zu aktualisieren. Änderungen werden auf dieser Seite mit dem Aktualisierungsdatum veröffentlicht. Wir empfehlen, diese Seite regelmäßig zu besuchen.

← Zurück zum Fragebogen