Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist die IJONIS UG (haftungsbeschränkt). Vollständige Pflichtangaben (Anschrift, Geschäftsführung, Registrierung) findest du in unserem Impressum.

Bei Fragen zum Datenschutz erreichst du uns unter ops@deepmantis.io.

Diese Datenschutzerklärung gilt für die Marketing-Website deepmantis.io sowie für den vorgelagerten Onboarding-Prozess (Kontaktformular, Fragebogen, E-Mail-Verifikation, Signatur des Scope-Vertrags).

Nicht abgedeckt sind hier Verarbeitungen, die während eines aktiven Engagements über die DeepMantis-Plattform stattfinden. Diese sind in deinem individuellen Scope-Vertrag und in unserem Auftragsverarbeitungsvertrag (AVV) geregelt — siehe Abschnitt Engagement-Daten und Plattformnutzung.

Wir verarbeiten personenbezogene Daten ausschließlich auf einer der folgenden Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:

• Kontaktformular: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung vorvertraglicher Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (legitimes Interesse an der Bearbeitung deiner Anfrage).
• Onboarding-Fragebogen: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und Scope-Definition).
• E-Mail-Verifikation (OTP): Art. 6 Abs. 1 lit. b DSGVO (zwingende Voraussetzung für den Vertragsschluss).
• Signierter Vertrag: Art. 6 Abs. 1 lit. b DSGVO (Vertragsschluss) und Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Aufbewahrungspflichten nach HGB und AO).
• Server-Logs: Art. 6 Abs. 1 lit. f DSGVO (legitimes Interesse an Sicherheit, Stabilität und Missbrauchsabwehr).

Wir erheben nur Daten, die für den jeweiligen Zweck zwingend erforderlich sind:

Kontaktformular

Pflichtangaben: Name, E-Mail-Adresse, Unternehmen, Ziel-URL der zu prüfenden Anwendung, Scope-Beschreibung. Optional: Telefonnummer. Eingaben werden über Cloudflare Turnstile gegen Spam geprüft und per Resend an unsere internen Empfänger (jamin@ijonis.com, keith@ijonis.com) übermittelt. Pro IP-Adresse gilt ein Rate-Limit von fünf Anfragen pro 60 Sekunden.

Onboarding-Fragebogen

Der Zugang ist token-basiert; das Token wird je Engagement individuell außerhalb dieser Website ausgegeben. Erfasst werden Scope-Antworten: in-scope Hostnames, out-of-scope-Bereiche, Rate-Limits und Hinweise auf fragile Systeme.

E-Mail-Verifikation (OTP)

E-Mail-Adresse und ein einmaliger 6-stelliger Code (max. 24 Stunden gültig). Der Code wird per Resend versendet und bis zum Abschluss der Verifikation in Supabase gespeichert.

Signierter Vertrag

Vor- und Nachname, getippte Unterschrift, kryptographischer SHA-256-Audit-Hash, Zeitstempel und IP-Adresse zum Zeitpunkt der Signatur. Das fertige PDF-Dokument wird als Audit-Artefakt in Supabase abgelegt.

Server-Logs

IP-Adresse, User-Agent, Request-Pfad und Zeitstempel — automatisch durch Vercel erfasst. Speicherdauer ca. 30 Tage gemäß Vercel-Standardeinstellung.

Browser-localStorage

Wir speichern lediglich deine Sprachpräferenz (locale) im localStorage deines Browsers. Es handelt sich nicht um personenbezogene Daten und die Information verlässt dein Gerät nicht.

Folgende Drittanbieter verarbeiten in unserem Auftrag personenbezogene Daten. Mit jedem dieser Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Einige der oben genannten Anbieter verarbeiten Daten außerhalb des Europäischen Wirtschaftsraums (EWR). Für diese Übermittlungen sichern wir ein angemessenes Datenschutzniveau über folgende Mechanismen ab:

• Resend Inc. (USA): Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie Zertifizierung nach dem EU-US Data Privacy Framework (DPF).
• Cloudflare Inc. (global): Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie Zertifizierung nach dem EU-US Data Privacy Framework (DPF).
• Google LLC (USA): Standardvertragsklauseln (SCC) sowie Zertifizierung nach dem EU-US Data Privacy Framework (DPF). Hinweis: Wir betten kein Google-Calendar-Widget ein. Du folgst bewusst einem ausgehenden Link auf calendar.app.google — erst dort gilt die Datenschutzerklärung von Google.
• Anthropic PBC, Google LLC (Gemini API), OpenRouter Inc. (alle USA): Standardvertragsklauseln (SCC), bei Google zusätzlich Zertifizierung nach dem EU-US Data Privacy Framework (DPF). Verarbeitung ausschließlich im Rahmen der DeepMantis-Plattform (siehe Engagement-Daten und Plattformnutzung).

Hinweis zu Schrems II: Trotz dieser Schutzmechanismen kann nicht ausgeschlossen werden, dass US-Behörden auf übermittelte Daten zugreifen. Wir wählen Anbieter mit EU-Region, wo immer möglich (Vercel, Supabase, Langfuse und unsere selbst gehostete vLLM-Instanz auf Google Cloud liegen ausschließlich in der EU), und beschränken Drittlandtransfers auf das technisch Notwendige.

Wir speichern personenbezogene Daten nicht länger, als es für den jeweiligen Zweck erforderlich oder gesetzlich vorgeschrieben ist:

• Kontaktformular-Anfragen ohne anschließendes Engagement: 12 Monate, danach Löschung.
• Onboarding- und Fragebogendaten je Engagement: gemäß individuellem Scope-Vertrag, Standard 24 Monate nach Abschluss des Engagements.
• Signierte Verträge: 10 Jahre gemäß den Aufbewahrungspflichten aus § 257 HGB und § 147 AO.
• OTP-Datensätze: Löschung nach Abschluss der Verifikation, spätestens nach 24 Stunden.
• Server-Logs (Vercel): ca. 30 Tage gemäß Standardeinstellung des Hosting-Providers.
• E-Mail-Metadaten bei Resend: gemäß den Standardspeicherfristen von Resend (siehe deren Datenschutzerklärung).

Wir setzen keine Analyse-, Werbe- oder Tracking-Cookies. Du musst keinem Cookie-Banner zustimmen, weil wir keine zustimmungspflichtigen Cookies verwenden.

Konkret bedeutet das: kein Google Analytics, kein Vercel Analytics, kein PostHog, kein Meta Pixel, kein LinkedIn Insight Tag, kein Hotjar, kein Session-Recording. Weder client- noch serverseitig.

Technisch notwendig (kein Consent erforderlich):

• Ein localStorage-Eintrag für deine Sprachpräferenz (locale).
• Kurzlebige Session-Cookies durch Vercel und Cloudflare zur sicheren Auslieferung dieser Website (Session-IDs, CSRF- und Sicherheits-Token).
• Cloudflare Turnstile setzt während einer CAPTCHA-Prüfung am Kontaktformular kurzzeitig ein Cookie zur Bot-Erkennung; dieses wird nach Abschluss der Prüfung wieder gelöscht.

Nach der DSGVO stehen dir umfassende Rechte gegenüber uns als Verantwortlichem zu:

• Auskunft (Art. 15 DSGVO): Du kannst Auskunft darüber verlangen, welche Daten wir zu dir verarbeiten.
• Berichtigung (Art. 16 DSGVO): Du kannst die Korrektur unrichtiger oder Vervollständigung unvollständiger Daten verlangen.
• Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden“): Du kannst die Löschung deiner Daten verlangen, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst die Verarbeitung deiner Daten unter bestimmten Voraussetzungen einschränken lassen.
• Datenübertragbarkeit (Art. 20 DSGVO): Du kannst die Herausgabe deiner Daten in einem strukturierten, gängigen, maschinenlesbaren Format verlangen.
• Widerspruch (Art. 21 DSGVO): Du kannst der Verarbeitung deiner Daten aus Gründen, die sich aus deiner besonderen Situation ergeben, widersprechen — insbesondere bei Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
• Keine automatisierte Entscheidung (Art. 22 DSGVO): Wir treffen keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung dir gegenüber.

Zur Ausübung deiner Rechte schreib uns an ops@deepmantis.io. Wir antworten innerhalb von 30 Tagen gemäß Art. 12 Abs. 3 DSGVO.

Unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe steht dir nach Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Für uns zuständig ist:

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
Thomas Fuchs
Ludwig-Erhard-Str. 22, 7. OG
20459 Hamburg
Telefon: +49 40 428 54-40 40
E-Mail: mailbox@datenschutz.hamburg.de
Website: https://datenschutz-hamburg.de/

Wir treffen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um deine Daten gegen unbefugten Zugriff, Verlust und Veränderung zu schützen:

• TLS 1.3 für alle Verbindungen zwischen Browser und Server.
• Verschlüsselung sensibler Daten in Supabase (AES-256 at rest auf EU-Infrastruktur).
• Row-Level Security (RLS) auf Supabase-Datenbanken — kein engagement-übergreifender Zugriff auf Daten anderer Kund:innen.
• OTP-gesicherte Vertragssignatur mit kryptographischem SHA-256-Audit-Hash und zeitstempelgesichertem Audit-Trail.
• Strikte Zugriffsbeschränkung auf produktive Systeme, Audit-Logging und regelmäßige Überprüfung von Zugriffsrechten.

Sobald du ein Engagement beauftragst, gelten zusätzliche Verarbeitungen über die DeepMantis-Plattform. Die nachstehende Liste ergänzt den oben aufgeführten Website-Stack. Die genauen Verarbeitungszwecke, Speicherfristen und technisch- organisatorischen Maßnahmen sind in deinem individuellen Scope-Vertrag und in unserem Auftragsverarbeitungsvertrag (AVV) geregelt — beides erhältlich auf Anfrage unter ops@deepmantis.io.

KI- und LLM-Verarbeitung

Die DeepMantis-Plattform nutzt während eines Engagements große Sprachmodelle (LLMs) zur autonomen Schwachstellenanalyse. Zu diesen Modellen werden — soweit für die jeweilige Schwachstelle erforderlich — Engagement-Inhalte übermittelt, insbesondere zu prüfende URLs, HTTP-Anfragen und -Antworten, Schwachstellen- Kontext und im Bericht zu belegende Befunde. Der Umfang ist auf das beschränkt, was zum Nachweis der jeweiligen Schwachstelle erforderlich ist (siehe § 5 unserer AGB). Wir verwenden derzeit:

• Anthropic (Claude-Modelle) — kommerzielle API. Anthropic verwendet API-Daten gemäß ihren Commercial Terms nicht für das Training ihrer Modelle.
• Google (Gemini API) — Paid Tier. Google verwendet API-Daten der Paid Tier nicht für das Training ihrer Modelle.
• OpenRouter — Routing- Schicht für ergänzende Modelle.
• Selbst gehostete vLLM-Instanz auf Google Cloud (europe-west4, Niederlande) — quelloffene Modelle der Qwen3-Familie für NDA-Mandate; dediziert pro Mandant, keine Weitergabe an Dritte.

Eine Nutzung der Daten zum Training von KI-Modellen findet seitens IJONIS nicht statt. Bei den US-Anbietern Anthropic, Google und OpenRouter beruht der Drittlandtransfer auf Standardvertragsklauseln (SCC), bei Google zusätzlich auf dem EU-US Data Privacy Framework (DPF).

OSINT- und Recon-Anfragen

Im Rahmen der passiven Aufklärung (Recon) ruft die Plattform öffentlich zugängliche APIs auf, um Hinweise auf bekannte Schwachstellen, exponierte Repositories oder geleakte Zugangsdaten zu finden. Dabei werden ausschließlich Engagement-Metadaten (z.B. Domainnamen, prüfbare E-Mail-Adressen) übermittelt, keine Kundendaten im engeren Sinne. Aktuell genutzte Dienste:

• GitHub API — Code-Dorking und CI/CD-Konfigurationsprüfung (USA, GitHub Inc.).
• Censys — passive Infrastruktur-Aufklärung (USA, Censys Inc.).
• Have I Been Pwned (HIBP) — Abgleich gegen bekannte Datenleck-Korpora; Anfragen erfolgen mit gehashter E-Mail-Adresse, niemals im Klartext (Australien/UK).

Observability

Zur Qualitätssicherung und zum Debugging der Plattform werden Aufruf-Traces der LLM-Schicht samplebasiert an Langfuse (EU-Region) übermittelt. Die Sampling-Rate ist nach Engagement-Phase reduziert; sensible Inhalte werden vor der Übermittlung redacted, soweit technisch möglich.

Diese Datenschutzerklärung wird angepasst, wenn sich unsere Verarbeitung oder die Rechtslage ändert. Die jeweils aktuelle Version mit Änderungsdatum findest du immer hier. Bei wesentlichen Änderungen informieren wir dich vor Inkrafttreten per E-Mail (sofern wir deine E-Mail-Adresse haben).

Bei Fragen zum Datenschutz erreichst du uns unter ops@deepmantis.io.

Wir haben aktuell keinen externen Datenschutzbeauftragten bestellt — diese Funktion ist gesetzlich für unsere Unternehmensgröße nicht vorgeschrieben. Anfragen werden direkt von der Geschäftsführung bearbeitet.