Datenschutzerklärung

Stand: 2. Juni 2026

1. Verantwortlicher

AP Digital Solution
Alexander Potzahr
Hahnenkamp 2, 22765 Hamburg, Deutschland
E-Mail: info@kyberguard.de

2. Welche Daten wir erheben

2.1 Bei Nutzung des Web-Dashboards (kyberguard.de)

Bei der Registrierung und Nutzung von KyberGuard werden folgende Daten verarbeitet:

• E-Mail-Adresse — Zur Kontoerstellung, Authentifizierung und Kommunikation
• Passwort — Verschlüsselt gespeichert (bcrypt); wir haben keinen Zugriff auf dein Klartext-Passwort
• Name (optional) — Für personalisierte Ansprache
• Nutzungsdaten — Genutzte Tools, Analyseergebnisse, Zeitpunkte (für Limits, Qualitätssicherung)
• Abo-Status — Zur Verwaltung deines Plans (Free / Pro / Business / Enterprise)
• Multi-Faktor-Authentifizierung (KyberShield) — TOTP-Schlüssel werden verschlüsselt gespeichert, sofern MFA aktiviert

2.2 Bei Nutzung der Security-Tools

Je nach genutztem Tool werden folgende Daten verarbeitet:

• Domain-Scanner / OSINT: Die von dir eingegebene Domain wird analysiert und das Ergebnis gespeichert
• Phishing-Checker: Eingegebene URLs werden analysiert; URLs können personenbezogene Daten enthalten (z.B. E-Mail-Adressen in URL-Parametern)
• Dark Web Monitor / Free E-Mail-Check: Die eingegebene E-Mail-Adresse wird zur Prüfung via verschlüsselter HTTPS-Verbindung an Have I Been Pwned (HIBP) übertragen. Auf unseren Servern wird die E-Mail nicht im Klartext protokolliert (nur SHA-256-Hash für Logs). Details unter § 4.5.
• NIS2-Check, CVE-Radar, Ransomware-Monitor: Eingaben (z.B. Unternehmensdaten, CVE-Suchbegriffe) werden zur Analyse verarbeitet und gespeichert
• IR-Playbook, Threat Intel, PQ-Assessment: Eingaben werden an unsere KI-Infrastruktur übergeben (siehe Abschnitt 4.2 und 4.3)

2.3 Bei Besuch der Webseite

Unsere Webseite (gehostet auf Hetzner Online, Nürnberg) erhebt:

• Spracheinstellung — Wird lokal in deinem Browser gespeichert (localStorage). Diese Daten verlassen dein Gerät nicht.
• Technische Zugriffsdaten — IP-Adresse, Browser-Typ und Zugriffszeitpunkt werden durch den Webserver protokolliert. Diese Logs werden nach 7 Tagen automatisch gelöscht.

Wir setzen keine Cookies (außer dem technisch notwendigen Session-Cookie nach Login) und nutzen keine Tracking- oder Analyse-Tools auf unserer Webseite.

3. Rechtsgrundlage

Die Verarbeitung erfolgt auf Basis von:

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung des Dienstes, Abo-Verwaltung)
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Betrugsschutz, Qualitätssicherung, Sicherheit des Dienstes)
• Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung (Aufbewahrung von Zahlungsdaten gemäß Steuerrecht)

4. Drittanbieter und Datenübermittlung

4.1 KI-Infrastruktur — Übersicht

KyberGuard nutzt zwei KI-Schichten:

• Lokale KI (Ollama / Mistral 7B (EU), Hetzner Nürnberg): Phishing-Scanner, Domain-OSINT, GUARDIAN-Analyse und weitere Erkennungsfunktionen laufen ausschließlich auf unseren eigenen EU-Servern. Diese Daten verlassen die EU nicht.
• Cloud-KI (Claude Haiku 4.5, Anthropic Inc., USA): KyberAssist (ab Business) und der IR-Playbook Generator (ab Pro) verwenden Claude Haiku 4.5. Dabei werden Anfrageinhalte (Incident-Typ, Branche, Unternehmensgröße — kein Name, keine Kontaktdaten) an Anthropic übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandübermittlung: Art. 46 DSGVO (EU-Standardvertragsklauseln).

4.2 KyberAssist (Business-Plan und höher)

KyberAssist nutzt Claude Haiku 4.5 von Anthropic, Inc. (USA) als primäres Sprachmodell, mit lokalem Ollama (Mistral 7B (EU)) als Fallback. Anthropic verarbeitet die übermittelten Anfrageinhalte im Rahmen eines Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO. Anthropic ist vertraglich verpflichtet, die Daten nicht zum Training eigener Modelle zu verwenden (Training-Opt-out). Deine Anfragen enthalten keine direkte Identifikation (kein Name, keine E-Mail). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandübermittlung in die USA: Art. 46 DSGVO (Standardvertragsklauseln, SCCs). Mehr: Anthropic Privacy Policy

4.2a IR-Playbook Generator (Pro-Plan und höher)

Der IR-Playbook Generator übermittelt folgende Daten an Claude Haiku 4.5 (Anthropic): Incident-Typ (z. B. Ransomware), Branche, Unternehmensgröße und das betroffene System (aus einer vordefinierten Liste). Es werden keine Freitexteingaben, Namen, Firmennamen oder Kontaktdaten übertragen. Rechtsgrundlage und Drittlandübermittlung: identisch zu 4.2. Lokales Ollama dient als Fallback bei API-Nichtverfügbarkeit.

4.3 Mollie (nur bei Bezahl-Abos)

Bei Pro-, Business- oder Enterprise-Abos werden Zahlungen über Mollie B.V. abgewickelt. Mollie hat seinen Sitz in der EU (Keizersgracht 313, 1016 EE Amsterdam, Niederlande) und ist als Zahlungsinstitut durch die Nederlandsche Bank (DNB) lizenziert. Da Mollie ein EU-Unternehmen ist, findet keine Drittlandübermittlung statt. Wir speichern keine Kreditkartendaten. Mehr: Mollie Datenschutz

4.4 Hetzner Online (Hosting)

KyberGuard und die Webseite laufen auf Servern von Hetzner Online GmbH in Nürnberg (Deutschland). Hetzner ist ein europäischer Anbieter mit Serverstandort in der EU. Für KI-Funktionen via Claude Haiku 4.5 gilt die Drittlandübermittlung gemäß Abschnitt 4.1 und 4.2. Mehr: Hetzner Datenschutz

4.5 Have I Been Pwned (HIBP) — Dark Web Monitor & Free E-Mail-Check

Für den Dark Web Monitor und den kostenlosen E-Mail-Check nutzen wir die API von Have I Been Pwned (Troy Hunt, Australien). Die E-Mail-Adresse wird dabei über eine verschlüsselte HTTPS-Verbindung an HIBP übertragen, um einen Abgleich mit der Breach-Datenbank durchzuführen — eine vollständig anonyme Übertragung ist für diesen Check technisch nicht möglich. HIBP verpflichtet sich vertraglich, übermittelte E-Mail-Adressen ausschließlich zur Breach-Prüfung zu verwenden und nicht zu speichern oder weiterzugeben. Auf unseren Servern wird die E-Mail-Adresse nicht im Klartext protokolliert (nur ein SHA-256-Hashwert für interne Logs). Mehr: HIBP Privacy Policy

5. Speicherdauer

Datenart	Speicherdauer	Grund
Account-Daten	Bis zur Löschung durch dich	Vertragserfüllung
Analyse-Ergebnisse (Scans, Reports)	Bis zur Löschung durch dich	Qualitätssicherung, Verlauf
Webserver-Zugriffslogs	7 Tage	Sicherheit / Fehlerdiagnose
Zahlungsdaten (via Mollie)	10 Jahre	Gesetzliche Aufbewahrungspflicht (§ 147 AO)
Spracheinstellung (Webseite)	Bis zur manuellen Löschung im Browser	Komfortfunktion (localStorage)
Session-Cookie (nach Login)	Bis zum Logout oder Ablauf (24h)	Technisch notwendig

6. Deine Rechte (DSGVO)

Du hast folgende Rechte:

• Auskunft (Art. 15) — Sende eine E-Mail an uns oder nutze den Bereich "Mein Konto" im Dashboard
• Löschung (Art. 17) — Über "Mein Konto" → "Konto löschen" oder per E-Mail an uns
• Berichtigung (Art. 16) — Über "Mein Konto" oder per E-Mail
• Einschränkung der Verarbeitung (Art. 18) — Per E-Mail an uns
• Datenübertragbarkeit (Art. 20) — Per E-Mail an uns
• Widerspruch (Art. 21) — Per E-Mail an uns

Wir beantworten Anfragen innerhalb von 30 Tagen (gemäß Art. 12 Abs. 3 DSGVO).

7. Automatisierte Entscheidungsfindung

KyberGuard nutzt künstliche Intelligenz zur Generierung von Analysen und Empfehlungen. Es handelt sich ausschließlich um informative Inhalte. Es werden keine automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO getroffen. Die Bewertungen (z.B. Risiko-Scores, NIS2-Einschätzungen) dienen als Orientierungshilfe — die endgültige Entscheidung liegt immer beim Nutzer.

8. Sicherheit

Wir schützen deine Daten durch folgende Maßnahmen:

• Verschlüsselte Übertragung (HTTPS/TLS 1.3) bei allen Verbindungen
• Server in Deutschland (Nürnberg, EU)
• Passwörter werden ausschließlich gehasht (bcrypt) gespeichert
• Optional: Zwei-Faktor-Authentifizierung (KyberShield / TOTP)
• Keine Speicherung von Zahlungsdaten durch uns
• Regelmäßige Sicherheitsupdates, Code-Reviews und Penetrationstests
• Input-Validierung und Schutz gegen Prompt Injection, SSRF und SQL Injection
• Rate-Limiting und Firewall-Schutz auf Server-Ebene
• Tägliche verschlüsselte Backups mit offsite-Synchronisierung

9. Aufsichtsbehörde

Du hast das Recht, dich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 7. OG, 20459 Hamburg
Telefon: 040 / 428 54 - 4040
https://datenschutz-hamburg.de

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, z. B. bei Einführung neuer Features oder Änderungen der Rechtslage. Die aktuelle Version ist stets auf unserer Webseite abrufbar. Bei wesentlichen Änderungen informieren wir Nutzer per E-Mail.

11. Kontakt

Bei Fragen zum Datenschutz:

AP Digital Solution
Alexander Potzahr
E-Mail: info@kyberguard.de