Dieser Hinweis beschreibt, wie die Endolum GmbH personenbezogene und technische Daten innerhalb des Schwachstellenscanners Sentinel bearbeitet. Er entspricht dem revidierten Schweizer Datenschutzgesetz (revDSG) und, soweit anwendbar, der EU-Datenschutz-Grundverordnung (DSGVO). Die Marketing-Website unter endolum.io verfügt über eine separate Datenschutzerklärung der Website, die Tracking und Kontaktformulare auf den öffentlichen Seiten abdeckt.
Endolum GmbH, Oberdorfstrasse 8, 8853 Lachen SZ, Schweiz. Handelsregister UID CHE-297.991.738. Kontakt: contact@endolum.io.
Um einen Scan auszuführen, benötigt Sentinel eine Ziel-IP-Adresse oder einen Domainnamen. Sie geben dieses Ziel im Formular der Marketing-Website, im Dashboard innerhalb des Produkts oder über einen autorisierten API-Aufruf an. Bei Geschäftskonten muss das Ziel ein verifiziertes Asset Ihrer Organisation sein.
Der Scanner erfasst die offenen Ports, die von diesen Ports ausgegebenen Dienste und Versionen, die beobachteten Sicherheits-Header und Zertifikate, die mit dem Ziel verbundenen DNS-Einträge, die von jedem Scan-Modul erzeugten Befunde sowie die Zeitpunkte jeder Scan-Phase. Diese Daten beschreiben die Sicherheitslage des Ziels. Es handelt sich um technische Infrastrukturdaten und nicht um personenbezogene Daten über Einzelpersonen, sie können jedoch beiläufig Identifikatoren enthalten, etwa administrative E-Mail-Adressen in DNS-SOA-Einträgen, in TLS-Zertifikaten aufgeführte Hostnamen oder Banner, die Softwareversionen offenlegen.
Für bezahlte Geschäftskonten speichert der Endolum Identity Service die E-Mail-Adresse, den Anzeigenamen, die Organisationszugehörigkeit, den Status der Zwei-Faktor-Authentifizierung sowie die Berechtigungen, die für die Funktion des Produkts erforderlich sind. Der Identity Service ist die massgebliche Quelle für diese Datensätze und wendet eigene Aufbewahrungs- und Löschregeln an.
Die Abonnementabrechnung erfolgt über die Stripe Payments Europe Limited. Endolum erhält den Kundendatensatz, den Status des Abonnements sowie die Rechnungsmetadaten. Kartennummern, Ablaufdaten und Prüfziffern werden von Endolum weder empfangen noch gespeichert.
Bei Scans des kostenlosen Tarifs wird die im Formular angegebene E-Mail-Adresse zur Zustellung des Berichts verwendet. Bei Geschäftskonten erhalten die im Konto konfigurierten Berichtsempfänger den Bericht.
Das Backend erfasst Anfrage-URLs, IP-Adressen, User-Agents und Zeitstempel im Rahmen der üblichen betrieblichen Protokollierung. Die Protokolle werden bis zu 30 Tage aufbewahrt und dienen der Fehleranalyse, der Missbrauchserkennung sowie dem Schutz des Dienstes gegen automatisierte Angriffe.
Nach Abschluss eines Scans übermittelt Sentinel die strukturierten Scan-Ergebnisse an die Anthropic PBC in den Vereinigten Staaten, um einen kalibrierten, für Menschen lesbaren Bericht zu erstellen. Konkret enthält die Übermittlung das Ziel, die offenen Ports, die erkannten Dienste und Versionen, die von jedem Modul erzeugten Befunde, die Zertifikatsdetails soweit zutreffend sowie die Zeitpunkte jeder Phase. Sie enthält keine Kontopasswörter, keine Zahlungsdaten und keine Inhalte, die nicht zum Scan gehören.
Anthropic ist Unterauftragsbearbeiterin von Endolum gemäss dem Anthropic Data Processing Addendum, in welches Standardvertragsklauseln für die Übermittlung in die Vereinigten Staaten integriert sind. Endolum verfügt für den Sentinel-Workload über eine Zero-Data-Retention-Vereinbarung mit Anthropic. Das bedeutet, dass Scan-Inhalte in Echtzeit verarbeitet und nach der API-Antwort nicht ruhend bei Anthropic gespeichert werden, ausser eine Aufbewahrung ist gesetzlich vorgeschrieben oder erforderlich, um Missbrauch der Plattform abzuwehren. Anthropic trainiert keine Modelle mit Sentinel-Scan-Daten.
Der vom Modell zurückgegebene strukturierte Bericht wird in der Sentinel-Datenbank zusammen mit dem Scan gespeichert und als HTML, PDF sowie als E-Mail-Inhalt an die von Ihnen festgelegten Empfänger ausgegeben.
| Zweck | Rechtsgrundlage |
|---|---|
| Durchführung von Scans, Erstellung von Berichten und Zustellung an die festgelegten Empfänger im bezahlten Konto | Vertragserfüllung |
| Durchführung von Scans des kostenlosen Tarifs aus dem öffentlichen Formular | Einwilligung, erteilt durch Absenden der Scan-Anfrage |
| Kontoverwaltung, Authentifizierung und Zwei-Faktor-Authentifizierung | Vertragserfüllung |
| Abonnementabrechnung und gesetzliche Rechnungsstellung | Vertragserfüllung und gesetzliche Verpflichtung |
| Betriebliche Protokollierung, Missbrauchsabwehr und Plattformsicherheit | Berechtigtes Interesse am Schutz und an der Verfügbarkeit des Dienstes |
| Gesetzliche Aufbewahrung von Buchhaltungs- und Rechnungsdaten | Gesetzliche Verpflichtung |
Sentinel stützt sich auf die nachstehenden Unterauftragsbearbeiter, um den Dienst zu erbringen. Die vollständige, aktuelle Liste aller Endolum-Unterauftragsbearbeiter über sämtliche Produkte hinweg ist unter endolum.io/de/sub-processors einsehbar.
| Unterauftragsbearbeiter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Betrieb des Sentinel-Backends, der Datenbanken und des Identity Service auf einem Kubernetes-Cluster | Falkenstein, Deutschland (EU) |
| Akamai Technologies (Linode) | Isolierter Scanner-Knoten, der den Scan gegen das Ziel ausführt | Frankfurt, Deutschland (EU) |
| Anthropic PBC | KI-gestützte Berichtserstellung. Zero Data Retention aktiviert. Anthropic trainiert keine Modelle mit Sentinel-Scan-Daten. | San Francisco, Vereinigte Staaten |
| Stripe Payments Europe Limited | Abonnementabrechnung, Rechnungserstellung, Zahlungsabwicklung | Dublin, Irland (EU), mit Verarbeitung in den Vereinigten Staaten |
Sentinel wird auf Infrastruktur in Deutschland innerhalb des EU/EWR-Raums betrieben. Zwei Datenflüsse verlassen den EU/EWR-Raum. Die Übermittlung der Scan-Ergebnisse an Anthropic in den Vereinigten Staaten zur Berichtserstellung stützt sich auf die im Anthropic Data Processing Addendum enthaltenen Standardvertragsklauseln, ergänzt durch eine Zero-Data-Retention-Vereinbarung, die eine ruhende Speicherung nach der API-Antwort ausschliesst. Die Übermittlung der Abrechnungsdaten an Stripe stützt sich auf die Zertifizierung von Stripe im Rahmen des EU-US-Data-Privacy-Frameworks sowie für verbleibende Übermittlungen auf Standardvertragsklauseln. Soweit weitere Unterauftragsbearbeiter Daten ausserhalb der Schweiz oder des EWR bearbeiten, stützen wir uns auf einen Angemessenheitsbeschluss, auf Standardvertragsklauseln oder auf Ihre ausdrückliche Einwilligung in die konkrete Übermittlung.
Daten in der Übertragung sind durch TLS geschützt. Datenbanken sind auf Speicherebene verschlüsselt. Der Scanner-Knoten ist per Firewall ausschliesslich für die Egress-IP des Backends erreichbar und stellt keine weitere Schnittstelle ins öffentliche Internet zur Verfügung. Die Authentifizierung erfolgt über RS256-signierte Token, die der Endolum Identity Service ausstellt. Eine Zwei-Faktor-Authentifizierung steht zur Verfügung und wird empfohlen. Die Löschung eines Kontos löst eine Kaskade aus, welche Scan-Daten, Befunde, Zeitpläne und Alarmregeln plattformweit entfernt.
Nach dem revDSG und, soweit anwendbar, der DSGVO haben Sie folgende Rechte:
Die meisten dieser Rechte lassen sich direkt im Produkt ausüben. Zur Kontolöschung verwenden Sie die Kontoeinstellungen im Dashboard. Für einen Datenexport oder weitere Anliegen schreiben Sie an contact@endolum.io. Wir antworten innerhalb von 30 Tagen.
Wenn Sie der Auffassung sind, dass Ihre Datenschutzrechte verletzt wurden, können Sie sich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in der Schweiz beschweren. Soweit die DSGVO auf Ihre Situation Anwendung findet, können Sie zusätzlich eine Beschwerde bei einer Aufsichtsbehörde in der EU oder im EWR einreichen.
Wir können diesen Hinweis von Zeit zu Zeit aktualisieren. Das Datum der jeweiligen Fassung steht oben auf der Seite. Wesentliche Änderungen werden im Datum sowie in den geänderten Abschnitten ersichtlich, und soweit eine Änderung bestehende Kundinnen oder Kunden betrifft, kündigen wir sie mit angemessener Vorlaufzeit an.
Bei datenschutzbezogenen Fragen zu Sentinel schreiben Sie an contact@endolum.io oder an die Endolum GmbH, Oberdorfstrasse 8, 8853 Lachen SZ, Schweiz.