Demo
Free attack scan · then autonomous pentesting Try the free scan →

Privacy Policy / Datenschutzerklärung

Last updated / Zuletzt aktualisiert: 2026-05-04

English Version

1. Responsible Party

SQUR UG (haftungsbeschränkt)
Hegelstrasse 7
76356 Weingarten
Germany

2. Data Protection Officer

Currently, we are not required to appoint a data protection officer according to Art. 37 DSGVO.

3. Purposes and Legal Bases for Processing Personal Data

  • Provision and operation of the website (Art. 6 para. 1 lit. f GDPR)
  • Processing of contact form inquiries (Art. 6 para. 1 lit. b GDPR or Art. 6 para. 1 lit. a GDPR with consent)
  • Website usage analysis to improve our services (Art. 6 para. 1 lit. f GDPR, legitimate interest in optimizing our website)
  • Use of cookies and similar technologies (Art. 6 para. 1 lit. a GDPR with consent or Art. 6 para. 1 lit. f GDPR for technically necessary cookies)
  • Processing of usage data to improve and develop our AI models and features (Art. 6 para. 1 lit. f GDPR, legitimate interest in continuously improving our products and services). Specific details about AI functionality and processed data are explained in the relevant section.

4. Categories of Personal Data

  • IP address, date and time of access, browser type and version, operating system, referrer URL
  • Contact data (name, email address, phone number if provided)
  • Website usage data (visited pages, duration of stay, clicks)
  • Input prompts and generated outputs when using AI features; metadata about AI feature usage

5. Recipients or Categories of Recipients

  • Our hosting provider
  • PostHog Inc. (web analytics, EU Cloud - Brussels, Belgium)
  • Google Ireland Limited (Google Tag Manager, Google Analytics 4, and Google Ads conversion tracking; data may be transferred to Google LLC in the USA)
  • Calendly LLC (appointment scheduling service - strictly necessary for booking functionality)
  • Folk App SAS (Paris, France) - CRM platform; receives email address, lead source, and domain name submitted via website scan, demo, or report forms for sales follow-up
  • Brevo SAS (Paris, France) - email marketing platform; receives email address submitted via the newsletter subscription form
  • Resend Inc. - transactional and outbound email delivery (cold outreach, scan reports, system mail); receives recipient email address, subject, and message body. EU data-residency configured
  • Bouncer Sp. z o.o. (Wrocław, Poland) - email-address verification service used before cold-outreach send to drop undeliverable addresses; receives the prospect email address only (no name, title, or message content). Hosted on AWS EU (Frankfurt, Germany); verification results auto-erased after 60 days. Acts as our processor under a signed Data Processing Agreement
  • Google Cloud EMEA Limited / Google Ireland Limited - Cloud Firestore (default database, region europe-west1, Belgium); stores newsletter subscribers, lead and contact records captured via website forms, suppression list, and outbound email logs
  • AI service providers (if relevant)

6. Data Transfer to Third Countries

When using certain services, data may be transferred to the USA. We have concluded standard contractual clauses with these providers to ensure an appropriate level of data protection.

7. Storage Duration

  • Access data is stored for up to one year to assist with security investigations and technical troubleshooting
  • Contact data is stored as long as necessary to process your inquiry and beyond that according to legal retention periods
  • Input prompts and generated outputs may be stored for a limited period to improve AI models, unless you object to this storage

8. Your Rights as a Data Subject

You have the right to access (Art. 15 GDPR), rectification (Art. 16 GDPR), erasure (Art. 17 GDPR), restriction of processing (Art. 18 GDPR), object to processing (Art. 21 GDPR), and data portability (Art. 20 GDPR). You also have the right to lodge a complaint with a supervisory authority (Art. 77 GDPR).

The supervisory authority responsible for us is:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a
70173 Stuttgart
Germany

9. Withdrawal of Consent

If the processing of your personal data is based on consent (Art. 6 para. 1 lit. a GDPR), you have the right to withdraw your consent at any time. The withdrawal of consent does not affect the lawfulness of processing based on consent before its withdrawal.

10. Cookies and Web Analytics

We use PostHog, a privacy-focused analytics platform hosted in the EU (Brussels, Belgium), to understand how visitors use our website and improve user experience.

Important: Your data stays with SQUR. We use analytics data solely for internal optimization purposes. We never sell, share, or transfer your data to third parties for marketing or any other purposes.

What data is collected:

  • Page views and navigation patterns
  • Click events and user interactions
  • Session recordings to understand how users navigate our website
  • Browser type, device information, and referrer URL
  • IP address (used for geolocation data only, not displayed in analytics interface)
  • No directly identifiable personal information (name, email) is collected

Legal basis: Art. 6 para. 1 lit. a GDPR (your consent via the cookie banner)

Your control: You can accept or decline analytics cookies via our cookie consent banner. You can change your decision at any time by clearing your browser cookies for this site. PostHog only activates after you explicitly accept cookies.

Data retention: Analytics data is retained as long as our PostHog account is active. We may delete data at any time or upon your request. For detailed retention policies, please refer to PostHog's privacy policy.

Technical provider: PostHog Inc., EU Cloud (Brussels, Belgium). PostHog processes the data on our behalf as a data processor. For more details on their data processing practices, see: https://posthog.com/privacy

11. Google Tag Manager, Google Analytics 4 and Google Ads (Requires Consent)

We use Google Tag Manager (GTM) to manage website tags, Google Analytics 4 (GA4) to measure aggregate website usage, and Google Ads to track conversion events when users interact with our call-to-action buttons. These services only activate after you accept cookies via our consent banner.

Legal basis: Art. 6 para. 1 lit. a GDPR (your consent via the cookie banner)

What data is collected:

  • Page views and user interactions (button clicks, form submissions)
  • Conversion events (sign-ups, demo bookings)
  • Technical data (browser type, device information, IP address)
  • No directly identifiable personal information is sent to Google

Data processor: Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Ireland) is the EU contracting entity. Data may be transferred to Google LLC in the USA under Standard Contractual Clauses to ensure an adequate level of data protection. For more information, see Google's privacy policy: https://policies.google.com/privacy

Your control: You can accept or decline these cookies via our cookie consent banner. Google tracking only activates after you explicitly accept cookies. You can withdraw consent at any time by clearing your browser cookies.

12. Calendly Appointment Scheduling (Strictly Necessary)

On our booking page (/book-a-demo.html), we use Calendly to enable appointment scheduling. This service is classified as strictly necessary for the core functionality of that page and does not require separate cookie consent.

Legal basis: Art. 6 para. 1 lit. f GDPR (legitimate interest in providing the requested booking functionality)

What happens: When you visit the booking page, Calendly loads to display available time slots. When you book an appointment, Calendly processes your name, email address, and selected time slot to schedule the meeting.

Data processor: Calendly LLC, USA. Calendly is compliant with GDPR and uses Standard Contractual Clauses for data transfers. For more information, see Calendly's privacy policy: https://calendly.com/privacy

Your control: If you do not wish to use Calendly, you can contact us directly at hello@squr.ai to schedule a meeting.

13. B2B Cold Email Prospecting (Legitimate Interest)

SQUR sends cold outreach emails to IT decision-makers (CTO, CISO, Head of IT, Head of Engineering, DPO) at European businesses to inform them about publicly observable security signals affecting their domain and to offer SQUR's autonomous penetration testing service.

Legal basis: Art. 6 para. 1 lit. f GDPR (legitimate interest in B2B prospecting toward IT decision-makers in their professional capacity). Compliant with §7(2)(3) UWG and EDPB guidance on legitimate interests for B2B direct marketing. A documented Legitimate Interests Assessment (LIA) is on file with the controller and available on request.

Categories of personal data processed: business email address, first and last name, job title, employer (company name), employer's primary domain. No special-category data and no private contact data is processed.

Source of the data (Art. 14 GDPR): Publicly available professional profile data from public sources, including public business directories, professional networking platforms, and company websites. SQUR is the sole controller. The specific source of an individual record is disclosed on request to privacy@squr.ai.

Public security-signal enrichment: For each contacted domain SQUR additionally checks publicly observable signals (DNS / DMARC records, certificate transparency entries via crt.sh, breach exposure via the public Have I Been Pwned domain endpoint, SSL Labs grade). These checks query data already public on the open internet and do not constitute a scan of the recipient's infrastructure. No active scan is run without the recipient's explicit opt-in.

Storage duration: Maximum 6 months of inactivity. Contacts who do not engage are automatically deleted. Unsubscribed contacts are kept on a suppression list (email-hash only) so we never re-contact them.

Your rights: One-click unsubscribe link is included in every email and is processed within 48 hours. You can also object to this processing at any time at privacy@squr.ai. On objection, your data is removed from the active contact list and added to the suppression list.

Email infrastructure provider: Resend (resend.com) — operates as our processor under a signed Data Processing Agreement, with EU data-residency configured.

Email-address verification provider: Bouncer (usebouncer.com) — Bouncer Sp. z o.o., Wrocław, Poland. Used before each send to verify deliverability of the prospect address. Receives the email address only (no name, title, or message content), hosted on AWS EU in Frankfurt, Germany. Verification results auto-erase after 60 days. Operates as our processor under a signed Data Processing Agreement.

Deutsche Version

1. Verantwortliche Stelle

SQUR UG (haftungsbeschränkt)
Hegelstrasse 7
76356 Weingarten
Germany

2. Datenschutzbeauftragter

Derzeit sind wir nach Art. 37 DSGVO nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen.

3. Zwecke und Rechtsgrundlagen der Verarbeitung personenbezogener Daten

  • Bereitstellung und Betrieb der Website (Art. 6 Abs. 1 lit. f DSGVO)
  • Beantwortung von Anfragen über das Kontaktformular (Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. a DSGVO bei Einwilligung)
  • Analyse der Website-Nutzung zur Verbesserung unseres Angebots (Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an der Optimierung unserer Website)
  • Einsatz von Cookies und ähnlichen Technologien (Art. 6 Abs. 1 lit. a DSGVO bei Einwilligung oder Art. 6 Abs. 1 lit. f DSGVO für technisch notwendige Cookies)
  • Verarbeitung von Nutzungsdaten zur Verbesserung und Weiterentwicklung unserer AI-Modelle und Features (Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an der kontinuierlichen Verbesserung unserer Produkte und Dienstleistungen). Genaue Details zur Funktionsweise der AI und der verarbeiteten Daten werden im entsprechenden Abschnitt erläutert.

4. Kategorien personenbezogener Daten

  • IP-Adresse, Datum und Uhrzeit des Zugriffs, Browsertyp und -version, Betriebssystem, Referrer URL
  • Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, falls angegeben)
  • Nutzungsdaten der Website (besuchte Seiten, Verweildauer, Klicks)
  • Eingabeaufforderungen (Prompts) und generierte Ausgaben bei der Nutzung von AI-Features; Metadaten zur Nutzung der AI-Features

5. Empfänger oder Kategorien von Empfängern

  • Unser Hosting-Anbieter
  • PostHog Inc. (Web-Analyse, EU Cloud - Brüssel, Belgien)
  • Google Ireland Limited (Google Tag Manager, Google Analytics 4 und Google Ads Conversion-Tracking; Daten können an Google LLC in die USA übermittelt werden)
  • Calendly LLC (Terminvereinbarungs-Service - unbedingt erforderlich für die Buchungsfunktion)
  • Folk App SAS (Paris, Frankreich) - CRM-Plattform; erhält E-Mail-Adresse, Lead-Quelle und Domain-Name, die über Website-Scan-, Demo- oder Report-Formulare übermittelt wurden, zur Vertriebsnachverfolgung
  • Brevo SAS (Paris, Frankreich) - E-Mail-Marketing-Plattform; erhält E-Mail-Adresse, die über das Newsletter-Anmeldeformular übermittelt wurde
  • Resend Inc. - Versand transaktionaler und ausgehender E-Mails (Kalt-Akquise, Scan-Reports, System-E-Mails); erhält Empfänger-E-Mail-Adresse, Betreff und Nachrichteninhalt. EU-Datenresidenz konfiguriert
  • Bouncer Sp. z o.o. (Wrocław, Polen) - E-Mail-Adress-Verifikationsdienst, der vor dem Versand von Kalt-Akquise-E-Mails eingesetzt wird, um nicht zustellbare Adressen auszusortieren; erhält ausschließlich die geprüfte E-Mail-Adresse (keinen Namen, keine Berufsbezeichnung, keinen Nachrichteninhalt). Gehostet auf AWS EU (Frankfurt, Deutschland); Verifikationsergebnisse werden nach 60 Tagen automatisch gelöscht. Auftragsverarbeiter auf Grundlage eines unterzeichneten Auftragsverarbeitungsvertrags
  • Google Cloud EMEA Limited / Google Ireland Limited - Cloud Firestore (Standard-Datenbank, Region europe-west1, Belgien); speichert Newsletter-Abonnenten, über Website-Formulare erfasste Lead- und Kontaktdatensätze, Sperrliste sowie Protokolle ausgehender E-Mails
  • Anbieter von AI-Diensten (falls relevant)

6. Datenübermittlung in Drittländer

Bei der Nutzung bestimmter Dienste können Daten in die USA übertragen werden. Wir haben mit diesen Anbietern Standardvertragsklauseln abgeschlossen, um ein angemessenes Datenschutzniveau zu gewährleisten.

7. Dauer der Speicherung

  • Zugriffsdaten werden bis zu einem Jahr gespeichert, um Sicherheitsuntersuchungen und technische Fehlerbehebung zu unterstützen
  • Kontaktdaten werden so lange gespeichert, wie es für die Bearbeitung Ihrer Anfrage erforderlich ist, und darüber hinaus gemäß den gesetzlichen Aufbewahrungsfristen
  • Eingabeaufforderungen und generierte Ausgaben können für einen begrenzten Zeitraum gespeichert werden, um KI-Modelle zu verbessern, es sei denn, Sie widersprechen dieser Speicherung

8. Ihre Rechte als betroffene Person

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) sowie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Zudem haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a
70173 Stuttgart
Germany

9. Widerruf Ihrer Einwilligung

Sofern die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO), haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

10. Cookies und Web-Analyse

Wir verwenden PostHog, eine datenschutzfreundliche Analyseplattform, die in der EU (Brüssel, Belgien) gehostet wird, um zu verstehen, wie Besucher unsere Website nutzen, und um die Benutzererfahrung zu verbessern.

Wichtig: Ihre Daten bleiben bei SQUR. Wir verwenden Analysedaten ausschließlich für interne Optimierungszwecke. Wir verkaufen, teilen oder übertragen Ihre Daten niemals an Dritte für Marketing oder andere Zwecke.

Welche Daten werden erfasst:

  • Seitenaufrufe und Navigationsmuster
  • Klickereignisse und Benutzerinteraktionen
  • Sitzungsaufzeichnungen, um zu verstehen, wie Nutzer unsere Website navigieren
  • Browsertyp, Geräteinformationen und Referrer-URL
  • IP-Adresse (nur zur Standortbestimmung verwendet, nicht in der Analyseoberfläche angezeigt)
  • Keine direkt identifizierbaren personenbezogenen Daten (Name, E-Mail) werden erfasst

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung über das Cookie-Banner)

Ihre Kontrolle: Sie können Analyse-Cookies über unser Cookie-Einwilligungsbanner akzeptieren oder ablehnen. Sie können Ihre Entscheidung jederzeit ändern, indem Sie die Cookies Ihres Browsers für diese Seite löschen. PostHog wird erst nach Ihrer ausdrücklichen Zustimmung aktiviert.

Datenspeicherung: Analysedaten werden gespeichert, solange unser PostHog-Konto aktiv ist. Wir können Daten jederzeit oder auf Ihre Anfrage hin löschen. Für detaillierte Aufbewahrungsrichtlinien verweisen wir auf die Datenschutzerklärung von PostHog.

Technischer Dienstleister: PostHog Inc., EU Cloud (Brüssel, Belgien). PostHog verarbeitet die Daten in unserem Auftrag als Auftragsverarbeiter. Weitere Details zu deren Datenverarbeitungspraktiken finden Sie unter: https://posthog.com/privacy

11. Google Tag Manager, Google Analytics 4 und Google Ads (Einwilligung erforderlich)

Wir verwenden Google Tag Manager (GTM) zur Verwaltung von Website-Tags, Google Analytics 4 (GA4) zur Messung der aggregierten Website-Nutzung sowie Google Ads zur Verfolgung von Conversion-Ereignissen, wenn Nutzer mit unseren Call-to-Action-Buttons interagieren. Diese Dienste werden erst nach Ihrer Zustimmung über unser Cookie-Banner aktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung über das Cookie-Banner)

Welche Daten werden erfasst:

  • Seitenaufrufe und Benutzerinteraktionen (Button-Klicks, Formularübermittlungen)
  • Conversion-Ereignisse (Anmeldungen, Demo-Buchungen)
  • Technische Daten (Browsertyp, Geräteinformationen, IP-Adresse)
  • Keine direkt identifizierbaren personenbezogenen Daten werden an Google gesendet

Auftragsverarbeiter: Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) ist die EU-Vertragspartnerin. Daten können an Google LLC in die USA übermittelt werden; hierfür wurden Standardvertragsklauseln zur Gewährleistung eines angemessenen Datenschutzniveaus abgeschlossen. Weitere Informationen finden Sie in der Datenschutzerklärung von Google: https://policies.google.com/privacy

Ihre Kontrolle: Sie können diese Cookies über unser Cookie-Einwilligungsbanner akzeptieren oder ablehnen. Google-Tracking wird erst nach Ihrer ausdrücklichen Zustimmung aktiviert. Sie können die Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen.

12. Calendly Terminvereinbarung (Unbedingt erforderlich)

Auf unserer Buchungsseite (/book-a-demo.html) verwenden wir Calendly, um die Terminvereinbarung zu ermöglichen. Dieser Dienst wird als unbedingt erforderlich für die Kernfunktionalität dieser Seite eingestuft und erfordert keine separate Cookie-Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der angeforderten Buchungsfunktion)

Was passiert: Wenn Sie die Buchungsseite besuchen, wird Calendly geladen, um verfügbare Zeitfenster anzuzeigen. Wenn Sie einen Termin buchen, verarbeitet Calendly Ihren Namen, Ihre E-Mail-Adresse und den ausgewählten Zeitpunkt, um das Meeting zu planen.

Auftragsverarbeiter: Calendly LLC, USA. Calendly ist DSGVO-konform und verwendet Standardvertragsklauseln für Datenübermittlungen. Weitere Informationen finden Sie in der Datenschutzerklärung von Calendly: https://calendly.com/privacy

Ihre Kontrolle: Wenn Sie Calendly nicht verwenden möchten, können Sie uns direkt unter hello@squr.ai kontaktieren, um einen Termin zu vereinbaren.

13. B2B-Kalt-E-Mail-Akquise (Berechtigtes Interesse)

SQUR sendet Kalt-Akquise-E-Mails an IT-Entscheider (CTO, CISO, Leitung IT, Leitung Engineering, DSB) europäischer Unternehmen, um diese über öffentlich beobachtbare Sicherheitssignale ihrer Domain zu informieren und auf SQURs autonomen Penetrationstest-Service hinzuweisen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der B2B-Direktansprache von IT-Entscheidern in deren beruflicher Funktion). Vereinbar mit § 7 Abs. 2 Nr. 3 UWG sowie der EDPB-Leitlinien zum berechtigten Interesse bei B2B-Direktwerbung. Eine dokumentierte Interessenabwägung (LIA) liegt beim Verantwortlichen vor und ist auf Anfrage einsehbar.

Verarbeitete personenbezogene Datenkategorien: berufliche E-Mail-Adresse, Vor- und Nachname, Berufsbezeichnung, Arbeitgeber (Firmenname) sowie Hauptdomain des Arbeitgebers. Es werden keine besonderen Kategorien personenbezogener Daten und keine privaten Kontaktdaten verarbeitet.

Datenquelle (Art. 14 DSGVO): Öffentlich verfügbare berufliche Profildaten aus öffentlichen Quellen, darunter öffentliche Unternehmensverzeichnisse, berufliche Netzwerk-Plattformen und Unternehmens-Websites. SQUR ist alleiniger Verantwortlicher. Die konkrete Quelle eines einzelnen Datensatzes wird auf Anfrage unter privacy@squr.ai mitgeteilt.

Anreicherung mit öffentlichen Sicherheitssignalen: Für jede kontaktierte Domain prüft SQUR zusätzlich öffentlich beobachtbare Signale (DNS-/DMARC-Einträge, Certificate-Transparency-Einträge via crt.sh, Datenleck-Status über die öffentliche Domain-API von Have I Been Pwned, SSL Labs-Bewertung). Diese Prüfungen rufen ausschließlich bereits öffentlich im Internet verfügbare Daten ab und stellen keinen Scan der Infrastruktur des Empfängers dar. Ein aktiver Scan wird ohne ausdrückliche Einwilligung des Empfängers nicht durchgeführt.

Speicherdauer: Maximal 6 Monate Inaktivität. Kontakte, die nicht reagieren, werden automatisch gelöscht. Abgemeldete Kontakte werden auf einer Sperrliste (nur E-Mail-Hash) geführt, damit wir sie nie erneut kontaktieren.

Ihre Rechte: Jede E-Mail enthält einen Ein-Klick-Abmeldelink, der innerhalb von 48 Stunden verarbeitet wird. Sie können der Verarbeitung jederzeit unter privacy@squr.ai widersprechen. Im Widerspruchsfall werden Ihre Daten aus der aktiven Kontaktliste entfernt und der Sperrliste hinzugefügt.

E-Mail-Infrastruktur-Anbieter: Resend (resend.com) — agiert als Auftragsverarbeiter auf Grundlage eines unterzeichneten Auftragsverarbeitungsvertrags mit konfigurierter EU-Datenresidenz.

Anbieter der E-Mail-Adress-Verifikation: Bouncer (usebouncer.com) — Bouncer Sp. z o.o., Wrocław, Polen. Wird vor jedem Versand zur Prüfung der Zustellbarkeit der Empfängeradresse eingesetzt. Erhält ausschließlich die E-Mail-Adresse (keinen Namen, keine Berufsbezeichnung, keinen Nachrichteninhalt); Hosting auf AWS EU in Frankfurt, Deutschland. Verifikationsergebnisse werden nach 60 Tagen automatisch gelöscht. Auftragsverarbeiter auf Grundlage eines unterzeichneten Auftragsverarbeitungsvertrags.