QUESTIONSTAR
Kostenlos starten

Sicherheit & Datenschutz bei QUESTIONSTAR

Wir behandeln die Fragen unserer Kunden und Umfrageteilnehmer getrennt — weil ihre Anliegen unterschiedlich sind.

Hosting & Infrastruktur

  • Eigene Hardware in deutschen IONOS-Rechenzentren — unter eigener Verwaltung
  • TLS-Verschlüsselung im Transit (HTTPS)
  • Verschlüsselung at rest (Datenbank-Ebene)
  • Geo-getrennte Backup-Standorte (Produktiv- und Backup-Server in unterschiedlichen Rechenzentren — Schutz vor lokalen Katastrophen)

Verfügbarkeit & Backups

  • Verfügbarkeit 99,97 % (gemessen über die letzten 12 Monate)
  • Tägliche Backups (24-Stunden-Zyklus, vollständig)
  • Wiederherstellung typischerweise innerhalb weniger Stunden auf Anfrage
  • Backup-Standorte geografisch getrennt von Produktiv-Servern

Hinweis: Ausfälle externer Internet-Backbones oder Internet-Service-Provider liegen außerhalb unserer Kontrolle.

Datenerfassung in Echtzeit

Jede Antwort wird im Moment der Eingabe gespeichert — nicht erst beim Wechsel zur nächsten Seite.

Vorteil: Schutz vor Datenverlust durch Verbindungsabbruch, geschlossenen Browser oder unterbrochene Sitzungen. Was der Teilnehmer beantwortet hat, ist sofort gesichert.

Audit-Trail

Folgende Ereignisse werden intern protokolliert:

  • Login / Logout
  • Account-Anlegen / Tarifwechsel
  • Umfrage-Erstellung, -Bearbeitung und -Löschung
  • Antwort-Eingang und -Löschung
  • Benutzer-Verwaltung (Einladungen, Entfernungen)

Transparent gemeldet:

  • Datenexporte durch Nutzer werden derzeit nicht protokolliert (auf der Roadmap)
  • Anonymitäts-Einstellungs-Änderungen werden auf System-Ebene durchgesetzt (one-way enforcement — einmal anonym, bleibt anonym), aber nicht separat protokolliert
  • Admin-Aktionen sind teilweise erfasst (etwa 10 % der Aktionen — wird ausgebaut)

Auditeinträge sind intern für unsere Entwickler einsehbar; ein kundenseitiger Audit-Log-Export ist auf der Roadmap.

DSGVO-Konformität

  • AVV (Auftragsverarbeitungsvereinbarung) verfügbar — als PDF-Download
  • Konformität mit Art. 28 (Auftragsverarbeitung), Art. 32 (Sicherheitsmaßnahmen) und Art. 33 (Vorfallsmeldung) DSGVO
  • Granulare Anonymitäts-Einstellungen für Befragungen:
    • IP-Speicherung: voll / teil-maskiert (erste zwei Oktette gelöscht) / keine
    • Private Fragen mit getrennter Datenspeicherung
    • Optionaler Schlüssel zum Zusammenführen privater und allgemeiner Daten
    • Einmal anonym konfiguriert — bleibt anonym (one-way enforcement)
  • Auskunfts- (Art. 15) und Löschungsrechte (Art. 17) — über uns researcher-mediated: Wir setzen Anfragen für unsere Kunden um.
  • Vorfallsmeldung innerhalb von 72 Stunden gemäß DSGVO Art. 33

Zugriffsschutz

Server-Zugang

  • Nur über IP-beschränkten Remote-Desktop (Whitelist) für QS-Entwickler
  • Konsolenzugang ausschließlich über das IONOS-Backend
  • Physikalischer Schutz durch IONOS-Rechenzentrum-Sicherheit
  • Zugang nur durch QS-Personal — keine externen Dienstleister

Nutzer-Authentifizierung

  • Standard-Passwort-Anforderungen: mindestens 8 Zeichen, 1 Ziffer, 1 Großbuchstabe
  • Lizenz-Administratoren mit Benutzer-Management können eigene Passwort-Richtlinien für ihre Teams setzen

Transparent gemeldet:

  • Zwei-Faktor-Authentifizierung (2FA) ist derzeit nicht verfügbar — auf der Roadmap

Sub-Auftragsverarbeiter

Vollständige Liste der Drittanbieter, die personenbezogene Daten verarbeiten:

  • IONOS Cloud GmbH (Deutschland) — Hosting der Server-Infrastruktur
  • Twilio SendGrid (zertifizierte SCC-Konformität) — E-Mail-Versand für Umfrage-Einladungen und -Erinnerungen

Weitere genutzte Dienste ohne personenbezogene Datenverarbeitung:

  • Microsoft Azure (Frankfurt) — CDN für statische Assets (Bilder, Scripts)

Wir nutzen keine externen Analytics-Tools und keine externen Error-Tracking-Dienste.

Vollständige Liste mit Vertrags- und Datenstandort-Informationen auf Anfrage über support@questionstar.de.

Sicherheitsprüfungen & Zertifizierungen

Eigene Prüfungen

  • Regelmäßige eigene Sicherheitsprüfungen mit Nikto (Web-Server-Scanner)
  • Anwendung der OWASP-Empfehlungen für Web-Application-Sicherheit

Hosting-Zertifizierung

  • Die IONOS-Rechenzentren sind nach ISO 27001 zertifiziert (Zertifizierung gilt für die physische Infrastruktur — nicht für die QUESTIONSTAR-Anwendung selbst)

Transparent gemeldet:

  • Externe Penetrationstests durch Drittanbieter werden derzeit nicht durchgeführt
  • QUESTIONSTAR selbst ist nicht ISO 27001-zertifiziert

Bei Fragen oder Vorfällen

Sicherheits- oder DSGVO-Fragen: support@questionstar.de

Vorfallsmeldungen: Wir melden meldepflichtige Vorfälle innerhalb von 72 Stunden gemäß DSGVO Art. 33.

Weitere Informationen