TRUST CENTER

zenloop erhebt und speichert nur die für den Betrieb der Plattform notwendigen Daten: Stammdaten (Name, E-Mail), Nutzungsdaten (Umfragen, Feedback-Ergebnisse, NPS-Scores), Kommunikationsdaten (Support-Tickets) und technische Daten (Session-Logs). Alle Daten werden gemäß dem Grundsatz der Datenminimierung erhoben. zenloop agiert als Auftragsverarbeiter (Art. 28 DSGVO).

Alle Daten werden ausschließlich in der AWS-Region eu-central-1 (Frankfurt, Deutschland) gespeichert. Die Plattform nutzt PostgreSQL als primäre Datenbank, Redis für Caching und Session-Management, sowie AWS S3 für Dateispeicher.

zenloop nutzt eine konsolidierte Infrastruktur mit strikter logischer Datentrennung. PostgreSQL Row-Level Security (RLS) stellt sicher, dass Kunden ausschließlich auf ihre eigenen Daten zugreifen können. API-Authentifizierung erfolgt über JWT-Tokens mit organisationsspezifischen Claims.

Verschlüsselung im Ruhezustand: AES-256 für PostgreSQL-Datenbanken und AWS S3 (SSE-S3/SSE-KMS). Verschlüsselung bei Übertragung: TLS 1.2+ wird für alle Verbindungen erzwungen. HTTPS-only für alle Endpunkte. Redis-Verbindungen sind TLS-verschlüsselt.

Vierstufiges RBAC-System (Admin, Manager, Analyst, Viewer). JWT-basierte Token-Authentifizierung. API-Keys für Service-Integrationen. AWS IAM-Rollen mit Least-Privilege-Prinzip. GitHub-Zugriffskontrollen für Quellcode.

Definierte Eskalationspfade: Kritische Vorfälle → Security Officer Bartosz Gorka (sofort) → CTO Ali Shaheen. Datenschutzvorfälle → DPO Dr. Alina Weskamp-Nordmann (innerhalb 24h). DSGVO-konforme Meldeprozesse innerhalb von 72 Stunden. Monitoring über Sentry und AWS CloudTrail.

Ja. Wir erfüllen alle Anforderungen der DSGVO: Vollständige TOMs nach Art. 32, Auftragsverarbeitungsvertrag (AVV) nach Art. 28, Löschkonzept nach Art. 17, Verzeichnis der Verarbeitungstätigkeiten nach Art. 30. 55+ Individual Rights Requests wurden verarbeitet. DPO ist bei der Landesbeauftragten für den Datenschutz Brandenburg registriert.

Ja. Ein AVV wird während des Onboardings bereitgestellt. Der AVV regelt: Gegenstand und Dauer der Verarbeitung, technische und organisatorische Maßnahmen, Subauftragnehmer-Management, Betroffenenrechte und Datenschutzverletzungen. SCCs Module 2 (C2P) sind für internationale Transfers vorhanden.

zenloop pflegt DPAs mit 15+ Dienstleistern. Hauptsubauftragnehmer: AWS (Cloud-Infrastruktur, EU Frankfurt), SendGrid (E-Mail-Versand), Sentry (Fehlerüberwachung), Google Workspace (Kommunikation), Heroku (Application Hosting), Elasticsearch (Suche). Zusätzlich bestehen 50+ Contractor-DPAs.

Datenexport ist über API (JSON/CSV) und das Admin-Portal möglich. Auskunftsanfragen nach Art. 15 DSGVO werden innerhalb von 30 Tagen bearbeitet. Kontakt: dpo@zenloop.com

Definierte Löschfristen gemäß Löschkonzept. Audit-Logs: 7 Jahre Aufbewahrung (§147 AO). Auf Anfrage: Löschung personenbezogener Daten innerhalb von 30 Tagen. Nach Vertragsende: Löschung oder Rückgabe aller Kundendaten gemäß AVV.

Nach Vertragsende: Löschung oder Rückgabe aller personenbezogenen Daten innerhalb von 30 Tagen. Ausnahme: Gesetzliche Aufbewahrungsfristen (dann Pseudonymisierung). Schriftliche Bestätigung der Löschung.

PostgreSQL: Automatische Backups mit Point-in-Time Recovery. AWS S3: Versioning für alle Objekte. RPO: < 24 Stunden, RTO: < 4 Stunden. Alle Backups werden AES-256-verschlüsselt in eu-central-1 gespeichert.

Sicherheitsrelevante Ereignisse werden protokolliert: Login/Logout, Passwortänderungen, unbefugte Zugriffsversuche, administrative Aktionen. Audit-Logs: 7 Jahre Aufbewahrung für Compliance. AWS CloudTrail für API-Auditierung. Sentry für Fehlerüberwachung und Anomalieerkennung.