TRUEINGS

Sicherheit & Compliance

Wo die Daten liegen, und was sie nicht tun.

Geschrieben für Einkauf, IT-Sicherheit und juristische Prüfende. Keine Marketing-Verpackung, nur die Fakten, wie sie heute stehen, einschließlich der Dinge, die wir noch nicht behaupten.

Weiterleitbare URL. Falls Ihr Sicherheitsteam einen Lieferantenfragebogen oder einen gegengezeichneten AVV benötigt, siehe Kontakt unten.

Ein kleiner steinerner Bergfried mit einer einzigen warm beleuchteten Tür, im Morgengrauen auf einer stillen Wiese: Schutz durch Gestaltung statt durch Gewalt.

Auftragsverarbeiter

Wo Ihre Daten verarbeitet werden.

Die vollständige Liste der Dritten, die Subjekt- oder Befragtendaten berühren, mit Region und Übermittlungsgrundlage. Anthropic befindet sich in den Vereinigten Staaten und ist durch Standardvertragsklauseln abgedeckt; alles andere liegt in der EU.

DienstZweckRegionÜbermittlungsgrundlage
Supabase
supabase.com/security
Verwaltetes Postgres (Subjekt- und Befragtendaten, RLS-durchgesetzt), passwortlose Authentifizierung.EUInnerhalb der EU.
Anthropic
trust.anthropic.com
LLM-Inferenz für den Kriterien-Designer, die interviewende Instanz und die Synthese.Vereinigte StaatenEU → US unter Standardvertragsklauseln, unterzeichneter Anthropic-AVV. Nur die Messages API, ohne Batch, Files oder Server-Memory.
Resend
resend.com/legal/security
Transaktionale E-Mails (Magic-Link-Anmeldung, Einladungen an Befragte, Erinnerungen).EUInnerhalb der EU.
Stripe
stripe.com/privacy
Zahlungsabwicklung für die 50-$-Einmal- und 100-$/Jahr-Tarife sowie für Team-Lizenzpools.Vereinigte Staaten (globale Stripe-Infrastruktur)EU → US unter Standardvertragsklauseln. Kartendaten werden direkt von Stripe erhoben; Trueings sieht oder speichert niemals Kartendaten.
PostHog
posthog.com/handbook/company/security
Produktanalyse (nur Ereigniszählungen: cookielos, keine Sitzungsaufzeichnung, kein Autocapture, kein personenbezogenes Profil).EU (eu.i.posthog.com)Innerhalb der EU.

Hosting: Die Anwendung selbst läuft auf verwalteter serverloser Infrastruktur (Vercel). In den Anwendungsprotokollen werden keine Kunden-Feedback-Inhalte gespeichert; der maßgebliche Speicher ist Supabase.

Aufbewahrung

Was wir aufbewahren, wie lange, und was wir nicht.

Rohe Transkripte werden durch eine geplante Datenbankaufgabe 30 Tage nach der Synthese jeder Kampagne gelöscht. Die Aufgabe läuft täglich und ist prüfbar. Nach ihrem Lauf kann die Kampagne nicht erneut synthetisiert werden; nur der anonymisierte Bericht bleibt.

  • Rohe Transkripte der Befragten

    30 Tage nach Abschluss der Synthese einer Kampagne

    Täglich durch eine geplante Datenbankaufgabe gelöscht. Nach der Löschung kann die Kampagne nicht erneut synthetisiert werden; nur der anonymisierte Bericht bleibt.

  • Synthetisierter Bericht (Themen, Johari-Karte, Entwicklungsplan)

    Lebensdauer des Kontos des Subjekts

    Bezeichnerbereinigt durch die verpflichtende Vertraulichkeitsprüfung. Das Subjekt kann ihn jederzeit exportieren oder löschen.

  • Konto-, Einwilligungs- und Abrechnungsunterlagen

    Lebensdauer des Kontos + der nach EU-Steuer- / Verbraucherrecht erforderliche Zeitraum

    An das Subjekt gebunden; bei Kontolöschung vorbehaltlich gesetzlicher Aufbewahrung gelöscht.

  • Aggregierte Betriebsprotokolle (keine Befragteninhalte)

    Bis zu 90 Tage

    Wird zur Vorfallreaktion und Missbrauchserkennung verwendet. Keine Antworten der Befragten; keine Feedback-Inhalte.

Vertraulichkeit ist architektonisch

Im Code durchgesetzt, nicht per Richtlinie.

Das Produkt kann Feedback nicht an die falsche Partei durchsickern lassen, weil die falsche Partei nicht im Datenpfad ist. Das sind strukturelle Garantien, keine Zusagen.

  • Row-Level-Security auf jeder sensiblen Tabelle. Default-Deny, eng gefasste Richtlinien; die Datenbank selbst weist kontenübergreifende Lesevorgänge zurück.
  • Die Synthese sieht niemals die Identität der Befragten. Sie erhält nur Evidenztext (keine Namen, keine E-Mail-Adressen, keine Rückverknüpfung dazu, wer was gesagt hat), sodass selbst ein beliebiger Prompt nicht herausfiltern kann, was nicht in seinem Kontext ist.
  • Eine deterministische Vertraulichkeitsprüfung läuft, bevor das Subjekt etwas sieht. Sie setzt die Mindestschwelle an Befragten, die Soft-Gate-Detailreduktion und eine abschließende Bezeichnerbereinigung durch. Es ist kein LLM-Urteil.
  • Für Teams: Das Firmenportal ist von Natur aus inhaltsblind. Es legt nur die Einlösezahl und die Abschlussquote offen, niemals Identität, Inhalt oder Themen.

Authentifizierung & Zugriff

Passwortlos, eingegrenzt, geprüft.

  • Subjekte melden sich über einmalige Magic Links an eine verifizierte E-Mail an. Es werden keine Passwörter gespeichert oder akzeptiert. Die Ausgabe von Magic Links ist ratenbegrenzt und schlägt bei Aufzählungsversuchen stillschweigend fehl.
  • Befragte haben keine Konten. Jede Einladung ist ein signiertes, zielgruppenbegrenztes, einmaliges JWT, das an eine konkrete Antwort gebunden ist; der Algorithmus ist festgelegt, und Tokens werden beim Absenden ungültig gemacht.
  • Firmenadministratoren authentifizieren sich auf dieselbe Weise wie Subjekte, über einen Magic Link an eine verifizierte E-Mail, in ein separates, inhaltsblindes Portal.
  • Betreiberzugriff ist auf eine kleine Anzahl namentlich benannter Mitarbeitender über eine umgebungsgesteuerte Admin-Oberfläche beschränkt. Mitarbeitende greifen im normalen Betrieb nicht auf Feedback-Inhalte zu; Datenbankzugriffe werden protokolliert.

Verschlüsselung & Transport

Standard, durchgängig.

  • Bei der Übertragung: TLS 1.2+ für jede Verbindung: Browser ↔ Anwendung und Anwendung ↔ jeder Auftragsverarbeiter.
  • Im Ruhezustand: die Verschlüsselung wird von jedem Auftragsverarbeiter bereitgestellt (in der Tabelle oben verlinkt): Supabase-verwaltetes Postgres, Vercel-verwaltete Laufzeit, Resend, Stripe, PostHog.
  • Kartendaten: direkt von Stripe über Checkout abgewickelt. Trueings sieht oder speichert niemals Kartennummern.
  • Geheimnisse: Anwendungsgeheimnisse liegen im verschlüsselten Umgebungsspeicher der Plattform; der Service-Role-Datenbankschlüssel gelangt niemals in den Browser.

Was wir nicht behaupten

Die Dinge, von denen wir lieber möchten, dass Sie sie hier lesen, als sie gar nicht zu lesen.

Das Gegenteil einer Marketing-Sicherheitsseite. Wenn eine Kontrolle oder Zertifizierung unten nicht aufgeführt ist, gehen Sie davon aus, dass wir sie noch nicht haben. Wenn sie für Ihre Prüfung wichtig ist, sagen Sie es uns, und wir teilen mit, wie der Plan aussieht.

Kein SOC 2

Wir haben kein SOC-2-Audit abgeschlossen. Type I ist für die B2B2C-Mid-Market-Phase vorgesehen; wir veröffentlichen den Bericht, wenn er fertig ist, und nicht vorher.

Kein ISO 27001

Für die Beta nicht verfolgt. Wir prüfen es erneut, wenn die Nachfrage der Käufer es relevant macht.

Keine formelle DSFA vorliegend

Eine Datenschutz-Folgenabschätzung ist für die Erweiterung in den Gesundheitsbereich vorgesehen. Das aktuelle Produkt ist DSGVO-by-Design (Vertraulichkeit strukturell durchgesetzt, nicht per Richtlinie) und ist als solches im Datenschutzhinweis und im AVV dokumentiert.

Noch kein Anti-Bot-CAPTCHA im Anmeldeformular

Die Magic-Link-Anmeldung ist ratenbegrenzt und schlägt bei Aufzählungsversuchen stillschweigend fehl; ein CAPTCHA steht auf der Roadmap.

Anthropic Zero-Data-Retention: angefragt, Verifizierung ausstehend

Unsere Anthropic-Organisation ist auf dem Commercial-Tier, und wir haben ZDR angefragt. Der Datenschutzhinweis und der AVV werden aktualisiert und bestehende Subjekte erneut um Einwilligung gebeten, sobald die ZDR-Abdeckung bestätigt ist.

Unabhängige Sicherheitsprüfung

Vor dem Start am Quellcode geprüft.

Die Codebasis wurde am 19.05.2026 einer Sicherheitsprüfung auf Quellcodeebene unterzogen. Es wurden keine kritischen Befunde festgestellt. Alle in der Prüfung aufgeworfenen Punkte mit hohem und mittlerem Schweregrad wurden behoben, mit einer Ausnahme, die als überwachbares Restrisiko dokumentiert und akzeptiert statt verhindert wurde (ein Sockpuppet-Sonderfall gegen das Anonymitätsminimum).

Die Prüfung konzentrierte sich auf die Authentifizierung, die Interview-Engine, die Vertraulichkeitsprüfung, die Abrechnung und missbrauchsanfällige Oberflächen. Wir können den Umfang und die Behebungszusammenfassung auf Anfrage als Teil eines Lieferantenfragebogens weitergeben.

Meldung von Datenschutzverletzungen

72 Stunden, schriftlich, mit dem, was wir wissen und tun.

Wenn uns eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Subjekt- oder Befragtendaten betrifft, benachrichtigen wir den jeweiligen Verantwortlichen unverzüglich und innerhalb von 72 Stunden, sofern die Verletzung voraussichtlich ein Risiko für die betroffenen Personen darstellt, im Einklang mit Artikel 33 der DSGVO. Die verfahrenstechnischen Zusagen stehen im Auftragsverarbeitungsvertrag.

Rechtsdokumente

Der Vertrag und die Offenlegungen, an einem Ort.

Datenschutzhinweis

Was wir verarbeiten, warum, wie lange und Ihre Rechte, für Subjekte und Befragte.

Nutzungsbedingungen

Der Vertrag für Subjekte, die Trueings direkt nutzen.

Master Subscription Agreement

Der Vertrag für Firmen, die einen Lizenzpool für ihre Mitarbeitenden kaufen.

Auftragsverarbeitungsvertrag

Rollen, Auftragsverarbeiter, Aufbewahrung, Übermittlungen, Sicherheitsmaßnahmen, Meldung von Verletzungen.

Kontakt

Für Ihr Sicherheitsteam.

Für einen Lieferantenfragebogen, einen gegengezeichneten AVV, ein Abonnement zur Benachrichtigung über Änderungen bei Auftragsverarbeitern oder jede Frage, die diese Seite offenlässt, schreiben Sie an teams@trueings.com. Wir antworten innerhalb von zwei Werktagen.

Für Betroffenenanfragen (Auskunft, Löschung, Übertragbarkeit) nutzen Subjekte die produktinternen Datenschutzkontrollen; Befragte und Dritte können an privacy@trueings.com schreiben.