Ist Quick Event DSGVO-konform?

**Ja, Quick Event ist zu 100 % DSGVO-konform** seit dem ersten Tag: • **Privacy by Design:** Datenschutz ist in die Architektur integriert • **EU-Datenverarbeitung:** Alle Daten bleiben ausschließlich in deutschen/EU-Rechenzentren. • **Auftragsverarbeitungsverträge:** Klare Auftragsverarbeitungsverträge verfügbar • **Betroffenenrechte:** Volle Umsetzung aller DSGVO-Rechte • **Automatische Löschung:** Konfigurierbare Aufbewahrungsfristen **Zertifizierte Konformität** mit kontinuierlichen Sicherheitsaudits.

Wo werden meine Daten gespeichert?

**100 % EU-Datenverarbeitung garantiert:** **Primärer Standort:** Frankfurt am Main, Deutschland (NEON Database) **Sekundäre Standorte:** Amsterdam, Paris, München, Madrid **CDN/Edge:** Cloudflares europäische Edge-Server **Keine Datenübertragung** außerhalb der EU. Deine Daten verlassen niemals den europäischen Rechtsraum. **Konformität:** Mit deutschem und EU-weitem Datenschutzrecht.

Wie sicher ist die Datenübertragung?

**Enterprise-Verschlüsselung auf allen Ebenen:** • **TLS 1.3:** Neueste Verschlüsselungsstandard für alle Verbindungen • **End-to-End-Verschlüsselung:** Verschlüsselung aller API-Aufrufe und Datentransfers • **AES-256:** Verschlüsselung ruhender Daten in der Datenbank • **Automatisches SSL:** Zertifikate für alle benutzerdefinierten Domains **Cloudflare Enterprise-Infrastruktur** mit DDoS-Schutz und WAF (Web Application Firewall).

Welche Sicherheitszertifizierungen besitzt Quick Event?

**Enterprise-Sicherheit durch zertifizierte Partner:** **Cloudflare Enterprise:** • SOC 2 Typ II zertifiziert • ISO 27001 zertifiziert • PCI DSS Level 1 konform **Infrastruktur-Zertifizierungen:** • NEON Database: ISO 27001, SOC 2 • SendGrid: SOC 2, DSGVO-konform • Stripe: PCI DSS Level 1 **99,99 % Uptime SLA** mit Enterprise-Support verfügbar.

Wie funktioniert die Zugriffskontrolle?

**Granulares Berechtigungsmanagement:** **Rollenbasiert:** • Benutzerrolle: Zugriff nur auf eigene Events • Admin-Rolle: Voller Zugriff auf die Organisation • Benutzerdefinierte Rollen: Individuelle Berechtigungssätze **Sicherheitsfunktionen:** • **2FA erforderlich** für Admin-Konten • **Session-Management** mit automatischem Timeout • **OAuth-Integration** (Google, Microsoft, GitHub) • **Audit-Logs** für alle Berechtigungsänderungen **Das Prinzip der geringsten Rechte** ist durchgängig implementiert.

Was passiert im Falle eines Sicherheitsvorfalls?

**Professioneller Incident-Response-Plan:** **Sofortmaßnahmen:** • Automatische Bedrohungserkennung durch Cloudflare AI • Echtzeit-Benachrichtigungen an das Sicherheitsteam • Sofortige Isolation betroffener Systeme **Kommunikation:** • **Innerhalb von 24 Stunden:** Information betroffener Kunden • **Innerhalb von 72 Stunden:** Meldung von Datenpannen an die Behörden • Volle Transparenz bezüglich des Vorfalls und der ergriffenen Maßnahmen **Prävention:** Kontinuierliches Sicherheitsmonitoring und Updates.

Wie werden meine Daten gelöscht?

**Automatisierte Datenlöschung gemäß DSGVO:** **Konfigurierbare Fristen:** • Eventdaten: Standard 2 Jahre, anpassbar • Teilnehmerdaten: Pro Event oder individuell • Audit-Logs: 7 Jahre für Compliance **Löschverfahren:** • **Automatische Löschung** nach Ablauf der Fristen • **Manuelle Löschung** jederzeit auf Anfrage möglich • **Sichere Löschung** aus allen Systemen und Backups **Das Recht auf Vergessenwerden** ist vollständig umgesetzt.

Sicherheit & Datenschutz

Wenn du Eventdaten verwaltest – Teilnehmerlisten, Kontaktinformationen, Zahlungsdetails – ist Sicherheit keine Option, sondern eine Notwendigkeit. Quick Event wurde von Grund auf mit Blick auf Datenschutz und Enterprise-Sicherheit konzipiert: volle DSGVO-Konformität, ausschließlich EU-Datenverarbeitung und End-to-End-Verschlüsselung auf allen Ebenen.

Quick Event ist vom ersten Tag an DSGVO-konform – nicht nachträglich angepasst, sondern nach dem Prinzip Privacy by Design entwickelt. Datenschutz ist in die Architektur integriert, nicht als Feature hinzugefügt.

Konkret bedeutet das: Wir stellen einen vollständigen Auftragsverarbeitungsvertrag (AVV) zur Verfügung, der alle Anforderungen des Artikel 28 DSGVO erfüllt. Der AVV definiert klar, welche Daten zu welchem Zweck und mit welchen technischen und organisatorischen Maßnahmen geschützt werden.

Alle Betroffenenrechte sind vollständig umgesetzt: Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Datenübertragbarkeit und Widerspruchsrecht. Teilnehmer können ihre Daten jederzeit einsehen, korrigieren oder löschen – direkt über die Plattform oder auf Anfrage beim Veranstalter.

Des Weiteren bietet Quick Event konfigurierbare Aufbewahrungsfristen mit automatischer Löschung. Nach Ablauf der definierten Frist werden personenbezogene Daten automatisch und vollständig aus allen Systemen entfernt – ohne manuelles Eingreifen.

EU-Datenverarbeitung

Alle Daten werden ausschließlich innerhalb der Europäischen Union verarbeitet und gespeichert. Es findet keine Übertragung von Daten in Drittländer statt – weder für die Datenbank, noch für Edge Computing oder Backups.

Der primäre Standort ist Frankfurt am Main, Deutschland. Hier läuft die NEON-Datenbank, die alle Event-, Teilnehmer- und Organisationsdaten speichert. Sekundäre Standorte in Amsterdam und Paris dienen als Backups und für Edge-Caching über das Cloudflare-Netzwerk. Weitere europäische Standorte, wie München und Madrid, werden für die Content-Auslieferung genutzt.

Die gesamte Infrastruktur unterliegt dem deutschen und EU-Datenschutzrecht. Für alle Datenverarbeitungsvorgänge gilt die deutsche Gerichtsbarkeit. Für Event-Organisatoren bedeutet das maximale Rechtssicherheit ohne komplizierte Drittland-Transferbewertungen.

Verschlüsselung

Quick Event setzt auf eine mehrschichtige Verschlüsselung, die sowohl Daten während der Übertragung als auch gespeicherte Daten schützt.

Verschlüsselung während der Übertragung

Alle Verbindungen nutzen TLS 1.3, den neuesten Verschlüsselungsstandard. Das gilt für die Kommunikation zwischen Browser und Server, zwischen internen Diensten und für alle API-Aufrufe. Ältere, unsichere TLS-Versionen werden nicht unterstützt.

Verschlüsselung ruhender Daten

Alle in der Datenbank gespeicherten Daten werden mit AES-256 verschlüsselt – dem gleichen Standard, der von Banken und Regierungsbehörden verwendet wird. Dazu gehören Teilnehmerdaten, Buchungsinformationen, E-Mail-Inhalte und Dateien, die auf Cloudflare R2 hochgeladen werden.

Automatische SSL-Zertifikate

Wenn du eine eigene Domain für deine Eventseiten nutzt, stellt Quick Event automatisch ein SSL-Zertifikat bereit – ohne manuelles Eingreifen, ohne zusätzliche Kosten. Die Zertifikate werden automatisch erneuert, sodass deine Teilnehmer stets eine verschlüsselte Verbindung haben.

Zugriffskontrolle

Das Berechtigungssystem von Quick Event folgt dem Prinzip der geringsten Rechte: Jeder Nutzer erhält nur die Rechte, die er für seine Aufgabe benötigt. Nicht mehr, nicht weniger.

Rollenbasiertes Berechtigungssystem

Quick Event bietet drei Berechtigungsstufen. Die Benutzerrolle beschränkt den Zugriff auf die eigenen Events – ideal für Projektteammitglieder, die nur ihre eigenen Events verwalten. Die Admin-Rolle gewährt vollen Zugriff auf alle Events und Einstellungen der Organisation, inklusive Teammanagement und Abrechnung. Zusätzlich können benutzerdefinierte Rollen mit individuellen Berechtigungssätzen erstellt werden, um genau das benötigte Maß an Zugriff zu ermöglichen.

Authentifizierung und Session-Management

Für Administratorkonten steht die Zwei-Faktor-Authentifizierung (2FA) zur Verfügung, um unbefugten Zugriff auch bei kompromittierten Passwörtern zu verhindern. Sessions werden nach einer konfigurierbaren Inaktivitätszeit automatisch beendet. Alternativ können sich Nutzer über OAuth mit ihrem bestehenden Google-, Microsoft- oder GitHub-Konto anmelden – ohne ein zusätzliches Passwort verwalten zu müssen.

Alle Berechtigungsänderungen werden in Audit-Logs protokolliert, sodass nachvollziehbar bleibt, wer wann welche Zugriffsrechte erhalten oder verloren hat.

Partner-Zertifizierungen

Quick Event setzt auf bewährte Infrastrukturpartner, die selbst höchsten Sicherheitsstandards genügen. Jede Komponente der Plattform wird von einem Anbieter betrieben, der unabhängig auditiert und zertifiziert ist.

Cloudflare

Als Plattform für Edge Computing, DDoS-Schutz und Content Delivery ist Cloudflare nach SOC 2 Typ II, ISO 27001 und PCI DSS Level 1 zertifiziert. Die Web Application Firewall (WAF) schützt vor den OWASP Top 10 Bedrohungen, und das globale Netzwerk bietet 99,99 % Verfügbarkeit.

NEON Database

Die PostgreSQL-Datenbank läuft bei NEON, zertifiziert nach ISO 27001 und SOC 2. Der EU-Standort in Frankfurt garantiert, dass Datenbankabfragen und Speicherung vollständig unter EU-Recht erfolgen.

Stripe

Für die Zahlungsabwicklung nutzt Quick Event Stripe – zertifiziert nach PCI DSS Level 1, dem höchsten Sicherheitsstandard der Kreditkartenbranche. Kreditkartendaten werden niemals auf Quick Event Servern gespeichert, sondern ausschließlich von Stripe verarbeitet.

SendGrid

E-Mails werden über SendGrid versendet, das SOC 2 zertifiziert und vollständig DSGVO-konform ist. Alle E-Mail-Server befinden sich in der EU, und Transportverschlüsselung via TLS ist Standard für jede ausgehende Nachricht.

Incident Response

Sollte es trotz aller Schutzmaßnahmen zu einem Sicherheitsvorfall kommen, wird ein definierter Incident-Response-Plan mit klaren Verantwortlichkeiten und Fristen aktiviert.

Die automatisierte Bedrohungserkennung von Cloudflare AI identifiziert Anomalien in Echtzeit. Bei einem bestätigten Vorfall wird das betroffene System sofort isoliert, um eine weitere Ausbreitung zu verhindern. Gleichzeitig werden Echtzeit-Benachrichtigungen an das Sicherheitsteam gesendet.

Die Kommunikation folgt festen Zeitrahmen: Betroffene Kunden werden innerhalb von 24 Stunden informiert. Im Falle einer Datenpanne im Sinne der DSGVO erfolgt die Meldung an die Behörden innerhalb von 72 Stunden, wie gesetzlich vorgeschrieben. Transparenz hat oberste Priorität – Betroffene erhalten vollständige Informationen über den Vorfall, die ergriffenen Maßnahmen und die Schritte zur Verhinderung zukünftiger Vorfälle.

Datenlöschung und Aufbewahrungsfristen

Quick Event gibt Event-Organisatoren die volle Kontrolle darüber, wie lange personenbezogene Daten gespeichert werden. Aufbewahrungsfristen sind pro Event konfigurierbar und werden automatisch durchgesetzt.

Standardmäßig werden Eventdaten zwei Jahre nach dem Event aufbewahrt – dieser Zeitraum kann bei Bedarf verkürzt oder verlängert werden. Teilnehmerdaten können entweder nach dem Event oder nach einer benutzerdefinierten Frist gelöscht werden. Audit-Logs werden sieben Jahre lang aufbewahrt, um rechtlichen Anforderungen zu genügen.

Die Löschung erfolgt automatisch nach Ablauf der Aufbewahrungsfrist – ohne manuelles Eingreifen. Eine manuelle Löschung ist jederzeit auf Anfrage möglich, zum Beispiel wenn ein Teilnehmer sein Recht auf Vergessenwerden geltend macht. In diesem Fall werden die Daten vollständig und unwiderruflich aus allen Systemen und Backups entfernt.