Menschen vertrauen Ihnen sensible Informationen an, etwa Mitarbeiterfeedback, Kundenanliegen oder Gesundheitsdaten. Der Schutz dieser Daten ist, über die gesetzliche Notwendigkeit hinaus, ein Zeichen für Ihre Wertschätzung gegenüber den Umfrageteilnehmenden und fördert Aufbau und Pflege eines guten Verhältnisses. Die meisten Sicherheitsprobleme entstehen durch kleine Nachlässigkeiten wie etwa gemeinsam genutzte Zugänge oder schwache Passwörter. Deshalb ist Aufmerksamkeit im Alltag genauso entscheidend wie die Plattformsicherheit selbst.
In diesem Artikel werden zwei wichtige Aspekte behandelt: Wie SurveyMonkey Ihre Daten schützt und wie Sie Ihr Konto so konfigurieren, dass Ihre Umfragen und Antworten sicher bleiben. Erfahren Sie, wie Verschlüsselung, geprüfte Zertifizierungen und Monitoring im Hintergrund für Sicherheit sorgen. Anschließend erhalten Sie eine Checkliste mit 10 Tipps, um Ihr Konto und die erfassten Daten optimal zu schützen, beispielsweise durch SSO/2FA, minimale Zugriffsrechte, intelligente Speicheroptionen und Bot-Schutz.
So schützt SurveyMonkey Ihre Daten
Die personenbezogenen Daten der Teilnehmenden sowie die von Ihnen erhobenen Antworten gehören Ihnen. Unsere Aufgabe ist es, dies sicherzustellen und Ihnen gleichzeitig die Dienste bereitzustellen, mit denen Sie Ihre Antworten erfassen und analysieren können. Und so funktioniert das:
- Zertifizierungen und Compliance. Wir sind nach ISO/IEC 27001 zertifiziert, das heißt, unser Informationssicherheits-Managementsystem wird regelmäßig durch Unabhängige nach internationalen Standards geprüft. Für berechtigte Enterprise-Tarife bieten wir Konfigurationen gemäß dem US-amerikanischen Gesetz Health Insurance Portability and Accountability Act, besser bekannt unter HIPAA, an. Außerdem erfüllen wir die PCI DSS-Anforderungen (Payment Card Industry Data Security Standard) für Produkte, bei denen Zahlungen durchgeführt werden. Durch anerkannte Rahmenwerke kann Ihr Sicherheitsteam unsere Maßnahmen einfach mit Ihren eigenen Richtlinien abgleichen. Weitere Informationen finden Sie in unserer Übersicht zu Sicherheitsfunktionen und im Trust Center.
- Verschlüsselung während der Übertragung und Speicherung. Wir setzen TLS (Transport Layer Security) ein, um Daten bei der Übertragung zwischen Ihrem Browser und unseren Servern vor Abhörversuchen zu schützen. Zum Schutz gespeicherter Daten verwenden wir AES-256 (Advanced Encryption Standard), sodass gespeicherte Antworten verschlüsselt abgelegt werden. Diese Kombination sichert den gesamten Lebenszyklus der Daten ab. Details finden Sie im Abschnitt über die Verschlüsselung in den Sicherheitsrichtlinien von SurveyMonkey.
- Zugriff und Authentifizierung. Der interne Zugriff ist streng geregelt. Wir setzen das Least-Privilege-Prinzip ein, sodass Mitarbeitende nur die Zugriffsrechte erhalten, die sie wirklich benötigen. Administratoren müssen eine Multi-Faktor-Authentifizierung (MFA) verwenden. Zugriff wird regelmäßig überprüft und bei Rollenänderungen sofort entzogen. Diese Maßnahmen reduzieren interne Risiken und machen alle Zugriffe nachvollziehbar.
- Schwachstellenmanagement und Tests. Unsere Systeme werden fortlaufend auf Schwachstellen überprüft, regelmäßig internen und externen Penetrationstests unterzogen und zeitnah durch Sicherheitsupdates auf den neuesten Stand gebracht. Dieser proaktive Ansatz hilft uns, Probleme zu erkennen und zu beheben, bevor sie Auswirkungen auf Sie haben.
- Protokollierung, Monitoring und Reaktionen bei Sicherheitsvorfällen. Zentrale Protokollierung und Warnmeldungen unterstützen unsere Teams dabei, verdächtige Aktivitäten frühzeitig zu erkennen. Für den Ernstfall verfügen wir über einen erprobten Notfallplan, der die Untersuchung des Vorfalls, die Eindämmung von Angriffen und falls erforderlich, die Benachrichtigung von Kunden und Kundinnen regelt. Durch diese Sicherheitsmaßnahmen können wir schnell und transparent handeln.
- Business Continuity und Ausfallsicherheit. Verschlüsselte Backups und ein dokumentierter Notfallplan sorgen dafür, dass Dienste und Daten auch im Ernstfall verfügbar und wiederherstellbar sind.
Fragen und Antworten kompakt: Ist SurveyMonkey sicher?
Ist meine Datenübertragung komplett verschlüsselt?
Ihre Daten werden beim Versand mit TLS und bei der Speicherung mit AES-256 verschlüsselt. Echte „Ende-zu-Ende“-Verschlüsselung (bei der nur Sender und Empfänger die Schlüssel haben) würde jedoch Funktionen wie Zusammenarbeit, Analysen und Erinnerungen unmöglich machen. Dank unseres Ansatzes werden Ihre Umfragedaten umfassend geschützt, während gleichzeitig die wichtigen Team-Funktionen beibehalten werden.
Wo werden meine Daten gespeichert und wer hat Zugriff?
Ihre Daten werden in sicheren, überwachten Umgebungen in unseren US- oder EU-Rechenzentren auf AWS gespeichert. Der Zugriff auf die Daten ist durch das Least-Privilege-Prinzip stark eingeschränkt. MFA ist für den administrativen Zugang verpflichtend und Zugriffsrechte werden bei Rollenänderungen sofort entzogen. So wird genau festgelegt, wer auf was und wie lange zugreifen kann.
Wie testen Sie auf Schwachstellen?
Wir führen kontinuierliche Scans, regelmäßige externe und interne Penetrationstests sowie Risikobewertungen zur Priorisierung von Sicherheitsupdates durch.
10 Möglichkeiten, wie Sie Ihre Umfragedaten besser schützen
- Nutzen Sie SSO und 2FA für alle Admins. Aktivieren Sie Single Sign-on (SSO) und vermeiden Sie gemeinsam genutzte Passwörter. Durch diese Maßnahmen werden bereits die meisten Angriffsversuche abgewehrt. Verwenden Sie nach Möglichkeit Zwei-Faktor-Authentifizierung (2FA) über Ihren Identitätsanbieter, um Phishing zu verhindern. Nutzen Sie unsere Kontrolloptionen für Teamrollen und Berechtigungen, um damit Zugriffsrechte streng nach dem Least-Privilege-Prinzip zu vergeben. Auf diese Weise schließen Sie die Sicherheitslücke, die durch ausgeschiedene Mitarbeitende entsteht, denn sobald jemand das Unternehmen verlässt, erlischt der Zugang automatisch.
- Keine gemeinsam genutzten Logins mehr. Geteilte Zugangsdaten erschweren Nachvollziehbarkeit und Offboarding. Erstellen Sie stattdessen ein Teamkonto und vergeben Sie rollenbasierte Zugriffsrechte für alle Nutzenden. Verlässt jemand das Team, können Sie über die Kontenübertragung Umfragen und Ergebnisse behalten, ohne alte Zugangsdaten weiterzuführen.
- Legen Sie eine Aufbewahrungsrichtlinie für Daten fest. Bestimmen Sie, wie lange personenbezogene Daten (PII) gespeichert und wann Antworten anonymisiert werden. Planen Sie regelmäßige Datenbereinigungen, damit Ihre Datenbank nur das enthält, was Sie tatsächlich benötigen. Weniger gespeicherte Daten bedeuten weniger Schutzaufwand.
- Beschränken Sie die Datenerfassung auf das Notwendige. Fragen Sie nur nach Informationen, die Sie wirklich benötigen. Verzichten Sie auf sensible Daten, sofern sie nicht zwingend für Ihre Studie erforderlich sind. Das entspricht den Empfehlungen von Ethikkommissionen (IRB) und Best Practices der Wissenschaft für verantwortungsvolle Forschung. Mehr Infos finden Sie in unserem Leitfaden zum Anonymisieren von Beantwortungen, in unserer Richtlinie zu Datenschutz und Datenerfassung sowie in den Hinweisen zur Datensparsamkeit der East Tennessee State University.
- Wählen Sie sichere Collector-Einstellungen. Nutzen Sie nach Möglichkeit nur Collectors, die Daten ausschließlich über Einladungen erfassen. Beschränken Sie die Mehrfachbeantwortung und legen Sie eine Drosselungsrichtlinie fest, um Spam zu reduzieren. Unter anderem wird dies häufig von Universitäten empfohlen, um Datenmissbrauch zu verhindern, besonders, wenn die Identität der Teilnehmenden wichtig ist. Weitere Hinweise finden Sie zum Beispiel in den Empfehlungen der University of Maine und der Ball State University.
- Schützen Sie Ihr System vor Bots und Betrug. Aktivieren Sie, wenn möglich, CAPTCHA oder andere Anti-Bot-Funktionen. Achten Sie auf ungewöhnliche Muster wie identische Zeitstempel, sinnlose Antworten oder doppelte IP-Adressen und prüfen Sie offene Antworten besonders sorgfältig. Lesen Sie hier, wie Sie Umfrage-Bots austricksen.
- Beschränken Sie den Datenexport. Begrenzen Sie, wer Rohdaten herunterladen darf. Vermeiden Sie den Versand von CSV Dateien per E-Mail, sondern geben Sie die Ergebnisse direkt in der Plattform und mit Kommentarfunktion frei.
- Verwenden Sie starke, einzigartige Passwörter und einen Passwortmanager. Falls SSO nicht möglich ist, sollten Admins individuelle Passphrasen sowie einen vertrauenswürdigen Passwortmanager nutzen. Ändern Sie die Zugangsdaten, wenn sich Rollen ändern oder neue Risiken auftauchen.
- Überprüfen Sie die mit Ihrem Konto verknüpften E-Mail-Adressen. Kontrollieren Sie Ihre Admin- und Wiederherstellungsadressen und halten Sie die Angaben zu den Sicherheitskontakten aktuell. So vermeiden Sie unerlaubtes Zurücksetzen von Passwörtern, verpasste Warnmeldungen oder Zugriffe durch nicht verifizierte Nutzende.
- Schulen Sie Ihr Team und die Befragten. Phishing bleibt ein großes Risiko. Sensibilisieren Sie Ihr Team dafür, keine gefälschten „Formular“-Links zu öffnen. Legen Sie per Richtlinie fest, dass niemals Anmeldedaten oder Zahlungen über Umfragen abgefragt werden. WIRED erklärt, wie man Umfrage-Betrug erkennt, und wir geben Tipps zum Schutz vor Betrugsversuchen.
Was SurveyMonkey beim Thema Sicherheit auszeichnet
Viele Plattformen betonen Verschlüsselung, Compliance und Zugriffskontrollen. Wir legen den Fokus auf das, was wirklich zählt: Wie Sie und Ihr Team Sicherheit im Alltag praktisch umsetzen und den Datenschutz bei Umfragen aktiv leben.
SurveyMonkey verbindet unternehmensweite Sicherheitsstandards mit praxisnahen Anleitungen, damit Teams von Anfang an sicher agieren können. Neben Verschlüsselung bei Übertragung und Speicherung, rollenbasiertem Zugriff und Zertifizierungen wie SOC 2 Typ II und ISO 27001 bieten wir konkrete Alltagstipps, mit denen Sie bei Umfragen größtmöglichen Datenschutz erzielen.
Unser Ansatz verbindet die Richtlinien mit der Praxis:
- Klare Anleitungen für Admins zur Einrichtung von SSO, MFA und dem Least-Privilege-Prinzip
- Integrierte Erinnerungen zu Zugriffsrechten und Datenexport
- Einstellungen für Bot-Schutz und Datenaufbewahrung, die ein sicheres Management Ihrer Umfragen unterstützen
Während andere nur auflisten, was sie bieten, zeigen wir Ihnen, wie Sie es nutzen. Das ist der Unterschied zwischen theoretischer und gelebter Sicherheit.
Für Organisationen mit höheren Compliance-Anforderungen bieten wir außerdem HIPAA-fähige Tarife an sowie solche mit erweitertem Schutz sensibler Daten.
Ressourcen zu Sicherheit und Compliance
- Trust Center: zentrale Anlaufstelle für Richtlinien, häufig gestellte Fragen und Kontaktmöglichkeiten
- Sicherheitsfeatures: Übersicht zu Produktsicherheit und Administratorrechten
- Zwei-Faktor-Authentifizierung: Wie Sie 2FA für Ihr Konto aktivieren.
- Betrugserkennung: Wie Sie Phishing und Betrug erkennen und melden.
- Datenschutz-Grundlagen: Unser Umgang mit personenbezogenen Daten und Ihre Optionen
- Datenschutz für Befragte: Weiterleitbare Hinweise für Einladungstexte
Nachhaltiges Vertrauen durch gelebte Sicherheit
SurveyMonkey übernimmt für Sie die aufwendigen Aufgaben bei der Sicherheit, wie Zertifizierungen, Verschlüsselung, Monitoring und erprobte Notfallpläne. So bleiben Ihre Daten privat und überprüfbar. Ihre persönlichen Einstellungen und Verhaltensweisen sorgen dann dafür, dass dieser Schutz vollständig greift.
Starten Sie jetzt direkt mit der Überprüfung Ihrer Sicherheitskonfiguration anhand der obigen 10-Schritte-Checkliste. Weitere Details finden Sie in unseren Sicherheitsrichtlinien. Wenn Sie ein größeres Team betreuen, sprechen Sie uns an. Wir beraten Sie gerne, welche Enterprise-Sicherheitsoptionen zu Ihren Anforderungen passen. Werfen Sie dann einen Blick auf unsere Team- und Rollenverwaltung oder besuchen Sie unser Trust Center, um zu erfahren, wie wir den Datenschutz bei Ihren Umfragen von Anfang bis Ende sicherstellen.
