Auftragsverarbeitungsvertrag (AVV)

Dieser AVV ist fester Bestandteil des Hauptvertrags (Master Services Agreement – „MSA“) oder des jeweiligen Auftragsformulars zwischen den Parteien.

1. Geltungsbereich und Definitionen

1.1 Dieser AVV regelt die Verarbeitung personenbezogener Daten durch Mapp („Auftragsverarbeiter“) im Auftrag des Kunden („Verantwortlicher“) im Rahmen der vereinbarten Dienstleistungen.

1.2 Rangfolge

• Zwingende gesetzliche Datenschutzbestimmungen haben stets Vorrang.
• Individuelle Sonderregelungen im Auftragsformular gehen diesem AVV vor, sofern sie widersprüchlich sind.
• In allen anderen Datenschutzfragen hat dieser AVV Vorrang vor dem Hauptvertrag (MSA).

1.3 Definitionen

• Datenschutzgesetze: Alle anwendbaren Gesetze zum Schutz personenbezogener Daten (insbesondere EU-DSGVO, britisches Recht und relevante US-Gesetze).
• Betroffene Person: Eine identifizierbare Person, deren Daten verarbeitet werden.
• Datenschutzverletzung: Ein Sicherheitsvorfall, der zur Vernichtung, zum Verlust, zur Änderung oder zur unbefugten Offenlegung von Daten führt.
• Dienste: Die von Mapp erbrachten Leistungen laut MSA, Auftragsformular und Anhang 1.
• Verbundenes Unternehmen: Jede Gesellschaft oder sonstige Einheit, die eine Partei unmittelbar oder mittelbar kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht.
• Nicht definierte großgeschriebene Begriffe haben die Bedeutung, die ihnen im MSA oder nach den anwendbaren Datenschutzgesetzen zugewiesen ist.

2. Rollen und Weisungen

2.1 Der Kunde handelt als Verantwortlicher, Mapp als Auftragsverarbeiter.

2.2 Beide Parteien verpflichten sich, die für ihre jeweilige Rolle geltenden Datenschutzgesetze einzuhalten.

2.3 Mapp verarbeitet Daten ausschließlich zur Erbringung der Dienste und gemäß den dokumentierten Weisungen des Kunden. Dazu zählen:

• Der Hauptvertrag (MSA) und das Auftragsformular;
• dieser AVV inklusive seiner Anhänge;
• Konfigurationen und Einstellungen, die der Kunde innerhalb der Dienste vornimmt;
• schriftliche Anweisungen über vereinbarte Support- oder Account-Management-Kanäle.

2.4 Hält Mapp eine Weisung für rechtswidrig, wird der Kunde unverzüglich informiert. Mapp ist berechtigt, die Ausführung dieser Weisung bis zur Klärung auszusetzen.

2.5 Mapp verkauft oder teilt personenbezogene Daten nicht im Sinne der geltenden US-Datenschutzgesetze.

3. Unterauftragsverarbeitung und internationale Datenübermittlungen

3.1 Mapp stellt sicher, dass alle Unterauftragsverarbeiter durch schriftliche Verträge gebunden sind, die mindestens das Schutzniveau dieses AVV wahren. Die Verantwortung für deren Compliance verbleibt bei Mapp. Der Kunde genehmigt hiermit:

• Mit Mapp Verbundene Unternehmen mit Sitz im EWR oder UK;
• Unterauftragsverarbeiter, die für die Erbringung der bestellten Dienste notwendig sind (gemäß Auftragsformular).

3.2 Mapp informiert den Kunden mindestens dreißig (30) Tage vor der Einbindung eines neuen Unterauftragsverarbeiters. Sollte der Kunde begründete datenschutzrechtliche Bedenken äußern, suchen beide Parteien gemeinsam nach einer einvernehmlichen Lösung. Kann keine Einigung erzielt werden, ist der Kunde berechtigt, ausschließlich die davon betroffenen Dienste zu kündigen.

3.3 Eine Verarbeitung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) oder des Vereinigten Königreichs (UK) erfolgt nur, wenn dies nach diesem AVV zulässig ist oder der Kunde einen Vertrag mit einer Mapp-Einheit außerhalb dieser Regionen abgeschlossen hat.

3.4 Erfolgt die Verarbeitung in Ländern ohne angemessenes Datenschutzniveau, implementiert Mapp die gesetzlich geforderten Schutzmaßnahmen. Die Parteien arbeiten bei Bedarf zusammen, um Risiken internationaler Transfers zu bewerten und zusätzliche Schutzvorkehrungen zu treffen.

3.5 Mapp führt eine aktuelle Liste aller Unterauftragsverarbeiter auf ihrer Website (siehe auch Anhang 2).

4. Sicherheitsmaßnahmen

4.1 Mapp setzt angemessene technische und organisatorische Maßnahmen ein, um ein dem Risiko entsprechendes Schutzniveau zu gewährleisten. Diese orientieren sich, wo anwendbar, an den ISO-27001-Standards und schützen Daten vor Verlust, Zerstörung oder unbefugter Verarbeitung. Details sind in Anhang 3 beschrieben.

4.2 Die Sicherheitsmaßnahmen werden regelmäßig überprüft und bei Bedarf aktualisiert, sofern das vereinbarte Gesamtschutzniveau dadurch nicht wesentlich verringert wird.

4.3 Mapp stellt sicher, dass alle zur Verarbeitung der personenbezogenen Daten berechtigten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5. Prüfung und Audits

5.1 Mapp stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Compliance zur Verfügung, einschließlich relevanter Zertifizierungen oder Sicherheitsdokumentationen.

5.2 Sollten diese Informationen nicht ausreichen, darf der Kunde einmal pro Jahr ein Audit durchführen. Dies muss mit einer Frist von mindestens zwanzig (20) Werktagen angekündigt werden. Audits müssen:

• sich auf die relevanten Dienste beschränken;
• den Geschäftsbetrieb nicht unverhältnismäßig stören;
• strenger Vertraulichkeit unterliegen.

5.3 Der Kunde trägt die Kosten des Audits, es sei denn, die Prüfung erfolgt auf Anordnung einer Behörde, nach einer bestätigten Datenpannen oder aufgrund nachgewiesener wesentlicher Vertragsverletzungen durch Mapp.

5.4 Beauftragte externe Prüfer müssen unabhängig und zur Verschwiegenheit verpflichtet sein und dürfen nicht im Wettbewerb zu Mapp stehen.

6. Meldung von Datenschutzverletzungen

6.1 Mapp informiert den Kunden unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bestätigung einer Datenschutzverletzung.

6.2 Die Meldung enthält Details zur Art des Vorfalls, den möglichen Auswirkungen und den eingeleiteten Gegenmaßnahmen. Weitere Informationen werden nachgereicht, sobald sie verfügbar sind.

6.3 Vorfälle, die ausschließlich durch Handlungen oder Versäumnisse des Kunden verursacht wurden, sind von diesen Verpflichtungen ausgenommen, sofern kein Verstoß von Mapp gegen Maßnahmen in Anhang 3 vorliegt.

7. Rechte der Betroffenen

7.1 Erhält Mapp eine Anfrage einer betroffenen Person, wird diese ohne Verzug an den Kunden weitergeleitet. Mapp antwortet der Person nur nach ausdrücklicher Anweisung des Kunden.

7.2 Der Kunde nutzt vorrangig die Funktionen der Dienste, um Anfragen von Betroffenen selbst zu bearbeiten.

7.3 Falls eine Bearbeitung per Self-Service nicht möglich ist, unterstützt Mapp den Kunden in angemessenem Umfang. Hierfür können, sofern gesetzlich zulässig, Gebühren anfallen.

8. Weitere Unterstützung

8.1 Mapp unterstützt den Kunden bei dessen Datenschutzpflichten (z. B. Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzungen), soweit dies die Verarbeitung unter diesem AVV betrifft.

8.2 Mapp führt ein Verzeichnis ihrer Verarbeitungstätigkeiten und stellt dem Kunden auf Anfrage relevante Informationen daraus zur Verfügung.

9. Rückgabe und Löschung von Daten

9.1 Nach Beendigung des Vertrags wird Mapp nach Wahl des Kunden alle Daten entweder löschen oder zurückgeben. Die endgültige Löschung erfolgt innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten oder abweichende Übergangsfristen im Hauptvertrag bestehen.

9.2 Zur Unterstützung einer Migration kann die Aufbewahrungsfrist auf bis zu 90 Tage verlängert werden.

9.3 Der Kunde kann während dieser Frist eine Kopie der Daten verlangen, wofür angemessene Gebühren anfallen können.

9.4 Verschlüsselte Backups werden gemäß den Standard-Löschzyklen von Mapp entfernt.

9.5 Auf Anfrage wird die Löschung schriftlich bestätigt.

9.6 Wahrgenommene Rechte zur Datenmitnahme bei Dienständerungen führen dazu, dass die Löschung erst nach Abschluss des entsprechenden Übergangszeitraums erfolgt.

10. Haftung

10.1 Die Haftung aus diesem AVV unterliegt den im Hauptvertrag (MSA) vereinbarten Haftungsbeschränkungen. Dies gilt als Gesamthaftungssumme für alle Ansprüche aus dem MSA und allen zugehörigen AVVs der verbundenen Unternehmen.

10.2 Zur Klarstellung: Die maximale Haftung von Mapp gegenüber dem Kunden und all seinen verbundenen Unternehmen für alle Ansprüche aus dem MSA und diesem AVV ist auf den im MSA definierten Gesamtbetrag begrenzt.

10.3 Macht eine betroffene Person Ansprüche gegen eine Partei geltend, unterstützen sich die Parteien gegenseitig bei der Verteidigung gegen diese Ansprüche.

11. Anwendbares Recht

11.1 Dieser AVV unterliegt dem im Hauptvertrag (MSA) vereinbarten Recht. Streitigkeiten werden vor den im MSA festgelegten Gerichten verhandelt.

Anhang 1: Details der Verarbeitung

Art und Zweck der Verarbeitung

Mapp verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Dienste und strikt nach den dokumentierten Weisungen des Kunden.

Die Verarbeitungstätigkeiten umfassen das Erheben, Speichern, Ordnen, Nutzen, Analysieren und Berichten von Daten, die für die Durchführung der Dienste erforderlich sind. Dies kann auch das Umwandeln, Aggregieren, Pseudonymisieren oder Anonymisieren von Daten beinhalten. Mapp erhebt Daten nur dann direkt von Personen, wenn dies vom Kunden explizit initiiert und konfiguriert wurde (z. B. über Formulare, APIs oder Tracking-Technologien). Der Kunde legt die Zwecke und wesentlichen Mittel der Verarbeitung fest und trägt die alleinige Verantwortung für die rechtmäßige Erhebung und Nutzung der Daten gemäß den geltenden Datenschutzgesetzen.

Arten der verarbeiteten Daten

Mapp verarbeitet personenbezogene Daten im Auftrag des Kunden. Die genauen Datenarten hängen von der jeweiligen Nutzung der Dienste sowie der Plattformkonfiguration durch den Kunden ab. Die Daten umfassen typischerweise Folgendes:

Persönliche Kontaktdaten

• Vollständiger Name
• E-Mail-Adresse
• Telefonnummer
• Postanschrift

Demografische Daten

• Alter oder Geburtsdatum
• Geschlecht
• Sprachpräferenzen
• Anrede oder Titel

Marketing-Interaktionsdaten

• Einwilligungsstatus (Opt-in/Opt-out)
• Interaktionsdaten (Öffnungen, Klicks, Conversions)
• Bounces

Technische Identifikatoren

• IP-Adressen
• Cookie-IDs
• Geräte- und Browserinformationen
• Referrer-URLs
• Zeitstempel

Kommerzielle & eigene Daten

• Produktinteressen
• Transaktionsdaten
• vom Kunden definierte Zusatzfelder

Hinweis: Die Dienste sind nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten (gemäß Artikel 9 DSGVO) oder von Daten über Kinder ausgelegt. Eine solche Verarbeitung ist untersagt, es sei denn, sie wurde von Mapp ausdrücklich schriftlich genehmigt, ist gesetzlich zulässig und entspricht der Nutzungsrichtlinie (Acceptable Use Policy) von Mapp.

Kategorien betroffener Personen

Die Kategorien der Personen, deren Daten verarbeitet werden, bestimmt der Kunde durch seine Nutzung der Dienste. Dazu gehören typischerweise:

• Kunden, Abonnenten oder Nutzer des Kunden.
• Potenzielle Kunden oder Leads (z. B. Marketingkontakte).
• Besucher von Websites oder Apps des Kunden.
• Empfänger von Kampagnen, die durch den Kunden initiiert wurden.
• Personen, deren Daten vom Kunden hochgeladen oder anderweitig zur Verfügung gestellt wurden.

Hinweis: Der Kunde bestimmt allein, welche Kategorien betroffener Personen durch seine Nutzung der Dienste relevant sind. Mapp legt diese Kategorien nicht fest und verarbeitet Daten für keine anderen Zwecke als die vom Kunden gemäß der Vereinbarung definierten.

Anhang 2: Unterauftragsverarbeiter

Mit Mapp Verbundene Unternehmen mit Sitz im EWR oder UK

Unterauftragsverarbeiter, die für die Erbringung der bestellten Dienste notwendig sind

Siehe Auftragsformular(e).

Die aktuelle Liste der eingesetzten Unterauftragsverarbeiter ist jederzeit online abrufbar unter: mapp.com/trust.

Anhang 3: Technische und organisatorische Maßnahmen

1. Physische Zutrittskontrolle

Mapp setzt eine Reihe von Maßnahmen um, um zu verhindern, dass unbefugte Personen Zutritt zu Datenverarbeitungssystemen erhalten, die zur Verarbeitung oder Verwaltung personenbezogener Daten eingesetzt werden. Diese Maßnahmen gelten sowohl für die Rechenzentren von Mapp, in denen die Mapp Marketing Cloud Anwendung und deren Infrastruktur betrieben werden, als auch für die Büroräume. In den Büroräumen findet grundsätzlich keine lokale Datenverarbeitung statt; Wartungs- und Supporttätigkeiten erfolgen über Fernzugriff:

A. Maßnahmen in Büroräumen

• Bürosicherheit: Mapp nutzt Büroräume in branchenüblichen Bürogebäuden mit mehreren Parteien. Diese Büros sind an allen Eingängen durch elektronische Zutrittskontrollsysteme gesichert. Die Büros sind in der Regel verschlossen und nur für autorisierte Personen zugänglich, die eine Chipkarte oder einen Transponder besitzen.
• Ausgabeprozess: Die Ausgabe und Verwaltung von Chipkarten oder Transpondern für Mitarbeitende von Mapp sowie relevante Dienstleister (z.B. Reinigungspersonal) erfolgt nach einem festgelegten Prozess. Dieser Prozess stellt sicher, dass Zutrittsberechtigungen zu Beginn, bei Änderungen oder bei Beendigung eines Arbeits- oder Dienstleistungsverhältnisses korrekt vergeben und entzogen werden.
• Schlüsselverwaltung: Klassische Schlüssel werden nur an administratives Personal unter strenger Kontrolle ausgegeben, um den Zutritt zu Büroräumen auch dann zu ermöglichen, wenn ein Zutrittskontrollsystem ausfällt. Alle ausgegebenen Schlüssel, Chipkarten und Transponder sind einzelnen Personen zugeordnet, sodass die Verantwortlichkeit jederzeit nachvollziehbar ist. Nicht zugeordnete Schlüssel oder Zutrittsmedien werden sicher verwahrt.
• Besucherregelung: Externe Besucher erhalten nur nach vorheriger Anmeldung Zutritt zu den Büroräumen. Reine, abgetrennte Meeting-Bereiche sind ausgenommen. Besucher müssen während des gesamten Aufenthalts von Mitarbeitenden oder dem Empfang begleitet werden und haben ein gut sichtbares Besucherausweis-Badge zu tragen.
• Videoüberwachung: Die Eingangsbereiche der Mapp-Büros werden durch Videoüberwachungssysteme überwacht. Diese Maßnahmen werden unter Beachtung der datenschutzrechtlichen Anforderungen umgesetzt, um abzuschrecken und unberechtigten Zutritt aufklären zu können.
• Mobiles Arbeiten: Für die physische Sicherheit von Daten und Systemen beim Arbeiten außerhalb des Büros bestehen spezielle Vorgaben. Mitarbeitende werden regelmäßig geschult, diese Vorgaben einzuhalten und Sicherheitsstandards aufrechtzuerhalten.

B. Maßnahmen in Rechenzentren

• Sicherer Betrieb: Alle Serversysteme, auf denen die Mapp Marketing Cloud betrieben wird und die Kundendaten verarbeiten, werden in besonders gesicherten Rechenzentren betrieben. Diese Rechenzentren sind nach internationalen Sicherheitsstandards zertifiziert, mindestens nach ISO 27001. Je nach Service nutzt Mapp Rechenzentrums-Colocations innerhalb der Europäischen Union, in denen Mapp eigene Hardware betreibt, oder cloudbasierte Rechenzentrumsinfrastrukturen, die vom Betreiber verwaltet werden.
• Schutzmaßnahmen: Sicherheitsmaßnahmen umfassen bauliche, technische und organisatorische Schutzvorkehrungen nach ISO 27001 Anhang A bzw. ISO 27002, z.B. die Umsetzung von Sicherheitszonen, sichere Schließsysteme, nachvollziehbares Schlüsselmanagement, strenge Zutrittskontrolle und Protokollierung, starke Authentifizierung, klare Regeln für den Umgang mit Besuchern sowie Zutrittsüberwachung (Alarmanlagen und Videoüberwachung).
• Pflichten der Anbieter: Alle Vereinbarungen mit Rechenzentrumsbetreibern definieren Mindestanforderungen an die Sicherheit. Für Anbieter cloudbasierter Rechenzentrumsinfrastrukturen stellt Mapp zusätzlich die Einhaltung von Standards wie ISO 27017 und ISO 27018 sicher.

2. Systemzugangskontrolle

Mapp setzt strenge Zugangskontrollen ein, um IT-Systeme vor unbefugter Nutzung zu schützen:

• Authentifizierung: Der Zugang zu Mapps IT-Systemen ist streng geregelt. Nutzer müssen sich erfolgreich authentifizieren und über ausdrückliche Zugangsberechtigungen verfügen, außer bei Ressourcen, die bewusst öffentlich zugänglich gemacht werden.
• Kontoverwaltung: Benutzerkonten werden nach einem klar definierten Prozess verwaltet. Dieser Prozess regelt die Erstellung, Änderung und Deaktivierung von Konten zu Beginn, bei Änderungen oder am Ende einer Rolle. Er stellt außerdem sicher, dass rollenbasierte Zugangsberechtigungen einheitlich angewendet und regelmäßig aktualisiert werden. Die Verwaltung ist soweit möglich zentralisiert. Konten, die über längere Zeit inaktiv sind, werden automatisch gesperrt.
• Nachvollziehbarkeit: Jedes Benutzerkonto ist eindeutig einer Person zugeordnet, um Nachvollziehbarkeit sicherzustellen. Gemeinsame oder anonyme Konten sind nicht zulässig.
• Passwortsicherheit: Mapp setzt strenge Passwortrichtlinien um. Nutzer müssen Passwörter mit einer Mindestlänge von 8 Zeichen und ausreichender Komplexität verwenden. Passwörter für Administrator- und Servicekonten müssen höhere Anforderungen erfüllen und mindestens 14 Zeichen umfassen. Passwörter müssen sich von den letzten acht verwendeten Passwörtern unterscheiden. Passwörter werden beim ersten Login oder nach einer manuellen Rücksetzung durch Administratoren vom Nutzer geändert. Das Teilen von Passwörtern ist untersagt, und Mitarbeitende werden regelmäßig zu sicherem Umgang mit Passwörtern geschult. Bei einem Sicherheitsvorfall werden betroffene Passwörter sofort gesperrt und müssen durch die Nutzer zurückgesetzt werden.
• Passwortablauf: Kunden können die Häufigkeit erzwungener Passwortänderungen für ihre Konten festlegen. Intern erzwingt Mapp gemäß Stand der Technik keine regelmäßigen Passwortwechsel.
• Schutz vor Brute-Force: Nach maximal fünf erfolglosen Anmeldeversuchen innerhalb eines definierten Zeitraums wird der Zugang vorübergehend gesperrt. Die Möglichkeit, sich interaktiv über eine API an der Mapp Marketing Cloud Anwendung anzumelden, ist technisch unterbunden.
• Präferenzverwaltung: Empfänger von E-Mails über die Mapp Marketing Cloud Anwendung können Abonnements widerrufen oder Präferenzen über einen gesicherten Prozess anpassen. Die Authentifizierung erfolgt typischerweise über ein temporäres Token, das per E-Mail versendet wird.
• Zugang zu Kundensystemen: Kunden sind für die Verwaltung ihrer eigenen Konten und die Sicherung ihrer Zugangsdaten verantwortlich. Die Mapp Marketing Cloud bietet ein anpassbares Rollen- und Berechtigungsmodell, mit dem Kunden Zugangsrechte nach ihren Anforderungen gestalten können. Zusätzliche Optionen sind Single Sign-On (SSO), die Nutzung von MFA und die Beschränkung des Zugangs auf vordefinierte IP-Adressen.
• Support-Zugang: Mitarbeitende, die Supportleistungen erbringen, können auf Kundensysteme nur mit Geräten zugreifen, die mit dem internen Netzwerk verbunden sind, oder über Geräte, die mit MFA abgesichert sind.
• Fernzugriff: Fernzugriff auf Mapps internes Netzwerk ist auf firmeneigene Geräte beschränkt und erfordert sowohl eine verschlüsselte VPN-Verbindung als auch Multi-Faktor-Authentifizierung (MFA). Der Zugang zu kritischen Unternehmensanwendungen und Kommunikationssystemen erfordert ebenfalls MFA.
• Least Privilege: Privilegierte Zugangsrechte werden nach dem Prinzip der minimal erforderlichen Berechtigung vergeben. Diese Rechte werden regelmäßig überprüft und streng kontrolliert. Protokolle zu Aktivitäten privilegierter Konten werden automatisch oder manuell überwacht und geprüft. Der Einsatz von Superuser-Konten, wie „root“ unter Linux, ist stark eingeschränkt.
• Netzwerksegmentierung: Mapps Produktionsnetzwerke sind segmentiert, um sensible Systeme von weniger kritischen Umgebungen zu trennen. Entwicklungs-, Test- und Büronetzwerke sind von Produktionssystemen isoliert. Demilitarisierte Zonen (DMZ) stellen sicher, dass Kundendaten nicht auf Servern gespeichert werden, die direkt aus dem Internet erreichbar sind.
• Abwehr von Netzwerkbedrohungen: Firewalls filtern den gesamten ein- und ausgehenden Netzwerkverkehr. Nicht benötigte Dienste werden blockiert, um Sicherheitsrisiken zu minimieren. An zentralen Übergabepunkten werden Systeme zur Erkennung und Abwehr von Eindringversuchen eingesetzt, um Bedrohungen zu erkennen und zu verhindern. Firewall-Konfigurationen unterliegen einem strengen Change-Management und werden regelmäßig überprüft.
• Protokollierung: Mapp protokolliert sicherheitsrelevante Ereignisse (z.B. Nutzeraktivitäten, Systemfehler, Netzwerkauffälligkeiten) und wertet diese zentral aus, um verdächtiges Verhalten zu erkennen und darauf zu reagieren. Protokolle sind gegen unbefugten Zugriff, Manipulation oder Löschung geschützt und werden für einen festgelegten Zeitraum aufbewahrt. Synchronisierte Systemuhren stellen konsistente und auswertbare Protokolldaten sicher.
• Sichere Software-Entwicklung: Mapp folgt einem sicheren Entwicklungsprozess nach OWASP und integriert Sicherheit in alle Phasen der Softwareentwicklung, von Design bis Wartung. Entwickler werden regelmäßig geschult, und der Code wird automatisiert und manuell auf Sicherheit geprüft.
• Schwachstellenmanagement: Mapp führt mindestens monatliche Schwachstellenscans und jährliche unabhängige Penetrationstests durch, um Risiken frühzeitig zu erkennen und diese gemäß internen Prozessen in angemessener Zeit zu beheben.
• Malwareschutz: Alle Windows- und macOS-Systeme sind mit Anti-Malware-Lösungen ausgestattet, die zentral verwaltet und regelmäßig aktualisiert werden.
• Systemhärtung: Mapps Infrastruktur wird unter Berücksichtigung von Branchen-Benchmarks gehärtet, z.B. nach den CIS Configuration Standards, um Angriffsflächen zu reduzieren.
• Patchmanagement: Sicherheitsupdates für Betriebssysteme und Software werden zeitnah installiert, wo möglich automatisiert und auf Basis einer Risikobewertung.
• Arbeitsplatzsicherheit: Mitarbeitende sind verpflichtet, ihre Systeme zu sperren, wenn sie den Arbeitsplatz verlassen. Automatische Sperren bei Inaktivität unterstützen die Umsetzung, und Mitarbeitende werden regelmäßig an diese Vorgabe erinnert.
• Sitzungsablauf: Sitzungen in der Mapp Marketing Cloud Anwendung laufen nach 30 Minuten Inaktivität automatisch ab. Nutzer müssen sich dann erneut authentifizieren.

3. Zugriffskontrolle auf Daten

Mapp stellt sicher, dass der Zugang zu Kundendaten streng geregelt und auf autorisierte Personen beschränkt ist:

• Autorisierung: Zugangsrechte für Mitarbeitende werden nach einem dokumentierten Freigabeprozess vergeben und entzogen. Die Vergabe erfolgt anhand definierter Rollenprofile oder nach Freigabe durch Vorgesetzte gemäß dem Need-to-know-Prinzip. Dabei werden auch geografische Beschränkungen aus Kundenverträgen berücksichtigt.
• Berechtigungsprüfung: Mitarbeitende können Kundendaten nur dann nutzen, wenn dies zur Leistungserbringung erforderlich ist und das System die Berechtigungen des Kontos geprüft hat. Zugangsrechte werden regelmäßig überprüft, um sicherzustellen, dass sie weiterhin passend sind.
• Kundenverwaltung von Zugängen: Kunden sind für die Verwaltung von Kontoberechtigungen innerhalb ihrer Organisation verantwortlich. Die Mapp Marketing Cloud bietet dafür ein flexibles Rollen- und Berechtigungsmodell, damit Kunden Zugangsrechte an ihre operativen Anforderungen anpassen können.
• Protokolle zur Nachvollziehbarkeit: Änderungen an Berechtigungen, einschließlich Vergabe oder Anpassung von Zugangsrechten, werden protokolliert. Diese Protokolle werden regelmäßig geprüft und für einen festgelegten Zeitraum sicher aufbewahrt, um unbefugten Zugriff, Manipulation oder Löschung zu verhindern.
• Keine physische Datenverarbeitung: Kundendaten werden ausschließlich elektronisch verarbeitet; physische Kopien werden nicht erstellt. Mitarbeitende werden regelmäßig zu dieser Vorgabe geschult, um die Einhaltung sicherzustellen.
• Unwiderrufliche Löschung: Kundendaten, die nicht mehr benötigt werden (z.B. bei Vertragsende oder nach einem Löschersuchen), werden aus Speichersystemen irreversibel gelöscht. Defekte oder veraltete Datenträger werden durch zertifizierte Dienstleister nach DIN 66399 Schutzklasse 2 vernichtet.

4. Trennungskontrolle

Mapp setzt robuste Maßnahmen um, damit Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden:

• Logische Trennung: Daten und Funktionen innerhalb der Mapp Marketing Cloud sind logisch getrennt, sodass die Daten eines Kunden nicht mit Daten eines anderen Kunden eingesehen oder verarbeitet werden können. Die Trennung erfolgt auf Anwendungs- und Datenbankebene.
• Trennung von Umgebungen: Entwicklungs-, Test- und Produktionsumgebungen sind strikt getrennt, um unbefugten Zugriff oder unbeabsichtigte Offenlegung zu verhindern. Entwickler dürfen nicht direkt auf die Produktionsumgebung zugreifen oder dort Änderungen vornehmen, um Stabilität und Sicherheit zu gewährleisten.
• Testdaten: Kundendaten dürfen nicht zu Testzwecken verwendet werden, es sei denn, der Kunde weist Mapp ausdrücklich dazu an.
• Trennung von KI-Modellen: Beim Einsatz von KI-Technologien zur Datenanalyse und Vorhersagen nutzt Mapp dedizierte, kundenspezifische Modelle, die ausschließlich mit personenbezogenen Daten trainiert werden, die der jeweilige Kunde bereitstellt. Dadurch bleiben Kundendaten logisch getrennt und geschützt. Mapp untersagt strikt, personenbezogene Kundendaten zum Training, Fine-Tuning oder zur Verbesserung öffentlicher oder geteilter KI-Modelle zu verwenden.
• Geräterichtlinie: Mitarbeitende dürfen keine privaten Geräte für geschäftliche Zwecke nutzen, einschließlich des Zugangs zu Kundendaten. Fernzugriff auf interne Netzwerke und Systeme ist auf firmeneigene Geräte beschränkt, die abgesichert und zentral verwaltet werden.
• Einschränkung Mobiler Geräte: Mobile Geräte dürfen für Unternehmenskommunikation wie E-Mail und Kollaboration genutzt werden, dürfen jedoch nicht für den Zugang zu Kundendaten oder administrative Tätigkeiten verwendet werden. Die Verarbeitung von Kundendaten auf mobilen Geräten ist ausdrücklich untersagt. Mobile Geräte werden zentral verwaltet, und der Netzwerkzugang wird beschränkt, um Risiken zu minimieren.

5. Pseudonymisierung und Verschlüsselung

Mapp stellt durch Verschlüsselung und Pseudonymisierung einen wirksamen Schutz sicher:

• Laptop-Verschlüsselung: Alle Mitarbeiter-Laptops sind mit aktuellen Verschlüsselungsverfahren (z.B. AES-256) verschlüsselt, um die auf den Geräten gespeicherten Daten zu schützen.
• Verschlüsselung gespeicherter Daten: In der Mapp Marketing Cloud gespeicherte Kundendaten sind mit aktuellen Standards (z.B. AES-256) verschlüsselt, ausgenommen Daten, die für Analysezwecke effektiv pseudonymisiert oder anonymisiert sind. Kundenindividuelle oder kundenverwaltete Schlüssel sind aufgrund der gemeinsam genutzten Infrastruktur nicht praktikabel.
• Verschlüsselte Backups: Sicherungskopien von Kundendaten werden verschlüsselt. Dies gilt für alle Backups, außer solche, die ausschließlich pseudonymisierte oder anonymisierte Daten enthalten.
• Verschlüsselte Netzwerkzugriffe: Administrative Zugriffe auf Server sowie Fernzugriffe auf das Netzwerk erfolgen über verschlüsselte Verbindungen, z.B. SSH mit RSA (Mindestschlüssellänge 2048 Bit).
• Sicherer Datenaustausch: Mapp bietet verschlüsselte Datenaustauschmöglichkeiten wie SFTP. Die Konfigurationen der SFTP-Server werden regelmäßig überprüft und aktualisiert, um Best Practices einzuhalten.
• TLS: Der Zugang zu Weboberflächen und APIs der Mapp Marketing Cloud ist mindestens mit TLS 1.2 abgesichert. Mapp verwendet ausschließlich SSL-Zertifikate vertrauenswürdiger Zertifizierungsstellen. Webserver-Konfigurationen werden regelmäßig überprüft und aktualisiert, um Kompatibilität sicherzustellen und moderne Verschlüsselungsstandards einzuhalten.
• Passwort-Hashes: Nutzerpasswörter werden als kryptografische Hashes (z.B. bcrypt) mit Salt gespeichert und niemals im Klartext.
• Kryptostandards: Mapp setzt keine kryptografischen Verfahren ein, für die bekannte Schwachstellen bestehen.
• Pseudonymisierung: Die Mapp Marketing Cloud bietet Konfigurationsmöglichkeiten zur Verarbeitung pseudonymisierter oder anonymisierter Daten. Kunden können die Umsetzung je nach Use Case anpassen, um Datenschutz- und Compliance-Anforderungen zu erfüllen.

6. Eingabekontrolle

Mapp führt detaillierte Protokolle und Kontrollen, um Nachvollziehbarkeit bei Datenzugriffen und Änderungen sicherzustellen:

• Integrität der Protokolle: Alle Aktionen zu Datenzugriff, Eingabe, Änderung und Löschung werden detailliert protokolliert. Die Protokolle werden für einen festgelegten Zeitraum aufbewahrt und sind gegen unbefugten Zugriff, Manipulation oder Löschung geschützt.
• Zuordnung: Aktivitäten im System sind eindeutig einem authentifizierten Benutzerkonto zugeordnet. Gemeinsame oder anonyme Konten sind strikt untersagt, um Nachvollziehbarkeit sicherzustellen.
• Double-Opt-in: Zur Verifizierung von E-Mail-Adressen, die über öffentlich zugängliche Registrierungsformulare erfasst werden, bietet die Mapp Marketing Cloud ein Double-Opt-in-Verfahren (DOI). Nach Eingabe einer E-Mail-Adresse sendet das System einen Bestätigungslink an diese Adresse, um sicherzustellen, dass der Inhaber der Registrierung zustimmt. DOI-Bestätigungsprotokolle werden über den gesamten Lebenszyklus des Kontakts aufbewahrt.
• Autorisierte Eingaben: Nur autorisierte Personen können Daten eingeben, und solche Aktivitäten werden im System streng kontrolliert und überwacht, um unbefugte Änderungen zu verhindern.

7. Übermittlungskontrolle

Mapp stellt sichere Datenübermittlungen sicher und überwacht die Einhaltung entsprechender Vorgaben:

• Verschlüsselte Kanäle: Alle Datenübertragungen, einschließlich Kundendaten, erfolgen über verschlüsselte Kanäle. Es werden sichere Protokolle wie SSH und TLS 1.2 oder höher eingesetzt.
• E-Mail-Infrastruktur: Die Mailing-Infrastruktur der Mapp Marketing Cloud unterstützt SPF, DKIM, DMARC und optional BIMI, um ausgehende E-Mails abzusichern und Domain-Missbrauch zu verhindern.
• Nachvollziehbarkeit: Protokolle über Datenübertragungen und Kommunikation werden geführt, um vollständige Nachvollziehbarkeit sicherzustellen. Diese Protokolle werden sicher gespeichert, gegen unbefugten Zugriff, Manipulation oder Löschung geschützt und für einen festgelegten Zeitraum aufbewahrt.
• Lieferanten: Daten werden nur dann an externe Dienstleister übermittelt, wenn dies durch Kundenverträge autorisiert und für die Leistungserbringung erforderlich ist. Verträge mit Dienstleistern enthalten Datenschutzklauseln, die an Kundenvereinbarungen ausgerichtet sind und das gleiche Sicherheits- und Compliance-Niveau sicherstellen.
• Drittlandübermittlungen: Personenbezogene Daten werden nur an Organisationen in Ländern außerhalb der EU bzw. des EWR übermittelt, die EU-Datenschutzstandards erfüllen oder gleichwertige Schutzmaßnahmen umsetzen (z.B. Standardvertragsklauseln). Solche Übermittlungen erfolgen nur mit Autorisierung des Kunden.
• Standort der Infrastruktur: Mapp stellt sicher, dass sich die Cloud-Infrastruktur in Rechenzentren innerhalb der EU oder des EWR befindet, sofern der Kunde nicht ausdrücklich etwas anderes wünscht. Ausnahmen, z.B. optionale Datenerhebung außerhalb der EU für bestimmte Anwendungsfälle, werden stets vorab mit dem Kunden vereinbart.
• Handhabungsverbote: Mitarbeitende dürfen Kundendaten nicht auf tragbaren Datenträgern speichern, nicht per E-Mail versenden und keine nicht autorisierten Filesharing-Plattformen nutzen. USB-Ports sind technisch eingeschränkt, und Mitarbeitende werden regelmäßig zu sicheren Regeln für den Umgang mit Daten geschult.

8. Verfügbarkeitskontrolle und Resilienz

Mapp stellt die Betriebsfähigkeit sicher und schützt vor Datenverlust durch umfassende Verfügbarkeitsmaßnahmen:

• Redundanz der Daten: Kundendaten werden fortlaufend repliziert und täglich in geografisch redundanten Standorten gesichert. Die Wiederherstellbarkeit der Backups wird regelmäßig getestet, um die Zuverlässigkeit sicherzustellen.
• Redundanz der Systeme: Kritische Infrastrukturkomponenten wie Webserver, Firewalls und Netzwerkswitches sind redundant ausgelegt, um die Funktionsfähigkeit auch bei hoher Last oder beim Ausfall einzelner Komponenten zu gewährleisten.
• Kapazitätsmanagement: Netzwerkverbindungen, Rechenressourcen und Speichersysteme werden regelmäßig überprüft, um ausreichend Kapazität für aktuelle und zukünftige Anforderungen sicherzustellen. Automatisches und manuelles Monitoring ermöglicht es, auf Schwankungen und Störungen frühzeitig zu reagieren.
• Wartung: Alle Systeme werden regelmäßig gewartet und aktualisiert, um Stabilität, Sicherheit und Leistungsfähigkeit sicherzustellen. Change-Management-Prozesse werden eingesetzt, um Risiken bei Updates zu minimieren.
• DoS-Abwehr: Systeme verfügen über Maßnahmen zur Erkennung und Abwehr der meisten Formen von Denial-of-Service-(DoS)-Angriffen. Wenn automatisierte Maßnahmen nicht ausreichen, bestehen manuelle Reaktionsprotokolle.
• Disaster Recovery: Mapp verfügt über umfassende Disaster-Recovery-Pläne zur Wiederherstellung der Services bei größeren Störungen, z.B. bei Rechenzentrumsausfällen oder Ransomware-Angriffen. Diese Pläne werden jährlich durch Simulationen und Übungen getestet, um die Wirksamkeit sicherzustellen.
• Physische Schutzmaßnahmen: Die externen Rechenzentren von Mapp verfügen über bauliche und technische Schutzmaßnahmen zur Minderung von Umweltrisiken wie Feuer, Wasser und Stromausfällen. Dazu gehören Brandschutzsysteme (Rauchdetektion und automatische Löschsysteme), Klimatisierung zur Sicherstellung geeigneter Serverraum-Bedingungen, unterbrechungsfreie Stromversorgung (USV) sowie Diesel-Notstromgeneratoren mit Treibstoffreserven von mindestens 24 Stunden. Alle Schutzmaßnahmen werden regelmäßig auf Funktionsfähigkeit getestet.

9. Auftragskontrolle

Mapp stellt sicher, dass Kundendaten strikt nach Weisung verarbeitet werden:

• Vertraglicher Zweck: Mapp verarbeitet Kundendaten auf Grundlage vertraglicher Vereinbarungen, die Art, Umfang und Zweck der Verarbeitung festlegen. Diese Vereinbarungen regeln die Weisungsbefugnis des Kunden und beschränken die Verarbeitung auf die vereinbarten Zwecke.
• Dokumentation: Manuelle Weisungen von Kunden, z.B. Supportanfragen oder besondere Verarbeitungsaufträge, werden systematisch dokumentiert, um Nachvollziehbarkeit und Compliance sicherzustellen.
• Umsetzung von Vorgaben: Mapp hat umfassende Vorgaben für den sicheren und regelkonformen Umgang mit Kundendaten etabliert. Mitarbeitende werden regelmäßig geschult und sensibilisiert, diese Vorgaben umzusetzen.
• Kontrolle von Unterauftragsverarbeitern: Wenn Mapp externe Dienstleister für Verarbeitungstätigkeiten einbindet, schließt Mapp Auftragsverarbeitungsverträge mit diesen Anbietern. Diese verpflichten Unterauftragsverarbeiter, die gleichen strengen Anforderungen einzuhalten, die in Kundenverträgen definiert sind. Mapp bewertet und überprüft die Einhaltung dieser Anforderungen regelmäßig, um vertragliche und regulatorische Pflichten sicherzustellen.

10. Datenschutzmanagement

Mapp verankert Datenschutz in den organisatorischen Abläufen durch ein wirksames Managementsystem:

• Managementsystem: Mapp betreibt ein umfassendes Managementsystem für Informationssicherheit, Business Continuity und Datenschutz, das sich an internationalen Standards orientiert, einschließlich ISO 27001, ISO 27017, ISO 27018, ISO 22301 und ISO 27701. Diese Systeme sind in unternehmensweite Abläufe eingebettet, um eine einheitliche Umsetzung sicherzustellen.
• Rahmenrichtlinie: Eine übergeordnete Informationssicherheits- und Datenschutzrichtlinie, die von der Geschäftsleitung genehmigt ist, bildet die Grundlage. Ergänzend bestehen detailliertere Richtlinien, die für Mitarbeitende verbindlich sind und jährlich auf Aktualität und Wirksamkeit überprüft werden.
• Schulung und Awareness: Mitarbeitende absolvieren verpflichtende Trainings zu Informationssicherheit und Datenschutz beim Onboarding und jährlich. Zusätzlich stellt Mapp regelmäßige Updates und Awareness-Maßnahmen bereit, um auf neue Bedrohungen, Änderungen von Vorgaben und Best Practices zu reagieren.
• Rollen und Verantwortlichkeiten: Mapp hat klare Rollen für Informationssicherheit und Datenschutz definiert und mit qualifiziertem Personal besetzt, einschließlich eines benannten Datenschutzbeauftragten. Ein dediziertes Team steuert die Umsetzung, den Betrieb und die kontinuierliche Verbesserung des Managementsystems und ist von Beginn an in wichtige Geschäfts- und IT-Prozesse eingebunden, damit Sicherheits- und Datenschutzanforderungen in Design und Umsetzung berücksichtigt werden.
• Audits: Regelmäßige interne Audits sowie mindestens jährliche externe Audits stellen die Wirksamkeit des Managementsystems sicher. Zentrale Bestandteile von Mapps Managementsystem sind nach ISO 27001 zertifiziert.
• Incident Response: Mitarbeitende und relevante Dienstleister sind verpflichtet, vermutete oder tatsächliche Informationssicherheitsvorfälle oder Datenschutzverletzungen unverzüglich zu melden. Ein definierter Melde- und Eskalationsprozess stellt eine schnelle Eindämmung und Behebung sicher. Incident-Response-Prozesse regeln Verantwortlichkeiten für Bewertung, Abhilfemaßnahmen sowie erforderliche Meldungen an Kunden, Aufsichtsbehörden und/oder betroffene Personen. Alle Vorfälle werden nachbereitet (Post-Mortem), um Prozesse zu verbessern und Wiederholungen zu verhindern.
• Lieferantensteuerung: Mapp stellt sicher, dass Anforderungen an Informationssicherheit und Datenschutz in Lieferantenverträgen verankert sind. Ein formaler Prozess regelt die regelmäßige Bewertung von Lieferanten sowie den Umgang mit Änderungen oder der Beendigung von Lieferantenbeziehungen.

Weitere Informationen zu unseren Sicherheitsstandards und technischen Maßnahmen finden Sie unter: mapp.com/trust