{"id":13514,"date":"2026-01-16T13:39:26","date_gmt":"2026-01-16T12:39:26","guid":{"rendered":"https:\/\/mapp.com\/de\/mapp-dpa-english\/"},"modified":"2026-02-17T13:35:58","modified_gmt":"2026-02-17T12:35:58","slug":"dpa","status":"publish","type":"page","link":"https:\/\/mapp.com\/de\/dpa\/","title":{"rendered":"Mapp DPA &#8211; Deutsch"},"content":{"rendered":"<div style=\"text-align: center;margin-bottom: 50px\">\n<h1>Auftragsverarbeitungsvertrag (AVV)<\/h1>\n<p><span lang=\"DE\">Gem\u00e4\u00df Artikel 28 DSGVO<\/span><\/p>\n<div>\n<p style=\"font-weight: 400\">Online-Version: v1.1 (g\u00fcltig ab 17. Februar 2026)<\/p>\n<\/div>\n<\/div>\n<p style=\"font-weight: 400\">Dieser AVV ist fester Bestandteil des Hauptvertrags (Master Services Agreement \u2013 \u201eMSA\u201c) oder des jeweiligen Auftragsformulars zwischen den Parteien.<\/p>\n<h2><span class=\"sec-num\">1.<\/span> Geltungsbereich und Definitionen<\/h2>\n<p><span class=\"sub-num\">1.1<\/span> Dieser AVV regelt die Verarbeitung personenbezogener Daten durch Mapp (\u201eAuftragsverarbeiter\u201c) im Auftrag des Kunden (\u201eVerantwortlicher\u201c) im Rahmen der vereinbarten Dienstleistungen.<\/p>\n<h3><span class=\"sub-num\">1.2<\/span> Rangfolge<\/h3>\n<ul>\n<li>Zwingende gesetzliche Datenschutzbestimmungen haben stets Vorrang.<\/li>\n<li>Individuelle Sonderregelungen im Auftragsformular gehen diesem AVV vor, sofern sie widerspr\u00fcchlich sind.<\/li>\n<li>In allen anderen Datenschutzfragen hat dieser AVV Vorrang vor dem Hauptvertrag (MSA).<\/li>\n<\/ul>\n<h3><span class=\"sub-num\">1.3<\/span> Definitionen<\/h3>\n<ul>\n<li><em>Datenschutzgesetze<\/em>: Alle anwendbaren Gesetze zum Schutz personenbezogener Daten (insbesondere EU-DSGVO, britisches Recht und relevante US-Gesetze).<\/li>\n<li><em>Betroffene Person<\/em>: Eine identifizierbare Person, deren Daten verarbeitet werden.<\/li>\n<li><em>Datenschutzverletzung<\/em>: Ein Sicherheitsvorfall, der zur Vernichtung, zum Verlust, zur \u00c4nderung oder zur unbefugten Offenlegung von Daten f\u00fchrt.<\/li>\n<li><em>Dienste<\/em>: Die von Mapp erbrachten Leistungen laut MSA, Auftragsformular und <a href=\"#appendix-1\">Anhang 1<\/a>.<\/li>\n<li><em>Verbundenes Unternehmen<\/em>: Jede Gesellschaft oder sonstige Einheit, die eine Partei unmittelbar oder mittelbar kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht.<\/li>\n<li>Nicht definierte gro\u00dfgeschriebene Begriffe haben die Bedeutung, die ihnen im MSA oder nach den anwendbaren Datenschutzgesetzen zugewiesen ist.<\/li>\n<\/ul>\n<h2><span class=\"sec-num\">2.<\/span> Rollen und Weisungen<\/h2>\n<p><span class=\"sub-num\">2.1<\/span> Der Kunde handelt als Verantwortlicher, Mapp als Auftragsverarbeiter.<\/p>\n<p><span class=\"sub-num\">2.2<\/span> Beide Parteien verpflichten sich, die f\u00fcr ihre jeweilige Rolle geltenden Datenschutzgesetze einzuhalten.<\/p>\n<p><span class=\"sub-num\">2.3<\/span> Mapp verarbeitet Daten ausschlie\u00dflich zur Erbringung der Dienste und gem\u00e4\u00df den dokumentierten Weisungen des Kunden. Dazu z\u00e4hlen:<\/p>\n<ul>\n<li>Der Hauptvertrag (MSA) und das Auftragsformular;<\/li>\n<li>dieser AVV inklusive seiner Anh\u00e4nge;<\/li>\n<li>Konfigurationen und Einstellungen, die der Kunde innerhalb der Dienste vornimmt;<\/li>\n<li>schriftliche Anweisungen \u00fcber vereinbarte Support- oder Account-Management-Kan\u00e4le.<\/li>\n<\/ul>\n<p><span class=\"sub-num\">2.4<\/span> H\u00e4lt Mapp eine Weisung f\u00fcr rechtswidrig, wird der Kunde unverz\u00fcglich informiert. Mapp ist berechtigt, die Ausf\u00fchrung dieser Weisung bis zur Kl\u00e4rung auszusetzen.<\/p>\n<p><span class=\"sub-num\">2.5<\/span> Mapp verkauft oder teilt personenbezogene Daten nicht im Sinne der geltenden US-Datenschutzgesetze.<\/p>\n<h2><span class=\"sec-num\">3.<\/span> Unterauftragsverarbeitung und internationale Daten\u00fcbermittlungen<\/h2>\n<p><span class=\"sub-num\">3.1<\/span> Mapp stellt sicher, dass alle Unterauftragsverarbeiter durch schriftliche Vertr\u00e4ge gebunden sind, die mindestens das Schutzniveau dieses AVV wahren. Die Verantwortung f\u00fcr deren Compliance verbleibt bei Mapp. Der Kunde genehmigt hiermit:<\/p>\n<ul>\n<li>Mit Mapp Verbundene Unternehmen mit Sitz im EWR oder UK;<\/li>\n<li>Unterauftragsverarbeiter, die f\u00fcr die Erbringung der bestellten Dienste notwendig sind (gem\u00e4\u00df Auftragsformular).<\/li>\n<\/ul>\n<p><span class=\"sub-num\">3.2<\/span> Mapp informiert den Kunden mindestens drei\u00dfig (30) Tage vor der Einbindung eines neuen Unterauftragsverarbeiters. Sollte der Kunde begr\u00fcndete datenschutzrechtliche Bedenken \u00e4u\u00dfern, suchen beide Parteien gemeinsam nach einer einvernehmlichen L\u00f6sung. Kann keine Einigung erzielt werden, ist der Kunde berechtigt, ausschlie\u00dflich die davon betroffenen Dienste zu k\u00fcndigen.<\/p>\n<p><span class=\"sub-num\">3.3<\/span> Eine Verarbeitung personenbezogener Daten au\u00dferhalb des Europ\u00e4ischen Wirtschaftsraums (EWR) oder des Vereinigten K\u00f6nigreichs (UK) erfolgt nur, wenn dies nach diesem AVV zul\u00e4ssig ist oder der Kunde einen Vertrag mit einer Mapp-Einheit au\u00dferhalb dieser Regionen abgeschlossen hat.<\/p>\n<p><span class=\"sub-num\">3.4<\/span> Erfolgt die Verarbeitung in L\u00e4ndern ohne angemessenes Datenschutzniveau, implementiert Mapp die gesetzlich geforderten Schutzma\u00dfnahmen. Die Parteien arbeiten bei Bedarf zusammen, um Risiken internationaler Transfers zu bewerten und zus\u00e4tzliche Schutzvorkehrungen zu treffen.<\/p>\n<p><span class=\"sub-num\">3.5<\/span> Mapp f\u00fchrt eine aktuelle Liste aller Unterauftragsverarbeiter auf ihrer Website (siehe auch <a href=\"#appendix-2\">Anhang 2<\/a>).<\/p>\n<h2><span class=\"sec-num\">4.<\/span> Sicherheitsma\u00dfnahmen<\/h2>\n<p><span class=\"sub-num\">4.1<\/span> Mapp setzt angemessene technische und organisatorische Ma\u00dfnahmen ein, um ein dem Risiko entsprechendes Schutzniveau zu gew\u00e4hrleisten. Diese orientieren sich, wo anwendbar, an den ISO-27001-Standards und sch\u00fctzen Daten vor Verlust, Zerst\u00f6rung oder unbefugter Verarbeitung. Details sind in <a href=\"#appendix-3\">Anhang 3<\/a> beschrieben.<\/p>\n<p><span class=\"sub-num\">4.2<\/span> Die Sicherheitsma\u00dfnahmen werden regelm\u00e4\u00dfig \u00fcberpr\u00fcft und bei Bedarf aktualisiert, sofern das vereinbarte Gesamtschutzniveau dadurch nicht wesentlich verringert wird.<\/p>\n<p><span class=\"sub-num\">4.3<\/span> Mapp stellt sicher, dass alle zur Verarbeitung der personenbezogenen Daten berechtigten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.<\/p>\n<h2><span class=\"sec-num\">5.<\/span> Pr\u00fcfung und Audits<\/h2>\n<p><span class=\"sub-num\">5.1<\/span> Mapp stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Compliance zur Verf\u00fcgung, einschlie\u00dflich relevanter Zertifizierungen oder Sicherheitsdokumentationen.<\/p>\n<p><span class=\"sub-num\">5.2<\/span> Sollten diese Informationen nicht ausreichen, darf der Kunde einmal pro Jahr ein Audit durchf\u00fchren. Dies muss mit einer Frist von mindestens zwanzig (20) Werktagen angek\u00fcndigt werden. Audits m\u00fcssen:<\/p>\n<ul>\n<li>sich auf die relevanten Dienste beschr\u00e4nken;<\/li>\n<li>den Gesch\u00e4ftsbetrieb nicht unverh\u00e4ltnism\u00e4\u00dfig st\u00f6ren;<\/li>\n<li>strenger Vertraulichkeit unterliegen.<\/li>\n<\/ul>\n<p><span class=\"sub-num\">5.3<\/span> Der Kunde tr\u00e4gt die Kosten des Audits, es sei denn, die Pr\u00fcfung erfolgt auf Anordnung einer Beh\u00f6rde, nach einer best\u00e4tigten Datenpannen oder aufgrund nachgewiesener wesentlicher Vertragsverletzungen durch Mapp.<\/p>\n<p><span class=\"sub-num\">5.4<\/span> Beauftragte externe Pr\u00fcfer m\u00fcssen unabh\u00e4ngig und zur Verschwiegenheit verpflichtet sein und d\u00fcrfen nicht im Wettbewerb zu Mapp stehen.<\/p>\n<h2><span class=\"sec-num\">6.<\/span> Meldung von Datenschutzverletzungen<\/h2>\n<p><span class=\"sub-num\">6.1<\/span> Mapp informiert den Kunden unverz\u00fcglich, sp\u00e4testens jedoch innerhalb von 24 Stunden nach Best\u00e4tigung einer Datenschutzverletzung.<\/p>\n<p><span class=\"sub-num\">6.2<\/span> Die Meldung enth\u00e4lt Details zur Art des Vorfalls, den m\u00f6glichen Auswirkungen und den eingeleiteten Gegenma\u00dfnahmen. Weitere Informationen werden nachgereicht, sobald sie verf\u00fcgbar sind.<\/p>\n<p><span class=\"sub-num\">6.3<\/span> Vorf\u00e4lle, die ausschlie\u00dflich durch Handlungen oder Vers\u00e4umnisse des Kunden verursacht wurden, sind von diesen Verpflichtungen ausgenommen, sofern kein Versto\u00df von Mapp gegen Ma\u00dfnahmen in <a href=\"#appendix-3\">Anhang 3<\/a> vorliegt.<\/p>\n<h2><span class=\"sec-num\">7.<\/span> Rechte der Betroffenen<\/h2>\n<p><span class=\"sub-num\">7.1<\/span> Erh\u00e4lt Mapp eine Anfrage einer betroffenen Person, wird diese ohne Verzug an den Kunden weitergeleitet. Mapp antwortet der Person nur nach ausdr\u00fccklicher Anweisung des Kunden.<\/p>\n<p><span class=\"sub-num\">7.2<\/span> Der Kunde nutzt vorrangig die Funktionen der Dienste, um Anfragen von Betroffenen selbst zu bearbeiten.<\/p>\n<p><span class=\"sub-num\">7.3<\/span> Falls eine Bearbeitung per Self-Service nicht m\u00f6glich ist, unterst\u00fctzt Mapp den Kunden in angemessenem Umfang. Hierf\u00fcr k\u00f6nnen, sofern gesetzlich zul\u00e4ssig, Geb\u00fchren anfallen.<\/p>\n<h2><span class=\"sec-num\">8.<\/span> Weitere Unterst\u00fctzung<\/h2>\n<p><span class=\"sub-num\">8.1<\/span> Mapp unterst\u00fctzt den Kunden bei dessen Datenschutzpflichten (z. B. Sicherheit, Meldepflichten, Datenschutz-Folgenabsch\u00e4tzungen), soweit dies die Verarbeitung unter diesem AVV betrifft.<\/p>\n<p><span class=\"sub-num\">8.2<\/span> Mapp f\u00fchrt ein Verzeichnis ihrer Verarbeitungst\u00e4tigkeiten und stellt dem Kunden auf Anfrage relevante Informationen daraus zur Verf\u00fcgung.<\/p>\n<h2><span class=\"sec-num\">9.<\/span> R\u00fcckgabe und L\u00f6schung von Daten<\/h2>\n<p><span class=\"sub-num\">9.1<\/span> Nach Beendigung des Vertrags wird Mapp nach Wahl des Kunden alle Daten entweder l\u00f6schen oder zur\u00fcckgeben. Die endg\u00fcltige L\u00f6schung erfolgt innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten oder abweichende \u00dcbergangsfristen im Hauptvertrag bestehen.<\/p>\n<p><span class=\"sub-num\">9.2<\/span> Zur Unterst\u00fctzung einer Migration kann die Aufbewahrungsfrist auf bis zu 90 Tage verl\u00e4ngert werden.<\/p>\n<p><span class=\"sub-num\">9.3<\/span> Der Kunde kann w\u00e4hrend dieser Frist eine Kopie der Daten verlangen, wof\u00fcr angemessene Geb\u00fchren anfallen k\u00f6nnen.<\/p>\n<p><span class=\"sub-num\">9.4<\/span> Verschl\u00fcsselte Backups werden gem\u00e4\u00df den Standard-L\u00f6schzyklen von Mapp entfernt.<\/p>\n<p><span class=\"sub-num\">9.5<\/span> Auf Anfrage wird die L\u00f6schung schriftlich best\u00e4tigt.<\/p>\n<p><span class=\"sub-num\">9.6<\/span> Wahrgenommene Rechte zur Datenmitnahme bei Dienst\u00e4nderungen f\u00fchren dazu, dass die L\u00f6schung erst nach Abschluss des entsprechenden \u00dcbergangszeitraums erfolgt.<\/p>\n<h2><span class=\"sec-num\">10.<\/span> Haftung<\/h2>\n<p><span class=\"sub-num\">10.1<\/span> Die Haftung aus diesem AVV unterliegt den im Hauptvertrag (MSA) vereinbarten Haftungsbeschr\u00e4nkungen. Dies gilt als Gesamthaftungssumme f\u00fcr alle Anspr\u00fcche aus dem MSA und allen zugeh\u00f6rigen AVVs der verbundenen Unternehmen.<\/p>\n<p><span class=\"sub-num\">10.2<\/span> Zur Klarstellung: Die maximale Haftung von Mapp gegen\u00fcber dem Kunden und all seinen verbundenen Unternehmen f\u00fcr alle Anspr\u00fcche aus dem MSA und diesem AVV ist auf den im MSA definierten Gesamtbetrag begrenzt.<\/p>\n<p><span class=\"sub-num\">10.3<\/span> Macht eine betroffene Person Anspr\u00fcche gegen eine Partei geltend, unterst\u00fctzen sich die Parteien gegenseitig bei der Verteidigung gegen diese Anspr\u00fcche.<\/p>\n<h2><span class=\"sec-num\">11.<\/span> Anwendbares Recht<\/h2>\n<p><span class=\"sub-num\">11.1<\/span> Dieser AVV unterliegt dem im Hauptvertrag (MSA) vereinbarten Recht. Streitigkeiten werden vor den im MSA festgelegten Gerichten verhandelt.<\/p>\n<p>&nbsp;<\/p>\n<h2 id=\"appendix-1\" style=\"margin-top: 80px\">Anhang 1: Details der Verarbeitung<\/h2>\n<h3>Art und Zweck der Verarbeitung<\/h3>\n<p>Mapp verarbeitet personenbezogene Daten ausschlie\u00dflich zur Erbringung der vertraglich vereinbarten Dienste und strikt nach den dokumentierten Weisungen des Kunden.<\/p>\n<p>Die Verarbeitungst\u00e4tigkeiten umfassen das Erheben, Speichern, Ordnen, Nutzen, Analysieren und Berichten von Daten, die f\u00fcr die Durchf\u00fchrung der Dienste erforderlich sind. Dies kann auch das Umwandeln, Aggregieren, Pseudonymisieren oder Anonymisieren von Daten beinhalten. Mapp erhebt Daten nur dann direkt von Personen, wenn dies vom Kunden explizit initiiert und konfiguriert wurde (z. B. \u00fcber Formulare, APIs oder Tracking-Technologien). Der Kunde legt die Zwecke und wesentlichen Mittel der Verarbeitung fest und tr\u00e4gt die alleinige Verantwortung f\u00fcr die rechtm\u00e4\u00dfige Erhebung und Nutzung der Daten gem\u00e4\u00df den geltenden Datenschutzgesetzen.<\/p>\n<h3>Arten der verarbeiteten Daten<\/h3>\n<p>Mapp verarbeitet personenbezogene Daten im Auftrag des Kunden. Die genauen Datenarten h\u00e4ngen von der jeweiligen Nutzung der Dienste sowie der Plattformkonfiguration durch den Kunden ab. Die Daten umfassen typischerweise Folgendes:<\/p>\n<p><strong>Pers\u00f6nliche Kontaktdaten<\/strong><\/p>\n<ul>\n<li>Vollst\u00e4ndiger Name<\/li>\n<li>E-Mail-Adresse<\/li>\n<li>Telefonnummer<\/li>\n<li>Postanschrift<\/li>\n<\/ul>\n<p><strong>Demografische Daten<\/strong><\/p>\n<ul>\n<li>Alter oder Geburtsdatum<\/li>\n<li>Geschlecht<\/li>\n<li>Sprachpr\u00e4ferenzen<\/li>\n<li>Anrede oder Titel<\/li>\n<\/ul>\n<p><strong>Marketing-Interaktionsdaten<\/strong><\/p>\n<ul>\n<li>Einwilligungsstatus (Opt-in\/Opt-out)<\/li>\n<li>Interaktionsdaten (\u00d6ffnungen, Klicks, Conversions)<\/li>\n<li>Bounces<\/li>\n<\/ul>\n<p><strong>Technische Identifikatoren<\/strong><\/p>\n<ul>\n<li>IP-Adressen<\/li>\n<li>Cookie-IDs<\/li>\n<li>Ger\u00e4te- und Browserinformationen<\/li>\n<li>Referrer-URLs<\/li>\n<li>Zeitstempel<\/li>\n<\/ul>\n<p><strong>Kommerzielle &amp; eigene Daten<\/strong><\/p>\n<ul>\n<li>Produktinteressen<\/li>\n<li>Transaktionsdaten<\/li>\n<li>vom Kunden definierte Zusatzfelder<\/li>\n<\/ul>\n<p><em><strong>Hinweis:<\/strong> Die Dienste sind nicht f\u00fcr die Verarbeitung besonderer Kategorien personenbezogener Daten (gem\u00e4\u00df Artikel 9 DSGVO) oder von Daten \u00fcber Kinder ausgelegt. Eine solche Verarbeitung ist untersagt, es sei denn, sie wurde von Mapp ausdr\u00fccklich schriftlich genehmigt, ist gesetzlich zul\u00e4ssig und entspricht der Nutzungsrichtlinie (Acceptable Use Policy) von Mapp.<\/em><\/p>\n<h3 style=\"margin-top: 60px\">Kategorien betroffener Personen<\/h3>\n<p>Die Kategorien der Personen, deren Daten verarbeitet werden, bestimmt der Kunde durch seine Nutzung der Dienste. Dazu geh\u00f6ren typischerweise:<\/p>\n<ul>\n<li>Kunden, Abonnenten oder Nutzer des Kunden.<\/li>\n<li>Potenzielle Kunden oder Leads (z. B. Marketingkontakte).<\/li>\n<li>Besucher von Websites oder Apps des Kunden.<\/li>\n<li>Empf\u00e4nger von Kampagnen, die durch den Kunden initiiert wurden.<\/li>\n<li>Personen, deren Daten vom Kunden hochgeladen oder anderweitig zur Verf\u00fcgung gestellt wurden.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><em><strong>Hinweis:<\/strong> Der Kunde bestimmt allein, welche Kategorien betroffener Personen durch seine Nutzung der Dienste relevant sind. Mapp legt diese Kategorien nicht fest und verarbeitet Daten f\u00fcr keine anderen Zwecke als die vom Kunden gem\u00e4\u00df der Vereinbarung definierten.<\/em><\/p>\n<h2 id=\"appendix-2\" style=\"margin-top: 80px\">Anhang 2: Unterauftragsverarbeiter<\/h2>\n<h3>Mit Mapp Verbundene Unternehmen mit Sitz im EWR oder UK<\/h3>\n<table style=\"width: 100%;font-family: inherit;font-size: 14px;line-height: 1.5;color: inherit;border-collapse: collapse\">\n<tbody>\n<tr>\n<td style=\"width: 25%;font-family: inherit;font-size: 14px;line-height: 1.5\"><strong>Unternehmen<\/strong><\/td>\n<td style=\"width: 35%;font-family: inherit;font-size: 14px;line-height: 1.5\"><strong>Adresse<\/strong><\/td>\n<td style=\"width: 40%;font-family: inherit;font-size: 14px;line-height: 1.5\"><\/td>\n<\/tr>\n<tr>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Mapp Digital Germany GmbH<\/td>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Sandstr. 3, M\u00fcnchen, Deutschland<\/td>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Software entwicklung, Systembetrieb und -wartung, Kunden-Support.<\/td>\n<\/tr>\n<tr>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Webtrekk GmbH<\/td>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Sch\u00f6nhauser Allee 148, Berlin, Deutschland<\/td>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Software entwicklung, Systembetrieb und -wartung, Kunden-Support.<\/td>\n<\/tr>\n<tr>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Mapp Digital Italy SrL<\/td>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Via Dante 7. Milano, Italien<\/td>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Kunden-Support.<\/td>\n<\/tr>\n<tr>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Mapp Digital France SAS<\/td>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">33 rue Lafayette, Paris, Frankreich<\/td>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Kunden-Support.<\/td>\n<\/tr>\n<tr>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Mapp Digital UK Ltd<\/td>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">75-77 Cornhill, London, Vereinigtes K\u00f6nnigreich<\/td>\n<td style=\"font-family: inherit;font-size: 14px;line-height: 1.5\">Kunden-Support.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Unterauftragsverarbeiter, die f\u00fcr die Erbringung der bestellten Dienste notwendig sind<\/h3>\n<p style=\"font-weight: 400\">Siehe Auftragsformular(e).<\/p>\n<p>&nbsp;<\/p>\n<p style=\"font-weight: 400\"><em>Die aktuelle Liste der eingesetzten Unterauftragsverarbeiter ist jederzeit online abrufbar unter: <a href=\"http:\/\/mapp.com\/trust\">mapp.com\/trust<\/a>.<\/em><\/p>\n<p>&nbsp;<\/p>\n<h2 id=\"appendix-3\" style=\"margin-top: 80px\">Anhang 3: Technische und organisatorische Ma\u00dfnahmen<\/h2>\n<h3>1. Physische Zutrittskontrolle<\/h3>\n<p style=\"font-weight: 400\">Mapp setzt eine Reihe von Ma\u00dfnahmen um, um zu verhindern, dass unbefugte Personen Zutritt zu Datenverarbeitungssystemen erhalten, die zur Verarbeitung oder Verwaltung personenbezogener Daten eingesetzt werden. Diese Ma\u00dfnahmen gelten sowohl f\u00fcr die Rechenzentren von Mapp, in denen die Mapp Marketing Cloud Anwendung und deren Infrastruktur betrieben werden, als auch f\u00fcr die B\u00fcror\u00e4ume. In den B\u00fcror\u00e4umen findet grunds\u00e4tzlich keine lokale Datenverarbeitung statt; Wartungs- und Supportt\u00e4tigkeiten erfolgen \u00fcber Fernzugriff:<\/p>\n<h4>A. Ma\u00dfnahmen in B\u00fcror\u00e4umen<\/h4>\n<ul style=\"font-weight: 400\">\n<li><strong>B\u00fcrosicherheit:<\/strong> Mapp nutzt B\u00fcror\u00e4ume in branchen\u00fcblichen B\u00fcrogeb\u00e4uden mit mehreren Parteien. Diese B\u00fcros sind an allen Eing\u00e4ngen durch elektronische Zutrittskontrollsysteme gesichert. Die B\u00fcros sind in der Regel verschlossen und nur f\u00fcr autorisierte Personen zug\u00e4nglich, die eine Chipkarte oder einen Transponder besitzen.<\/li>\n<li><strong>Ausgabeprozess:<\/strong> Die Ausgabe und Verwaltung von Chipkarten oder Transpondern f\u00fcr Mitarbeitende von Mapp sowie relevante Dienstleister (z.B. Reinigungspersonal) erfolgt nach einem festgelegten Prozess. Dieser Prozess stellt sicher, dass Zutrittsberechtigungen zu Beginn, bei \u00c4nderungen oder bei Beendigung eines Arbeits- oder Dienstleistungsverh\u00e4ltnisses korrekt vergeben und entzogen werden.<\/li>\n<li><strong>Schl\u00fcsselverwaltung:<\/strong> Klassische Schl\u00fcssel werden nur an administratives Personal unter strenger Kontrolle ausgegeben, um den Zutritt zu B\u00fcror\u00e4umen auch dann zu erm\u00f6glichen, wenn ein Zutrittskontrollsystem ausf\u00e4llt. Alle ausgegebenen Schl\u00fcssel, Chipkarten und Transponder sind einzelnen Personen zugeordnet, sodass die Verantwortlichkeit jederzeit nachvollziehbar ist. Nicht zugeordnete Schl\u00fcssel oder Zutrittsmedien werden sicher verwahrt.<\/li>\n<li><strong>Besucherregelung:<\/strong> Externe Besucher erhalten nur nach vorheriger Anmeldung Zutritt zu den B\u00fcror\u00e4umen. Reine, abgetrennte Meeting-Bereiche sind ausgenommen. Besucher m\u00fcssen w\u00e4hrend des gesamten Aufenthalts von Mitarbeitenden oder dem Empfang begleitet werden und haben ein gut sichtbares Besucherausweis-Badge zu tragen.<\/li>\n<li><strong>Video\u00fcberwachung:<\/strong> Die Eingangsbereiche der Mapp-B\u00fcros werden durch Video\u00fcberwachungssysteme \u00fcberwacht. Diese Ma\u00dfnahmen werden unter Beachtung der datenschutzrechtlichen Anforderungen umgesetzt, um abzuschrecken und unberechtigten Zutritt aufkl\u00e4ren zu k\u00f6nnen.<\/li>\n<li><strong>Mobiles Arbeiten:<\/strong> F\u00fcr die physische Sicherheit von Daten und Systemen beim Arbeiten au\u00dferhalb des B\u00fcros bestehen spezielle Vorgaben. Mitarbeitende werden regelm\u00e4\u00dfig geschult, diese Vorgaben einzuhalten und Sicherheitsstandards aufrechtzuerhalten.<\/li>\n<\/ul>\n<h4>B. Ma\u00dfnahmen in Rechenzentren<\/h4>\n<ul style=\"font-weight: 400\">\n<li><strong>Sicherer Betrieb:<\/strong> Alle Serversysteme, auf denen die Mapp Marketing Cloud betrieben wird und die Kundendaten verarbeiten, werden in besonders gesicherten Rechenzentren betrieben. Diese Rechenzentren sind nach internationalen Sicherheitsstandards zertifiziert, mindestens nach ISO 27001. Je nach Service nutzt Mapp Rechenzentrums-Colocations innerhalb der Europ\u00e4ischen Union, in denen Mapp eigene Hardware betreibt, oder cloudbasierte Rechenzentrumsinfrastrukturen, die vom Betreiber verwaltet werden.<\/li>\n<li><strong>Schutzma\u00dfnahmen:<\/strong> Sicherheitsma\u00dfnahmen umfassen bauliche, technische und organisatorische Schutzvorkehrungen nach ISO 27001 Anhang A bzw. ISO 27002, z.B. die Umsetzung von Sicherheitszonen, sichere Schlie\u00dfsysteme, nachvollziehbares Schl\u00fcsselmanagement, strenge Zutrittskontrolle und Protokollierung, starke Authentifizierung, klare Regeln f\u00fcr den Umgang mit Besuchern sowie Zutritts\u00fcberwachung (Alarmanlagen und Video\u00fcberwachung).<\/li>\n<li><strong>Pflichten der Anbieter:<\/strong> Alle Vereinbarungen mit Rechenzentrumsbetreibern definieren Mindestanforderungen an die Sicherheit. F\u00fcr Anbieter cloudbasierter Rechenzentrumsinfrastrukturen stellt Mapp zus\u00e4tzlich die Einhaltung von Standards wie ISO 27017 und ISO 27018 sicher.<\/li>\n<\/ul>\n<h3>2. Systemzugangskontrolle<\/h3>\n<p style=\"font-weight: 400\">Mapp setzt strenge Zugangskontrollen ein, um IT-Systeme vor unbefugter Nutzung zu sch\u00fctzen:<\/p>\n<ul style=\"font-weight: 400\">\n<li><strong>Authentifizierung:<\/strong> Der Zugang zu Mapps IT-Systemen ist streng geregelt. Nutzer m\u00fcssen sich erfolgreich authentifizieren und \u00fcber ausdr\u00fcckliche Zugangsberechtigungen verf\u00fcgen, au\u00dfer bei Ressourcen, die bewusst \u00f6ffentlich zug\u00e4nglich gemacht werden.<\/li>\n<li><strong>Kontoverwaltung:<\/strong> Benutzerkonten werden nach einem klar definierten Prozess verwaltet. Dieser Prozess regelt die Erstellung, \u00c4nderung und Deaktivierung von Konten zu Beginn, bei \u00c4nderungen oder am Ende einer Rolle. Er stellt au\u00dferdem sicher, dass rollenbasierte Zugangsberechtigungen einheitlich angewendet und regelm\u00e4\u00dfig aktualisiert werden. Die Verwaltung ist soweit m\u00f6glich zentralisiert. Konten, die \u00fcber l\u00e4ngere Zeit inaktiv sind, werden automatisch gesperrt.<\/li>\n<li><strong>Nachvollziehbarkeit:<\/strong> Jedes Benutzerkonto ist eindeutig einer Person zugeordnet, um Nachvollziehbarkeit sicherzustellen. Gemeinsame oder anonyme Konten sind nicht zul\u00e4ssig.<\/li>\n<li><strong>Passwortsicherheit:<\/strong> Mapp setzt strenge Passwortrichtlinien um. Nutzer m\u00fcssen Passw\u00f6rter mit einer Mindestl\u00e4nge von 8 Zeichen und ausreichender Komplexit\u00e4t verwenden. Passw\u00f6rter f\u00fcr Administrator- und Servicekonten m\u00fcssen h\u00f6here Anforderungen erf\u00fcllen und mindestens 14 Zeichen umfassen. Passw\u00f6rter m\u00fcssen sich von den letzten acht verwendeten Passw\u00f6rtern unterscheiden. Passw\u00f6rter werden beim ersten Login oder nach einer manuellen R\u00fccksetzung durch Administratoren vom Nutzer ge\u00e4ndert. Das Teilen von Passw\u00f6rtern ist untersagt, und Mitarbeitende werden regelm\u00e4\u00dfig zu sicherem Umgang mit Passw\u00f6rtern geschult. Bei einem Sicherheitsvorfall werden betroffene Passw\u00f6rter sofort gesperrt und m\u00fcssen durch die Nutzer zur\u00fcckgesetzt werden.<\/li>\n<li><strong>Passwortablauf:<\/strong> Kunden k\u00f6nnen die H\u00e4ufigkeit erzwungener Passwort\u00e4nderungen f\u00fcr ihre Konten festlegen. Intern erzwingt Mapp gem\u00e4\u00df Stand der Technik keine regelm\u00e4\u00dfigen Passwortwechsel.<\/li>\n<li><strong>Schutz vor Brute-Force:<\/strong> Nach maximal f\u00fcnf erfolglosen Anmeldeversuchen innerhalb eines definierten Zeitraums wird der Zugang vor\u00fcbergehend gesperrt. Die M\u00f6glichkeit, sich interaktiv \u00fcber eine API an der Mapp Marketing Cloud Anwendung anzumelden, ist technisch unterbunden.<\/li>\n<li><strong>Pr\u00e4ferenzverwaltung:<\/strong> Empf\u00e4nger von E-Mails \u00fcber die Mapp Marketing Cloud Anwendung k\u00f6nnen Abonnements widerrufen oder Pr\u00e4ferenzen \u00fcber einen gesicherten Prozess anpassen. Die Authentifizierung erfolgt typischerweise \u00fcber ein tempor\u00e4res Token, das per E-Mail versendet wird.<\/li>\n<li><strong>Zugang zu Kundensystemen:<\/strong> Kunden sind f\u00fcr die Verwaltung ihrer eigenen Konten und die Sicherung ihrer Zugangsdaten verantwortlich. Die Mapp Marketing Cloud bietet ein anpassbares Rollen- und Berechtigungsmodell, mit dem Kunden Zugangsrechte nach ihren Anforderungen gestalten k\u00f6nnen. Zus\u00e4tzliche Optionen sind Single Sign-On (SSO), die Nutzung von MFA und die Beschr\u00e4nkung des Zugangs auf vordefinierte IP-Adressen.<\/li>\n<li><strong>Support-Zugang:<\/strong> Mitarbeitende, die Supportleistungen erbringen, k\u00f6nnen auf Kundensysteme nur mit Ger\u00e4ten zugreifen, die mit dem internen Netzwerk verbunden sind, oder \u00fcber Ger\u00e4te, die mit MFA abgesichert sind.<\/li>\n<li><strong>Fernzugriff:<\/strong> Fernzugriff auf Mapps internes Netzwerk ist auf firmeneigene Ger\u00e4te beschr\u00e4nkt und erfordert sowohl eine verschl\u00fcsselte VPN-Verbindung als auch Multi-Faktor-Authentifizierung (MFA). Der Zugang zu kritischen Unternehmensanwendungen und Kommunikationssystemen erfordert ebenfalls MFA.<\/li>\n<li><strong>Least Privilege:<\/strong> Privilegierte Zugangsrechte werden nach dem Prinzip der minimal erforderlichen Berechtigung vergeben. Diese Rechte werden regelm\u00e4\u00dfig \u00fcberpr\u00fcft und streng kontrolliert. Protokolle zu Aktivit\u00e4ten privilegierter Konten werden automatisch oder manuell \u00fcberwacht und gepr\u00fcft. Der Einsatz von Superuser-Konten, wie \u201eroot\u201c unter Linux, ist stark eingeschr\u00e4nkt.<\/li>\n<li><strong>Netzwerksegmentierung:<\/strong> Mapps Produktionsnetzwerke sind segmentiert, um sensible Systeme von weniger kritischen Umgebungen zu trennen. Entwicklungs-, Test- und B\u00fcronetzwerke sind von Produktionssystemen isoliert. Demilitarisierte Zonen (DMZ) stellen sicher, dass Kundendaten nicht auf Servern gespeichert werden, die direkt aus dem Internet erreichbar sind.<\/li>\n<li><strong>Abwehr von Netzwerkbedrohungen:<\/strong> Firewalls filtern den gesamten ein- und ausgehenden Netzwerkverkehr. Nicht ben\u00f6tigte Dienste werden blockiert, um Sicherheitsrisiken zu minimieren. An zentralen \u00dcbergabepunkten werden Systeme zur Erkennung und Abwehr von Eindringversuchen eingesetzt, um Bedrohungen zu erkennen und zu verhindern. Firewall-Konfigurationen unterliegen einem strengen Change-Management und werden regelm\u00e4\u00dfig \u00fcberpr\u00fcft.<\/li>\n<li><strong>Protokollierung:<\/strong> Mapp protokolliert sicherheitsrelevante Ereignisse (z.B. Nutzeraktivit\u00e4ten, Systemfehler, Netzwerkauff\u00e4lligkeiten) und wertet diese zentral aus, um verd\u00e4chtiges Verhalten zu erkennen und darauf zu reagieren. Protokolle sind gegen unbefugten Zugriff, Manipulation oder L\u00f6schung gesch\u00fctzt und werden f\u00fcr einen festgelegten Zeitraum aufbewahrt. Synchronisierte Systemuhren stellen konsistente und auswertbare Protokolldaten sicher.<\/li>\n<li><strong>Sichere Software-Entwicklung:<\/strong> Mapp folgt einem sicheren Entwicklungsprozess nach OWASP und integriert Sicherheit in alle Phasen der Softwareentwicklung, von Design bis Wartung. Entwickler werden regelm\u00e4\u00dfig geschult, und der Code wird automatisiert und manuell auf Sicherheit gepr\u00fcft.<\/li>\n<li><strong>Schwachstellenmanagement:<\/strong> Mapp f\u00fchrt mindestens monatliche Schwachstellenscans und j\u00e4hrliche unabh\u00e4ngige Penetrationstests durch, um Risiken fr\u00fchzeitig zu erkennen und diese gem\u00e4\u00df internen Prozessen in angemessener Zeit zu beheben.<\/li>\n<li><strong>Malwareschutz:<\/strong> Alle Windows- und macOS-Systeme sind mit Anti-Malware-L\u00f6sungen ausgestattet, die zentral verwaltet und regelm\u00e4\u00dfig aktualisiert werden.<\/li>\n<li><strong>Systemh\u00e4rtung:<\/strong> Mapps Infrastruktur wird unter Ber\u00fccksichtigung von Branchen-Benchmarks geh\u00e4rtet, z.B. nach den CIS Configuration Standards, um Angriffsfl\u00e4chen zu reduzieren.<\/li>\n<li><strong>Patchmanagement:<\/strong> Sicherheitsupdates f\u00fcr Betriebssysteme und Software werden zeitnah installiert, wo m\u00f6glich automatisiert und auf Basis einer Risikobewertung.<\/li>\n<li><strong>Arbeitsplatzsicherheit:<\/strong> Mitarbeitende sind verpflichtet, ihre Systeme zu sperren, wenn sie den Arbeitsplatz verlassen. Automatische Sperren bei Inaktivit\u00e4t unterst\u00fctzen die Umsetzung, und Mitarbeitende werden regelm\u00e4\u00dfig an diese Vorgabe erinnert.<\/li>\n<li><strong>Sitzungsablauf:<\/strong> Sitzungen in der Mapp Marketing Cloud Anwendung laufen nach 30 Minuten Inaktivit\u00e4t automatisch ab. Nutzer m\u00fcssen sich dann erneut authentifizieren.<\/li>\n<\/ul>\n<h3>3. Zugriffskontrolle auf Daten<\/h3>\n<p style=\"font-weight: 400\">Mapp stellt sicher, dass der Zugang zu Kundendaten streng geregelt und auf autorisierte Personen beschr\u00e4nkt ist:<\/p>\n<ul style=\"font-weight: 400\">\n<li><strong>Autorisierung:<\/strong> Zugangsrechte f\u00fcr Mitarbeitende werden nach einem dokumentierten Freigabeprozess vergeben und entzogen. Die Vergabe erfolgt anhand definierter Rollenprofile oder nach Freigabe durch Vorgesetzte gem\u00e4\u00df dem Need-to-know-Prinzip. Dabei werden auch geografische Beschr\u00e4nkungen aus Kundenvertr\u00e4gen ber\u00fccksichtigt.<\/li>\n<li><strong>Berechtigungspr\u00fcfung:<\/strong> Mitarbeitende k\u00f6nnen Kundendaten nur dann nutzen, wenn dies zur Leistungserbringung erforderlich ist und das System die Berechtigungen des Kontos gepr\u00fcft hat. Zugangsrechte werden regelm\u00e4\u00dfig \u00fcberpr\u00fcft, um sicherzustellen, dass sie weiterhin passend sind.<\/li>\n<li><strong>Kundenverwaltung von Zug\u00e4ngen:<\/strong> Kunden sind f\u00fcr die Verwaltung von Kontoberechtigungen innerhalb ihrer Organisation verantwortlich. Die Mapp Marketing Cloud bietet daf\u00fcr ein flexibles Rollen- und Berechtigungsmodell, damit Kunden Zugangsrechte an ihre operativen Anforderungen anpassen k\u00f6nnen.<\/li>\n<li><strong>Protokolle zur Nachvollziehbarkeit:<\/strong> \u00c4nderungen an Berechtigungen, einschlie\u00dflich Vergabe oder Anpassung von Zugangsrechten, werden protokolliert. Diese Protokolle werden regelm\u00e4\u00dfig gepr\u00fcft und f\u00fcr einen festgelegten Zeitraum sicher aufbewahrt, um unbefugten Zugriff, Manipulation oder L\u00f6schung zu verhindern.<\/li>\n<li><strong>Keine physische Datenverarbeitung:<\/strong> Kundendaten werden ausschlie\u00dflich elektronisch verarbeitet; physische Kopien werden nicht erstellt. Mitarbeitende werden regelm\u00e4\u00dfig zu dieser Vorgabe geschult, um die Einhaltung sicherzustellen.<\/li>\n<li><strong>Unwiderrufliche L\u00f6schung:<\/strong> Kundendaten, die nicht mehr ben\u00f6tigt werden (z.B. bei Vertragsende oder nach einem L\u00f6schersuchen), werden aus Speichersystemen irreversibel gel\u00f6scht. Defekte oder veraltete Datentr\u00e4ger werden durch zertifizierte Dienstleister nach DIN 66399 Schutzklasse 2 vernichtet.<\/li>\n<\/ul>\n<h3>4. Trennungskontrolle<\/h3>\n<p style=\"font-weight: 400\">Mapp setzt robuste Ma\u00dfnahmen um, damit Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden:<\/p>\n<ul style=\"font-weight: 400\">\n<li><strong>Logische Trennung:<\/strong> Daten und Funktionen innerhalb der Mapp Marketing Cloud sind logisch getrennt, sodass die Daten eines Kunden nicht mit Daten eines anderen Kunden eingesehen oder verarbeitet werden k\u00f6nnen. Die Trennung erfolgt auf Anwendungs- und Datenbankebene.<\/li>\n<li><strong>Trennung von Umgebungen:<\/strong> Entwicklungs-, Test- und Produktionsumgebungen sind strikt getrennt, um unbefugten Zugriff oder unbeabsichtigte Offenlegung zu verhindern. Entwickler d\u00fcrfen nicht direkt auf die Produktionsumgebung zugreifen oder dort \u00c4nderungen vornehmen, um Stabilit\u00e4t und Sicherheit zu gew\u00e4hrleisten.<\/li>\n<li><strong>Testdaten:<\/strong> Kundendaten d\u00fcrfen nicht zu Testzwecken verwendet werden, es sei denn, der Kunde weist Mapp ausdr\u00fccklich dazu an.<\/li>\n<li><strong>Trennung von KI-Modellen:<\/strong> Beim Einsatz von KI-Technologien zur Datenanalyse und Vorhersagen nutzt Mapp dedizierte, kundenspezifische Modelle, die ausschlie\u00dflich mit personenbezogenen Daten trainiert werden, die der jeweilige Kunde bereitstellt. Dadurch bleiben Kundendaten logisch getrennt und gesch\u00fctzt. Mapp untersagt strikt, personenbezogene Kundendaten zum Training, Fine-Tuning oder zur Verbesserung \u00f6ffentlicher oder geteilter KI-Modelle zu verwenden.<\/li>\n<li><strong>Ger\u00e4terichtlinie:<\/strong> Mitarbeitende d\u00fcrfen keine privaten Ger\u00e4te f\u00fcr gesch\u00e4ftliche Zwecke nutzen, einschlie\u00dflich des Zugangs zu Kundendaten. Fernzugriff auf interne Netzwerke und Systeme ist auf firmeneigene Ger\u00e4te beschr\u00e4nkt, die abgesichert und zentral verwaltet werden.<\/li>\n<li><strong>Einschr\u00e4nkung Mobiler Ger\u00e4te:<\/strong> Mobile Ger\u00e4te d\u00fcrfen f\u00fcr Unternehmenskommunikation wie E-Mail und Kollaboration genutzt werden, d\u00fcrfen jedoch nicht f\u00fcr den Zugang zu Kundendaten oder administrative T\u00e4tigkeiten verwendet werden. Die Verarbeitung von Kundendaten auf mobilen Ger\u00e4ten ist ausdr\u00fccklich untersagt. Mobile Ger\u00e4te werden zentral verwaltet, und der Netzwerkzugang wird beschr\u00e4nkt, um Risiken zu minimieren.<\/li>\n<\/ul>\n<h3>5. Pseudonymisierung und Verschl\u00fcsselung<\/h3>\n<p style=\"font-weight: 400\">Mapp stellt durch Verschl\u00fcsselung und Pseudonymisierung einen wirksamen Schutz sicher:<\/p>\n<ul style=\"font-weight: 400\">\n<li><strong>Laptop-Verschl\u00fcsselung:<\/strong> Alle Mitarbeiter-Laptops sind mit aktuellen Verschl\u00fcsselungsverfahren (z.B. AES-256) verschl\u00fcsselt, um die auf den Ger\u00e4ten gespeicherten Daten zu sch\u00fctzen.<\/li>\n<li><strong>Verschl\u00fcsselung gespeicherter Daten:<\/strong> In der Mapp Marketing Cloud gespeicherte Kundendaten sind mit aktuellen Standards (z.B. AES-256) verschl\u00fcsselt, ausgenommen Daten, die f\u00fcr Analysezwecke effektiv pseudonymisiert oder anonymisiert sind. Kundenindividuelle oder kundenverwaltete Schl\u00fcssel sind aufgrund der gemeinsam genutzten Infrastruktur nicht praktikabel.<\/li>\n<li><strong>Verschl\u00fcsselte Backups:<\/strong> Sicherungskopien von Kundendaten werden verschl\u00fcsselt. Dies gilt f\u00fcr alle Backups, au\u00dfer solche, die ausschlie\u00dflich pseudonymisierte oder anonymisierte Daten enthalten.<\/li>\n<li><strong>Verschl\u00fcsselte Netzwerkzugriffe:<\/strong> Administrative Zugriffe auf Server sowie Fernzugriffe auf das Netzwerk erfolgen \u00fcber verschl\u00fcsselte Verbindungen, z.B. SSH mit RSA (Mindestschl\u00fcssell\u00e4nge 2048 Bit).<\/li>\n<li><strong>Sicherer Datenaustausch:<\/strong> Mapp bietet verschl\u00fcsselte Datenaustauschm\u00f6glichkeiten wie SFTP. Die Konfigurationen der SFTP-Server werden regelm\u00e4\u00dfig \u00fcberpr\u00fcft und aktualisiert, um Best Practices einzuhalten.<\/li>\n<li><strong>TLS:<\/strong> Der Zugang zu Weboberfl\u00e4chen und APIs der Mapp Marketing Cloud ist mindestens mit TLS 1.2 abgesichert. Mapp verwendet ausschlie\u00dflich SSL-Zertifikate vertrauensw\u00fcrdiger Zertifizierungsstellen. Webserver-Konfigurationen werden regelm\u00e4\u00dfig \u00fcberpr\u00fcft und aktualisiert, um Kompatibilit\u00e4t sicherzustellen und moderne Verschl\u00fcsselungsstandards einzuhalten.<\/li>\n<li><strong>Passwort-Hashes:<\/strong> Nutzerpassw\u00f6rter werden als kryptografische Hashes (z.B. bcrypt) mit Salt gespeichert und niemals im Klartext.<\/li>\n<li><strong>Kryptostandards:<\/strong> Mapp setzt keine kryptografischen Verfahren ein, f\u00fcr die bekannte Schwachstellen bestehen.<\/li>\n<li><strong>Pseudonymisierung:<\/strong> Die Mapp Marketing Cloud bietet Konfigurationsm\u00f6glichkeiten zur Verarbeitung pseudonymisierter oder anonymisierter Daten. Kunden k\u00f6nnen die Umsetzung je nach Use Case anpassen, um Datenschutz- und Compliance-Anforderungen zu erf\u00fcllen.<\/li>\n<\/ul>\n<h3>6. Eingabekontrolle<\/h3>\n<p style=\"font-weight: 400\">Mapp f\u00fchrt detaillierte Protokolle und Kontrollen, um Nachvollziehbarkeit bei Datenzugriffen und \u00c4nderungen sicherzustellen:<\/p>\n<ul style=\"font-weight: 400\">\n<li><strong>Integrit\u00e4t der Protokolle:<\/strong> Alle Aktionen zu Datenzugriff, Eingabe, \u00c4nderung und L\u00f6schung werden detailliert protokolliert. Die Protokolle werden f\u00fcr einen festgelegten Zeitraum aufbewahrt und sind gegen unbefugten Zugriff, Manipulation oder L\u00f6schung gesch\u00fctzt.<\/li>\n<li><strong>Zuordnung:<\/strong> Aktivit\u00e4ten im System sind eindeutig einem authentifizierten Benutzerkonto zugeordnet. Gemeinsame oder anonyme Konten sind strikt untersagt, um Nachvollziehbarkeit sicherzustellen.<\/li>\n<li><strong>Double-Opt-in:<\/strong> Zur Verifizierung von E-Mail-Adressen, die \u00fcber \u00f6ffentlich zug\u00e4ngliche Registrierungsformulare erfasst werden, bietet die Mapp Marketing Cloud ein Double-Opt-in-Verfahren (DOI). Nach Eingabe einer E-Mail-Adresse sendet das System einen Best\u00e4tigungslink an diese Adresse, um sicherzustellen, dass der Inhaber der Registrierung zustimmt. DOI-Best\u00e4tigungsprotokolle werden \u00fcber den gesamten Lebenszyklus des Kontakts aufbewahrt.<\/li>\n<li><strong>Autorisierte Eingaben:<\/strong> Nur autorisierte Personen k\u00f6nnen Daten eingeben, und solche Aktivit\u00e4ten werden im System streng kontrolliert und \u00fcberwacht, um unbefugte \u00c4nderungen zu verhindern.<\/li>\n<\/ul>\n<h3>7. \u00dcbermittlungskontrolle<\/h3>\n<p style=\"font-weight: 400\">Mapp stellt sichere Daten\u00fcbermittlungen sicher und \u00fcberwacht die Einhaltung entsprechender Vorgaben:<\/p>\n<ul style=\"font-weight: 400\">\n<li><strong>Verschl\u00fcsselte Kan\u00e4le:<\/strong> Alle Daten\u00fcbertragungen, einschlie\u00dflich Kundendaten, erfolgen \u00fcber verschl\u00fcsselte Kan\u00e4le. Es werden sichere Protokolle wie SSH und TLS 1.2 oder h\u00f6her eingesetzt.<\/li>\n<li><strong>E-Mail-Infrastruktur:<\/strong> Die Mailing-Infrastruktur der Mapp Marketing Cloud unterst\u00fctzt SPF, DKIM, DMARC und optional BIMI, um ausgehende E-Mails abzusichern und Domain-Missbrauch zu verhindern.<\/li>\n<li><strong>Nachvollziehbarkeit:<\/strong> Protokolle \u00fcber Daten\u00fcbertragungen und Kommunikation werden gef\u00fchrt, um vollst\u00e4ndige Nachvollziehbarkeit sicherzustellen. Diese Protokolle werden sicher gespeichert, gegen unbefugten Zugriff, Manipulation oder L\u00f6schung gesch\u00fctzt und f\u00fcr einen festgelegten Zeitraum aufbewahrt.<\/li>\n<li><strong>Lieferanten:<\/strong> Daten werden nur dann an externe Dienstleister \u00fcbermittelt, wenn dies durch Kundenvertr\u00e4ge autorisiert und f\u00fcr die Leistungserbringung erforderlich ist. Vertr\u00e4ge mit Dienstleistern enthalten Datenschutzklauseln, die an Kundenvereinbarungen ausgerichtet sind und das gleiche Sicherheits- und Compliance-Niveau sicherstellen.<\/li>\n<li><strong>Drittland\u00fcbermittlungen:<\/strong> Personenbezogene Daten werden nur an Organisationen in L\u00e4ndern au\u00dferhalb der EU bzw. des EWR \u00fcbermittelt, die EU-Datenschutzstandards erf\u00fcllen oder gleichwertige Schutzma\u00dfnahmen umsetzen (z.B. Standardvertragsklauseln). Solche \u00dcbermittlungen erfolgen nur mit Autorisierung des Kunden.<\/li>\n<li><strong>Standort der Infrastruktur:<\/strong> Mapp stellt sicher, dass sich die Cloud-Infrastruktur in Rechenzentren innerhalb der EU oder des EWR befindet, sofern der Kunde nicht ausdr\u00fccklich etwas anderes w\u00fcnscht. Ausnahmen, z.B. optionale Datenerhebung au\u00dferhalb der EU f\u00fcr bestimmte Anwendungsf\u00e4lle, werden stets vorab mit dem Kunden vereinbart.<\/li>\n<li><strong>Handhabungsverbote:<\/strong> Mitarbeitende d\u00fcrfen Kundendaten nicht auf tragbaren Datentr\u00e4gern speichern, nicht per E-Mail versenden und keine nicht autorisierten Filesharing-Plattformen nutzen. USB-Ports sind technisch eingeschr\u00e4nkt, und Mitarbeitende werden regelm\u00e4\u00dfig zu sicheren Regeln f\u00fcr den Umgang mit Daten geschult.<\/li>\n<\/ul>\n<h3>8. Verf\u00fcgbarkeitskontrolle und Resilienz<\/h3>\n<p style=\"font-weight: 400\">Mapp stellt die Betriebsf\u00e4higkeit sicher und sch\u00fctzt vor Datenverlust durch umfassende Verf\u00fcgbarkeitsma\u00dfnahmen:<\/p>\n<ul style=\"font-weight: 400\">\n<li><strong>Redundanz der Daten:<\/strong> Kundendaten werden fortlaufend repliziert und t\u00e4glich in geografisch redundanten Standorten gesichert. Die Wiederherstellbarkeit der Backups wird regelm\u00e4\u00dfig getestet, um die Zuverl\u00e4ssigkeit sicherzustellen.<\/li>\n<li><strong>Redundanz der Systeme:<\/strong> Kritische Infrastrukturkomponenten wie Webserver, Firewalls und Netzwerkswitches sind redundant ausgelegt, um die Funktionsf\u00e4higkeit auch bei hoher Last oder beim Ausfall einzelner Komponenten zu gew\u00e4hrleisten.<\/li>\n<li><strong>Kapazit\u00e4tsmanagement:<\/strong> Netzwerkverbindungen, Rechenressourcen und Speichersysteme werden regelm\u00e4\u00dfig \u00fcberpr\u00fcft, um ausreichend Kapazit\u00e4t f\u00fcr aktuelle und zuk\u00fcnftige Anforderungen sicherzustellen. Automatisches und manuelles Monitoring erm\u00f6glicht es, auf Schwankungen und St\u00f6rungen fr\u00fchzeitig zu reagieren.<\/li>\n<li><strong>Wartung:<\/strong> Alle Systeme werden regelm\u00e4\u00dfig gewartet und aktualisiert, um Stabilit\u00e4t, Sicherheit und Leistungsf\u00e4higkeit sicherzustellen. Change-Management-Prozesse werden eingesetzt, um Risiken bei Updates zu minimieren.<\/li>\n<li><strong>DoS-Abwehr:<\/strong> Systeme verf\u00fcgen \u00fcber Ma\u00dfnahmen zur Erkennung und Abwehr der meisten Formen von Denial-of-Service-(DoS)-Angriffen. Wenn automatisierte Ma\u00dfnahmen nicht ausreichen, bestehen manuelle Reaktionsprotokolle.<\/li>\n<li><strong>Disaster Recovery:<\/strong> Mapp verf\u00fcgt \u00fcber umfassende Disaster-Recovery-Pl\u00e4ne zur Wiederherstellung der Services bei gr\u00f6\u00dferen St\u00f6rungen, z.B. bei Rechenzentrumsausf\u00e4llen oder Ransomware-Angriffen. Diese Pl\u00e4ne werden j\u00e4hrlich durch Simulationen und \u00dcbungen getestet, um die Wirksamkeit sicherzustellen.<\/li>\n<li><strong>Physische Schutzma\u00dfnahmen:<\/strong> Die externen Rechenzentren von Mapp verf\u00fcgen \u00fcber bauliche und technische Schutzma\u00dfnahmen zur Minderung von Umweltrisiken wie Feuer, Wasser und Stromausf\u00e4llen. Dazu geh\u00f6ren Brandschutzsysteme (Rauchdetektion und automatische L\u00f6schsysteme), Klimatisierung zur Sicherstellung geeigneter Serverraum-Bedingungen, unterbrechungsfreie Stromversorgung (USV) sowie Diesel-Notstromgeneratoren mit Treibstoffreserven von mindestens 24 Stunden. Alle Schutzma\u00dfnahmen werden regelm\u00e4\u00dfig auf Funktionsf\u00e4higkeit getestet.<\/li>\n<\/ul>\n<h3>9. Auftragskontrolle<\/h3>\n<p style=\"font-weight: 400\">Mapp stellt sicher, dass Kundendaten strikt nach Weisung verarbeitet werden:<\/p>\n<ul style=\"font-weight: 400\">\n<li><strong>Vertraglicher Zweck:<\/strong> Mapp verarbeitet Kundendaten auf Grundlage vertraglicher Vereinbarungen, die Art, Umfang und Zweck der Verarbeitung festlegen. Diese Vereinbarungen regeln die Weisungsbefugnis des Kunden und beschr\u00e4nken die Verarbeitung auf die vereinbarten Zwecke.<\/li>\n<li><strong>Dokumentation:<\/strong> Manuelle Weisungen von Kunden, z.B. Supportanfragen oder besondere Verarbeitungsauftr\u00e4ge, werden systematisch dokumentiert, um Nachvollziehbarkeit und Compliance sicherzustellen.<\/li>\n<li><strong>Umsetzung von Vorgaben:<\/strong> Mapp hat umfassende Vorgaben f\u00fcr den sicheren und regelkonformen Umgang mit Kundendaten etabliert. Mitarbeitende werden regelm\u00e4\u00dfig geschult und sensibilisiert, diese Vorgaben umzusetzen.<\/li>\n<li><strong>Kontrolle von Unterauftragsverarbeitern:<\/strong> Wenn Mapp externe Dienstleister f\u00fcr Verarbeitungst\u00e4tigkeiten einbindet, schlie\u00dft Mapp Auftragsverarbeitungsvertr\u00e4ge mit diesen Anbietern. Diese verpflichten Unterauftragsverarbeiter, die gleichen strengen Anforderungen einzuhalten, die in Kundenvertr\u00e4gen definiert sind. Mapp bewertet und \u00fcberpr\u00fcft die Einhaltung dieser Anforderungen regelm\u00e4\u00dfig, um vertragliche und regulatorische Pflichten sicherzustellen.<\/li>\n<\/ul>\n<h3>10. Datenschutzmanagement<\/h3>\n<p style=\"font-weight: 400\">Mapp verankert Datenschutz in den organisatorischen Abl\u00e4ufen durch ein wirksames Managementsystem:<\/p>\n<ul style=\"font-weight: 400\">\n<li><strong>Managementsystem:<\/strong> Mapp betreibt ein umfassendes Managementsystem f\u00fcr Informationssicherheit, Business Continuity und Datenschutz, das sich an internationalen Standards orientiert, einschlie\u00dflich ISO 27001, ISO 27017, ISO 27018, ISO 22301 und ISO 27701. Diese Systeme sind in unternehmensweite Abl\u00e4ufe eingebettet, um eine einheitliche Umsetzung sicherzustellen.<\/li>\n<li><strong>Rahmenrichtlinie:<\/strong> Eine \u00fcbergeordnete Informationssicherheits- und Datenschutzrichtlinie, die von der Gesch\u00e4ftsleitung genehmigt ist, bildet die Grundlage. Erg\u00e4nzend bestehen detailliertere Richtlinien, die f\u00fcr Mitarbeitende verbindlich sind und j\u00e4hrlich auf Aktualit\u00e4t und Wirksamkeit \u00fcberpr\u00fcft werden.<\/li>\n<li><strong>Schulung und Awareness:<\/strong> Mitarbeitende absolvieren verpflichtende Trainings zu Informationssicherheit und Datenschutz beim Onboarding und j\u00e4hrlich. Zus\u00e4tzlich stellt Mapp regelm\u00e4\u00dfige Updates und Awareness-Ma\u00dfnahmen bereit, um auf neue Bedrohungen, \u00c4nderungen von Vorgaben und Best Practices zu reagieren.<\/li>\n<li><strong>Rollen und Verantwortlichkeiten:<\/strong> Mapp hat klare Rollen f\u00fcr Informationssicherheit und Datenschutz definiert und mit qualifiziertem Personal besetzt, einschlie\u00dflich eines benannten Datenschutzbeauftragten. Ein dediziertes Team steuert die Umsetzung, den Betrieb und die kontinuierliche Verbesserung des Managementsystems und ist von Beginn an in wichtige Gesch\u00e4fts- und IT-Prozesse eingebunden, damit Sicherheits- und Datenschutzanforderungen in Design und Umsetzung ber\u00fccksichtigt werden.<\/li>\n<li><strong>Audits:<\/strong> Regelm\u00e4\u00dfige interne Audits sowie mindestens j\u00e4hrliche externe Audits stellen die Wirksamkeit des Managementsystems sicher. Zentrale Bestandteile von Mapps Managementsystem sind nach ISO 27001 zertifiziert.<\/li>\n<li><strong>Incident Response:<\/strong> Mitarbeitende und relevante Dienstleister sind verpflichtet, vermutete oder tats\u00e4chliche Informationssicherheitsvorf\u00e4lle oder Datenschutzverletzungen unverz\u00fcglich zu melden. Ein definierter Melde- und Eskalationsprozess stellt eine schnelle Eind\u00e4mmung und Behebung sicher. Incident-Response-Prozesse regeln Verantwortlichkeiten f\u00fcr Bewertung, Abhilfema\u00dfnahmen sowie erforderliche Meldungen an Kunden, Aufsichtsbeh\u00f6rden und\/oder betroffene Personen. Alle Vorf\u00e4lle werden nachbereitet (Post-Mortem), um Prozesse zu verbessern und Wiederholungen zu verhindern.<\/li>\n<li><strong>Lieferantensteuerung:<\/strong> Mapp stellt sicher, dass Anforderungen an Informationssicherheit und Datenschutz in Lieferantenvertr\u00e4gen verankert sind. Ein formaler Prozess regelt die regelm\u00e4\u00dfige Bewertung von Lieferanten sowie den Umgang mit \u00c4nderungen oder der Beendigung von Lieferantenbeziehungen.<\/li>\n<\/ul>\n<p style=\"font-weight: 400\"><em>Weitere Informationen zu unseren Sicherheitsstandards und technischen Ma\u00dfnahmen finden Sie unter: <a href=\"http:\/\/mapp.com\/trust\">mapp.com\/trust<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auftragsverarbeitungsvertrag (AVV) Gem\u00e4\u00df Artikel 28 DSGVO Online-Version: v1.1 (g\u00fcltig ab 17. Februar 2026) Dieser AVV ist fester Bestandteil des Hauptvertrags (Master Services Agreement \u2013 \u201eMSA\u201c) oder des jeweiligen Auftragsformulars zwischen den Parteien. 1. Geltungsbereich und&#8230;<\/p>\n","protected":false},"author":18,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"page-templates\/text-template.php","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-13514","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/mapp.com\/de\/wp-json\/wp\/v2\/pages\/13514","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mapp.com\/de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/mapp.com\/de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/mapp.com\/de\/wp-json\/wp\/v2\/users\/18"}],"replies":[{"embeddable":true,"href":"https:\/\/mapp.com\/de\/wp-json\/wp\/v2\/comments?post=13514"}],"version-history":[{"count":6,"href":"https:\/\/mapp.com\/de\/wp-json\/wp\/v2\/pages\/13514\/revisions"}],"predecessor-version":[{"id":13598,"href":"https:\/\/mapp.com\/de\/wp-json\/wp\/v2\/pages\/13514\/revisions\/13598"}],"wp:attachment":[{"href":"https:\/\/mapp.com\/de\/wp-json\/wp\/v2\/media?parent=13514"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}