Privacy & Security Hub.

Im obenstehenden Schaubild (Stand 10/2025) sehen Sie einen Überblick über die technische Infrastruktur von snapAddy. Unsere Business-Logik wird ausschließlich in Rechenzentren in Frankfurt am Main (AWS-Zone: eu-central-1) abgebildet. Die einzelnen Services befinden sich geschützt in einem privaten VPC und sind für höchste Ausfallsicherheit über drei voneinander unabhängige availability zones verteilt.

Data-Flow snapAddy Clients – Allgemein

Das Datenfluss-Diagramm zeigt verschiedenen Datenquellen, welche von snapAddy verwendet werden, um Kontaktdaten und -vorschläge zu generieren und bestehende Daten anzureichern und die Verbindung zu Ihrem CRM-System, welche für den jeweiligen Export genutzt wird.

Außerdem wird das manuelle Hochladen von Bestandsdaten über Excel- oder CSV-Dateien, welche aus Ihrem CRM oder einer anderen Datenquelle exportiert wurden dargestellt.

CRM-Verbindungen

Das Sequenzdiagramm beschreibt den technischen Ablauf unseres Dublettenchecks in DataAgents sowie unseren beiden Apps BusinessCards und VisitReport. Zunächst werden durch den Benutzer eingegebene Daten auf Dubletten in Ihrem CRM-System überprüft. Hierfür werden je nach CRM verschiedene Verbindungsmöglichkeiten, wie beispielsweise OAuth angeboten. Sollte eine Dublette in Ihrem CRM gefunden werden, sehen Sie die durch snapAddy erkannten Unterschiede in einem übersichtlichen Merge-View. Hier können Sie auswählen, welche Daten Sie übernehme und welche Sie verwerfen möchten. Auf Ihren Wunsch hin, werden die Daten anschließend in Ihrem CRM angelegt beziehungsweise aktualisiert.

Von allen Datenbanken, die snapAddy zum produktiven Betrieb seiner Produkte verwendet, werden täglich automatisch Backups via RDS Snapshots erstellt. Zudem werden regelmäßig Snapshots der Transaktionslogs erstellt, wodurch wir unsere Datenbanken auf einen bestimmten Zeitpunkt (wenige Minuten vor einem etwaigen Absturz) wiederherstellen können. Die RDS Snapshots und Transaktionslogs werden in Amazon S3 gespeichert und 30 Tage aufbewahrt.

Bei den von snapAddy verwendete S3 Buckets ist eine Objekt-Versionierung aktiviert. Alte Versionen und gelöschte Objekte können damit innerhalb eines Zeitraums von 30 Tagen wiederhergestellt werden.

Gelöschte Daten werden zuerst zur Löschung markiert und nach 30 Tagen endgültig gelöscht. Innerhalb dieses Zeitraums können unsere Support-Mitarbeiter versehentlich gelöschte Daten wiederherstellen.

Alle Anfragen an und zwischen unseren Servern sind mit Transportverschlüsselung geschützt. Durch HSTS und die Weiterleitung von HTTP auf HTTPS wird die Verschlüsselung von externem Traffic sichergestellt. Unsere Server unterstützen TLS 1.2 und 1.3 mit starken Cipher-Suites. Bei internen Verbindungen zwischen unseren Servern wird mTLS 1.3 verwendet. Mit diesen Maßnahmen erreichen wir eine A+ Bewertung beim SSL Server Test von SSL Labs (https://www.ssllabs.com/ssltest/analyze.html?d=app.snapaddy.com).

Alle Datenbanken und S3 Buckets mit Kundendaten sind mit AES-256 verschlüsselt. Die Verschlüsselungsschlüssel der Datenbanken werden mit Masterschlüsseln verschlüsselt, die von AWS im Key Management Service (KMS) verwaltet werden. Die KMS-Masterschlüssel sind auf Hardware-Sicherheitsmodulen (HSMs), validiert mit FIPS-140-2 Level 2 (Level 3 in einigen Kategorien), gespeichert. Weitere Details finden Sie in ISMS (Kapitel 3.2).

Zur Authentifizierung bei snapAddy stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Einerseits können Sie einen klassischen Login via Usernamen und Passwort nutzen, welcher optional mittels 2-Faktor-Authenfizierung geschützt werden kann. Andererseits bieten wir unseren Kunden einen Single-Sign-On entweder über OAuth (OpenID-Connect; für die drei Identity Provider Microsoft, Google und Apple) oder eine SAML-Integration mit dem Identify Provider Ihrer Wahl an. Weitere Informationen zur Einrichtung von SAML finden Sie unter: How to set up SAML 2.0 Single Sign-On

Administratoren einer snapAddy-Organisation können Ihren Benutzern Rollen zuweisen, auf deren Grundlage Benutzerrechte definiert sind. Diese Rolle schränken den Zugriff auf bestimmte Ressourcen ein und können granular vergeben werden.

Eine Übersicht über die verfügbaren Rollen finden Sie hier:

https://help.snapaddy.com/en/articles/2547674-what-do-the-user-roles-reporter-user-template-curator-template-manager-and-admin-mean

Um die Funktion der E-Mail-Kontaktvorschläge nutzen zu können, muss eine Verbindung zwischen snapAddy und Ihrem E-Mail-Postfach hergestellt werden. Hierbei stehen Ihnen zwei Verbindungsarten zur Verfügung. Entweder Sie stellen die Verbindung mittels einer snapAddy-OAuth-Applikation zu einem Microsoft-Postfach her oder Sie nutzen eine klassische Verbindung via IMAP. Da sich diese beiden Verbindungsarten technisch voneinander unterscheiden, werden die jeweiligen Sicherheitsaspekte im Folgenden separat betrachtet.

Verbindung via snapAddy-OAuth-Applikation

Zur Verbindung Ihres Microsoft-E-Mail-Postfaches müssen Sie der snapAddy Suggestions OAuth-Applikation Zugriff auf die Berechtigungen Mail.Read, User.Read und offline_access erteilen. Gegebenenfalls muss dieser Zugriff durch den Azure-Administrator Ihrer Organisation bestätigt werden. Anschließend registriert snapAddy in Ihrem Namen eine Subscription über die Microsoft Graph API, welche snapAddy per Webhook informiert, sobald eine neue E-Mail zur Verarbeitung in Ihrem Postfach eintrifft. Wenn snapAddy eine solche Benachrichtigung erhält, rufen wir die E-Mail aus Ihrem Postfach ab und extrahieren mögliche Signaturen. Der Inhalt der E-Mail wird von uns dabei zu keiner Zeit gespeichert oder geloggt. Alle Daten liegen grundsätzlich nur flüchtig und nur im Moment der Verarbeitung (parsing) vor.

Verbindung via IMAP

Die Verbindung via IMAP erfolgt mit Hilfe der regulären Zugangsdaten zu Ihrem IMAP-Postfach. Das Passwort wird dabei, zusätzlich zu unserer generellen Verschlüsselung der Datenbank, mit Hilfe eines 256bit AES-CBC Secrets mit einem randomisierten Vektor initialisiert. Der Verschlüsselungs-Schlüssel wird mittels PBKD2 von einem internen Secret und einem randomisierten Salt abgeleitet. Das gespeicherte Passwort ist durch einen Nutzer nicht mehr abrufbar und wird lediglich für die serverseitige Verbindung zu Ihrem Postfach benötigt. Falls Sie die Möglichkeit haben, sogenannte App-Passwörter zu verwenden, welche ein separates Passwort für Drittanbieter-Integrationen Ihres IMAP-Postfachs zulässt, empfehlen wir Ihnen, diesen Weg zu wählen. Siehe hierzu beispielsweise: https://support.google.com/mail/answer/185833?hl=de

Für beide Fälle gilt, dass niemals der Inhalt Ihrer E-Mails gespeichert oder geloggt wird. Die E-Mails liegen lediglich für den Moment der Verarbeitung im Arbeitsspeicher vor und werden anschließend von unserer Seite verworfen. Zusätzlich können E-Mails mit bestimmten Absender-Domains komplett von der Verarbeitung durch dieses Features ausgeschlossen werden.

Außerdem werden Kontaktvorschläge, die auf eingehenden E-Mails basieren, ausschließlich in der vom Nutzer selbst gewählte snapAddy-Kontaktliste hinterlegt. Jeder Nutzer kann eigenständig festlegen, wer Zugriff auf diese Liste hat.

Warum sollte ich meinen (ausgehenden) E-Mail-Server verbinden?
Einige Funktionen von snapAddy VisitReport benötigen für den Versand von E-Mails einen von Ihnen hinterlegten, ausgehenden E-Mail-Server. Dazu zählt der automatische Versand von sogenannten „Notification-E-Mails“ beim Export von Besuchsberichten aus der VisitReport-App sowie der Versand von Dankes-Mails an die erfassten Gesprächspartner.

Wie kann ich die Verbindung herstellen?

Wir empfehlen für den Versand von E-Mails über snapAddy einen eigenen SMTP-Benutzer (im Folgenden: „technischer Nutzer“) einzurichten. Dieser technische Nutzer sollte mit einem sicheren Passwort versehen werden, das an keiner anderen Stelle verwendet wird und damit wie ein API-Token behandelt werden kann.

Je nach Funktionsumfang Ihres E-Mail-Servers können die Berechtigungen des technischen Nutzers auch erheblich eingeschränkt werden (z.B. im Fall von Notification-E-Mails auf den Versand von E-Mails innerhalb Ihrer eigenen Domäne beschränkt etc.).

Ist die Verbindung über SMTP sicher?

Der Verbindungsaufbau von snapAddy zu Ihrem E-Mail-Server über SMTP ist durch moderne Verschlüsslungsverfahren abgesichert: snapAddy unterstützen alle gängigen Standards für verschlüsselte SMTP-Verbindungen (SSL/TLS und STARTTLS) und die von Ihnen hinterlegten SMTP-Zugangsdaten werden ebenfalls verschlüsselt gespeichert.

Wenn Sie den verwendeten SMTP-Benutzer wie oben empfohlen als „technischen Nutzer“ einrichten, müssen Sie kein anderweitig verwendetes Passwort an snapAddy weitergeben und haben außerdem die volle Kontrolle darüber, an welche Empfänger E-Mails versendet werden dürfen. Auch über beim E-Mail-Versand möglicherweise auftretende Fehler (wie z.B. Bounces) haben Sie mit Ihrem eigenen E-Mail-Server volle Transparenz.

Werden auch Verfahren wie SPF oder DKIM angeboten?

Aktuell werden diese Verfahren nicht angeboten, da snapAddy keine eigene E-Mail-Server-Infrastruktur betreibt. Für das Einsatzszenario im Kontext von snapAddy VisitReport bieten SPF und DKIM auch keine zusätzliche Sicherheit, sondern würden im Gegenteil nur die pauschale Freigabe von snapAddy-IP-Adressen als legitimen Absender für alle E-Mail-Adressen in Ihrer Domain zulassen.

Die genannten Verfahren würden also wesentlich mehr Rechte einräumen als benötigt (insbesondere den Versand von E-Mails im Namen jeder möglichen Absenderadresse in Ihrer Domain). Mit dem oben beschriebenen Vorgehen via SMTP-Benutzer ist eine sehr viel restriktivere und damit potenziell sicherere Konfiguration möglich.

Sollten Sie dennoch keine SMTP-Zugangsdaten an snapAddy weitergeben wollen, sondern stattdessen SPF oder DKIM verwenden, so empfehlen wir die Konfiguration eines SMTP-Relay-Servers über einen externen Anbieter.

Zur Überwachung der Netzwerkaktivtäten in unserer Infrastruktur setzen wir das Intrusion Detection System (IDS) Amazon GuardDuty ein. GuardDuty analysiert Audit, DNS und Netzwerk-Logs und benachrichtigt bei verdächtigen Aktivitäten. Mehr Informationen zu GuardDuty finden Sie hier: https://aws.amazon.com/guardduty/

Daneben lassen wir unsere System regelmäßig extern durch sogenannte Penetrationstests prüfen. Dafür arbeiten wir mit dem renommierten Dienstleister CRISEC zusammen.

Auf Infrastruktur-Ebene hat nur eine sehr kleine Gruppe von langjährigen snapAddy-Mitarbeitern vollen Zugriff auf die Produktionsumgebungen. Dieser Zugang ist über das AWS Rechte- und Rollenkonzept geregelt und kann transparent über Audit Logs nachvollzogen werden.

Auf Applikationsebene hat ein weiterer Teil von Mitarbeitern für Supportprozesse eingeschränkten Zugang zu Kundenorganisationen. Diese Accounts sind zusätzlich durch Zweifaktorauthentifizierung abgesichert. Aktivitäten können über Audit Logs nachverfolgt werden.

Informationen über die von Ihnen bei uns erhobenen und gespeicherten Daten und Ihre damit in Verbindung stehenden Rechte finden Sie hier:

Download Allgemeine Datenschutzbelehrung

Mit den Lösungen von snapAddy erfassen oder reichern die Mitarbeiter Ihres Unternehmens Kontaktdaten mit ihnen zugänglichen Daten (Visitenkarte, E-Mail-Signatur) oder öffentlichen Quellen (Webseiten, Google Maps, Business Netzwerke) an und erstellen so neue Kontakte oder aktualisieren bzw. ergänzen diese in Ihrem CRM-System.

Die Lösungen von snapAddy verarbeiten personenbezogene Kontaktdaten, die den Mitarbeitern Ihres Unternehmens auch ohne den Einsatz von snapAddy-Software (in unstrukturierter Form) zur Verfügung stehen würden. Dies umfasst sowohl Daten aus Quellen, die nur Ihrem Unternehmen zugänglich sind (z.B. Visitenkarten, E-Mail-Postfächer), als auch öffentliche Datenquellen (z.B. Impressumseiten, Business Netzwerke).

Durch die snapAddy-Lösungen wird die Erfassung von Kontaktdaten aus solchen Quellen für Ihre Mitarbeiter erleichtert und teilweise automatisiert. snapAddy nutzt über die genannten externen Quellen hinaus keine eigene, interne Datenbank mit Kontaktdaten, die für die Anreicherung oder Ergänzung von Kontakten verwendet würden.

Datenquellen:

• E-Mail-Signaturen

• Webseiten & Impressum

• Google Maps

• Visitenkarten

• Business-Netzwerke

Die Datenhaltung und die Geschäftslogik unserer Softwarelösungen werden bei Amazon Web Services (AWS) in Frankfurt am Main in Deutschland realisiert. Die Verarbeitung von personenbezogenen Daten findet somit ausschließlich in der EU bzw. Deutschland statt und solche Daten verlassen die europäischen Grenzen zu keinem Zeitpunkt. Wir haben mit AWS als Unterauftragnehmer alle für die DSGVO notwendigen Verträge geschlossen; darüber hinaus ist unser Hosting-Anbieter ISO-zertifiziert.

Nein, Ihre Kundendaten und die von Ihnen erfassten Kontakte werden nicht mit anderen Unternehmen geteilt oder zum Aufbau einer Kontakt-Datenbank verwendet. Alle von Ihnen erfassten Kontaktdaten sind ausschließlich für Ihr Unternehmen zugänglich.

Üblicherweise werden erfasste Kontakte von unseren Kunden nicht langfristig in den snapAddy-Lösungen aufbewahrt, sondern nach der Bearbeitung in ein CRM-System (bzw. Excel etc.) exportiert. Nach einer Löschung der Daten in der snapAddy-Software werden diese nach Einhaltung der Backup-Fristen endgültig aus unseren Systemen gelöscht.

Als Administrator können Sie in der snapAddy-Software einstellen, dass erfasste Daten nach dem Export automatisch aus snapAddy DataQuality gelöscht werden.

Neben dem AV-Vertrag gibt es technische und organisatorische Maßnahmen (TOMs), die zur Sicherstellung der Datensicherheit getroffen werden. Diese Maßnahmen entsprechen den Standards, die von der DSGVO gefordert werden.

Hier können Sie sich eine Übersicht über unsere TOMs herunterladen:
Download TOMs

Für den Einsatz unserer Produkte verwenden wir als Unterauftragnehmer den Cloud-Hosting-Anbieter Amazon Web Services (AWS) und für die Texterkennung (OCR) auf Visitenkarten den Cloud Vision-Dienst von Google.

Sie finden eine vollständige Liste der Unterauftragnehmer in unserem AV-Vertrag:

Download AV-Vertrag

Durch die Nutzung von snapAddy-Software werden Ihre bisherigen Regelungen und Prozesse, die für die Anlage von neuen Kontakten oder Leads in Ihrem CRM- oder anderen Systemen gelten, nicht grundlegend verändert. Es wird lediglich die bisher manuelle Anlage eines neuen Kontaktes teilweise automatisiert.

Ihre Mitarbeiter und CRM-Nutzer müssen sich bei der Benutzung der Software natürlich an geltendes Recht halten und gegebenenfalls die Einwilligungen der verarbeiteten Personen einholen.

Wenn zum Beispiel eine aktuelle Geschäftsanbahnung ansteht und Ihre Mitarbeiter aus berechtigtem Interesse einen Lead im CRM-System erstellen, dann wird dieser zulässige, manuelle Schritt durch snapAddy lediglich automatisiert. Falls Ihre Mitarbeiter in großen Mengen unerlaubt Kontaktdaten ohne die Einwilligung der betroffenen Person im CRM speichern, wäre diese Handlung nicht DSGVO-konform, unabhängig davon ob dabei snapAddy-Software zum Einsatz kommt oder nicht.

Durch die Generierung von Aktualisierungsvorschläge für Kontakte auf Basis von Ihnen zugänglichen oder öffentlichen Quellen (Visitenkarten, E-Mail-Signaturen, Business Netzwerke) wird zusätzlich positiv auf die Grundsätze der DSGVO (nämlich dem Prinzip der Richtigkeit gespeicherter Daten) eingezahlt.

Da mit den snapAddy-Lösungen personenbezogene Daten verarbeitet werden, müssen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO mit snapAddy schließen.

In diesem Vertrag sind alle wichtigen Rechte und Pflichten für Sie als Auftraggeber und uns als Auftragnehmer geregelt. Nutzen Sie dazu bitte unseren Mustervertrag, den Sie unterschrieben an legal@snapaddy.com zurücksenden können.

Download AV-Vertrag

Individueller Auftragsverarbeitungsvertrag

Falls Sie eigene Formulare zur Auftragsverarbeitung erstellt haben und eine Prüfung und Befüllung mit Informationen unsererseits wünschen, ist dies ebenfalls möglich. Allerdings müssen wir die Kosten für die juristische Prüfung Ihrer Dokumente in Rechnung stellen.

Bei einem Datentransfer in ein Drittland sind umfassende datenschutz­rechtliche Maßnahmen vorzunehmen wie z.B. der Abschluss von Standard­vertragsklauseln und die Durchführung einer Daten­transfer­folgen­abschätzung, um zu prüfen, ob die Daten­verarbeitung im Drittland zulässig ist. Im Fall der Daten­verarbeitung in den USA gibt es den Angemessenheits­beschluss „Data Privacy Framework“, der greift, sofern ein Dienstleister hierunter zertifiziert ist. Bei snapAddy greifen wir auf den Hosting Anbieter Amazon Web Services (AWS) zur Speicherung von Daten zurück. Alle Daten werden in einem Rechenzentrum in Frankfurt am Main verarbeitet und verlassen somit nicht die Europäische Union.

Die Lösungen von snapAddy erstellen keine Kopie der Daten in Ihrem CRM-System, sondern basieren auf bidirektionalen Schnittstellen, die die für die jeweilige Aktion benötigten Informationen live aus Ihrem CRM-System abrufen. Dazu gehört zum Beispiel der automatische Dublettencheck, der bei Aufruf live in Ihrem CRM nach möglichen Dubletten eines Kontaktes sucht.

Wir haben die SiDIT GmbH als externen Datenschutzbeauftragen beauftragt. Sie erreichen den Datenschutzbeauftragten unter folgenden Kontaktdaten:

SiDIT GmbH
Tel.: +49 931 78 08 770
E-Mail: legal@snapaddy.com

Ja, auf einen Teil unserer Angebote. Die EU‑KI‑Verordnung (AI Act) gilt natürlich grundsätzlich auch für einen kleinen Teil der Produkte von snapAddy. Wir sind nach der KI‑VO aber ausschließlich Betreiber (Deployer) sicher integrierter KI‑Dienste Dritter – wir bringen keine eigenen KI‑Systeme als Anbieter in Verkehr. Unsere Funktionen fallen natürlich auch nicht in verbotene oder hochriskante Bereiche. Wir kennzeichnen KI‑Features transparent, nutzen keine Kundendaten zum Modelltraining und erfüllen die für Betreiber geltenden Anforderungen. Details finden Sie in unserem Infopapier.

Download EU AI Act & die Nutzung von snapAddy