Vulnerability Disclosure Policy (VDP) der mmm message messe & marketing GmbH

Die mmm message messe & marketing GmbH (nachfolgend „mmm GmbH“) misst der Sicherheit, Integrität, Verfügbarkeit und Vertraulichkeit ihrer digitalen Systeme, Anwendungen, Kommunikationswege und Datenverarbeitungsprozesse höchste Bedeutung bei. Vor diesem Hintergrund hat die mmm GmbH diese Vulnerability Disclosure Policy („VDP“) entwickelt und fortlaufend weiterentwickelt. Ziel dieser Policy ist es, einen rechtlich und organisatorisch klar definierten Rahmen für den Umgang mit Hinweisen auf potenzielle technische Sicherheitsauffälligkeiten oder Schwachstellen zu schaffen. Die in dieser Vulnerability Disclosure Policy enthaltenen Regelungen, Einschränkungen und Vorgaben bilden eine wesentliche Grundlage für sämtliche Kommunikations- und Hinweisprozesse im Zusammenhang mit potenziellen technischen Sicherheitsauffälligkeiten gegenüber der mmm GmbH sowie den von ihr betriebenen digitalen Angeboten und Systemen.

Hinweis zu potenziellen technischen Sicherheitsauffälligkeiten
Diese Vulnerability Disclosure Policy („VDP“) dient ausschließlich Informationszwecken.

Die Sicherheit, Integrität, Verfügbarkeit und Vertraulichkeit der von der mmm GmbH betriebenen digitalen Angebote sowie der Schutz personenbezogener Daten besitzen höchste Priorität.

Diese Vulnerability Disclosure Policy gilt insbesondere für:

• azubitage.de
• mmm message messe & marketing GmbH
• sämtliche zugehörigen Subdomains,
• mobile Anwendungen,
• Formulare,
• Schnittstellen,
• APIs,
• Kommunikationssysteme,
• Registrierungs-,
• Bewerbungs-,
• Veranstaltungs-,
• Aussteller-,
• Verwaltungs-
• und sonstige digitale Dienste,
• sowie sämtliche unmittelbar oder mittelbar eingebundenen technischen Systeme, Dienste und Komponenten.

Trotz angemessener technischer und organisatorischer Sicherheitsmaßnahmen kann das Vorhandensein einzelner technischer Schwachstellen oder Sicherheitsrisiken nicht vollständig ausgeschlossen werden.

Hinweise auf potenzielle technische Sicherheitsauffälligkeiten können ausschließlich unter den nachfolgenden Bedingungen mitgeteilt werden.


Keine Zustimmung zu Sicherheitsprüfungen oder technischen Untersuchungen
Diese Vulnerability Disclosure Policy stellt ausdrücklich:

• keine Einwilligung,
• keine Genehmigung,
• keine Aufforderung,
• keine Duldung,
• keine Billigung,
• keine rechtsgeschäftliche Erklärung,
• kein Vertragsangebot,
• keine vorweggenommene Zustimmung,
• keine nachträgliche Zustimmung,
• keinen Verzicht auf Rechte,
• keine Haftungsübernahme,
• sowie keinerlei sonstige rechtliche Legitimation

für Sicherheitsprüfungen, Penetrationstests, Vulnerability-Research, Schwachstellenanalysen, automatisierte Prüfungen oder sonstige technische Untersuchungen unserer Systeme, Anwendungen, Netzwerke, Kommunikationsvorgänge oder Dienste dar.

Insbesondere begründet diese Policy keinerlei Zustimmung zu:

• Penetrationstests,
• Vulnerability-Scans,
• automatisierten Sicherheitsanalysen,
• API-Tests,
• Parameter-Manipulationen,
• Session-, Cookie- oder Token-Manipulationen,
• Authentifizierungsversuchen,
• Rechteausweitungsversuchen,
• Reverse Engineering,
• Quellcodeanalysen,
• Crawling- oder Enumeration-Aktivitäten,
• Scraping,
• Data-Mining,
• Indexierungsmaßnahmen,
• KI-/LLM-gestützten Datenauswertungen,
• automatisierten Datensammlungen,
• Last-, Belastungs- oder Verfügbarkeitsprüfungen,
• Denial-of-Service-Tests,
• Umgehungen technischer Schutzmaßnahmen,
• Eingriffen in Kommunikationsvorgänge,
• oder sonstigen Eingriffen in Systeme, Daten oder Prozesse.

Zulässig sind ausschließlich Hinweise auf potenzielle technische  Auffälligkeiten, die:

• ohne technische Manipulation,
• ohne Umgehung technischer oder organisatorischer Schutzmaßnahmen,
• ohne Authentifizierungsversuche,
• ausschließlich im Rahmen gewöhnlicher bestimmungsgemäßer Nutzung,
• sowie ausschließlich innerhalb der ausdrücklich vorgesehenen öffentlichen Nutzerführung
• festgestellt wurden.

Auch technisch erreichbare, jedoch nicht ausdrücklich zur öffentlichen Interaktion, Nutzung oder Kommunikation bestimmte Inhalte, Systeme, Endpunkte, Parameter, Ressourcen, Schnittstellen, Verzeichnisse, Dateien oder Kommunikationsvorgänge — einschließlich nicht dokumentierter, versteckter, indirekt referenzierter, technisch ableitbarer oder technisch erreichbarer, jedoch nicht ausdeben. Jegliche darüberhinausgehenden Handlungen erfolgen ausschließlich auf eigenes Risiko der handelnden Person und können insbesondere zivilrechtliche, datenschutzrechtliche, wettbewerbsrechtliche oder strafrechtliche Konsequenzen nach sich ziehen.


Kontaktadresse für Hinweise
Hinweise auf potenzielle technische Sicherheitsauffälligkeiten können ausschließlich an folgende Kontaktadresse übermittelt werden: kontakt@mmmgmbh.de.
Alternativ können Hinweise über die allgemeinen Kontaktwege der jeweiligen Webseite übermittelt werden. Bitte beschreiben Sie den Sachverhalt möglichst konkret und nachvollziehbar, insbesondere unter Angabe von:

• betroffener URL oder Komponente,
• Zeitpunkt der Feststellung,
• technischer Beschreibung,
• möglicher Auswirkungen,
• Reproduzierbarkeit,
• sowie gegebenenfalls vorhandener technischer Nachweise.

Besonders geschützte Daten und Systeme
Der Schutz personenbezogener Daten besitzt höchste Priorität. Dies gilt insbesondere für:

• Bewerberdaten,
• Schüler- und Teilnehmerdaten,
• Daten minderjähriger Nutzer,
• Ausstellerdaten,
• Kundendaten,
• Veranstaltungsdaten,
• Kommunikationsdaten,
• Benutzerkonten,
• Administrationsbereiche,
• Datenbanken,
• Sicherungssysteme,
• interne Kommunikationssysteme,
• Verwaltungsbereiche,
• sowie sonstige nicht öffentlich bestimmte Informationen oder Systeme.

Jeglicher Zugriff auf derartige Daten oder Systeme ist unzulässig.


Unzulässige Handlungen
Unzulässig sind insbesondere:

• jegliche aktive Ausnutzung identifizierter oder vermuteter Schwachstellen,
• jegliche Form automatisierter oder massenhafter Analysen,
• Zugriffe auf nicht öffentlich bestimmte Informationen, Systeme oder Kommunikationsvorgänge,
• Authentifizierungsversuche,
• Rechteausweitungsversuche,
• Umgehungen technischer oder organisatorischer Schutzmaßnahmen,
• Manipulationen von Parametern, Sessions, Cookies, Tokens oder Schnittstellen,
• Veränderungen, Löschungen, Verschlüsselungen oder Manipulationen von Daten,
• Upload, Verteilung oder Ausführung von Schadsoftware,
• Belastungs-, Last- oder Verfügbarkeitsprüfungen,
• Denial-of-Service-Aktivitäten,
• Crawling-, Enumeration-, Scraping- oder Indexierungsmaßnahmen,
• Social-Engineering-, Spam-, Phishing- oder Täuschungsangriffe,
• KI-/LLM-gestützte Datensammlungen oder Datenauswertungen,
• Eingriffe in Veranstaltungs-, Registrierungs-, Bewerbungs- oder Ausstellersysteme,
• sowie sämtliche Handlungen, die geeignet sind, den Geschäftsbetrieb, Veranstaltungen, Nutzer, Partner, Dienstleister oder sonstige Dritte zu beeinträchtigen.

Ebenso unzulässig sind Untersuchungen, Analysen oder Tests gegenüber:

• Hosting- oder Infrastrukturpartnern,
• Cloud- oder CDN-Diensten,
• Drittanbietern,
• Zahlungsdiensten,
• Tracking- oder Analysesystemen,
• Kommunikationsplattformen,
• externen Softwarelösungen,

oder sonstigen technischen Dienstleistern.


Keine nachträgliche Zustimmung oder Duldung
Die Entgegennahme, Sichtung, Bearbeitung, Prüfung, Speicherung, Weiterleitung, Beantwortung oder sonstige Behandlung einer Meldung begründet keinerlei:

• Zustimmung,
• Genehmigung,
• Duldung,
• Billigung,
• Verzichtserklärung,
• Haftungsübernahme,
• Vertrauensschutz,
• Rechtsposition,
• oder sonstige rechtliche Bewertung

etwaiger Handlungen der meldenden Person.

Dies gilt ausdrücklich auch dann, wenn:

• keine unmittelbaren rechtlichen Schritte erfolgen,
• eine Kommunikation stattfindet,
• technische Informationen entgegengenommen werden,
• oder Hinweise intern geprüft oder umgesetzt werden.

Auch ein Unterlassen rechtlicher Schritte begründet keinerlei Duldung oder Einverständnis. Die mmm GmbH behält sich ausdrücklich sämtliche Rechte sowie die vollumfängliche rechtliche Prüfung aller Sachverhalte vor.


Vertraulichkeit
Sämtliche Informationen im Zusammenhang mit potenziellen technischen Sicherheitsauffälligkeiten oder Schwachstellen sind vertraulich zu behandeln, soweit dem keine zwingenden gesetzlichen Vorschriften entgegenstehen.

Eine Veröffentlichung, Offenlegung oder Weitergabe an Dritte — insbesondere über Webseiten, Plattformen, soziale Netzwerke, Messenger-Dienste, Datenbanken, Medien oder sonstige öffentliche oder nicht öffentliche Kommunikationskanäle — ist ohne vorherige ausdrückliche schriftliche Zustimmung der mmm message messe & marketing GmbH unzulässig.

Dies gilt insbesondere für:

• technische Details,
• Exploit-Beschreibungen,
• Screenshots,
• Systeminformationen,
• Quellcodebestandteile,
• Datenbankinformationen,
• Kommunikationsinhalte,
• personenbezogene Daten,
• interne Informationen,
• oder Hinweise auf potenzielle Sicherheitsrisiken.

Kein Bug-Bounty- oder Research-Programm
Die mmm GmbH betreibt weder ein öffentliches noch ein privates:

• Bug-Bounty-Programm,
• Vulnerability-Research-Programm,
• Security-Research-Programm,
• Responsible-Disclosure-Programm,
• oder sonstiges Vergütungs- oder Kooperationsmodell für Sicherheitsforschung.

Es besteht insbesondere keinerlei Anspruch auf:

• Vergütung,
• Prämien,
• Aufwendungsersatz,
• Anerkennung,
• Teilnahme an Programmen,
• öffentliche Nennung,
• oder sonstige finanzielle oder nichtfinanzielle Gegenleistungen.

Dies gilt ausdrücklich auch für Hinweise, die über Drittplattformen oder externe Sicherheitsplattformen übermittelt werden.


Umgang mit Hinweisen 
Alle eingehenden Hinweise werden ausschließlich nach pflichtgemäßem Ermessen geprüft. Die mmm GmbH übernimmt insbesondere keinerlei Verpflichtung:

• zur Rückmeldung,
• zur Kommunikation,
• zur Bearbeitung innerhalb bestimmter Fristen,
• zur Umsetzung vorgeschlagener Maßnahmen,
• zur Offenlegung interner Prüfungen,
• zur Offenlegung technischer Bewertungen,
• oder zur Veröffentlichung gemeldeter Sachverhalte.

Hinweise und Kommunikationsvorgänge können zu Zwecken:

• der IT-Sicherheit,
• der Rechtsverfolgung,
• der Beweissicherung,
• der Compliance,
• oder der internen Dokumentation

gespeichert, ausgewertet und an Rechtsberater, Behörden, Gerichte oder sonstige berechtigte Stellen weitergegeben werden.


Technische Schutzmaßnahmen
Die mmm message messe & marketing GmbH behält sich ausdrücklich vor, jederzeit technische Schutzmaßnahmen, Zugriffsbeschränkungen, Sperrungen, IP-Blockierungen, Account-Sperrungen, Filtermaßnahmen, Monitoringmaßnahmen oder sonstige Sicherheitsmaßnahmen zu implementieren, anzupassen, zu erweitern oder zu verschärfen.


Haftungsausschluss
Die mmm GmbH übernimmt keinerlei Gewähr oder Haftung dafür,

• dass Kommunikationswege jederzeit verfügbar, sicher oder fehlerfrei sind,
• dass Hinweise vollständig oder unverändert eingehen,
• dass Hinweise bearbeitet oder beantwortet werden,
• dass gemeldete Sachverhalte tatsächlich Sicherheitslücken darstellen,
• oder dass gemeldete Sachverhalte behoben werden.

Soweit gesetzlich zulässig, ist jegliche Haftung der mmm GmbH im Zusammenhang mit Hinweisen, Kommunikationsvorgängen oder deren Bearbeitung ausgeschlossen.


Datenschutz
Im Zusammenhang mit eingehenden Hinweisen verarbeitete personenbezogene Daten werden ausschließlich zum Zweck:

• der Bearbeitung,
• Bewertung,
• Dokumentation,
• Beweissicherung,
• Rechtsverfolgung,
• sowie der Gewährleistung der Sicherheit, Integrität und Verfügbarkeit unserer Systeme und Dienstleistungen

verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen zum Datenschutz finden Sie unter:

• Datenschutzerklärung der azubitage.de
• Datenschutzerklärung der mmmgmbh.de

Änderungsvorbehalt
Die mmm GmbH behält sich vor, diese Vulnerability Disclosure Policy jederzeit ganz oder teilweise:

• zu ändern,
• zu ergänzen,
• einzuschränken,
• auszusetzen,
• oder vollständig einzustellen.
• Aus dieser Policy ergeben sich keinerlei:
• dauerhafte Rechte,
• Vertrauensschutzwirkungen,
• Duldungstatbestände,
• Rechtspositionen,
• oder sonstige Ansprüche.

Anwendbares Recht und Gerichtsstand
Es gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss kollisionsrechtlicher Vorschriften.
Soweit gesetzlich zulässig, ist ausschließlicher Gerichtsstand für sämtliche Streitigkeiten im Zusammenhang mit dieser Policy der Sitz der mmm message messe & marketing GmbH.


Rechtlicher Hinweis
Diese Vulnerability Disclosure Policy begründet keinerlei Verzicht auf gesetzliche, vertragliche oder sonstige Rechte der mmm message messe & marketing GmbH.
Unzulässige Handlungen können insbesondere zivilrechtliche, datenschutzrechtliche, wettbewerbsrechtliche oder strafrechtliche Konsequenzen — insbesondere nach §§ 202a ff. StGB — nach sich ziehen.
Die mmm GmbH behält sich ausdrücklich sämtliche rechtlichen Schritte vor.


Salvatorische Klausel
Sollten einzelne Bestimmungen dieser Vulnerability Disclosure Policy ganz oder teilweise unwirksam, undurchführbar oder nicht durchsetzbar sein oder werden, berührt dies die Wirksamkeit und Durchsetzbarkeit der übrigen Bestimmungen nicht.
Dies gilt auch dann, wenn einzelne Regelungen ganz oder teilweise unwirksam oder undurchsetzbar sein sollten.




Stand: 01.05.2026
© mmm message messe & marketing GmbH


Die Auswahl, Struktur, Systematik sowie sprachliche und inhaltliche Ausgestaltung dieser Vulnerability Disclosure Policy wurden individuell entwickelt und stellen eine eigenständige geschäftliche Leistung der mmm GmbH dar.

Eine unautorisierte Übernahme, Vervielfältigung, Veröffentlichung, Verwertung oder inhaltlich wesentliche Anlehnung — ganz oder teilweise — kann insbesondere eine unzulässige Leistungsübernahme im Sinne von § 4 Nr. 3 UWG sowie weitere zivilrechtliche Ansprüche begründen.