💡 Trust Center - Security & Datenschutz

Einleitung

Wenn Sie dieses Dokument lesen, nehmen Sie den Datenschutz und Sicherheit ernst – genauso wie wir es tun. 

Wir sind uns bewusst, dass CATHAGO sowohl rechtliche als auch moralische Verantwortung trägt, um die Datenschutzgesetze und Industriestandards einzuhalten. Unser Unternehmenswert, „das Richtige für den Kunden zu tun“, bedeutet für uns, über die gesetzlichen Anforderungen hinauszugehen. Wir hinterfragen unsere Prozesse und setzen alles daran, die Sicherheit Ihrer Daten kontinuierlich zu verbessern.

Das ist nicht nur eine Frage des Anstands, sondern auch eine kluge Geschäftspraktik. Unser Erfolg hängt davon ab, dass wir Ihre Daten sicher aufbewahren, und wir streben danach, ständig neue Wege zu finden, um diese Sicherheit zu optimieren.

Wir möchten sicherstellen, dass alle allgemeinen Sicherheitsfragen in diesem Dokument klar und verständlich beantwortet werden. Sollten Sie darüber hinaus noch Fragen haben, stehen wir Ihnen jederzeit gerne zur Verfügung: emil.buxmann@cathago.de.

E-Mail schreiben

Introduction

If you are reading this document, you take privacy and security seriously - just as we do. 

We recognize that CATHAGO has both legal and moral responsibilities to comply with privacy laws and industry standards. Our company value of “doing the right thing for the customer” means going above and beyond legal requirements. We scrutinize our processes and do everything we can to continuously improve the security of your data.

This is not only a matter of common decency, but also a smart business practice. Our success depends on keeping your data secure, and we strive to constantly find new ways to optimize that security.

We want to make sure that all general security questions are answered clearly and understandably in this document. If you have any further questions, please do not hesitate to contact us at emil.buxmann@cathago.de

 

Write E-Mail
Unterauftragnehmer
Name und Anschrift des Unterauftragnehmers Server Standort Beschreibung der Teilleistungen
Hetzner Online GmbH
Industriestraße 25, 91710 Gunzenhausen
Nürnberg, DE		 Nürnberg, DE Cloud-Hosting
Amazon Web Services Germany GmbH
Krausenstr. 38
10117 Berlin		 Frankfurt, DE Cloud Hosting
Logz SLA
37 Broadhurst Gardens
London, England		 Frankfurt, DE Management System für Log - Ins
Confluent GmbH
Neuturmstraße 5
80331 München, Germany		 Frankfurt, DE Messaging Server für die Kommunikation zwischen den Microservices
GLOBAL RETOOL GROUP GmbH
Wielandstraße
08525 Plauen, Deutschland		 Frankfurt, DE Onboarding Customer Success

Twilio Germany GmbH
Rosenheimer Straße 143c
81671 München

 Frankfurt, DE E-Mail Austausch
Slack Technologies Limited
One Park Place
Hatch Street 2
Dublin, Ireland		 Frankfurt, DE Internes Tool zur Kommunikation im Team
Hubspot Germany GmbH
Am Postbahnhof 17
10243 Berlin, Europe		 Europe CRM
Actual Reports
Aparaaditehas
Kastani 42, 50410 Tartu, Estonia		 Europe System zur Erstellung von Dokumenten
DobbyTec
Registration ID: 14414449
Sepapaja tn 6, 15551 Tallinn, Estonia		 Europe System zum Onboarding von Neukunden
Google Cloud Services
Chaussee d'Etterbeek 180
1040 Brüssel, Belgien		 Europe Cloud Hosting Server
Click up
5 Dame Ln, Dublin 2, D02 HC67, Ireland		 Europe Projektmanagement Software
wird in Kürze gekündigt (04/25):
Nanonets ltd.
2261 Market St #4010, San Francisco, CA 94114, USA		 US
(Data Processing Agreement (DPA) liegt vor)
 OCR Reader
Typesense Inc.
Houston, TX, USA		 Frankfurt, DE Product Information Management Database
Digital Ocean
New York, 101 6th Ave, United States
 
 Frankfurt, DE Cloud Hosting Server
Natif.ai GmbH
Campus Starterzentrum Gebäude A1 1
66123 Saarbrücken
 Saarbrücken, DE OCR Reader
Checkliste technische und organisatorische Maßnahmen

Gibt es geeignete Maßnahmen zur physischen Zugangskontrolle? Maßnahmen, die geeignet sind, Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Maßnahmen, die geeignet sind, Unbefugten den Zugang zu den Räumen, in denen die Datenverarbeitung stattfindet, zu verwehren.

☑ Ja ☐ Nein

  • Alarmanlage
  • Elektronische Zugangssicherung & Dokumentation der Zugänge
  • Besucherausweise
  • Besucher nur in Begleitung von Mitarbeitern
  • Arbeitsanweisungen für Betriebssicherheit & Zutrittskontrolle

Gibt es geeignete Maßnahmen zur logischen Zugangskontrolle? Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

☑ Ja ☐ Nein

Technische Maßnahmen:

  • Starke Passwörter
  • Verwaltung von Benutzerrechten
  • Einsatz von Antivirensoftware
  • Verwendung von VPN für den Fernzugriff
  • Automatische Desktop-Sperre an Arbeitsgeräten
  • Zwei-Faktor-Authentifizierung für kritische Systeme

Organisatorische Maßnahmen:

  • Benutzerrechteverwaltung
  • Erstellen von Benutzerprofilen
  • Arbeitsanweisung Betriebssicherheit und Zugriffskontrolle
  • Mobilgerätepolitik

Gibt es geeignete Maßnahmen zur Berechtigungskontrolle? Maßnahmen, die sicherstellen, dass die zur Nutzung eines Datenverarbeitungssystems Berechtigten nur auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

☑ Ja ☐ Nein

Technische Maßnahmen:

  • physische Löschung von Datenträgern
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei Eingabe, Änderung und Löschung von Daten
  • Zertifizierte SSL-Verschlüsselung

Organisatorische Maßnahmen:

  • Verwendung von Berechtigungskonzepten
  • Mehrere Administratoren
  • Verwaltung von Benutzerrechten durch Administratoren
  • Arbeitsanweisung Kommunikationssicherheit, Arbeitsanweisung Umgang mit Informationen und Werten

Wurden geeignete Maßnahmen zur Trennungskontrolle getroffen? Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können. Dies kann zum Beispiel durch eine logische und physische Trennung der Daten gewährleistet werden.

☑ Ja ☐ Nein

Technische Maßnahmen:

  • Trennung von Produktiv- und Testumgebung
  • physische Trennung von Systemen, Datenbanken und Datenträgern
  • Multi-Tenancy relevanter Anwendungen
  • Getrennte Staging von Entwicklungs-, Test- und Produktionsumgebung

Organisatorische Maßnahmen:

  • Verwendung von Berechtigungskonzepten
  • Mehrere Administratoren
  • Verwaltung von Benutzerrechten durch Administratoren
  • Arbeitsanweisung Sicherheit in der Softwareentwicklung
  • Arbeitsanweisung Betriebssicherheit

Gibt es geeignete Maßnahmen zur Verschlüsselung? Maßnahmen, die personenbezogene Daten so verschlüsseln, dass nur autorisierte Benutzer darauf zugreifen können. Es handelt sich um eine Maßnahme zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung personenbezogener Daten.

☑ Ja ☐ Nein

  • Verwendung verschlüsselter Verbindungen wie HTTPS, SSL
  • Datenbankverschlüsselung
  • Verschlüsselung auf Anwendungsebene (Verschlüsselung von Datenfeldern oder Benutzeranmeldeinformationen usw.)

Gibt es geeignete Maßnahmen zur Pseudonymisierung? Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und geeigneten technischen und organisatorischen Maßnahmen unterliegen.

☑ Ja ☐ Nein

  • Pseudonymisierung der Protokolldateien auf Wunsch des Kunden

Gibt es geeignete Maßnahmen zum Schutz der Privatsphäre bei Heim- oder Telearbeit? Maßnahme zur Bewältigung der zusätzlichen Risiken, die Heim- und Telearbeit in Bezug auf Datenschutz und Cybersicherheit potenziell mit sich bringen.

☑ Ja ☐ Nein

Technische Maßnahmen:

  • Bereitstellung von Firmencomputern
  • obligatorische Nutzung verschlüsselter Kommunikationskanäle (SSL VPN, IPSec VPN)
  • Endgerätesicherheit (Antivirus, Anti-Malware, Firewall-Schutz)
  • Sicheres Dateiübertragungsprotokoll
  • Aktuelle Sicherheitssoftware
  • Sicheres Wi-Fi-Netz

Organisatorische Maßnahmen:

  • Richtlinien für die Reaktion auf Sicherheitsvorfälle und Verstöße gegen den Schutz personenbezogener Daten
  • Regelmäßige Schulungen zum Sicherheitsbewusstsein

Integrität

Gibt es geeignete Maßnahmen für die Transferkontrolle? Maßnahmen, die sicherstellen, dass personenbezogene Daten nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden können, während der elektronischen Übermittlung oder während des Transports oder der Speicherung auf Datenträgern, und dass es möglich ist, zu überprüfen und festzustellen an welche Stellen personenbezogene Daten durch Datenübertragungseinrichtungen übermittelt werden sollen.

☑ Ja ☐ Nein

Technische Maßnahmen:

  • Einsatz von VPN
  • Protokollierung von Zugriffen und Abrufen
  • Bereitstellung über verschlüsselte Verbindungen wie sftp, https und sichere Cloud-Speicher

Organisatorische Maßnahmen:

  • Erhebung regelmäßiger Abruf- und Übermittlungsverfahren
  • Informationssicherheitspolitik, Datenschutzpolitik

Gibt es geeignete Maßnahmen zur Inputkontrolle? Maßnahmen, die sicherstellen, dass im Nachhinein überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten erhoben wurden, in Datenverarbeitungssysteme eingegeben, geändert oder aus ihnen entfernt wurden. Die Eingabekontrolle wird durch die Protokollierung erreicht, die kann auf verschiedenen Ebenen stattfinden (z. B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung).

☑ Ja ☐ Nein

Technische Maßnahmen:

  • Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Manuelle oder automatische Kontrolle der Protokolle

Organisatorische Maßnahmen:

  • Aufbewahrung von Formularen, aus denen Daten in automatisierte Prozesse übernommen wurden
  • Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
  • Nachvollziehbarkeit der Dateneingabe
  • Änderungs- und Löschrechten auf der Basis eines Berechtigungskonzepts
  • Arbeitsanweisung IT-Benutzerordnung

Wurden geeignete Maßnahmen zur Verfügbarkeitskontrolle getroffen? Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (USV, Klimatisierung, Feuerschutz, Datensicherung, sichere Aufbewahrung von Datenträgern, Virenschutz, Raid-Systeme, Festplattenspiegelung usw.).

☑ Ja ☐ Nein

Organisatorische Maßnahmen:

  • Es werden lediglich marktführende Cloud-Anbieter als Dienstleister für Serverkapazitäten genutzt
  • Keine eigenen lokalen Server

Wurden geeignete Maßnahmen zur Kontrolle der Wiederherstellbarkeit getroffen? Maßnahmen zur raschen Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Falle einer physischen oder technischen Störung.

☑ Ja ☐ Nein

Technische Maßnahmen:

  • Wiederherstellbarkeit aus Automatisierungswerkzeugen

Organisatorische Maßnahmen:

  • Regelmäßige Backups auf gesichertem Server

Gibt es geeignete Maßnahmen zur Verwaltung des Datenschutzes? Datenschutzmanagement (DPM) ist die Verwaltung und Überwachung der Datenschutzdienste, die zur Sicherung von Informationen in der Umgebung eingesetzt werden.

☑ Ja ☐ Nein

Organisatorische Maßnahmen:

  • Ernennung eines Datenschutzbeauftragten

Wurde ein Datenschutzbeauftragter (DSB oder ähnliches) benannt? Die Datenschutzbeauftragten müssen mit den für die Erfüllung ihrer Aufgaben erforderlichen Mitteln ausgestattet sein. Die Verantwortlichen müssen unabhängig handeln können und Zugang zur Geschäftsleitung haben.

☑ Ja ☐ Nein

Gibt es geeignete Maßnahmen für das Incident Response Management? Unterstützung bei der Reaktion auf Sicherheitsverletzungen und bei der Bearbeitung von Datenverletzungen.

☑ Ja ☐ Nein

Technische Maßnahmen:

  • Systeme zur Erkennung und Änderung von Vorfällen
  • Erkennung und Vorbeugung von Malware
  • Einsatz einer Firewall und regelmäßige Aktualisierung
  • Einsatz eines Spamfilters und regelmäßige Aktualisierung
  • Einsatz eines Virenscanners und regelmäßige Aktualisierung

Organisatorische Maßnahmen:

  • Prozess für die Erkennung und Meldung von Sicherheitsvorfällen/Datenverletzungen
  • Formalisiertes Verfahren für den Umgang mit Sicherheitsvorfällen

Gibt es geeignete Maßnahmen für den Datenschutz durch Technik und durch Voreinstellungen? Maßnahmen zur Einhaltung der Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen.

☑ Ja ☐ Nein

Technische Maßnahmen:

  • Praktiken der Datenminimierung (es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind)

Gibt es geeignete Maßnahmen zur Auftragskontrolle (Outsourcing, Unterauftragnehmer und Auftragsabwicklung)? Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag des Kunden verarbeitet werden, nur gemäß den Anweisungen des Kunden verarbeitet werden können.

☑ Ja ☐ Nein

Technische Maßnahmen:

  • Zugangskontrollen zur Beschränkung des Zugriffs auf personenbezogene Daten auf der Grundlage von Rollen und Zuständigkeiten
  • Verschlüsselungstechniken zum Schutz personenbezogener Daten während der Speicherung und Übertragung

Organisatorische Maßnahmen:

  • Abschluss der erforderlichen Datenverarbeitungsvereinbarung zur Auftragsverarbeitung oder EU-Standardvertragsklauseln
  • Regelung des Einsatzes weiterer Unterauftragnehmer
  • Sicherstellung der Vernichtung der Daten nach Beendigung des Vertrages
AGBs, Datenschutz, Impressum

Allgemeine Geschäftsbedingungen: https://www.cathago.de/agb

Datenschutzbestimmungen: https://www.cathago.de/datenschutz

Impressum: https://www.cathago.de/impressum

 

Auftragsverarbeitungsvertrag (AVV) herunterladen

Diese Kunden vertrauen uns

Weitere Fragen?