BlogDatenräumePapermark SOC 2 Type II Compliance 2026: Prüfungsumfang und die 5 Trust Services-Kriterien

Papermark SOC 2 Type II Compliance 2026: Prüfungsumfang und die 5 Trust Services-Kriterien

8 Min. Lesezeit
Marc Seitz

Marc Seitz

Papermark ist SOC 2 Type II compliant. Die Prüfung umfasst die AICPA Trust Services-Kriterien (Sicherheit, Verfügbarkeit, Vertraulichkeit) für unseren virtuellen Datenraum, die Dokumentenfreigabe und die Analyseplattform. Für die vollständige Sicherheits- und Compliance-Übersicht (Verschlüsselung, Hosting-Regionen, Zertifizierungen, Subunternehmer) siehe die Papermark Sicherheitsseite.

Papermark Virtual Data Room Oberfläche

Dieser Leitfaden erklärt, was SOC 2 Type II bedeutet, was unsere Prüfung umfasst und warum es für Beschaffungsteams wichtig ist, die Papermark für M&A, Fundraising und regulierte Workflows evaluieren.

Kurze Zusammenfassung

  • SOC 2 (System and Organization Controls 2) ist ein AICPA-Prüfungsstandard für Dienstleister zur Bewertung von Kontrollen im Umgang mit Kundendaten.
  • SOC 2 Type II (im Gegensatz zu Type I) bewertet die Wirksamkeit der Kontrollen über einen Zeitraum (typischerweise 6-12 Monate), nicht nur deren Design zu einem einzelnen Zeitpunkt.
  • Fünf Trust Services-Kriterien (TSC): Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz.
  • Papermarks SOC 2 Type II Prüfung umfasst standardmäßig die Kriterien Sicherheit (erforderlich), Verfügbarkeit und Vertraulichkeit, wobei der Datenschutz durch DSGVO-konforme Kontrollen abgedeckt wird.
  • Prüfungshäufigkeit: jährlich, mit kontinuierlicher Überwachung zwischen den Prüfungen.
  • Berichtsverfügbarkeit: SOC 2 Type II Bericht verfügbar für Unternehmenskunden unter NDA.
  • Verhältnis zu DSGVO, HIPAA, ISO 27001: SOC 2 ist eine solide Grundlage; zusätzliche Frameworks gelten für spezifische regulierte Branchen.

Was ist SOC 2 Type II-Compliance?

SOC 2 (System and Organization Controls 2) ist ein strenges Prüfverfahren, das vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Es bewertet, wie Dienstleistungsorganisationen mit Kundendaten umgehen, basierend auf fünf Trust Services Criteria: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Type II-Berichte bewerten die Wirksamkeit der Kontrollen über einen Prüfungszeitraum von 6-12 Monaten hinweg, nicht nur deren Konzeption zu einem einzelnen Zeitpunkt.

SOC 2 ist die vorherrschende Sicherheits- und Kontrollbescheinigung für B2B-SaaS in Nordamerika und wird zunehmend auch in Europa und im asiatisch-pazifischen Raum erwartet. Für virtuelle Datenräume, die M&A, Fundraising und regulierte Due-Diligence-Prüfungen abwickeln, ist SOC 2 Type II eine grundlegende Beschaffungsanforderung, kein Differenzierungsmerkmal.

Die fünf Trust Services Criteria

SOC 2-Audits orientieren sich an fünf AICPA Trust Services Criteria. Jedes SOC 2-Audit umfasst Security (die Common Criteria); zusätzliche Kriterien werden je nach Umfang der Dienstleistungsorganisation hinzugefügt.

Security (Sicherheit). Schutz vor unbefugtem Zugriff, Offenlegung, Veränderung und Beschädigung. Umfasst Zugriffskontrollen, Verschlüsselung, Netzwerksicherheit, Incident Response und Änderungsmanagement. In jedem SOC 2-Audit erforderlich.

Availability (Verfügbarkeit). Systemverfügbarkeit für Betrieb und Nutzung wie zugesichert oder vereinbart. Umfasst Betriebszeit, Ausfallsicherheit, Disaster Recovery und Kapazitätsplanung.

Processing Integrity (Verarbeitungsintegrität). Die Systemverarbeitung ist vollständig, gültig, korrekt, zeitgerecht und autorisiert. Relevant für Systeme, die Berechnungen oder automatisierte Verarbeitung durchführen (für einen VDR weniger zentral).

Confidentiality (Vertraulichkeit). Als vertraulich gekennzeichnete Informationen werden geschützt. Umfasst Datenklassifizierung, Zugriffskontrollen, Aufbewahrung und sichere Entsorgung.

Privacy (Datenschutz). Personenbezogene Daten werden in Übereinstimmung mit den Generally Accepted Privacy Principles (GAPP) der AICPA erfasst, verwendet, aufbewahrt, offengelegt und entsorgt. Überschneidet sich mit der DSGVO, ist jedoch ein eigenständiger Rahmen.

Umfang der SOC 2 Type II-Prüfung von Papermark

Die SOC 2 Type II-Prüfung von Papermark umfasst Sicherheit (erforderliche Common Criteria) sowie Verfügbarkeit und Vertraulichkeit. Der Datenschutz wird durch DSGVO-konforme Kontrollen adressiert, die separat in unserer DSGVO-Compliance-Übersicht dokumentiert sind.

Sicherheitskontrollen

Granulare Zugriffsberechtigungen in einem Papermark-Datenraum

  • Zugriffsverwaltung: Multi-Faktor-Authentifizierung, rollenbasierte Zugriffskontrolle, begrenzte API-Token, regelmäßige Zugriffsüberprüfungen.
  • Datenverschlüsselung: AES-256 im Ruhezustand für alle gespeicherten Dokumente, Metadaten und Audit-Logs; TLS 1.3 während der Übertragung für die gesamte Client-Server-Kommunikation.
  • Netzwerksicherheit: Web Application Firewall, DDoS-Schutz, Rate Limiting, Intrusion Detection und Monitoring.
  • Endpunktsicherheit: verwaltete Geräterichtlinien, Endpoint Detection and Response (EDR) sowie sichere Authentifizierung für Mitarbeiterzugriffe.
  • Physische Sicherheit: sichere Cloud-Rechenzentren (SOC 2-zertifizierte Infrastrukturanbieter) mit 24/7-Überwachung, Zugangskontrollen und Umgebungsschutzmaßnahmen.

Verfügbarkeitskontrollen

  • Betriebszeit: operatives Monitoring mit Ziel-SLAs für gehostete Papermark-Pläne.
  • Redundanz: regionsübergreifende Datenbank-Backups und Redundanz auf Anwendungsebene.
  • Disaster Recovery: dokumentierte DR-Verfahren mit Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO), die jährlich getestet werden.
  • Kapazitätsplanung: proaktive Skalierung und Performance-Monitoring.

Vertraulichkeitskontrollen

  • Datenklassifizierung: dokumentiertes Klassifizierungsschema für von Kunden hochgeladene Inhalte im Vergleich zu plattformbetrieblichen Daten.
  • Zugriffsbeschränkungen: vertrauliche Kundendaten sind nur für autorisierte Systeme und Mitarbeiter nach dem Need-to-know-Prinzip zugänglich.
  • Aufbewahrung und Löschung: dokumentierte Aufbewahrungsfristen und sichere Löschverfahren in Übereinstimmung mit Kundenverträgen.
  • Vertraulichkeitsvereinbarungen: Geheimhaltungsvereinbarungen und Vertraulichkeitspflichten für Mitarbeiter und Auftragnehmer.

Operative Kontrollen

  • Incident Response: 24/7-Bereitschaftsdienst, dokumentierte IR-Verfahren, Workflows zur Meldung von Sicherheitsvorfällen.
  • Change Management: kontrollierter Entwicklungslebenszyklus (Git-basiertes Review, Staging-Deployments, Produktionsfreigaben).
  • Lieferantenmanagement: Sicherheitsbewertungen für Subunternehmer und Drittanbieter.
  • Mitarbeiterschulung: Sicherheits- und Datenschutzschulungen für alle Mitarbeiter mit Zugriff auf Kundendaten.

Warum SOC 2 für virtuelle Datenräume wichtig ist

SOC 2 Type II ist die am häufigsten angeforderte Compliance-Attestierung bei der Bewertung von VDR-Anbietern. Vier spezifische Arbeitsabläufe hängen davon ab.

Beschaffung in regulierten Branchen. Banken, Gesundheitswesen, Versicherungen und staatliche Organisationen verlangen in der Regel SOC 2 Type II als Basisanforderung, bevor sie einen Cloud-Anbieter beauftragen. Ohne diese Attestierung scheitert der Anbieter am Beschaffungsscreening.

Due Diligence bei Unternehmensanbietern. Große Unternehmen, die Prozesse zum Lieferantenrisikomanagement durchführen, fordern routinemäßig den SOC 2 Type II-Bericht (unter NDA) im Rahmen des Onboardings an. Dies ist standardmäßige Beschaffungshygiene, keine hohe Hürde.

M&A- und Fundraising-Datenräume. Institutionelle LPs und strategische Käufer fragen zunehmend, welche Compliance-Attestierungen der VDR-Anbieter ihres Zielunternehmens besitzt. SOC 2 Type II ist die Antwort, die das Gespräch beendet.

Haftung nach Sicherheitsvorfällen. Im Falle eines Sicherheitsvorfalls reduziert ein aktueller SOC 2 Type II-Bericht plus ein laufendes Überwachungsprogramm die Haftung und das regulatorische Risiko erheblich im Vergleich zu keiner Attestierung.

SOC 2 Type II vs. Type I: Was ist der Unterschied?

Ein SOC 2 Type I-Bericht bewertet, ob Kontrollen zu einem bestimmten Zeitpunkt angemessen konzipiert sind. Ein SOC 2 Type II-Bericht bewertet, ob Kontrollen angemessen konzipiert und über einen definierten Prüfungszeitraum (typischerweise 6-12 Monate) effektiv funktionieren.

Type I ist einfacher zu erreichen, aber schwächer als Attestierung: Es bestätigt, dass die Kontrollen existieren, nicht aber, dass sie zuverlässig über die Zeit funktionieren. Type II ist die branchenübliche Erwartung für ausgereifte SaaS-Anbieter, die mit sensiblen Kundendaten umgehen. Papermark wird jährlich nach SOC 2 Type II auditiert.

SOC 2 vs. ISO 27001 vs. DSGVO vs. HIPAA

Compliance-Frameworks sind nicht austauschbar. Die folgende Tabelle zeigt die vier gängigsten Frameworks für die Beschaffung von VDRs.

FrameworkAnwendungsbereichAudit/ZertifizierungVerbreitet in
SOC 2 Type IIAICPA Trust Services CriteriaJährliches Audit, Bericht unter NDAUSA-zentriert, B2B-SaaS
ISO 27001Informationssicherheits-ManagementsystemFormale Zertifizierung durch akkreditierte StelleEU und globale Unternehmen
DSGVOEU-Datenschutz personenbezogener DatenRechtliche Compliance, Datenschutzbehörde, AuftragsverarbeiterlisteJede Verarbeitung von Daten von EU-Bürgern
HIPAAUS-Gesundheitswesen PHIBAA, Compliance-Programm (keine formale Zertifizierung)Gesundheitswesen, Biotech, Medizinprodukte

Viele Enterprise-Kunden fordern mehrere Frameworks ein. Papermark erfüllt standardmäßig SOC 2 Type II und die DSGVO-Anforderungen, unterstützt ISO 27001 durch Self-Hosted-Bereitstellung auf Kundeninfrastruktur und bietet HIPAA-Konformität über Self-Hosting plus signiertes BAA bei Enterprise-Verträgen.

SOC-2-Kontrollen im Produkt einsehen

Unveränderliche Audit-Protokollierung erfasst jeden Aufruf und Download gemäß dem SOC-2-Vertraulichkeitskriterium:

Seitenweise Dokumentenanalyse

Dynamisches Wasserzeichen pro Sitzung kennzeichnet jede Seite mit E-Mail-Adresse, IP und Zeitstempel des Betrachters:

Dynamisches Wasserzeichen auf einem Papermark-Dokument

Die aktuelle Liste der Zertifizierungen, Hosting-Regionen, Verschlüsselungsstandards und den Workflow für die Anforderung des SOC-2-NDA finden Sie auf der Papermark-Sicherheitsseite.

So erhalten Sie den SOC 2 Type II-Bericht von Papermark

Der SOC 2 Type II-Bericht von Papermark steht Unternehmenskunden und Interessenten unter gegenseitiger NDA zur Verfügung. So fordern Sie den Bericht an:

  1. Kontaktieren Sie Ihren Papermark-Kundenbetreuer oder senden Sie eine E-Mail an security@papermark.com.
  2. Schließen Sie eine Vertraulichkeitsvereinbarung ab (standardmäßige gegenseitige NDA oder vom Kunden bereitgestelltes Formular werden akzeptiert).
  3. Erhalten Sie den SOC 2 Type II-Bericht für den aktuellen Prüfungszeitraum.

Der Bericht enthält die Stellungnahme des unabhängigen Prüfers, die Beschreibung des Systems und seiner Kontrollen, die Ergebnisse der Tests zur operativen Wirksamkeit sowie die Erklärung der Geschäftsführung.

Papermark Compliance-Status

FrameworkPapermark-Status
SOC 2 Type II✔️ Jährlich geprüft
DSGVO✔️ Konform, AVV verfügbar
ISO 27001Über selbst gehostete Bereitstellung auf Kundeninfrastruktur
HIPAAÜber selbst gehostete Bereitstellung + unterzeichnete BAA (Enterprise)
CCPA✔️ Konform
FDA 21 CFR Part 11Über selbst gehostete Bereitstellung mit Audit-Log-Export
VerschlüsselungAES-256
VerschlüsselungTLS 1.3
MFA✔️
Self-Hosting-Option✔️ (AGPL Open-Source)

Sichere Dokumente teilen

Keine Kreditkarte erforderlich

Seitenweise Analyse
E-Mail-Verifizierung erforderlich
Passwort zum Ansehen erforderlich
Bestimmte Betrachter zulassen/blockieren
Wasserzeichen anwenden
NDA zum Ansehen erforderlich
Benutzerdefinierte Willkommensnachricht

Häufig gestellte Fragen

Weiterführende Ressourcen

More useful articles from Papermark

Bereit, Ihren sicheren Datenraum zu erstellen?