
Papermark DSGVO-Konformität 2026: AVV, Auftragsverarbeiter und EU-Datenresidenz
Papermarks DSGVO-Konformität erklärt: AVV, Auftragsverarbeiter, Datenresidenz, Betroffenenrechte und wie wir die EU-Datenschutzanforderungen für VDR-Workflows erfüllen.
Papermark ist SOC 2 Type II compliant. Die Prüfung umfasst die AICPA Trust Services-Kriterien (Sicherheit, Verfügbarkeit, Vertraulichkeit) für unseren virtuellen Datenraum, die Dokumentenfreigabe und die Analyseplattform. Für die vollständige Sicherheits- und Compliance-Übersicht (Verschlüsselung, Hosting-Regionen, Zertifizierungen, Subunternehmer) siehe die Papermark Sicherheitsseite.

Dieser Leitfaden erklärt, was SOC 2 Type II bedeutet, was unsere Prüfung umfasst und warum es für Beschaffungsteams wichtig ist, die Papermark für M&A, Fundraising und regulierte Workflows evaluieren.
SOC 2 (System and Organization Controls 2) ist ein strenges Prüfverfahren, das vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Es bewertet, wie Dienstleistungsorganisationen mit Kundendaten umgehen, basierend auf fünf Trust Services Criteria: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Type II-Berichte bewerten die Wirksamkeit der Kontrollen über einen Prüfungszeitraum von 6-12 Monaten hinweg, nicht nur deren Konzeption zu einem einzelnen Zeitpunkt.
SOC 2 ist die vorherrschende Sicherheits- und Kontrollbescheinigung für B2B-SaaS in Nordamerika und wird zunehmend auch in Europa und im asiatisch-pazifischen Raum erwartet. Für virtuelle Datenräume, die M&A, Fundraising und regulierte Due-Diligence-Prüfungen abwickeln, ist SOC 2 Type II eine grundlegende Beschaffungsanforderung, kein Differenzierungsmerkmal.
SOC 2-Audits orientieren sich an fünf AICPA Trust Services Criteria. Jedes SOC 2-Audit umfasst Security (die Common Criteria); zusätzliche Kriterien werden je nach Umfang der Dienstleistungsorganisation hinzugefügt.
Security (Sicherheit). Schutz vor unbefugtem Zugriff, Offenlegung, Veränderung und Beschädigung. Umfasst Zugriffskontrollen, Verschlüsselung, Netzwerksicherheit, Incident Response und Änderungsmanagement. In jedem SOC 2-Audit erforderlich.
Availability (Verfügbarkeit). Systemverfügbarkeit für Betrieb und Nutzung wie zugesichert oder vereinbart. Umfasst Betriebszeit, Ausfallsicherheit, Disaster Recovery und Kapazitätsplanung.
Processing Integrity (Verarbeitungsintegrität). Die Systemverarbeitung ist vollständig, gültig, korrekt, zeitgerecht und autorisiert. Relevant für Systeme, die Berechnungen oder automatisierte Verarbeitung durchführen (für einen VDR weniger zentral).
Confidentiality (Vertraulichkeit). Als vertraulich gekennzeichnete Informationen werden geschützt. Umfasst Datenklassifizierung, Zugriffskontrollen, Aufbewahrung und sichere Entsorgung.
Privacy (Datenschutz). Personenbezogene Daten werden in Übereinstimmung mit den Generally Accepted Privacy Principles (GAPP) der AICPA erfasst, verwendet, aufbewahrt, offengelegt und entsorgt. Überschneidet sich mit der DSGVO, ist jedoch ein eigenständiger Rahmen.
Die SOC 2 Type II-Prüfung von Papermark umfasst Sicherheit (erforderliche Common Criteria) sowie Verfügbarkeit und Vertraulichkeit. Der Datenschutz wird durch DSGVO-konforme Kontrollen adressiert, die separat in unserer DSGVO-Compliance-Übersicht dokumentiert sind.

SOC 2 Type II ist die am häufigsten angeforderte Compliance-Attestierung bei der Bewertung von VDR-Anbietern. Vier spezifische Arbeitsabläufe hängen davon ab.
Beschaffung in regulierten Branchen. Banken, Gesundheitswesen, Versicherungen und staatliche Organisationen verlangen in der Regel SOC 2 Type II als Basisanforderung, bevor sie einen Cloud-Anbieter beauftragen. Ohne diese Attestierung scheitert der Anbieter am Beschaffungsscreening.
Due Diligence bei Unternehmensanbietern. Große Unternehmen, die Prozesse zum Lieferantenrisikomanagement durchführen, fordern routinemäßig den SOC 2 Type II-Bericht (unter NDA) im Rahmen des Onboardings an. Dies ist standardmäßige Beschaffungshygiene, keine hohe Hürde.
M&A- und Fundraising-Datenräume. Institutionelle LPs und strategische Käufer fragen zunehmend, welche Compliance-Attestierungen der VDR-Anbieter ihres Zielunternehmens besitzt. SOC 2 Type II ist die Antwort, die das Gespräch beendet.
Haftung nach Sicherheitsvorfällen. Im Falle eines Sicherheitsvorfalls reduziert ein aktueller SOC 2 Type II-Bericht plus ein laufendes Überwachungsprogramm die Haftung und das regulatorische Risiko erheblich im Vergleich zu keiner Attestierung.
Ein SOC 2 Type I-Bericht bewertet, ob Kontrollen zu einem bestimmten Zeitpunkt angemessen konzipiert sind. Ein SOC 2 Type II-Bericht bewertet, ob Kontrollen angemessen konzipiert und über einen definierten Prüfungszeitraum (typischerweise 6-12 Monate) effektiv funktionieren.
Type I ist einfacher zu erreichen, aber schwächer als Attestierung: Es bestätigt, dass die Kontrollen existieren, nicht aber, dass sie zuverlässig über die Zeit funktionieren. Type II ist die branchenübliche Erwartung für ausgereifte SaaS-Anbieter, die mit sensiblen Kundendaten umgehen. Papermark wird jährlich nach SOC 2 Type II auditiert.
Compliance-Frameworks sind nicht austauschbar. Die folgende Tabelle zeigt die vier gängigsten Frameworks für die Beschaffung von VDRs.
| Framework | Anwendungsbereich | Audit/Zertifizierung | Verbreitet in |
|---|---|---|---|
| SOC 2 Type II | AICPA Trust Services Criteria | Jährliches Audit, Bericht unter NDA | USA-zentriert, B2B-SaaS |
| ISO 27001 | Informationssicherheits-Managementsystem | Formale Zertifizierung durch akkreditierte Stelle | EU und globale Unternehmen |
| DSGVO | EU-Datenschutz personenbezogener Daten | Rechtliche Compliance, Datenschutzbehörde, Auftragsverarbeiterliste | Jede Verarbeitung von Daten von EU-Bürgern |
| HIPAA | US-Gesundheitswesen PHI | BAA, Compliance-Programm (keine formale Zertifizierung) | Gesundheitswesen, Biotech, Medizinprodukte |
Viele Enterprise-Kunden fordern mehrere Frameworks ein. Papermark erfüllt standardmäßig SOC 2 Type II und die DSGVO-Anforderungen, unterstützt ISO 27001 durch Self-Hosted-Bereitstellung auf Kundeninfrastruktur und bietet HIPAA-Konformität über Self-Hosting plus signiertes BAA bei Enterprise-Verträgen.
Unveränderliche Audit-Protokollierung erfasst jeden Aufruf und Download gemäß dem SOC-2-Vertraulichkeitskriterium:

Dynamisches Wasserzeichen pro Sitzung kennzeichnet jede Seite mit E-Mail-Adresse, IP und Zeitstempel des Betrachters:

Die aktuelle Liste der Zertifizierungen, Hosting-Regionen, Verschlüsselungsstandards und den Workflow für die Anforderung des SOC-2-NDA finden Sie auf der Papermark-Sicherheitsseite.
Der SOC 2 Type II-Bericht von Papermark steht Unternehmenskunden und Interessenten unter gegenseitiger NDA zur Verfügung. So fordern Sie den Bericht an:
Der Bericht enthält die Stellungnahme des unabhängigen Prüfers, die Beschreibung des Systems und seiner Kontrollen, die Ergebnisse der Tests zur operativen Wirksamkeit sowie die Erklärung der Geschäftsführung.
| Framework | Papermark-Status |
|---|---|
| SOC 2 Type II | ✔️ Jährlich geprüft |
| DSGVO | ✔️ Konform, AVV verfügbar |
| ISO 27001 | Über selbst gehostete Bereitstellung auf Kundeninfrastruktur |
| HIPAA | Über selbst gehostete Bereitstellung + unterzeichnete BAA (Enterprise) |
| CCPA | ✔️ Konform |
| FDA 21 CFR Part 11 | Über selbst gehostete Bereitstellung mit Audit-Log-Export |
| Verschlüsselung | AES-256 |
| Verschlüsselung | TLS 1.3 |
| MFA | ✔️ |
| Self-Hosting-Option | ✔️ (AGPL Open-Source) |