Papermark ist SOC 2 Type II compliant. Die Prüfung umfasst die AICPA Trust Services Criteria (Sicherheit, Verfügbarkeit, Vertraulichkeit) für unseren virtuellen Datenraum, die Dokumentenfreigabe und die Analyseplattform. Die vollständige Sicherheits- und Compliance-Übersicht (Verschlüsselung, Hosting-Regionen, Zertifizierungen, Unterauftragsverarbeiter) finden Sie auf der Papermark Sicherheitsseite.
Dieser Leitfaden erklärt, was SOC 2 Type II bedeutet, was unsere Prüfung umfasst und warum dies für Beschaffungsteams relevant ist, die Papermark für M&A, Fundraising und regulierte Workflows bewerten.
SOC 2 (System and Organization Controls 2) ist ein strenges Auditverfahren, das vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Es bewertet, wie Dienstleistungsorganisationen mit Kundendaten umgehen, basierend auf fünf Trust Services Criteria: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Type II-Berichte bewerten die operative Wirksamkeit von Kontrollen über einen Auditzeitraum von 6-12 Monaten, nicht nur deren Ausgestaltung zu einem einzelnen Zeitpunkt.
SOC 2 ist die führende Sicherheits- und Kontrollbescheinigung für B2B-SaaS in Nordamerika und wird zunehmend auch in Europa und im asiatisch-pazifischen Raum erwartet. Für virtuelle Datenräume, die M&A, Fundraising und regulierte Due Diligence abwickeln, ist SOC 2 Type II eine grundlegende Beschaffungsanforderung, kein Differenzierungsmerkmal.
SOC 2-Audits orientieren sich an fünf AICPA Trust Services Criteria. Jedes SOC 2-Audit umfasst Security (die Common Criteria); zusätzliche Kriterien werden je nach Scope der Dienstleistungsorganisation hinzugefügt.
Security. Schutz vor unbefugtem Zugriff, Offenlegung, Änderung und Beschädigung. Umfasst Zugriffskontrollen, Verschlüsselung, Netzwerksicherheit, Incident Response und Change Management. In jedem SOC 2-Audit erforderlich.
Availability. Systemverfügbarkeit für Betrieb und Nutzung wie zugesagt oder vereinbart. Umfasst Betriebszeit, Resilienz, Disaster Recovery und Kapazitätsplanung.
Processing Integrity. Die Systemverarbeitung ist vollständig, gültig, genau, zeitgerecht und autorisiert. Relevant für Systeme, die Berechnungen oder automatisierte Verarbeitung durchführen (für einen VDR weniger zentral).
Confidentiality. Als vertraulich eingestufte Informationen werden geschützt. Umfasst Datenklassifizierung, Zugriffskontrollen, Aufbewahrung und sichere Entsorgung.
Privacy. Personenbezogene Informationen werden in Übereinstimmung mit den Generally Accepted Privacy Principles (GAPP) der AICPA erhoben, verwendet, aufbewahrt, offengelegt und entsorgt. Überschneidet sich mit der DSGVO, ist aber ein eigenständiges Framework.
Die SOC 2 Type II-Prüfung von Papermark umfasst Sicherheit (erforderliche Common Criteria) sowie Verfügbarkeit und Vertraulichkeit. Datenschutz wird durch DSGVO-konforme Kontrollen adressiert, die separat in unserer DSGVO-Compliance-Übersicht dokumentiert sind.
SOC 2 Type II ist die am häufigsten angeforderte Compliance-Bescheinigung bei der Bewertung von VDR-Anbietern. Vier spezifische Workflows hängen davon ab.
Beschaffung in regulierten Branchen. Banken, Gesundheitswesen, Versicherungen und staatsnahe Organisationen verlangen SOC 2 Type II in der Regel als Mindestanforderung, bevor sie einen Cloud-Anbieter beauftragen. Ohne diese Bescheinigung scheitert der Anbieter bereits beim Beschaffungs-Screening.
Due Diligence bei Unternehmenslieferanten. Großunternehmen, die Lieferantenrisikomanagement-Prozesse durchführen, fordern routinemäßig den SOC 2 Type II-Bericht (unter Geheimhaltungsvereinbarung) im Rahmen des Onboardings an. Dies ist Standard-Beschaffungshygiene, keine hohe Hürde.
M&A- und Fundraising-Datenräume. Institutionelle LPs und strategische Käufer fragen zunehmend, welche Compliance-Bescheinigungen der VDR-Anbieter ihres Zielunternehmens besitzt. SOC 2 Type II ist die Antwort, die diese Diskussion abschließt.
Haftung nach Zwischenfällen. Im Falle eines Sicherheitsvorfalls reduziert ein aktueller SOC 2 Type II-Bericht plus ein laufendes Überwachungsprogramm die Haftung und regulatorische Exposition im Vergleich zu fehlenden Bescheinigungen erheblich.
Ein SOC 2 Type I-Bericht bewertet, ob Kontrollen zu einem bestimmten Zeitpunkt angemessen konzipiert sind. Ein SOC 2 Type II-Bericht bewertet, ob Kontrollen angemessen konzipiert und über einen definierten Prüfungszeitraum (üblicherweise 6-12 Monate) wirksam funktionieren.
Type I ist einfacher zu erreichen, aber schwächer als Bescheinigung: Es bestätigt, dass die Kontrollen existieren, nicht aber, dass sie langfristig zuverlässig funktionieren. Type II ist die branchenübliche Erwartung für ausgereifte SaaS-Anbieter, die sensible Kundendaten verarbeiten. Papermark wird jährlich nach SOC 2 Type II auditiert.
Compliance-Frameworks sind nicht austauschbar. Die folgende Tabelle zeigt die vier gängigsten Frameworks für die Beschaffung von VDRs.
| Framework | Anwendungsbereich | Audit/Zertifizierung | Verbreitet in |
|---|---|---|---|
| SOC 2 Type II | AICPA Trust Services Criteria | Jährliches Audit, Bericht unter NDA | USA-zentriert, B2B-SaaS |
| ISO 27001 | Informationssicherheits-Managementsystem | Formale Zertifizierung durch akkreditierte Stelle | EU und globale Unternehmen |
| GDPR | EU-Datenschutz personenbezogener Daten | Rechtliche Compliance, DPA, Unterauftragsverarbeiter-Liste | Jede Verarbeitung von Daten EU-ansässiger Personen |
| HIPAA | US-Gesundheitswesen PHI | BAA, Compliance-Programm (keine formale Zertifizierung) | Gesundheitswesen, Biotech, Medizinprodukte |
Viele Unternehmenskunden verlangen mehrere Frameworks. Papermark erfüllt standardmäßig SOC 2 Type II und GDPR-Anforderungen, unterstützt ISO 27001 durch Self-Hosted-Deployment auf Kundeninfrastruktur und bietet HIPAA-Bereitschaft über Self-Hosted plus signiertem BAA bei Enterprise-Verträgen.
Append-only-Audit-Logging erfasst jeden Aufruf und Download für das SOC-2-Vertraulichkeitskriterium:
Dynamisches sitzungsbasiertes Wasserzeichen versieht jede Seite mit Betrachter-E-Mail, IP und Zeitstempel:
Die aktuelle Liste der Zertifizierungen, Hosting-Regionen, Verschlüsselungsstandards und den Workflow für die Anforderung des SOC-2-NDA finden Sie auf der Papermark-Sicherheitsseite.
Der SOC 2 Type II-Bericht von Papermark steht Unternehmenskunden und Interessenten unter gegenseitiger NDA zur Verfügung. So fordern Sie den Bericht an:
Der Bericht enthält die Stellungnahme des unabhängigen Prüfers, die Beschreibung des Systems und seiner Kontrollen, die Ergebnisse der Tests zur operativen Wirksamkeit sowie die Erklärung der Geschäftsführung.
| Framework | Papermark-Status |
|---|---|
| SOC 2 Type II | ✔️ Jährlich geprüft |
| DSGVO | ✔️ Konform, AVV verfügbar |
| ISO 27001 | Über selbst gehostete Bereitstellung auf Kundeninfrastruktur |
| HIPAA | Über selbst gehostete Bereitstellung + unterzeichnete BAA (Enterprise) |
| CCPA | ✔️ Konform |
| FDA 21 CFR Part 11 | Über selbst gehostete Bereitstellung mit Audit-Log-Export |
| Verschlüsselung | AES-256 |
| Verschlüsselung | TLS 1.3 |
| MFA | ✔️ |
| Self-Hosting-Option | ✔️ (AGPL Open-Source) |
Der Markt für virtuelle Datenräume wird voraussichtlich 4,1 Milliarden US-Dollar im Jahr 2026 erreichen. Hier ist ein vollständiger Überblick über die neuesten VDR-Trends, wichtige Übernahmen, KI-Integration und Marktprognosen.
Entdecken Sie die wichtigsten Virtual Data Room Funktionen für sicheres Dokumententeilen und Zusammenarbeit im Jahr 2026. Erfahren Sie, wie die Datenraumlösung von Papermark Sicherheit und Analysen auf Unternehmensniveau bietet.
Entdecken Sie die besten virtuellen Datenraum-Lösungen für Due-Diligence-Prozesse, einschließlich wichtiger Funktionen, Preisgestaltung und Sicherheitsmaßnahmen. Vergleichen Sie die besten Tools für sicheren Dokumentenaustausch und Zusammenarbeit bei M&A, Fundraising und anderen Geschäftstransaktionen.
