SOC 2, ISO 27001 und DSGVO: Was jedes Framework für Käufer wirklich abdeckt

Q: Was ist der Unterschied zwischen SOC 2 Type 1 und Type 2?

Type 1 ist eine zeitpunktbezogene Bestätigung, dass die Kontrollen des Vendor zum einem bestimmten Datum angemessen *konzipiert* waren, im Wesentlichen eine Momentaufnahme. Type 2 ist eine Beobachtungsperioden-Bestätigung (üblicherweise 6 bis 12 Monate), dass die Kontrollen über die Zeit hinweg sowohl *konzipiert als auch effektiv in Betrieb waren*. Type 2 ist der Enterprise-Beschaffungsstandard; Type 1 ist nur als Brückenbericht für Vendor innerhalb ihres ersten Prüfungsjahres akzeptabel.

Q: Brauche ich ISO 27001, wenn ich bereits SOC 2 habe?

Für die meisten US-Mid-Market-Käufer: nein. SOC 2 Type 2 deckt dasselbe praktische Feld für die US-Beschaffung ab. ISO 27001 wird bedeutsam, wenn Sie an europäische oder asiatisch-pazifische Enterprise-Unternehmen verkaufen, in regulierten internationalen Branchen tätig sind oder ein formalisiertes Managementsystem (ISMS) statt zeitpunktbezogener Kontrollen nachweisen müssen. Viele Vendor streben beide für Marktabdeckung an, aber ein starker SOC-2-Type-2-Bericht ist üblicherweise ausreichend für die interne Lage eines ausschließlich US-amerikanischen Käufers.

Q: Ist DSGVO-Compliance für ausschließlich US-amerikanische Käufer erforderlich?

Die DSGVO gilt überall dort, wo Sie personenbezogene Daten von EU-Ansässigen verarbeiten, unabhängig davon, wo Ihr Unternehmen ansässig ist. Ein ausschließlich US-amerikanisches Unternehmen ohne EU-Kunden, ohne EU-Mitarbeitende und ohne getrackte EU-Website-Besucher hat ein begrenztes Risiko. Aber wenn Sie EU-Kunden, EU-basierte Nutzer Ihres Produkts oder EU-Mitarbeitende haben, deren Daten im SaaS-Tool gespeichert sind, gilt die DSGVO, und Sie benötigen einen DPA mit jedem Vendor, der diese Daten berührt. Klären Sie Randthemen des territorialen Scopes, wie das Marketing an EU-Ansässige von US-Servern aus, mit einem Rechtsberater.

Q: Wie verifiziere ich, dass der SOC 2 eines Vendor echt ist?

Fordern Sie den vollständigen Bericht unter NDA an, nicht nur das einseitige Bestätigungsschreiben. Verifizieren Sie vier Dinge: (1) Der Prüfer ist eine zugelassene Wirtschaftsprüfungsgesellschaft (prüfen Sie die AICPA-PCPS-Eintragung der Kanzlei), (2) der Bericht ist Type 2 mit einem Prüfungszeitraum, der innerhalb der letzten 12 Monate endete, (3) der Scope-Abschnitt benennt explizit die Produkte und Infrastruktur, die Sie kaufen, und (4) Sie lesen den Abschnitt „Ausnahmen" oder „Testergebnisse". Ein Bericht mit mehreren Kontrollausnahmen und ohne Sanierungsnarrativ ist ein Warnsignal, auch wenn die Überschrift „keine wesentlichen Schwächen" besagt.

Q: Was sollte ich zur Datenspeicherung fragen?

Stellen Sie drei spezifische Fragen: (1) In welchen geographischen Regionen werden Kundendaten im Ruhezustand gespeichert, und können wir es vertraglich auf eine bestimmte Region (z. B. nur EU, nur US) beschränken? (2) Wo werden Backups gespeichert, und überschreiten Backups regionale Grenzen? (3) Welcher Transfermechanismus (Standardvertragsklauseln, Angemessenheitsbeschluss, Data Privacy Framework) regelt jeden grenzüberschreitenden Fluss, und ist er im DPA? Vendor, die diese Fragen nicht schriftlich beantworten können, sollten keine regulierten Daten verarbeiten.

Q: Was, wenn mein SaaS-Vendor Sub-Processor nutzt?

Jeder Sub-Processor ist effektiv ein weiterer Vendor in Ihrer Lieferkette mit Zugang zu Ihren Daten. Fordern Sie drei Dinge im DPA: (1) eine aktuelle, gepflegte öffentliche Liste von Sub-Processoren mit dem Dienst, den jeder erbringt, (2) Vorankündigung (idealerweise 30+ Tage), wenn Sub-Processor hinzugefügt oder geändert werden, sodass Sie Einspruch erheben können, und (3) Weiterleitungsverpflichtungen: Der Vendor muss Sub-Processoren dieselben Datenschutzbedingungen auferlegen, die er von Ihnen akzeptiert hat. Achten Sie besonders auf AI/ML-Sub-Processor, die oft erst erscheinen, nachdem ein Produkt AI-Funktionen hinzufügt.

Q: Wie lange ist ein SOC-2-Bericht gültig?

Es gibt kein formales Ablaufdatum, aber Enterprise-Käufer behandeln Berichte, die älter als 12 Monate sind, generell als veraltet. Der Prüfungszeitraum eines Vendor sollte innerhalb des letzten Jahres enden, und ein neues Audit sollte entweder laufen oder geplant sein. Fordern Sie einen „Bridge Letter" (auch Gap Letter genannt) an, wenn Sie zwischen dem Ende des letzten Prüfungszeitraums und der Ausgabe des nächsten Berichts evaluieren: Es ist ein Vendor-Managementschreiben, das bestätigt, dass in der Zwischenzeit keine wesentlichen Änderungen an den Kontrollen vorgenommen wurden.

Q: Was ist ein Data Processing Agreement (DPA) und warum ist er wichtiger als „DSGVO-konform"?

Ein DPA ist der unterzeichnete Vertrag, der den Vendor von „einem Unternehmen mit einer Datenschutzrichtlinie" in „einen rechtlich gebundenen Auftragsverarbeiter, der nach Ihren Weisungen handelt" umwandelt. Er definiert, welche Daten sie verarbeiten, für welchen Zweck, mit welcher Sicherheit, mit welchen Sub-Processoren, unter welchem Transfermechanismus, mit welchem Datenpannen-Benachrichtigungszeitraum und was bei Vertragsende passiert. Ohne einen unterzeichneten DPA ist „DSGVO-konform" Marketingsprache ohne Rechtskraft, und in einer Regulatorenprüfung tragen *Sie* (der Verantwortliche) die Haftung, nicht der Vendor.

Der Beschaffungsleiter hatte eine Checkliste. Auf der Compliance-Zeile standen zwei Punkte: „SOC-2-konform" und „DSGVO-konform". Jeder Vendor, den sie evaluierten, hakte beide Felder ab. Der Direktor fühlte sich sicher. Dann stellte die Rechtsabteilung fest, dass die DSGVO-Konformität des Vendor auf eine veraltete Datenschutzrichtlinie verwies, nicht auf einen unterzeichneten Data Processing Agreement (DPA). Und erst als die IT darauf hinwies, dass der SOC-2-Bericht einen Scope abdeckte, der die Integration, die sie kauften, ausschloss.

Das Problem war keine Unehrlichkeit. Das Problem war, dass „SOC-2-konform" und „DSGVO-konform" Formulierungen sind, die technisch korrekt sein können und gleichzeitig erhebliche Lücken verbergen. Ein Vendor kann eine SOC-2-Zertifizierung für sein Kernprodukt haben, aber nicht für das AI-Modul, das Sie einsetzen. Ein Vendor kann DSGVO-konform in dem Sinne sein, dass er eine Datenschutzrichtlinie veröffentlicht hat, ohne DSGVO-konform in dem Sinne zu sein, dass er einen rechtsverbindlichen DPA mit Ihnen unterzeichnet hat.

Diese drei Frameworks sind Zertifizierungen und Gesetze unterschiedlicher Art. Sie ersetzen einander nicht. Sie überschneiden sich nicht so, wie ein Kontrollkästchen impliziert. Und Vendor betonen häufig die, die sie haben, während sie die Lücken bei denen verbergen, die sie nicht haben.

Dieser Leitfaden erklärt, was jedes Framework wirklich abdeckt und wie Sie dieses Wissen in Vendor-Gesprächen anwenden.

Key Facts: Compliance-Landschaft für Mid-Market-Käufer

SOC 2 Type 1 vs. Type 2: Type 1 ist eine Momentaufnahme des Kontroll-Designs zu einem bestimmten Zeitpunkt; Type 2 prüft den Kontroll-Betrieb über ein 6- bis 12-monatiges Beobachtungsfenster. Type 2 ist der Enterprise-Beschaffungsstandard, Type-1-Berichte sind am häufigsten bei Vendor innerhalb von 12 Monaten nach ihrem ersten Audit zu sehen.

Globale ISO-27001-Verbreitung: Die ISO-Erhebung berichtete in der jüngsten Ausgabe etwa 71.549 gültige ISO/IEC-27001-Zertifikate weltweit, wobei Großbritannien, Japan und Indien bei der Zertifikatanzahl führen. Die Durchdringung bei US-SaaS-Vendor ist geringer als bei SOC 2.

DSGVO-Präzedenzfälle: Metas 1,2 Milliarden Euro-Bußgeld im Mai 2023 (DPC Irland) für rechtswidrige EU-US-Datentransfers bleibt der Rekord. Amazon (746 Mio. Euro, 2021), Instagram (405 Mio. Euro, 2022) und TikTok (345 Mio. Euro, 2023) haben alle die Neunstellenmarke überschritten. Die DSGVO ist das einzige der drei Frameworks mit direkten finanziellen Folgen.

Käufernachfrage: RFPs aus regulierten Branchen (Finanzdienstleistungen, Gesundheitswesen, öffentliche Hand) behandeln SOC 2 Type 2 als Pflicht; ein bedeutsamer Anteil der Enterprise-Käufer verlangt ISO 27001 zusätzlich. DSGVO-DPAs sind Mindeststandard für jeden Vendor, der Daten von EU-Ansässigen verarbeitet.

Datenpannen-Benachrichtigungslücke: DSGVO schreibt eine 72-Stunden-Regulatoren-Benachrichtigung vor. SOC 2 und ISO 27001 verlangen Incident-Response-Prozesse, setzen aber keinen festen Kunden-Benachrichtigungstakt: Der DPA ist der Ort, an dem Sie diesen Zeitrahmen verhandeln.

Framework-Überblick: Was Sie wirklich vergleichen

Framework	Typ	Was es ist	Wer es herausgibt	Scope
SOC 2	Prüfungsstandard	Bestätigung von Kontrollen zu einem Zeitpunkt	Drittanbieter-Prüfer (Wirtschaftsprüfungsgesellschaft)	Definiert durch Vendor-Scope-Statement
ISO 27001	Managementstandard	Zertifizierung eines Informationssicherheits-Managementsystems	Zertifizierungsstelle (akkreditiert)	Definiert durch ISMS-Scope
DSGVO	Gesetz	Rechtliche Anforderung für die Verarbeitung personenbezogener EU-Daten	EU-Verordnung (durch DSBs durchgesetzt)	Gilt für alle personenbezogenen Daten von EU-Ansässigen

Der wesentliche Unterschied: SOC 2 und ISO 27001 sind freiwillige Zertifizierungen, die ein Vendor durch ein Drittanbieter-Audit oder eine Beurteilung erlangt. Die DSGVO ist eine gesetzliche Anforderung. Es spielt keine Rolle, ob der Vendor eine Zertifizierung angestrebt hat: Wenn sie personenbezogene Daten von EU-Ansässigen verarbeiten, unterliegen sie ihr.

Die Compliance-Coverage-Map

Die Compliance-Coverage-Map ist ein Käufer-Denkmodell, das jedem Framework die spezifische Risikooberfläche zuordnet, die es tatsächlich adressiert: SOC 2 deckt US-betriebliche Sicherheitskontrollen ab und ist die Basislinie für nordamerikanische Beschaffung; ISO 27001 deckt das internationale Informationssicherheits-Management-Niveau ab und signalisiert Reife gegenüber europäischen und asiatisch-pazifischen Käufern; und die DSGVO (über einen unterzeichneten DPA) deckt die EU-Personaldatenverarbeitung ab und ist das einzige Framework, das Datenspeicherort-, rechtmäßige Transfer- und Datenschutzrechte-Anforderungen enthält. Nutzen Sie die Map, um Lücken zu erkennen: Ein Vendor mit SOC 2 Type 2, aber ohne DPA ist bei EU-Daten ungedeckt; ein Vendor mit ISO 27001, aber ohne SOC 2 kann US-Enterprise-Prüfungen ins Stocken bringen; ein Vendor mit DPA, aber ohne Sicherheitsattestat hat rechtliche Unterlagen ohne verifizierte Kontrollen. Sie benötigen die Kombination, die zu Ihren Datenflüssen passt, nicht die, die der Vendor vermarktet.

SOC 2: Was er abdeckt und was nicht

Was SOC 2 wirklich ist

SOC 2 (System and Organization Controls 2) ist ein vom American Institute of CPAs (AICPA) entwickelter Prüfungsstandard. Ein SOC-2-Bericht wird von einer unabhängigen Wirtschaftsprüfungsgesellschaft erstellt, die die Kontrollen des Vendor gegen die Trust Service Criteria geprüft hat.

Es gibt zwei Typen von SOC-2-Berichten:

Type I: Eine Momentaufnahmen-Beurteilung. Der Prüfer hat bestätigt, dass die Kontrollen des Vendor zu einem bestimmten Datum angemessen konzipiert waren. Das ist eine Momentaufnahme. Sie sagt Ihnen, dass die Kontrollen an diesem Tag existierten.

Type II: Eine Periodenbeurteilung über 6 bis 12 Monate. Der Prüfer hat bestätigt, dass die Kontrollen nicht nur angemessen konzipiert, sondern über einen Zeitraum effektiv in Betrieb waren. Das ist der Standard, den Sie fordern sollten.

Die fünf Trust Service Criteria

Ein SOC-2-Bericht kann eines oder mehrere dieser Kriterien abdecken:

Kriterium	Was es abdeckt
Sicherheit (CC)	Zugriffskontrollen, Verschlüsselung, Schwachstellenmanagement, Incident Response
Verfügbarkeit (A)	Systemverfügbarkeit, Leistungsüberwachung, Disaster Recovery
Verarbeitungsintegrität (PI)	Vollständigkeit und Genauigkeit der Datenverarbeitung
Vertraulichkeit (C)	Schutz vertraulicher Informationen gemäß den Verpflichtungen des Vendor
Datenschutz (P)	Sammlung, Nutzung, Aufbewahrung und Entsorgung persönlicher Informationen

Die meisten Vendor decken nur Sicherheit und Verfügbarkeit ab. Das ist wichtig, weil Vertraulichkeits- und Datenschutzkriterien regeln, wie der Vendor Ihre Daten über grundlegende Zugriffskontrollen hinaus verarbeitet. Wenn Sie sensible Kundendaten, Finanzdaten oder HR-Daten in ein Tool einpflegen, fragen Sie ausdrücklich, ob Vertraulichkeits- und Datenschutzkriterien im Scope sind. Der vollständige Sicherheitsprüfungsprozess erklärt, wie ein SOC-2-Scope-Abschnitt zu interpretieren ist und was bei Ausnahmen im Bericht zu tun ist.

Was SOC 2 NICHT abdeckt

Spezifische Drittanbieter-Integrationen. Wenn der Vendor einen Drittanbieter-AI-Provider, ein Data Warehouse oder ein Analytics-Tool nutzt, kann diese Komponente explizit vom SOC-2-Scope ausgeschlossen sein. Lesen Sie den Scope-Abschnitt.
Ihre Nutzung des Produkts. SOC 2 prüft die Kontrollen des Vendor, nicht wie Sie das Produkt konfiguriert haben. Wenn Sie schwache Berechtigungen oder Freigabeeinstellungen eingerichtet haben, liegt das außerhalb des Scopes.
Aktueller Stand. Ein SOC 2 von vor 14 Monaten spiegelt den Stand des Vendor vor 14 Monaten wider. Personalwechsel, Infrastrukturänderungen und neue Produktfunktionen seitdem sind nicht abgedeckt.

Fragen, die Sie auf Basis von SOC 2 stellen sollten

Ist Ihr aktueller SOC-2-Bericht Type I oder Type II?
Welche Trust Service Criteria deckt er ab? Enthält er Vertraulichkeit und Datenschutz?
Was ist der Prüfungszeitraum? Läuft eine Prüfung für das laufende Jahr?
Kann ich den Scope-Abschnitt des Berichts einsehen? Welche Infrastruktur und Produkte sind explizit ausgeschlossen?
Gibt es Ausnahmen oder eingeschränkte Prüfungsurteile im Bericht?
Welche Drittanbieter-Sub-Processor sind im Scope vs. ausgeschlossen?

Warnsignale:

Type-I-Bericht, der als gleichwertig mit Type II präsentiert wird
Bericht, der älter als 12 Monate ist und keine laufende Prüfung hat
Scope, der das spezifische Produkt oder Modul, das Sie kaufen, ausschließt
Weigerung, den Bericht unter NDA zu teilen

ISO 27001: Was er abdeckt und was nicht

Was ISO 27001 wirklich ist

ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme (ISMS), herausgegeben und gepflegt von der International Organization for Standardization (ISO). Zertifizierung bedeutet, dass ein Vendor einen dokumentierten, systematischen Ansatz zur Verwaltung von Informationssicherheitsrisiken implementiert hat, der Richtlinien, Prozesse, Personen und Technologie abdeckt.

Anders als SOC 2, das spezifische Kontrollen gegen definierte Kriterien prüft, zertifiziert ISO 27001 die Existenz und den Betrieb eines Management-Systems für Informationssicherheit. Der Standard hat zwei Hauptkomponenten:

Hauptklauseln: Anforderungen an das ISMS (Risikobewertung, Führungsverpflichtung, Planung, Betrieb, Bewertung, Verbesserung)
Anhang-A-Kontrollen: 93 Kontrollkategorien, die physische Sicherheit, Zugriffsmanagement, Kryptographie, Lieferantenbeziehungen, Incident Management und mehr abdecken

Was ISO 27001 NICHT abdeckt

Datenschutz. ISO 27001 ist ein Sicherheitsstandard, kein Datenschutzstandard. Er adressiert nicht spezifisch die Rechte von Betroffenen, Datenspeicherbeschränkungen oder Einwilligungsanforderungen für die Verarbeitung personenbezogener Daten. Für den Datenschutz benötigen Sie die DSGVO oder ein Äquivalent.
Spezifische technische Ergebnisse. ISO-27001-Zertifizierung bedeutet, dass ein Managementsystem existiert. Es zertifiziert nicht, dass spezifische technische Kontrollen vorhanden sind. Ein Vendor kann ISO-27001-zertifiziert sein mit relativ schwachen technischen Kontrollen, wenn diese Kontrollen im ISMS dokumentiert und verwaltet werden.
Die Architektur des Produkts. Der ISMS-Scope kann eng sein und unternehmenseigene IT-Systeme, aber nicht die Produktinfrastruktur abdecken. Prüfen Sie, ob der Scope die spezifischen Systeme abdeckt, die Sie nutzen.

Fragen, die Sie auf Basis von ISO 27001 stellen sollten

Was ist der Scope Ihrer ISO-27001-Zertifizierung? Umfasst er die Produktionsproduktumgebung?
Welche Zertifizierungsstelle hat das Zertifikat ausgestellt und wann?
Wann ist Ihr nächstes Überwachungsaudit?
Deckt Ihr ISMS Anhang-A-Kontrollen ab, die für unseren Anwendungsfall relevant sind (insbesondere Zugriffsmanagement, Kryptographie und Lieferantenbeziehungen)?
Wie verwalten Sie Lieferanten-Informationssicherheitsrisiken für Drittanbieter-Sub-Processor?

Die ISO-27001/SOC-2-Beziehung: Viele Vendor streben beide an. ISO 27001 hat stärkere internationale Anerkennung; SOC 2 hat stärkere US-Marktpräsenz. Ein Vendor mit ISO 27001, aber ohne SOC 2, kann je nach Ihrer Geographie und Branche geeignet sein. Ein Vendor mit SOC 2, aber ohne ISO 27001, ist das Standard-US-Mid-Market-Profil. Für AI-fähige Tools decken beide Standards die zusätzlichen Datenverarbeitungsfragen rund um Modell-Training nicht vollständig ab, weshalb die Evaluierung von AI-fähigem SaaS eine separate Schicht zu dieser Prüfung hinzufügt.

DSGVO: Was sie abdeckt und was nicht

Was die DSGVO wirklich ist

Die Datenschutz-Grundverordnung ist ein EU-Gesetz, das die Erhebung, Verarbeitung und Speicherung personenbezogener Daten von EU-Ansässigen regelt. Der vollständige DSGVO-Verordnungstext ist auf EUR-Lex veröffentlicht und gilt für jede Organisation, die personenbezogene EU-Daten verarbeitet, unabhängig davon, wo die Organisation ansässig ist.

Für einen SaaS-Käufer kommt die DSGVO-Relevanz in zwei Formen:

Sie sind Verantwortlicher. Sie entscheiden, welche personenbezogenen Daten gesammelt werden und warum. Wenn Ihr SaaS-Tool personenbezogene Daten von EU-Ansässigen in Ihrem Auftrag sammelt oder verarbeitet, benötigen Sie einen Data Processing Agreement (DPA) mit dem Vendor.
Der Vendor ist Auftragsverarbeiter. Er verarbeitet personenbezogene Daten nach Ihren Weisungen. Der DPA regelt die Bedingungen, unter denen er diese Daten verarbeitet.

Der DPA: Das Dokument, das wirklich zählt

„DSGVO-konform" ohne einen unterzeichneten DPA ist rechtlich bedeutungslos. Der DPA ist der Vertrag, der festlegt:

Welche personenbezogenen Daten der Vendor in Ihrem Auftrag verarbeitet
Die Zwecke und Mittel der Verarbeitung
Die Verpflichtungen des Vendor hinsichtlich Datensicherheit, Datenpannen-Benachrichtigung und Sub-Processor-Management
Den Mechanismus für grenzüberschreitende Datentransfers (Standardvertragsklauseln oder Äquivalent)
Rechte von Betroffenen und wie der Vendor sie unterstützt
Löschung und Rückgabe von Daten bei Vertragsende

DPA-Checkliste (15 Punkte):

Was die DSGVO NICHT abdeckt

Nicht-EU-Betroffene. Die DSGVO deckt keine Daten von US-amerikanischen, australischen oder anderen Nicht-EU-Ansässigen ab. Andere Vorschriften können gelten (CCPA für Kalifornien, LGPD für Brasilien usw.), aber die DSGVO deckt spezifisch EU-Ansässige ab. Die Leitlinien des Europäischen Datenschutzausschusses bieten verbindliche Interpretationen des territorialen Geltungsbereichs für Organisationen, die unsicher sind, ob die DSGVO auf ihre spezifischen Datenflüsse anwendbar ist.
Anonymisierte Daten. Wirklich anonymisierte Daten (bei denen eine Re-Identifizierung nicht möglich ist) fallen außerhalb des DSGVO-Scopes. Pseudonymisierte Daten (bei denen eine Re-Identifizierung mit einem Schlüssel möglich ist) sind noch im Scope.
B2B-Kontaktdaten. In vielen Jurisdiktionen fallen Geschäftskontaktinformationen von Unternehmen (nicht individueller Verbraucher) außerhalb der DSGVO-Definition personenbezogener Daten. Dies ist umstritten und jurisdiktionsspezifisch.

Fragen, die Sie auf Basis der DSGVO stellen sollten

Kann ich eine Kopie Ihres Standard-DPA erhalten, bevor ich den Hauptvertrag unterzeichne?
Haben Sie eine aktuelle Sub-Processor-Liste, und wie wird bei Änderungen Benachrichtigung erteilt?
Welchen Mechanismus verwenden Sie für grenzüberschreitende Datentransfers (SCCs, Angemessenheitsbeschluss)?
Wie ist Ihr Prozess zur Bearbeitung von Betroffenenrechte-Anfragen (Löschung, Zugang, Portabilität)?
Was ist Ihre Datenpannen-Benachrichtigungsverpflichtung und wie verhält sie sich zum 72-Stunden-DSGVO-Standard?
Wenn AI-Funktionen im Scope sind: Werden Kundendaten zum Training verwendet? Gibt es ein Opt-out, und ist es im DPA?
Welche personenbezogenen Daten werden verarbeitet, wenn wir nur [spezifisches Produktmodul] nutzen?

Warnsignale:

Vendor präsentiert seine Datenschutzrichtlinie als DPA
DPA enthält das Recht, Kundendaten für Modell-Training ohne Opt-out zu nutzen
Sub-Processor-Liste wird nicht gepflegt oder ist älter als 6 Monate
Datenpannen-Benachrichtigungsverpflichtung überschreitet 72 Stunden
Kein Mechanismus für grenzüberschreitende Transfers angegeben

Die Framework-Vergleichstabelle

Frage	SOC 2 beantwortet	ISO 27001 beantwortet	DSGVO beantwortet
Hat der Vendor Sicherheitskontrollen?	Ja (bei Type II, Sicherheitskriterien)	Ja (Anhang-A-Kontrollframework)	Nein (Sicherheit ist eine Anforderung, nicht geprüft)
Werden meine Daten mit angemessener Vertraulichkeit behandelt?	Teilweise (wenn Vertraulichkeitskriterien im Scope)	Teilweise (Anhang-A-Kontrollen)	Ja (DPA regelt das)
Sind meine Datenschutzrechte geschützt?	Teilweise (wenn Datenschutzkriterien im Scope)	Nein	Ja (Betroffenenrechte)
Gilt das für EU-Personaldaten?	Nein (freiwillig, geographisch neutral)	Nein (freiwillig, geographisch neutral)	Ja (Pflicht für EU-Daten)
Ist der Scope überprüfbar?	Ja (im Bericht)	Ja (Zertifikatsscope)	Ja (im DPA)
Adressiert es Datenpannen-Benachrichtigung?	Teilweise (Incident-Response-Kontrollen)	Teilweise (Incident Management)	Ja (72-Stunden-Benachrichtigung)

Wie Sie das in Vendor-Gesprächen anwenden

Nicht sagen: „Sind Sie SOC-2- und DSGVO-konform?"

Stattdessen fragen:

„Kann ich den Scope-Abschnitt und die Trust Service Criteria in Ihrem aktuellen SOC-2-Type-II-Bericht einsehen?"
„Deckt Ihr ISO-27001-Scope die Produktionsproduktumgebung ab?"
„Kann ich Ihren DPA erhalten, bevor wir unterschreiben? Welche Sub-Processor sind aufgeführt und sind darunter AI-Provider?"

Diese Fragen decken die Informationen auf, die Compliance-Theater verbirgt. Ein Vendor mit echter Compliance beantwortet sie direkt. Ein Vendor mit Compliance-Theater beantwortet sie mit Marketingsprache. Sobald Sie diese Informationen gesammelt haben, zeigt die Vendor-Due-Diligence-Checkliste, wie Compliance-Befunde in eine vollständige Risikobewertung integriert werden, bevor ein Vertrag unterzeichnet wird. Und wenn es Zeit zur Verhandlung wird, deckt SaaS-Vertrag-Red-Flags die DPA- und Haftungsklauseln ab, die Ihre Datenrechte nach der Unterzeichnung schützen.

Wie Rework Compliance angeht: für die eigene Lage und für die Verfolgung Ihrer

Rework behandelt Compliance als offengelegtes Artefakt, nicht als Marketing-Aussage. Wir veröffentlichen den Scope unserer Sicherheitslage unter rework.com/pricing und stellen unsere aktuellen Atteste, DPA und Sub-Processor-Liste Interessenten unter NDA vor Vertragsunterzeichnung zur Verfügung, nicht danach. Kundendaten werden nicht zum Training von AI-Funktionen verwendet, und diese Verpflichtung ist im DPA schriftlich festgehalten, nicht in einer Datenschutzrichtlinie vergraben. Für Käufer, die EU-Personaldaten verarbeiten, unterzeichnen wir Standardvertragsklauseln als Transfermechanismus und verpflichten uns zu Benachrichtigung bei Sub-Processor-Änderungen.

Separat nutzen viele unserer Mid-Market-Kunden Rework Work Ops (ab 6 USD/Nutzer/Monat), um ihre eigene Vendor-Compliance-Inventur zu verfolgen: ein schlankes Register von SOC-2-Berichtsdaten, ISO-27001-Erneuerungsfenstern, DPA-Versionen, Sub-Processor-Listen und nächsten Überwachungsaudits für jeden SaaS im Stack. Statt das in einer unstrukturierten Tabellenkalkulation zu verwalten, nutzen Beschaffungs- und IT-Leads Work-Ops-Boards mit automatisierten Überprüfungsterminen, damit ein veraltender SOC-2-Bericht oder eine Sub-Processor-Änderung als Aufgabe erscheint, nicht als Überraschung, die beim nächsten Verlängerungsgespräch entdeckt wird.

Häufig gestellte Fragen

Weiterführende Artikel

Sicherheits- und Compliance-Prüfung: Was ein Mid-Market-Käufer wirklich prüfen sollte: der fünfschichtige Prüfungsprozess, den dieser Framework-Kontext ermöglicht
Die Due-Diligence-Checkliste für Mid-Market-Käufer vor dem Kauf: wo die Compliance-Prüfung in das breitere Prüfungsframework passt
SaaS-Vertrag-Red-Flags: Auto-Renewal, Nutzungsobergrenzen und zu beachtende Kündigungsklauseln: die Vertragsklauseln, die Ihre Datenrechte nach der Unterzeichnung beeinflussen
Evaluierung von AI-fähigem SaaS: Was real ist, was Marketing ist: wie AI-Funktionen die DSGVO- und Datenverarbeitungsfragen erweitern
AI-Governance-Richtlinie für Abteilungen: interne Richtlinien, die vendor-seitige Compliance-Anforderungen ergänzen
AI-Readiness-Assessment-Vorlagen: wie die Datenverarbeitungsbereitschaft der eigenen Organisation vor dem Einsatz von AI-SaaS bewertet wird

SaaS-Kaufrahmen für Entscheider

SOC 2, ISO 27001 und DSGVO: Was jedes Framework für Käufer wirklich abdeckt

Framework-Überblick: Was Sie wirklich vergleichen

Die Compliance-Coverage-Map

SOC 2: Was er abdeckt und was nicht

Was SOC 2 wirklich ist

Die fünf Trust Service Criteria

Was SOC 2 NICHT abdeckt

Fragen, die Sie auf Basis von SOC 2 stellen sollten

ISO 27001: Was er abdeckt und was nicht

Was ISO 27001 wirklich ist

Was ISO 27001 NICHT abdeckt

Fragen, die Sie auf Basis von ISO 27001 stellen sollten

DSGVO: Was sie abdeckt und was nicht

Was die DSGVO wirklich ist

Der DPA: Das Dokument, das wirklich zählt

Was die DSGVO NICHT abdeckt

Fragen, die Sie auf Basis der DSGVO stellen sollten

Die Framework-Vergleichstabelle

Wie Sie das in Vendor-Gesprächen anwenden

Wie Rework Compliance angeht: für die eigene Lage und für die Verfolgung Ihrer

Häufig gestellte Fragen

Weiterführende Artikel

On this page