SOC 2 Type II für europäische Unternehmen: 5 Kriterien + DSGVO

SOC 2 Type II hat sich zur faktischen Voraussetzung für jedes europäische Unternehmen entwickelt, das Software, Cloud-Dienste oder Managed IT in den amerikanischen Markt verkauft. Die Beschaffungsabteilungen US-amerikanischer Großunternehmen erwarten es; ohne einen abgeschlossenen Bericht bleibt der Vertriebszyklus beim Vendor-Risk-Assessment stecken – ganz gleich, wie stark das Produkt ist. Nachdem ich europäische Unternehmen über 17 Jahre durch Compliance-Programme begleitet habe, sind die Fragen, die ich am häufigsten höre, genau jene, die US-amerikanische Leitfäden nie behandeln: Wie greift es mit der DSGVO ineinander, lässt sich eine vorhandene ISO 27001 nutzen, und wie sieht das Audit aus, wenn der Auditor in New York sitzt und die Infrastruktur in Frankfurt steht?

Was SOC 2 Type II ist – und warum Type II

SOC 2 ist ein Audit-Rahmenwerk des American Institute of CPAs (AICPA), das bewertet, wie eine Dienstleistungsorganisation mit Kundendaten umgeht. Type I beurteilt, ob Kontrollen zu einem bestimmten Zeitpunkt vorhanden sind; Type II prüft, ob sie über einen Zeitraum von drei bis zwölf Monaten wirksam waren. Ein Type-I-Bericht sagt: „Dieses Unternehmen verfügt über eine Firewall-Richtlinie.“ Ein Type-II-Bericht sagt: „Dieses Unternehmen hat seine Firewall-Richtlinie sechs Monate lang konsequent durchgesetzt – und hier sind die Nachweise.“ Enterprise-Einkäufer vertrauen Type II, weil es operative Disziplin belegt, und rund 72 % der US-amerikanischen Enterprise-Beschaffungsteams setzen es heute voraus, bevor sie einen Anbieter aufnehmen.

Die fünf Trust Service Criteria

Security ist das einzige verpflichtende Kriterium – die Common Criteria – und umfasst Zugriffskontrollen, Network Security Monitoring, Change Management und Incident Response. Das Audit prüft Nachweise über den gesamten Beobachtungszeitraum: Firewall-Änderungsprotokolle, Access Reviews, Schwachstellen-Scans, Incident-Tickets. Europäische Unternehmen, die an DSGVO-Dokumentation gewöhnt sind, schneiden hier in der Regel gut ab.

Availability bewertet die Verfügbarkeit gegenüber SLAs – Redundanz, Failover und getestete Disaster Recovery. Die typische europäische Lücke ist ein ungetesteter DR-Plan: Dokumentation allein genügt nicht, das Audit verlangt den Nachweis, dass Sie ihn im Zeitraum getestet und Ihre Wiederherstellungsziele erreicht haben.

Processing Integrity stellt sicher, dass Daten vollständig, korrekt und termingerecht verarbeitet werden – am relevantesten für Fintech, Analytics und automatisierte Entscheidungsfindung, nachgewiesen durch Eingabevalidierung, Abstimmungen und Fehlerprotokolle.

Confidentiality schützt als vertraulich eingestufte Informationen und überschneidet sich stark mit Artikel 32 DSGVO – Verschlüsselung im Ruhezustand und bei der Übertragung, Klassifizierung, Least-Privilege-Zugriff, sichere Entsorgung.

Privacy deckt Erhebung, Nutzung, Aufbewahrung und Löschung personenbezogener Daten ab. Für DSGVO-konforme Unternehmen zahlt sich das bestehende Programm hier am stärksten aus – allerdings ordnet SOC 2 die Datenschutzgrundsätze des AICPA zu, sodass die Dokumentation neu organisiert werden muss, selbst wenn die zugrunde liegenden Kontrollen identisch sind.

SOC 2 Type II vs. ISO 27001

Jedes europäische Unternehmen fragt, was es braucht. Die ehrliche Antwort hängt vom Zielmarkt ab – und wenn Sie sowohl in die USA als auch nach Europa verkaufen, brauchen Sie wahrscheinlich beides.

Rund 60 % der ISO-27001-Kontrollen lassen sich direkt auf SOC 2 abbilden, sodass eine bestehende Zertifizierung – und die ISO-27001-Kontrollnachweise dahinter – die Vorbereitung erheblich beschleunigt.

Der DSGVO-Vorsprung

Europäische Unternehmen unterschätzen durchweg, wie viel SOC-2-Vorarbeit die DSGVO bereits abdeckt. Bestimmte Artefakte lassen sich unmittelbar übertragen:

• Technische Maßnahmen nach Artikel 32 → Kriterien Security und Confidentiality
• Datenschutz-Folgenabschätzungen → Privacy-Risikobewertungen
• Verzeichnisse von Verarbeitungstätigkeiten → Privacy-Dateninventar
• Verfahren zur Meldung von Datenschutzverletzungen → Security-Incident-Response
• Auftragsverarbeitungsverträge → Kontrollen des Lieferantenmanagements

Diese Überschneidung bedeutet, dass ein DSGVO-konformes Unternehmen die Audit-Reife rund 30–40 % schneller erreicht als ein US-Unternehmen, das bei null beginnt – die Lücke ist selten technischer Natur, sondern liegt in Dokumentation, Beweiserhebung und der Wahl des richtigen Auditors.

Zeitplan und Kosten

Ein realistisches Programm dauert vom Kick-off bis zum abgeschlossenen Bericht sechs bis zwölf Monate und verläuft in drei Phasen. Readiness Assessment (4–8 Wochen, 5.000–15.000 €): eine Gap-Analyse gegen die Kriterien. Remediation und Beobachtung (3–9 Monate, 10.000–30.000 € an Tooling und Zeit): Lücken schließen und Kontrollen über den Beobachtungszeitraum hinweg konsequent betreiben. Audit und Bericht (4–6 Wochen, 15.000–35.000 €): eine lizenzierte CPA-Kanzlei prüft die Nachweise. Gesamtkosten für ein mittelständisches europäisches Unternehmen: 30.000–80.000 €, am unteren Ende bei vorhandener ISO 27001.

Sieben Fehler, die europäische Unternehmen machen

• Es als einmaliges Projekt zu behandeln. Das Rahmenwerk verlangt jährliche Re-Audits – bauen Sie nachhaltige Prozesse auf, keinen Sprint.
• Die falschen Kriterien zu wählen. Alle fünf aufzunehmen, wenn Kunden nur Security und Availability benötigen, treibt Kosten und Umfang in die Höhe. Fragen Sie, was sie tatsächlich verlangen.
• Den Beobachtungszeitraum zu ignorieren. Schon eine einzige Lücke von einem Monat in den Nachweisen wird zur Audit-Beanstandung.
• Einen reinen US-Auditor zu wählen. Wer mit EU-Datenresidenz und den Wechselwirkungen mit der DSGVO nicht vertraut ist, verlangsamt das Audit durch vermeidbare Rückfragen.
• ISO-27001-Arbeit zu duplizieren. Bilden Sie bestehende Kontrollen zuerst ab – bis zu 60 % lassen sich übertragen.
• Das Lieferantenmanagement zu unterschätzen. Auditoren prüfen das Drittparteienrisiko gründlich; ein unterzeichneter AVV ist keine dokumentierte Due Diligence.
• Schulungsnachweise zu vernachlässigen. Security-Awareness-Schulungen brauchen Abschlussnachweise; eine DSGVO-Schulung allein reicht nicht aus.

Häufig gestellte Fragen

Brauchen europäische Unternehmen SOC 2 Type II tatsächlich?

Wenn Sie Software, Cloud oder Managed Services an US-Großunternehmen verkaufen, in der Praxis ja – rund 72 % der US-Beschaffungsteams verlangen einen gültigen Bericht vor der Aufnahme. Es ist vom Wettbewerbsvorteil zur Grunderwartung geworden.

Kann ISO 27001 SOC 2 Type II ersetzen?

Nicht für den US-Markt, wo SOC 2 dominiert – aber ISO 27001 beschleunigt es. Rund 60 % der Kontrollen lassen sich übertragen, sodass das ISMS, die Risikomethodik und die Kontrolldokumentation eine solide Grundlage bilden.

Wie hilft die DSGVO bei SOC 2?

DSGVO-Artefakte – Maßnahmen nach Artikel 32, DSFA, Verarbeitungsverzeichnisse, Meldeverfahren, AVVs – lassen sich den Kriterien Security, Confidentiality und Privacy zuordnen und verkürzen die Vorbereitungszeit um rund 30–40 % gegenüber einem US-Unternehmen, das bei null beginnt.

Fazit

SOC 2 Type II ist für europäische Unternehmen, die um US-Enterprise-Geschäft konkurrieren, nicht länger optional – und der europäische Vorteil ist real: DSGVO, ISO 27001 und das ausgereifte regulatorische Umfeld der EU bringen die meisten Unternehmen der Audit-Reife näher, als sie ahnen. Die Lücke ist selten technisch – sie liegt in Dokumentations- und Nachweisdisziplin, derselben Disziplin, auf die die Lehren aus 15 Jahren Compliance immer wieder zurückkommen. Auf der Seite der Firewall-Nachweise erzeugen die FwChange-Methodik und der kostenlose Readiness Check genau die Änderungsprotokolle und Rule-Review-Aufzeichnungen, die das Security-Kriterium erwartet.