Was ist SOC 2? – Ein Überblick für Unternehmen

Artikel von Dr. Datenschutz·10. Oktober 2025

Cloud-Dienstleister und IT-Unternehmen müssen das Vertrauen ihrer Kunden in die Sicherheit ihrer Daten gewinnen – weltweit. Während in Deutschland vor allem ISO 27001 als Standard für Informationssicherheit bekannt ist, setzen viele US-Unternehmen auf SOC 2. Doch was steckt hinter SOC 2, und warum sollten auch deutsche Unternehmen diesen Standard kennen? In diesem Artikel erfahren Sie, was SOC 2 ausmacht und welche Bedeutung er für den internationalen Geschäftserfolg haben kann.

Der Inhalt im Überblick

Was sind die Trust Services Criteria (TSC) bei SOC 2?
SOC 2 Type I oder II?
Wie ist ein SOC 2 Bericht aufgebaut?
Wann lohnt sich SOC 2 für deutsche Unternehmen?

Was sind die Trust Services Criteria (TSC) bei SOC 2?

Das Herzstück von SOC 2 bilden die sogenannten Trust Services Criteria. Sie legen fest, wie Unternehmen Kundendaten in der Cloud schützen und verarbeiten sollen. Diese Kriterien sind in fünf zentrale Bereiche unterteilt, die jeweils unterschiedliche Aspekte der Informationssicherheit abdecken:

Security (Sicherheit):
Hier steht der Schutz vor unerlaubtem Zugriff im Mittelpunkt. Die Kategorie „Security“ ist immer Teil eines SOC 2 Audits, während die weiteren Kriterien optional sind.
Availability (Verfügbarkeit):
Dieses Kriterium stellt sicher, dass Systeme zuverlässig funktionieren und sowohl Mitarbeitern als auch Kunden zur Verfügung stehen. Ziel ist es, Ausfallzeiten zu minimieren.
Processing Integrity (Verarbeitungsintegrität):
Die Verarbeitungsintegrität prüft, ob Systeme wie vorgesehen arbeiten und Prozesse zuverlässig ablaufen.
Confidentiality (Vertraulichkeit):
Der Schutz vertraulicher Informationen wird durch gezielte Zugriffsbeschränkungen, sichere Speicherung und kontrollierte Nutzung gewährleistet. So können sensible Daten sicher ausgetauscht werden.
Privacy (Datenschutz):
Schließlich befasst sich dieses Kriterium mit dem Schutz personenbezogener Daten vor unberechtigtem Zugriff und Missbrauch.

SOC 2 Type I oder II?

Nachdem die Kriterien festgelegt sind, stellt sich die Frage, wie die Einhaltung dieser Anforderungen nachgewiesen wird. Hierzu gibt es zwei Arten von SOC 2-Berichten, die sich im Umfang und in der Aussagekraft unterscheiden:

Type I: Bewertet die Kontrollen eines Unternehmens zu einem bestimmten Zeitpunkt. Die zentrale Frage: Sind die Sicherheitskontrollen richtig konzipiert?
Type II: Bewertet die Wirksamkeit dieser Kontrollen über einen längeren Zeitraum. Hier werden auch Änderungen am System während des Berichtszeitraums dokumentiert.

Wie ist ein SOC 2 Bericht aufgebaut?

Ein SOC 2 Bericht folgt einer klaren Struktur, um Transparenz und Nachvollziehbarkeit zu gewährleisten. Zu den wichtigsten Bestandteilen gehören:

Managementerklärung:
Eine schriftliche Erklärung, in der die Systeme des Unternehmens beschrieben werden. Sie bildet die Grundlage für die gesamte Prüfung.
Systembeschreibung:
Detaillierte Angaben zu den Aspekten der Infrastruktur, die in der Prüfung berücksichtigt werden. Dazu gehören eine Unternehmensübersicht (Produkte und Dienstleistungen) und eine Systemübersicht (wichtigste Dienstleistungen für Kunden). Die Systembeschreibung sollte so ausführlich sein, dass der Leser die Risiken und die Maßnahmen des Unternehmens nachvollziehen kann – aber nicht so detailliert, dass Sicherheitslücken offengelegt werden.
Kontrollmatrix:
Eine Tabelle, in der die spezifischen Kontrollen im Zusammenhang mit den SOC 2-Kriterien aufgeführt sind. Sie enthält in der Regel folgende Spalten:

Die Matrix zeigt, welche Trust Service Criteria durch welche Kontrollen abgedeckt werden, wer für die Umsetzung verantwortlich ist und wie hoch das jeweilige Risiko eingeschätzt wird.

Wann lohnt sich SOC 2 für deutsche Unternehmen?

SOC 2 kann für deutsche Unternehmen, die mit US-Kunden oder auf dem internationalen Markt agieren, ein wichtiger Nachweis für Informationssicherheit sein. Dennoch sollte man sich bewusst machen, dass SOC 2 kein global anerkannter Standard wie ISO 27001 ist und vor allem auf die Anforderungen des US-Marktes zugeschnitten wurde. Für viele deutsche Unternehmen reicht eine ISO 27001-Zertifizierung oft aus, um die Erwartungen europäischer Kunden zu erfüllen. Wer jedoch gezielt amerikanische Kunden ansprechen oder sich im US-Markt positionieren möchte, sollte SOC 2 zumindest kennen – und sorgfältig abwägen, ob der zusätzliche Aufwand und die Investition in diesen Standard tatsächlich notwendig sind.

- ISO 27001
  ISO 27701: Risikobeurteilung und RisikobehandlungFachbeitrag·29. September 2025
- Keine Angst vor dem internen AuditFachbeitrag·20. Juni 2025
- IT-Sicherheitskonzept: Mehr Klarheit für UnternehmenFachbeitrag·9. Mai 2025
Mehr zum Thema
- IT-Sicherheit
  Scan auf Schadsoftware im Unternehmen: Rechtliche ZulässigkeitFachbeitrag·7. November 2025
- DORA: Das Vorfallmeldewesen kurz erklärtFachbeitrag·29. August 2025
- Dr. Datenschutz Shortnews im August 2025 – KW 34News·20. August 2025
Mehr zum Thema
Mehr zum Thema
- Unternehmen
  Automatisierter Abfallgebührenbescheid: Ein DSGVO-Verstoß?Urteil·30. Oktober 2025
- Datenschutz & DSGVO: Fotos von Veranstaltungen veröffentlichenFachbeitrag·28. Oktober 2025
- Informationspflicht bei Internetrecherche über Prozessgegner?Urteil·19. September 2025
Mehr zum Thema
- Unternehmenszertifizierung
  Audit-Strategien für eine erfolgreiche ZertifizierungFachbeitrag·25. April 2025
- ISO 27001 und die Dienstleisterkontrolle: ein Dreamteam?Fachbeitrag·15. September 2020
- DSGVO Zertifizierung – ein langer Weg!Fachbeitrag·22. Mai 2020
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.