![[interface] image of software security protocols (for a ai fintech company)](https://cdn.prod.website-files.com/69ccea936cefc2d9f48cf799/6a049666c96e6a6b979727e2_report-corporate-pad-cooperation-male-strategy%20(1).jpg)
Hinter jedem SOC 2-Bericht steht ein klar definiertes Prüfgerüst: die Trust Services Criteria (TSC). Sie legen fest, welche Aspekte der Informationssicherheit und Datenverarbeitung ein Dienstleister kontrollieren muss, um die Anforderungen des Standards zu erfüllen. Wer SOC 2 verstehen will, kommt an den fünf Kriterien nicht vorbei. Dieser Beitrag erklärt, was sich hinter jedem Kriterium verbirgt, welche Anforderungen daraus folgen – und wie Sie die TSC in der Praxis umsetzen.
Die Trust Services Criteria sind ein vom AICPA (American Institute of Certified Public Accountants) entwickeltes Rahmenwerk zur Bewertung interner Kontrollen in Dienstleistungsunternehmen. Sie definieren, welche Schutzziele eine Organisation in Bezug auf Daten, Systeme und Prozesse erfüllen muss. Jedes Kriterium ist in konkrete Anforderungen – die sogenannten Points of Focus – heruntergebrochen, die im Rahmen eines SOC 2-Audits geprüft werden.
Die fünf Trust Services Criteria sind:
Nur das Kriterium Sicherheit – auch Common Criteria genannt – ist verpflichtend. Die weiteren vier sind optional und werden je nach Geschäftsmodell, Risikolage und Kundenanforderungen ergänzt.
Das Kriterium Sicherheit bildet das Fundament jeder SOC 2-Prüfung. Es prüft, ob Systeme und Daten vor unbefugtem Zugriff, Missbrauch und Manipulation geschützt sind – sowohl logisch als auch physisch.
Sicherheit ist breit gefasst und umfasst unter anderem:
Da das Kriterium Sicherheit für jede SOC 2-Prüfung verpflichtend ist, bildet es auch die Grundlage für alle weiteren Kriterien.
Das Kriterium Verfügbarkeit prüft, ob Systeme und Dienste in der vereinbarten Form bereitgestellt werden können. Es geht nicht um Funktionalität, sondern um den zuverlässigen Zugriff auf Daten und Anwendungen gemäß Service Level Agreements (SLAs).
Besonders wichtig ist Verfügbarkeit für:
Achtung: Verfügbarkeit verlangt keine 100 %-Uptime. Geprüft wird, ob die vertraglich zugesagte Verfügbarkeit zuverlässig eingehalten und Ausfälle systematisch bewältigt werden.
Verarbeitungsintegrität fragt: Werden Daten vollständig, korrekt, rechtzeitig und autorisiert verarbeitet? Es geht um die Qualität der Datenverarbeitung – nicht um die inhaltliche Richtigkeit der Daten an sich.
Verarbeitungsintegrität ist insbesondere für Dienstleister relevant, deren Kernleistung in der Datenverarbeitung liegt:
Vertraulichkeit schützt als vertraulich klassifizierte Daten vor unbefugter Offenlegung – sowohl während der Verarbeitung als auch bei der Speicherung und Übertragung. Dazu zählen z. B. Geschäftsgeheimnisse, geistiges Eigentum, Vertragsdaten und sensible Kundeninformationen.
Die Begriffe werden oft verwechselt. Der entscheidende Unterschied:
Das Kriterium Datenschutz prüft, wie eine Organisation personenbezogene Daten erhebt, verarbeitet, speichert, weitergibt und löscht. Es orientiert sich an den Generally Accepted Privacy Principles (GAPP) und ist eng mit Datenschutzgesetzen wie der DSGVO oder dem CCPA verzahnt.
SOC 2 mit Privacy-Kriterium ersetzt keine DSGVO-Konformität, kann aber als wirksamer Nachweis genutzt werden, um die organisatorischen und technischen Maßnahmen (TOMs) gegenüber Auditoren, Kunden und Aufsichtsbehörden zu belegen.
Nicht jede Organisation muss alle fünf Kriterien prüfen lassen. Die Auswahl richtet sich nach Ihrer Leistung, Ihren Datenverarbeitungsprozessen und den Anforderungen Ihrer Kunden. Eine typische Zuordnung sieht so aus:
Nein. Verpflichtend ist nur das Kriterium Sicherheit (Common Criteria). Die weiteren vier werden je nach Geschäftsmodell, Risiken und Kundenanforderungen ergänzt.
Die Auswahl trifft die Organisation selbst in Abstimmung mit ihrem Auditor und idealerweise unter Berücksichtigung der Kundenanforderungen. Sie wird im Scope des Audits dokumentiert.
Points of Focus sind konkrete Beispielanforderungen innerhalb jedes Kriteriums. Sie dienen Auditoren und Unternehmen als Orientierung bei der Umsetzung – sind aber keine starren Vorgaben, sondern flexibel auf das jeweilige Geschäftsmodell anwendbar.
Vertraulichkeit schützt alle Arten vertraulicher Daten (auch nicht-personenbezogene). Datenschutz bezieht sich ausschließlich auf personenbezogene Daten und deren rechtmäßige Verarbeitung.
Ja. Viele Unternehmen starten mit Sicherheit (und ggf. Verfügbarkeit) und erweitern den Scope im Folgejahr um weitere Kriterien – etwa wenn Großkunden zusätzliche Nachweise verlangen.
Die Trust Services Criteria sind weit mehr als ein abstraktes Rahmenwerk. Sie sind der Kompass für jede SOC 2-Strategie – sie definieren, welche Kontrollen Sie aufbauen, dokumentieren und nachweisen müssen. Ein klares Verständnis der fünf Kriterien hilft Ihnen, den Scope Ihres Audits präzise zu schneiden, unnötigen Aufwand zu vermeiden und gezielt die Anforderungen Ihrer Kunden zu erfüllen.
Sie möchten Ihr Engagement für Sicherheit, Verfügbarkeit und Datenschutz sichtbar machen? Reichen Sie Ihren SOC 2-Bericht ein und zeigen Sie Ihren Kunden, dass Sie die Trust Services Criteria nachweislich erfüllen.
