Sicherheitszertifizierungen für Datenräume: Worauf EU-Finanzteams achten
← All Articles

Sicherheitszertifizierungen für Datenräume: Worauf EU-Finanzteams achten

Published on 22. April 2026

Sicherheitszertifizierungen für Datenräume

Sicherheitszertifizierungen für Datenräume sind die formalen Drittanbieter-Bestätigungen, die bestätigen, dass die Sicherheitskontrollen eines Anbieters unabhängig getestet und verifiziert wurden. Für EU-Finanzteams, die virtuelle Datenraum-Anbieter bewerten, sind Zertifizierungen wie ISO 27001 und SOC 2 Typ II die Mindestanforderung, neben den spezifischen Anforderungen der DSGVO bezüglich Datenresidenz und Audit-Trail-Funktionen. Dieser Leitfaden erklärt, was jede Zertifizierung bedeutet und welche Kombination ein ernsthaftes EU-Finanzteam verlangen sollte.

Warum Zertifizierungen wichtiger sind als Marketingbehauptungen

Jeder Anbieter kann seine Plattform als "bankensicher" oder "unternehmensbereit" beschreiben. Zertifizierungen sind anders: Sie sind unabhängig geprüfte Verpflichtungen, die verifiziert, erneuert und zurückgezogen werden können. Wenn Sie einen Anbieter nach seinem ISO 27001-Zertifikat fragen, können Sie die Zertifizierungsstelle, den Umfang und das Ablaufdatum überprüfen. Wenn Sie nach einem SOC 2 Typ II-Bericht fragen, können Sie die Ergebnisse des Prüfers lesen.

Für EU-Finanzteams ist dies aus zwei Gründen wichtig. Erstens verlangen Ihre eigenen regulatorischen Verpflichtungen gemäß Artikel 28 der DSGVO, dass Sie Auftragsverarbeiter verwenden, die ausreichende Garantien für angemessene technische und organisatorische Sicherheitsmaßnahmen bieten. Zertifizierungen sind der Beweis, dass diese Garantien real sind. Zweitens fordern Ihre Kunden und Geschäftspartner zunehmend denselben Nachweis von Ihnen. Die Wahl eines zertifizierten Datenraum-Anbieters vereinfacht Ihre eigenen Antworten auf Sicherheitsfragen.

Die Zertifizierungen, die zählen

ISO 27001. Dies ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Ein Anbieter, der die ISO 27001-Zertifizierung hält, hat seine Sicherheitsrichtlinien, -verfahren und -kontrollen unabhängig auf die Anforderungen des Standards prüfen lassen. Der Umfang der Zertifizierung ist wichtig: Bestätigen Sie, dass die Datenraumoperationen im Umfang enthalten sind, nicht nur die Unternehmens-IT.

SOC 2 Typ II. Entwickelt vom American Institute of CPAs, bewerten SOC 2-Berichte Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutzkontrollen über einen definierten Zeitraum (in der Regel sechs bis zwölf Monate). Ein Typ II-Bericht ist wertvoller als Typ I, da er die Betriebseffektivität über die Zeit abdeckt, nicht nur das Design zu einem bestimmten Zeitpunkt. Viele EU-Finanzteams verlangen mittlerweile SOC 2 Typ II als Standard.

Dokumentation zur DSGVO-Konformität. Dies ist keine Zertifizierung im technischen Sinne, sondern eine Dokumentation, die Folgendes umfasst: einen unterzeichneten Auftragsverarbeitungsvertrag (AVV), ein Verzeichnis der Unterauftragsverarbeiter, eine Bestätigung der Datenresidenz und eine Datenschutzerklärung, die mit den Grundsätzen der DSGVO übereinstimmt. Renommierte Anbieter veröffentlichen diese öffentlich oder teilen sie auf Anfrage.

Cyber Essentials / Cyber Essentials Plus (UK). Für Teams mit Aktivitäten oder Kunden im Vereinigten Königreich bietet Cyber Essentials eine staatlich unterstützte Basis. Cyber Essentials Plus beinhaltet eine praktische technische Überprüfung und hat ein höheres Gewicht.

SendNow-Sicherheitsseite mit Compliance-Abzeichen für EU-FinanzteamsSendNow-Sicherheitsseite mit Compliance-Abzeichen für EU-Finanzteams

Technische Kontrollen, die durch Zertifizierungen bestätigt werden

Über die Zertifizierungen hinaus sollten EU-Finanzteams überprüfen, dass spezifische technische Kontrollen aktiv sind.

KontrolleWorauf zu achten ist
Verschlüsselung im RuhezustandMindestens AES-256
Verschlüsselung während der ÜbertragungTLS 1.2 oder TLS 1.3
ZugriffskontrolleRollenbasierte Berechtigungen, MFA-Unterstützung
Audit-ProtokollierungManipulationssicher, exportierbar, mit Zeitstempeln
DatenresidenzEU- oder EWR-Server schriftlich bestätigt
SchwachstellenmanagementRegelmäßige Penetrationstests, Patch-Politik
VorfallreaktionDokumentierter Plan mit Benachrichtigungs-SLAs
GeschäftskontinuitätWiederherstellungsziele angegeben und getestet

Ein Anbieter, der diese Fragen nicht konkret beantworten kann oder nur vage Zusicherungen gibt, wird wahrscheinlich nicht die Zertifizierungen halten, die er behauptet.

Fragen, die Sie einem Datenraum-Anbieter vor der Unterzeichnung stellen sollten

  1. Welche Zertifizierungen halten Sie, was ist der Umfang jeder einzelnen und wann laufen sie ab?
  2. Können Sie eine Kopie Ihres aktuellsten SOC 2 Typ II-Berichts unter NDA bereitstellen?
  3. Wo werden unsere Dokumente physisch gespeichert?
  4. Welche Unterauftragsverarbeiter verwenden Sie, und sind diese ebenfalls zertifiziert?
  5. Wie werden Sie uns im Falle eines Sicherheitsvorfalls, der unsere Daten betrifft, benachrichtigen?
  6. Bieten Sie einen Auftragsverarbeitungsvertrag an, der den Anforderungen des Artikels 28 der DSGVO entspricht?

Ein Anbieter, der alle sechs Fragen umgehend und mit Dokumentation beantworten kann, befindet sich in einer anderen Kategorie als einer, der ausweicht oder Marketingmaterialien als Antwort auf Compliance-Fragen bereitstellt.

SendNow-Checkliste für unternehmensbereite Funktionen einschließlich AES-256, Audit-Protokolle, EU-Hosting und DSGVOSendNow-Checkliste für unternehmensbereite Funktionen einschließlich AES-256, Audit-Protokolle, EU-Hosting und DSGVO

Wie SendNow diese Anforderungen erfüllt

SendNow bietet AES-256-Verschlüsselung im Ruhezustand und TLS 1.3 während der Übertragung, EU-gehostete Infrastruktur, ein vollständiges Audit-Protokoll für jedes Dokumentenzugriffsereignis und einen DSGVO-konformen Auftragsverarbeitungsvertrag. Die Sicherheitsseite unter sendnow.live/security beschreibt die vorhandenen Kontrollen für Teams, die Due Diligence durchführen.

Für das vollständige Compliance-Rahmenwerk siehe unseren Leitfaden zum DSGVO-Dokumentenaustausch. Für technische Details zur Verschlüsselung lesen Sie AES-256-Verschlüsselung für Dokumentenaustausch erklärt, und für Anforderungen an Audit-Trails siehe Wie man einen DSGVO-konformen Audit-Trail aufrechterhält.

Bewerten Sie die Sicherheitslage von SendNow für Ihr Team. Besuchen Sie sendnow.live, um die Sicherheitsdokumentation zu überprüfen und einen Auftragsverarbeitungsvertrag anzufordern.

Häufig gestellte Fragen

F: Ist die ISO 27001-Zertifizierung für einen DSGVO-konformen Datenraum erforderlich?
A: ISO 27001 ist keine gesetzliche Anforderung gemäß der DSGVO, aber sie ist ein starker Beweis für die "angemessenen technischen und organisatorischen Maßnahmen", die Artikel 32 verlangt. Viele EU-Finanzteams betrachten sie als praktisches Minimum bei der Auswahl von Anbietern.

F: Was ist der Unterschied zwischen SOC 2 Typ I und SOC 2 Typ II?
A: Typ I bewertet, ob die Sicherheitskontrollen eines Anbieters zu einem bestimmten Zeitpunkt angemessen gestaltet sind. Typ II bewertet, ob diese Kontrollen tatsächlich über einen Zeitraum von sechs bis zwölf Monaten effektiv betrieben wurden. Für langfristige Anbieterbeziehungen ist Typ II die bedeutungsvollere Absicherung.

F: Kann ein kleinerer Datenraum-Anbieter ohne ISO 27001 dennoch DSGVO-konform sein?
A: Ja, prinzipiell. Artikel 32 der DSGVO verlangt angemessene Maßnahmen, nicht spezifische Zertifizierungen. Ohne unabhängige Drittanbieter-Bestätigung tragen Sie jedoch die Verantwortung, die Kontrollen des Anbieters selbst zu überprüfen, was zeitaufwendig ist und möglicherweise nicht Ihren eigenen Kunden oder Prüfern genügt.

F: Verfällt der DSGVO-konforme Status eines Anbieters?
A: Die DSGVO-Konformität ist eine fortlaufende Verpflichtung, kein einmaliger Status. Der AVV eines Anbieters, die Datenschutzerklärung und die Liste der Unterauftragsverarbeiter sollten alle gepflegt und aktualisiert werden, wenn sich ihre Verarbeitungstätigkeiten ändern. Überprüfen Sie sie jährlich oder wann immer der Anbieter Sie über eine wesentliche Änderung informiert.

F: Was bedeutet Datenresidenz in der Praxis für einen Cloud-Datenraum?
A: Datenresidenz bedeutet, dass Ihre Dokumente auf Servern gespeichert werden, die physisch innerhalb einer definierten Geografie liegen, typischerweise in der EU oder im EWR. Cloud-Dienste haben oft verteilte Infrastrukturen über mehrere Regionen. Bestätigen Sie schriftlich, idealerweise im AVV, dass Ihre Daten nicht außerhalb des EWR verarbeitet werden, ohne Ihre vorherige Zustimmung.

F: Wie oft sollte ein Datenraum-Anbieter re-zertifiziert werden?
A: Die ISO 27001-Zertifizierung umfasst einen Dreijahreszyklus mit jährlichen Überwachungsaudits. SOC 2-Berichte werden in der Regel jährlich ausgestellt. Fragen Sie Ihren Anbieter nach seinem aktuellsten Bericht und bestätigen Sie, dass es seit dem letzten Audit keine wesentlichen Änderungen im Umfang oder in den Kontrollen gegeben hat.

F: Sind Zertifizierungen ausreichende Due Diligence, oder sollten wir unsere eigene Sicherheitsüberprüfung durchführen?
A: Zertifizierungen sind ein starker Ausgangspunkt, aber kein Ersatz für Ihre eigene Risikobewertung. Überprüfen Sie mindestens den Zertifizierungsumfang, lesen Sie die Zusammenfassung des SOC 2-Berichts und bestätigen Sie die Datenresidenz schriftlich. Hochwertige oder hochsensible Anwendungsfälle können eine detailliertere technische Überprüfung rechtfertigen.

F: Was sollten wir tun, wenn die Zertifizierung eines Anbieters abläuft?
A: Behandeln Sie es als wesentliche Änderung des Risikoprofils Ihres Anbieters. Fordern Sie eine Erklärung an, warum die Zertifizierung nicht erneuert wurde, und einen Zeitrahmen für die Wiederherstellung. Je nach Ihrer Risikotoleranz müssen Sie möglicherweise die Nutzung der Plattform aussetzen oder Ihren DSB informieren.

Ready to share documents smarter?

Start tracking who reads your documents, page by page. Free trial, no credit card required.

Get Started for Free →