Compliance ist nicht optional, aber oft unnnoetig kompliziert dargestellt. Hier ist die praktische Einordnung von GDPR, HIPAA und SOC 2 fuer Datenraum-Nutzer.
Compliance. Schon das Wort wirkt schwer.
Wer einen virtuellen Datenraum auswaehlt, fuehlt sich schnell in einem Dschungel aus Akronymen und Regelwerken gefangen: GDPR, HIPAA, SOC 2, ISO 27001, FedRAMP. Anbieter sagen dann gern, sie seien "compliant" - aber womit genau? Und brauchen Sie das ueberhaupt alles?
Die Wahrheit liegt meist zwischen zwei Extremen: Manche Unternehmen verkomplizieren alles und wollen jedes Framework gleichzeitig erfuellen. Andere vereinfachen zu sehr und nehmen an, dass der Anbieter schon alles erledigt. Beides ist falsch.
Diese drei Rahmenwerke decken den Grossteil der typischen Anforderungen an Datenraeume ab.
Die General Data Protection Regulation ist ein EU-Gesetz zur Verarbeitung personenbezogener Daten von EU-Buergern. Es spielt keine Rolle, wo Ihr Unternehmen sitzt: Wenn Sie Daten von Menschen in der EU verarbeiten, gilt GDPR.
Rechtsgrundlage fuer die Verarbeitung: Sie brauchen einen legitimen Grund, personenbezogene Daten zu verarbeiten. Im Datenraum ist das meist "berechtigtes Interesse" oder explizite Zustimmung.
Datenminimierung: Erfassen und speichern Sie nur Daten, die wirklich erforderlich sind. Nicht "zur Sicherheit" jeden Mitarbeiterdatensatz in den Datenraum werfen.
Auskunfts- und Loeschrechte: Betroffene koennen Auskunft verlangen oder Loeschung fordern. Ihr Anbieter muss solche Anfragen unterstuetzen koennen.
Meldung von Datenschutzverletzungen: Wenn personenbezogene Daten kompromittiert werden, bleiben 72 Stunden fuer die Meldung an zustaendige Stellen. Audit Trails des VDR sind dann zentral.
Data Processing Agreements (DPAs): Jeder Dritte, der personenbezogene Daten verarbeitet - also auch Ihr VDR-Anbieter - braucht ein formales DPA.
Grenzueberschreitende Datentransfers: Uebertragungen aus der EU heraus sind nur unter bestimmten Bedingungen erlaubt, z. B. Standardvertragsklauseln.
| Verstosskategorie | Maximalstrafe |
|---|---|
| Kleinere Verstoesse | EUR10 Mio. oder 2% des globalen Jahresumsatzes |
| Schwere Verstoesse | EUR20 Mio. oder 4% des globalen Jahresumsatzes |
Diese Zahlen sind nicht theoretisch. Die Strafen gegen Meta oder Amazon haben gezeigt, dass GDPR finanziell sehr real ist.
Ihr VDR sollte bieten:
HIPAA ist das US-Regelwerk zum Schutz sensibler Patientendaten. Sobald Sie Protected Health Information (PHI) verarbeiten, gilt HIPAA.
Privacy Rule: Regelt, wann PHI genutzt oder offengelegt werden darf. Das Prinzip ist immer: nur das unbedingt Notwendige.
Security Rule: Technische, administrative und physische Schutzmassnahmen fuer elektronische PHI.
Breach Notification Rule: Verpflichtet zur Benachrichtigung betroffener Personen, HHS und in manchen Faellen der Medien.
Business Associate Agreements (BAAs): Jeder Anbieter, der PHI verarbeitet, muss ein BAA unterzeichnen.
| Verstossniveau | Strafrahmen pro Verstoss | Jaehrliches Maximum |
|---|---|---|
| Unbekannter Verstoss | $100-$50,000 | $25,000 |
| Reasonable cause | $1,000-$50,000 | $100,000 |
| Willful neglect, korrigiert | $10,000-$50,000 | $250,000 |
| Willful neglect, nicht korrigiert | $50,000+ | $1,500,000 |
Zusaetzlich sind in schweren Faellen strafrechtliche Konsequenzen moeglich.
Fuer HIPAA-nahe Transaktionen sollte Ihr VDR bieten:
Bei Diligence im Gesundheitsbereich wird es schnell heikel. Schon Patientenanzahlen, Behandlungsdaten oder Billing-Informationen koennen unter HIPAA fallen. Ein VDR-Anbieter muss diese Nuancen verstehen. Ein allgemeines "wir sind HIPAA compliant" reicht nicht.
SOC 2 ist kein Gesetz, sondern ein Audit-Framework des AICPA. Es bestaetigt, dass Sicherheitspraktiken unabhaengig geprueft wurden.
Security (Pflicht): Schutz vor unbefugtem Zugriff.
Availability: Verfuegbarkeit und zugesagte Uptime.
Processing Integrity: Korrekte und autorisierte Datenverarbeitung.
Confidentiality: Schutz vertraulicher Informationen.
Privacy: Erhebung, Nutzung, Aufbewahrung und Loeschung personenbezogener Daten.
| Report-Typ | Inhalt | Einschraenkung |
|---|---|---|
| SOC 2 Type I | Kontrollen sind zu einem Zeitpunkt sauber gestaltet | Nur eine Momentaufnahme |
| SOC 2 Type II | Kontrollen funktionieren ueber einen laengeren Zeitraum | Strenger und aussagekraeftiger |
Fragen Sie immer nach Type II. Type I zeigt eher, dass ein Konzept existiert. Type II zeigt, dass es ueber Zeit funktioniert.
Achten Sie auf:
Formell ist SOC 2 freiwillig. Praktisch ist es heute fuer viele Enterprise-Kaeufer Pflichtstandard.
Internationaler Standard fuer Informationssicherheits-Management. In Europa haeufig relevant, oft zusaetzlich zu SOC 2.
Relevant fuer Cloud-Dienste mit US-Behoerdenbezug.
Wichtig bei Karteninhaberdaten, in M&A eher selten.
Kalifornische Datenschutzgesetze, besonders relevant bei Daten von Einwohnern Kaliforniens.
Bei boersennotierten Unternehmen spielen Offenlegungs- und Aufbewahrungspflichten eine Rolle.
| Anbieter | SOC 2 Type II | ISO 27001 | GDPR | HIPAA BAA | EU Hosting |
|---|---|---|---|---|---|
| Papermark | Yes | Yes | Yes | Auf Anfrage | Yes |
| Datasite | Yes | Yes | Yes | Yes | Yes |
| Intralinks | Yes | Yes | Yes | Yes | Yes |
| iDeals | Yes | Yes | Yes | Yes | Yes |
| Ansarada | Yes | Yes | Yes | Yes | Yes |
Die grossen Anbieter erfuellen die Basisanforderungen. Unterschiede zeigen sich eher darin, wie transparent sie Unterlagen teilen, wie schnell sie auf Spezialfragen reagieren und welche Hosting-Regionen sie anbieten.
Ein SOC-2-zertifizierter Anbieter macht Sie nicht automatisch compliant. Er deckt nur einen Teil Ihres Risikobildes ab.
Fordern Sie reale Dokumente an: Reports, Zertifikate, unterschriebene Agreements.
Nicht das Logo ist wichtig, sondern ob das Framework zu Ihrem konkreten Use Case passt.
Wenn EU-Hosting noetig ist, pruefen Sie genau, wo Ihre Daten wirklich liegen.
Auch mit compliantem VDR muessen Sie:
Welche Daten speichern Sie? Wer greift zu? Welche Jurisdiktionen sind beteiligt?
Leiten Sie daraus die konkreten Zertifikate und Funktionen ab.
Serioese Anbieter liefern Reports, Agreements und Zertifikate zuegig.
Nicht nur Haken setzen, sondern verstehen, welche Luecken bleiben.
Wenn spaeter Fragen entstehen, zeigt diese Dokumentation, dass Sie vernuenftig geprueft haben.
Compliance-Frameworks sollen sensible Daten schuetzen. Sie sind keine nutzlose Buerokratie, sondern vernuenftige Mindestanforderungen fuer verantwortungsvollen Umgang mit Informationen.
Fuer die meisten Transaktionen brauchen Sie einen VDR mit:
Healthcare-Deals bringen HIPAA ins Spiel. Government-Deals koennen FedRAMP verlangen. Internationale Prozesse brauchen manchmal ISO 27001 oder laenderspezifische Regeln.
Die gute Nachricht: Grosse VDR-Anbieter haben in ihre Compliance-Infrastruktur investiert. Ihre Aufgabe ist es nicht, alles neu zu erfinden, sondern sauber zu verifizieren, dass Ihre konkreten Anforderungen erfuellt sind.