DeepL veröffentlicht SOC‑2-Typ‑II-Bericht
Die wichtigsten Informationen in Kürze:
- In einem SOC‑2-Bericht vom Typ II werden die Informationssysteme eines Unternehmens im Hinblick auf Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz bewertet.
- Mit dem Bericht bekräftigt DeepL einmal mehr seinen Fokus auf Datenschutz und Datensicherheit auf höchstem Niveau.
- Der vollständige SOC‑2-Typ‑II-Bericht von DeepL kann hier angefordert werden.
Beim Thema Sicherheit sollte man nichts dem Zufall überlassen. Bestimmt hat daher auch Ihr Unternehmen spezifische Sicherheitsanforderungen für alle seine Tools und Anbieter festgelegt. Immerhin gibt es von der Datenschutz-Grundverordnung (DSGVO) bis hin zur ISO 27001-Norm viele wichtige Vorgaben zu Datensicherheit und Datenschutz zu berücksichtigen.
In diesem Zusammenhang haben wir gute Neuigkeiten, denn DeepL kann nun eine weitere Zertifizierung vorweisen: den SOC‑2-Typ‑II-Bericht. Die Ergebnisse des zugehörigen umfassenden Auditverfahrens liefern sicherheitsbewussten Unternehmen und Organisationen eine wichtige Orientierungshilfe bei der Auswahl von Tools und Anbietern.
In diesem Blogbeitrag erfahren Sie, was ein SOC‑2-Typ‑II-Bericht ist, warum solche Berichte wichtig sind und wie Sie auf den Bericht von DeepL zugreifen können.
Was ist ein SOC‑2-Bericht vom Typ II?
Der SOC‑2-Bericht (System and Organization Controls) vom Typ II wurde vom amerikanischen Berufsverband für Wirtschaftsprüfer (American Institute of Certified Public Accountants, AICPA) basierend auf dem Kriterienkatalog für Vertrauensdienste (Trust Services Criteria, TSC) entwickelt, um einen angemessenen Standard für die Verwaltung von Kundendaten festzulegen.
Bei einem SOC‑2-Bericht werden die Informationssysteme eines Unternehmens oder einer Organisation auf Grundlage von fünf „Vertrauensdienstgrundsätzen“ bewertet:
- Sicherheit: Dies ist ein wichtiger Grundsatz für alle Unternehmen und Organisationen, die sensible oder vertrauliche Daten verarbeiten. In diesem Zusammenhang haben wir bei DeepL Kontrollmechanismen zum Schutz unserer Systeme und Daten vor Diebstahl, unbefugtem Zugriff und Zerstörung bzw. Vernichtung eingerichtet.
- Verfügbarkeit: Dieser Grundsatz ist entscheidend für Unternehmen und Organisationen, die auf ihre Systeme und Daten angewiesen sind, um ihr Tagesgeschäft abzuwickeln. Bei DeepL setzen wir daher Kontrollmechanismen ein, um die ständige Verfügbarkeit aller unserer Systeme und Daten zu gewährleisten.
- Verarbeitungsintegrität: Für Unternehmen und Organisationen, die sich bei ihren Geschäftsentscheidungen auf genaue Daten verlassen, ist die Einhaltung dieses Grundsatzes unerlässlich. Daher müssen Kontrollmechanismen eingerichtet werden, um eine präzise und vollständige Datenverarbeitung sicherzustellen.
- Vertraulichkeit: Dies ist ein weiterer wichtiger Grundsatz für Unternehmen und Organisationen, die sensible Daten und Informationen verarbeiten. Auch hier setzen wir bei DeepL strenge Kontrollmechanismen ein, um die Vertraulichkeit unserer Systeme und Daten zu gewährleisten. So wurde im Rahmen des SOC‑2-Typ‑II-Audits beispielsweise bestätigt, dass die Übersetzungsdaten von DeepL Pro-Nutzern nie gespeichert werden und somit die Vertraulichkeit der Nutzerdaten vollständig gewahrt bleibt.
- Datenschutz: Auch dieser Grundsatz ist für Unternehmen und Organisationen, die personenbezogene Daten erfassen, verarbeiten oder speichern, von entscheidender Bedeutung und bezieht sich auf Kontrollmechanismen, die zum Schutz personenbezogener Daten eingerichtet werden.
Maximilian Ehrlich, Information Security Officer von DeepL, betont, dass jeder SOC‑2-Typ‑II-Bericht die individuellen Kontrollmechanismen eines Unternehmens widerspiegelt, die in Übereinstimmung mit den jeweiligen Geschäftszielen, Risiken und geltenden Kriterien für Vertrauensdienste entwickelt wurden.
Da der SOC‑2-Typ‑II-Bericht wichtige Informationen darüber liefert, wie Kundendaten verwaltet werden, muss er von einem externen Prüfer erstellt werden. Der Prüfer muss dabei beurteilen, inwieweit das Unternehmen oder die Organisation die fünf oben genannten Grundsätze für Vertrauensdienste einhält.
Was ist der Unterschied zwischen einem SOC‑2-Bericht vom Typ II und einem vom Typ I?
Logischerweise gibt es neben dem SOC‑2-Bericht vom Typ II auch einen SOC‑2-Bericht vom Typ I, und sie unterscheiden sich in einigen Punkten.
Der Hauptunterschied zwischen dem Typ‑I- und dem Typ‑II-Bericht besteht darin, dass im Typ‑I-Bericht die bestehenden Kontrollmechanismen eines Unternehmens beschrieben werden, während beim Typ‑II-Bericht die beschriebenen Mechanismen in einem externen Audit auf ihre Wirksamkeit geprüft werden.
Laut Ehrlich ist der Typ‑II-Bericht ein Nachweis dafür, dass die festgelegten Strategien und Verfahren im Rahmen eines Berichtszeitraums von zwölf Monaten erfolgreich befolgt wurden, was von einem unabhängigen Prüfer bestätigt wird. Daher sagt der Typ‑II-Bericht deutlich mehr über die bestehenden Sicherheitskontrollen eines Unternehmens aus als ein Typ‑I-Bericht.
Warum sind SOC‑2-Typ‑II-Berichte wichtig?
Auch wenn es keine allgemeine Anforderung ist, verlangen besonders sicherheitsbewusste Unternehmen und Organisationen von ihren Partnern und Anbietern einen SOC‑2-Bericht vom Typ II.
Die erfolgreiche Durchführung des SOC‑2-Typ‑II-Audits ist ein umfangreiches Unterfangen, das an strenge Vorgaben gebunden ist. Mit dem Bericht zeigen Sie potenziellen Partnern, Lieferanten und Kunden, dass in Ihrem Unternehmen Datensicherheit und Datenschutz im Vordergrund stehen – und dass Sie sich die Mühe gemacht haben, dies zu beweisen.
Auch bei DeepL haben Datensicherheit und Datenschutz höchste Priorität. Deshalb freuen wir uns, bekannt zu geben, dass wir das externe SOC‑2-Typ‑II-Audit unseres DeepL Pro-Service bestanden haben.
„Wir sind stolz darauf, unseren SOC‑2-Typ‑II-Bericht zu veröffentlichen. Dies ist ein weiterer Nachweis dafür, dass bei DeepL Sicherheit und die Validierung unserer Sicherheitsmaßnahmen im Fokus stehen“, so Ehrlich.
Möchten Sie den SOC‑2-Typ‑II-Bericht von DeepL lesen?
Natürlich stellen wir Ihnen das Auditergebnis und den vollständigen Bericht gern zur Verfügung (beides aktuell nur in englischer Sprache abrufbar):
- Das Auditergebnis finden Sie hier.
- Für den vollständigen Bericht wenden Sie sich bitte an unser Sales-Team.
Weitere Informationen zum Datenschutz bei DeepL finden Sie auf unserer Seite zum Thema Datensicherheit und im Blogbeitrag zu unserer Datenschutzstrategie.