Viele Dienstleister – vor allem Rechenzentrumsbetreiber, Cloud Provider und IT-Service Provider aller Art – möchten sicherstellen und ihren Mandanten nachweisen, dass sie effektive Kontrollen und Sicherheitsmaßnahmen für die Erbringung ihrer Dienstleistungen implementiert haben.

Gleichzeitig suchen immer mehr Unternehmen nach verlässlichen Partnern für die Auslagerung geschäftskritischer Prozesse. Dabei spielt es eine entscheidende Rolle, wie effektiv und vertrauenswürdig die internen Kontrollen der Dienstleister ausgestaltet sind – insbesondere im Hinblick auf eine hochverfügbare und sichere Datenverarbeitung. Viele Unternehmen stellen sich die Frage, welche Unterschiede zwischen SOC 1, SOC 2 und SOC 3 bestehen und welcher Bericht für ihre Anforderungen relevant ist.

Verantwortung trotz Auslagerung

Die Erfüllung mancher gesetzlichen Anforderungen (z.B. bei den Jahresabschlussprüfungen) wird durch die Auslagerung von Dienstleistungen oftmals mit auf den Dienstleister übertragen, z. B. wenn die Verarbeitung von rechnungslegungsrelevanten Daten outgesourct wird. Die „Verantwortung“ gegenüber dem Gesetzgeber bleibt dabei aber immer beim Unternehmen, das die Dienstleistung auslagert.

SOC 1, SOC 2 und SOC 3 im Vergleich: Die wichtigsten Unterschiede

Seit einiger Zeit ist auf dem Markt eine zunehmende Nachfrage nach sogenannten SOC-Reports bzw. -Attestierungen als Nachweis über das Kontrollsystem des Dienstleisters zu beobachten.
Was bringt ein SOC-Report bzw. eine SOC-Attestierung? Was ist der Unterschied zwischen SOC 1, SOC 2 und SOC 3 – und daraus resultierend: Welcher SOC-Report ist für wen sinnvoll?

SOC steht für engl. „System and Organization Controls“ und stellt in den Varianten SOC 1, SOC 2 und SOC 3 Prüfungs- und Berichtsstandards des AICPA
dar („American Institute of Certified Public Accountants“, zu deutsch „Amerikanisches Institut für Wirtschaftsprüfer“). SOC-Berichte richten sich an Unternehmen, die die Verlässlichkeit ihrer Dienstleistungen sowie die Sicherheit der für den Kunden verarbeiteten Daten durch ein Wirtschaftsprüfer-Testat nachweisen wollen.

SOC 1® — Interne Kontrolle der Finanzberichterstattung (ICFR)

Der SOC 1-Standard ist speziell auf Kontrollen ausgelegt, die für die Finanzberichterstattung des Dienstleistungsnehmers relevant sind. Diese Berichte werden von einem unabhängigen Wirtschaftsprüfer beim Dienstleister erstellt und dienen den Abschlussprüfern des Kunden als Prüfungsnachweis.

Man unterscheidet zwei Berichtstypen:

Typ 1:
Nachweis über die Eignung des Aufbaus und die Angemessenheit der Kontrollen zu einem bestimmten Stichtag.

Typ 2:
Bewertung der Wirksamkeit der Kontrollen über einen definierten Zeitraum (in der Regel 6 bis 12 Monate).

SOC 2® – Trust Services Criteria

Der SOC 2-Bericht bewertet die Kontrollen hinsichtlich der sogenannten Trust Services Criteria for Security, insbesondere:

Sicherheit (Security)
Verfügbarkeit (Availability)
Verarbeitungssintegrität (Processing Integrity)
Vertraulichkeit (Confidentiality)
Datenschutz (Privacy)

SOC 2-Berichte richten sich an Unternehmen, die Dienstleistungen im Bereich Cloud, Hosting oder Applikationsbetrieb erbringen, und ihren Kunden dokumentieren möchten, dass ihre Systeme gegen Risiken wie Datenverlust, Cyberangriffe oder Systemausfälle geschützt sind.

Auch hier gibt es Typ 1- und Typ 2-Berichte, wobei Typ 2 in der Praxis häufiger eingesetzt wird, da er über einen Zeitraum hinweg die tatsächliche Wirksamkeit der Kontrollen beurteilt.

SOC 2-Berichte sind vertraulich und nur für das Management des Dienstleisters, seine Kunden, deren Wirtschaftsprüfer und weitere berechtigte Geschäftspartner vorgesehen.

SOC 3® – Trust Services Criteria für die öffentliche Verwendung

SOC 3-Berichte beruhen auf denselben Trust Services Criteria wie SOC 2-Berichte, sind jedoch für die öffentliche Kommunikation gedacht. Sie beinhalten keine detaillierten Beschreibungen der getesteten Kontrollen oder der Prüfergebnisse, sondern lediglich ein kompaktes Testat über die Wirksamkeit der Maßnahmen.

Ein SOC 3-Bericht ist immer ein Typ 2-Bericht, der auf einem zugrunde liegenden SOC 2 Typ 2 basiert. Dienstleister nutzen ihn in der Regel als Marketing-Instrument und stellen ihn z. B. auf ihrer Website zur Verfügung, um Vertrauen bei potenziellen Kunden aufzubauen.

Fazit: Welcher SOC-Bericht passt zu Ihrem Unternehmen?

Wenn Sie rechnungslegungsrelevante oder finanzkritische Prozesse an einen Dienstleister auslagern, sollten Sie auf einen SOC 1-Bericht bestehen. Das betrifft z. B. E-Commerce-Plattformen, die Zahlungsabwicklung oder ERP-Systeme im Fremdbetrieb.

Geht es hingegen um die Auslagerung sensibler Daten, Cloud-Dienste oder Hosting, ist ein SOC 2-Bericht für den Dienstleister die richtige Wahl. Er belegt gegenüber dem Kunden, dass angemessene Sicherheits- und Verfügbarkeitskontrollen wirksam implementiert sind.

SOC 3-Berichte wiederum werden von Dienstleistern proaktiv veröffentlicht, um allgemeines Vertrauen zu schaffen – sie sind nicht vertraulich, dafür aber auch nicht so detailliert.

Wenn Sie die Unterschiede zwischen SOC 1, SOC 2 und SOC 3 verstehen, fällt Ihnen die Auswahl des passenden Berichts leichter – sei es für Ihr eigenes Unternehmen oder als Anforderung an Ihre Dienstleister.

Unser Angebot

Wir unterstützen Dienstleistungsunternehmen – insbesondere IT-Service Provider, Rechenzentrums- und Cloud-Anbieter – bei der professionellen Vorbereitung auf SOC-Prüfungen. Von der Gap-Analyse über die Weiterentwicklung des internen Kontrollsystems bis zur prüfungssicheren Dokumentation: Als unabhängige Wirtschaftsprüfer erstellen wir für Sie SOC 1– und SOC 2-Berichte nach AICPA-Standards und beraten Sie bei der gezielten Positionierung eines SOC 3-Berichts zur Stärkung Ihres Marktauftritts.
Sprechen Sie uns gerne an – wir begleiten Sie mit Fachkompetenz und Branchenverständnis durch den gesamten Prüfprozess.