← Journal
SicherheitKonformität

SOC 2 Type II für KI-Plattformen: Was die Zertifizierung tatsächlich beweist

5. Mai 2026

Wenn Medizinproduktlieferanten KI-Beschaffungsplattformen evaluieren, steht SOC 2 Type II häufig an erster Stelle der Sicherheitsanforderungen. Viele Beschaffungsteams wissen jedoch nicht genau, was diese Zertifizierung abdeckt — und was nicht. Diesen Unterschied zu verstehen ist entscheidend für fundierte Lieferantenentscheidungen.

Was SOC 2 Type II tatsächlich umfasst

SOC 2 Type II-Berichte basieren auf dem Trust Services Criteria (TSC)-Rahmenwerk des AICPA und decken fünf Kategorien ab: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Im Gegensatz zu Type I — der nur einen Zeitpunkt bewertet — prüft Type II die betriebliche Wirksamkeit der Kontrollen über einen definierten Prüfungszeitraum (typischerweise 6–12 Monate), durchgeführt von einem unabhängigen Wirtschaftsprüfer.

  • Sicherheit: Zugriffskontrollen, Verschlüsselung, Schwachstellenmanagement und Incident-Response-Prozesse sind Gegenstand der Prüfung.
  • Verfügbarkeit: Uptime-Zusagen und Disaster-Recovery-Fähigkeiten werden verifiziert.
  • Vertraulichkeit: Die Handhabung geschäftlich sensibler Daten — einschließlich Ausschreibungsunterlagen — wird geprüft.
  • Kontinuierliche Wirksamkeit: Kontrollen müssen während des gesamten Prüfungszeitraums funktionieren, nicht nur am Prüfungsstichtag.

Was SOC 2 Type II nicht beweist

Die Zertifizierung hat wichtige Grenzen, die Lieferanten kennen sollten: SOC 2 Type II ist keine DSGVO-Konformität und kein Nachweis der MDR-Konformität. Sie bewertet weder die Qualität noch die Genauigkeit der verwendeten KI-Modelle. Sie bestätigt auch nicht, dass Daten nicht für das Modelltraining verwendet werden — das erfordert separate Vertragsklauseln oder eine explizite Zero-Training-Richtlinie. Ebenso wenig beurteilt die Zertifizierung das medizinrechtliche Fachwissen der Plattform oder die Richtigkeit regulatorischer Empfehlungen.

Richtige Einordnung in die Due Diligence

SOC 2 Type II-Berichte sollten als Ausgangspunkt — nicht als Endpunkt — der sicherheitsbezogenen Due Diligence betrachtet werden. Empfehlenswert ist: den vollständigen Bericht anfordern (nicht nur die Zertifizierungsaussage) und Ausnahmen sowie Management-Antworten sorgfältig prüfen; den genauen Prüfungsumfang klären und sicherstellen, dass die tatsächlich genutzten Dienste abgedeckt sind; ergänzend Datenschutzverträge (DPA), Datenspeicherort-Klauseln und Ausschlüsse für das Modelltraining auf Vertragsebene bewerten. SOC 2 Type II als notwendige, aber nicht hinreichende Bedingung zu behandeln, ist das Merkmal reifer Beschaffungsentscheidungen.

Verwandte Artikel

20. Januar 2026

Sicherheit bei KI-gestützter Medtech-Angebotsbearbeitung: Compliance und Datenschutz

KI-gestützte Ausschreibungssysteme verarbeiten hochsensible Produktdaten und regulatorische Dokument...

4. Mai 2026

Zero-Training-Datenpolitik: Wie MedStrato Ihre Wettbewerbsinformationen schützt

Im Bereich KI-Beschaffungsplattformen wird die Zero-Training-Datenpolitik zum zentralen Anliegen für...

1. Mai 2026

Audit-Trails und Nachweisintegrität in der KI-gestützten Beschaffung

In der KI-gestützten Beschaffungsentscheidung ist der Audit-Trail nicht nur eine Compliance-Anforder...

Ihre nächste Ausschreibung
ist am Freitag fällig.

Dreißig Minuten. Fünfzig Ihrer Positionen, live abgeglichen, gegen Ihre echte Ausschreibung.

Zugang anfordernMit einem Gründer sprechenDocs