Der Buchstabensuppe-Guide: PCI, SOC, ISO, HIPAA

Wenn Sie im Enterprise-Bereich Software verkaufen wollen, hören Sie oft: "Habt ihr SOC 2 Type 2?" Wenn Sie Zahlungen abwickeln: "Seid ihr PCI-DSS compliant?" Compliance ist nicht mehr nur für Banken. Es ist die Eintrittskarte für Geschäfte. Ohne Siegel kein Deal.

Aber was bedeuten diese Kürzel? Und welches brauchen Sie wirklich? Ein Überblick über den Zertifizierungs-Dschungel 2026.

Featured Snippet: Compliance Standards sind Regelwerke für IT-Sicherheit. Die wichtigsten: 1. DSGVO (Pflicht in EU für alle Personendaten). 2. PCI-DSS (Pflicht weltweit für Kreditkarten-Verarbeitung). 3. SOC 2 (US-Standard für Service Provider, Fokus auf Sicherheit & Verfügbarkeit). 4. ISO 27001 (Internationaler Standard für ISMS). 5. HIPAA (US-Standard für Gesundheitsdaten).

---

The Cost of Inaction: Kein Enterprise-Sales

Der "Vendor Risk Management" Prozess großer Konzerne ist brutal. Bevor Sie einen Vertrag unterschreiben, schicken sie Ihnen einen Fragebogen mit 500 Sicherheits-Fragen. Haben Sie ein Zertifikat (z.B. SOC 2 oder ISO 27001), können Sie sagen: "Siehe Zertifikat". Fragebogen erledigt. Haben Sie es nicht, müssen Sie 500 Fragen manuell beantworten und werden oft abgelehnt ("Risiko zu hoch"). Zertifikate beschleunigen Sales massiv.

---

1. PCI-DSS (Payment Card Industry Data Security Standard)

Wer braucht es? JEDER, der Kreditkartendaten anfasst (speichert, verarbeitet oder überträgt).

Die Stufen:

• SAQ A (Einfach): Sie nutzen Stripe Elements oder PayPal IFrame. Die Kartendaten berühren niemals Ihren Server (gehen direkt vom Browser zu Stripe).
  • Aufwand: Gering. Ein Fragebogen pro Jahr.
• SAQ D (Hölle): Sie speichern die Kreditkartennummer in Ihrer Datenbank.
  • Aufwand: Gigantisch. Jährliches Audit, Penetration Tests, Videoüberwachung im Serverraum.
  • Rat: Tun Sie es nicht. Nutzen Sie Payment Provider (PSP), die Ihnen die Last abnehmen ("Tokenization").

2. SOC 2 (Service Organization Control 2)

Wer braucht es? SaaS-Anbieter (B2B), die Kundendaten in der Cloud hosten. Vor allem für den US-Markt.

Typ 1 vs. Typ 2:

• Type 1: Momentaufnahme. "Am 1. Mai war alles sicher." (Wenig wert).
• Type 2: Zeitraum (6-12 Monate). "Wir waren 1 Jahr lang sicher und haben es bewiessen." (Goldstandard).

SOC 2 prüft 5 "Trust Services Criteria": Security, Availability, Processing Integrity, Confidentiality, Privacy.

3. ISO 27001

Wer braucht es? Der internationale Standard. Beliebt in Europa und Asien. Es geht nicht um technische Details ("Passwortlänge 12"), sondern um das Managementsystem (ISMS). "Habt ihr einen Prozess, um Risiken zu managen?" "Wissen Mitarbeiter, was sie bei einem Hack tun müssen?"

• Vergleich: SOC 2 ist technischer/praktischer. ISO 27001 ist prozesslastiger/bürokratischer. Oft braucht man beides.

4. HIPAA (Health Insurance Portability and Accountability Act)

Wer braucht es? Jeder, der US-Gesundheitsdaten (PHI - Protected Health Information) verarbeitet. Apps, Kliniken, Versicherungen. Verstöße sind in den USA extrem teuer (Millionen-Klagen). In Deutschland ist das Äquivalent das DiGA (Digitale Gesundheitsanwendungen) Verfahren oder die KRITIS Verordnung.

---

Myth-Busting: "Mein Cloud-Provider ist zertifiziert, also bin ich es auch"

Das "Shared Responsibility Model". AWS ist PCI-DSS zertifiziert. Das heißt: Die physischen Server von AWS sind sicher. Aber wenn Sie auf dem sicheren AWS-Server eine App installieren, die "admin/admin" als Passwort hat, sind SIe unsicher. Sie erben die Zertifizierung nicht automatisch. Sie müssen Ihren Teil (App-Layer) selbst zertifizieren.

---

Unasked Question: "Was kostet das?"

Viel.

• ISO 27001: Initial ca. 20.000€ - 50.000€ (Berater + Audit). Jährlich 10.000€.
• SOC 2 Type 2: Ähnlich. In den USA oft teurer (30k-80k $).
• Tools: Compliance-Automatisierungs-Tools wie Vanta oder Drata sparen Zeit (sie überwachen AWS automatisch), kosten aber auch ca. 10.000€/Jahr. Planen Sie Compliance fest ins Budget ein, sobald Sie B2B skalieren.

---

FAQ: Compliance