Sicherheitscheck:
Papermark
Wir haben die öffentlich verfügbaren Sicherheitsangaben von Papermark geprüft, Website, Dokumentation, GitHub-Repository und Compliance-Seiten. Was hält einem genaueren Blick stand?
Solides Fundament mit transparenter Herangehensweise
Papermark kombiniert branchenübliche Verschlüsselungs- und Compliance-Standards mit einem bei klassischen VDR-Anbietern einzigartigen Open-Source-Ansatz. Einziger kleiner Abzug: Die SOC2-Zertifizierung befindet sich zum Zeitpunkt dieser Prüfung noch im laufenden Verfahren.
Verschlüsselung
Papermark verwendet AES-256 für die Verschlüsselung im Ruhezustand, der Standard, den auch Banken und Behörden einsetzen. Für die Übertragung wird TLS 1.2+ genutzt. Beides sind Industriestandards und entsprechen dem, was auch etablierte Enterprise-Anbieter wie Datasite, Intralinks und Drooms einsetzen.
Hosting & Datensouveränität
Papermark wird aus München heraus entwickelt und bietet EU-Rechenzentren an, was für DSGVO-sensible Projekte besonders relevant ist. Für internationale Kunden existieren zusätzlich Standorte in den USA und den Vereinigten Arabischen Emiraten, die Auswahl liegt beim Kunden. Weiter geht hier nur, wer selbst hostet, was Papermark ebenfalls unterstützt.
Open Source & Auditierbarkeit
Als einziger Anbieter in unserem Verzeichnis stellt Papermark den vollständigen Quellcode öffentlich zur Verfügung. Das heißt: Sicherheitsforscher, interne IT-Teams und Auditoren können den tatsächlichen Code prüfen, anstatt sich ausschließlich auf Marketing-Aussagen verlassen zu müssen. Für regulierte Branchen ist das ein Vorteil, der bei klassischen Closed-Source-VDRs schlicht nicht existiert.
Zugriffskontrolle & Rechte-Management
Zugriff erfolgt link-basiert mit granularer Steuerung. Rechte lassen sich jederzeit widerrufen, auch nach Download. Dynamische Wasserzeichen, 2-Faktor-Authentifizierung, Single Sign-On (Enterprise) und detaillierte Audit-Logs runden das Paket ab. Funktional auf Augenhöhe mit iDeals und Drooms.
DSGVO, CCPA, HIPAA
Papermark wirbt mit Konformität zu DSGVO, CCPA und HIPAA. In Kombination mit den EU-Rechenzentren ergibt das ein klares Setup für europäische Kunden, inklusive Auftragsverarbeitungsvertrag (AVV). Datentransfers in Drittländer sind vermeidbar, wenn EU-Hosting gewählt wird.
SOC 2
Die SOC-2-Zertifizierung ist laut Papermark zum Zeitpunkt der Analyse im Prozess, aber noch nicht abgeschlossen. Für Enterprise-Einkäufer in streng regulierten Branchen (insbesondere US-Finanzwesen) ist das ein Punkt, der in der Due Diligence adressiert werden sollte. Für die meisten europäischen M&A-, Real-Estate- und Fundraising-Use-Cases ist die vorhandene DSGVO-Konformität bereits ausreichend.
Reaktionszeit bei Sicherheitsfragen
Papermark kommuniziert eine durchschnittliche Support-Reaktionszeit von 23 Minuten, direkt vom Kernteam, nicht von einer ersten Support-Ebene. Das ist für ein Unternehmen dieser Größe außergewöhnlich und bei Sicherheitsvorfällen ein handfester Vorteil.
Unter den geprüften Anbietern der transparenteste Ansatz
Papermark liefert ein Sicherheitsniveau, das funktional mit den etablierten Enterprise-VDRs mithält, bei gleichzeitig deutlich höherer Transparenz durch die Open-Source-Codebasis und klarem EU-Hosting-Angebot. Für Unternehmen, die Datensouveränität ernst nehmen, ist das eine seltene Kombination.
Wer zwingend eine abgeschlossene SOC-2-Zertifizierung braucht, sollte den aktuellen Status beim Anbieter kurz verifizieren; für alle anderen Standard-Use-Cases in Deutschland und der EU sehen wir keine signifikante Sicherheitslücke gegenüber teureren Konkurrenten.
Häufige Fragen zur Papermark-Sicherheit
Wo hostet Papermark die Daten?
Papermark bietet EU-Rechenzentren an (inklusive Deutschland) sowie optional Standorte in den USA und den Vereinigten Arabischen Emiraten. Für deutsche und europäische Kunden bedeutet das: Die Daten können vollständig innerhalb der EU gehalten werden.
Welche Verschlüsselung nutzt Papermark?
AES-256 im Ruhezustand und TLS 1.2+ während der Übertragung. Das ist der Standard, den auch Banken, Behörden und große Enterprise-Anbieter wie Datasite und Intralinks verwenden.
Ist Papermark DSGVO-konform?
Ja. Papermark ist DSGVO-konform und bietet einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Zusätzlich erfüllt Papermark CCPA und HIPAA. Bei Wahl eines EU-Rechenzentrums entstehen keine Drittland-Transfers.
Hat Papermark eine SOC-2-Zertifizierung?
Die SOC-2-Zertifizierung ist zum Zeitpunkt dieser Analyse in Bearbeitung, aber noch nicht abgeschlossen. Für rein europäische Projekte ist das kein Hindernis, die DSGVO- und ISO-Standards sind der relevantere Rahmen. US-regulierte Kunden sollten den aktuellen Status direkt beim Anbieter verifizieren.
Ist der Papermark-Code wirklich öffentlich einsehbar?
Ja. Papermark ist Open Source. Der vollständige Quellcode ist auf GitHub verfügbar, was Sicherheitsforschern, internen IT-Teams und externen Auditoren erlaubt, die Sicherheitsangaben am tatsächlichen Code zu verifizieren, ein Alleinstellungsmerkmal im VDR-Markt.
Kann ich Papermark selbst hosten?
Ja. Papermark unterstützt echtes Self-Hosting auf eigener Infrastruktur. Das ist besonders für Behörden, stark regulierte Branchen und Unternehmen mit eigenen Rechenzentren relevant.
Unterstützt Papermark 2FA und SSO?
Ja. Zwei-Faktor-Authentifizierung ist für alle Konten verfügbar. Single Sign-On (SSO) ist Teil der Enterprise-Pläne und lässt sich mit gängigen Identity-Providern integrieren.
Welche weiteren Sicherheits-Features bietet Papermark?
Dynamische Wasserzeichen, granulare Zugriffskontrolle mit jederzeit widerrufbaren Rechten (auch nach Download), detaillierte Audit-Logs, DRM-artige Kontrolle über Dokumente, Custom-Domain für Trust-Branding und sichere Link-basierte Freigabe mit Ablaufdatum.
- papermark.com/de, Produkt- und Sicherheitsseite
- Öffentlich verfügbare Compliance-Angaben (DSGVO, CCPA, HIPAA)
- Öffentliches GitHub-Repository (Code-Einsicht)