IT-Compliance & Zertifizierungen

Das hängt davon ab, was ihr nachweisen müsst. Wer von größeren Stiftungen oder öffentlichen Fördergebern Geld bekommt, sieht das zunehmend in den Förder-Bedingungen – manchmal als formaler ISO-27001-Nachweis, häufiger als „Mindestmaßnahmen nach BSI-Grundschutz" oder „IT-Grundschutz-Profile". Für reine Innen-Compliance reicht oft schon eine strukturierte Maßnahmen-Liste ohne formale Zertifizierung. Wir prüfen mit euch, was konkret gefordert wird (oder demnächst gefordert sein wird) und empfehlen den passenden Tiefen-Grad – keine Zertifizierung um der Zertifizierung willen.

ISO 27001 ist der internationale Standard, BSI-Grundschutz die deutsche, detaillierte Auslegung mit konkreten Maßnahmen-Katalogen. Beide laufen am Ende auf dasselbe Ziel hinaus – ein dokumentiertes, gelebtes Informationssicherheits-Managementsystem (ISMS). Für deutsche NGOs mit Bezug zu öffentlichen Fördergebern empfehlen wir meistens BSI-Grundschutz als Methodik und ISO 27001 als formale Zertifizierung – beste Anschlussfähigkeit an deutsche Behörden-Sprache und klare Maßnahmen-Vorgaben statt vager Anforderungen.

DSGVO und ISO 27001 überlappen sich, sind aber nicht identisch. DSGVO fokussiert auf personenbezogene Daten (Verarbeitungsverzeichnis, AV-Verträge mit Auftragsverarbeitern, Auskunfts- und Löschpflichten), ISO 27001 auf Informationssicherheit allgemein (Vertraulichkeit, Integrität, Verfügbarkeit aller relevanten Informationen). Eine saubere DSGVO-Compliance ist ein guter Startpunkt, deckt aber nicht alle ISO-Themen ab (z. B. Notfallpläne, Personalsicherheit, physische Sicherheit). Umgekehrt erfüllt ISO 27001 die meisten DSGVO-Anforderungen – wenn das ISMS sauber auf personenbezogene Daten ausgerichtet ist.

NIS-2 richtet sich primär an „wesentliche" und „wichtige" Einrichtungen (kritische Infrastruktur, Energie, Gesundheit, Banken etc.). Die meisten Vereine und Stiftungen fallen nicht direkt darunter – aber NIS-2-betroffene Auftraggeber:innen oder Partner:innen verlangen häufig vertraglich, dass Dienstleister entsprechende Sicherheitsstandards einhalten. Wenn ihr Daten für oder mit NIS-2-Pflichtigen verarbeitet (z. B. Träger im Gesundheitswesen, kommunale Auftraggeber:innen), kann sich die Pflicht durchschlagen. Wir prüfen mit euch die konkrete vertragliche Lage und leiten das passende Sicherheitsniveau ab.

Der erste Schritt ist immer: konkret klären, was genau verlangt wird. Häufig steht in den Förder-Bedingungen „nach BSI-Grundschutz" oder „Verarbeitungsverzeichnis nach DSGVO" oder „dokumentiertes Sicherheitskonzept" – alles unterschiedliche Tiefen-Anforderungen. Wir analysieren mit euch die konkrete Förder-Vorgabe, gleichen sie mit eurem aktuellen Stand ab und schlagen einen pragmatischen Pfad vor: minimaler Aufwand, um die geforderten Nachweise zu erfüllen, plus die Maßnahmen, die ohnehin sinnvoll wären. Keine Zertifizierungs-Inflation, wenn der Förderer das gar nicht verlangt.

Ja, und das ist meist sogar besser als der Big-Bang-Ansatz. Wir empfehlen drei Phasen: Phase 1 (3–6 Monate) – Basis-Hygiene: IT-Dokumentation, Berechtigungs-Übersicht, Backup-Strategie, Datenschutz-Dokumentation. Phase 2 (6–12 Monate) – Maßnahmen-Vertiefung: Risikomanagement, Notfallpläne, Schulungen, technische Härtung. Phase 3 (bei Bedarf) – formale Zertifizierung mit externem Auditor. Wer nur Phase 1 und 2 macht, ist „audit-ready" und kann jederzeit später zertifizieren. Wenn euer Förderer nie eine Zertifizierung verlangt, spart ihr euch Phase 3 ganz.

Von ersten Schritten bis zur erstmaligen ISO-27001-Zertifizierung typischerweise 9–18 Monate, je nach Ausgangslage. Mit guter Vorarbeit (saubere IT-Dokumentation, etablierte Backup- und Notfallprozesse) sind 9 Monate realistisch. Bei null Vorarbeit wird es eher 18. Die Zertifizierung selbst läuft über einen akkreditierten Auditor (z. B. TÜV, DEKRA) in zwei Audits (Stage 1 + Stage 2). Danach jährliche Überwachungs-Audits und alle 3 Jahre eine Re-Zertifizierung.

Drei Kostenblöcke, die oft unterschätzt werden. Erstens unsere Beratungs- und Vorbereitungsarbeit (abhängig von Ausgangslage und Organisationsgröße). Zweitens die externe Zertifizierungsstelle (TÜV, DEKRA und Co. – Stage-1- und Stage-2-Audit zusammen meist 5.000–15.000 Euro für kleine bis mittlere Organisationen). Drittens die interne Aufwand-Investition eurer Mitarbeitenden – oft 0,3–0,5 Vollzeitstelle über die Aufbau-Phase verteilt. Wir besprechen das im Erstgespräch ehrlich, damit ihr ein realistisches Bild habt, bevor ihr startet.

Eine ISO-27001-Zertifizierung gilt drei Jahre, mit jährlichen Überwachungs-Audits dazwischen. Nach drei Jahren steht die Re-Zertifizierung an – ähnlicher Aufwand wie ein Stage-2-Audit. Wichtiger als die Audits selbst ist aber das, was zwischen den Audits passiert: ein gelebtes ISMS bedeutet kontinuierliche Pflege der Dokumentation, jährliche Risiko-Reviews, Schulungen für neue Mitarbeitende, Anpassungen bei Tool- oder Prozess-Änderungen. Auf Wunsch übernehmen wir die laufende Begleitung – meist 2–5 Stunden pro Monat plus die Audit-Vorbereitung.

IT-Einführungen und IT-Änderungen sind in Organisationen mit Betriebsrat mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BetrVG. Wir liefern euch fertige Vorlagen für Betriebsvereinbarungen zu typischen IT-Themen – Microsoft 365, MDM, Monitoring, KI-Einsatz, Homeoffice-Zugriff – die ihr mit eurem Betriebsrat als Diskussionsgrundlage nutzen könnt. Auf Wunsch begleiten wir die Abstimmungs-Sitzungen technisch, übersetzen IT-Sprache in BR-Sprache und helfen bei kniffligen Punkten (welche Logs werden gespeichert, was darf der Arbeitgeber einsehen, wie lange werden Daten aufbewahrt).