Compliance und Zertifizierungen als Vertrauensbeweis statt Hindernis
Ein großer Förderer stellt die Frage: "Könnt ihr das DIN EN 27001 Audit bestehen?" Ein Partner verlangt Datenschutz-Nachweise vor Kooperationen. Die Aufsichtsbehörde warnt bei DSGVO-Verstößen. Viele Vereine und Stiftungen sind überfordert - was genau muss ich denn erfüllen? Wir helfen euch, die Anforderungen nicht nur zu verstehen, sondern auch zu erfüllen.
Die Compliance-Unsicherheiten
- DSGVO: Wo speichere ich Spenderdaten und wie lange darf ich sie behalten?
- Datenschutz-Auditoren fragen nach Richtlinien - wir haben keine
- Förderer verlangen ISO 27001 Zertifizierung - ist das für uns realistisch?
- Mitarbeitende verarbeiten Mitgliederdaten - haben sie Datenschutztrainings bekommen?
- Keine dokumentierte Datensicherungs-Strategie für sensible Daten
- Cloud-Tools (Google Drive, OneDrive) werden ohne Datenschutz-Konzept genutzt
- Ein Datenleck passiert und wir wissen nicht, wen wir informieren müssen
- EU-AI-Act, NIS-2, BSI-Grundschutz – was davon ist für uns überhaupt relevant?
Eure Vorteile
Klarheit über eure Pflichten
Ihr wisst, welche regulatorischen Anforderungen für euch konkret relevant sind – DSGVO, EU-AI-Act, NIS-2, BSI-Grundschutz, Förderer-Vorgaben – und welche ihr getrost ignorieren könnt.
Vertrauen bei Partnern
Nachweisbare IT-Sicherheit schafft Vertrauen bei Förderern, Spendern und Kooperationspartnern.
Vorbereitet auf Förder-Anfragen
Wenn ein Förderer oder Partner Compliance-Nachweise verlangt, könnt ihr sofort liefern – mit dokumentierten Maßnahmen statt aufgeregter Wochenend-Schichten kurz vor Abgabe.
Risiken minimiert
Saubere Compliance reduziert die Wahrscheinlichkeit von Datenschutzvorfällen, Bußgeldern und Reputationsschäden deutlich.
Das ist enthalten
- →Gap-Analyse gegen relevante Anforderungen (DSGVO, ISO 27001, Förderer-Standards)
- →Priorisierter Maßnahmenplan: was muss zwingend, was ist sinnvoll, was wäre Overkill
- →Unterstützung bei der Umsetzung – technisch, organisatorisch, dokumentarisch
- →Erstellung aller Dokumentations-Pflichten (Verarbeitungsverzeichnis, Notfallplan etc.)
- →Schulung eures Teams zu Datenschutz und IT-Sicherheit im Alltag
- →Vorbereitung auf Audits, optional Begleitung beim eigentlichen Termin
Dein Weg zu solider IT-Compliance
Erstgespräch & Zielklärung
Wir treffen uns für 30 Minuten, kostenlos und unverbindlich. Ihr erzählt uns, was der Anlass ist: Ein Förderer, der Nachweise verlangt? Eine DSGVO-Anfrage? Anstehender Audit? Allgemeine Vorsorge? Daraus leiten wir ab, welche Standards für euch tatsächlich relevant sind – und welche reine Arbeit ohne Mehrwert wären.
Gap-Analyse
Wir prüfen euren Ist-Zustand strukturiert gegen die identifizierten Anforderungen: technische Maßnahmen (Backup, Verschlüsselung, Zugriffsrechte), organisatorische (Richtlinien, Schulungen, Verträge mit Auftragsverarbeitern) und dokumentarische (Verarbeitungsverzeichnis, Notfallpläne). Ergebnis: eine ehrliche Lücken-Liste mit Priorität und geschätztem Aufwand.
Maßnahmen umsetzen
Schritt für Schritt schließen wir die wichtigsten Lücken – entweder selbst oder gemeinsam mit eurem Team. Dazu gehören technische Settings (z.B. 2FA, Berechtigungen), Dokumentation (Verarbeitungsverzeichnis, Datenschutzerklärung), Schulungen für Mitarbeitende und ggf. Verträge mit Auftragsverarbeitern. Alles dokumentiert, alles auditfähig.
Audit-Vorbereitung & Begleitung
Wenn es ernst wird – Datenschutzaudit, Förderer-Prüfung, ISO-Zertifizierungs-Vorbereitung – bereiten wir euch gezielt vor: Probe-Audit, Q&A-Training für die Geschäftsführung, Bereitstellung aller Nachweise auf Anfrage. Auf Wunsch begleiten wir den eigentlichen Audit-Termin als externe Stütze.
Häufige Fragen
Brauchen wir ISO 27001?
Das hängt davon ab, was ihr nachweisen müsst. Wer von größeren Stiftungen oder öffentlichen Fördergebern Geld bekommt, sieht das zunehmend in den Förder-Bedingungen – manchmal als formaler ISO-27001-Nachweis, häufiger als „Mindestmaßnahmen nach BSI-Grundschutz" oder „IT-Grundschutz-Profile". Für reine Innen-Compliance reicht oft schon eine strukturierte Maßnahmen-Liste ohne formale Zertifizierung. Wir prüfen mit euch, was konkret gefordert wird (oder demnächst gefordert sein wird) und empfehlen den passenden Tiefen-Grad – keine Zertifizierung um der Zertifizierung willen.
Was unterscheidet ISO 27001 von BSI-Grundschutz?
ISO 27001 ist der internationale Standard, BSI-Grundschutz die deutsche, detaillierte Auslegung mit konkreten Maßnahmen-Katalogen. Beide laufen am Ende auf dasselbe Ziel hinaus – ein dokumentiertes, gelebtes Informationssicherheits-Managementsystem (ISMS). Für deutsche NGOs mit Bezug zu öffentlichen Fördergebern empfehlen wir meistens BSI-Grundschutz als Methodik und ISO 27001 als formale Zertifizierung – beste Anschlussfähigkeit an deutsche Behörden-Sprache und klare Maßnahmen-Vorgaben statt vager Anforderungen.
Reicht für die DSGVO eine sauber dokumentierte IT?
DSGVO und ISO 27001 überlappen sich, sind aber nicht identisch. DSGVO fokussiert auf personenbezogene Daten (Verarbeitungsverzeichnis, AV-Verträge mit Auftragsverarbeitern, Auskunfts- und Löschpflichten), ISO 27001 auf Informationssicherheit allgemein (Vertraulichkeit, Integrität, Verfügbarkeit aller relevanten Informationen). Eine saubere DSGVO-Compliance ist ein guter Startpunkt, deckt aber nicht alle ISO-Themen ab (z. B. Notfallpläne, Personalsicherheit, physische Sicherheit). Umgekehrt erfüllt ISO 27001 die meisten DSGVO-Anforderungen – wenn das ISMS sauber auf personenbezogene Daten ausgerichtet ist.
Sind wir von NIS-2 betroffen?
NIS-2 richtet sich primär an „wesentliche" und „wichtige" Einrichtungen (kritische Infrastruktur, Energie, Gesundheit, Banken etc.). Die meisten Vereine und Stiftungen fallen nicht direkt darunter – aber NIS-2-betroffene Auftraggeber:innen oder Partner:innen verlangen häufig vertraglich, dass Dienstleister entsprechende Sicherheitsstandards einhalten. Wenn ihr Daten für oder mit NIS-2-Pflichtigen verarbeitet (z. B. Träger im Gesundheitswesen, kommunale Auftraggeber:innen), kann sich die Pflicht durchschlagen. Wir prüfen mit euch die konkrete vertragliche Lage und leiten das passende Sicherheitsniveau ab.
Ein Förderer verlangt Compliance-Nachweise – was tun?
Der erste Schritt ist immer: konkret klären, was genau verlangt wird. Häufig steht in den Förder-Bedingungen „nach BSI-Grundschutz" oder „Verarbeitungsverzeichnis nach DSGVO" oder „dokumentiertes Sicherheitskonzept" – alles unterschiedliche Tiefen-Anforderungen. Wir analysieren mit euch die konkrete Förder-Vorgabe, gleichen sie mit eurem aktuellen Stand ab und schlagen einen pragmatischen Pfad vor: minimaler Aufwand, um die geforderten Nachweise zu erfüllen, plus die Maßnahmen, die ohnehin sinnvoll wären. Keine Zertifizierungs-Inflation, wenn der Förderer das gar nicht verlangt.
Können wir Compliance schrittweise aufbauen?
Ja, und das ist meist sogar besser als der Big-Bang-Ansatz. Wir empfehlen drei Phasen: Phase 1 (3–6 Monate) – Basis-Hygiene: IT-Dokumentation, Berechtigungs-Übersicht, Backup-Strategie, Datenschutz-Dokumentation. Phase 2 (6–12 Monate) – Maßnahmen-Vertiefung: Risikomanagement, Notfallpläne, Schulungen, technische Härtung. Phase 3 (bei Bedarf) – formale Zertifizierung mit externem Auditor. Wer nur Phase 1 und 2 macht, ist „audit-ready" und kann jederzeit später zertifizieren. Wenn euer Förderer nie eine Zertifizierung verlangt, spart ihr euch Phase 3 ganz.
Wie lange dauert eine Zertifizierung?
Von ersten Schritten bis zur erstmaligen ISO-27001-Zertifizierung typischerweise 9–18 Monate, je nach Ausgangslage. Mit guter Vorarbeit (saubere IT-Dokumentation, etablierte Backup- und Notfallprozesse) sind 9 Monate realistisch. Bei null Vorarbeit wird es eher 18. Die Zertifizierung selbst läuft über einen akkreditierten Auditor (z. B. TÜV, DEKRA) in zwei Audits (Stage 1 + Stage 2). Danach jährliche Überwachungs-Audits und alle 3 Jahre eine Re-Zertifizierung.
Was kostet eine ISO-27001-Zertifizierung wirklich?
Drei Kostenblöcke, die oft unterschätzt werden. Erstens unsere Beratungs- und Vorbereitungsarbeit (abhängig von Ausgangslage und Organisationsgröße). Zweitens die externe Zertifizierungsstelle (TÜV, DEKRA und Co. – Stage-1- und Stage-2-Audit zusammen meist 5.000–15.000 Euro für kleine bis mittlere Organisationen). Drittens die interne Aufwand-Investition eurer Mitarbeitenden – oft 0,3–0,5 Vollzeitstelle über die Aufbau-Phase verteilt. Wir besprechen das im Erstgespräch ehrlich, damit ihr ein realistisches Bild habt, bevor ihr startet.
Was passiert nach der Zertifizierung?
Eine ISO-27001-Zertifizierung gilt drei Jahre, mit jährlichen Überwachungs-Audits dazwischen. Nach drei Jahren steht die Re-Zertifizierung an – ähnlicher Aufwand wie ein Stage-2-Audit. Wichtiger als die Audits selbst ist aber das, was zwischen den Audits passiert: ein gelebtes ISMS bedeutet kontinuierliche Pflege der Dokumentation, jährliche Risiko-Reviews, Schulungen für neue Mitarbeitende, Anpassungen bei Tool- oder Prozess-Änderungen. Auf Wunsch übernehmen wir die laufende Begleitung – meist 2–5 Stunden pro Monat plus die Audit-Vorbereitung.
Wie unterstützt ihr uns bei Betriebsvereinbarungen für IT-Tools?
IT-Einführungen und IT-Änderungen sind in Organisationen mit Betriebsrat mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BetrVG. Wir liefern euch fertige Vorlagen für Betriebsvereinbarungen zu typischen IT-Themen – Microsoft 365, MDM, Monitoring, KI-Einsatz, Homeoffice-Zugriff – die ihr mit eurem Betriebsrat als Diskussionsgrundlage nutzen könnt. Auf Wunsch begleiten wir die Abstimmungs-Sitzungen technisch, übersetzen IT-Sprache in BR-Sprache und helfen bei kniffligen Punkten (welche Logs werden gespeichert, was darf der Arbeitgeber einsehen, wie lange werden Daten aufbewahrt).
