03.04.2026

Warum eine Eventagentur ISO 27001 macht – und was uns das bisher gekostet hat

Datensicherheit klingt nach IT-Konzern. Nicht nach Bühnenbild und Showact. Und trotzdem stecken wir gerade mitten in einem Zertifizierungsprozess, der uns mehr abverlangt als gedacht.

Konzept für digitale Sicherheit und Datenschutz mit Schild, Vorhängeschlössern, Zertifikat, Laptop und globalem Netzwerk.

Es gibt Sätze, die man vor einem Jahr nicht erwartet hätte, bei brandmood zu hören.

Zum Beispiel: „Habt ihr schon das Asset-Register aktualisiert?" Oder: „Wir brauchen noch die Risikobehandlungspläne für die mobilen Endgeräte."

Unser Projektmanager, der schon Bühnen für 2.500 Gäste gebaut hat, erklärt uns jetzt den Unterschied zwischen einem Informationssicherheits-Policy-Dokument und einem Statement of Applicability. Er tut das mit der gleichen Ernsthaftigkeit, mit der er sonst Ablaufpläne für Großevents durchgeht.

Das ist kein Witz. Das ist ISO 27001.

Wie es dazu kam

Die ehrliche Antwort: Es war kein strategischer Masterplan. Es war eine Anforderung, die immer öfter aus Kundengesprächen auftauchte.Große Unternehmen – Konzerne, Banken, öffentliche Auftraggeber – fragen zunehmend, wie ihre Daten bei uns geschützt sind. Nicht als Floskel, sondern mit konkreten Fragebögen. Vendor-Assessments. IT-Sicherheits-Checklisten, die ein Dutzend Seiten lang sind.

Lange haben wir das mit gesundem Menschenverstand und guten Prozessen beantwortet. Irgendwann haben wir gemerkt, dass das nicht mehr reicht. Nicht weil unsere Prozesse schlecht waren – sondern weil wir sie nicht nachweisen konnten. Und in der Welt der großen Auftraggeber gilt: Was nicht dokumentiert ist, existiert nicht.

ISO 27001 ist der internationale Standard für Informationssicherheits-Management. Eine Zertifizierung bedeutet, dass ein unabhängiges Prüfinstitut bestätigt: Diese Organisation hat ein funktionierendes System, um Daten zu schützen. Systematisch. Nachweisbar. Nicht weil jemand sagt, dass es so ist, sondern weil es auditiert wurde.

Das wollten wir. Also haben wir angefangen.

Was wir unterschätzt haben

Kurze Antwort: Fast alles.

ISO 27001 ist keine Checkliste, die man einmal abhakt. Es ist ein Managementsystem – was bedeutet, es verändert, wie eine Organisation denkt und arbeitet. Dauerhaft.

Das beginnt bei der Bestandsaufnahme. Welche Daten haben wir überhaupt? Wo liegen sie? Wer hat Zugriff? Bei einer Eventagentur, die gleichzeitig Kundendaten, Teilnehmerlisten, Verträge, technische Pläne und Subunternehmer-Informationen verwaltet, über mehrere Standorte hinweg, mit einem Team, das oft vor Ort und nicht im Büro arbeitet – das ist komplexer als es klingt.

Dann kommt die Risikoanalyse. Für jedes Asset, für jeden Prozess, für jede Schnittstelle nach außen. Was kann passieren? Wie wahrscheinlich ist es? Was würde es bedeuten? Und was tun wir dagegen?
Das kostet Zeit. Ehrlich gesagt: deutlich mehr Zeit, als wir eingeplant hatten. Es kostet Konzentration. Es kostet interne Kapazität, die an anderen Stellen fehlt. Und ja, es kostet auch Geld – für externe Beratung, für das Audit selbst, für Tools und Dokumentation.

Wir sagen das nicht, um zu klagen. Wir sagen es, weil wir denken, dass andere Agenturen oder Unternehmen, die vor derselben Entscheidung stehen, das wissen sollten.

Was es uns gebracht hat – schon jetzt, vor dem Abschluss

Das Interessante ist: Der größte Nutzen kommt nicht erst mit dem Zertifikat. Er entsteht im Prozess.

Wir haben Dinge gefunden, die wir besser machen mussten. Zugriffsrechte, die nie wirklich aufgeräumt worden waren. Prozesse, die im Kopf eines einzelnen Kollegen lebten, aber nirgendwo dokumentiert. Passwort-Praktiken, die niemand offiziell geregelt hatte, weil es "eh immer funktioniert hat".

Das aufzuräumen ist keine angenehme Arbeit. Aber es ist gute Arbeit.

Und dann ist da noch etwas, das wir nicht erwartet hatten: Das Gespräch über Datensicherheit hat intern eine Qualität bekommen, die vorher nicht da war. Es ist kein IT-Thema mehr, das "die anderen" lösen. Es gehört jetzt zur Arbeitsweise von brandmood – vom Projektmanagement bis zur Buchhaltung.

Was das für unsere Kunden bedeutet

Bei jedem Event, den brandmood umsetzt, vertrauen uns Kunden Daten an. Teilnehmerlisten mit Namen, Kontaktdaten, manchmal Dietary Requirements und Accessibility-Informationen. Verträge. Briefings mit internen Strategieinformationen. Budgets.Die meisten Kunden denken dabei nicht explizit an Datenschutz. Sie vertrauen einfach. Das ist schön. Und es ist eine Verantwortung, die wir nicht auf die leichte Schulter nehmen wollen.

ISO 27001 ist unser Weg, dieses Vertrauen nicht nur zu verdienen, sondern nachweisbar zu rechtfertigen. Nicht für uns. Für sie.

Wo wir gerade stehen

Wir sind mitten im Prozess. Das Zertifikat haben wir noch nicht – und wir wären die Letzten, die so tun, als wäre es schon erledigt. Aber die Richtung stimmt, das System nimmt Form an, und das Audit kommt. Wenn wir fertig sind, werden wir berichten. Dann vermutlich mit einem anderen Titel: „Was wir beim ISO-Audit gelernt haben – und was uns der Auditor ins Gesicht gesagt hat."

Versprochen.

brandmood ist eine Full-Service-Eventagentur mit Standorten in Salzburg, Linz und Wien – spezialisiert auf Corporate Events, Meetings & Kongresse, Jubiläen und digitale Eventlösungen.

27.04.2026

Zwei Auszeichnungen beim Austrian Event Award

Beim diesjährigen Austrian Event Award wurden gleich zwei unserer Projekte ausgezeichnet – mit GOLD und SILBER.

Schreibtisch mit Laptop (Eventdesign), 'brandmood'-Rolle und Bauplänen, überragt von einer leuchtenden blau-orangen Gehirngrafik mit 'b' in dunklem Büro.

20.03.2026

Unser ehrliches Fazit nach einem Jahr KI im Planungsprozess

Hype, Hilfe oder Hybridlösung? Wir nutzen KI-Tools jetzt lang genug, um nicht mehr begeistert, sondern ehrlich zu sein. Vor etwa einem Jahr haben wir angefangen, KI-Tools ernsthaft in unsere Arbeit zu integrieren. Nicht als Experiment, nicht als Marketingaussage für die Website – sondern weil wir schlicht neugierig waren, ob da wirklich etwas dran ist. Spoiler: Ja. Und nein. Und es kommt drauf an.