en
Jobs
03/04/26

Why an event agency is going for ISO 27001 – and what it has cost us so far

Data security sounds like something for IT corporations. Not stage design and show acts. And yet, we’re right in the middle of a certification process that demands more from us than we expected.
Audience filming with smartphones at an event.

There are sentences you wouldn't have expected to hear at brandmood a year ago. 


For example: "Have you updated the asset register yet?" Or: "We still need the risk treatment plans for mobile devices."

Our project manager, who has already built stages for 2,500 guests, is now explaining to us the difference between an information security policy document and a Statement of Applicability. He does this with the same seriousness with which he usually reviews schedules for major events.

 

This is no joke. This is ISO 27001.

How it came about

The honest answer: It wasn't a strategic master plan. It was a requirement that increasingly emerged from customer discussions. Large companies – corporations, banks, public clients – are increasingly asking how their data is protected with us. Not as a phrase, but with concrete questionnaires. Vendor assessments. IT security checklists that are a dozen pages long.

For a long time, we answered this with common sense and good processes. At some point, we realized that wasn't enough anymore. Not because our processes were bad – but because we couldn't prove them. And in the world of large clients, what is not documented does not exist.

ISO 27001 is the international standard for information security management. Certification means that an independent auditing institute confirms: This organization has a functioning system to protect data. Systematically. Verifiably. Not because someone says so, but because it has been audited.

That's what we wanted. So we started.

Was wir unterschätzt haben

Kurze Antwort: Fast alles.

ISO 27001 ist keine Checkliste, die man einmal abhakt. Es ist ein Managementsystem – was bedeutet, es verändert, wie eine Organisation denkt und arbeitet. Dauerhaft.

Das beginnt bei der Bestandsaufnahme. Welche Daten haben wir überhaupt? Wo liegen sie? Wer hat Zugriff? Bei einer Eventagentur, die gleichzeitig Kundendaten, Teilnehmerlisten, Verträge, technische Pläne und Subunternehmer-Informationen verwaltet, über mehrere Standorte hinweg, mit einem Team, das oft vor Ort und nicht im Büro arbeitet – das ist komplexer als es klingt.

 

Dann kommt die Risikoanalyse. Für jedes Asset, für jeden Prozess, für jede Schnittstelle nach außen. Was kann passieren? Wie wahrscheinlich ist es? Was würde es bedeuten? Und was tun wir dagegen?
Das kostet Zeit. Ehrlich gesagt: deutlich mehr Zeit, als wir eingeplant hatten. Es kostet Konzentration. Es kostet interne Kapazität, die an anderen Stellen fehlt. Und ja, es kostet auch Geld – für externe Beratung, für das Audit selbst, für Tools und Dokumentation.

Wir sagen das nicht, um zu klagen. Wir sagen es, weil wir denken, dass andere Agenturen oder Unternehmen, die vor derselben Entscheidung stehen, das wissen sollten.

Was es uns gebracht hat – schon jetzt, vor dem Abschluss

Das Interessante ist: Der größte Nutzen kommt nicht erst mit dem Zertifikat. Er entsteht im Prozess.

Wir haben Dinge gefunden, die wir besser machen mussten. Zugriffsrechte, die nie wirklich aufgeräumt worden waren. Prozesse, die im Kopf eines einzelnen Kollegen lebten, aber nirgendwo dokumentiert. Passwort-Praktiken, die niemand offiziell geregelt hatte, weil es "eh immer funktioniert hat".

Das aufzuräumen ist keine angenehme Arbeit. Aber es ist gute Arbeit.

Und dann ist da noch etwas, das wir nicht erwartet hatten: Das Gespräch über Datensicherheit hat intern eine Qualität bekommen, die vorher nicht da war. Es ist kein IT-Thema mehr, das "die anderen" lösen. Es gehört jetzt zur Arbeitsweise von brandmood – vom Projektmanagement bis zur Buchhaltung.

Was das für unsere Kunden bedeutet

Bei jedem Event, den brandmood umsetzt, vertrauen uns Kunden Daten an. Teilnehmerlisten mit Namen, Kontaktdaten, manchmal Dietary Requirements und Accessibility-Informationen. Verträge. Briefings mit internen Strategieinformationen. Budgets.Die meisten Kunden denken dabei nicht explizit an Datenschutz. Sie vertrauen einfach. Das ist schön. Und es ist eine Verantwortung, die wir nicht auf die leichte Schulter nehmen wollen.

ISO 27001 ist unser Weg, dieses Vertrauen nicht nur zu verdienen, sondern nachweisbar zu rechtfertigen. Nicht für uns. Für sie.

Wo wir gerade stehen

Wir sind mitten im Prozess. Das Zertifikat haben wir noch nicht – und wir wären die Letzten, die so tun, als wäre es schon erledigt. Aber die Richtung stimmt, das System nimmt Form an, und das Audit kommt. Wenn wir fertig sind, werden wir berichten. Dann vermutlich mit einem anderen Titel: „Was wir beim ISO-Audit gelernt haben – und was uns der Auditor ins Gesicht gesagt hat."

Versprochen.

brandmood ist eine Full-Service-Eventagentur mit Standorten in Salzburg, Linz und Wien – spezialisiert auf Corporate Events, Meetings & Kongresse, Jubiläen und digitale Eventlösungen.

 

Winners at the Austrian Event Awards
21/05/26

Three Years. Three Times Gold. A clear message.

We've done it again – and this time with a record that no event agency in Austria has set before: At the Austrian Event Award 2026, brandmood wins gold for the third time in a row in the Corporate Events category. A gold hat-trick. In 2026, the voestalpine event week “From great to even better!” was honored – a multi-day corporate event format that impressively demonstrates how profound and sustainable modern event concepts can be.
A desk with a laptop showing an event setup, a 'brandmood' tube, and blueprints, overseen by a glowing blue and orange brain graphic with a 'b' in a dark office.
20/03/26

One year of AI in planning: our honest perspective

Hype, help, or a hybrid approach? We've been using AI tools long enough to move beyond the excitement—and be honest about
Click & Drag
Play
Click &
learn more