ISO 27001: Gehört das Projekt in die Rechtsabteilung?

Wenn ein Unternehmen mit ISO 27001 startet, kommt die Frage oft erstaunlich früh: Ist das nicht eigentlich ein Fall für die Rechtsabteilung?

Auf den ersten Blick wirkt das plausibel. ISO 27001 hat mit Anforderungen, Nachweisen, Risiken, Verträgen und Compliance zu tun. Und sobald „Compliance“ im Raum steht, landet das Thema in vielen Unternehmen fast automatisch bei Legal.

Genau da beginnt aber oft das Problem.

Denn ISO 27001 ist nicht einfach ein Rechts- oder Dokumentationsthema. Es ist ein Managementsystem. Und ein Managementsystem funktioniert nur dann gut, wenn es nicht nur formal sauber aussieht, sondern im Alltag tatsächlich getragen wird.

Die kurze Antwort

Nein, ISO 27001 ist in der Regel kein Projekt, das allein in die Rechtsabteilung gehört.

Die Rechtsabteilung ist wichtig. Sie sollte aber meistens mitwirken, nicht allein führen.

Der Grund ist einfach: Ein ISO-27001-Projekt betrifft nicht nur rechtliche Anforderungen, sondern auch Prozesse, technische Maßnahmen, Rollen, Zuständigkeiten, Schulungen, Vorfälle, Lieferanten, Entscheidungen und den laufenden Betrieb. Genau deshalb verlangt die Norm auch Führung durch das Top Management und klar zugewiesene Verantwortlichkeiten für das ISMS, nicht die Übergabe an eine einzelne Fachabteilung.

Warum die Idee trotzdem so naheliegt

Die Logik dahinter ist nachvollziehbar.

Viele Unternehmen denken:

• ISO 27001 ist Compliance;
• Compliance ist rechtlich relevant;
• also gehört das Thema in Legal.

Das Problem ist nur: Diese Logik greift zu kurz.

Sie passt für die Frage, welche Anforderungen gelten, aber nicht automatisch für die Frage, wie man sie im Unternehmen sinnvoll umsetzt.

Und genau an dieser Stelle entscheidet sich, ob aus ISO 27001 ein brauchbares Managementsystem wird oder nur ein Papierprojekt.

Wo Rechtsabteilungen in ISO-27001-Projekten oft an Grenzen stoßen

Das ist kein Angriff auf Rechtsabteilungen. Es ist schlicht eine Frage des fachlichen Zuschnitts.

1. ISO 27001 ist nicht nur Normtext, sondern Betrieb

Ein gutes ISMS entsteht nicht am Schreibtisch allein. Es greift in reale Abläufe ein:

• Wer genehmigt Zugriffe?
• Wie werden Vorfälle gemeldet?
• Wie läuft Onboarding und Offboarding?
• Welche Systeme sind kritisch?
• Wie wird mit Lieferanten umgegangen?
• Welche Maßnahmen sind praktikabel?

Wer diese Fragen beantworten soll, braucht Nähe zum tatsächlichen Betrieb.

2. Technische und organisatorische Realität müssen zusammenpassen

Es reicht nicht, schöne Anforderungen zu formulieren. Sie müssen auch umsetzbar sein.

Genau hier entstehen in rein legal getriebenen Projekten oft Regelungen, die zwar juristisch sauber klingen, aber praktisch nicht funktionieren:

• zu absolut;
• zu unkonkret;
• eher bedrohlich;
• oder zu weit weg vom Alltag.

Dann ist formal etwas geregelt, praktisch aber nichts gewonnen.

3. Akzeptanz entsteht nicht durch Paragrafensprache

Ein ISMS lebt davon, dass Menschen damit arbeiten können.

Wenn Regeln so formuliert sind, dass sie nur Haftung verschieben, aber keine verständliche Orientierung geben, verlieren sie schnell Wirkung. Dann entsteht im Unternehmen nicht Sicherheit, sondern Distanz.

Was die Rechtsabteilung trotzdem unbedingt beitragen sollte

Jetzt der wichtige Gegenpunkt: Die Rechtsabteilung ist nicht falsch im Projekt. Sie ist nur selten die beste alleinige Projektführerin.

Legal ist besonders wichtig bei Themen wie:

• vertragliche Sicherheitsanforderungen;
• Lieferanten- und Dienstleisterklauseln;
• Haftungsfragen;
• regulatorische Anforderungen;
• Nachweissicherheit;
• Schnittstellen zu Datenschutz und Meldethemen.

Gerade bei Lieferantenmanagement, Verträgen, rechtlichen Mindestanforderungen und externen Verpflichtungen ist die Rechtsabteilung wertvoll. Nur sollte daraus nicht automatisch folgen, dass sie das gesamte Projekt tragen muss.

Wem ein ISO 27001-Projekt sinnvollerweise gehört

Ein ISO 27001-Projekt gehört in der Praxis meist dorthin, wo Steuerung, Umsetzung und Managementanbindung zusammenkommen.

Gut funktioniert häufig:

• ein klar benannter Projektleiter oder ISMS-Verantwortlicher;
• ein Management-Sponsor aus der Geschäftsführung;
• Prozessexperten aus dem Unternehmen;
• IT oder technische Sicherheitskompetenz;
• Datenschutz, HR und Legal dort, wo ihre Themen betroffen sind.

Gerade in kleineren und mittleren Unternehmen funktioniert oft ein schlankes Projektteam deutlich besser als die Übergabe an eine Einzelabteilung. Genau solche Modelle mit Top Management, HR, dem (werdenden) Informationssicherheitsbeauftragten und IT-Systemverantwortlichen sind in praxisnahen ISO 27001-Umsetzungen typisch.

Die bessere Aufteilung: Legal als Teil des Teams, nicht als Solist

Wenn ein ISO 27001-Projekt aufgesetzt werden soll, dann empfiehlt sich die folgende Zusammensetzung:

Geschäftsführung

Sie gibt Richtung, Priorität und Rückendeckung. Ohne das wird ISO 27001 schnell zum Nebenbei-Projekt. ISO 27001 fordert dies sogar explizit in Anforderung 5.2.

Projektleitung und/ oder ISMS-Verantwortlicher

Diese Rolle zieht das Projekt zusammen, hält Themen nach, strukturiert Entscheidungen und sorgt dafür, dass aus Anforderungen echte Umsetzung wird. (Spoiler: häufig werden die Projektverantwortlichen später die Informationssicherheitsbeauftragten - wenn die Rolle nicht extern vergeben wird.)

IT oder technische Sicherheitskompetenz

Hier sitzt das Verständnis dafür, was technisch sinnvoll, nötig und machbar ist.

Prozessexperten aus dem Unternehmen

Sie wissen, wie der Laden wirklich funktioniert. Ohne sie entstehen oft Regeln, die an der Realität vorbeigehen.

Rechtsabteilung

Sie sorgt dafür, dass rechtliche, vertragliche und regulatorische Anforderungen sauber eingeordnet und berücksichtigt werden.

Das ist in der Regel die stärkere Kombination.

Der häufigste Fehler

Der häufigste Fehler ist nicht, Legal einzubeziehen.

Der häufigste Fehler ist zu glauben, ISO 27001 sei vor allem ein Dokumenten- und Haftungsthema.

Dann kippt das Projekt oft in diese Richtung:

• Hauptsache formal abgedeckt;
• Hauptsache abgesichert;
• Hauptsache etwas unterschrieben.

Genau dadurch entsteht aber selten ein gutes ISMS. Ein auditfähiges schon gar nicht. Ein gutes ISMS schützt nicht nur das Unternehmen nach außen, sondern verbessert auch intern den Umgang mit Risiken, Verantwortlichkeiten und Sicherheitsfragen.

Was Auditoren hier sehen wollen

Ein Auditor will in der Regel nicht sehen, welche Abteilung formal das Projekt bekommen hat.

Er will sehen, dass:

• Rollen und Verantwortlichkeiten klar sind;
• das Top Management das Thema trägt;
• technische und organisatorische Themen zusammenkommen;
• und das ISMS nicht nur juristisch sauber formuliert, sondern praktisch wirksam ist.

Wenn ein Projekt sichtbar nur aus Vertrags-, Richtlinien- und Haftungslogik gebaut wurde, merkt man das meist schnell. Wenn dagegen klar ist, dass das Unternehmen das Thema wirklich durchdacht und im Betrieb verankert hat, wirkt das deutlich stärker.

Für wen die Rechtsabteilung trotzdem eine größere Rolle spielen kann

Es gibt Konstellationen, in denen Legal näher am Projektkern sitzt als sonst.

Zum Beispiel wenn:

• sehr viele Kundenanforderungen vertraglich getrieben sind;
• stark regulierte Branchenanforderungen im Vordergrund stehen;
• internationale Vertragslandschaften eine große Rolle spielen;
• oder Sicherheitsnachweise regelmäßig in Ausschreibungen und Verträgen verhandelt werden.

Dann wäre Legal starker Treiber im Team - aber nicht ganz alleine durchführend.

FAQ

Wenn Sie klären wollen, wie ein ISO-27001-Projekt in Ihrem Unternehmen sinnvoll aufgestellt werden sollte - mit der richtigen Rolle für Legal, IT, Management und Fachbereiche, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!