Aktualisiert für 2026
Das Beschaffungstor der öffentlichen Hand
Behörden prüfen Tool-Käufe anhand strenger Regeln. US-Bundesverträge für Cloud-Dienste erfordern FedRAMP. Das dauert 12 bis 24 Monate und kostet viel Geld. Die meisten Anbieter verzichten darauf. Damit verlieren sie den Zugang zu US-Bundesaufträgen.
EU-Behörden nutzen ISO 27001 als Basis. Manche Länder ergänzen das durch eigene Vorgaben. Deutschland setzt BSI C5 für Cloud-Dienste ein. Frankreich nutzt SecNumCloud für wichtige Daten. Britische Behörden verlangen ISO 27001 als Mindeststandard. Tools mit direktem Systemzugang brauchen zusätzlich Cyber Essentials oder Cyber Essentials Plus.
Die Regel ist klar: Ein SaaS-Tool ohne ISO 27001 scheitert meist schon beim ersten Check im EU- oder UK-Beschaffungsverfahren. Funktionen, Preis und Ruf spielen in diesem Stadium keine Rolle. Der Zertifikatscheck kommt zuerst. Die Funktionsprüfung folgt danach.
Lokale und internationale Stellen
Landes- und Kommunalbehörden haben oft flexiblere Regeln als nationale Behörden. Internationale Organisationen — EU-Agenturen, UN-Einrichtungen, NATO — auch. Viele akzeptieren ISO 27001, ohne lokale Programme zu verlangen.
Lokale Stellen, die Bürgerdaten verarbeiten, haben DSGVO-Pflichten. Stadtverwaltungen, Gesundheitsämter und Kreisbehörden müssen Anbieter mit starken Datenschutzvorkehrungen wählen. ISO 27001 ist der übliche Weg, das in einem öffentlichen Vergabeverfahren nachzuweisen.
Weitergabe von Primärvertragspflichten
Wenn ein Unternehmen einen öffentlichen Auftrag erhält, fließen die Datenschutzregeln zu seinen eigenen Anbietern weiter. Ein Rüstungsunternehmen darf für Datenaufgaben nur zertifizierte Tools nutzen. Ein EU-Agentur-Partner kann dieselbe Anforderung für alle Tools bekommen, die Projektdaten berühren.
Diese Weitergabe öffnet einen großen indirekten Markt. Tech-Anbieter großer Auftragnehmer, Beratungsfirmen mit Behördenkunden und Händler mit öffentlichem Kundenkreis profitieren alle von ISO 27001.
Ein zertifiziertes Tool wird schnell freigegeben. Eine weitere Prüfung entfällt. Das Zertifikat ist der Nachweis. Beide Seiten sparen Zeit, und das Projekt kann planmäßig starten.
Erfahren Sie, wie ISO 27001 Anbieterprüfungen beschleunigt, und lesen Sie auch die rechtliche Compliance-Seite für weitere Details.