Warum Varify keine ISO 27001-Zertifizierung besitzt — und warum das kein Problem ist
Inhaltsverzeichnis
Zweck des Artikels
Dieses Dokument gibt dem Varify-Team eine klare, faktenbasierte Argumentationslinie an die Hand, wenn Kunden oder Interessenten fragen, warum Varify keine ISO 27001-Zertifizierung (oder eine vergleichbare Zertifizierung) besitzt. Es erläutert die architektonischen Gründe, warum eine solche Zertifizierung unverhältnismäßig wäre, beschreibt die Sicherheitsmaßnahmen, die Varify tatsächlich umsetzt, und liefert fertige Textbausteine für Sales-, Customer-Success- und Einkaufsgespräche.
Die kurze Antwort
Varify speichert und verarbeitet keine personenbezogenen Daten. ISO 27001 ist darauf ausgelegt, Risiken rund um Informationswerte zu managen — insbesondere sensible oder personenbezogene Daten. Da Varify architektonisch bewusst darauf verzichtet, solche Daten vorzuhalten, greifen die Risiken, die ISO 27001 adressiert, bei Varify nicht. Stattdessen setzt Varify auf verhältnismäßige, DSGVO-konforme Maßnahmen und Privacy-by-Design-Prinzipien, die dem tatsächlichen Risikoprofil entsprechen.
Wie Varifys Architektur Datenrisiken eliminiert
Varify trennt die Experiment-Auslieferung von der Ergebnismessung. Diese zentrale Architekturentscheidung bestimmt Varifys gesamte Datenposition.
Was Varify tut
- Liefert ein leichtgewichtiges JavaScript-Snippet (11,5 KB) aus, das visuelle oder codebasierte Änderungen auf einer Website anwendet
- Weist Besucher über localStorage/sessionStorage (nicht über Cookies) Experimentvarianten zu
- Sendet Experiment-Teilnahme-Signale an das eigene Analysetool des Kunden (GA4, BigQuery, PostHog, Matomo etc.)
Was Varify NICHT tut
- Erhebt, speichert oder verarbeitet keine personenbezogenen Daten (PII)
- Setzt keine Cookies und verwendet keine persistenten Identifikatoren
- Erstellt keine Nutzerprofile und trackt keine Personen über Sitzungen hinweg
- Betreibt keine eigene Analysedatenbank oder ein Data Warehouse
- Empfängt, speichert oder hat keinen Zugriff auf Conversion-Daten, Umsatzdaten oder Kundendatensätze
Sämtliches Tracking, die Messung und die Datenspeicherung finden ausschließlich in der Analyseumgebung des Kunden statt. Varify sieht, berührt oder speichert diese Daten zu keinem Zeitpunkt.
Warum ISO 27001 für Varify unverhältnismäßig ist
ISO 27001 ist ein Rahmenwerk zur Einrichtung, Umsetzung und Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS). Es richtet sich an Organisationen, die sensible Informationen speichern, verarbeiten oder übertragen — insbesondere personenbezogene Daten, Finanzdaten, Gesundheitsdaten oder geistiges Eigentum.
Die Kernkontrollen von ISO 27001 adressieren Risiken wie:
- Unbefugter Zugriff auf gespeicherte Daten
- Datenpannen und Datenverlust
- Unsichere Datenverarbeitungspipelines
- Unzureichende Zugriffskontrollen auf sensible Systeme
- Mangelhafte Incident Response bei datenbezogenen Vorfällen
Diese Risiken setzen voraus, dass der Anbieter schützenswerte Daten vorhält. Wenn die Architektur eines Anbieters so konzipiert ist, dass keine personenbezogenen Daten gespeichert oder verarbeitet werden, reduziert sich das Bedrohungsmodell, das ISO 27001 absichert, grundlegend.
Das ist kein Argument dafür, überhaupt keine Sicherheitsmaßnahmen zu haben — sondern dafür, Maßnahmen zu ergreifen, die dem tatsächlichen Risiko angemessen sind. Die DSGVO selbst verankert dieses Prinzip in Artikel 32, der Sicherheitsmaßnahmen fordert, die „dem Risiko angemessen” sind.
Was Varify tatsächlich hat
Varify unterhält Sicherheits- und Compliance-Maßnahmen, die der Rolle als clientseitiges Delivery-Tool ohne personenbezogene Datenspeicherung angemessen sind.
DSGVO-Compliance by Design
- Cookie-lose Architektur — kein Cookie-Consent speziell für Varify erforderlich
- Keine personenbezogenen Daten bei Varify gespeichert
- Keine personenbezogenen Kennungen für Experiment-Teilnehmer
- Privacy-by-Design und Privacy-by-Default als Architekturprinzipien
Auftragsverarbeitungsvertrag (AVV)
- Vollständiger AVV gemäß Art. 28 DSGVO, verpflichtend für alle Kunden
- Dokumentierte Technische und Organisatorische Maßnahmen (TOMs) als Anlage zum AVV
- Unterauftragsverarbeiter-Liste mit Vorabbenachrichtigung bei Änderungen
- Verfahren zur Unterstützung von Betroffenenrechten definiert
- Prüfrechte für den Verantwortlichen eingeräumt
Infrastruktur-Sicherheit (vererbte Kontrollen)
Varifys Infrastruktur läuft auf Anbietern, die selbst umfangreiche Zertifizierungen besitzen:
| Anbieter | Rolle | Zertifizierungen |
|---|---|---|
| AWS (Frankfurt, eu-central-1) | Hosting, Compute, Speicher | ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, C5, PCI DSS |
| Cloudflare | CDN, DDoS-Schutz, Edge-Delivery | ISO 27001, SOC 2 Type II, PCI DSS |
Sämtliche Datenverarbeitung findet innerhalb der EU (Frankfurt) statt. Für den Kernbetrieb werden keine Daten außerhalb des Europäischen Wirtschaftsraums übertragen.
Sicherheit auf Anwendungsebene
- TLS-Verschlüsselung für alle Daten in Transit (HTTPS erzwungen)
- Rollenbasierte Zugriffskontrolle innerhalb der Varify-Plattform
- Sichere Softwareentwicklungspraktiken
- Regelmäßiges Monitoring von Abhängigkeiten und Schwachstellen
- Incident-Response-Verfahren im AVV dokumentiert
Compliance-Status
- DSGVO-konform (EU-Datenverarbeitung, keine PII-Speicherung, AVV mit TOMs)
- CCPA-kompatibel
- Kompatibel mit HIPAA-regulierten Umgebungen (keine PHI verarbeitet)
- Konform mit dem Schweizer revDSG (EU-adäquates Hosting)
Das Verhältnismäßigkeitsargument
Das Prinzip der Verhältnismäßigkeit ist sowohl in der DSGVO (Artikel 32) als auch im ISO 27001-Standard selbst zentral (die Auswahl der Annex-A-Kontrollen ist risikobasiert). ISO 27001 von einem Anbieter zu verlangen, der keine personenbezogenen Daten vorhält, erzeugt einen Compliance-Mismatch:
- Die Zertifizierung würde Risiken abdecken, die nicht existieren. Der Wert von ISO 27001 liegt im Schutz von Informationswerten. Wenn keine personenbezogenen Datenwerte vorhanden sind, adressiert die Zertifizierung ein leeres Bedrohungsmodell.
- Die Daten liegen beim Analysetool des Kunden. Die GA4-, BigQuery- oder Matomo-Instanz des Kunden — nicht Varify — ist das System, das Experimentergebnisse und Nutzerdaten speichert. Sicherheitsbewertungen sollten sich auf diese Systeme konzentrieren.
- ISO 27001 ist keine Garantie für Sicherheit. Die Zertifizierung bestätigt die Existenz eines Managementsystems, nicht die Abwesenheit von Schwachstellen. Ein Anbieter mit ISO 27001 kann trotzdem von Datenpannen betroffen sein. Ein Anbieter ohne kann dennoch starke, angemessene Sicherheitsmaßnahmen haben.
- Verhältnismäßige Maßnahmen sind ehrlicher. Anstatt eine Zertifizierung anzustreben, die größtenteils aus „nicht anwendbar”-Kontrollen bestünde, investiert Varify in Maßnahmen, die für seine Architektur tatsächlich relevant sind: sichere Delivery-Infrastruktur, EU-Hosting, DSGVO-konforme Auftragsverarbeitungsverträge und transparentes Unterauftragsverarbeiter-Management.
Vergleich: Wo ISO 27001 sinnvoll ist und wo nicht
| Szenario | ISO 27001 angemessen? | Warum |
|---|---|---|
| CRM-Anbieter mit Kundendatenspeicherung | Ja | Speichert und verarbeitet PII in großem Umfang |
| Cloud-Speicher-Anbieter | Ja | Hält sensible Dokumente und Dateien vor |
| Zahlungsdienstleister | Ja | Verarbeitet Finanzdaten |
| Analytics-Plattform mit eigenem Data Warehouse | Ja | Speichert Verhaltensdaten, potenziell PII |
| Clientseitiges A/B-Testing-Tool ohne Datenspeicherung | Unverhältnismäßig | Keine PII gespeichert, kein Data Warehouse, reine Delivery-Rolle |
Häufige Fragen (FAQ)
F: Wird Varify ISO 27001 in Zukunft anstreben? A: Wir evaluieren unsere Zertifizierungsplanung regelmäßig. Sollte sich unsere Architektur dahingehend weiterentwickeln, dass personenbezogene Daten gespeichert werden, würde eine Zertifizierung zur Priorität. Für unsere aktuelle Architektur konzentrieren wir uns auf Maßnahmen, die unserem tatsächlichen Risikoprofil entsprechen.
F: Können Sie unseren Sicherheitsfragebogen auch ohne ISO 27001 ausfüllen? A: Ja. Wir beantworten regelmäßig Vendor-Security-Assessments und können detaillierte Angaben zu unserer Infrastruktur, Datenverarbeitung und Compliance-Aufstellung machen. Viele der ISO 27001-bezogenen Fragen werden mit „nicht anwendbar — keine personenbezogenen Daten gespeichert” beantwortet oder durch Verweis auf die Zertifizierungen unserer Infrastruktur-Anbieter abgedeckt.
F: Was ist mit SOC 2? A: Dasselbe Verhältnismäßigkeitsargument gilt. SOC 2 Type II-Audits sind für Dienstleister konzipiert, die Kundendaten speichern und verarbeiten. Unsere Infrastruktur-Anbieter (AWS, Cloudflare) besitzen SOC 2-Zertifizierungen. Für Varifys eigenen Betrieb — bei dem keine Kundendaten gespeichert werden — würde SOC 2 eine Datenumgebung prüfen, die nicht existiert.
F: Unsere interne Richtlinie verlangt von allen Anbietern ISO 27001. Ohne Ausnahme. A: Das verstehen wir. In der Praxis wenden viele Organisationen risikobasierte Ausnahmen für Anbieter an, die keine personenbezogenen Daten speichern. Wir empfehlen, mit Ihrem Informationssicherheitsteam zu besprechen, ob Varifys Architektur (keine Datenspeicherung, EU-Hosting, zertifizierte Infrastruktur-Anbieter, vollständiger AVV mit TOMs) für eine solche Ausnahme qualifiziert. Wir unterstützen dieses Gespräch gerne mit Dokumentation und einem technischen Walkthrough.
Zuletzt aktualisiert: April 2026 Verantwortlich: Varify Software GmbH