EU AI Act, DSGVO, ISO 27001 und SOC 2-Readiness für SaaS, KI-Anbieter, Cloud-Provider und Digital-Health-Unternehmen. Pragmatisch für schnell wachsende Tech-Unternehmen umgesetzt.
Antwort innerhalb eines Werktages. Klare nächste Schritte und indikative Vergütung.
Die anwendbaren Gesetze ändern sich mit dem Geschäftsmodell. Wir sequenzieren die Pflichten, die Ihr Unternehmen konkret binden.
Multi-Tenant-Daten, Sub-Auftragsverarbeiter, Kunden-Audits.
Annex-III-Klassifizierung, Trainingsdaten-Herkunft, GPAI.
Händlerverifizierung, Transparenz, AGB, illegale Inhalte.
Wesentliche Einrichtungen NIS-2, Switching, Kundentransfers.
CRA-Grundanforderungen, Schwachstellenbearbeitung.
ICT-Drittparteienrisiko, Resilienztests, Aufsichtsmeldungen.
Acht Regime greifen ineinander. Wir takten sie an Ihrer Release-Kadenz.
Rechtsgrundlage, Sub-Verarbeiter nach Art. 28, Schrems-II-Transferfolgenabschätzung, Meldung in 72h, Betroffenenrechte im Maßstab.
Klassifizierung als wesentliche oder wichtige Einrichtung. Risikomanagement, Meldung in 24h und 72h, Lieferkettensicherheit, Vorstandsverantwortung.
Verbotene Praktiken seit Februar 2025 untersagt. GPAI-Pflichten ab August 2025. Annex-III-Hochrisikosysteme ab August 2026.
Notice-and-Action, Transparenz der AGB, Händler-Nachverfolgbarkeit für Marktplätze. Jahresbericht. VLOPs mit zusätzlichen Risikobewertungen.
Datenzugang bei vernetzten Produkten. Wechselpflichten: Portabilitätsfenster, Gebührenabbau bis 2027.
Konformität nach Annex III, technische Dokumentation (Annex IV), Post-Market-Monitoring, Grundrechte-Folgenabschätzung für Betreiber.
Vernetzte Produkte (Hardware und Software) müssen Grundanforderungen erfüllen, Schwachstellen handhaben, Konformität und CE-Kennzeichnung tragen.
Ersetzt nationale Cookie-Regelungen durch ein einheitliches Regime. Strengere Einwilligung, Vertraulichkeit der Kommunikation, Marketing.
US-Clouds, indische Entwicklungspartner, EU-Datenresidenz. Schrems-II-Transferfolgenabschätzungen vermehren sich mit jedem Anbieter.
Cloud-Anbieter, Managed Services, Rechenzentren wesentlich klassifiziert. Wichtige SaaS-Einrichtungen ab 250 MA oder 50 Mio. € Umsatz.
Recruiting, Scoring, Biometrie, Bildung, kritische Infrastruktur. Die meisten Teams scopen zu eng.
Hardware-plus-Software-Produkte brauchen Konformität, CE, Schwachstellenhandhabung, 5-Jahre-Support.
Fragmentierung nationaler Cookie-Gesetze. Server-Side-Tracking. Consent-or-Pay-Debatten. Auditierbarkeit von Marketing Automation.
Enterprise-Procurement fragt SOC 2, ISO 27001, DSGVO Art. 28, Sub-Verarbeiter, DSFA, Transfermechanismen.
Verzeichnis, Sub-Verarbeiter-Stack, Transferfolgenabschätzungen, Kunden-Audit-Pack, DSB-Funktion oder Co-DSB-Modell.
Klassifizierung, Gap-Analyse, ISMS-Aufbau (ISO 27001), Meldepfade, Lieferketten-Due-Diligence.
Systeminventar, Annex-III-Mapping, Risikomanagement, technische Dokumentation (Annex IV), Human Oversight, Post-Market-Monitoring.
Notice-and-Action, Händlerverifizierung, AGB-Transparenz, Statement-of-Reasons, Jahresbericht. VLOP-Risikobewertungen.
Grundanforderungen, Secure-by-Design-Review, Schwachstellenprozess, Konformitätsweg, technische Dokumentation.
Foundation-Model-Anbieter, MLaaS, Data Labeller, Infrastruktur. Art. 28 DSGVO plus AI-Act-Wertschöpfungskette plus DORA-Register.
CMP-Review, Server-Side-Tracking-Audit, Marketing-Automation-Rechtmäßigkeit, Abwehr von Aufsichtsverfahren.
CERT-Meldung NIS-2 (24h/72h), DSGVO 72h, Kundenkommunikation, Behördenkontakt, Post-Incident-Hygiene.
Senior-Datenschutzbeauftragter benannt, Bearbeitung von Betroffenenanfragen, DSFA-Reviews, Vorstandsreporting-Rhythmus.
Acht Fragen zu Geschäftsmodell, Größe und Datenströmen. Indikative Pflichtenkarte über DSGVO, NIS-2, AI Act, DSA, CRA, DORA und ePrivacy. Ohne E-Mail-Schranke.
Pflichten-Mapper starten~ 4 MINWahrscheinlich ja, wenn Sie als digitale Infrastruktur, Managed Service, Rechenzentrum oder Cloud-Computing-Dienst tätig sind und über 50 Mitarbeitende oder 10 Mio. € Umsatz hinausgehen. Wichtige Einrichtungen sind die typische Kategorie. Wesentliche Einrichtungen betreffen Top-Cloud- und DNS-Anbieter.
Ja. Betreiber tragen eigene Pflichten nach Art. 26: Human Oversight, Monitoring und (für manche Systeme) Grundrechte-Folgenabschätzung. Beschaffungsverträge müssen aktualisiert werden, um die Konformität des Anbieters nachzuweisen.
Er gilt, sobald die Ausgabe in der Union verwendet wird, unabhängig davon, wo das System entwickelt oder eingesetzt wird. Interne HR- oder Produktivitäts-KI mit Auswirkung auf EU-Personal ist erfasst.
Reines B2B-SaaS ohne Hosting fremder Inhalte fällt in der Regel nicht in den DSA-Bereich. Sobald nutzergenerierte Angebote, Kommentare oder Händlerangebote für EU-Verbraucher gehostet werden, greifen Vermittlerpflichten.
CRA erfasst vernetzte Produkte mit digitalen Elementen, die ab Dezember 2027 auf dem EU-Markt sind. Konformitätsbewertung, CE-Kennzeichnung, Schwachstellenbearbeitung, Sicherheits-Updates mindestens fünf Jahre. Wir helfen, die Grundanforderungen zu bewerten und einen Konformitätsweg zu wählen.
Weitgehend ja. Wir erstellen ein kombiniertes Nachweispaket, sodass keine zwei parallelen Programme nötig sind. Artikel-Mapping ist inklusive.
Wir verzahnen EU-spezifische Kontrollen mit dem bestehenden Zertifizierungsprogramm und mappen Klauseln über Frameworks, sodass ein Nachweisbestand SOC 2, ISO 27001, DSGVO Art. 32, NIS-2 Art. 21 und CRA-Grundanforderungen abdeckt.
Ja. Wir integrieren Compliance in SDLC und MLOps statt parallel zu arbeiten. Ihre Engineers bleiben in ihren Tools. Wir instrumentieren die Nachweise.
DSGVO-Programm, DSFA-Bibliothek, Kunden-Audit-Pack und Aufsichtskontakt.
Praxis öffnen →AI-Act-Konformität, ISO-42001-Umsetzung und KI-Risikomanagement für Anbieter und Betreiber.
Praxis öffnen →ISMS, ISO 27001, NIS-2-Kontrollen, Schwachstellenprogramm und Audit-Bereitschaft.
Praxis öffnen →Kostenloses Erstgespräch, 30 Minuten. Wir priorisieren: ISO 27001 / SOC 2 / EU AI Act / NIS2, was jetzt, was später, was niemals. Transparentes Angebot innerhalb eines Werktages.