EU-Compliance für Technologie & KI

EU AI Act, DSGVO, ISO 27001 und SOC 2-Readiness für SaaS, KI-Anbieter, Cloud-Provider und Digital-Health-Unternehmen. Pragmatisch für schnell wachsende Tech-Unternehmen umgesetzt.

Regulatorik für Technologie-Unternehmen in Europa

Technologie- und KI-Unternehmen bewegen sich zwischen DSGVO, EU AI Act, NIS2, Data Act und sektoralen Regelungen. Gleichzeitig verlangen internationale Kunden ISO 27001, SOC 2 oder BSI C5. Wir helfen bei der Priorisierung und Umsetzung — ohne den Produkt-Fokus zu blockieren.

Unsere Leistungen für Technologie & KI

EU AI Act-Konformität

Klassifizierung Ihrer KI-Systeme nach den vier Risiko-Stufen, Konformitätsbewertung für Hochrisiko-KI, GPAI-Transparenzpflichten, AI-Literacy nach Art. 4.

ISO 27001-Zertifizierung

Aufbau eines ISMS nach ISO 27001:2022 — von der ersten Gap-Analyse bis zur erfolgreichen Zertifizierung. Pflichtprogramm für Enterprise-Kunden und öffentliche Aufträge.

SOC 2 und BSI C5 Readiness

Vorbereitung auf SOC 2 Type II (für US-Kunden) und BSI C5-Testat (für öffentliche Kunden in Deutschland). Kontrollen-Mapping und Prüfungsvorbereitung.

DSGVO für SaaS und Cloud-Angebote

AVVs und Sub-Auftragsverarbeiter-Register, SCCs für Drittlandtransfers, Datenschutz-Folgenabschätzungen und internationaler Privacy-Rollout.

NIS2 für digitale Anbieter

NIS2-Scoping für digitale Dienste (Online-Marktplätze, Suchmaschinen, Cloud-Services, DNS, CDN) und Umsetzung der Art. 21-Mindestanforderungen.

Sicherheit für schnelle Entwicklungs-Zyklen

DevSecOps, Pipeline-Security, IaC-Security, Secrets-Management, Dependency-Scanning und Threat Modeling — integriert in Ihre Entwicklungs-Workflows.

EU AI Act — die vier Risikostufen

Der EU AI Act klassifiziert KI-Systeme nach Risiko. Je Stufe gelten unterschiedliche Pflichten — von „verboten" bis „nahezu keine Pflichten".

Verbotenes Risiko

Social Scoring durch öffentliche Stellen

Manipulative Techniken mit Schadenspotenzial

Echtzeit-biometrische Identifizierung im öffentlichen Raum (Ausnahmen)

Hohes Risiko

KI in Personalauswahl und Arbeitgeber-Bewertung

Kredit-Scoring und Risikobewertung

Medizinische KI und Medizinprodukt-KI

Kritische Infrastruktur

Begrenztes Risiko

Chatbots mit Transparenzpflicht

Generative KI und Deepfake-Tools

Content-Erstellung und Zusammenfassung

Minimales Risiko

Spam-Filter und Klassifizierer

KI in Spielen und Entertainment

Empfehlungsalgorithmen im E-Commerce (überschaubares Risiko)

Welche Tech-Unternehmen wir betreuen

KI- und Machine-Learning-Unternehmen

SaaS- und PaaS-Anbieter

FinTechs und InsurTechs

Digital-Health und MedTech-Startups

Cybersecurity-Produkt-Anbieter

Cloud-Hosting und Managed-Service-Provider

EdTech und HR-Tech-Plattformen

IoT- und Industrie 4.0-Anbieter

Relevante Regelwerke für Technologie-Unternehmen

EU AI Act

Anwendbar seit 2025, Hochrisiko ab 2026

Hoch

DSGVO / BDSG / TTDSG

Anwendbar

Hoch

NIS2 / NIS-2-UmsuCG

Anwendbar seit 17. Oktober 2024

Hoch

ISO/IEC 27001:2022

Freiwilliger Standard, Markterwartung

Hoch

EU Data Act

Anwendbar ab 12. September 2025

Mittel

Cyber Resilience Act (CRA)

Anwendbar ab 11. Dezember 2027

Mittel

Passende Leistungen

KI-Compliance & EU AI Act

Cyber Security & ISO 27001

Datenschutz & DSGVO

Lieferantenmanagement

Weiterführende Ressourcen

EU AI Act: Der vollständige Leitfaden für Unternehmen ISO 27001 vs. SOC 2: Was brauchen Sie zuerst?DSGVO bei KI-Training und -Betrieb

Häufige Fragen von Technologie-Unternehmen

Wir sind ein Startup — brauchen wir wirklich ISO 27001?

ISO 27001 ist selten Pflicht — aber oft Voraussetzung für Enterprise-Deals, Banken, Versicherer und öffentliche Auftraggeber. Der strategische Entscheidungs-Punkt: welche Deals blockiert das Fehlen einer Zertifizierung? Wir prüfen im Scoping, ob sich die Investition lohnt und wann der ideale Zeitpunkt ist.

Sind wir unter NIS2 betroffen?

Digitale Anbieter (Online-Marktplätze, Suchmaschinen, Cloud-Services, DNS, CDN, Managed Services, soziale Netzwerke) fallen unter Anlage 2 NIS-2-UmsuCG (wichtige Einrichtungen). Schwellenwert: 50 Mitarbeitende + 10 Mio. € Umsatz. Cloud- und Infrastrukturanbieter können als wesentliche Einrichtung nach Anlage 1 eingestuft sein. Wir prüfen die Einordnung.

Wir nutzen OpenAI/Anthropic/Google — müssen wir DSGVO-konform schulen?

Ja. Als Betreiber eines KI-Modells unterliegen Sie den Betreiber-Pflichten des EU AI Act (Art. 26 für Hochrisiko; Art. 4 AI Literacy für alle) und der DSGVO. Wir liefern AVV-Muster, TIA, DSFA-Templates und AI-Literacy-Schulungen für die gängigen KI-Stacks.

Wir verkaufen an US-Kunden — SOC 2 oder ISO 27001?

In der US-Praxis ist SOC 2 Type II der Quasi-Standard. ISO 27001 wird zunehmend anerkannt, deckt aber nicht alle SOC-2-Kriterien (v. a. Availability, Confidentiality). Bei großen Enterprise- und Government-US-Kunden häufig beide gefordert. Wir bauen Kontrollen einmal — mappen auf beide Standards.

Bereit für skalierbare Compliance?

Kostenloses Erstgespräch — 30 Minuten. Wir priorisieren: ISO 27001 / SOC 2 / EU AI Act / NIS2 — was jetzt, was später, was niemals. Transparentes Angebot innerhalb eines Werktages.

Beratungsgespräch vereinbaren

EU-Compliance für Technologie & KI

EU AI Act, DSGVO, ISO 27001 und SOC 2-Readiness für SaaS, KI-Anbieter, Cloud-Provider und Digital-Health-Unternehmen. Pragmatisch für schnell wachsende Tech-Unternehmen umgesetzt.

Regulatorik für Technologie-Unternehmen in Europa

Unsere Leistungen für Technologie & KI

EU AI Act-Konformität

Klassifizierung Ihrer KI-Systeme nach den vier Risiko-Stufen, Konformitätsbewertung für Hochrisiko-KI, GPAI-Transparenzpflichten, AI-Literacy nach Art. 4.

ISO 27001-Zertifizierung

Aufbau eines ISMS nach ISO 27001:2022 — von der ersten Gap-Analyse bis zur erfolgreichen Zertifizierung. Pflichtprogramm für Enterprise-Kunden und öffentliche Aufträge.

SOC 2 und BSI C5 Readiness

Vorbereitung auf SOC 2 Type II (für US-Kunden) und BSI C5-Testat (für öffentliche Kunden in Deutschland). Kontrollen-Mapping und Prüfungsvorbereitung.

DSGVO für SaaS und Cloud-Angebote

AVVs und Sub-Auftragsverarbeiter-Register, SCCs für Drittlandtransfers, Datenschutz-Folgenabschätzungen und internationaler Privacy-Rollout.

NIS2 für digitale Anbieter

NIS2-Scoping für digitale Dienste (Online-Marktplätze, Suchmaschinen, Cloud-Services, DNS, CDN) und Umsetzung der Art. 21-Mindestanforderungen.

Sicherheit für schnelle Entwicklungs-Zyklen

DevSecOps, Pipeline-Security, IaC-Security, Secrets-Management, Dependency-Scanning und Threat Modeling — integriert in Ihre Entwicklungs-Workflows.

EU AI Act — die vier Risikostufen

Der EU AI Act klassifiziert KI-Systeme nach Risiko. Je Stufe gelten unterschiedliche Pflichten — von „verboten" bis „nahezu keine Pflichten".

Verbotenes Risiko

Social Scoring durch öffentliche Stellen

Manipulative Techniken mit Schadenspotenzial

Echtzeit-biometrische Identifizierung im öffentlichen Raum (Ausnahmen)

Hohes Risiko

KI in Personalauswahl und Arbeitgeber-Bewertung

Kredit-Scoring und Risikobewertung

Medizinische KI und Medizinprodukt-KI

Kritische Infrastruktur

Begrenztes Risiko

Chatbots mit Transparenzpflicht

Generative KI und Deepfake-Tools

Content-Erstellung und Zusammenfassung

Minimales Risiko

Spam-Filter und Klassifizierer

KI in Spielen und Entertainment

Empfehlungsalgorithmen im E-Commerce (überschaubares Risiko)

Welche Tech-Unternehmen wir betreuen

KI- und Machine-Learning-Unternehmen

SaaS- und PaaS-Anbieter

FinTechs und InsurTechs

Digital-Health und MedTech-Startups

Cybersecurity-Produkt-Anbieter

Cloud-Hosting und Managed-Service-Provider

EdTech und HR-Tech-Plattformen

IoT- und Industrie 4.0-Anbieter

Relevante Regelwerke für Technologie-Unternehmen

EU AI Act

Anwendbar seit 2025, Hochrisiko ab 2026

Hoch

DSGVO / BDSG / TTDSG

Anwendbar

Hoch

NIS2 / NIS-2-UmsuCG

Anwendbar seit 17. Oktober 2024

Hoch

ISO/IEC 27001:2022

Freiwilliger Standard, Markterwartung

Hoch

EU Data Act

Anwendbar ab 12. September 2025

Mittel

Cyber Resilience Act (CRA)

Anwendbar ab 11. Dezember 2027

Mittel

Weiterführende Ressourcen

EU AI Act: Der vollständige Leitfaden für Unternehmen ISO 27001 vs. SOC 2: Was brauchen Sie zuerst?DSGVO bei KI-Training und -Betrieb

Häufige Fragen von Technologie-Unternehmen

Wir sind ein Startup — brauchen wir wirklich ISO 27001?

Sind wir unter NIS2 betroffen?

Wir nutzen OpenAI/Anthropic/Google — müssen wir DSGVO-konform schulen?

Wir verkaufen an US-Kunden — SOC 2 oder ISO 27001?

Bereit für skalierbare Compliance?

Kostenloses Erstgespräch — 30 Minuten. Wir priorisieren: ISO 27001 / SOC 2 / EU AI Act / NIS2 — was jetzt, was später, was niemals. Transparentes Angebot innerhalb eines Werktages.

Beratungsgespräch vereinbaren