Kostenloses Tool
Mit dem kostenlosen Compliance-Check finden Sie in 2 Minuten heraus, welche EU-Regulierungen — AI Act, NIS2, DORA oder DSGVO — Ihr Unternehmen betreffen. Sie beantworten 8 Fragen und erhalten sofort eine priorisierte Ersteinschätzung zu AI Act, DSGVO, NIS2, DORA, CRA und HinSchG, ohne E-Mail-Pflicht und ohne externe API-Abfrage.
Der Compliance-Check ist eine strukturierte Selbsteinschätzung für Unternehmen, die mehrere Regulierungen parallel im Blick behalten müssen. Er ersetzt keine Rechtsberatung, priorisiert aber belastbar, ob Sie zuerst beim AI Act und der Schulungspflicht nach Art. 4, bei DORA, beim Cyber Resilience Act oder bei klassischen Datenschutz- und Governance-Themen ansetzen sollten.
Die Branche beeinflusst, welche Regulierungen typischerweise zuerst relevant werden.
Einige Regelwerke knüpfen direkt an bestimmte Sektoren an, etwa Finanzsektor, kritische Infrastrukturen oder Software-Anbieter.
Schon geplante KI-Projekte sollten Sie vor dem Rollout nach Rollen, Datenarten, Transparenz und Schulung strukturieren.
Branche, Kundenstruktur, KRITIS-Nähe und Produktrolle entscheiden, welches Sicherheitsregelwerk zuerst auf den Tisch kommt.
Viele Unternehmen unterschätzen, wie stark Meldestelle, Datenschutz und Schulung operativ zusammenhängen.
Rot bedeutet in diesem Tool nicht automatisch, dass bereits ein Verstoß vorliegt. Rot heißt: Die Wahrscheinlichkeit oder Dringlichkeit ist so hoch, dass Sie das Thema kurzfristig prüfen und organisatorisch verankern sollten. Gelb steht für ein klares Prüffeld, das häufig aus Branche, Größe oder Kundenstruktur entsteht. Grün bedeutet: Das Regelwerk ist relevant, wirkt aber nach Ihren Angaben momentan eher als beherrschbares Organisations- als als Akutthema.
Besonders wichtig ist die Abgrenzung zwischen unmittelbarer Anwendbarkeit und operativer Betroffenheit. Ein IT-Dienstleister für Finanzunternehmen fällt beispielsweise nicht automatisch in dieselbe DORA-Rolle wie eine Bank, muss sich aber trotzdem an strenge Sicherheits-, Vertrags- und Nachweiserwartungen seiner Kunden anpassen. Ähnlich ist es beim Zusammenspiel von CRA, NIS2 und AI Act: Die eigentliche Pflicht hängt am Detail, die organisatorische Vorbereitung beginnt aber deutlich früher.
Der Check priorisiert deshalb nicht nur Formaljuristik, sondern auch Umsetzungsrealität. Wenn Sie KI einsetzen, personenbezogene Daten verarbeiten, digitale Produkte ausliefern oder regulierte Branchen bedienen, brauchen Sie fast immer zuerst Übersicht, Rollenklärung und ein belastbares Mindestniveau an Schulung. Genau dort hilft Ihnen das Ergebnis, weil es die Reihenfolge der nächsten Schritte vorgibt statt bloß eine abstrakte Regelliste auszuspielen.
Wofür der Check gedacht ist
Das Tool ist sinnvoll für Geschäftsführung, Compliance, Datenschutz, IT, Informationssicherheit, HR und Fachbereiche, die nicht erst einen Regulierungskatalog lesen wollen, bevor sie handeln.
Wenn der Check bei Ihnen mehrere rote oder gelbe Signale ausspielt, sollten Sie zuerst die gemeinsame Governance-Basis absichern und danach die Spezialpflichten pro Regelwerk vertiefen.
Die Tabelle ist bewusst grob. Sie soll zeigen, welche Regelwerke in der Praxis häufig zuerst relevant werden, nicht die endgültige Rechtslage vorwegnehmen.
| Branche | Typische Größe | Häufig erste Prüffelder |
|---|---|---|
| Finanzsektor / Versicherung | ab 50 Mitarbeitenden | DORA, DSGVO, AI Act, abhängig von IT-Setup zusätzlich NIS2 |
| IT / Software | ab 50 Mitarbeitenden | CRA, DSGVO, AI Act; bei Finanzkunden zusätzlich DORA-Prüffeld |
| Gesundheitswesen / Öffentliche Verwaltung | ab 50 Mitarbeitenden | AI Act, DSGVO, häufig NIS2-nahe Prüfpflichten |
| Produktion | ab 250 Mitarbeitenden oder KRITIS-Nähe | NIS2, CRA bei digitalen Produkten, DSGVO und AI Act je nach Einsatz |
| HR / Recruiting / Recht | ab 50 Mitarbeitenden | AI Act und DSGVO fast immer zuerst, HinSchG organisationsbezogen |
Der AI Act ist für viele Unternehmen der neue Einstieg, weil KI-Nutzung oft schneller im Alltag landet als klassische Compliance-Projekte. Seit dem 2. Februar 2025 ist Art. 4 der EU-VO 2024/1689 anwendbar. Das bedeutet nicht, dass jede Organisation sofort im Hochrisiko-Bereich landet; es bedeutet aber sehr wohl, dass Rollen, Schulung und interne Regeln nicht mehr optional behandelt werden sollten. Wenn Sie diese Pflicht im Detail einordnen möchten, ist unser Beitrag zu KI-Schulungspflicht nach Artikel 4 der naheliegende Start.
Die DSGVO bleibt daneben fast immer ein Parallelthema, sobald Beschäftigten-, Bewerber-, Kunden- oder Nutzerdaten verarbeitet werden. Viele Unternehmen betrachten AI Act und DSGVO noch getrennt, obwohl sich operative Fragen überschneiden: Welche Daten dürfen in ein KI-System eingegeben werden? Welche Rollen dürfen Ergebnisse freigeben? Wo sind Transparenz, Löschung, Human Review und Nachweis besonders wichtig? In der Praxis ist ein gemeinsamer Blick meist effizienter als zwei getrennte Projekte.
NIS2, DORA und CRA werden oft durcheinandergebracht, obwohl sie unterschiedliche Ansatzpunkte haben. NIS2 fokussiert auf Cybersicherheit, Resilienz und Geschäftsleitungsverantwortung in bestimmten Sektoren und Größenklassen. DORA ist das sektorspezifische Resilienzregime für Finanzunternehmen und zieht bei IT-Dienstleistungen für Banken oder Versicherer regelmäßig in Kundenverträgen mit. Der CRA wiederum richtet sich an Produkte mit digitalen Elementen, also an die Frage, was Sie entwickeln, vertreiben oder mit Updates absichern müssen. Für die gemeinsame Einordnung lohnt sich der Überblick zu CRA, NIS2 und AI Act.
Das HinSchG wirkt auf den ersten Blick wie ein separates Organisationsthema, wird aber in der Realität oft dort kritisch, wo Cybervorfälle, Governance-Schwächen oder interne Regelverstöße gemeldet werden müssen. Wenn Ihre Meldestelle unklar organisiert ist, fehlt häufig nicht nur ein Kanal, sondern ein belastbarer Prozess für Vertraulichkeit, Eskalation und Zuständigkeit. Die Schnittstelle zwischen Meldestelle und Sicherheitsorganisation beleuchten wir im Beitrag Hinweisgeberschutz und Cybersecurity.
Ihr Ergebnis sollte deshalb nicht isoliert pro Regelwerk gelesen werden. Wenn der Check etwa AI Act, DSGVO und CRA gleichzeitig hoch priorisiert, brauchen Sie zuerst ein gemeinsames Grundgerüst aus Produktinventar, Datenregeln, Rollen und Schulung. Wenn dagegen DORA und NIS2 dominieren, stehen Resilienz, Sicherheitssteuerung, Incident-Prozesse und Lieferkette stärker im Vordergrund. Das Tool übersetzt genau diese Zusammenhänge in eine Reihenfolge, die im Unternehmensalltag handhabbar bleibt.
Ein gutes Ergebnis ist kein PDF, sondern ein klarer nächster Schritt. Wenn der Check mehrere gelbe oder rote Felder ausspielt, sollten Sie zuerst ein unternehmensweites Minimum definieren: Welche KI-Systeme sind im Einsatz, wer trägt Verantwortung, welche Daten dürfen genutzt werden, wo liegen Eskalations- und Freigabepunkte, wie wird geschult und wie dokumentieren Sie die Umsetzung? Dieser Grundsatzteil ist fast immer schneller umzusetzen als eine sofortige Vollprüfung jedes Einzelthemas.
Danach trennen sich die Pfade. Für DORA-nahe Konstellationen ist die Belastbarkeit von ICT-Drittparteien, Verträgen und Resilienztests zentral. Beim CRA rücken sichere Entwicklung, Schwachstellenmanagement und Produktdokumentation nach vorne. Bei NIS2 sind Geschäftsleitungseinbindung, Risikomanagement und Meldeprozesse die häufigsten Baustellen. Beim AI Act beginnt die operative Umsetzung oft mit Schulung, Policy, Inventar und einer Risikoprüfung für sensible Use Cases.
Genau für diesen Einstieg ist eine strukturierte Compliance-Schulung hilfreich: Sie schafft ein gemeinsames Begriffsverständnis, reduziert Abstimmungsfehler zwischen Fachbereichen und macht aus diffusen Anforderungen konkrete Verantwortlichkeiten. Der Check zeigt Ihnen also nicht nur, was relevant ist, sondern auch, in welcher Reihenfolge Sie die Umsetzung wirtschaftlich angehen sollten.
Vertiefungsartikel
Ja. Der Compliance-Check ist kostenlos und zeigt Ihr Ergebnis sofort an. Sie müssen weder Kontaktdaten hinterlassen noch eine E-Mail bestätigen, um die Einordnung zu sehen.
Das Ergebnis ist eine strukturierte Ersteinschätzung auf Basis Ihrer Angaben. Es ersetzt keine Rechtsberatung und keine formale NIS2-, DORA- oder CRA-Klassifizierung, zeigt aber sehr klar, welche Regelwerke Sie prioritär prüfen sollten.
Sie beantworten nur acht Fragen zu Branche, Unternehmensgröße, KI-Einsatz, Software-Angeboten, personenbezogenen Daten, KRITIS-Nähe, Finanzkunden und HinSchG-Meldestelle. Der Check arbeitet vollständig client-seitig und verschickt keine Antworten an eine externe API.
Sie erhalten sofort eine priorisierte Liste relevanter Regulierungen mit nächsten Schritten. Wenn Sie die Umsetzung beschleunigen wollen, können Sie anschließend direkt eine Compliance-Schulung oder ein Erstgespräch über iClosed starten.