Compliance-Check

Compliance-Check

Nutzen Sie die Möglichkeit einer kostenlosen Analyse Ihrer Compliance-Risiken

Die Anforderungen in den Bereichen Datenschutz, Informationssicherheit und Compliance sind in den letzten Jahren stark gestiegen und werden immer komplexer.

Um Sie in diesem Dschungel von Vorschriften und Gesetzen zu unterstützen, bieten wir Ihnen unseren Compliance-Check als kostenlosen Service an. Dieser dient als Grundlage, mögliche Anforderungen und Risiken für Ihr Unternehmen zu identifizieren und darauf aufbauend fundierte Entscheidungen treffen zu können.

Mit unserem Service erfahren Sie unter anderem, ob und in welchem Umfang Ihr Unternehmen von neuen Rechtsakten wie dem NIS2, dem Cyber Resilience Act, dem Hinweisgeberschutzgesetz oder dem Lieferkettensorgfaltspflichtengesetz betroffen ist.

Vorteile für Sie

  • Klarer Überblick über neue und bestehende gesetzliche Anforderungen
  • Identifikation möglicher Risiken und Handlungsbedarfe
  • Orientierungshilfe für den Umgang mit der Vielzahl neuer Rechtsakte und Änderungen bestehender Anforderungen
  • Entscheidungsgrundlage für die Umsetzung von Maßnahmen
  • Optimale Vorbereitung Ihres Unternehmens auf aktuelle und zukünftige Herausforderungen

Fragebogen zum Compliance-Check

Unser Fragebogen dient als Orientierungshilfe. Es handelt sich hierbei um keine Rechtsberatung und kann diese nicht ersetzen.

Verschiedene Datenarten erfordern unterschiedliche Schutzmaßnahmen:

  • Normale Daten: z.B. Name, Adresse, Telefonnummer.
  • Sensible Daten: z.B. ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit.
  • Hochsensible Daten: z.B. Gesundheitsdaten (medizinische Berichte, Patientenakten), biometrische Daten (Fingerabdrücke, Gesichtserkennung), genetische Daten.
  • Andere kritische Daten

Der Digitalisierungsgrad beeinflusst die Anforderungen an die IT-Sicherheit und Datenschutzmaßnahmen. Bitte wählen Sie:

  • Gering: Hauptsächlich papierbasierte Prozesse, wenig Nutzung von IT-Systemen.
  • Mittel: Teilweise digitalisierte Prozesse, Nutzung von IT-Systemen in einigen Geschäftsbereichen.
  • Hoch: Vollständig digitalisierte und automatisierte Prozesse, umfassende Nutzung von IT-Systemen in allen Geschäftsbereichen.

Unternehmen, die als kritische Infrastruktur gelten, müssen erweiterte Sicherheitsvorkehrungen treffen. Bitte wählen Sie: Ja, Nein.


Die Übermittlung von Daten ins Ausland unterliegt strengen Vorschriften, insbesondere wenn es sich um Staaten außerhalb der EU handelt. Bitte spezifizieren Sie:

  • ausschließlich innerhalb der EU: Datenübermittlung in andere EU-Staaten, die der EU-DSGVO unterliegen.
  • auch außerhalb der EU: Datenübermittlung in Drittstaaten, die nicht der EU-DSGVO unterliegen. In diesem Fall sind zusätzliche Schutzmaßnahmen erforderlich, wie z.B. Standardvertragsklauseln, Angemessenheitsbeschlüsse sowie verbindliche interne Datenschutzvorschriften.

Branchenspezifische Anforderungen können zusätzliche Maßnahmen erforderlich machen. Je nach Branche können diese Anforderungen stark variieren:

  • Eher nicht: Branchen mit minimalen zusätzlichen Datenschutzanforderungen, z.B. Einzelhandel ohne Online-Präsenz, kleine Handwerksbetriebe.
  • Bedingt: Branchen mit moderaten zusätzlichen Anforderungen, z.B. IT-Dienstleister, allgemeine Dienstleistungsunternehmen, die personenbezogene Daten verarbeiten.
  • Ja: Branchen mit umfangreichen zusätzlichen Anforderungen, z.B. Gesundheitswesen (Krankenhäuser), Finanzwesen (Banken, Versicherungen), öffentliche Verwaltungen.

Wenn Ihr Unternehmen als Auftragsverarbeiter und oder als Auftraggeber tätig ist, müssen spezielle vertragliche und gesetzliche Anforderungen eingehalten werden.


Externe Zertifizierungen können das Vertrauen in Ihre Datenschutz- und Sicherheitsmaßnahmen erhöhen. Bitte spezifizieren Sie: Ja, Nein.


Öffentliche Stellen haben oft spezifische Anforderungen an Transparenz und Datenschutz. Bitte wählen Sie: Privat, Öffentlich.


Unternehmen sind verpflichtet, Änderungen in der Datenschutzgesetzgebung zeitnah auf ihren Webseiten zu berücksichtigen, insbesondere wenn sie personenbezogene Daten erfassen oder verarbeiten. Zu den Anforderungen zählen u.a.:

  • Aktualisierung der Datenschutzerklärung
  • Integration neuer Opt-in/Opt-out-Mechanismen für Cookie-Banner
  • Schulung von Mitarbeitern
  • Einrichtung eines Monitorings, das sicherstellt, dass gesetzliche Änderungen frühzeitig erkannt und umgesetzt werden.

Kritische Infrastrukturen wie Energieversorger und Krankenhäuser haben hohe Anforderungen an die IT-Sicherheit.


Frühere Vorfälle zeigen Schwachstellen auf, die behoben werden müssen.


Proaktive Maßnahmen erhöhen die Widerstandsfähigkeit gegen Cyberangriffe.


Mögliche Motive sind Wettbewerbsvorteil, Auflagenzwang durch Auftraggeber, Risikominimierung und Qualitätssicherung


Internationale Standards erleichtern die Einhaltung von Sicherheitsanforderungen weltweit.


Effiziente Prozesse unterstützen Wachstum und Anpassungsfähigkeit des Unternehmens.


Mögliche Antworten sind z.B. Datenschutz, Informationssicherheit, BCM, oder andere


Eine Überprüfung durch ein unabhängiges Gremium bestätigt die Wirksamkeit des ISMS.


Die Kosten für IT-Security sind oft unübersichtlich und können in der Höhe je nach Unternehmen stark variieren. Eine gezielte Risikominimierung durch ein ISMS hilft, diese Kosten effizient und zielgerichtet einzusetzen.


Regelmäßige Sicherheitsüberprüfungen (z. B. Penetrationstests) sind unerlässlich, um Cyberangriffe zu verhindern und die Integrität Ihrer Webseite zu gewährleisten.

Diese Sektoren sind nach der NIS-2-Richtlinie reguliert und umfassen sowohl wesentliche als auch wichtige Einrichtungen:

  • Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
  • Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
  • Bankwesen (Kreditinstitute)
  • Finanzmarktinfrastruktur (Handelsplätze, Zentrale Gegenparteien)
  • Gesundheit (Gesundheitsdienstleister, EU-Labore, Medizinforschung, Pharmazeutik, Medizingeräte)
  • Trinkwasser (Wasserversorgung)
  • Abwässer (Abwasserentsorgung)
  • Digitale Infrastruktur (Internet-Knoten, DNS, TLD-Registries, Cloud-Provider, Rechenzentren, CDNs, Vertrauensdienste, Elektronische Kommunikation)
  • IKT-Dienstleistungsmanagement (Managed Service Providers, Managed Security Service Providers)
  • Öffentliche Verwaltungen (Zentralregierung, regionale Regierung)
  • Weltraum (Bodeninfrastruktur)
  • Post- und Kurierdienste (Postdienste)
  • Abfallwirtschaft (Abfallbewirtschaftung)
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Lebensmittelproduktion, -verarbeitung und -vertrieb
  • Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten
  • Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung (Forschungsinstitute)

Unternehmen, die diese Größenkriterien erfüllen, fallen grundsätzlich unter die NIS-2-Richtlinie, sofern sie auch zu einem der zuvor genannten relevanten Sektoren gehören.


Einige Betreiber werden unabhängig von ihrer Größe reguliert, wenn sie in diesen Bereichen tätig sind.


Auch kleinere Unternehmen können betroffen sein, wenn sie als kritisch für die Gesellschaft oder Wirtschaft eingestuft werden.


Die NIS-2-Richtlinie verlangt von betroffenen Organisationen, dass sie umfassende Sicherheitsmaßnahmen implementieren und Cybervorfälle melden.

Der Cyber Resilience Act gilt für Unternehmen innerhalb der EU oder für solche, die Produkte in die EU verkaufen.


Produkte mit digitalen Elementen umfassen sowohl Hardware als auch Software, die innerhalb der EU angeboten werden.


Der CRA gilt für Hersteller von Hardware und Software mit digitalen Komponenten, die Security by Design umsetzen müssen.


Der CRA gilt auch für Importeure, die Produkte in die EU einführen und vertreiben.


Auch Vertreiber von digitalen Produkten innerhalb der EU müssen die CRA-Anforderungen erfüllen.


Überprüfen Sie, ob Ihre Produkte digitale Funktionen oder Elemente beinhalten, die unter den CRA fallen könnten. Dies umfasst Produkte, die eine direkte oder indirekte Datenverbindung haben.


Der CRA fordert regelmäßige Bewertungen und Management von Sicherheitsrisiken zur Vermeidung von Cyberangriffen.


Dazu gehören regelmäßige Sicherheitsupdates, Patches und andere Schutzmaßnahmen, die mindestens fünf Jahre nach Inverkehrbringen kostenlos bereitgestellt werden müssen.


Der CRA verlangt, dass Sicherheitsvorfälle dokumentiert und an die EU-Cybersicherheitsbehörde ENISA gemeldet werden.


Bei Verstößen gegen den CRA drohen Bußgelder von bis zu 14 Millionen Euro oder 2,5 % des globalen Umsatzes.


Hochkritische Produkte sind relevant für die Resilienz der gesamten Lieferkette, haben ein hohes Cybersicherheitsrisiko gemäß Anhang III des CRA, und werden in wesentlichen Einrichtungen der NIS2 verwendet.


Kritische Produkte der Klasse I umfassen z.B. VPN-Produkte, Passwortmanager, Router und Firewalls. Klasse II umfasst Produkte mit höherem Cybersicherheitsrisiko wie Betriebssysteme, PKI und SCADA-Steuerungen.

  • Beschäftigte sind Arbeitnehmerinnen und Arbeitnehmer, zur Berufsbildung Beschäftigte, Beamtinnen und Beamte, Richterinnen und Richter mit Ausnahme der ehrenamtlichen Richterinnen und Richter, Soldatinnen und Soldaten, Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten sowie Menschen mit Behinderung, die in einer Werkstatt für behinderte Menschen oder bei einem anderen Leistungsanbieter nach § 60 des Neunten Buches Sozialgesetzbuch beschäftigt sind.
  • In der Regel bedeutet, dass bei der Ermittlung der Arbeitnehmerzahl sowohl ein Rückblick auf die bisherige Personaldecke als auch eine Prognose für die künftige Entwicklung zu erfolgen hat.

  • Wertpapierdienstleistungsunternehmen im Sinne des § 2 Absatz 10 des Wertpapierhandelsgesetzes,
  • Datenbereitstellungsdienste im Sinne des § 2 Absatz 40 des Wertpapierhandelsgesetzes,
  • Börsenträger im Sinne des Börsengesetzes,
  • Institute im Sinne des § 1 Absatz 1b des Kreditwesengesetzes und Institute im Sinne des § 2 Absatz 1 des Wertpapierinstitutsgesetzes,
  • Gegenparteien im Sinne des Artikels 3 Nummer 2 der Verordnung (EU) 2015/2365 des Europäischen Parlaments und des Rates vom 25. November 2015 über die Transparenz von Wertpapierfinanzierungsgeschäften und der Weiterverwendung sowie zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 337 vom 23.12.2015, S. 1), die zuletzt durch die Verordnung (EU) 2021/23 (ABl. L 22 vom 22.1.2021, S. 1) geändert worden ist, in der jeweils geltenden Fassung,
  • Kapitalverwaltungsgesellschaften gemäß § 17 Absatz 1 des Kapitalanlagegesetzbuchs sowie
  • Unternehmen gemäß § 1 Absatz 1 des Versicherungsaufsichtsgesetzes mit Ausnahme der nach den §§ 61 bis 66a des Versicherungsaufsichtsgesetzes tätigen Unternehmen mit Sitz in einem anderen Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum.

  • Leiharbeitnehmer sind bei der Berechnung der Arbeitnehmerzahl des Entleihunternehmens zu berücksichtigen, wenn die Einsatzdauer sechs Monate übersteigt. Innerhalb von verbundenen Unternehmen (§ 15 des Aktiengesetzes) sind die im Inland beschäftigten Arbeitnehmer sämtlicher konzernangehöriger Gesellschaften bei der Berechnung der Arbeitnehmerzahl der Obergesellschaft zu berücksichtigen; ins Ausland entsandte Arbeitnehmer sind erfasst.
  • Gilt nur für Unternehmen mit 1000 Mitarbeitern, die ihre Hauptverwaltung, ihre Hauptniederlassung, ihren Verwaltungssitz, ihren satzungsmäßigen Sitz oder eine Zweigniederlassung gemäß § 13d HGB im Inland haben.



  • Unmittelbarer Zulieferer ist ein Partner eines Vertrages über die Lieferung von Waren oder die Erbringung von Dienstleistungen, dessen Zulieferungen für die Herstellung des Produktes oder zur Erbringung und Inanspruchnahme der betreffenden Dienstleistung notwendig sind.
  • Gilt nur für Unternehmen mit 1000 Mitarbeitern, die ihre Hauptverwaltung, ihre Hauptniederlassung, ihren Verwaltungssitz, ihren satzungsmäßigen Sitz oder eine Zweigniederlassung gemäß § 13d HGB im Inland haben.

  • Gilt nur für Unternehmen mit 1000 Mitarbeitern, die ihre Hauptverwaltung, ihre Hauptniederlassung, ihren Verwaltungssitz, ihren satzungsmäßigen Sitz oder eine Zweigniederlassung gemäß § 13d HGB im Inland haben.




Ihre Kontaktdaten

Ansprechpartner *
,

Ihre Anfrage behandeln wir selbstverständlich vertraulich. Wir sichern Ihnen zu, Ihre persönlichen Daten ausschließlich zum Zweck der Bearbeitung Ihrer Anfrage zu nutzen und nicht an Dritte weiterzuleiten. Die Datenübertragung erfolgt verschlüsselt.

Philipp Herold

Was passiert nach dem Versand Ihres Compliance-Checks?

Nachdem Sie den Compliance-Check ausgefüllt und abgeschickt haben, werden wir Ihre Angaben sorgfältig analysieren und auswerten. Das Ergebnis dieser Analyse erhalten Sie per E-Mail und in einem persönlichen Gespräch, in dem wir die Ergebnisse gemeinsam durchgehen und individuelle Empfehlungen für Ihr Unternehmen besprechen.