Alles, was Sie über
CompliantDesk wissen sollten.

CompliantDesk ist eine SaaS-Plattform aus Deutschland für IT-Sicherheit, Datenschutz und Compliance-Management in kleinen und mittleren Unternehmen. Assessments zu NIS2, DSGVO, ISO 27001, EU AI Act und weiteren Frameworks erzeugen automatisch Maßnahmen, Richtlinien-Vorschläge, Kontrollen, Nachweise und Review-Termine. Betreiber ist CoreLead Solutions.

Unterstützt werden DSGVO, NIS2, ISO 27001, BSI IT-Grundschutz, TISAX, Cyber Essentials und EU AI Act (KI-Governance). Zusätzlich gibt es einen Cyber-Versicherungs-Readiness-Check und ein Microsoft 365 Security Assessment - beide mit automatischem Maßnahmenplan. Für jedes Framework gibt es einen Gap-Tracker, Kontrollen mit Framework-Mapping und vorbereitete Richtlinien-Vorlagen.

Zielgruppe sind IT-Leitung, IT-Sicherheit, Datenschutzverantwortliche und Geschäftsführung in KMU mit 10 bis 500 Mitarbeitenden sowie IT-Dienstleister und Berater, die Compliance für mehrere Kunden betreuen. Für Partner gibt es eine Multi-Client-Verwaltung im MSP-Portal.

Ja - CompliantDesk hat ein dediziertes MSP-Portal für IT-Dienstleister. Sie verwalten alle Kunden-Mandanten in einer einzigen Oberfläche, wechseln per Klick zwischen Kunden und behalten den Überblick über Compliance-Scores, offene Maßnahmen und Fristen quer über alle Mandanten. Jeder Mandant hat seinen eigenen isolierten Tenant mit eigenen Daten, Frameworks und Dokumenten. Es gibt ein separates MSP-Partner-Programm mit gestaffelten Konditionen.

Alle Daten werden ausschließlich in Deutschland gehostet - kein Datentransfer in die USA. Die Infrastruktur besteht aus drei Komponenten: Supabase (Frankfurt) für Datenbank und Authentifizierung, Vercel (Frankfurt) für die Applikation und Azure Blob Storage (Germany West Central, Frankfurt) für Datei-Uploads und Dokumente. KI-Anfragen werden über Microsoft Azure OpenAI (Germany West Central, Frankfurt) verarbeitet. Betreiber CoreLead Solutions sitzt ebenfalls in Deutschland.

Nach einem Assessment werden aus den Antworten automatisch vier Dinge abgeleitet: Maßnahmen im Gap-Tracker, passende Richtlinien-Vorschläge mit 1-Klick-Anlage, Kontroll-Vorschläge inklusive Review-Intervall und Risiken für das Risk-Register. Beim Anlegen einer Kontrolle werden zusätzlich typische fehlende Nachweise aus der Kategorie als "fehlt"-Einträge erzeugt, damit Kontrollen ohne Nachweis sichtbar bleiben.

Ja. CompliantDesk enthält alle Bausteine eines ISMS: Risikomanagement, Kontrollen mit Reviews, Richtlinien mit Freigabe, Nachweise, Statement of Applicability, Management Review und internes Audit. Sie können CompliantDesk als operatives ISMS für eine ISO 27001 Zertifizierung nutzen.

Die Preise richten sich nach Ihrem Bedarf. Buchen Sie eine Demo - wir finden den passenden Plan für Ihr Unternehmen.

CompliantDesk nutzt einen KI-Assistenten für drei Aufgaben: Richtlinien-Entwürfe basierend auf Ihren Wizard-Antworten, Maßnahmen-Empfehlungen nach Assessments und die automatische Audit-Analyse. Dabei gilt: Ihre Daten werden NICHT zum Training von Modellen verwendet. Die Verarbeitung erfolgt ausschließlich über Microsoft Azure OpenAI (Germany West Central, Frankfurt) - kein Datentransfer in die USA. Es werden keine personenbezogenen Daten übermittelt - nur anonymisierte Strukturdaten (Branche, Mitarbeiterzahl, Frameworks). Ein PII-Redactor entfernt vor jedem Call E-Mail-Adressen, Telefonnummern, IBANs, Kreditkartennummern und IP-Adressen aus dem Prompt. Alle Ergebnisse sind Entwürfe und Empfehlungen, die Sie prüfen und anpassen, bevor sie aktiv werden. Sie behalten jederzeit die volle Kontrolle und können die Assistenz-Features pro Organisation komplett deaktivieren.

CompliantDesk nutzt Zwei-Faktor-Authentifizierung (TOTP), ein rollenbasiertes Rechtesystem mit modulbasierten Feinberechtigungen, konfigurierbare Session-Timeouts und einen revisionssicheren Audit-Log über alle relevanten Aktionen. Passwörter werden auf Stärke geprüft. Alle Daten liegen verschlüsselt in Deutschland: Supabase und Vercel in Frankfurt, Azure Blob Storage in Germany West Central (Frankfurt). DSGVO-konforme Löschung und vollständiger Datenexport sind eingebaut.

Nach der Registrierung gibt es eine geführte Onboarding-Tour durch die Kern-Module, eine Branchen-Vorlage mit passenden Risiken und Richtlinien für 11 Branchen sowie einen ersten Assessment-Vorschlag. Parallel läuft eine mehrstufige Onboarding-E-Mail-Serie mit konkreten nächsten Schritten. Für Teams gibt es einen Einladungsflow mit vorbereiteten Rollen (Admin, Editor, Viewer).

Ja. Jedes Modul bietet PDF-Export (Richtlinien, Risiko-Register, Gap-Tracker, Audit-Log, Lieferanten, Board-Report). Das Dokumentations-Paket bündelt alle relevanten Unterlagen für einen Audit in einem Export. Zusätzlich gibt es einen vollständigen Datenexport nach DSGVO-Vorgabe.

Unternehmen ab 50 Mitarbeitern oder 10 Mio. Jahresumsatz in kritischen Sektoren wie Energie, Transport, Gesundheit, IT-Infrastruktur, verarbeitendes Gewerbe und weitere fallen unter NIS2. Auch Zulieferer betroffener Unternehmen können indirekt betroffen sein. CompliantDesk prüft Ihre Betroffenheit im NIS2-Assessment automatisch.

Bußgelder bis 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Zusätzlich persönliche Haftung der Geschäftsführung - NIS2 macht Leitungsorgane explizit verantwortlich.

Die Frist zur Erstregistrierung im BSI-Portal (MUK) lief am 6. März 2026 ab. Eine Nachregistrierung ist aber weiterhin möglich und ausdrücklich empfohlen - das BSI bewertet sie positiv. Wichtig: Die fehlende Registrierung ist ein eigenständiger Bußgeldtatbestand, unabhängig davon ob Sie technisch bereits Maßnahmen umgesetzt haben. Im MUK-Portal (muk.bsi.bund.de) können Sie sich mit einem ELSTER-Organisationszertifikat nachträglich registrieren. CompliantDesk unterstützt Sie dabei, die NIS2-Compliance strukturiert nachzuweisen und zu dokumentieren.

Ja - der AI Act betrifft nicht nur KI-Anbieter wie OpenAI oder Google, sondern auch alle Unternehmen, die KI einsetzen (sogenannte Betreiber). Die KI-Kompetenzpflicht nach Art. 4 gilt bereits seit Februar 2025: Mitarbeitende müssen angemessen über die eingesetzten KI-Systeme informiert und sensibilisiert sein. Verbotene KI-Praktiken (Art. 5) sind ebenfalls seit Februar 2025 untersagt. Für die meisten KMU ist der erste Schritt ein KI-Inventar: Welche Tools mit KI-Funktion sind im Einsatz? CompliantDesk bietet dafür ein KI-Governance-Modul mit strukturiertem AI-Act-Assessment.

Der Digital Omnibus ist eine EU-Gesetzgebungsinitiative, auf die sich Rat und Parlament am 7. Mai 2026 vorläufig geeinigt haben. Er verschiebt den Geltungsbeginn der strengen Hochrisiko-Pflichten (Anhang III) vom August 2026 auf den 2. Dezember 2027 - für Hochrisiko-KI in regulierten Produkten sogar auf August 2028. Wichtig: Das ist noch kein verabschiedetes Gesetz. Und verschoben werden ausschließlich die Hochrisiko-Fristen. KI-Kompetenzpflicht (Art. 4), Verbote (Art. 5) und Transparenzpflichten gelten unverändert. Die Omnibus-Einigung verschafft Luft für die Hochrisiko-Umsetzung - kein Grund, mit dem KI-Inventar zu warten.

Das Lieferanten-Modul deckt die Supply-Chain-Anforderungen aus NIS2, ISO 27001 und DSGVO ab. Sie pflegen alle Dienstleister zentral, vergeben Risikobewertungen, versenden strukturierte Sicherheitsfragebögen direkt aus der Plattform und dokumentieren Auftragsverarbeitungsverträge (AVV). Lieferanten mit hohem Risiko oder fehlendem AVV erscheinen automatisch als Handlungsbedarf. Das spart doppelte Arbeit: Eine gepflegte Lieferantenliste deckt gleichzeitig NIS2-Lieferkettenpflichten, DSGVO-AVV-Nachweise und AI-Act-Transparenz über zugekaufte KI-Dienste ab.

Der erste Sicherheits-Check dauert 12-15 Minuten. Danach sind Maßnahmen, erste Richtlinienvorschläge und ein Compliance-Score automatisch vorhanden. Ein vollständiges ISMS ist in wenigen Stunden aufgebaut - nicht in Monaten.

In den meisten Fällen reichen drei Dokumente: ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, eine Übersicht Ihrer technischen und organisatorischen Maßnahmen (TOMs) und eine aktuelle Datenschutzerklärung. CompliantDesk erstellt alle drei automatisch - fertig zum Versenden in unter einer Stunde.

Bei einem Cyberangriff mit personenbezogenen Daten müssen Sie die Datenschutzbehörde innerhalb von 72 Stunden informieren. CompliantDesk hilft Ihnen, einen Incident-Response-Plan vorzubereiten - damit Sie im Ernstfall wissen, was zu tun ist und wer wen informiert.

DSGVO gilt ab dem ersten Mitarbeiter und dem ersten Kundenkontakt. Cyberangriffe treffen KMU häufiger als Konzerne, weil sie weniger gut geschützt sind. Und immer mehr Auftraggeber verlangen Datenschutznachweise auch von kleinen Lieferanten. CompliantDesk ist speziell für Unternehmen ohne eigenes IT-Security-Team gebaut.

CompliantDesk erstellt alle wesentlichen Dokumente, die bei einem Datenschutz- oder IT-Sicherheits-Audit geprüft werden: Richtlinien mit digitalem Freigabestempel, Risiko-Register, Maßnahmenplan, Nachweise und Audit-Log. Das Audit-Readiness-Cockpit zeigt Ihnen vorher genau, was noch fehlt.

Ja. Jedes Unternehmen bekommt ein öffentlich verlinkbares Trust Center. Den Link schicken Sie statt eines 40-seitigen Fragebogens an Ihren Auftraggeber. Dieser sieht auf einen Blick, welche Frameworks, Dokumente und Nachweise vorhanden sind.

Ja - CompliantDesk versendet personalisierte Bestätigungs-Links per E-Mail. Kein Login nötig. Mitarbeiter lesen die Richtlinie und bestätigen mit einem Klick. Das System generiert automatisch ein SHA-256-Zertifikat als manipulationssicherer Nachweis - audit-fähig für ISO 27001, NIS2 und DSGVO.

Ja - das Awareness-Modul deckt beides ab. Sie erstellen Schulungsmodule und Lernpfade, versenden Einladungen per Magic-Link (kein Login für Mitarbeitende nötig) und tracken den Abschluss zentral. Phishing-Simulationen können mit eigenen oder vorgefertigten Templates gestartet werden - inklusive Aufklärungsseite nach dem Klick und automatischer Auswertung. NIS2 und ISO 27001 fordern nachweisbare Security-Awareness-Schulungen; CompliantDesk dokumentiert sie direkt im Mitarbeiter-Profil.