EU Digital Acts Audit | Professionelle Analyse der EU-Digitalregelungen
DSA, Data Act, AI Act, NIS2, DMA und CRA treffen Unternehmen nicht als bloße Normenliste. Entscheidend ist, ob ein konkretes Produkt, eine Plattform, ein KI-Tool, ein Datenmodell, eine Lieferkette oder ein digitaler Vertriebskanal Pflichten auslöst.
ITMR prüft, welche EU-Digitalgesetze für Ihr Unternehmen wirklich relevant sind, welche Pflichten bereits laufen, wo Spezialprüfung nötig ist und welche Maßnahmen zuerst belastbar dokumentiert werden sollten.
So einfach funktioniert es
1. Geschäftsmodell und Trigger aufnehmen.
Sie schildern Produkt, Plattform, Datenflüsse, KI-Einsatz, Nutzerrollen, Märkte, Unternehmensgröße und den konkreten Anlass: Launch, Audit, Kundenfrage, Due Diligence, Freigabe oder Managemententscheidung.
2. EU-Digitalgesetze einordnen.
Wir prüfen, ob und wie DSA, Data Act, AI Act, NIS2, DMA, DGA, CRA, DSGVO oder angrenzende Regeln greifen und welche Pflichten tatsächlich priorisiert werden müssen.
3. Pflichtenlandkarte und nächste Maßnahmen erhalten.
Sie erhalten eine anwaltliche Einschätzung mit klarer Scope-Entscheidung, Risikopunkten, Umsetzungsprioritäten und Empfehlung, ob eine Spezialroute wie Data Act, AI Act, DSA oder NIS2 anschließt.
Digital-Acts-Lage prüfen lassen
Pflichtenlandkarte anfragen
Für Unternehmen, die mehrere EU-Digitalregime nicht isoliert, sondern als belastbare Entscheidungs- und Umsetzungsfrage klären müssen.
Bereit für eine umfassende EU-Digital-Compliance-Hilfe?
Kontaktieren Sie uns unverbindlich. Wir bewerten die Anwendbarkeit von EU-Digitalacts auf Ihr Unternehmen und zeigen Umsetzungsschritte auf.
Was jetzt zu prüfen ist
Rechtsstand: 1. Mai 2026. Der Data Act gilt, der DSA ist anwendbar, das deutsche NIS2-Umsetzungsgesetz ist in Kraft, beim AI Act laufen gestufte Anwendungsdaten und beim CRA stehen Melde- und Hauptpflichten zeitlich versetzt bevor. Für Unternehmen zählt deshalb nicht eine abstrakte Gesetzesliste, sondern die Zuordnung nach Geschäftsmodell, Trigger, Rolle und erster Maßnahme.
Welche Unternehmensart und rechtliche Rolle liegt vor?
Welches Regime führt die Umsetzung?
Welche erste Maßnahme senkt das konkrete Risiko?
Welche Entscheidung muss intern belastbar nachvollziehbar sein?
Womit Mandanten typischerweise zu uns kommen
Der Auslöser ist selten ein einzelnes Gesetz. Meist steht eine geschäftliche Entscheidung an: ein digitales Produkt soll live gehen, ein Kunde fragt nach Compliance, ein Investor verlangt belastbare Unterlagen oder intern fehlt eine klare Linie zwischen Legal, Produkt, IT, Datenschutz und Management.
Eine Plattform, App, SaaS-Lösung, ein KI-Tool, vernetztes Produkt oder datengetriebener Service soll freigegeben, verkauft oder international ausgerollt werden.
Enterprise-Kunden, Einkauf, Investoren oder Auditoren fragen nach DSA, Data Act, AI Act, NIS2, CRA, Datenschutz, Rollen und belastbarer Dokumentation.
Mehrere digitale Regelwerke könnten einschlägig sein. Das Unternehmen braucht keine lose Normenliste, sondern eine Entscheidung, was wirklich umzusetzen ist.
EU-Digitalregulierung wird riskant, wenn sie isoliert geprüft wird
DSA, Data Act, AI Act, NIS2, CRA und Datenschutz greifen nicht sauber nebeneinander. Sie schneiden sich an Datenflüssen, Produktfunktionen, Plattformrollen, KI-Komponenten, Vertragsketten, Sicherheitsanforderungen und internen Freigabeprozessen.
Was das EU Digital Acts Audit klärt
- Welche EU-Digitalregime für Ihr Unternehmen tatsächlich relevant sind.
- Welche Rolle Ihr Unternehmen einnimmt: Anbieter, Betreiber, Vermittlungsdienst, Plattform, Hersteller, Dateninhaber, Geschäftsnutzer oder betroffene Einrichtung.
- Welche Pflichten bereits laufen, welche Übergänge relevant sind und wo Dokumentation fehlt.
- Welche Spezialprüfung anschließen sollte: AI Act, Data Act, DSA, NIS2, CRA, Datenschutz, Vertragsarchitektur oder IT-Compliance.
Was das Audit bewusst nicht ersetzt
- Keine vollständige Umsetzung einzelner Regime.
- Kein pauschales Rechtslexikon zu allen EU-Digitalgesetzen.
- Keine technische Zertifizierung und keine reine Checklisten-Compliance.
- Keine Vermischung von Datenschutz, IT-Recht, Cybersecurity und Produktregulierung ohne Prioritäten.
Welche Spezialseite übernimmt welche Umsetzung?
Die Regulierungslandkarte entscheidet, welches Regime führt. Die Spezialseiten übernehmen die Umsetzung, sobald der Schwerpunkt feststeht.
| Regime | Führungsfrage | Typischer Unternehmensbezug | Gehört auf die Spezialseite | Abgrenzung auf /digital-acts |
|---|---|---|---|---|
| AI Act | Welche KI-Rolle und Risikoklasse liegt vor? | KI-Anbieter, KI-Nutzer, Produktanbieter, HR, Support, Scoring, Content. | Klassifizierung, Rollen, Governance, Dokumentation, Transparenz, Hochrisiko-Nähe. | Nur Trigger, Rolle und Prüfroute benennen. |
| Data Act | Wer darf welche Daten nutzen, verlangen oder beschränken? | IoT, vernetzte Produkte, verbundene Dienste, SaaS, Cloud, B2B-Datenverträge. | Datenmapping, Zugangsrechte, Vertragsklauseln, Geschäftsgeheimnisse, Anfrageprozesse. | Nur Datenzugangs- und Vertrags-Trigger einordnen. |
| DSA | Liegt ein Vermittlungsdienst, Hostingdienst, Marktplatz oder Plattformdienst vor? | Plattformen, Marktplätze, Apps mit Nutzerinhalten, Vermittlungsdienste. | Meldewege, Beschwerden, Moderation, Transparenz, Händlerprüfung, Plattformprozesse. | Nur Dienste-Typ und DSA-Relevanz klären. |
| NIS2 | Fällt das Unternehmen nach Sektor, Größe oder Dienst in den Anwendungsbereich? | IT-Dienstleister, digitale Infrastruktur, wichtige oder kritische Einrichtungen, Lieferketten. | Betroffenheit, Registrierung, Risikomanagement, Meldewege, Geschäftsleitungspflichten. | Nur NIS2-Trigger und Priorität bestimmen. |
| CRA | Enthält das Produkt digitale Elemente? | Software, vernetzte Hardware, digitale Komponenten, Hersteller, Importeure, Händler. | Produktsecurity, Schwachstellenmanagement, Konformität, Lifecycle, Meldepflichten. | Nur Produkt- und Security-Schnittstelle markieren. |
| DSGVO / IT-Vertragsrecht | Welche Daten, Rollen, Verträge und Nachweise stützen die Umsetzung? | Fast alle datengetriebenen digitalen Geschäftsmodelle. | AVV/DPA, Rechtsgrundlagen, DSFA, SLA, Exit, Haftung, Subdienstleister, Rechteketten. | Als Schnittstelle einordnen, nicht als Ersatz für Spezialprüfung behandeln. |
Vom Geschäftsmodell zur passenden Spezialseite
Die Vorprüfung beginnt nicht mit einzelnen Gesetzen, sondern mit den Auslösern des Geschäftsmodells. Daraus entsteht die Route: Unternehmensart, Trigger, einschlägige Regime, Pflichtenfamilie und nächster Schritt.
- KI-Anbieter / KI-Nutzer
- Plattform / Marktplatz
- SaaS / Cloud / App
- IoT / vernetztes Produkt
- wichtiger oder kritischer Dienst
- KI-System im Produkt oder Prozess
- Nutzerinhalte oder Vermittlung
- Produktdaten oder Datenzugang
- Cloud-Wechsel oder Exit-Frage
- Security-, Sektor- oder Lieferkettenbezug
- AI Act
- Digital Services Act
- Data Act
- NIS2 / Cybersecurity
- DSGVO / CRA / Vertragsrecht
- Governance
- Transparenz
- Risikomanagement
- Datenzugang und Verträge
- Meldewege und Nachweise
- Pflichtenbild erstellen
- Schnittstellen priorisieren
- Spezialseite wählen
- Maßnahmenplan ableiten
- Verantwortlichkeiten festlegen
Welche Unternehmensart löst welche Digital-Acts-Prüfung aus?
Viele Unternehmen suchen nach einem einzelnen Gesetz. Die bessere erste Frage lautet: Welche Funktion erfüllt das Geschäftsmodell rechtlich?
| Unternehmensart | Typischer Trigger | Mögliche Regime | Erste Prüffrage | Nächste Zielseite |
|---|---|---|---|---|
| KI-Anbieter | KI-System wird entwickelt, bereitgestellt oder vertrieben. | AI Act, DSGVO, ggf. Data Act, Urheberrecht. | Welche Rolle, Risikoklasse, Zweckbestimmung und Dokumentationspflicht besteht? | AI-Act-Pflichten für Ihr Unternehmen prüfen |
| Unternehmen mit KI-Nutzung | KI wird in Prozessen, HR, Kundenkommunikation, Scoring, Content oder Support eingesetzt. | AI Act, DSGVO, Arbeitsrecht, Urheberrecht. | Welche Betreiberpflichten, Transparenz- und Governancepflichten entstehen? | KI-Einsatz im Unternehmen einordnen |
| Plattform / Marktplatz | Vermittlung, Nutzerinhalte, Händler, Bewertungen oder Beschwerdemechanismen. | DSA, DSGVO, Verbraucher- und Wettbewerbsrecht. | Welche Transparenz-, Melde-, Beschwerde- und Moderationspflichten gelten? | DSA-Pflichten für Plattformen klären |
| Hersteller vernetzter Produkte / IoT | Produkt generiert Nutzungs-, Betriebs- oder Produktdaten. | Data Act, DSGVO, CRA, Produktsicherheit. | Wer darf welche Daten nutzen, herausgeben oder beschränken? | Data-Act-Handlungsbedarf einordnen |
| SaaS-/Cloud-Anbieter | Digitale Dienste, Datenverarbeitung, IT-Sicherheit, Wechsel-/Exit-Fragen und Kundenverträge. | Data Act, DSGVO, NIS2, DSA je nach Modell, IT-Vertragsrecht. | Welche Daten-, Vertrags-, Sicherheits- und Rollenpflichten greifen? | IT- und Softwareverträge rechtlich strukturieren |
| Kritische oder wichtige Einrichtung | Sektor, Größe, Dienst, Ausnahmen, Konzern- oder Lieferkettenbezug. | NIS2, DSGVO, Cybersecurity, IT-Compliance. | Bestehen Registrierung, Risikomanagement, Meldewege und Geschäftsleitungspflichten? | NIS2-Umsetzungsbedarf prüfen |
| Werbe-, Marketing- und Content-Unternehmen | Tracking, Targeting, Influencer, Plattformnutzung, KI-Content oder Kampagnenautomatisierung. | DSGVO, DSA, AI Act, Wettbewerbsrecht, Urheberrecht. | Welche Freigaben, Kennzeichnungen, Rechteketten und Risikolinien sind nötig? | Marketing- und Plattformrisiken einordnen |
Welcher Auslöser führt zu welchem Regime?
| Trigger | Warum relevant? | Regime | Sofortmaßnahme | Spezialseite |
|---|---|---|---|---|
| KI-System wird eingesetzt | Rolle, Zweck, Risiko, Transparenz und menschliche Aufsicht können Pflichten auslösen. | AI Act, DSGVO, Urheberrecht. | KI-Use-Cases, Anbieter-/Betreiberrolle und Freigabeprozess erfassen. | AI-Act-Pflichten für Ihr Unternehmen prüfen |
| Nutzer können Inhalte hochladen | Hosting-, Plattform- oder Marktplatzfunktionen können DSA-Prozesse erforderlich machen. | DSA, DSGVO, Medien- und Wettbewerbsrecht. | Dienste-Typ, Meldewege und Moderationslogik bestimmen. | DSA-Pflichten für Plattformen klären |
| Daten entstehen aus vernetzten Produkten | Nutzer, Dritte und Geschäftspartner können Zugangs- und Nutzungsfragen auslösen. | Data Act, DSGVO, CRA, Vertragsrecht. | Datenarten, Zugriffsrechte, Geschäftsgeheimnisse und Vertragsposition mappen. | Data-Act-Handlungsbedarf einordnen |
| Unternehmen fällt in einen NIS2-Sektor | Sektor, Größe und Dienst können Pflichten für Management, Sicherheit und Meldungen auslösen. | NIS2, BSIG, DSGVO, Cybersecurity. | Betroffenheit, Einrichtungstyp, Registrierung und Meldekette prüfen. | NIS2-Umsetzungsbedarf prüfen |
| Cloud-/SaaS-Verträge enthalten Datenzugang oder Exit-Fragen | Datenportabilität, Wechselbedingungen, Nutzungsrechte und Kundenzugriff können relevant sein. | Data Act, DSGVO, IT-Vertragsrecht. | Vertragsklauseln, Rollen, SLA, Exit und Subdienstleister strukturieren. | IT- und Softwareverträge rechtlich strukturieren |
| Sicherheitsvorfälle müssen gemeldet werden | Meldewege müssen rechtlich, technisch und organisatorisch zusammenlaufen. | NIS2, CRA, DSGVO, Cybersecurity. | Incident-Kategorien, Zuständigkeiten und Eskalationswege festlegen. | Cybersecurity-Pflichten rechtlich bewerten |
| Werbung wird personalisiert ausgespielt | Targeting, Einwilligungen, Transparenz, Plattformregeln und KI-Content können zusammenwirken. | DSGVO, DSA, Wettbewerbsrecht, AI Act. | Tracking-Setup, Kennzeichnung, Plattformrollen und Freigaben prüfen. | Marketing-Compliance und Kampagnen prüfen |
| Produkt enthält digitale Komponenten | Software, vernetzte Hardware und digitale Elemente können Security-by-Design-Anforderungen auslösen. | CRA, Data Act, Produktsicherheit, DSGVO. | Produktlebenszyklus, Schwachstellenprozess und Datenzugang in die Roadmap aufnehmen. | Cybersecurity und Produktpflichten einordnen |
Was als erstes zu tun ist
| Lage | Sofortmaßnahme | Ergebnis | Zielseite / CTA |
|---|---|---|---|
| Priorisieren KI wird produktiv genutzt. | Rollen, Risikoklassen, Use Cases, Freigaben und Governance erfassen. | AI-Act-Pflichtenbild und Maßnahmenroute. | AI-Act-Pflichten für Ihr Unternehmen prüfen |
| Prüfen Produktdaten oder Nutzungsdaten sind Teil des Geschäftsmodells. | Datenarten, Zugriffsrechte, Verträge und Geschäftsgeheimnisse mappen. | Data-Act-Scope und erste Umsetzungsroute. | Data-Act-Handlungsbedarf einordnen |
| Dokumentieren Plattform, Marktplatz oder Vermittlungsdienst. | Dienste-Typ, Nutzerrollen, Meldewege und Transparenzpflichten prüfen. | DSA-Pflichtenbild mit operativen Lücken. | DSA-Pflichten für Plattformen klären |
| Umsetzen Cybersecurity- oder Sektorbezug. | NIS2-Betroffenheit, Risikomanagement und Meldewege prüfen. | NIS2-Roadmap mit Verantwortlichkeiten. | NIS2-Umsetzungsbedarf prüfen |
| Prüfen Enterprise-Kunden verlangen Digital-Compliance-Nachweise. | Regime-Scope, Vertragsposition, Policies und Nachweise bündeln. | Auditfähige Kurzlandkarte für Vertrieb, Legal und Management. | Digital-Regulatory-Audit vorbereiten |
Ein Geschäftsmodell kann mehrere Regime zugleich auslösen
Beispiel: Ein SaaS-Anbieter mit KI-Funktion, Nutzerdaten, Cloud-Verträgen und Enterprise-Kunden sollte nicht nur den AI Act prüfen. Maßgeblich ist der Regime-Stack.
- Welche Pflicht ist führend?
- Welche Schnittstelle blockiert die Umsetzung?
- Welche Maßnahme reduziert sofort das größte Risiko?
- Welche Spezialseite übernimmt die Vertiefung?
Vier Abgrenzungen, die frühe Fehlentscheidungen verhindern
AI Act ist nicht Datenschutzrecht.
KI-Pflichten können neben DSGVO-Pflichten stehen. Rollen, Risikoklassen und Governance sind eigenständig zu prüfen.
Data Act ist nicht nur Datenlizenzierung.
Es geht auch um Produktdaten, verbundene Dienste, Zugriff, Weitergabe, Cloud-Wechsel, Verträge und Schutzlinien.
NIS2 ist nicht nur IT-Sicherheit.
Geschäftsleitung, Risikomanagement, Meldewege, Lieferkette und Nachweise gehören in dieselbe Prüfung.
DSA ist nicht nur Plattform-AGB.
Operative Meldewege, Transparenz, Beschwerden, Moderation und Nutzerkommunikation sind zentral.
Vom Geschäftsmodell zur belastbaren Regulierungslandkarte
Geschäftsmodell erfassen
Dienste, Produkte, Nutzergruppen, Märkte, Rollen, Kundenanforderungen und Anlass der Prüfung aufnehmen.
Rollen und Datenflüsse prüfen
Anbieter, Betreiber, Plattform, Hersteller, Dateninhaber, Auftragsverarbeiter und Dienstleister trennen.
Regime-Trigger identifizieren
KI, Plattform, Datenzugang, Cloud, Security, Produktkomponente, Tracking und Lieferkette zuordnen.
Pflichtenbild erstellen
Je Regime festhalten, was vorrangig, offen, nachrangig oder vertieft zu prüfen ist.
Schnittstellen priorisieren
Zusammenhänge zwischen AI Act, DSGVO, Data Act, DSA, NIS2, CRA und Verträgen sichtbar machen.
Maßnahmenroute ableiten
Owner, Nachweise, Spezialseiten, Sofortmaßnahmen und Umsetzungsreihenfolge definieren.
Wenn ein Regime im Vordergrund steht, führt die Spezialseite weiter
Die Regulierungslandkarte entscheidet den Einstieg. Die Spezialseiten übernehmen die vertiefte Umsetzung einzelner Regime oder Schnittstellen.
Wo Unternehmen bei EU-Digitalgesetzen unnötig Risiko aufbauen
„Wir sind kein Big Tech, also betrifft uns das nicht.“
Das kann stimmen, ist aber als Annahme gefährlich. Einige Pflichten knüpfen nicht an Marktmacht an, sondern an Dienstetyp, Datenzugang, KI-Rolle, Produktfunktion, Sektor, Unternehmensgröße oder Sicherheitsbezug.
„Datenschutz prüft das schon mit.“
Datenschutz bleibt wichtig, ersetzt aber nicht Datenzugang, Plattformpflichten, KI-Klassifizierung, Cybersecurity-Governance, Produktanforderungen oder Vertragsfairness.
„Das ist ein reines IT-Thema.“
Technische Maßnahmen reichen nicht aus, wenn Rollen, Freigaben, Verträge, Informationspflichten, Nachweise, Managemententscheidungen und Eskalationswege fehlen.
„Wir prüfen das später im Rahmen der Umsetzung.“
Zu spät geprüft, können Pflichten Produktdesign, Kundenkommunikation, Vertragsverhandlung, Enterprise-Sales, Investorenprüfung oder Auditfähigkeit blockieren.
Welche Informationen die erste Prüfung deutlich stärker machen
Für eine erste Einordnung genügt oft eine strukturierte Beschreibung. Je besser Produkt, Daten, Rollen und Vertragssituation greifbar sind, desto schneller lässt sich der richtige Pfad bestimmen.
Geschäftsmodell
- Produkt- oder Servicebeschreibung
- Zielmärkte und Nutzergruppen
- Rolle als Anbieter, Betreiber, Plattform, Hersteller oder Dienstleister
Daten & Technik
- Datenarten und Datenflüsse
- KI-Komponenten und Automatisierung
- Cloud-, SaaS-, IoT- oder Schnittstellenlogik
Organisation & Verträge
- AGB, Kundenverträge, AVV oder DPA
- interne Policies, Freigaben und Zuständigkeiten
- Kunden-, Audit-, Investoren- oder Behördenfragen
Rechtliche Ausgangspunkte, die im Audit typischerweise mitlaufen
Die konkrete Prüfung erfolgt anhand des Geschäftsmodells. Als amtliche Ausgangspunkte sind insbesondere diese Quellen relevant:
Häufige Fragen zum EU Digital Acts Audit
Was sind die EU Digital Acts?
Gemeint sind zentrale EU-Regime für digitale Geschäftsmodelle, etwa AI Act, Data Act, Digital Services Act, Digital Markets Act, Cyber Resilience Act sowie angrenzende Datenschutz- und Cybersecurity-Pflichten. Für Unternehmen zählt vor allem, welche dieser Regime durch das eigene Geschäftsmodell ausgelöst werden.
Welche Unternehmen sollten ein Digital-Acts-Audit prüfen?
Besonders relevant ist eine Vorprüfung für SaaS- und Cloud-Anbieter, Plattformen, Marktplätze, KI-Anbieter, KI-Nutzer, IoT- und Produktanbieter, datengetriebene B2B-Modelle, E-Commerce, Agenturen, IT-Dienstleister und Unternehmen mit Security-, Daten- oder Enterprise-Sales-Bezug.
Was ist der Unterschied zwischen /digital-acts und den Spezialseiten?
/digital-acts klärt, welche Regime wahrscheinlich einschlägig sind und welche Maßnahme zuerst sinnvoll ist. Die Spezialseiten wie /ai-act-umsetzen, /data-act-umsetzen, /nis2-umsetzen und /dsa-umsetzen übernehmen die vertiefte Umsetzung eines einzelnen Regimes.
Kann ein Unternehmen von mehreren Digital Acts zugleich betroffen sein?
Ja. Ein SaaS-Anbieter mit KI-Funktion, Nutzerdaten, Cloud-Verträgen und Security-Bezug kann zugleich AI Act, DSGVO, Data Act, IT-Vertragsrecht und je nach Sektor NIS2 prüfen müssen. Genau diese Überschneidung ist der Hauptfall der Regulierungslandkarte.
Welche Unterlagen helfen für eine erste Prüfung?
Hilfreich sind Produktbeschreibung, Zielgruppen, Märkte, Datenflüsse, KI-Use-Cases, Plattformfunktionen, Cloud- und SaaS-Verträge, Sicherheitskonzept, vorhandene Policies sowie konkrete Kunden-, Investoren- oder Auditfragen.
Was ist der erste Schritt bei unklarer Betroffenheit?
Zuerst sollten Geschäftsmodell, Rollen und Trigger sortiert werden. Daraus entsteht eine Scope-Entscheidung: führendes Regime, Schnittstellen, offene Punkte, Sofortmaßnahme und passende Spezialroute.
Warum reicht es nicht, nur den AI Act oder nur den Data Act zu prüfen?
Viele digitale Modelle verbinden KI, Daten, Verträge, Plattformfunktionen, Datenschutz und Security. Eine isolierte Prüfung kann wichtige Schnittstellen übersehen, etwa Datenflüsse bei KI, Vertragsrechte beim Data Act oder Meldewege bei NIS2.
Digital-Acts-Betroffenheit nicht raten, sondern strukturiert prüfen
Wenn mehrere EU-Digitalregime im Raum stehen, sollte die erste Entscheidung nicht lauten: „Wir setzen alles parallel um.“ Besser ist eine belastbare Regulierungslandkarte: Was greift wahrscheinlich, was ist nachrangig, welche Schnittstellen sind kritisch und welche Spezialroute ist wirtschaftlich sinnvoll?
Hilfreich für die Anfrage: Produkt- oder Servicebeschreibung, betroffene Märkte, Datenflüsse, KI- oder Plattformfunktionen, vorhandene Verträge und der konkrete Anlass der Prüfung.