Die Compliance-Plattform für den Mittelstand

KI-GesetzDSGVOHinSchGGoBDBFSGWebsite

KI-Gesetz, DSGVO, HinSchG, GoBD, BFSG und Website-Compliance in einer Plattform. Mit geführten Workflows und fertigem Audit-Trail.

Wir melden uns, sobald ein Demo-Zugang frei wird.

app.clairo.de
Compliance-Übersicht6 AKTIVE MODULE
KI-Gesetz (EU AI Act)Art. 4, 50
82 %
DSGVOArt. 30
65 %
HinSchG§ 12
91 %
GoBDRz. 151
74 %
BFSG§ 3
58 %
WebsiteTTDSG
88 %
Gesamt-Score
74 %
3 Fristen bald

EU AI Act: Fristen und Bußgelder

Feb. 2025

KI-Verbote und Schulungspflichten gelten seit Februar 2025

Aug. 2026

Hochrisiko-Pflichten treten in Kraft. Noch 4 Monate.

35 Mio. €

Maximalbuße nach EU AI Act, alternativ 7 % des Jahresumsatzes

Das Problem

Compliance ist komplex geworden. Der Mittelstand steht ohne Werkzeuge da.

Mittelständische Unternehmen stehen heute vor einem Flickenteppich aus Vorschriften, teuren Beratern und Werkzeugen, die nur für Konzerne gebaut wurden.

Regulierungswelle

EU AI Act, DSGVO, HinSchG, GoBD, BFSG, TDDDG. Jede mit eigenen Fristen, Pflichten und Bußgeldern. Kein KMU kann das allein überblicken.

Ich weiß nicht mal, welche Gesetze für uns relevant sind.

Kein KMU-Werkzeug

Enterprise-Compliance-Software kostet 50.000 €/Jahr und setzt eine eigene Rechtsabteilung voraus. Tabellenkalkulationen und PDF-Checklisten skalieren nicht.

Die Tools sind alle für Konzerne gebaut, nicht für uns.

Beraterkosten explodieren

Externe DSBs, Rechtsanwälte, KI-Act-Berater. Jeder ein Silo, jeder teuer. Ohne internes Werkzeug fehlt die Grundlage für jedes Beratungsgespräch.

Wir zahlen Stundensätze für Dinge, die eine Software tun könnte.

Die Module

Sechs Module. Ein Compliance-System.

Sechs spezialisierte Module mit gemeinsamem Prüfpfad, automatischer Propagierung zwischen Modulen und einheitlichem Meldewesen.

EU AI Act · KI-MIG
KI-Gesetz & AI Act
Verfügbar

Vollständige EU AI Act Compliance in einem Workflow: KI-Inventar, automatische Risikoklassifizierung über die 6-stufige Pipeline, FRIA-Lebenszyklen, Transparenzpflichten und KI-Literacy-Tracking für alle Mitarbeitenden.

KI-System-Inventar mit CSV-Import und Lifecycle-Tracking
Deterministischer 6-Stufen-Risikoklassifizierungs-Workflow (Verbotsprüfung → Hochrisiko → GPAI)
FRIA-Folgenabschätzung mit Fragebogen, Versionierung und PDF-Export
Transparenzpflichten nach Art. 50: automatisch aus Klassifizierung zugewiesen
KI-Literacy (Art. 4): Mitarbeiter-Tracking, Zertifikate, Lernpfade
Einheitliche Vorfallmeldung mit Provider- und Behördenbenachrichtigung
Betriebsrats-Informationspflichten: Benachrichtigungsvorlagen und Bestätigungs-Tracking
Compliance-Aufgaben: automatisch aus Klassifizierung generiert
Provider-Compliance-Checkliste (CE-Kennzeichnung, Konformitätserklärung)
Vollständige Deployer-Pflichten für Hochrisiko-KI (Art. 26)
Rechtsgrundlagen
Art. 5Verbotene KI-Praktiken (8 Kategorien)
Art. 4KI-Kompetenz / Literacy-Pflicht
Anhang IIIHochrisiko-KI-Systeme (Liste)
Art. 50Transparenzpflichten
§ 15 KI-MIGBußgeldvorschriften
Durchsetzungsfristen
Verbote & LiteracyFeb. 2025 ✓
Hochrisiko-Pflichten (Anhang III)Aug. 2026
GPAI-Modell-AnforderungenAug. 2025

Die Vernetzung

Module, die sich gegenseitig verstehen.

Ein Ereignis in einem Modul löst automatisch die daraus entstehenden Pflichten im anderen aus. Ihr Team muss die Verbindungen nicht per Hand ziehen.

Schlüsselkonzept

Ein Vorfall, mehrere Meldepflichten

Eine einzige KI-Datenpanne löst heute simultane Meldepflichten nach EU AI Act, DSGVO und möglicherweise HinSchG aus, mit unterschiedlichen Fristen und Adressaten. Clairo verwaltet alle Stränge in einem einzigen Incident-Workflow.

  1. 1

    Auslöser

    Datenpanne in KI-System erkannt

  2. 2

    Automatisch geöffnet

    Datenpannen-Meldung (Art. 33 DSGVO): 72h-Frist startet sofort

  3. 3

    Parallel geöffnet

    AI Act Incident Report (Art. 73): Marktüberwachung

  4. 4

    Gemeinsamer Prüfpfad

    Alle Maßnahmen, Fristen und Nachweise in einem Audit Trail, GoBD-konform

KI-System registriert → VVT-Entwurf automatisch erstellt

Sobald ein neues KI-System im Inventar angelegt wird, das personenbezogene Daten verarbeitet, erstellt Clairo automatisch einen Verarbeitungsverzeichnis-Entwurf (Art. 30 DSGVO) mit den bekannten Feldern vorausgefüllt.

KI-InventarVVTDSFA-Prüfung

Stunden manuelle Arbeit eliminiert, keine vergessenen Einträge

Ein Audit Trail für alle Vorschriften

Der gemeinsame, unveränderliche Prüfpfad gilt für alle Module. Steuerprüfer, Datenschutzbehörde und KI-Marktüberwachung erhalten auf Knopfdruck den relevanten Ausschnitt, im richtigen Format, GoBD-konform archiviert.

DSGVOKI-GesetzGoBD

Ein Export, jede Prüfbehörde bedient

Scan erkennt Tracker → VVT und Datenschutzhinweis sofort aktualisiert

Der Website-Scanner findet einen neuen Analyse-Tracker. Clairo flaggt den fehlenden VVT-Eintrag und schlägt vor, den Datenschutzhinweis zu aktualisieren, mit den gefundenen Daten vorausgefüllt.

Website-ScannerVVTDatenschutzhinweis

Kein Datenschutzverstoß durch veraltete Hinweise

KI-Compliance-Verstoß gemeldet → AI Act Incident geöffnet

Ein Hinweisgeber meldet einen mutmaßlichen KI-Verstoß über das anonyme Meldesystem. Clairo erstellt automatisch einen AI Act Incident-Entwurf und verknüpft den Fall (ohne Identität freizugeben) mit dem KI-Inventar.

HinSchG-MeldungAI Act IncidentKI-Inventar

Whistleblower-Schutz und Regulierungspflicht in einem Workflow

Verknüpfte Entitäten

KI-Systeme, Verarbeitungstätigkeiten, Datenschutzhinweise und Einwilligungen sind automatisch querverlinkt. Änderungen propagieren sofort.

Automatische Propagierung

17 automatische Scheduler generieren Compliance-Aufgaben aus Klassifizierungen, Fristen und Ereignissen. Ohne manuelle Konfiguration.

Einheitliches Meldewesen

Ein Vorfall, alle relevanten Meldepflichten in einem Workflow. Unabhängige Fristen, gemeinsamer Nachweis, ein Export für alle Behörden.

Regulatorischer Fahrplan

Die Pflichten kommen schrittweise. Clairo auch.

Jeder regulatorische Meilenstein hat sein Modul. Clairo wächst mit den Pflichten.

  1. Mai 2018Bereits in Kraft

    DSGVO: Datenschutz-Grundverordnung tritt in Kraft

    Die Datenschutz-Grundverordnung ist seit dem 25. Mai 2018 anwendbar. Verarbeitungsverzeichnis, DPIA, Betroffenenrechte, Datenpannen-Meldepflicht: die Anforderungen sind komplex und die Aufsichtsbehörden aktiver denn je.

    DSGVO-ModulVVT (Art. 30)DSR-WorkflowsDSFA / TOM
  2. Dez 2023Bereits in Kraft

    HinSchG: Hinweisgeberschutz ab 50 Mitarbeitenden

    Das Hinweisgeberschutzgesetz verpflichtet Unternehmen ab 50 Mitarbeitenden zur Einrichtung einer internen Meldestelle. 7-Tage-Eingangsbestätigung und 3-Monats-Rückmeldepflicht gelten.

    HinSchG-ModulAnonymes MeldesystemFallmanagement
  3. Feb 2025Bereits in Kraft

    EU AI Act: Verbotene Praktiken & KI-Kompetenz (Art. 5 + 4)

    Art. 5 verbietet manipulative und diskriminierende KI-Systeme. Art. 4 verpflichtet alle Anbieter und Betreiber zur Sicherstellung von KI-Kompetenz ihrer Mitarbeitenden.

    KI-GesetzVerbots-Screening (Art. 5)KI-Kompetenz-Tracking
  4. Jun 2025Bereits in Kraft

    BFSG: Barrierefreiheitspflichten für neue Produkte

    Das Barrierefreiheitsstärkungsgesetz ist seit dem 28. Juni 2025 für neue Produkte und Dienstleistungen verbindlich. Websites, Apps und Self-Service-Kioske müssen die Anforderungen der EN 301 549 erfüllen.

    BFSG-ModulWebsite-ScannerWCAG-Checkliste
  5. Aug 2025Bereits in Kraft

    EU AI Act: GPAI-Modell-Anforderungen gelten

    Seit August 2025 gelten die Pflichten für Anbieter von Allzweck-KI-Modellen (GPAI). Technische Dokumentation, Transparenzpflichten und Urheberrechtskonformität sind verpflichtend.

    KI-GesetzGPAI-PflichtenTransparenz
  6. Dez 2025Bereits in Kraft

    NIS2UmsuCG: Cybersecurity-Pflichten für ~29.500 Unternehmen

    Das NIS-2-Umsetzungsgesetz bringt erweiterte Cybersicherheitspflichten für KRITIS-nahe Unternehmen in 18 Sektoren. Registrierungspflicht bei BSI, Meldepflichten und Mindest-Sicherheitsmaßnahmen.

    NIS2BSI-RegistrierungIncident Reporting
  7. Aug 2026Frist in 4 Monaten

    EU AI Act: Hochrisiko-Pflichten (Annex III)

    Ab August 2026 gelten die Vollpflichten für Hochrisiko-KI-Systeme gemäß Annex III: technische Dokumentation, Konformitätsbewertung, Registrierung in der EU-Datenbank und laufende Überwachungspflichten für Betreiber.

    Hochrisiko-KIFRIA-LifecycleProvider-ComplianceAudit-Trail
  8. Aug 2027Frist in 16 Monaten

    EU AI Act: Hochrisiko-Pflichten für Annex I erweitern sich

    Ab August 2027 gelten die Hochrisiko-Pflichten auch für KI-Systeme in Produkten nach Annex I (Maschinenverordnung, Spielzeug, Medizinprodukte u.a.). Vollständige Produkthaftungspflichten treten in Kraft.

    Hochrisiko-KI Annex IProdukthaftungKonformitätsbewertung

Für wen ist Clairo

Für die Menschen, die Compliance wirklich tragen

Technik, Datenschutz, Geschäftsführung, Beratung. Clairo adressiert das konkrete Problem jeder Rolle.

CTO / IT-Leiter

Technischer Überblick über alle KI-Systeme

Ich brauche einen zentralen Überblick über alle KI-Systeme im Unternehmen und deren regulatorisches Risiko, ohne jeden Fachbereich einzeln abfragen zu müssen.
KI-InventarRisikoclassifierBulk-Import
Compliance Officer / DSB

Mehrere Verordnungen, eine Plattform

Ich manage gleichzeitig AI Act, DSGVO, HinSchG und GoBD. In separaten Excel-Tabellen verliere ich den Überblick. Ich brauche ein System, das die Querverbindungen automatisch erkennt.
Cross-RegulationVVTPrüfpfad
Geschäftsführer / CEO

Sicherheit ohne Detailwissen

Ich will zu jeder Zeit wissen, dass wir compliant sind, ohne selbst jede Verordnung lesen zu müssen. Und wenn es Probleme gibt, will ich rechtzeitig informiert werden.
Compliance-ScoreExecutive ViewFrühwarnungen
DSB-Kanzlei / Berater

Mandantenverwaltung auf Knopfdruck

Ich betreue acht Mandanten gleichzeitig. Ich brauche eine zentrale Plattform, über die ich deren Compliance-Status einsehen, Berichte exportieren und Fristen überwachen kann.
Multi-MandantPDF-ExportBald verfügbar

Warum Clairo

Der ehrliche Vergleich

Was andere Ansätze kosten: in Euro, Zeit und Risiko.

Der ehrliche
KriteriumClairoEnterprise-ToolGRC-SoftwareKanzleiextern / DSBEigenregieExcel, WordNichts tun
Kosten
KMU-freundlich
Sehr hoch
Hoch / stundenweise
Gering, aber versteckt
Bußgeld-Risiko
Zeitaufwand Setup
Stunden
Monate
Wochen
Endlos
Kein Setup
Regulierungsabdeckung
6 Module
2–3 Themen
Abhängig von Kanzlei
Manuell, unvollständig
Keine
Automatisierung
Hoch
Mittel
Keine
Keine
Keine
Audit-Sicherheit
Prüfpfad, PDF-Export
Ja
Berichte auf Anfrage
Fragwürdig
Nicht vorhanden
KMU-tauglich
Gebaut für KMU
Konzernfokus
Bedingt
Theoretisch ja
Kein Tool
Cross-Regulation
Automatisch verknüpft
Meist isoliert
Manuell
Nicht möglich
Nicht vorhanden

Enterprise-Tool-Angaben basieren auf öffentlich verfügbaren Preisstrukturen und Nutzerberichten. Kanzleikosten variieren stark nach Umfang und Region.

Preise

Faire Preise, modularer Aufbau.

Zahlen Sie nur für das, was Sie nutzen. Keine versteckten Onboarding-Gebühren, kein Konzernvertrag.

Starter

49/ Monat

Für Einzelunternehmen und Start-ups

  • 1 Unternehmen / Mandant
  • Bis zu 3 Module aktiv
  • Verarbeitungsverzeichnis (DSGVO)
  • KI-Inventar (bis 10 Systeme)
  • PDF-Exporte
  • E-Mail-Support
DSGVOKI-Gesetz+1 frei wählbar
Zur Warteliste
Empfohlen

Professional

149/ Monat

Alle Module inklusive, ohne Aufpreis

  • 1 Unternehmen
  • Alle 6 Module aktiv
  • Unbegrenzte KI-Systeme
  • Website-Compliance-Scanner
  • Modulübergreifende Verknüpfung
  • Manipulationssichere Prüfpfade
  • Priorisierter Support
DSGVOKI-GesetzHinSchGGoBDBFSGWebsite
Demo anfragen

Enterprise

Auf Anfrage

Für größere Organisationen mit mehreren Einheiten

  • Mehrere Unternehmensbereiche
  • SSO / SAML-Integration
  • Erweiterte Benutzerrollen
  • SLA nach Absprache
  • Persönlicher Ansprechpartner
  • On-Premise-Option auf Anfrage
Alle Module
Kontakt aufnehmen

Alle Preise zzgl. MwSt. Jährliche Abrechnung spart 2 Monate.

Warum wir anders sind

Entwickelt für deutsche und europäische Regulierung

Clairo nimmt deutsches Recht als Ausgangspunkt, nicht als Anhang. Module, Vorlagen und Workflows folgen dem Gesetzestext statt einem US-Playbook.

Deutsch als Produktsprache

Oberflächen, Vorlagen und rechtliche Texte werden zuerst auf Deutsch geschrieben, dann übersetzt. Regulatorische Formulierungen bleiben eindeutig.

EU-Daten, Hosting in Frankfurt

Ihre Compliance-Daten verlassen die EU nicht. Gehostet auf Neon (ISO-27001) in Frankfurt am Main.

In Stunden eingerichtet

Kein dreimonatiges Onboarding-Projekt. KI-Inventar per CSV-Import, DSGVO-Verarbeitungsverzeichnis aus der Vorlagenbibliothek.

KMU-Preise ohne Funktionsverlust

Kein Konzernbudget erforderlich. Die Module decken dasselbe Feld ab wie Enterprise-Tools, preislich zugeschnitten auf 50 bis 500 Mitarbeitende.

Module, die gemeinsam denken

Ein KI-System-Vorfall im AI-Act-Modul wird automatisch als DSGVO-Datenpanne bewertet. Eine Betroffenenanfrage löst ein TOM-Review aus. Compliance bleibt verknüpft.

Audit-sichere Exporte

Unveränderliche Versionierung, Zeitstempel und Audit-Trails für alle Dokumente. PDF-Exporte mit Metadaten für Behörden, Wirtschaftsprüfer und interne Kontrollen.

Häufige Fragen

Was Sie wissen sollten

Nicht dabei? Schreiben Sie uns. Wir antworten innerhalb von 24 Stunden.

Clairo deckt zum Launch sechs Module ab: EU AI Act / KI-MIG (mit vollständiger Risikoklassifizierung, FRIA und Transparenzpflichten), DSGVO / BDSG / TDDDG (VVT, DSR, DSFA, AVV, TOM und mehr), HinSchG (internes Hinweisgebersystem), GoBD (Verfahrensdokumentation und digitale Archivierung), BFSG (Barrierefreiheit) sowie einen Website-Compliance-Scanner. Weitere Verordnungen (NIS2, CSRD) sind in Planung.
Ja. Im Starter-Tarif wählen Sie bis zu drei Module frei. Der Professional-Tarif enthält alle sechs Module und profitiert zusätzlich von der modulübergreifenden Verknüpfung, die Module automatisch miteinander verbindet. Sie können Module jederzeit hinzufügen oder deaktivieren, ohne Daten zu verlieren.
Die Preise werden kurz vor dem offiziellen Launch bekannt gegeben. Wer sich jetzt auf die Warteliste einträgt, erhält einen dauerhaften Frühzugangs-Rabatt und wird zum Launch benachrichtigt. Keine Kreditkarte, keine Verpflichtung.
Alle Daten werden ausschließlich in der EU gespeichert, bei Neon (ISO-27001-zertifiziert) in Frankfurt am Main. Clairo verarbeitet keine Daten in Drittländern. Wir schließen mit jedem Kunden einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab. Auf Anfrage steht eine Datenschutz-Folgenabschätzung (DSFA) für Clairo selbst zur Verfügung.
Zum Launch ist Deutsch die primäre Sprache der Plattform. Eine englische Oberfläche ist für Q3 2026 geplant. Da sich Clairo primär an Unternehmen in Deutschland, Österreich und der Schweiz richtet, liegt der Fokus bewusst auf einer erstklassigen deutschen Nutzererfahrung. Ohne Abstriche durch parallele Lokalisierung.
Die meisten Nutzer sind innerhalb von 2–4 Stunden produktiv. Das KI-Inventar lässt sich per CSV-Import befüllen, das DSGVO-Verarbeitungsverzeichnis über eine geführte Vorlagenbibliothek aufbauen. Ein dedizierter Onboarding-Guide führt durch die ersten Schritte für jedes Modul. Für den Professional-Tarif bieten wir ein optionales 60-minütiges Onboarding-Gespräch an.
Zum Launch bietet Clairo CSV-Import/-Export für alle Module sowie standardisierte PDF-Exporte für Behörden und Wirtschaftsprüfer. Eine REST-API für Systemintegrationen (HR-Systeme, ITSM-Tools, SIEM) ist für den Enterprise-Tarif in Planung. Wenn Sie eine spezifische Integration benötigen, sprechen Sie uns frühzeitig an. Wir priorisieren auf Basis der Nachfrage.
Nach der Kündigung haben Sie 30 Tage Lesezugriff, um alle Daten zu exportieren. Auf Wunsch exportieren wir Ihr gesamtes Compliance-Archiv als ZIP mit PDF und CSV. Ihre Daten werden nach Ablauf der gesetzlichen Aufbewahrungsfristen sicher gelöscht und nicht an Dritte weitergegeben.

Demo anfragen

Die Plattform ausprobieren.

Tragen Sie sich ein, und wir melden uns, sobald ein Demo-Zugang frei wird. Kein Abo, keine Verpflichtung.

Diese Seite ist eine studentische Fallstudie. Alle Preise sind illustrativ.

KI-Gesetz (EU AI Act)DSGVO / BDSGHinSchGGoBDBFSGWebsite-Scanner