Kantyra Kantyra

← Alle artikelen

Algemeen

Wie wird Compliance-Management zu nachweisbarer Kontrolle?

Alain Rees · 11-07-2026 · 12 min leestijd

Wie Sie Anforderungen aus Gesetzen, Normen und Verträgen in ein funktionierendes Ganzes übersetzen

Compliance-Management hat bei vielen Fachleuten ein verstaubtes Image. Es weckt Bilder von abzuhakenden Listen, dem Sammeln von Nachweisen und dem Zufriedenstellen des Auditors. Dieses Bild wird dem Fachgebiet nicht gerecht. Gut aufgesetztes Compliance-Management ist der Prozess, der externe und interne Anforderungen in konkrete Maßnahmen übersetzt und anschließend nachweisbar macht, dass diese Maßnahmen wirken. Der Unterschied zwischen einer Organisation, die jedes Jahr aufs Neue in Panik Nachweise zusammensucht, und einer Organisation, die Audits routinemäßig durchläuft, liegt fast vollständig in diesem Prozess. In diesem Artikel lesen Sie, wie Sie Compliance-Management für Informationssicherheit und Datenschutz aufsetzen und wie Sie die KI-Verordnung von Anfang an darin berücksichtigen.

Kurz gefasst

  • Compliance-Management übersetzt Anforderungen aus Gesetzgebung, Normen, Verträgen und eigenen Richtlinien in Maßnahmen und macht deren Wirksamkeit nachweisbar.
  • Compliant ist nicht dasselbe wie sicher: Compliance ist regelgesteuert, Sicherheit ist risikogesteuert, und beide Prozesse müssen sich gegenseitig speisen.
  • Der Prozess umfasst fünf Schritte: Anforderungsregister, Anwendbarkeitsanalyse, Übersetzung in Maßnahmen, Überwachen und Messen sowie Berichten und Nachsteuern.
  • Ein gemeinsamer Maßnahmensatz, der alle Rahmenwerke bedient, verhindert, dass Sie dieselbe Arbeit dreimal machen.
  • Der Compliance-Prozess fällt mit den vier Phasen des Kantyra-Modells zusammen: Erkennen, Beurteilen, Lösen und Nachweisen.

Compliant ist nicht dasselbe wie sicher

Vorab ist eine Warnung nötig: Compliance und Sicherheit überschneiden sich stark, fallen aber nicht zusammen. Compliance ist regelgesteuert, denn Sie erfüllen eine Anforderung, die jemand anderes formuliert hat. Sicherheit ist risikogesteuert, denn Sie beherrschen eine Bedrohung, die für Ihre Organisation relevant ist. Eine Organisation kann alle formalen Anforderungen erfüllen und dennoch verwundbar sein, etwa weil die Anforderungen hinter dem Bedrohungsbild zurückbleiben oder weil Maßnahmen auf dem Papier bestehen, in der Praxis aber nicht wirken. Umgekehrt kann eine gut gesicherte Organisation dennoch ein Compliance-Problem haben, weil sie ihre Beherrschung nicht nachweisen kann.

Die praktische Schlussfolgerung lautet, dass Compliance-Management niemals an die Stelle des Risikomanagements treten darf, sondern dass sich beide Prozesse gegenseitig speisen müssen. Gesetzliche Anforderungen bilden die Untergrenze und den Rahmen, während die Risikoanalyse bestimmt, was Ihre Organisation darüber hinaus benötigt.

Das Spielfeld und die Anforderungen, die auf Sie zukommen

Für Informationssicherheit und Datenschutz kommen die Anforderungen aus vier Richtungen. Die erste Quelle ist die Gesetzgebung. Die DSGVO regelt die Verarbeitung personenbezogener Daten und gilt für nahezu jede Organisation. NIS2, die EU-Richtlinie (EU) 2022/2555, in Deutschland umgesetzt durch das NIS-2-Umsetzungsgesetz (das das BSIG ändert, zuständige Behörde ist das BSI) und in Österreich durch das NISG, legt Organisationen in essenziellen und wichtigen Sektoren eine Sorgfaltspflicht, eine Meldepflicht und eine Registrierungspflicht auf, mit einer ausdrücklichen Verantwortung der Leitungsorgane. Für den Finanzsektor kommt DORA hinzu, und Sektoren wie das Gesundheitswesen und die öffentliche Verwaltung kennen eigene Rahmenwerke.

Die zweite Quelle sind Normen, die Sie freiwillig oder vertraglich übernehmen, mit ISO 27001 als bekanntestem Beispiel. Formal ist eine Zertifizierung keine gesetzliche Pflicht, doch sobald Kunden danach fragen oder Sie sie in Verträgen zusagen, ist die Wirkung dieselbe. Die dritte Quelle sind die Verträge selbst, etwa Auftragsverarbeitungsverträge, Sicherheitsanhänge zu Beschaffungsverträgen und Anschlussbedingungen von Partnern in der Lieferkette. Die vierte Quelle ist die interne Richtlinienlage, denn auch Ihre eigenen Richtlinien sind Anforderungen, die Sie nachweisbar erfüllen müssen.

Und dann ist da die KI-Verordnung, der europäische AI Act, der schrittweise in Kraft tritt. Für die meisten Organisationen ist der Einfluss vorerst begrenzt, aber nicht null. Die Pflicht, für ausreichende KI-Kompetenz bei den Mitarbeitenden zu sorgen, gilt bereits, und wer KI-Systeme einsetzt, muss wissen, in welche Risikokategorie diese fallen. Die Lehre aus zwanzig Jahren Datenschutzgesetzgebung ist, dass man solche Verordnungen nicht erst dann angehen sollte, wenn die letzte Frist naht. Nehmen Sie KI-Systeme deshalb schon jetzt in Ihr Verarbeitungsverzeichnis und Ihre Übersicht der Unternehmenswerte auf, dann wächst der AI Act später in Ihren bestehenden Compliance-Prozess hinein, statt zu einem separaten Vorhaben zu werden. In Kantyra hat das einen eigenen Platz: Das KI-Modul enthält ein KI-Register, in dem jedes System seine Rolle, Risikokategorie und menschliche Aufsicht hat, verknüpft mit dem Lieferanten, dem Unternehmenswert und der Verarbeitung.

Der Compliance-Prozess in fünf Schritten

Compliance-Management ist ein zyklischer Prozess und kein jährliches Ereignis. Im Kern besteht es aus fünf Schritten.

Der erste Schritt ist das Anforderungsregister. Bringen Sie alle relevanten Gesetze und Vorschriften, Normen, Verträge und Richtliniendokumente in einem Register zusammen, mit dem Eigentümer, der Anwendbarkeit und den wichtigsten Verpflichtungen je Quelle. Dieses Register ist das Fundament für alles, was folgt. Viele Organisationen überspringen diesen Schritt und arbeiten Rahmenwerk für Rahmenwerk getrennt voneinander, und genau dort entstehen Doppelarbeit und blinde Flecken. In Kantyra ist das Compliance-Register dieser eine Ort: Die Rahmenwerke für NIS2, die DSGVO, ISO 27701, die KI-Verordnung und ISO/IEC 42001 sind eingebaut, und eigene Rahmenwerke wie Vertragsanforderungen oder interne Richtlinien erfassen Sie oder importieren sie aus Excel, woraufhin sie im selben Register mitlaufen. Jede Anforderung hat dabei einen Status, einen Eigentümer und eine Erläuterung.

Der zweite Schritt ist die Anwendbarkeitsanalyse. Nicht jede Anforderung gilt für jede Organisation oder jedes System. Unter NIS2 ist die erste Frage, ob Ihre Organisation überhaupt unter das Gesetz fällt, und wenn ja, ob als essenzielle oder als wichtige Einrichtung. Unter der DSGVO bestimmt die Rolle als Verantwortlicher oder Auftragsverarbeiter, welche Pflichten auf Ihnen ruhen. Unter der KI-Verordnung bestimmt die Risikokategorie eines Systems das Regime. Halten Sie diese Analysen einschließlich der Begründung fest, denn auch die Entscheidung, dass etwas nicht anwendbar ist, müssen Sie später verantworten können. In Kantyra markieren Sie eine Anforderung mit einer Erläuterung als nicht anwendbar, und für die NIS2-Frage selbst enthält die Plattform eine Selbstbewertung, die die Sorgfaltspflicht, die Meldepflicht und die Registrierungspflicht durchgeht. Für KI-Systeme gibt es eine eigene Risikoklassifizierung, die je System die verbotenen Praktiken, das hohe Risiko und die Transparenzpflichten prüft.

Der dritte Schritt ist die Übersetzung in Maßnahmen. Hier geschieht die eigentliche Arbeit, denn jede anwendbare Anforderung wird mit einer oder mehreren konkreten Maßnahmen verknüpft, mit einem Eigentümer und einem Umsetzungsstatus. Der klügste Ansatz ist ein gemeinsames Maßnahmenrahmenwerk. Die DSGVO verlangt geeignete technische und organisatorische Maßnahmen, NIS2 Risikomanagementmaßnahmen und ISO 27001 die Maßnahmen aus Anhang A, und diese drei Sammlungen überschneiden sich zum größten Teil. Wer einen einzigen Maßnahmensatz pflegt und jede Maßnahme mit allen Rahmenwerken verknüpft, die sie abdeckt, weist mit einem einzigen Nachweis die Einhaltung gegenüber mehreren Aufsichtsbehörden und Auditoren nach. Wer je Rahmenwerk eine eigene Liste führt, macht dieselbe Arbeit dreimal. Kantyra ist genau so gebaut: Eine Maßnahme verknüpfen Sie gleichzeitig mit Anforderungen aus mehreren Rahmenwerken und mit den Anhang-A-Maßnahmen von ISO 27001, sodass das gemeinsame Rahmenwerk die Standardarbeitsweise ist statt eines bloßen Anspruchs.

Der vierte Schritt ist Überwachen und Messen. Eine Maßnahme, die Sie umgesetzt, aber nie überprüfen, erschlafft unbemerkt. Legen Sie je Maßnahme fest, wie Sie die Wirksamkeit feststellen, etwa über automatisierte Kontrollen, Stichproben, interne Audits oder Managementberichte. Halten Sie den Nachweis in dem Moment fest, in dem er entsteht, und nicht im Nachhinein; Nachweisbarkeit ist eine Eigenschaft Ihrer täglichen Prozesse, und wer sie im Nachhinein als Archivprojekt organisiert, ist zu spät dran. In Kantyra hängt der Nachweis deshalb direkt am Objekt selbst: Nachweise (eine Datei oder ein Verweis) verknüpfen Sie mit einer Anforderung, einer Maßnahme oder einer Feststellung, und jede Maßnahme hat einen Wirksamkeitstest mit einem geplanten Datum, der als Aufgabe wiederkehrt, sobald er näher rückt.

Der fünfte Schritt ist Berichten und Nachsteuern. Abweichungen erhalten einen Eigentümer, eine Behebungsfrist und, wo nötig, ein formell akzeptiertes Restrisiko. Das aggregierte Bild geht regelmäßig an die Geschäftsleitung, die unter NIS2 schließlich selbst für die Aufsicht über das Risikomanagement verantwortlich ist und sich aktiv über Risiken, Maßnahmen und Vorfälle informieren lassen muss. Änderungen in Gesetzen und Vorschriften speisen das Anforderungsregister, und damit beginnt der Zyklus von Neuem. In Kantyra landen Abweichungen im Feststellungsregister, mit Quelle, Schweregrad, Bearbeiter und Frist (Auditberichte importieren Sie bei Bedarf in einem Zug), ein formell akzeptiertes Restrisiko läuft über das Ausnahmenregister mit Vier-Augen-Genehmigung, und das Compliance-Register zeigt je Rahmenwerk den Fortschritt.

Rollen und Verantwortlichkeiten

Compliance-Management berührt mehrere Funktionen, und gerade deshalb braucht es eine klare Rollenverteilung. Die Linie ist und bleibt Eigentümerin der Einhaltung innerhalb des eigenen Prozesses, so wie die Linie Eigentümerin der Risiken ist. Die Compliance-Funktion, der CISO und der zentrale Datenschutzkoordinator bilden gemeinsam die zweite Linie. Sie übersetzen Anforderungen, prüfen die Einhaltung und beraten, übernehmen die Verantwortung aber nicht. Der Datenschutzbeauftragte hat darüber hinaus eine gesetzlich verankerte, unabhängige Aufsichtsrolle über die Einhaltung der DSGVO. Die interne Revision bildet die dritte Linie und gibt unabhängige Sicherheit über das Ganze.

In kleineren Organisationen fallen diese Rollen teilweise in einer Person zusammen. Das ist praktikabel, solange die Organisation sich der verschiedenen Hüte bewusst bleibt. Wer die Maßnahmen entwirft, kann nicht zugleich derjenige sein, der als Einziger ihre Wirksamkeit beurteilt.

Wo sitzt Compliance-Management im Kantyra-Modell?

Wie das Risikomanagement lässt sich Compliance-Management nicht in einer einzigen Phase des Kantyra-Modells fassen: Es ist der Zyklus des Modells, angewandt auf Anforderungen statt auf Risiken. Die fünf Schritte verteilen sich wie folgt auf die vier Phasen.

Das Anforderungsregister und die Anwendbarkeitsanalyse sind die Phase Beurteilen: Sie bestimmen, welche Rahmenwerke und Anforderungen für Sie gelten und wo Sie stehen, etwa mit der NIS2-Selbstbewertung. Die Übersetzung in Maßnahmen ist die Phase Lösen: ein Maßnahmensatz, der alle Rahmenwerke abdeckt. Das Überwachen und Messen ist die Phase Erkennen: Wirksamkeitstests, Abweichungen und neue Gesetze und Vorschriften speisen das Register. Und das Berichten und die Nachweisführung bilden die Phase Nachweisen: der Nachweis je Anforderung und je Maßnahme, der Fortschritt je Rahmenwerk und das Bild für die Geschäftsleitung und den Auditor.

Der Compliance-Prozess neben den vier Phasen des Kantyra-Modells: Überwachen und Messen gehört zu Erkennen, Anforderungen und Anwendbarkeit zu Beurteilen, die Übersetzung in Maßnahmen zu Lösen und die Berichterstattung und Nachweisführung zu Nachweisen

Wo sich das Risikomanagement mit der Frage „Können wir weiter liefern und was kann schiefgehen“ durch den Zyklus bewegt, tut das Compliance-Management dies mit der Frage „Woran müssen wir uns halten und können wir das zeigen“. Beide Prozesse teilen dieselben Register, dieselben Maßnahmen und denselben Rhythmus, und genau deshalb gehören sie in eine Umgebung.

Anschluss an andere Prozesse

Wie das Risikomanagement funktioniert Compliance-Management nur, wenn es mit den umgebenden Prozessen verbunden ist.

Die wichtigste Verbindung ist die zum Risikomanagement selbst. Gesetzliche Anforderungen bilden die Untergrenze Ihrer Risikobehandlung, denn ein Risiko, das eine gesetzliche Pflicht berührt, können Sie nicht einfach akzeptieren. Umgekehrt liefert die Risikoanalyse die Begründung für die Ausgestaltung offener Normen. Wo das Gesetz „geeignete Maßnahmen“ verlangt, bestimmt Ihre Risikoanalyse, was in Ihrem Kontext geeignet ist.

Die zweite Verbindung ist der Vorfallsprozess, weil sich die Meldepflichten häufen. Eine Datenschutzverletzung melden Sie innerhalb von 72 Stunden bei der zuständigen Datenschutzaufsichtsbehörde, einen erheblichen Sicherheitsvorfall unter NIS2 melden Sie mit einer Frühwarnung innerhalb von 24 Stunden bei der zuständigen Behörde (in Deutschland dem BSI), und Verträge kennen oft eigene Meldefristen gegenüber Kunden. Der Vorfallsprozess muss diese Wege kennen und die Abwägungen dokumentieren, auch wenn Sie entscheiden, dass eine Meldung nicht nötig ist. In Kantyra halten Sie je Vorfall fest, ob es sich um eine Datenschutzverletzung handelt und ob sie gemeldet wurde, und das Register überwacht die NIS2-Fristen für die Frühwarnung, die Meldung und den Abschlussbericht. Im Abwägungsfeld halten Sie auch fest, warum Sie melden oder nicht.

Die dritte Verbindung ist das Lieferantenmanagement, denn viele Compliance-Anforderungen wirken in die Lieferkette hinein. Denken Sie an Auftragsverarbeitungsverträge unter der DSGVO, Lieferkettensicherheitsanforderungen unter NIS2 und demnächst Transparenzanforderungen an Anbieter von KI-Systemen. Beschaffung und Vertragsmanagement sind damit Umsetzungskanäle Ihres Compliance-Prozesses.

Die vierte Verbindung ist Awareness und Schulung, weil mehrere Rahmenwerke hier ausdrückliche Anforderungen stellen. NIS2 verpflichtet zu Schulungen für die Leitungsorgane, die DSGVO setzt voraus, dass Mitarbeitende wissen, wie sie mit personenbezogenen Daten umgehen, und die KI-Verordnung verlangt KI-Kompetenz von allen, die mit KI-Systemen arbeiten. Ein gemeinsames Schulungsprogramm, das diese Anforderungen kombiniert, ist effizienter und glaubwürdiger als drei einzelne Pflichtmodule.

Häufig gestellte Fragen zum Compliance-Management

Was ist der Unterschied zwischen Compliance und Sicherheit? Compliance ist regelgesteuert: Sie erfüllen Anforderungen, die andere formuliert haben. Sicherheit ist risikogesteuert: Sie beherrschen die Bedrohungen, die für Ihre Organisation relevant sind. Eine Organisation kann compliant und dennoch verwundbar sein oder gut gesichert und dennoch außerstande, dies nachzuweisen. Sie brauchen beide Prozesse, und sie müssen sich gegenseitig speisen.

Was ist ein Anforderungsregister? Ein Register, in dem alle Quellen von Anforderungen zusammenkommen: Gesetze und Vorschriften, Normen, Verträge und interne Richtlinien, mit der Anwendbarkeit und den wichtigsten Verpflichtungen je Quelle. Es verhindert, dass jedes Rahmenwerk seine eigene Liste bekommt und Doppelarbeit und blinde Flecken entstehen.

Muss ich für jedes Rahmenwerk eigene Maßnahmen führen? Nein, gerade nicht. Die DSGVO, NIS2 und ISO 27001 verlangen zum größten Teil dieselben Maßnahmen. Führen Sie einen einzigen Maßnahmensatz und verknüpfen Sie jede Maßnahme mit allen Rahmenwerken, die sie abdeckt; dann weisen Sie mit einem einzigen Nachweis die Einhaltung gegenüber mehreren Aufsichtsbehörden und Auditoren nach.

Was sollte ich jetzt schon für die KI-Verordnung tun? Sorgen Sie für KI-Kompetenz bei den Mitarbeitenden, die mit KI-Systemen arbeiten, denn diese Pflicht gilt bereits. Erfassen Sie außerdem, welche KI-Systeme Sie nutzen und in welche Risikokategorie sie fallen, und nehmen Sie sie in Ihr Verarbeitungsverzeichnis und Ihre Übersicht der Unternehmenswerte auf. Dann wächst der Rest der Verordnung in Ihren bestehenden Prozess hinein.

Wie vermeide ich Panik vor einem Audit? Indem Sie den Nachweis in dem Moment festhalten, in dem er entsteht, bei der Anforderung oder der Maßnahme, zu der er gehört, und indem Sie die Wirksamkeit der Maßnahmen laufend überprüfen. Wer das tut, muss für ein Audit nichts mehr rekonstruieren.

Zum Schluss

Compliance-Management wird beherrschbar in dem Moment, in dem Sie aufhören, in einzelnen Rahmenwerken zu denken, und anfangen, in einem Anforderungsregister, einem Maßnahmensatz und einer Nachweishaushaltung zu denken. Die DSGVO, NIS2, ISO 27001 und demnächst die KI-Verordnung stellen jeweils ihre eigenen Fragen, doch die Antwort kommt aus demselben System von Maßnahmen. Wer dieses System im Griff hat und dessen Wirksamkeit laufend festhält, muss für kein einziges Audit und keine Aufsichtsbehörde mehr etwas rekonstruieren. Wer so arbeitet, muss Nachweisbarkeit nicht mehr als Projekt organisieren: Sie entsteht von selbst, jeden Tag.

Loslegen mit Compliance-Management in Kantyra

Möchten Sie Ihre Rahmenwerke, Anforderungen, Maßnahmen und Nachweise nicht in einzelnen Listen verwalten, sondern in einer Umgebung, die an Ihr Risikomanagement anschließt? In der GRC-Plattform von Kantyra verwalten Sie das Compliance-Register mit eingebauten und eigenen Rahmenwerken, verknüpfen einen Maßnahmensatz mit allem, was er abdeckt, und der Nachweis hängt an der Anforderung oder der Maßnahme selbst. Fordern Sie eine Demo an und entdecken Sie, wie Nachweisbarkeit in Ihrer täglichen Arbeit von selbst entsteht.


Kantyra ist eine europäische ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement und ihre Kontinuität nachweisbar beherrschen, im Einklang mit ISO 27001, ISO 22301 und NIS2.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen