EuroComply
Sign up
Back to blog
Leitfäden 11 min read

EU-Compliance-Checkliste für Tech-Startups 2026

What you need to know: EU-Compliance-Checkliste für Tech-Startups 2026

Starten oder skalieren Sie in der EU? Diese Checkliste deckt DSGVO, KI-Verordnung, NIS2, Cyber Resilience Act und DSA-Pflichten nach Unternehmensphasen ab — damit Sie wissen, was Sie wann priorisieren müssen.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

EU-Regulierungspflichten für Technologieunternehmen sind keine Einheitslösung. Was auf Ihr Startup zutrifft, hängt von drei Faktoren ab: was Ihr Produkt leistet, an wen Sie verkaufen und wie groß Ihr Unternehmen ist. Nicht alle Verordnungen gelten von Anfang an — wer sie vermischt, verschwendet Compliance-Ressourcen für Nicht-Themen und lässt gleichzeitig echte Lücken offen.

Diese Checkliste ist nach Unternehmensphasen strukturiert. Arbeiten Sie zunächst die Phase durch, die Ihrer aktuellen Situation entspricht, und lesen Sie dann die nächste Phase vor.


Vor dem Launch / MVP-Phase

Ihre erste EU-Compliance-Pflicht ist kein langwieriger Zertifizierungsprozess — es geht darum, Ihre personenbezogenen Datenflüsse zu verstehen und grundlegende DSGVO-Fundamente zu legen, bevor Sie EU-Nutzerdaten verarbeiten.

Rechtsträger und Vertretung

  • Wenn Sie über keine EU-Niederlassung verfügen, bestellen Sie vor der Erhebung von Daten gebietsansässiger EU-Personen einen EU-Vertreter gemäß DSGVO Art. 27. Ein EU-Vertreter ist eine benannte juristische oder natürliche Person in der EU, die von Aufsichtsbehörden in Ihrem Namen kontaktiert werden kann.
  • Wenn Sie in großem Umfang besondere Kategorien personenbezogener Daten verarbeiten (Gesundheitsdaten, biometrische Daten, genetische Daten, Religionszugehörigkeit, politische Meinungen, sexuelle Orientierung), prüfen Sie, ob Sie einen Datenschutzbeauftragten (DSB, Art. 37) bestellen müssen. Die meisten Startups in der Frühphase erfüllen die Voraussetzungen für eine obligatorische DSB-Bestellung nicht — dokumentieren Sie die Bewertung dennoch.

Grundlagen der Datenverwaltung

  • Verfassen Sie eine Datenschutzerklärung, die den DSGVO-Artt. 13–14 entspricht: Rechtsgrundlage für jede Verarbeitungstätigkeit, Rechte der betroffenen Personen, Speicherfristen, benannte Drittanbieter als Auftragsverarbeiter
  • Verfassen Sie eine Cookie-Richtlinie, die die Einwilligungsanforderungen der ePrivacy-Richtlinie abdeckt — Analyse- und Werbe-Cookies erfordern eine Opt-in-Einwilligung; technisch notwendige Cookies nicht
  • Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten (VVT) (Art. 30) — ein Register, das festhält, welche personenbezogenen Daten Sie erheben, zu welchem Zweck, auf welcher Rechtsgrundlage, wer Zugriff hat und wie lange Sie die Daten aufbewahren. Beginnen Sie jetzt damit, auch wenn es zunächst eine einfache Tabelle ist
  • Identifizieren und dokumentieren Sie die Rechtsgrundlage für jede Verarbeitungstätigkeit, bevor Sie mit der Verarbeitung beginnen

KI-Funktionen

  • Wenn Ihr MVP eine KI-Funktion enthält, prüfen Sie, ob diese unter die verbotenen Praktiken der EU-KI-Verordnung fällt (seit August 2025 in Kraft). Social Scoring, unterschwellige Manipulation und Emotionserkennung am Arbeitsplatz sind unabhängig von der Unternehmensgröße ausnahmslos verboten.
  • Implementieren Sie KI-Kompetenzmaßnahmen für Mitarbeitende, die KI-Tools nutzen (Art. 4, seit Februar 2025 in Kraft) — auch informell in dieser Phase; dokumentieren Sie, welche KI-Tools Sie einsetzen, und weisen Sie das Team auf deren Einschränkungen hin.

Nach dem Launch / Wachstumsphase (bis 50 Mitarbeitende)

Sobald Sie EU-Nutzer und ein funktionsfähiges Produkt haben, erweitert sich die Compliance-Oberfläche.

DSGVO-Sicherheit und Vorfallsbereitschaft

  • Führen Sie eine DSGVO-Art.-32-Sicherheitsprüfung durch — dokumentieren Sie die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten (Zugriffskontrollen, Verschlüsselung im Ruhezustand und bei der Übertragung, Sicherung und Wiederherstellung, Zugriffsprotokolle)
  • Etablieren Sie ein Verfahren zur Meldung von Datenpannen: wer intern benachrichtigt wird, wer die Aufsichtsbehörde innerhalb von 72 Stunden informiert und wer betroffene Personen benachrichtigt, wenn die Datenschutzverletzung ein hohes Risiko birgt
  • Schließen Sie Auftragsverarbeitungsverträge (Art. 28) mit allen Auftragsverarbeitern ab, die EU-Personendaten in Ihrem Auftrag verarbeiten — dazu gehören Cloud-Anbieter, Analyse-Tools, Kundensupport-Plattformen und E-Mail-Dienstleister

EU-KI-Verordnung (sofern KI-Funktionen vorhanden)

  • Beurteilen Sie jede KI-Funktion anhand von Anhang III der EU-KI-Verordnung, um festzustellen, ob sie als hochrisikobehaftet einzustufen ist. Die Liste umfasst: Lebenslaufprüfung, Kreditbewertung, Komponenten kritischer Infrastrukturen, Zulassungssysteme, Strafverfolgungstools, Migrationrisikobewertung und Instrumente zur Beeinflussung von Wahlen.
  • Wenn keine Funktion als hochrisikobehaftet einzustufen ist, dokumentieren Sie diese Bewertung — Aufsichtsbehörden werden danach fragen. Die meisten frühen B2B-SaaS-Tools verfügen nicht über KI-Hochrisikosysteme, aber die Bewertung muss vorgenommen und aufgezeichnet werden.
  • Wenn Sie hochrisikobehaftete KI-Funktionen haben, beginnen Sie jetzt mit der Compliance-Dokumentation: Risikomanagementsystem, Datenverwaltung für Trainingsdaten, technische Dokumentation (Anhang IV), Design der menschlichen Aufsicht. Die Compliance-Frist ist der 2. August 2026 — der Vorlauf beträgt typischerweise 9–18 Monate.
  • Führen Sie KI-Kompetenzschulungen (Art. 4) für alle Mitarbeitenden durch, die KI-Systeme nutzen — ein strukturiertes Briefing oder ein E-Learning-Modul ist ausreichend; dokumentieren Sie die Teilnahme.

DSA (sofern Sie eine Plattform mit nutzergenerierten Inhalten betreiben)

  • Prüfen Sie die grundlegenden DSA-Pflichten: Nutzungsbedingungen konform mit Art. 14, einheitliche Anlaufstelle für Behörden (Art. 11), Transparenzbericht bei der Moderation von Inhalten (Art. 15)
  • Wenn Nutzer Inhalte veröffentlichen können, implementieren Sie einen Melde- und Abhilfemechanismus für rechtswidrige Inhalte (Art. 16)

Scale-up-Phase (50–250 Mitarbeitende)

In dieser Phase können Sie Schwellenwerte überschreiten, die NIS2, anspruchsvollere KI-Act-Pflichten oder den Cyber Resilience Act in den Geltungsbereich bringen.

NIS2 (digitale Infrastruktur und Dienste)

  • Prüfen Sie, ob Ihr Unternehmen als erfasste Einrichtung unter NIS2 gilt. Prüfen Sie NIS2-Anhang II: Managed-Service-Provider, Cloud-Anbieter, Rechenzentren, CDN-Anbieter, DNS-Dienstleister, Domain-Registrare, Online-Marktplätze und Suchmaschinen sind erfasst, wenn Sie mittelgroß sind (≥50 Mitarbeitende oder >10 Mio. € Umsatz) oder groß.

  • Wenn NIS2 gilt: Registrieren Sie sich bei der nationalen NIS-Behörde, implementieren Sie die 10 Art.-21-Sicherheitsmaßnahmenkategorien (Risikoanalyse, Vorfallsbehandlung, Betriebskontinuität, Lieferkettensicherheit, Zugriffskontrollen, MFA, Kryptografie, Schulung, Schwachstellenbehandlung, HR-Sicherheit) und etablieren Sie das zweistufige Meldeprotokoll für Vorfälle (Frühwarnung innerhalb von 24 h; Vorfallsmeldung innerhalb von 72 h an das CSIRT).

  • Stellen Sie die Verantwortlichkeit des Leitungsorgans sicher — NIS2 Art. 20 verlangt, dass das Leitungsorgan Sicherheitsmaßnahmen genehmigt und persönlich für die Nichteinhaltung haftet.

    Hinweis für in Deutschland tätige Unternehmen: Das Bundesdatenschutzgesetz (BDSG) enthält in § 30 BSIG-E und dem BSI-Gesetz nationale Regelungen, die über die NIS2-Anforderungen hinausgehen können. Hierbei handelt es sich um deutsches nationales Recht, nicht um universales EU-Recht. Prüfen Sie die Anforderungen mit rechtlicher Beratung für Ihren konkreten Kontext.

EU-KI-Verordnung (Hochrisikosysteme)

  • Wenn Sie hochrisikobehaftete KI-Systeme identifiziert haben und die Compliance noch nicht abgeschlossen ist: Die Frist vom 2. August 2026 ist bindend. Schließen Sie die Konformitätsbewertung ab, registrieren Sie das System in der EU-Datenbank (für Systeme in Anhang-III-Bereichen, die öffentlichen Behörden oder einem erheblichen Drittparteienrisiko unterliegen), und bereiten Sie die EU-Konformitätserklärung vor.
  • Wenn Sie ein GPAI-Modellanbieter sind (Sie entwickeln ein KI-Modell für allgemeine Zwecke): GPAI-Pflichten gelten seit dem 2. August 2025. Dazu gehören technische Dokumentation, Urheberrechtsrichtlinie und Zusammenfassungen der Trainingsdaten. Modelle mit systemischem Risiko unterliegen adversarialem Testing und Vorfallsmeldepflichten.

Cyber Resilience Act (sofern Sie Software oder vernetzte Produkte in der EU verkaufen)

  • Prüfen Sie, ob ein von Ihnen verkauftes Produkt ein Produkt mit digitalen Elementen im Sinne des CRA darstellt. In der EU vermarktete Software — einschließlich SaaS mit lokal verarbeiteten Komponenten, mobilen Apps, Firmware — fällt in den Geltungsbereich.
  • Klassifizieren Sie jedes Produkt (Standard, Wichtige Klasse I/II, Kritisch) gemäß CRA-Anhang III und IV.
  • Beginnen Sie mit einer Anhang-I-Lückenanalyse: Überprüfen Sie jedes Produkt anhand der wesentlichen Cybersicherheitsanforderungen (sicher als Standard, keine bekannten Exploits bei der Inverkehrbringung, minimale Angriffsfläche, Zugriffskontrollen, Integrität, Protokollierung).
  • Bauen Sie Schwachstellenbehandlungsprozesse auf (koordinierte Offenlegungsrichtlinie, 24-h-Meldung ausgenutzter Schwachstellen an ENISA/CSIRT) — erforderlich ab September 2026.
  • Planen Sie die Konformitätsbewertung für Produkte der Wichtigen Klasse I/II — benannte Stellen haben begrenzte Kapazitäten; beginnen Sie früh.

Prioritätsmatrix: Welche Verordnung gilt wann

| Verordnung | Vor dem Launch/MVP | Wachstum (≤50 Mitarbeitende) | Scale-up (50–250 Mitarbeitende) | |------------|-------------------|------------------------------|----------------------------------| | DSGVO | Gilt (Grundlagen vor dem ersten EU-Nutzer erforderlich) | Gilt (vollständige Compliance erforderlich) | Gilt (vollständige Compliance erforderlich) | | KI-Verordnung (verbotene Praktiken) | Gilt (ab Aug. 2025) | Gilt | Gilt | | KI-Verordnung (Hochrisikosysteme) | Nur Bewertung | Bewertung + Dokumentation | Compliance bis Aug. 2026 | | NIS2 | Noch nicht | Noch nicht (unter Schwellenwert) | Gilt, wenn im erfassten Sektor | | CRA | Noch nicht (Vormarktzustand) | Bewertung bei Produktverkauf | Compliance (Meldung ab Sep. 2026; vollständig ab Dez. 2027) | | DSA | Basistier bei Hosting nutzergenierierter Inhalte | Basis-/Plattformtier | Plattform- oder VLOP-Tier je nach Nutzerzahl |


Häufige Fehler

Annahme, dass die DSGVO alles abdeckt. Die DSGVO regelt personenbezogene Daten. Sie deckt nicht die operative Sicherheit Ihrer Netzwerke (NIS2), die Sicherheitseigenschaften Ihrer Produkte (CRA) oder die Sicherheit Ihrer KI-Systeme (KI-Verordnung) ab. Dies sind separate Rechtsrahmen mit separaten Pflichten.

Die KI-Verordnung ignorieren, weil „wir nur APIs nutzen". Die Nutzung einer Drittanbieter-KI-API macht Sie nicht zum Anbieter — aber sie macht Sie zum Betreiber. Betreiber haben echte Pflichten nach der KI-Verordnung, einschließlich menschlicher Aufsicht bei Hochrisikosystemen und KI-Kompetenz für Mitarbeitende. Die Verordnung gilt für die Art und Weise, wie Sie KI integrieren und nutzen, nicht nur für diejenigen, die das zugrunde liegende Modell entwickeln.

CRA übersehen, weil Software nicht physisch wirkt. Der CRA erfasst ausdrücklich Softwareprodukte. Firmware, mobile Apps, Desktop-Anwendungen und Softwarekomponenten, die Daten lokal verarbeiten, fallen in den Geltungsbereich, wenn sie der Definition eines „Produkts mit digitalen Elementen" entsprechen. Das weit verbreitete Missverständnis, dass der CRA nur Hardware betrifft, ist falsch.


Hier starten: Drei sofortige Maßnahmen für jedes EU-Tech-Startup

Unabhängig von der Phase sollten diese drei Maßnahmen vor allem anderen stattfinden:

  1. Inventarisieren Sie Ihre Datenflüsse — listen Sie jede Kategorie personenbezogener Daten auf, die Sie erheben, verfolgen Sie, wohin sie fließen, identifizieren Sie Drittanbieter als Auftragsverarbeiter und dokumentieren Sie die Rechtsgrundlage für jeden Verarbeitungszweck. Dies ist die Grundlage sowohl für die DSGVO-Compliance als auch für jede KI-Verordnungsbewertung.

  2. Dokumentieren Sie Ihre KI-Systeme — für jedes KI-Tool, das Sie nutzen oder entwickeln, halten Sie fest: was es tut, welche Daten es verarbeitet, über wen es Entscheidungen trifft und ob diese Entscheidungen erhebliche Auswirkungen auf betroffene Personen haben. Dieses Inventar ist der Ausgangspunkt für die Klassifizierung gemäß der EU-KI-Verordnung.

  3. Weisen Sie Compliance-Verantwortung zu — jemand in Ihrer Organisation muss jede Verordnung verantworten. Bei einem Startup in der Frühphase ist dies in der Regel der CTO oder ein leitender Ingenieur. Compliance ohne Verantwortlichen produziert nur Papier ohne Substanz.


Zuletzt aktualisiert: April 2026. Nur zu Informationszwecken — keine Rechtsberatung.

Häufig gestellte Fragen

Welche EU-Verordnungen gelten für ein Startup mit weniger als 50 Mitarbeitenden?

Die DSGVO gilt ab dem ersten EU-Nutzer, unabhängig von der Unternehmensgröße — es gibt keinen Schwellenwert für die Mitarbeiterzahl. Die verbotenen Praktiken der EU-KI-Verordnung (Artikel 5) und die KI-Kompetenzpflicht (Artikel 4) gelten für alle Betreiber unabhängig von der Größe. Die Hochrisikosystem-Pflichten der EU-KI-Verordnung gelten, wenn Ihr Produkt ein KI-Hochrisikosystem enthält; die Unternehmensgröße ist kein Ausnahmekriterium. NIS2 und CRA erfordern im Allgemeinen mindestens 50 Mitarbeitende oder 10 Mio. € Umsatz, um den Geltungsbereich auszulösen (mit engen Ausnahmen für Alleinanbieter kritischer Dienste). Grundlegende DSA-Pflichten gelten, wenn Sie nutzergenerierte Inhalte hosten, ebenfalls unabhängig von der Größe.

Was ist der erste EU-Compliance-Schritt für ein neues Tech-Startup?

Vor der Verarbeitung personenbezogener EU-Daten sollten Sie Ihre Datenflüsse erfassen: identifizieren Sie jede Kategorie personenbezogener Daten, die Sie erheben, den Zweck der Erhebung, die Rechtsgrundlage gemäß DSGVO-Artikel 6, wer Zugriff hat und welche Drittanbieter als Auftragsverarbeiter beteiligt sind. Diese Datenflusskarte bildet die Grundlage für Ihr Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO), Ihre Datenschutzerklärung (Artikel 13–14), Ihre Auftragsverarbeitungsverträge (Artikel 28) und etwaige Pflichten zur Datenschutz-Folgenabschätzung (DSFA, Artikel 35). Sie liefert auch die erforderliche Eingabe, um die Anwendbarkeit der EU-KI-Verordnung zu beurteilen, wenn Ihr Produkt KI-Funktionen hat.

Gibt es EU-Compliance-Ausnahmen für Startups oder KMU?

Die DSGVO kennt keine KMU-Ausnahmen für Kernpflichten, obwohl Artikel 30 Abs. 5 Organisationen mit weniger als 250 Mitarbeitenden von der Pflicht zur Führung eines Verarbeitungsverzeichnisses ausnimmt, sofern die Verarbeitung nicht regelmäßig erfolgt, keine besonderen Datenkategorien betrifft oder keine Risiken für die Rechte betroffener Personen birgt. NIS2 schließt im Allgemeinen Kleinstunternehmen und kleine Unternehmen aus (weniger als 50 Mitarbeitende und weniger als 10 Mio. € Umsatz), sofern sie nicht Alleinanbieter eines kritischen Dienstes sind. Die EU-KI-Verordnung nimmt KMU nicht von verbotenen Praktiken oder Hochrisikosystem-Pflichten aus, aber Artikel 55 verpflichtet die Mitgliedstaaten, regulatorische Sandboxen und Unterstützung für KMU und Startups bereitzustellen, um Compliance-Hürden zu senken.

Quellen

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: EU-Compliance-Checkliste für Tech-Startups 2026

This article covers: Vor dem Launch / MVP-Phase, Nach dem Launch / Wachstumsphase (bis 50 Mitarbeitende), Scale-up-Phase (50–250 Mitarbeitende).

  • Vor dem Launch / MVP-Phase
  • Nach dem Launch / Wachstumsphase (bis 50 Mitarbeitende)
  • Scale-up-Phase (50–250 Mitarbeitende)
  • Prioritätsmatrix: Welche Verordnung gilt wann
  • Häufige Fehler
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.