Was ist ein IT-Compliance-Audit?

Ein IT-Compliance-Audit prüft, ob Ihre IT-Infrastruktur, Prozesse und Dokumentation die für Sie geltenden gesetzlichen und berufsrechtlichen Anforderungen erfüllen — zum Beispiel DSGVO Art. 32, BRAO § 43a/43e, StBerG § 57/62a oder SGB V § 390. Das Ergebnis ist ein schriftlicher Audit-Report mit Gap-Analyse und einer priorisierten Implementierungs-Roadmap.

Welche Branchen haben besondere IT-Compliance-Pflichten?

Anwaltskanzleien (§ 43a BRAO, § 43e BRAO, § 203 StGB), Steuerberatungen (§ 57 StBerG, § 62a StBerG, § 203 StGB), Arztpraxen und Zahnarztpraxen (§ 390 SGB V, KBV-IT-Sicherheitsrichtlinie ab Januar 2026). Alle Branchen unterliegen zusätzlich DSGVO Art. 32 (TOMs) und NIS2 (seit Oktober 2024).

Was kostet ein Compliance-Audit?

Unser Compliance-Audit kostet 899 € pauschal — ohne versteckte Kosten. Darin enthalten: Audit (8–12h), Gap-Analyse, schriftlicher Report (20–40 Seiten), branchenspezifische Checkliste, Implementierungs-Roadmap und 30 Tage Nachsorge-Support.

Regulatory Compliance

COMPLIANCE-AUDIT

Wir prüfen Ihre IT-Compliance gegen DSGVO und Ihre branchenspezifischen Pflichten — mit klarem Maßnahmenplan. Damit Sie bei der nächsten Betriebsprüfung ruhig schlafen.

Kostenloses Erstgespräch → Was Sie bekommen ↓

899 € Pauschalpreis

8–12h Audit-Umfang

30 Tage Nachsorge inkl.

DSGVO + Branchenrecht

Für wen ist das?

Anwälte & Kanzleien

BRAO § 43e. Verschwiegenheit. Pflicht.

§ 43a BRAO verpflichtet Sie zur Verschwiegenheit — § 203 StGB bedroht Verstöße mit Strafe. § 43e BRAO verlangt Verschwiegenheitsvereinbarungen mit allen IT-Dienstleistern. Unser Audit prüft, ob Ihre IT diesen Schutz heute tatsächlich gewährleistet.

Steuerberater & Steuerkanzleien

§ 57 StBerG. Klientendaten. Dokumentationspflicht.

§ 57 Abs. 1 StBerG gilt auch für Ihre IT-Infrastruktur. § 62a StBerG regelt, unter welchen Bedingungen IT-Dienstleister Klientendaten sehen dürfen. Betriebsprüfungen verlangen Nachweise — unser Audit erstellt sie.

Arztpraxen & Psychotherapie

§ 390 SGB V. KBV-Richtlinie. Seit Jan. 2026 Pflicht.

Die aktualisierte IT-Sicherheitsrichtlinie nach § 390 SGB V gilt seit Januar 2026 für alle ca. 99.000 Vertragsarzt- und 38.000 Zahnarztpraxen. Unser Audit liefert die Gap-Analyse gegen genau diese Richtlinie — in 2 Wochen.

Was Sie bekommen

Gap-Analyse

Wo sind Sie heute? Wo sollten Sie sein? DSGVO Art. 32 TOMs, BRAO § 43a/43e, StBerG § 57/62a oder SGB V § 390 — je nach Ihrer Branche vollständig abgedeckt.

Schriftlicher Audit-Report (20–40 Seiten)

Jede Anforderung mit Erfüllungs-Status, Risikostufe (P0–P3) und konkretem Lösungsweg. Für Betriebsprüfer, Versicherer und Ihre eigene Dokumentation verwendbar.

Branchenspezifische Anforderungs-Checkliste

Maßgeschneidert für Ihre Branche — Kanzlei, Steuerkanzlei oder Arztpraxis. Keine generische DSGVO-Liste, sondern die Checklist, die für genau Ihre Pflichten gilt.

Implementierungs-Roadmap

3-Monats-, 6-Monats- und 12-Monats-Plan mit konkreten Meilensteinen. Was kostet wie viel Zeit und Geld? Was ist prioritär? Klare Antworten statt offener Fragen.

Schulungs-Material für Ihr Team

"Was bedeutet das konkret für mich als Mitarbeiter?" — verständliche Zusammenfassung der wichtigsten Verhaltensregeln für Ihr Team. Kein Tech-Jargon.

30 Tage Nachsorge-Support

Fragen während der Umsetzung? Wir sind per E-Mail erreichbar. Kein anonymes Ticket-System — direkter Ansprechpartner für Rückfragen zur Roadmap.

Wie es abläuft

Vorgespräch

Kostenlos, 30 Minuten. Branche, Mitarbeiteranzahl, Systeme, aktuelle Probleme — wir hören zu.

Audit (8–12h)

IT-Infrastruktur, Prozesse, Dokumentation, Team-Schulungsstand — vollständig nach Ihrem Rechtsrahmen geprüft.

Report & Präsentation

Audit-Report mit allen Findings, priorisiert P0–P3. Persönliche Besprechung aller kritischen Punkte.

Roadmap-Besprechung

Konkrete Umsetzungsplanung: Welche Maßnahme kostet wie viel Zeit und Geld? Was ist sofort notwendig?

Investition

Compliance-Audit

899 € Pauschal

Keine versteckten Kosten

✓ Umfassendes Audit (8–12h)

✓ Gap-Analyse (DSGVO + Branchenrecht)

✓ Schriftlicher Audit-Report (20–40 S.)

✓ Branchenspezifische Checkliste

✓ Implementierungs-Roadmap (3/6/12 Mo.)

✓ Schulungs-Material für Ihr Team

✓ Persönliche Report-Präsentation

✓ 30 Tage Nachsorge-Support

50/50-Zahlungsmodell: Hälfte bei Auftragserteilung, Hälfte bei Lieferung des Reports. Branchenspezifische Audit-Tiefe (Kanzleien, Steuerkanzleien, Arztpraxen) ist im Pauschalpreis enthalten — keine Aufschläge für spezielle Rechtsrahmen.

Geprüfte Rechtsrahmen

DSGVO Art. 5, 32, 33, 34

Datenminimierung, Integrität und Vertraulichkeit (Art. 5), technische und organisatorische Maßnahmen (Art. 32), Meldepflicht bei Datenpannen (Art. 33/34) — vollständig abgedeckt.

§ 43a, § 43e BRAO (Kanzleien)

Verschwiegenheitspflicht mit angemessenen TOMs, Verschwiegenheitsvereinbarungen mit IT-Dienstleistern. Wir prüfen, ob alle Dienstleister die erforderlichen Verträge unterschrieben haben.

§ 57, § 62a StBerG (Steuerberater)

Schutzpflicht für Klientendaten und Dokumentationspflicht. § 62a regelt IT-Dienstleister-Beauftragung — wir prüfen genau diese Schnittstellen und die Vertrags-Compliance.

§ 390 SGB V (Arztpraxen)

Seit Januar 2026 verbindlich für alle Vertragsarzt- und Zahnarztpraxen. Die KBV/KZBV-IT-Sicherheitsrichtlinie (BSI-Einvernehmen) definiert konkrete Kontrollpunkte — wir prüfen jeden einzelnen.

ISO 27001 Basis-Kontrollen

Zugriffsschutz, Verschlüsselung, Patch-Management, Backup, Incident Response, Schulungen — die wichtigsten ISO-27001-Kontrollen als Best-Practice-Rahmen für alle Branchen.

NIS2 (seit Oktober 2024)

Viele KMU fallen seit Oktober 2024 in den NIS2-Scope. Wir prüfen, ob Sie betroffen sind, welche Maßnahmen erforderlich sind und was Sie bereits erfüllen.

Welcher Service passt?

Vergleich der Cyber Aspis Services nach Bedarf
Mein Bedarf	Quick-Check 299 €	Pentest ab 1.499 €	Compliance-Audit 899 €
Schnelle Übersicht technischer Schwachstellen	✓	—	—
Können echte Angreifer eindringen?	—	✓	—
DSGVO, BRAO, StBerG nachweisbar erfüllen	—	—	✓
Audit-Report für Betriebsprüfung	—	—	✓
Versicherer-Nachweis / Cyber-Versicherung	—	⚠ Teilweise	✓
KBV-IT-Sicherheitsrichtlinie § 390 SGB V	—	—	✓

Häufige Fragen

Was genau wird beim Audit geprüft?

Wir prüfen vier Bereiche: (1) IT-Infrastruktur — Zugriffsschutz, Verschlüsselung, Backup, Patch-Stand; (2) Prozesse — Zugriffsmanagement, Incident-Response-Plan, Schulungsstand; (3) Dokumentation — Datenschutzrichtlinien, Verarbeitungsverzeichnis, IT-Dienstleister-Verträge; (4) Team — Kennen Ihre Mitarbeiter die Regeln? Werden sie befolgt?

Ist der Report vor Betriebsprüfern verwendbar?

Ja. Der Report dokumentiert Ihren aktuellen Compliance-Status gegen die relevanten Rechtsrahmen und zeigt, welche Maßnahmen bereits umgesetzt sind. Er ist so aufgebaut, dass er Betriebsprüfern, Versicherern und Mandanten gegenüber als Nachweis dient. Für weitergehende rechtliche Verbindlichkeit empfehlen wir zusätzlich die Unterzeichnung eines NDA vor Auditbeginn.

Wie läuft der Audit bei uns ab — müssen wir Systeme freigeben?

Ja, für eine vollständige Prüfung benötigen wir Einblick in Ihre IT-Infrastruktur — Konfigurationen, Zugriffskonzepte, Dokumentation. Das geschieht per gesicherter Remote-Sitzung oder vor Ort in Ihrer Kanzlei/Praxis. Vor Auditbeginn unterzeichnen wir selbstverständlich eine Vertraulichkeitsvereinbarung (NDA).

Brauche ich nach dem Audit einen Penetrationstest?

Nicht zwingend, aber sinnvoll als Kombination. Der Compliance-Audit prüft, ob Ihre Prozesse und Dokumentation die gesetzlichen Anforderungen erfüllen. Ein Penetrationstest prüft, ob Ihre Systeme technisch angreifbar sind. Viele unserer Kunden starten mit dem Audit (Überblick, geringeres Invest) und beauftragen danach gezielt einen Penetrationstest für die kritischsten Systeme.

Gilt der Pauschalpreis auch für branchenspezifische Anforderungen?

Ja, ohne Aufschlag. Der Pauschalpreis von 899 € gilt unabhängig davon, ob wir BRAO (Kanzlei), StBerG (Steuerberater) oder SGB V/KBV-Richtlinie (Arztpraxis) prüfen. Keine versteckten Kosten für Branchenspezifika — das ist bewusst so kalkuliert, weil genau dieser Fokus unser Alleinstellungsmerkmal ist.