Vaeren
Produkt

Eine Plattform. Alle Pflichten.

Vaeren bündelt die wiederkehrenden Compliance-Lasten des Industrie-Mittelstands in einer integrierten Software. Modulübergreifender Compliance-Index, gemeinsames Audit-Log, eine Anmeldung.

Welche Pflicht, welches Modul?

Der vollständige Regulierungs-Katalog, gegen den auch der Schnell-Check prüft, mit ehrlicher Auskunft, wie tief Vaeren jede Pflicht heute abdeckt.

Voll-ModulBasis-Begleitungin Vorbereitung

Datenschutz

DSGVO / Datenschutz DSGVO / BDSG

Schutz personenbezogener Daten.

Besondere Datenkategorien (DSGVO Art. 9) Art. 9 DSGVO

Erhöhte Anforderungen bei Gesundheits-/Sozialdaten.

Basis-Begleitung

IT-Sicherheit

ISO 27001 / TISAX-Basis ISO/IEC 27001 / TISAX

Informationssicherheits-Managementsystem.

NIS2 (Cybersicherheit) NIS2-RL / NIS2UmsuCG

Risikomanagement & Meldepflichten für betroffene Sektoren.

Cyber Resilience Act VO (EU) 2024/2847

Cybersicherheit für Produkte mit digitalen Elementen.

in Vorbereitung

KI

EU AI Act VO (EU) 2024/1689

Pflichten beim Einsatz von KI-Systemen.

ISO 42001 (KI-Management) ISO/IEC 42001

Managementsystem für KI.

Arbeitsschutz

ArbSchG / Gefährdungsbeurteilung § 5 ArbSchG

Gefährdungsbeurteilung & Arbeitsschutz.

Pflichtunterweisungen (DGUV/§12) § 12 ArbSchG, DGUV V1

Jährliche Unterweisungspflichten.

Produkt

Maschinenverordnung / CE VO (EU) 2023/1230

Konformität & CE für Maschinen/Produkte.

Basis-Begleitung
Produkthaftung (ProdHaftG) § 1 ProdHaftG

Haftung für fehlerhafte Produkte.

Basis-Begleitung

Governance

Hinweisgeberschutzgesetz (HinSchG) §§ 12 ff. HinSchG

Interne Meldestelle für Hinweisgeber.

Transparenzregister (GwG) § 20 GwG

Eintragung wirtschaftlich Berechtigter.

Geschäftsgeheimnis-Schutz (GeschGehG) § 2 Nr. 1 b GeschGehG

Angemessene Geheimhaltungsmaßnahmen.

Basis-Begleitung
Lieferkettensorgfaltspflichtengesetz § 1 LkSG

Sorgfaltspflichten in der Lieferkette.

Basis-Begleitung
CSRD-Nachhaltigkeitsberichterstattung RL (EU) 2022/2464

Nachhaltigkeitsbericht ab Größenklasse.

Basis-Begleitung

Modulübergreifend

Compliance-Cockpit

Ein Dashboard für Geschäftsführung und Compliance-Beauftragte mit allen Fristen, Pflichten, Belegen.

OEM-Fragebogen-Auswerter

Kunden-Fragebögen hochladen, Antworten automatisch aus den eigenen Compliance-Daten befüllen.

Modul 1

Pflichtunterweisungen

Jährliche Schulungen für alle Mitarbeitenden, dokumentiert und auditfest.

Rechtlicher Bezug

ArbSchG, DSGVO Art. 39, AGG §11 + §12

Vaeren erzeugt für jede Mitarbeiterin und jeden Mitarbeiter einen individualisierten Schulungspfad, basierend auf Rolle, Eintrittsdatum und Risikoprofil. Quizfragen werden je nach Lernstand variiert. Zertifikate werden automatisch ausgestellt und im Audit-Log abgelegt.

Features
  • 23 Pflicht-Kurse für den Industrie-Mittelstand fertig konfiguriert
  • Personalisierte Inhalte je Rolle, KI-gestützt aber menschlich freigegeben
  • Audit-Export auf Knopfdruck (PDF + CSV)
Aus der Praxis

Personalleitung in einem Metallverarbeiter mit 180 Mitarbeitenden startet eine Welle. Vaeren versendet personalisierte Links, mahnt nach drei Tagen, generiert Zertifikate und meldet der Geschäftsführung am Ende einen vollständigen Abschluss.

Modul 2

HinSchG-Hinweisgeberportal

Anonyme Meldungen, verschlüsselte Bearbeitung, gesetzliche Fristen automatisch eingehalten.

Rechtlicher Bezug

HinSchG §§7, 8, 16, 17

Das öffentliche Meldeformular erreicht jeder Mitarbeitende anonym oder unter Klarnamen. Inhalte werden mandantenspezifisch verschlüsselt, niemand außerhalb der berechtigten Bearbeitenden hat Zugriff. Gesetzliche Fristen sind als Compliance-Tasks im System hinterlegt und werden automatisch nachgehalten.

Features
  • Per-Mandant Fernet-Verschlüsselung aller Meldungsinhalte
  • Eingangsbestätigung in 7 Tagen, Rückmeldung in 3 Monaten (HinSchG §17)
  • Auditierbares Bearbeitungsprotokoll, append-only
Aus der Praxis

Eine anonyme Meldung über mögliche Bestechung wird abends eingereicht. Am nächsten Morgen sieht die Compliance-Beauftragte den Eingang, sendet binnen sieben Tagen die Bestätigung, dokumentiert ihre Prüfung in einem verschlüsselten Bearbeitungsschritt. Drei Monate später erfolgt die Rückmeldung, alle Fristen sind eingehalten.

Modul 3

Compliance-Cockpit

Ein Dashboard für Geschäftsführung und Compliance-Beauftragte mit allen Fristen, Pflichten, Belegen.

Rechtlicher Bezug

Modulübergreifend, GoBD, IDW PS 270

Das Cockpit zeigt auf einen Blick, wo das Unternehmen steht. Compliance-Index aggregiert die Erfüllungsgrade der einzelnen Module zu einer Ampelkennzahl. Offene ToDos sind nach Fälligkeit sortiert. Jede Aktion ist im AuditLog dokumentiert, Manipulationen werden technisch verhindert.

Features
  • Compliance-Index in Echtzeit, je Pflichtbereich aufgeschlüsselt
  • ToDo-Liste mit Fälligkeiten, automatisch aus den Modulen befüllt
  • Activity-Feed + AuditLog (immutable, SHA-256-gesichert)
Aus der Praxis

Vor einem Audit öffnet die Geschäftsführung das Cockpit, exportiert den Stand der letzten zwölf Monate als PDF und übergibt es dem Prüfer. Statt drei Tagen Vorbereitung sind es 15 Minuten.

Modul 4

ISO 27001 / TISAX-Evidenz

Informationssicherheits-Nachweise sammeln, strukturieren und auditfest exportieren.

Rechtlicher Bezug

ISO/IEC 27001, TISAX (OEM-Anforderung)

Vaeren führt durch alle 93 Controls des ISO-27001-Annex A. Zu jedem Control werden Nachweise abgelegt, bewertet und versioniert. Das Statement of Applicability entsteht aus den erfassten Daten, nicht aus einer separaten Excel-Liste, und ist damit immer konsistent mit dem tatsächlichen Stand.

Features
  • 93 Annex-A-Controls vorstrukturiert, je Control Evidenz-Ablage mit Audit-Trail
  • Statement of Applicability (SoA) als PDF auf Knopfdruck
  • Risk-Register mit Maßnahmen-Verknüpfung
Aus der Praxis

Ein OEM verlangt von seinem Zulieferer einen TISAX-Nachweis. Statt drei Monate Beratungsprojekt: Controls durchgehen, vorhandene Nachweise hochladen, Lücken als Aufgaben verteilen, SoA exportieren.

Modul 5

ISO 42001 KI-Management

Das Managementsystem für den KI-Einsatz: Controls, Impact-Assessments, Policies.

Rechtlicher Bezug

ISO/IEC 42001, flankiert EU AI Act

Wer KI einsetzt, braucht nachweisbare Governance. Vaeren bildet die ISO-42001-Controls ab, verwaltet KI-Policies mit Kenntnisnahme-Tracking und dokumentiert Impact-Assessments. Jede Bewertung durchläuft ein Vier-Augen-Gate. Keine ungeprüfte Einschätzung wird wirksam.

Features
  • 38 ISO-42001-Controls als geführter Katalog
  • AI-Impact-Assessments mit Vier-Augen-Prinzip
  • KI-Vorfälle eskalieren automatisch bis ins Datenpannen-Register
Aus der Praxis

Die Geschäftsführung will den ChatGPT-Einsatz im Vertrieb absichern. Impact-Assessment anlegen, Risiken bewerten, Policy ausrollen, Kenntnisnahmen nachhalten, alles dokumentiert für Kunde und Aufsicht.

Modul 6

Arbeitsschutz & GBU

Gefährdungsbeurteilungen, ASA-Sitzungen und Verbandbuch, digital und rechtssicher.

Rechtlicher Bezug

§§ 5, 6 ArbSchG, DGUV Vorschrift 1

Die Gefährdungsbeurteilung entsteht aus einem kuratierten Katalog statt auf dem leeren Blatt. Maßnahmen folgen der STOP-Hierarchie, ASA-Sitzungen werden protokolliert, Beauftragte (Sifa, Betriebsarzt, Ersthelfer) zentral verwaltet. Unfalldaten liegen verschlüsselt ab.

Features
  • Gefährdungskatalog mit 121 Einträgen für den Industrie-Mittelstand
  • Maßnahmen nach STOP-Hierarchie, mit Fristen und Verantwortlichen
  • Verschlüsseltes Verbandbuch (Gesundheitsdaten, DSGVO Art. 9)
Aus der Praxis

Die Berufsgenossenschaft kündigt eine Besichtigung an. Statt Aktenordner-Archäologie: GBU je Arbeitsbereich aufrufen, Maßnahmenstand zeigen, Unterweisungsnachweise direkt daneben.

Modul 7

NIS2-Cybersicherheit

Betroffenheit klären, Risikomanagement-Maßnahmen umsetzen, Meldefristen automatisch nachhalten.

Rechtlicher Bezug

NIS2-Richtlinie / NIS2UmsuCG

Vaeren klärt zuerst, ob und wie Ihr Unternehmen unter NIS2 fällt, nachvollziehbar dokumentiert. Danach werden die Risikomanagement-Maßnahmen als strukturierter Katalog abgearbeitet. Im Vorfall greifen die gesetzlichen Meldefristen als vorbereitete Aufgaben mit Vorlagen.

Features
  • Betroffenheits-Klassifizierung nach Sektor und Größe
  • Maßnahmenkatalog nach § 30 BSIG-E, je Maßnahme Umsetzungsstand + Nachweis
  • Meldepflicht-Fristen (24 h / 72 h / 1 Monat) als automatische Aufgaben
Aus der Praxis

Ein Ransomware-Verdacht am Freitagabend. Das System zeigt sofort: Erstmeldung binnen 24 Stunden an das BSI, mit vorbereitetem Meldeentwurf und Checkliste, statt Panik und Google-Suche.

Modul 8

KI-Inventar (AI Act)

Alle KI-Systeme im Unternehmen erfasst, Risikoklassen geklärt, Transparenzpflichten im Griff.

Rechtlicher Bezug

VO (EU) 2024/1689 (AI Act)

Der EU AI Act verlangt zu wissen, welche KI wo im Einsatz ist. Vaeren inventarisiert die Systeme, schlägt eine Risikoklasse vor, bestätigt wird sie immer von einem Menschen, und leitet daraus die konkreten Pflichten ab: Transparenz, Kennzeichnung, Schulung.

Features
  • Zentrales Inventar aller eingesetzten KI-Systeme
  • Risikoklassen-Vorschlag mit verpflichtender menschlicher Bestätigung
  • Transparenz- und Kennzeichnungspflichten als Checklisten
Aus der Praxis

Der Betriebsrat fragt, welche KI-Tools im Haus laufen. Ein Blick ins Inventar beantwortet die Frage vollständig, inklusive Risikoeinstufung und Schulungsstand der Nutzer.

Modul 9

Datenpannen & AVV

Das Art.-33-Register mit 72-Stunden-Frist-Tracking plus zentrale AVV-Verwaltung.

Rechtlicher Bezug

Art. 28, 33, 34 DSGVO

Im Ernstfall zählt jede Stunde: Das Register erfasst die Panne strukturiert, startet den 72-Stunden-Countdown und führt durch die Meldeentscheidung. Auftragsverarbeitungs-Verträge mit Dienstleistern liegen zentral, statt verstreut in Postfächern.

Features
  • Datenpannen-Register mit automatischem 72-h-Countdown
  • Meldeentwurf-Vorlagen für die Aufsichtsbehörde
  • Auftragsverarbeitungs-Verträge zentral, mit Fristen und Status
Aus der Praxis

Ein Laptop mit Kundendaten wird gestohlen. Panne erfassen, Risikobewertung dokumentieren, Meldeentwurf generieren, Frist halten. Der gesamte Vorgang ist hinterher lückenlos belegbar.

Modul 10

Transparenzregister

Wirtschaftlich Berechtigte erfassen, Eintragungen nachhalten, Bußgelder vermeiden.

Rechtlicher Bezug

§§ 19, 20 GwG

Die Transparenzregister-Pflicht ist klein, aber bußgeldbewehrt und wird bei Gesellschafterwechseln regelmäßig vergessen. Vaeren hält die wirtschaftlich Berechtigten samt Nachweisen vor und erinnert, wenn eine Änderung eine neue Eintragung erfordert.

Features
  • Erfassung der wirtschaftlich Berechtigten nach § 3 GwG
  • Abgleich-Erinnerungen bei Gesellschafter-Änderungen
  • Nachweis-Ablage für Banken- und Notar-Anfragen
Aus der Praxis

Die Hausbank verlangt im KYC-Prozess einen aktuellen Transparenzregister-Auszug samt Historie. Beides liegt ablagefertig im System.

Modul 11

OEM-Fragebogen-Auswerter

Kunden-Fragebögen hochladen, Antworten automatisch aus den eigenen Compliance-Daten befüllen.

Rechtlicher Bezug

Lieferketten-Anfragen (CSDDD/OEM), TISAX-Self-Assessments

OEMs und Konzernkunden schicken Lieferanten-Fragebögen im Dutzend. Vaeren liest das Format, beantwortet Fragen aus den vorhandenen Compliance-Daten und einer wachsenden Antwort-Bibliothek, und gibt den ausgefüllten Fragebogen erst nach menschlicher Attestierung frei.

Features
  • Versteht Excel- und PDF-Fragebögen, schreibt ins Originalformat zurück
  • Antworten aus allen Vaeren-Modulen + kuratierter Antwort-Bibliothek
  • Seitenbasierter Review mit finaler Attestierung, kein ungeprüfter Text verlässt das Haus
Aus der Praxis

Der dritte 200-Fragen-Sicherheitsfragebogen in diesem Quartal. Statt zwei Tagen Copy-Paste: hochladen, Auto-Antworten prüfen, attestieren, Original zurückschicken, in einer Stunde.

Demo gewünscht?

30 Minuten Live-Tour durch die Plattform. Wir zeigen den Compliance-Radar, den Compliance-Index und die Module, die Ihr Schnell-Check-Ergebnis betreffen.

Termin vereinbaren →