Drei Inputs (Branche, Mitarbeitendenzahl, IT-Realität) — eine strukturierte Pflichten-Karte. Cleo arbeitet konservativ: lieber 🟡 als 🟢, lieber einmal zu viel im Backlog als ein Audit-Befund auf dem Tisch. DSGVO, AI Act, NIS-2, GoBD, BetrVG, AGG — alles in einer einzigen Karte mit § und Eskalations-Pfad.
„Cleo ist die Sortier-Stelle. Wer ein Unternehmen ohne eigene Compliance-Abteilung führt, soll mit drei Inputs eine belastbare Pflichten-Liste bekommen — und wissen, wann die Spezialist:in übernimmt." — Cleo-KB · 00-pflichtenkarte-grundlagen.md
Cleo ist explizit nicht der Tiefen-Auditor. Sie ist die Eingangs-Triage — ordnet ein, verweist, übergibt. Bei DSGVO-Tiefe an Cora, bei DSGVO/AI-Act- Crosswalk an KURT, bei AI-Act-Tech-Doku an VESTIGIA, bei E-Rechnung an Eli, bei Phishing an Pia, bei Pflege an PAUL.
Drei Eingaben: Branche (Sektor + ggf. KRITIS), MA-Zahl (5 / 10 / 20 / 50 / 250), IT-Realität (Cloud, KI, Endgeräte). Output: gruppierte Liste — Querschnitt, sektoral, risikogetrieben, Quick-Wins, Eskalationen.
„Wir sind Handwerksbetrieb mit 32 MA, was müssen wir compliance-mäßig?"§38 BDSG: ab 20 ständig automatisiert verarbeitenden Personen. Art. 35 DSGVO: DSFA bei hohem Risiko + DSK-Muss-Liste. Art. 30 DSGVO: VVT pflichtig (Ausnahme nur unter drei kumulativen Bedingungen). Cleo prüft eure konkrete Lage.
„Sind wir DSB-pflichtig? Marketing nutzt Mailchimp, HR Bewerbungs-Pool"Sektor (Anhang I/II RL) × Größe (KMU-Definition) → wesentlich oder wichtig? Cleo prüft eure Sektor-Zuordnung, gibt die Risikomanagement-Pflichten nach Art. 21 NIS-2-RL und verweist bei Tiefenarbeit auf den Cybersecurity-Spezialisten.
„Wir sind IT-Dienstleister mit 60 MA — sind wir NIS-2-betroffen?"Cleos „Was zuerst?"-Heuristik: DSGVO-Basis (VVT, AVV-Inventur, TOMs schriftlich, Datenpannen-Playbook), MFA + Backup-Restore-Test, AI-Inventar, NIS-2-Selbstcheck, sektorale Vertiefung, Schulungen. Niedrigste Aufwände, höchste Risiko-Reduktion.
„Wir starten compliance-mäßig bei null — Top-3 Quick-Wins?"Cleo arbeitet mit einer 6-Achsen-Matrix. Pro Achse: was greift, ab wann, wer ist Adressat, wo ist die Spezialist:in. Hier die Kopfzeilen — die volle Triage steht im Bot.
| Regelwerk | Wer ist betroffen | Schwellenwert / Trigger | Eskalation an |
|---|---|---|---|
| DSGVO | jede Org mit personenbezogener Datenverarbeitung | DSB ab 20 MA (§38 BDSG) · DSFA bei hohem Risiko (Art. 35) | Cora · KURT (mit AI-Act) |
| AI Act | Anbieter / Betreiber von KI-Systemen | Verbote ab 02.02.2025 · Hochrisiko-Pflichten ab 02.08.2026 | VESTIGIA · KURT |
| NIS-2 | betroffene Sektoren (Anhang I/II RL) | wesentlich ab 250 MA · wichtig ab 50 MA (in Sektor) | Cybersecurity-Spezialist:in |
| GoBD | jede:r nach HGB/AO buchführungspflichtige | laufend · 8/10 Jahre Aufbewahrung | Eli (E-Rechnung) · Steuerberater:in |
| BetrVG | Betriebe mit ≥ 5 ständigen wahlberechtigten AN | BR wählbar ab 5 · Mitbestimmung §87 ff. | Mitbestimmungs-Coach |
| AGG | jede:r Arbeitgeber:in | laufend · Beschwerdestelle empfohlen ab 50 MA | HR-Compliance-Coach |
Im Bot zusätzlich: sektorale Sonderregeln (KWG/MaRisk/BAIT für Banken, DORA seit 17.01.2025, MDR & SGB V/XI fürs Gesundheitswesen, KMK-Vorgaben für Bildung, ggf. Fundamental Rights Impact Assessment Art. 27 AI Act für öffentliche Stellen).
Pro Trigger ein striktes JSON-Schema, das Cleo ohne Vorrede ausgibt — Widget oder API-Client rendert das direkt. Bei freier Anfrage Markdown wie gewohnt.
| Trigger | Output |
|---|---|
| PFLICHTEN_RADAR | MA-Zahl + Branche → priorisierte Pflichten-Liste mit Norm, Schwelle, Prio, Stichtag, Owner-Slot, next_step + 30-Tage-Quick-Wins |
| BOT_REFERRAL | Anliegen → primär-/sekundär-Bot-Empfehlung mit Begründung, wann Cleo selbst reicht und wann nicht |
| QUIZ_REQUEST | Multiple-Choice mit Norm-Verweis pro Erklärung — für Onboarding oder Schulungs-Modul |
| FLASHCARD_REQUEST | Karteikarten Front/Back mit Norm/Schwelle als Hint |
| CASE_REQUEST | KMU-Compliance-Fallszenario mit 2 Fragen + Lessons + Norm-Liste |
PFLICHTEN_RADAR ist Cleos Kernstück: aus den drei Inputs (Größe, Branche, Anlass) entsteht eine Pflichten-Karte, die direkt in das HR-/IT-/GF-Tracking wandert. Cross-Bot-Refs (Anton/Cora/Paul/Rasmus/Vestigia/Pia/Nora/Gustav/Bea/Zita/ Otto/Volker/Max/Vendo) sind im Schema verankert — Cleo schickt nicht zurück „frag jemand anderen", sie übergibt strukturiert.
Cleo ist explizit für die Lücke zwischen „Bauchgefühl + Google" und „dedizierte Compliance-Officer-Stelle". Wer sie typisch nutzt:
Erste Sortier-Frage zur eigenen Compliance-Lage. Was ist sofort kritisch, was darf 90 Tage warten, wo lohnt extern Berater. Ohne Klingel-Termin in der Anwaltskanzlei.
Schwellenwerte: ab wann BR wählbar, ab wann Beschwerdestelle, ab wann DSB. Querschnitt zu Mitbestimmung, AGG, Beschäftigtendaten — vor der nächsten Prüfung.
NIS-2-Selbstcheck, AI-Inventar, AVV-Konformität bei Cloud-Stack, MFA/Backup-Mindeststandards. Cleo zeigt, was fehlt — und wann es Cybersecurity-Spezialist:in braucht.
Cleo arbeitet konversational. Drei typische Eingänge:
Branche, Mitarbeitendenzahl, IT-Stack (Cloud-Dienste, KI-Tools, Endgeräte, Backup). 4-6 Fragen reichen. Cleo arbeitet defensiv — bei Unklarheit eher 🟡 (teil-erfüllt) als 🟢.
Querschnitt → Sektoral → Risiko-getrieben → Quick-Wins → Eskalationen. Pro Pflicht: Quelle (§), Adressat (GF/DSB/ITSiBe/BR), Frist (sofort/im Cycle/einmalig), Risiko-Bewertung (Bußgeld, Reputationsschaden, Haftung).
Cleo nennt explizit, wann sie endet: bei DSGVO-Tiefe → Cora; bei DSGVO×AI-Act-Crosswalk → KURT; bei AI-Act-Tech-Doku → VESTIGIA; bei E-Rechnung → Eli; bei Phishing/NIS-2-Awareness → Pia; bei sektoraler Pflege → PAUL.
Was du Cleo über eure Org-Struktur, eure Cloud-Verträge oder eure offenen Compliance-Lücken erzählst, verlässt unser Rechenzentrum in Schleswig-Holstein nicht. Inferenz auf eigener GPU im Bunker — kein OpenAI, kein Microsoft im Pfad eurer internen Schwachstellen.
Bei einer eigenen Instanz: deine Pflichten-Karten, deine internen Notizen, deine Eskalations-Logs landen in deiner LXC, nicht in einem Multi-Tenant-Pool. AVV nach DSGVO Art. 28 inklusive.
Cleo ist Eingangs-Triage. Diese drei Tools übernehmen die Tiefenarbeit, wenn sie an die Spezialist:in übergibt — Crosswalk, AI-Act-Tech-Doku, E-Rechnungs-Pflicht.
Cleo lässt sich mit eurem Org-Profil, eurer IT-Inventarliste und euren bestehenden Compliance-Dokumenten beladen — Pflichten-Karte dann auf konkretem Stand statt aus dem 6-Achsen-Standard. Setup in 14 Tagen oder als €29-Schnupper-Paket.