Zurück zu den Projekten

ComplianceRadar

Ein schneller und bezahlbarer Compliance-Radar fuer KI-getriebene Unternehmen: Risiken aus EU KI-Verordnung, DSGVO und ePrivacy erkennen, bevor sie zu Rechts- oder Umsatzproblemen werden.

ComplianceRadar Landing und Results-Flow.

Das Problem

Europaeische Teams bringen laufend KI-Funktionen in den Markt, haben aber oft keinen einfachen Weg, ihre Pflichten unter EU KI-Verordnung, DSGVO und ePrivacy einzuordnen. Die Alternativen sind meist teuer (Einzelberatung) oder langsam (Enterprise-GRC mit langen Einfuehrungen). Fuer Startups und KMU entsteht so eine gefaehrliche Luecke: heute Unsicherheit, spaeter Bußgeld- und Geschaeftsrisiko.

Die Loesung

ComplianceRadar bietet einen automatisierten Self-Service-Workflow. Der kostenlose Scan liefert Risikostufe, KI-Act-Klassifikation, DSGVO-Score, Benchmark-Perzentil und Top-Findings. Bezahlte Stufen machen aus der Diagnose einen konkreten Umsetzungsplan: Single Report (29 EUR einmalig) mit vollstaendigen Findings, Referenzen, Remediation-Checkliste, Timeline und PDF-Export; Pro Monitoring (49 EUR/Monat) mit wiederkehrenden Re-Scans und Aenderungsalerts; Agency Plan (199 EUR/Monat) fuer hoeheres Volumen und Agentur-Use-Cases. Optionale Anmeldung, Dashboard-Historie und rechtliche Seiten machen das Produkt operativ einsatzfaehig.

Ergebnisse

In dieser Portfolio-Version werden bewusst keine erfundenen Kennzahlen gezeigt. Das Produkt ist auf klare Business-Outcomes ausgelegt: schnellere Compliance-Entscheidungen, geringere Beratungskosten und reduzierte Risikoexposition vor den kommenden Fristen. Quantitative KPIs werden mit wachsender Live-Nutzung ergaenzt.

ComplianceRadar positioniert sich als pragmatische Alternative zwischen teurer Rechtsberatung und komplexen Enterprise-Compliance-Plattformen. Teams bewerten Risiken schnell, priorisieren Maßnahmen und koennen Fortschritt transparent gegenueber Stakeholdern kommunizieren, ohne die Produktentwicklung auszubremsen.

Architektur

URL eingeben (optional E-Mail) → Scan-API (Cheerio ± Playwright-Fallback, optional Session → userId; Gemini mit ePrivacy-Kontext) → Prisma create (userId, userEmail optional) → Redirect zu Results → Teaser oder Vollbericht; Anmeldung → Dashboard listet Nutzer-Scans; Checkout → Stripe → Webhook setzt isPaid → Aktualisierung für Vollbericht und PDF-Download.

Tech-Entscheidungen

  • Next.js 16, App Router — ein Stack, API-Routen, Server-/Client-Components, Middleware.
  • Cheerio + fetch + Playwright-Fallback — Scraping; Playwright für JS-lastige Seiten und ePrivacy (Cookie-/Script-Erkennung vor Consent).
  • Google Gemini (@google/genai) — strukturierte JSON-Ausgabe, System-Prompt für Compliance-Analyst; keine Nutzerdaten für Modelltraining.
  • PostgreSQL + Prisma 7 — Scan, User, Account, Session (NextAuth); @prisma/adapter-pg.
  • Stripe Checkout — gehostet einmalig (29 € Full Report) und Abo (49 €/Monat Pro); Webhook für isPaid.
  • NextAuth (Google + Credentials) — Anmeldung, Dashboard (Scan-Historie), Scans bei Anmeldung mit Nutzer verknüpft. react-to-print für PDF-Export nach Bezahlung.

Implementierungs-Highlights

  • Prisma 7 und pg-Adapter — Client mit PrismaPg-Adapter; Singleton in lib/prisma.ts nur bei gesetzter DATABASE_URL.
  • Stripe und Build-Time-Env — Checkout und Webhook nutzen getStripe() im Request-Handler, damit die App ohne Stripe-Keys in CI baut.
  • Scan-API: URL-Validierung (nur HTTP(S); localhost/private IPs ablehnen), Multi-Page-Scrape (Compliance-Pfade), Playwright-Fallback bei wenig Text und ePrivacy (Cookies, Third-Party-Scripts vor Consent).
  • NextAuth und Scan-Ownership — getServerSession in Scan-API; Scan mit userId bei Anmeldung erstellt; Dashboard fragt Scans nach Nutzer ab.
  • Results und PDF — bezahlte Ansicht umschließt Bericht mit #pdf-report-content; react-to-print öffnet Browser-Druck/PDF; Print-Styles hell; Dateiname aus Scan-URL-Host.
  • Cookie-Banner (lib/cookieConsent) — Alle akzeptieren / Nur notwendige / Anpassen; Wahl gespeichert; ConsentAwareAnalytics.

Sicherheit und Robustheit

  • Secrets (GEMINI_API_KEY, STRIPE_*, DATABASE_URL, NEXTAUTH_SECRET, OAuth) nur serverseitig; Price-IDs und NEXTAUTH_URL öffentlich wo nötig.
  • Price-ID-Allowlist — Checkout validiert priceId gegen env-basierte Full-Report- und Pro-Monitoring-Price-IDs.
  • Webhook-Idempotenz — checkout.session.completed kann mehrfach kommen; isPaid auf true setzen ist idempotent.
  • Scan-Zugriff — wer den scanId-Link hat, kann Teaser sehen und Checkout abschließen; Dashboard und API liefern nur Scans des authentifizierten Nutzers, wenn userId gesetzt.

Dateistruktur

  • app/page.tsx — Landing: Urgency-Banner, Hero, URL-Formular, E-Mail-Modal, Pricing, FAQ; bei Erfolg → /results/[scanId].
  • app/results/[scanId]/page.tsx — Server Component; lädt Scan, übergibt an ResultsView.
  • app/results/[scanId]/ResultsView.tsx — Client: Teaser vs. Vollbericht, Blur, Stripe-CTAs (29 € / 49 €/Mo), PDF via react-to-print (bezahlt).
  • app/dashboard/page.tsx — geschützt; listet Nutzer-Scans (Datum, URL, Risiko, Bericht ansehen).
  • app/api/scan/route.ts — URL-Validierung, Scrape (Cheerio ± Playwright), Gemini, Prisma create (userId, userEmail optional).
  • app/api/checkout/route.ts — Scan und Price validieren, Stripe-Session erstellen, URL zurück.
  • app/api/webhooks/stripe/route.ts — Signatur prüfen, isPaid bei checkout.session.completed setzen.
  • app/api/auth/[...nextauth]/route.ts, app/terms, app/privacy, app/security — NextAuth-Handler; rechtliche Seiten (prose). lib/cookieConsent.ts, lib/playwright-scraper.ts.

Ergebnis

ComplianceRadar uebersetzt regulatorische Unsicherheit in einen klaren Produkt- und Entscheidungsprozess: Risiko schnell diagnostizieren, Maßnahmen priorisieren und bei Bedarf auf kontinuierliches Monitoring skalieren. Das kommerzielle Modell (kostenloser Einstieg, niedrigschwellige Paid-Tiers) ermoeglicht Conversion ohne Enterprise-Sales-Zyklus, waehrend der technische Stack Erweiterbarkeit und operativen Betrieb absichert.