Demo der CIVAC Compliance-Plattform buchen: Ablauf, Vorbereitung und nächste Schritte

Die DSGVO, das BDSG, das BSIG in Verbindung mit NIS-2, das GwG, das LkSG: Deutsche Unternehmen ab 50 Mitarbeitenden unterliegen oft fünf oder mehr Beauftragten-Pflichten gleichzeitig. Für jede Rolle gilt eine eigene Bestellpflicht, eigene Dokumentationsanforderungen und eigene Fristen. Die CIVAC Compliance-Plattform bündelt alle 25 Beauftragten-Rollen in einem gemeinsamen Workspace mit einheitlichem Audit-Trail, Schulungsmanagement und Berichtslinie zur Geschäftsleitung.

Eine Demo der Plattform dauert 60 Minuten und zeigt den vollständigen operativen Betrieb: Aufgaben mit Fälligkeiten, Projekte mit fünf festen Prozessschritten, die Dokumentations-Pipeline und den KI-Assistenten mit Confidence Score. Dieser Artikel erklärt den Demo-Ablauf, die sinnvolle Vorbereitung und die Optionen nach der Session.

Der CIVAC-Workspace organisiert jede Beauftragten-Rolle in sechs operative Bereiche, die inhaltlich identisch strukturiert sind, aber mit rollenspezifischen Inhalten befüllt werden. Diese einheitliche Architektur ermöglicht es Unternehmen, alle Beauftragten auf einer einzigen Plattform zu führen, ohne für jede Rolle ein separates Tool einzuführen und zu warten.

Aufgaben: Template-basierte Aufgabenliste mit Fälligkeiten, E-Mail-Intake und wiederkehrenden Cadences. Für den Datenschutzbeauftragten nach Art. 37 DSGVO enthält dieser Bereich die monatliche Überprüfung des Verarbeitungsverzeichnisses und die Überwachung der 72-Stunden-Meldefrist nach Art. 33 DSGVO. Jede Aufgabe wird im Audit-Trail protokolliert.

Schulungen: Pflichtschulungsmodule mit integriertem Test, Zertifikat und Abschlussquote pro Mitarbeitenden-Gruppe. Schulungsnachweise sind direkt im Audit-Trail verfügbar, nach Personengruppe filterbar und auf Anfrage exportierbar.

Projekte: Strukturierter Audit-Workflow mit fünf festen Schritten: Scope, Uploads, Rückfragen, Risiken, Bericht. Für ISO/IEC 27001:2022-Audits stehen 37 einsatzbereite Vorlagen bereit; für andere Rollenbereiche existieren analoge Vorlagen-Sets.

Dokumentation: Monatliche Konsolidierung abgeschlossener Aufgaben, Schulungen und Audit-Ergebnisse in einen exportfähigen Compliance-Bericht. DSGVO-konformer Export mit Datenresidenz ausschließlich EU. Fragen: KI-Assistent mit Confidence Score und Normen-Zitaten. Templates: Rollenübergreifender Vorlagenkatalog für Audits, Assessments, Schulungen und Betrieb.

Die sechs Workspace-Bereiche sind für alle 25 Beauftragten-Rollen gleich strukturiert, sodass der Wechsel zwischen Rollen im Workspace keine Einarbeitung erfordert. Wer den DSB-Workspace kennt, findet sich im ISB-Workspace sofort zurecht. Das reduziert den Schulungsaufwand bei der Einführung weiterer Rollen auf ein Minimum.

CIVAC deckt alle 25 nach deutschem Recht appointbaren Beauftragten-Rollen ab. Elf Rollen sind für die meisten Unternehmen ab einer bestimmten Größe oder Branche pflichtig; vierzehn weitere Rollen sind branchenspezifisch. Die Demo kann auf die für das jeweilige Unternehmen relevanten Rollen fokussiert werden – oder alle zeigen, wenn der Rollenüberblick selbst das Ziel ist.

Die elf üblicherweise pflichtigen Rollen umfassen: Datenschutzbeauftragter (§ 38 BDSG · Art. 37 DSGVO), Compliance-Beauftragter (IDW PS 980 · § 130 OWiG), Informationssicherheitsbeauftragter (ISO/IEC 27001:2022 · §§ 30, 38 BSIG), Fachkraft für Arbeitssicherheit (§ 5 ASiG · DGUV V2), Brandschutzbeauftragter (DGUV I 205-023 · DIN 14095), Gefahrstoffbeauftragter (§ 6 GefStoffV), Umweltbeauftragter (BImSchG · WHG), Geldwäschebeauftragter (§ 7 GwG), Qualitätsmanagementbeauftragter (DIN EN ISO 9001:2015), Lieferketten-Beauftragter (§ 4 LkSG) und Gleichstellungsbeauftragter (§ 13 AGG).

Branchenspezifische Rollen umfassen unter anderem den Betriebsarzt nach § 3 ASiG, den Hygienebeauftragten nach § 36 IfSG, den ESG-Beauftragten nach CSRD und ESRS sowie den Beauftragten Interne Meldestelle nach HinSchG. Die vollständige Liste mit Rechtsnormen und Schwellenwerten ist auf civac.de/de/roles abrufbar.

Viele mittelständische Unternehmen unterschätzen die Zahl ihrer Beauftragten-Pflichten. Ein produzierendes Unternehmen mit 200 Mitarbeitenden in der Chemiebranche kann gleichzeitig neun oder mehr Bestellpflichten aufweisen. Die Demo macht diese Überlappungen sichtbar.

Die Bestellpflicht-Übersicht ist auch ein strategisches Planungsinstrument: Unternehmen, die ihre Beauftragten-Strukturen in den nächsten zwölf Monaten ausbauen wollen – etwa wegen geplantem Wachstum über NIS-2-Schwellenwerte oder einer CSRD-Berichtspflicht ab 2025 – können in der Demo eine Roadmap der Rollenbestellungen entwickeln.

Eine strukturierte Vorbereitung macht die Demo wesentlich ertragreicher und reduziert die Nachbereitungszeit. Drei Schritte sind empfehlenswert.

Schritt 1 – Bestellpflicht-Checkliste ausfüllen: Welche Beauftragten-Rollen sind aktuell bestellt? Welche fehlen? Gibt es einen laufenden Prüfauftrag durch eine Behörde oder einen Wirtschaftsprüfer? Die Antworten erlauben dem CIVAC-Account-Manager, die Demo auf die konkreten Lücken auszurichten. Wer keine Zeit für die Checkliste hat, füllt sie als ersten Schritt der Demo aus – das kostet keine zusätzliche Zeit.

Schritt 2 – Aktuelle Dokumentation sichten: Liegen bestehende Bestellurkunden vor? In welchem Format wird aktuell dokumentiert – Excel, E-Mail-Ordner, separates Tool? Diese Information bestimmt, ob die Demo den Erstbestellungs-Workflow oder den Migrations-Workflow in den Vordergrund stellt. Eine Migration bestehender Dokumentation in den CIVAC-Workspace ist in der Praxis einfacher als oft erwartet, weil vorhandene Urkunden direkt importiert werden können.

Schritt 3 – Teilnehmende identifizieren: Die effektivste Konstellation ist eine Person aus der Geschäftsleitung für die Haftungsperspektive und eine Person, die operativ mit Compliance-Dokumentation arbeitet. Wenn bereits ein interner Beauftragter bestellt ist, sollte dieser unbedingt dabei sein. Drei bis vier Teilnehmende sind die typische Größe für eine produktive Demo-Session.

Für Unternehmen, die mehrere Rollen gleichzeitig besetzen müssen, empfiehlt sich die parallele Rollenauswahl in der Demo. CIVAC koordiniert Parallel-Bestellungen im selben Zwei-Tages-Fenster.

CIVAC unterscheidet zwei Demo-Typen, die unterschiedliche Schwerpunkte setzen, aber dieselbe Plattform zeigen. Die Wahl hängt davon ab, ob das Unternehmen interne Beauftragte hat oder externe Beauftragten-Bestellungen plant – oder beides kombinieren will.

Die Plattform-Demo richtet sich an Unternehmen, die den CIVAC-Workspace als Tool-Lizenz für ihre internen Beauftragten evaluieren. Schwerpunkt sind die sechs Workspace-Bereiche, der Audit-Trail, die Template-Bibliothek und der KI-Assistent. Typische Fragen in dieser Demo: Wie importiere ich bestehende Dokumentation? Wie übergibt der Workspace eine Aufgabe automatisch an die nächste Fälligkeit? Wie exportiere ich den Jahresbericht für den Aufsichtsrat? Wie werden Schulungsnachweise nach Personengruppen gefiltert?

Die Officer-as-a-Service-Demo richtet sich an Unternehmen, die eine oder mehrere Beauftragten-Rollen extern besetzen wollen. Schwerpunkt sind der Bestellurkunden-Workflow, die Partnernetzwerk-Logik, das SLA und die Berichtslinie zur Geschäftsleitung. Typische Fragen: Wer ist der konkrete Beauftragte? Wie ist die Berichtslinie strukturiert? Was passiert, wenn der bestellte Beauftragte ausfällt?

Viele Unternehmen buchen eine kombinierte Demo, die beide Typen zeigt. Das Mischmodell ist bei CIVAC häufig der Abschluss: interne Beauftragte, etwa der Compliance-Beauftragte, auf der Lizenz; externe Spezialrollen, etwa der Datenschutzbeauftragte oder der Betriebsarzt, über Officer-as-a-Service.

Die kombinierte Demo ist besonders für Unternehmen geeignet, die gerade die Entscheidung zwischen interner und externer Besetzung einer Rolle abwägen. In der Demo können beide Varianten direkt nebeneinander gezeigt werden: Wie sieht der Workspace für einen internen Beauftragten aus? Wie unterscheidet sich der Officer-as-a-Service-Ablauf? Diese Gegenüberstellung verkürzt den Evaluationsprozess erheblich.

Die Demo zeigt drei Bereiche der Plattform, die in Compliance-Evaluierungen regelmäßig als entscheidend bewertet werden: Audit-Trail, Fristen-Management und KI-Assistent. Diese drei Bereiche sind der Kern der operativen Compliance-Arbeit.

Audit-Trail: Jede Aufgabe, jedes Schulungs-Zertifikat, jedes Projekt-Ergebnis und jede Bestellurkunde wird im Audit-Trail unveränderlich mit Zeitstempel protokolliert. Im Demo-Workspace wird ein Audit-Trail aus einer Stichprobe von zwölf Monaten gezeigt: vollständige Nachverfolgbarkeit von Erstbestellung über laufende Aufgaben bis zum Jahresbericht. Der Prüfer ruft an, der Nachweis liegt bereit – exportierbar auf Knopfdruck.

Fristen-Management: Die Demo zeigt, wie Fristen automatisch aus den Rechtsnormen abgeleitet werden. Die 72-Stunden-Meldefrist nach Art. 33 DSGVO wird ab dem Zeitpunkt der Ereigniserfassung rückwärts gezählt; der DSB erhält eine Erinnerung bei 48 Stunden und bei 24 Stunden. Die 24-Stunden-Frühwarnung und die 72-Stunden-Folgemeldung nach NIS-2 (§§ 30, 38 BSIG) werden analog abgebildet.

KI-Assistent: Der Fragen-Bereich enthält einen KI-Assistenten mit Confidence Score und Normen-Zitaten. Die Demo zeigt eine Live-Abfrage; der Assistent antwortet mit Quellenangabe und gibt bei Unklarheiten einen Confidence Score unter 70 % aus, der automatisch eine Eskalation zur externen Beratung empfiehlt. Dieser Mechanismus schützt vor Eigeninterpretationen bei komplexen Rechtsfragen.

Für NIS-2-betroffene Einrichtungen hat das Fristen-Management besondere Relevanz: Die 24-Stunden-Frühwarnung nach § 30 BSIG erfordert einen automatisierten Auslösemechanismus, der im manuellen Betrieb kaum zuverlässig einzuhalten ist. Der CIVAC-Workspace löst diese Anforderung durch den rollenspezifischen Meldepfad des Informationssicherheitsbeauftragten.

Compliance-Plattformen verarbeiten sensible interne Unternehmensdaten: Bestellurkunden, Prüfberichte, Datenpannen-Meldungen, Schulungsnachweise, Verarbeitungsverzeichnisse. Die Anforderungen an die Datensicherheit sind entsprechend hoch, und Interessenten stellen diese Fragen zurecht bereits vor der Demo. CIVAC beantwortet sie mit überprüfbaren Standards.

CIVAC betreibt ein ISMS nach ISO/IEC 27001:2022 mit 93 implementierten Controls. Daten werden ausschließlich in der EU gespeichert; es gibt kein Routing über Drittländer und keine Unterauftragsdatenverarbeitung außerhalb des EWR. Kommunikation zur Plattform erfolgt via TLS 1.3; Daten at rest sind mit AES-256 verschlüsselt. Penetrationstests werden jährlich durch unabhängige externe Prüfer durchgeführt.

Für KRITIS-Betreiber und NIS-2-betroffene Einrichtungen ist die EU-Datenresidenz eine formale Anforderung. § 30 BSIG verlangt für kritische Anlagen die Verarbeitung in sicheren Umgebungen. CIVAC erfüllt diese Anforderung und kann auf Anfrage eine BSI C5-Selbstauskunft sowie ein TISAX-Readiness-Nachweis zur Verfügung stellen.

Im Demo-Workspace werden ausschließlich synthetische Testdaten verarbeitet. Interessenten-Kontaktdaten werden nach Art. 6 Abs. 1 lit. b DSGVO zur Vertragsanbahnung verarbeitet und auf Widerspruch sofort gelöscht. Die Test-Session wird innerhalb von 24 Stunden nach der Demo vollständig und unwiederbringlich gelöscht.

Für Unternehmen im Finanzsektor ist die DSGVO-konforme Verarbeitung im CIVAC-Workspace auch im Hinblick auf die BaFin-Anforderungen relevant: BaFin-Rundschreiben und MaRisk-Anforderungen fordern nachweisbare Datenschutzkontrollen. Die EU-Datenresidenz und der ISO-27001-Standard erfüllen diese Anforderungen und sind im Demo-Gespräch referenzierbar.

Nach der Demo erhalten Interessenten ein schriftliches Angebot mit transparenter Preisstruktur. CIVAC arbeitet mit Monats- und Jahrespreisen; es gibt keine versteckten Setup-Gebühren oder per-Nutzer-Kosten für interne Workspace-Mitglieder. Diese Preistransparenz ist bewusst: Wer in der Demo gesehen hat, was die Plattform leistet, soll im Angebot keine unangenehmen Überraschungen erleben. Das schafft eine belastbare Kalkulationsgrundlage für die Budgetentscheidung.

Die Preisstruktur unterscheidet zwei Modelle. Die Workspace-Lizenz ist ein Monats- oder Jahresabonnement für eine oder mehrere Beauftragten-Rollen. Die Lizenz beinhaltet vollen Zugang zum Workspace, alle Templates, den KI-Assistenten mit Confidence Score und den vollständigen Audit-Trail. Die Officer-as-a-Service-Rate ist ein monatliches Pauschalentgelt für die externe Beauftragten-Bestellung inklusive Workspace-Lizenz. Das Pauschalentgelt deckt Beauftragten-Honorar, Workspace-Lizenz und CIVAC-Koordination ab.

Für Unternehmen, die mehrere Rollen gleichzeitig bestellen, gibt es rollenübergreifende Paketpreise. Die Preise werden im Angebot nach der Demo individuell kalkuliert, abhängig von Rollen-Mix, Unternehmensgröße und Vertragslaufzeit. Die Kalkulation ist nachvollziehbar und auf Nachfrage vollständig aufgeschlüsselt.

Klassische externe Beauftragten-Bestellungen ohne Plattform kosten im Mittelstand bei einem einzelnen externen DSB nach Marktstandard typischerweise 150–400 Euro pro Monat. CIVAC positioniert sich im mittleren Preissegment und bietet dabei einen deutlich höheren Dokumentationsstandard sowie vollständigen Workspace-Betrieb.

Die Preistransparenz hat auch einen praktischen Aspekt für die Budgetplanung: Unternehmen, die mehrere Rollen im Jahresrhythmus bestellen wollen, können das Gesamtbudget aus den Demo-Angebotsparametern direkt kalkulieren. CIVAC stellt auf Wunsch nach der Demo eine Mehrjahres-Kalkulation bereit, die als Planungsgrundlage für die interne Budgetgenehmigung verwendet werden kann.

Unternehmen, die eine Compliance-Plattform evaluieren, stoßen auf zwei Kategorien: spezialisierte Beauftragten-Plattformen wie CIVAC und generische GRC-Suites (Governance, Risk, Compliance), die ursprünglich für konzernweites Risikomanagement entwickelt wurden und jetzt auch im Mittelstand angeboten werden.

Der strukturelle Unterschied: Generische GRC-Suites sind auf Risikomanagement, Audit-Koordination und konzernweite Berichterstattung ausgelegt. Sie setzen voraus, dass interne Compliance-Teams die Prozesse selbst konfigurieren und Rollen-Templates selbst entwickeln. Für eine GmbH mit 200 Mitarbeitenden und Bedarf an fünf Beauftragten-Rollen bedeutet das in der Praxis: sechs bis zwölf Monate Implementierung, interne Ressourcen für Konfiguration und laufende Wartung, Lizenzkosten im fünfstelligen Bereich pro Jahr und eine externe Beratungsbegleitung für das Rollout.

CIVAC ist von Grund auf für den deutschen Mittelstand und die 25 appointbaren Beauftragten-Rollen gebaut. Konfiguration ist nicht erforderlich; die Rollen sind vorstrukturiert mit rechtsnormbasierten Aufgabenlisten. 37 Audit-Vorlagen sind sofort einsatzbereit. Der Workspace ist nach zwei Werktagen aktiv, ohne Implementierungsprojekt.

Ein weiterer struktureller Unterschied liegt im Personalmodell: Generische GRC-Suites setzen interne Beauftragte voraus. CIVAC bietet den Officer-as-a-Service als Alternative – der externe ISB oder der externe DSB wird über CIVAC bestellt und direkt in den Workspace integriert. Das ist für Unternehmen ohne interne Fachkraft der entscheidende Vorteil.

Für Unternehmen, die mehrere Rollen evaluieren und dabei einen Wettbewerbsvergleich durchführen wollen, empfiehlt CIVAC einen strukturierten Bewertungsbogen, der die Kriterien Konfigurationsaufwand, Onboarding-Zeit, Dokumentationstiefe und Preisstruktur nebeneinanderstellt. Dieser Bogen ist auf Anfrage verfügbar und erleichtert die Gremienentscheidung.

Die Demo-Buchung ist der erste operative Schritt zur strukturierten Compliance. Nach der Session stehen zwei Wege offen: Workspace-Lizenz für interne Beauftragte oder Officer-as-a-Service für externe Bestellung. Viele Unternehmen kombinieren beide Modelle, je nach Verfügbarkeit und Qualifikation der internen Beauftragten. Diese Flexibilität ist kein Kompromiss, sondern ein struktureller Vorteil: Beide Modelle teilen denselben Workspace und denselben Audit-Trail.

CIVAC ist als Compliance-Plattform und Officer-as-a-Service gebaut, um genau diese Entscheidung offen zu halten. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. Beide Modelle teilen denselben Workspace, denselben Audit-Trail, dieselbe Dokumentationsstruktur. Die Entscheidung kann nach der Demo auch rollensweise getroffen werden: DSB intern auf der Lizenz, Betriebsarzt extern über Officer-as-a-Service – und jederzeit angepasst werden.

Nach Auftragserteilung gilt das CIVAC-SLA ohne Ausnahme: Vertrag, Person und Urkunde in zwei Werktagen. Die Workspace-Aktivierung und die Beauftragten-Bestellung laufen parallel ab. Es ist keine Vorlaufzeit für Konfiguration oder Setup erforderlich. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Aus dem Lesen einen Auftrag machen: Buchen Sie jetzt die Demo unter info@civac.de oder über das Kontaktformular auf civac.de. Das CIVAC-Team bestätigt den Wunschtermin innerhalb eines Werktags.

Der erste Schritt ist die Demo. Der zweite Schritt ist das Angebot. Der dritte Schritt ist die Auftragserteilung. Ab dem dritten Schritt gilt das CIVAC-SLA: Vertrag, Person und Urkunde in zwei Werktagen. Diese drei Schritte dauern zusammen in der Praxis weniger als eine Woche – verglichen mit der branchenüblichen Vorlaufzeit von zwei bis sechs Wochen.