Fünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-VerordnungFünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Jetzt starten

Trust Center

Aktualisiert am 08.05.2026

Überblick

CIVAC ist der deutsche Compliance-Workspace für jede gesetzliche Beauftragten-Rolle, die Unternehmen oberhalb der relevanten Schwellenwerte bestellen müssen. Kunden lizenzieren den Workspace für ihre internen Beauftragten, oder bestellen unsere Beauftragten als Officer-as-a-Service. Dieselbe Plattform, derselbe Audit-Trail, derselbe Nachweis, den Prüfer kennen. EU-only Datenresidenz, Append-Only-Audit-Logs, AI-Outputs mit Quellenbeleg und Confidence-Score.

Anfragen

Compliance

Frameworks, nach denen wir arbeiten, ob im Betrieb oder in aktiver Zertifizierung.

DSGVO
Im Einsatz
BDSG
Im Einsatz
TTDSG
Im Einsatz
ISO/IEC 27001:2022
Stufe 1 abgeschlossen, Stufe 2 Q4 2026
SOC 2 Type II
Beobachtungsfenster seit Mai 2026 offen
ISO/IEC 27701
Roadmap, nach ISO 27001
TISAX
Roadmap H2 2026
EU AI Act
Mapping läuft für 02.08.2026
ISO/IEC 42001
AI-Management-System, Roadmap

Sicherheit

EU-Datenresidenz

Sämtliche Kundendaten werden ausschließlich in der EU (Frankfurt) verarbeitet und gespeichert. Keine Transfers außerhalb des EWR ohne Art.-46-DSGVO-Mechanismus.

Durchgehende Verschlüsselung

TLS 1.3 im Transport, AES-256 in Ruhe. Kundenindividuelle KMS-Schlüssel für Dokumente im Officer-as-a-Service-Tarif.

Append-Only Audit-Trail

Jede Aktion jedes Nutzers erzeugt einen unveränderlichen Evidence-Eintrag. Exportierbar in Formaten, die Prüfer kennen.

Least-Privilege-Zugriff

Rollenbasierter Zugriff per Default, MFA-Pflicht für Admins, SSO/SAML verfügbar, vierteljährliche Access-Reviews.

Belastbare Infrastruktur

Multi-AZ-Deployment, stündliche Backups mit 30-Tage-Point-in-Time-Recovery, DR-Runbooks zweimal jährlich getestet.

Verantwortungsvolle AI

Kein Modelltraining auf Kundendaten. AI-Outputs sind quellenbelegt und mit Confidence-Score versehen. Prompts und Dokumente werden nie zwischen Mandanten geteilt.

Ressourcen

Was wir veröffentlichen, was wir unter NDA teilen, was Ihre Beauftragten an Prüfer weitergeben.

ISO/IEC 27001:2022
Letter of Attestation der Stufe 1 ist verfügbar. Stufe-2-Zertifikat erwartet Q4 2026.
Pen-Test-Letter
Unabhängige Drittparteien-Penetrationsprüfung, Executive Summary auf Anfrage.

Richtlinien

+ 6 weitere auf Anfrage
  • POL-01Informationssicherheits-Richtlinie
  • POL-04Nutzungsrichtlinie (Acceptable Use)
  • POL-07Zugriffskontroll-Richtlinie
  • POL-09Kryptographie-Richtlinie
  • POL-12Datenschutz-Richtlinie (DSGVO)
  • POL-15Incident-Response-Richtlinie
  • POL-18Business-Continuity- & DR-Richtlinie
  • POL-21Vendor- & Sub-Processor-Richtlinie
  • POL-24AI-Acceptable-Use-Richtlinie
  • POL-27Verzeichnis von Verarbeitungstätigkeiten

Berichte & Vorlagen

  • Auftragsverarbeitungsvertrag (Art. 28 DSGVO)
    Kundenfertige AVV-Vorlage inklusive SCCs und aktueller Sub-Processor-Liste.
    Anfragen
  • Security-Whitepaper
    Architektur, Verschlüsselung, Zugriffsmanagement, Incident-Response und BC in einem Dokument.
    Anfragen
  • Pen-Test-Zusammenfassung
    Unabhängige Drittparteienprüfung. Executive Summary ohne NDA, vollständiger Bericht unter NDA.
    Anfragen
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30)
    Interne VVT-Vorlage, die spiegelt, was Ihre DSB an die Aufsichtsbehörde übergibt.
    Anfragen

Sub-Processoren

Unternehmen, die wir zur Erbringung des Dienstes einsetzen. Kunden werden mind. 30 Tage vor jeder Änderung benachrichtigt.

  • Google Cloud Platform
    Deutschland (Frankfurt-Region)
  • Cloudflare
    EU-Edge-Nodes
  • Anthropic
    EU-Regional-Endpoints
  • Stripe
    Irland

Controls

Wir arbeiten nach ISO/IEC 27001:2022 Annex A. Auszug der im Scope befindlichen Controls, gruppiert nach Klausel.

Organisatorisch

37 Controls
  • A.5.1
    Richtlinien für die Informationssicherheit
  • A.5.9
    Inventar der Informationen und sonstigen verbundenen Vermögenswerte
  • A.5.15
    Zugriffssteuerung
  • A.5.16
    Identitätsmanagement
  • A.5.22
    Überwachung, Überprüfung und Änderungssteuerung von Lieferantendiensten
  • A.5.29
    Informationssicherheit bei Betriebsunterbrechungen
  • A.5.31
    Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen
  • A.5.34
    Datenschutz und Schutz personenbezogener Daten

Technologisch

34 Controls
  • A.8.5
    Sichere Authentifizierung
  • A.8.8
    Umgang mit technischen Schwachstellen
  • A.8.18
    Verwendung privilegierter Hilfsprogramme
  • A.8.24
    Einsatz von Kryptographie
  • A.8.26
    Anwendungssicherheits-Anforderungen
  • A.8.28
    Sichere Programmierung
  • A.8.29
    Sicherheitsprüfungen in Entwicklung und Abnahme
  • A.8.34
    Schutz von Informationssystemen während Audit-Tests

Physisch

14 Controls
  • A.7.2
    Physischer Zutritt
  • A.7.4
    Physische Sicherheitsüberwachung
  • A.7.5
    Schutz vor physischen und umweltbedingten Bedrohungen
  • A.7.7
    Aufgeräumter Schreibtisch und gesperrter Bildschirm
  • A.7.8
    Aufstellung und Schutz von Geräten
  • A.7.12
    Verkabelungssicherheit

Personell

8 Controls
  • A.6.1
    Hintergrundprüfung
  • A.6.3
    Sensibilisierung, Schulung und Training zur Informationssicherheit
  • A.6.4
    Disziplinarverfahren
  • A.6.5
    Verantwortlichkeiten nach Beendigung oder Wechsel des Beschäftigungsverhältnisses
  • A.6.6
    Vertraulichkeits- oder Geheimhaltungsvereinbarungen
  • A.6.8
    Meldung von Informationssicherheitsereignissen

FAQs