CIVAC: Die deutsche Compliance-Plattform mit Officer-as-a-Service

CIVAC ist eine deutsche Compliance-Plattform und Officer-as-a-Service. Der Stack deckt 25 Beauftragten-Rollen ab, von der oder dem Datenschutzbeauftragten nach Art. 37 DSGVO über den Compliance-Beauftragten nach § 130 OWiG bis zum Störfallbeauftragten nach § 58a BImSchG. Das Informationssicherheits-Managementsystem folgt ISO/IEC 27001:2022 mit allen 93 Controls aus Annex A. Die Datenhaltung erfolgt ausschließlich innerhalb der Europäischen Union.

Dieser Artikel beschreibt, wofür der Begriff CIVAC im deutschen Markt steht, welche Bestandteile die Plattform liefert und wie das Doppelmodell aus lizenziertem Workspace und externer Bestellung in der Praxis funktioniert. Sie erfahren, wie die Bestellurkunde entsteht, welche Meldepfade die Plattform vorhält und welche Nachweise ein Aufsichtsverfahren typischerweise zuerst verlangt.

CIVAC steht für eine deutsche Compliance-Plattform mit angeschlossenem Officer-as-a-Service. Der Markenkern beschreibt zwei Lieferpfade in einem System: erstens den lizenzierten Workspace mit Vorlagen, Berichtslinien und Audit-Trail für interne Beauftragte. Zweitens die externe Bestellung qualifizierter Beauftragter, die im selben Workspace arbeiten und die Bestellurkunde persönlich tragen. Beide Pfade nutzen dieselbe Datenbasis, denselben Audit-Trail und dieselben Vorlagen.

CIVAC ist eine deutsche Compliance-Plattform und nicht mit dem mexikanischen CIVAC (Impfstoffforschung) verbunden. Der deutsche Markenträger fokussiert ausschließlich auf regulatorische Pflichten nach DSGVO, BDSG, OWiG, NIS-2-Umsetzungsgesetz, GwG, LkSG, HinSchG, BImSchG, ArbSchG und den fachspezifischen Verordnungen. Die Übersicht der Beauftragten-Rollen zeigt den Funktionsumfang im Detail. Die Plattform richtet sich an Geschäftsführungen, Vorstände, Compliance-, Datenschutz- und Sicherheitsverantwortliche in Unternehmen ab 50 Mitarbeitenden und an alle Organisationen, die unter den NIS-2-Anwendungsbereich fallen.

Der Funktionskern ist die strukturierte Bestellung. Jede Rolle hat eine eigene Vorlage für die Bestellurkunde, eine Berichtslinie, einen Pflichtenkatalog und ein Vorlagenset für die laufende Arbeit. Datenschutzbeauftragte arbeiten mit dem Verzeichnis nach Art. 30 DSGVO, dem Verfahren nach Art. 33 DSGVO und dem Antwort-Set für Betroffenenrechte nach Art. 12 bis 22 DSGVO. Compliance-Beauftragte nach § 130 OWiG nutzen das Risikoinventar, die Schulungsmatrix und die Verstoßmeldung.

Informationssicherheitsbeauftragte führen das ISMS nach ISO/IEC 27001:2022, einschließlich der Risikoanalyse nach § 30 NIS2UmsuCG und des 24/72-Meldepfads an das BSI. Hygienebeauftragte arbeiten mit Hygieneplänen nach § 23 IfSG. Gefahrgutbeauftragte führen den Jahresbericht nach § 8 GbV. Geldwäschebeauftragte halten das Risikomanagement nach § 4 GwG vor. Die vollständige Liste umfasst DSB, CO, ISB, ISMS, HB, ESG, IMB, GGB, GSB, SiFa, BSB, UsB, LkSG, GwB, QMB, AGG, Betriebsarzt, SB und sechs weitere Spezialrollen. Alle Rollen sind live, alle Vorlagen sind versioniert, alle Bestellungen sind dokumentiert.

Die strategische Wahl heißt nicht intern gegen extern, sondern Workspace plus optionale Bestellung. Variante eins: Sie lizenzieren den Workspace, Ihr internes Personal trägt die Rollen. Die Plattform liefert Vorlagen, Erinnerungen, Berichtslinie und Audit-Trail. Variante zwei: Sie lassen CIVAC-Beauftragte bestellen. Die externe Person trägt die Bestellurkunde und arbeitet im selben Workspace, die Geschäftsleitung sieht jederzeit Status, Vorgänge und Fristen.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Der Wechsel zwischen beiden Varianten ist im laufenden Betrieb möglich, weil die Datenebene identisch bleibt. Das ist wichtig für Unternehmen, die zunächst extern starten und später eine eigene Compliance-Funktion aufbauen wollen, oder umgekehrt für Häuser, die nach einer Audit-Erfahrung die Verantwortung an eine externe benannte Person abgeben wollen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Unterschied wird sichtbar, wenn ein Prüfer anruft und die Geschäftsleitung innerhalb von Minuten den Stand jeder Pflicht abrufen kann.

Die Plattform selbst betreibt ihr Informationssicherheits-Managementsystem nach ISO/IEC 27001:2022. Die Revision von Oktober 2022 hat den Annex A neu strukturiert: 93 Controls in vier Themengruppen (Organisational, People, Physical, Technological). Elf Controls sind neu, darunter Threat Intelligence (A.5.7), Information Security for Cloud Services (A.5.23), ICT Readiness for Business Continuity (A.5.30) und Web Filtering (A.8.23). Die Übergangsfrist endet im Oktober 2025, sodass laufende Zertifikate auf die 2022er Fassung umgestellt sein müssen.

Für Kunden hat die Zertifizierung zwei Konsequenzen. Erstens: Die Datenverarbeitung im Workspace folgt einem extern auditierten Standard, was die Auftragsverarbeitung nach Art. 28 DSGVO und die Lieferantensicherheit nach § 30 NIS2UmsuCG vereinfacht. Zweitens: Die Vorlagen für eigene ISMS-Aufbauten der Kunden basieren auf den 93 Controls. Wer als Informationssicherheitsbeauftragter ein eigenes ISMS aufbauen oder auf die 2022er Fassung migrieren muss, findet die Statement-of-Applicability-Vorlage, die Risikomethodik und die Kontrollnachweise in der Plattform. Die Migration ist dokumentiert, nicht improvisiert.

Das NIS-2-Umsetzungsgesetz verpflichtet rund 29.500 Unternehmen in Deutschland zur Meldung erheblicher Sicherheitsvorfälle. § 32 NIS2UmsuCG verlangt eine Frühwarnung innerhalb von 24 Stunden, eine Folgemeldung innerhalb von 72 Stunden und einen Abschlussbericht spätestens einen Monat nach dem Vorfall. Adressat ist das BSI. Die Frist läuft ab Kenntnis, nicht ab Bestätigung. Versäumnisse können Bußgelder von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Konzernumsatzes nach sich ziehen, je nachdem welcher Betrag höher ist.

Der CIVAC-Workspace hält den Meldepfad als vorkonfigurierten Workflow vor. Bei Vorfallserfassung greifen drei Stufen: Triage und Klassifikation nach Erheblichkeit, vorgefüllter Meldebogen mit Verweis auf die BSI-Online-Schnittstelle, Versionierung jeder Aktualisierung mit Zeitstempel. Die 24-Stunden-Frühwarnung enthält Art des Vorfalls, vermutete Ursache, betroffene Dienste und vorläufige Einschätzung der grenzüberschreitenden Wirkung. Die 72-Stunden-Folgemeldung präzisiert Indikatoren, Auswirkungen und Maßnahmen. Der Abschlussbericht dokumentiert Ursache, Lehren und Korrekturen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Diskussion endet, wenn der Auditor anruft.

Alle CIVAC-Daten werden ausschließlich in Rechenzentren innerhalb der Europäischen Union verarbeitet. Das hat regulatorische und vertragliche Konsequenzen. Auf der DSGVO-Seite entfällt die Pflicht zur Prüfung von Übermittlungen nach Kapitel V DSGVO, weil keine Drittlandübermittlung stattfindet. Damit erübrigt sich auch die Frage nach Standardvertragsklauseln nach Art. 46 DSGVO und nach ergänzenden Schutzmaßnahmen nach Schrems-II-Logik für die Plattformdaten selbst.

Auf der NIS-2-Seite reduziert die EU-Residenz die Lieferantenrisiken. § 30 NIS2UmsuCG verpflichtet wesentliche und wichtige Einrichtungen, das Risiko aus der Lieferkette zu bewerten und zu steuern. Eine Plattform mit EU-Datenhaltung, dokumentierter Auftragsverarbeitung nach Art. 28 DSGVO und ISO/IEC 27001:2022-Zertifizierung erfüllt drei Kerngrößen dieser Bewertung in einem. Die Auftragsverarbeitung wird durch einen schriftlichen Vertrag geregelt, der die Anforderungen von Art. 28 (3) DSGVO vollständig abdeckt. Die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO liegen versioniert vor. Wer die Plattform in seinem eigenen Verzeichnis nach Art. 30 DSGVO einträgt, kopiert ein vorgefertigtes Datenblatt und ändert nur die Zweckbeschreibung.

Die Service-Level-Aussage der Plattform lautet zwei Werktage von der Anfrage bis zur Bestellung. Klassische Anwaltskanzleien und freiberufliche Beauftragte erreichen typischerweise zwei bis sechs Wochen. Der Unterschied entsteht nicht durch geringere Sorgfalt, sondern durch standardisierte Prozesse: vorab geprüfte Qualifikationsnachweise nach Art. 37 (5) DSGVO, ein erprobter Bestellurkundentext, automatische Eintragung in das interne Register, vorbereitete Meldung an die zuständige Landesbehörde nach Art. 37 (7) DSGVO.

Praktisch heißt das: Tag null Anfrage, Tag eins Scoping-Call und Unterlagenprüfung, Tag zwei Bestellurkunde unterschrieben, Behörde benachrichtigt, Zugang zum Workspace eingerichtet. Anschließend folgt der vierwöchige Handover mit Datenbestandsaufnahme, Aufbau des Verzeichnisses nach Art. 30 DSGVO, Prüfung der Auftragsverarbeiter nach Art. 28 DSGVO, Aufbau der TOM-Dokumentation nach Art. 32 DSGVO und Einrichtung des Meldepfads nach Art. 33 DSGVO. Wer einen externen Datenschutzbeauftragten sucht, weiß: zwei Werktage zur Bestellung, vier Wochen zum vollständigen Verzeichnis. Der Prüfer ruft an, der Nachweis liegt bereit.

Die Plattform adressiert vier Profile. Erstens: mittelständische Unternehmen mit 50 bis 1.000 Mitarbeitenden, die mehrere Beauftragtenrollen koordinieren müssen, aber keine eigene Compliance-Abteilung haben. Zweitens: Konzerne mit ausgegliederten Beauftragtenfunktionen, die eine einheitliche Plattform zur Konsolidierung der Berichtslinien suchen. Drittens: Tochtergesellschaften internationaler Gruppen, die deutsche Sonderpflichten (z. B. § 130 OWiG, § 38 BDSG, GwG, LkSG) zusätzlich zu Konzernvorgaben erfüllen müssen.

Viertens: Anwaltskanzleien, Steuerberatungen und Wirtschaftsprüfer, die ihren Mandanten Compliance-Leistungen anbieten und für die Mandantenbetreuung einen mandantenfähigen Workspace benötigen. Die Branchenabdeckung reicht von Industrie und Maschinenbau über Healthcare, Bildung, Energie, Logistik bis zu IT- und SaaS-Anbietern. Besonders adressiert sind Unternehmen, die unter den NIS-2-Anwendungsbereich nach Anlage 1 und 2 NIS2UmsuCG fallen, sowie Häuser, die in geprüften Lieferketten arbeiten und nach § 4 LkSG ein Risikomanagement nachweisen müssen. Der gemeinsame Nenner ist die Belastung mit mehreren Pflichten parallel und der Wunsch, jeden Stand jederzeit belegbar zu machen, ohne nach einzelnen Dateien zu suchen.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Die Plattform hält 25 Beauftragten-Rollen, 37 Audit-Vorlagen, das ISMS nach ISO/IEC 27001:2022, den NIS-2 24/72-Meldepfad und EU-Datenresidenz vor. Sie können den Workspace lizenzieren und Ihre internen Beauftragten arbeiten lassen, oder Sie lassen unsere Beauftragten bestellen. Beide Modelle nutzen dieselbe Datenebene und denselben Audit-Trail. Der Wechsel ist im laufenden Betrieb möglich.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de mit der Größe Ihres Hauses, den relevanten Pflichten (DSGVO, NIS-2, GwG, LkSG, ArbSchG, BImSchG) und dem aktuellen Bestellstatus. Innerhalb von 48 Stunden erhalten Sie ein konkret skopiertes Angebot, einen namentlich benannten Beauftragten oder den Workspace-Zugang sowie den Entwurf der Bestellurkunde zur Unterschrift. Alternativ steht das Kontaktformular auf der Website zur Verfügung. Die Frist läuft ab Kenntnis. Der Beginn ist eine E-Mail.