CIVAC Alternative: 14 Bewertungskriterien für Compliance-Plattformen im Mittelstand

Die Suchanfrage nach einer CIVAC Alternative kommt selten aus Unzufriedenheit, sondern aus beschaffungsseitiger Sorgfalt. Eine Beauftragten-Bestellung nach § 5 BDSG, § 22 ChemG, § 22 ArbSchG oder den NIS-2-Pflichten nach § 32 BSIG ist eine mehrjährige Bindung mit Außenwirkung gegenüber Aufsichtsbehörden und Vertragspartnern. Beschaffungsabteilungen prüfen vor jedem solchen Vertrag mindestens drei Anbieter, und Geschäftsführungen erwarten ein dokumentiertes Vergleichsverfahren mit nachvollziehbarer Bewertungsmatrix. Der Markt selbst ist allerdings unübersichtlich, weil drei sehr unterschiedliche Modelle parallel existieren: klassische Kanzleien und Beraterhäuser mit Stundenabrechnung, reine Softwareanbieter (ISMS-Tools, Datenschutz-Mandanten-Software, Hinweisgebersysteme) und integrierte Plattformanbieter mit Officer-as-a-Service.

Dieser Artikel ist kein Verkaufstext, sondern eine Arbeitshilfe für die Ausschreibung. Er stellt 14 Bewertungskriterien vor, die ein belastbarer Anbietervergleich abdecken muss, ordnet Marktpreise nach Modell und Unternehmensgröße ein und liefert einen Entscheidungsbaum für die häufigsten drei Konstellationen im Mittelstand. Ziel ist, dass Sie nach der Lektüre eine Bewertungsmatrix in der Hand haben, mit der Sie auch Anbieter prüfen können, die in diesem Text nicht namentlich erwähnt werden. Eine Beauftragten-Wahl trifft man einmal pro Mandat, mit drei bis fünf Jahren Laufzeit. Die Vorbereitung lohnt sich, und sie hält der späteren Prüfung durch Vorstand oder Aufsichtsrat stand.

Der erste Schritt einer belastbaren Vergleichsanalyse ist die Klassifikation der Anbieter nach Geschäftsmodell. Drei Modelle dominieren den deutschen Markt für Compliance- und Beauftragten-Leistungen, und sie sind nicht direkt austauschbar. Wer Äpfel mit Birnen vergleicht, gewinnt im Preisrennen, verliert aber im Audit. Modell eins ist die klassische Kanzlei oder das Beraterhaus, oft mit Schwerpunkt Datenschutz, Wirtschaftsstrafrecht oder IT-Recht. Die Leistung wird in Stundensätzen zwischen 220 und 480 EUR abgerechnet, die Dokumentation läuft über E-Mail-Anhänge, Mandanten-Sharepoints oder selbstgehostete Datenräume. Die Stärke liegt in der juristischen Tiefe bei Einzelfragen und in der Schriftsatzqualität gegenüber Aufsichtsbehörden. Die Schwäche liegt in der laufenden Operativität und der Standardisierung der Vorlagen.

Modell zwei ist die reine Compliance-Software: ISMS-Tools, Datenschutz-Verfahrensverzeichnisse, Hinweisgebersysteme, GRC-Suites. Diese Anbieter liefern eine technische Plattform, aber keine Bestellurkunde und keine Person, die nach außen gegenüber den Aufsichtsbehörden verantwortlich ist. Sie sind ein Werkzeug, kein Beauftragter im Sinne von § 5 BDSG oder § 7 BSI-Gesetz. Der Käufer braucht zusätzlich einen internen oder externen Beauftragten, der die Software pflegt, die Nachweise zieht und im Vorfall reagiert.

Modell drei ist die Compliance-Plattform mit integriertem Officer-as-a-Service. CIVAC arbeitet nach diesem Modell: lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Pfade nutzen dieselbe Tenant-Architektur, dieselbe Bestellurkunde-Vorlage und denselben 24h/72h-Meldepfad nach NIS-2. Eine echte Alternative im Sinne der Suchanfrage ist nur ein Anbieter aus Modell drei oder eine sauber dokumentierte Kombination aus Modell eins und Modell zwei, die zusammen denselben Leistungsumfang abbildet und auch im Mandatsende sauber übergeben werden kann.

Ein dokumentiertes Vergleichsverfahren benötigt Kriterien, die sich messen lassen und die der unterlegene Bieter nicht erfolgreich beanstanden kann. Die folgenden 14 Punkte haben sich in Mittelstandsausschreibungen bewährt und decken die vier Cluster Rechtssicherheit, Operativität, Skalierung und Nachweisbarkeit ab. Rechtssicherheit umfasst erstens die Bestellurkunde mit benannter natürlicher Person, zweitens die vertragliche Unabhängigkeitsklausel nach Art. 38 Abs. 3 DSGVO bzw. die rollenspezifische Entsprechung im Arbeitsschutz- oder Umweltrecht, drittens die Qualifikationsnachweise nach Art. 37 Abs. 5 DSGVO bzw. § 7 BSI-Gesetz inklusive Fortbildungsstunden, viertens die Versicherungsdeckung mit Mindestsumme für Vermögensschäden.

Operativität umfasst fünftens die garantierte Reaktionszeit auf gemeldete Vorfälle (24 Stunden ist Marktstandard für NIS-2-pflichtige Lagen), sechstens die Erreichbarkeit außerhalb der Geschäftszeiten mit definiertem Eskalationspfad und Wochenendbereitschaft, siebtens die Vertretungsregelung bei Urlaub oder Krankheit der benannten Person, achtens die SLA-Hinterlegung im Vertrag mit konkreten Pönalen bei Fristüberschreitung.

Skalierung umfasst neuntens die Multi-Mandanten-Fähigkeit der Plattform für Konzernstrukturen mit getrennten Berechtigungen, zehntens die Standortabdeckung in der DACH-Region und in der EU, elftens die Sprachfähigkeit für ausländische Tochtergesellschaften, mindestens Deutsch und Englisch. Nachweisbarkeit umfasst zwölftens die Anzahl und Aktualität verfügbarer Audit-Vorlagen (CIVAC: 490 einsatzbereite Vorlagen), dreizehntens die Datenresidenz (EU-only ist Standard für DSGVO-Compliance, ohne Sub-Processing in Drittstaaten), vierzehntens das Audit-Log des Workspace mit lückenloser Nachvollziehbarkeit aller Zugriffe und Änderungen. Der Prüfer ruft an, der Nachweis liegt bereit. Diese 14 Punkte als Tabelle in der RFI ersparen späteren Streit um den Leistungsumfang und stehen einer späteren internen Revision stand. Wer die Kriterien als gewichtete Scorecard mit Punktwerten je Anbieter ausspielt, hat zusätzlich eine objektive Entscheidungsgrundlage gegenüber Vorstand und Aufsichtsrat.

Preisvergleiche scheitern oft daran, dass die Modelle unterschiedliche Leistungsumfänge bündeln und einzelne Positionen erst im Vorfall fakturiert werden. Die folgenden Preisbänder beziehen sich auf den Vollumfang eines bestellten Beauftragten plus zugehörige Plattform-Funktionen für ein typisches Mittelstandsunternehmen mit 150 Mitarbeitenden ohne besondere Kategorien personenbezogener Daten. Die Werte sind Monatsmieten zuzüglich Umsatzsteuer und stammen aus 2026er-Ausschreibungen im deutschen Mittelstand, validiert durch zehn Vergleichsprozesse in den vergangenen 24 Monaten.

Modell eins (Kanzlei plus eigene Dokumentationsablage) liegt typischerweise bei 1.800 bis 3.200 EUR pro Monat Grundvergütung, abhängig vom Mandatsumfang und der Größe der Kanzlei. Hinzu kommen Stundenpakete für Sonderlagen wie Datenschutz-Folgenabschätzungen, Datenpannen-Meldungen oder Auftragsverarbeiter-Prüfungen, die schnell weitere 400 bis 1.200 EUR pro Monat ausmachen. Die Dokumentationsablage wird intern bewirtschaftet, was 0,2 bis 0,4 FTE auf Sachbearbeitungsebene bindet.

Modell zwei (reine Compliance-Software) liegt bei 180 bis 850 EUR pro Monat pro Modul (Datenschutz, ISMS, Hinweisgeber, ESG). Bei drei Modulen also 540 bis 2.550 EUR pro Monat ohne Beauftragten. Ein externer Beauftragter zusätzlich addiert weitere 1.200 bis 2.400 EUR pro Monat, je nach Mitarbeiterzahl und Risikoprofil. Die Software-Pflege bindet 0,1 bis 0,3 FTE, weil die Tools für administrative Bedienung ausgelegt sind, nicht für inhaltliche Selbstaktualisierung gegen aktuelle Aufsichtsguidance.

Modell drei (Plattform-mit-Officer wie CIVAC) liegt bei 1.400 bis 2.600 EUR pro Monat für das Gesamtpaket inklusive Bestellurkunde, Workspace-Lizenz, 490 Audit-Vorlagen und 24h/72h-Meldepfad. Die Pflege bindet 0,05 bis 0,1 FTE, weil die Plattform den Großteil der Operativität abbildet und Vorlagen automatisch versioniert hält. Über 36 Monate gerechnet ergibt sich für das Plattformmodell ein Kostenvorteil von 30 bis 45 Prozent gegenüber Modell eins bei vergleichbarer Audit-Tauglichkeit. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Der Anbietervergleich endet nicht bei Preis und Kriterien, sondern bei der Passung zur Unternehmenskonstellation. Drei Konstellationen decken etwa 80 Prozent der deutschen Mittelstandsanfragen ab und führen jeweils zu einer klaren Empfehlung, die sich auch gegenüber dem Aufsichtsrat begründen lässt. Konstellation A ist das Unternehmen mit weniger als 50 Mitarbeitenden, keine besonderen Datenkategorien, keine NIS-2-Pflicht, ein bis zwei Beauftragte (typischerweise Datenschutzbeauftragter plus Brandschutzbeauftragter). Die Empfehlung lautet hier Modell drei, weil die Fixkosten einer Plattform pro Mandat günstiger ausfallen als Kanzlei-Stundensätze für dieselbe Operativität, und weil ein zentraler Workspace die Übersicht der Pflichten auch bei knappen internen Ressourcen sicherstellt.

Konstellation B ist das Unternehmen mit 50 bis 500 Mitarbeitenden, NIS-2-Pflicht (wesentlich oder wichtig), drei bis sieben Beauftragte über mehrere Rollen (DSB, ISB, ESG, Hinweisgeberstelle, Geldwäschebeauftragter, Lieferkettenbeauftragter). Hier ist Modell drei nahezu zwingend, weil die Koordination zwischen den Rollen über einen gemeinsamen Workspace stattfindet, mit gemeinsamer Vorfalldatenbasis und konsolidierter Berichtslinie an die Geschäftsführung. Die parallele Pflege getrennter Kanzlei-Mandate erzeugt Redundanzen, doppelte Datenpannen-Meldungen und widersprüchliche Aktenlagen, die bei einer Prüfung sofort auffallen. Bestellurkunde, unterschrieben, abgelegt, belegbar gilt nur dann, wenn alle Bestellurkunden in einem System liegen.

Konstellation C ist der Konzern mit mehr als 500 Mitarbeitenden, mehreren Tochtergesellschaften, ggf. internationaler Aufstellung mit Tochtergesellschaften in Österreich, der Schweiz oder weiteren EU-Mitgliedstaaten. Hier ist häufig eine Hybridlösung optimal: Modell drei für die Plattform und die Bestellungen der externen Beauftragten, Modell eins für strategische juristische Beratung bei Sonderlagen wie Konzernumstrukturierungen oder grenzüberschreitenden Datenflüssen. Reine Modell-eins-Lösungen scheitern an der Multi-Mandanten-Komplexität, reine Modell-zwei-Lösungen am fehlenden Beauftragten. Der Entscheidungsbaum endet immer bei der Frage: Wer übernimmt nach außen die Verantwortung als bestellte Person, und wo liegen die Nachweise. Beide Antworten muss der Anbieter im Vertrag schriftlich liefern.

Kanzlei-Modelle sind nicht per se schlechter, sie sind anders strukturiert und für andere Anwendungsfälle optimiert. Sechs Punkte werden in Ausschreibungen regelmäßig übersehen und führen später zu Streit über den Leistungsumfang oder zu unerwarteten Zusatzkosten. Erstens: Stundensätze gelten ab der ersten Minute, auch für Routinetätigkeiten wie die Aktualisierung des Verarbeitungsverzeichnisses, die Erstellung von Schulungsmaterial oder die Beantwortung interner Anfragen. Bei 280 EUR pro Stunde wird die jährliche Pflichtaktualisierung schnell zur dreistelligen Position auf der Quartalsrechnung.

Zweitens: Die Dokumentation liegt in der Regel auf dem Sharepoint der Kanzlei oder bei einem dritten Mandanten-Cloud-Anbieter mit eigener Datenschutzerklärung. Beim Mandatsende muss die Übergabe vertraglich geregelt sein, sonst entstehen Lücken in der Nachweisführung gegenüber dem Folgebeauftragten und der Aufsichtsbehörde. Drittens: Die benannte natürliche Person als Datenschutzbeauftragter ist häufig ein Counsel, der parallel 40 bis 80 weitere Mandate betreut. Die individuelle Reaktionszeit auf Vorfälle liegt dann strukturell jenseits der 24-Stunden-Schwelle, weil die Kapazität nicht skaliert.

Viertens: Bei Datenpannen läuft die Frist nach Art. 33 Abs. 1 DSGVO ab Kenntnis des Verantwortlichen, nicht ab Kenntnis der Kanzlei. Wenn der Anwalt erst Montag früh ins Büro kommt, ist die Frist bereits angelaufen, und der Verantwortliche trägt das Bußgeldrisiko. Fünftens: Kanzlei-Vertretungsregelungen sind oft unpräzise ("ein anderer Counsel des Teams") und führen im Krisenfall zu Übergabeverlusten zwischen Personen, die den Mandanten nicht kennen. Sechstens: Audit-Vorlagen sind selten standardisiert; jede Kanzlei nutzt eigene Templates, die nicht migrationsfähig sind. Wer nach drei Jahren wechseln will, bekommt seine Dokumente in einer Form, die das Folgesystem nicht 1:1 übernehmen kann, und zahlt für die Migration. Frist läuft ab Kenntnis. Das gilt auch für Übergabefristen am Mandatsende und für die Information der Aufsicht über den Wechsel.

Reine Compliance-Software hat ihren Markt und ihre Funktionen, aber sie ist keine vollständige CIVAC Alternative, weil sie eine wesentliche Lücke lässt: die bestellte natürliche Person mit Außenwirkung. Sieben Funktionen fehlen in den meisten Software-only-Angeboten und müssen separat beschafft werden, oft mit zusätzlichen Vertragspartnern und entsprechenden Schnittstellen. Erstens: Es gibt keine Bestellurkunde, weil keine Person bestellt wird. Die Software ist Werkzeug, nicht Beauftragter im rechtlichen Sinne.

Zweitens: Es gibt keinen externen Ansprechpartner für die Aufsichtsbehörde. Die Veröffentlichungspflicht des Verantwortlichen nach Art. 37 Abs. 7 DSGVO muss intern oder über einen externen Beauftragten gelöst werden, was eine zweite Beschaffung erfordert. Drittens: Bei Datenpannen gibt es keinen Triage-Pfad mit klar definiertem Ansprechpartner und Schutzklausel für betroffene Mitarbeitende; alle Eskalationen laufen über interne Postfächer, die im Krisenfall überlaufen oder zu spät gelesen werden.

Viertens: Audit-Begleitung durch die Software allein ist nicht möglich. Ein Prüfer der BNetzA, des BfDI oder einer Landesaufsicht sitzt mit einer Person zusammen, nicht mit einer Software. Die Person muss die Vorlagen aus der Software heraus erklären und verteidigen können. Fünftens: Die Pflege der Vorlagen liegt beim Käufer; Updates der Software liefern technische Patches, aber keine inhaltliche Aktualisierung an neue Aufsichtsguidance des BfDI oder des BSI. Sechstens: Mehrsprachigkeit und länderspezifische Anpassung sind in deutschen ISMS-Tools selten vollständig vorhanden.

Siebtens: Die Software allein erfüllt keine Bestellpflicht aus § 5 BDSG, § 22 ChemG, § 22 ArbSchG oder § 32 BSIG. Wer eine Software kauft und denkt, damit die Bestellpflicht erfüllt zu haben, hat ein Bußgeldrisiko geschaffen, das im Worst Case nach Art. 83 DSGVO bis zu 20 Mio. EUR oder 4 Prozent des Konzernumsatzes erreichen kann. Der CIVAC-Workspace integriert deshalb beide Ebenen: das Werkzeug und die bestellbare Person als externer Datenschutzbeauftragter im selben Tenant unter EU-Datenresidenz.

Spätestens ab der zweiten Tochtergesellschaft trennt sich der Markt deutlich. Eine CIVAC Alternative für einen Konzern muss vier Anforderungen abdecken, die einzelne Beraterhäuser und einfache ISMS-Tools strukturell nicht erfüllen und auch nicht durch Add-ons nachrüsten können. Erstens: Multi-Mandanten-Architektur mit getrennten Rollen und Berechtigungen pro Gesellschaft, aber konsolidierten Reports auf Konzernebene für Aufsichtsrat und Group Compliance. Eine separate Software-Instanz pro Tochter ist administrativ teuer, führt zu Datenredundanzen und erschwert konsolidierte Risikoanalysen.

Zweitens: Konsolidierte Bestellurkunden-Verwaltung. Nach Art. 37 Abs. 2 DSGVO darf ein DSB für mehrere Konzernverbundene benannt werden, sofern er von jeder Niederlassung leicht erreichbar ist. Diese Bedingung muss technisch und organisatorisch nachweisbar sein, was eine zentrale Verwaltung der Bestellurkunden mit Sprach- und Erreichbarkeitsnachweisen voraussetzt. Auch die parallele Information mehrerer Aufsichtsbehörden nach Art. 37 Abs. 7 DSGVO muss sauber dokumentiert sein.

Drittens: Cross-Standort-Vorfallmanagement. Eine Datenpanne in einer österreichischen Tochter mit Datenfluss in eine deutsche Konzernzentrale erzeugt parallele Meldepflichten gegenüber der österreichischen Datenschutzbehörde und der zuständigen deutschen Landesaufsicht. Der Workspace muss beide Meldepfade aus einem Vorfalldatensatz unterstützen, sonst entstehen widersprüchliche Sachverhaltsdarstellungen, die in Folgeprüfungen sofort auffallen. Viertens: Sprachfähigkeit für interne Anwender (Vorlagen, Schulungen, Hinweisgeber-Kanal, Dashboards) auf Deutsch, Englisch und mindestens einer dritten Sprache, je nach geographischer Aufstellung. Audit-fest, dokumentiert, § 32 BSIG-fest. Diese vier Punkte sind das Sieb, durch das die meisten Modell-eins- und Modell-zwei-Angebote im Konzernumfeld fallen. Der CIVAC-Workspace ist von Beginn an für diese Multi-Mandanten-Logik gebaut, ohne dass der Käufer zwischen separaten Instanzen wechseln oder mit eigenen Skripten konsolidieren muss.

Der Wechsel zwischen Compliance-Anbietern wird in der Kostenrechnung regelmäßig unterschätzt und in den ersten Vertragsverhandlungen meist gar nicht angesprochen. Fünf Positionen entstehen typischerweise bei einem Anbieterwechsel und gehören in jede Vergleichsrechnung über die Mandatslaufzeit hinweg. Erstens: Datenmigration. Verarbeitungsverzeichnisse, DSFA-Dokumente, Risikoanalysen, Schulungsnachweise und Audit-Berichte müssen in das Folgesystem übernommen werden. Ohne standardisiertes Exportformat entstehen Kosten von 5.000 bis 25.000 EUR für die Migration eines mittelständischen Bestands, abhängig von der Anzahl der Verfahren und der Qualität der Altdaten.

Zweitens: Aktualisierung der Bestellurkunden. Jede bestehende Bestellung muss formal aufgehoben und neu ausgesprochen werden, mit Datum, Unterschrift und Gegenzeichnung. Die Aufsichtsbehörde muss nach Art. 37 Abs. 7 DSGVO über den neuen Beauftragten informiert werden. Dritte Parteien wie Auftragsverarbeiter und Joint Controller müssen über den geänderten Ansprechpartner informiert werden, oft mit Aktualisierung der Datenschutzhinweise auf der Website. Drittens: Rebuild der Schulungs- und Awareness-Materialien, wenn der Folgeanbieter andere Vorlagen nutzt und keine direkte Übernahme erlaubt.

Viertens: Doppelbetrieb in der Übergangsphase. Realistisch sind drei bis sechs Monate Parallelbetrieb, weil sowohl Altsystem als auch Neusystem gepflegt werden müssen, bis Vorfälle, Fristen und laufende DSFA sauber im Folgesystem laufen. Diese Doppelkosten werden in Ausschreibungen oft vergessen und führen am Ende der Übergangsphase zu Eskalationen.

Fünftens: Schulung der internen Verantwortlichen auf das neue Tool und auf die neue Berichtslinie. Das CIVAC-Modell reduziert dieses Risiko durch zwei Mechanismen: erstens durch standardisierte Exportformate aus dem Workspace (JSON, CSV, PDF mit Hash-Stempel zur Manipulationssicherheit) und zweitens durch das Dual-Modell, das einen Wechsel zwischen interner Beauftragten-Nutzung und externer Bestellung jederzeit innerhalb desselben Tenants erlaubt. Wer das Anbieterrisiko strukturell minimieren will, kauft Datenportabilität als Vertragsbestandteil mit verbindlichen Exportzusicherungen, nicht als Versprechen.

Wer eine CIVAC Alternative ernsthaft prüft, sollte den Vergleich nicht im Stundensatz, sondern im Gesamtwertversprechen über die Mandatslaufzeit anlegen. Drei nächste Schritte führen aus der Analyse in eine Entscheidung, die auch in der nächsten internen Revision Bestand hat. Erstens: Definieren Sie die Beauftragten-Rollen, die in den nächsten 24 Monaten bestellt sein müssen, und ergänzen Sie die NIS-2-Klassifikation (wesentlich, wichtig, nicht betroffen) sowie die Mitarbeiterzahl pro Standort und die Art der verarbeiteten Daten. Diese Liste ist die Grundlage jeder seriösen Anbieteranfrage und schützt vor Missverständnissen im RFP.

Zweitens: Erstellen Sie auf Basis der 14 Bewertungskriterien aus diesem Artikel eine Anfrage an drei Anbieter, möglichst je einen aus jedem der drei Modelle. Bitten Sie jeden Anbieter um eine Beispielmusterung einer Bestellurkunde, ein Beispiel eines Verarbeitungsverzeichnisses und einen Beispielauszug aus dem Audit-Log. Wer diese drei Artefakte nicht innerhalb von fünf Werktagen liefert, hat sie nicht standardisiert und wird sie auch im Auftragsfall nicht standardisieren können.

Drittens: Lassen Sie sich von jedem Anbieter den Ablauf einer Datenpanne nach Art. 33 DSGVO bzw. einer NIS-2-Frühwarnung nach § 32 BSIG durchspielen, mit konkreten Zeitstempeln, Eskalationspfaden und Rollenverteilung. Wer diese Übung am Tisch nicht sauber durchhält, hält sie auch im Ernstfall nicht durch. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle nutzen denselben Tenant, dieselben 490 Audit-Vorlagen, denselben 24h/72h-Meldepfad und dieselben Bestellurkunden-Vorlagen. Der CIVAC-SLA für die erste Bestellurkunde liegt bei zwei Werktagen, gegenüber sechs Wochen im klassischen Vorgehen. Ein Probelauf beginnt mit einer Nachricht an info@civac.de oder über das Kontaktformular auf civac.de. Aus dem Lesen einen Auftrag machen.