CIVAC Compliance: Plattform, Officer-as-a-Service und der operative Aufbau dahinter

CIVAC adressiert eine strukturelle Lücke im deutschen Compliance-Aufbau: Die Pflicht zur Bestellung eines Datenschutzbeauftragten nach § 38 BDSG, eines Informationssicherheitsbeauftragten nach dem NIS-2-Umsetzungsgesetz, einer Fachkraft für Arbeitssicherheit nach § 5 ASiG, eines Brandschutzbeauftragten nach den Landesbauordnungen, eines Geldwäschebeauftragten nach § 7 GwG und mindestens fünfzehn weiterer Rollen entsteht parallel, wird aber bisher in getrennten Ordnern, Tools und Verträgen geführt. Ein Auditor, der die Bestellurkunden anfordert, erhält fragmentierte Antworten aus Personalakte, IT-Wiki und einem nicht versionierten Sharepoint. Diese Fragmentierung ist nach Erfahrung der Aufsichtsbehörden die häufigste Ursache für Bußgelder, nicht der materielle Verstoß selbst.

Der Beitrag beschreibt, wie CIVAC als Compliance-Plattform und Officer-as-a-Service das Setup konsolidiert. Erklärt werden die zugrundeliegende Architektur, die Rollenliste mit ihren jeweiligen Rechtsgrundlagen, das duale Bezugsmodell aus Workspace-Lizenz und gestellten Beauftragten, die Dokumentationsstandards, die Berichtslinie an die Geschäftsführung, die EU-Datenresidenz, die SLAs für Bestellung und Reaktion sowie die Schnittstellen zu bestehenden Systemen wie ISMS, GRC-Tools und HR-Plattformen. Adressaten sind Geschäftsführer, Justiziare, Compliance-Verantwortliche und IT-Leiter, die einen Aufsichtsbrief, eine Vertragsprüfung durch einen Großkunden oder einen Vorstandsbeschluss zum Anlass für eine saubere Neuordnung der Beauftragten-Landschaft nehmen. Der Beitrag verzichtet auf Marketing-Begriffe und konzentriert sich auf das, was eine Aufsichtsbehörde im Audit tatsächlich prüft.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit Sitz in Deutschland. Die Plattform bündelt 25 Pflicht-Beauftragtenrollen, hält 490 einsatzbereite Audit-Vorlagen vor, dokumentiert 93 Controls nach ISO/IEC 27001:2022 und betreibt die zugrundeliegende Infrastruktur ausschließlich innerhalb der Europäischen Union. Der Unterschied zu klassischen Beraterhäusern liegt nicht in der Rechtsexpertise, sondern in der Form, in der diese Expertise ausgeliefert wird. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Jede Bestellurkunde ist versioniert, jede Berichtslinie ist verknüpft, jede Maßnahme hat einen Verantwortlichen, ein Fälligkeitsdatum und einen Nachweis im selben System.

Operativ bedeutet das: Wenn der Aufsichtsbehörde die Bestellurkunde des externen Datenschutzbeauftragten vorzulegen ist, liegt sie nicht in einem Mailpostfach, sondern im Workspace, mit Signaturdatum, Geltungsbereich und letzter Aktualisierung. Wenn das Bundesamt für Sicherheit in der Informationstechnik eine 24-Stunden-Frühwarnung unter NIS-2 verlangt, ist der Meldepfad vorkonfiguriert und die Erstmeldung kann innerhalb von Minuten erstellt und versendet werden. Wenn der ISO-Auditor das Statement of Applicability prüft, ist es mit den 93 Controls nach Anhang A der ISO/IEC 27001:2022 verlinkt und jeder Control trägt einen Verantwortlichen. Die Differenz zur klassischen Mandatsführung liegt also nicht in der Beratung selbst, sondern in der Reproduzierbarkeit der Nachweise auf Knopfdruck. Der Prüfer ruft an, der Nachweis liegt bereit. Diese Eigenschaft ist nicht eine kosmetische Verbesserung, sondern in einer Prüfungssituation der entscheidende Unterschied zwischen einem dokumentierten Setup und einer rekonstruierten Aktenlage. Aus dieser Architektur folgt auch das Preismodell: Die Plattform-Lizenz fasst die Werkzeuge zusammen, die für jede Rolle ohnehin gebraucht werden, und der Officer-as-a-Service bezieht sich auf eine namentliche Beauftragte, die ebenfalls innerhalb des Workspace arbeitet und keine separate Aktenführung benötigt.

Die deutsche Compliance-Landschaft kennt mehr als zwanzig Pflicht-Beauftragtenrollen, die unabhängig voneinander durch verschiedene Gesetze und Verordnungen ausgelöst werden. CIVAC führt sie zentral in einem einzigen Workspace. Im Bereich Datenschutz und Privacy steht der Datenschutzbeauftragte nach § 38 BDSG und Art. 37 DSGVO. Im Bereich Governance und Compliance der allgemeine Compliance-Beauftragte mit Bezug auf § 130 OWiG und § 91 Absatz 2 AktG. Im Bereich IT-Sicherheit und NIS-2 der Informationssicherheitsbeauftragte sowie die ISO/IEC 27001 ISMS-Funktion. Im Bereich Arbeitssicherheit die Fachkraft für Arbeitssicherheit nach § 5 ASiG und der Brandschutzbeauftragte nach den Vorgaben der Bauordnungen der Länder und der DGUV Information 205-003. Im Bereich Umweltschutz Gefahrgut-, Gefahrstoff-, Abfall-, Gewässerschutz-, Immissionsschutz- und Strahlenschutzbeauftragte mit ihren jeweils eigenen Bestellpflichten aus GGBefG, GefStoffV, KrWG, WHG, BImSchG und StrlSchG.

Hinzu kommen weitere Rollen mit eigenen Rechtsgrundlagen: der Geldwäschebeauftragte nach § 7 GwG, der Qualitätsmanagementbeauftragte nach ISO 9001:2015, der LkSG-Beauftragte nach dem Lieferkettensorgfaltspflichtengesetz, die AGG-Beschwerdestelle nach § 13 AGG, der Betriebsarzt nach § 2 ASiG, der Hygienebeauftragte nach Landeskrankenhausgesetzen, der ESG- beziehungsweise Nachhaltigkeitsbeauftragte mit Bezug zur Corporate Sustainability Reporting Directive (Richtlinie EU 2022/2464), die interne Meldestelle nach HinSchG, der Inklusionsbeauftragte nach § 181 SGB IX, der Notfallbeauftragte, der Störfallbeauftragte nach Störfall-Verordnung (12. BImSchV), der Bauleiter beziehungsweise SiGeKo nach BaustellV sowie der Lieferanten-Auditor. Jede Rolle hat in CIVAC ein eigenes Modul mit Bestellvorlage, Berichtslinienvorlage, Audit-Vorlagen und einem dokumentierten Aufgabenkatalog, der die gesetzlichen Pflichten in operative Workflows überführt. Die Rollenübersicht zeigt das vollständige Set mit Rechtsgrundlage je Rolle. Eine Aufsichtsbehörde, eine Zertifizierungsstelle oder ein Kunde im Lieferantenfragebogen verlangt jeweils unterschiedliche Ausschnitte aus dieser Liste, je nach Branche und Anlass. Die einheitliche Aktenführung in CIVAC stellt sicher, dass jeder Ausschnitt aus derselben Quelle gezogen wird und nicht aus drei verschiedenen Sharepoints rekonstruiert werden muss.

CIVAC arbeitet mit zwei sauberen Bezugsmodellen, die sich nicht ausschließen, sondern aufeinander aufbauen und über die Lebenszeit eines Unternehmens nahtlos kombiniert werden können. Im ersten Modell lizenziert das Unternehmen den Workspace für seine eigenen, intern bereits bestellten Beauftragten. Die Datenschutzbeauftragte aus der Rechtsabteilung, der Informationssicherheitsbeauftragte aus der IT, die Fachkraft für Arbeitssicherheit aus dem Werksbüro arbeiten weiterhin als interne Funktionen, nutzen aber die Plattform für ihre Bestellurkunden, ihre Audit-Vorlagen, ihre Berichtslinien an die Geschäftsführung und ihre Nachweise gegenüber Behörden, Kunden und Zertifizierungsstellen. Der Vorteil liegt in der Konsolidierung der Dokumentation, nicht in der Ersetzung der Personen. Die internen Beauftragten gewinnen Zeit, weil sie ihre Vorlagen nicht selbst pflegen müssen.

Im zweiten Modell bestellt CIVAC die Beauftragten selbst. Externer Datenschutzbeauftragter, externer Informationssicherheitsbeauftragter, externer Geldwäschebeauftragter, externe Hinweisgeber-Meldestelle und weitere Rollen werden durch namentlich bestellte CIVAC-Officer wahrgenommen, die im selben Workspace arbeiten und denselben Dokumentationsstandard verwenden. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Mischformen sind in der Praxis häufig: Datenschutz intern, Informationssicherheit extern, Brandschutz intern, Geldwäsche extern. Entscheidend ist, dass alle Beauftragten in einem System dokumentiert sind und der Auditor nicht zwischen verschiedenen Ablagen springen muss. Das Modell ist außerdem skalierbar mit dem Unternehmen: Was als externer Mandant beginnt, kann mit dem Wachstum nach innen wandern, ohne dass die Dokumentation neu aufgebaut werden muss. Bei Übernahmen oder Carve-outs lässt sich das Setup ebenfalls fortführen, weil Bestellurkunden, Berichtslinien und Vorlagen unabhängig vom Trägerunternehmen versioniert sind. In der Praxis sind beide Modelle preislich transparent gestaltet, sodass eine Geschäftsführung im Voraus weiß, welche Leistung sie einkauft und welche Aufgaben weiterhin intern bleiben.

Jede Bestellung in CIVAC produziert ein einheitliches Dokumentenpaket. Die Bestellurkunde nennt Rechtsgrundlage, Bestelldatum, Geltungsbereich, Aufgaben, Berichtslinie an die oberste Leitungsebene und Unabhängigkeitsklausel. Sie wird elektronisch signiert, mit Zeitstempel versehen und im Workspace abgelegt. Die Berichtslinienvorlage definiert Quartals- und Anlassberichte an die Geschäftsführung, mit definierten Inhalten, einem Verteiler und einer Empfangsbestätigung. Die Aufgabenliste übernimmt die gesetzlichen Pflichten der jeweiligen Rolle (Art. 39 DSGVO für den DSB, § 6 ASiG für die SiFa, § 7 GwG für den Geldwäschebeauftragten, § 8 LkSG für den Menschenrechtsbeauftragten) und überführt sie in operative Workflows mit Fälligkeiten, Erinnerungen und Eskalationsstufen.

Hinzu kommen 490 einsatzbereite Audit-Vorlagen: Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, technische und organisatorische Maßnahmen nach Art. 32 DSGVO, Meldevorlage Datenpanne nach Art. 33 DSGVO, NIS-2-Frühwarnung 24h und Folgemeldung 72h, Statement of Applicability nach ISO/IEC 27001:2022 Anhang A, Risikobehandlungsplan, internes Auditprogramm, Management Review, Gefährdungsbeurteilung nach § 5 ArbSchG, Gefahrstoffverzeichnis nach GefStoffV, Brandschutzordnung nach DIN 14096, Risikoanalyse Geldwäsche nach § 5 GwG, Verdachtsmeldevorlage nach § 43 GwG, Meldevorgang Hinweisgeberschutz nach HinSchG, LkSG-Risikoanalyse, AGG-Beschwerdeverfahren, ESG-Wesentlichkeitsanalyse nach CSRD, Notfallplan, Störfallmeldung nach 12. BImSchV und weitere. Jede Vorlage ist mit der zugehörigen Rolle verlinkt, sodass die Aufgaben nicht in einem generischen Pool liegen, sondern dem zuständigen Beauftragten zugewiesen sind. Audit-fest, dokumentiert, §-fest. Wer eine Vorlage öffnet, sieht den Rechtsgrund, den letzten Bearbeiter, das letzte Review-Datum und den nächsten Fälligkeitstermin auf einer Seite. Diese Verzahnung von Vorlage, Recht und Verantwortlichkeit ist die Voraussetzung dafür, dass eine Aufsichtsbehörde im Audit nicht nur die Existenz eines Dokuments feststellt, sondern auch die operative Anwendung im Tagesgeschäft.

Die Plattform-Infrastruktur sitzt vollständig innerhalb der Europäischen Union. Hosting, Backups, Logging und Support laufen in EU-Rechenzentren, ohne Datentransfers in Drittländer ohne Angemessenheitsbeschluss. Diese Architekturentscheidung folgt nicht nur aus Art. 44 DSGVO, sondern auch aus den Empfehlungen 01/2020 des Europäischen Datenschutzausschusses zu ergänzenden Maßnahmen nach dem Schrems-II-Urteil (Rs. C-311/18). Für Unternehmen, die selbst unter NIS-2 fallen oder mit öffentlichen Auftraggebern arbeiten, ist die EU-Datenresidenz nicht optional, sondern Voraussetzung für die eigene Auftragsverarbeitung nach Art. 28 DSGVO und für die Erfüllung sektorspezifischer Vorgaben wie BAIT und VAIT der BaFin oder der C5-Anforderungen des BSI.

Die Zugriffsrechte sind rollenbasiert. Die Geschäftsführung sieht die Berichtslinien und die offenen Maßnahmen. Der Auditor sieht die Bestellurkunden, die Verzeichnisse und die Nachweise zu einem Stichtag. Der Beauftragte sieht seine Aufgaben, seine Audit-Vorlagen und seine Eskalationspfade. Jeder Schreibvorgang erzeugt einen Audit-Trail mit Zeitstempel, Nutzer und Versionsstand, der nicht nachträglich editierbar ist. Die Exporte für Aufsichtsbehörden enthalten den vollständigen Änderungsverlauf, sodass die Prüferin nicht eine Momentaufnahme erhält, sondern eine nachvollziehbare Historie über die gesamte Lebenszeit eines Dokuments. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer mit einem klassischen Aktenschrank arbeitet, kann diese Reproduzierbarkeit der Nachweise nicht herstellen, weil weder das Sharepoint noch das Mailpostfach den Anforderungen an einen revisionssicheren Audit-Trail entsprechen. Die Plattform ersetzt die manuelle Pflege durch eine versionierte, audit-trail-fähige Dokumentation, die jedem Behördenstandard standhält und im Zweifel auch in einem Bußgeldverfahren als Beweismittel taugt. Für die Geschäftsführung bedeutet das Beweissicherheit gegenüber Aufsichtsbehörden, gegenüber Wirtschaftsprüfern im Rahmen der Abschlussprüfung und gegenüber Großkunden in Lieferantenaudits, ohne dass für jeden dieser Anlässe eine eigene Aktenlage gepflegt werden muss.

Ein häufiger Befund in Aufsichtsbriefen lautet: Die Beauftragte existiert, aber die Berichtslinie an die Geschäftsführung ist nicht dokumentiert. Die Folge ist, dass die Beauftragte ihre Beobachtungen nicht weitergeben kann oder dass die Geschäftsführung die Beobachtungen erhält, aber nicht handelt. Beides ist haftungsrelevant. § 130 OWiG verlangt eine angemessene Aufsicht durch die Leitung; bei einem dokumentierten Bericht der Beauftragten ohne anschließende Maßnahme ist die Verletzung der Aufsichtspflicht regelmäßig leichter nachzuweisen als bei einer fehlenden Berichtslinie. Aus Sicht der Geschäftsführung kehrt sich die Logik um: Eine fehlende Berichtslinie schützt nicht vor Haftung, sondern ist selbst der haftungsbegründende Befund.

CIVAC strukturiert die Berichtslinie in drei Stufen. Erste Stufe: ein definierter Quartalsbericht je Rolle mit Standardpunkten (offene Risiken, Maßnahmenstand, Vorfälle, anstehende Audits, regulatorische Änderungen, Personalkapazität). Zweite Stufe: Anlassberichte bei meldepflichtigen Ereignissen mit definierten Schwellen, etwa Datenpannen nach Art. 33 DSGVO, IT-Sicherheitsvorfällen unter NIS-2, Verdachtsmeldungen nach § 43 GwG, Hinweisen über die Meldestelle nach HinSchG oder schwerwiegenden Arbeitsunfällen nach § 193 SGB VII. Dritte Stufe: ein dokumentierter Eskalationspfad an Geschäftsführung und Aufsichtsrat bei wiederholt unbearbeiteten Risiken, mit Eskalationsfrist und Empfangsbestätigung. Frist läuft ab Kenntnis. Die Eskalation ist nicht ein Konfliktinstrument, sondern ein Haftungsanker für die Beauftragte: Sie hat ihre Pflicht erfüllt, wenn der Bericht zugestellt und die Folgehandlung der Leitung dokumentiert ist. Die Plattform protokolliert beide Seiten, sodass weder die Beauftragte noch die Geschäftsführung in einer späteren Untersuchung ohne Belege dasteht. Praktisch erlaubt das auch eine bessere Kapazitätsplanung: Wenn die Quartalsberichte regelmäßig dieselben offenen Risiken zeigen, ist das ein Signal an die Geschäftsführung, dass Ressourcen oder Befugnisse fehlen, und der Eskalationspfad wird zu einem Steuerungsinstrument statt zu einem Konfliktinstrument.

Die klassische Bestellung eines externen Beauftragten dauert in deutschen Mittelständlern zwischen zwei und sechs Wochen. Engpässe sind: Scoping-Termine, die im Kalender wandern, Konfliktprüfungen ohne klares Verfahren, Bestellurkunden, die postalisch versandt werden, NDA-Verhandlungen mit drei Schleifen, ein Lieferanten-Onboarding der Einkaufsabteilung, das selbst zwei Wochen benötigt, eine Datenschutzfreigabe der Rechtsabteilung und ein Kick-off, der ins nächste Quartal rutscht. In dieser Zeit ist die regulatorische Pflicht aktiv, aber der Beauftragte ist es nicht. Genau diese Lücke fragt eine Aufsichtsbehörde in einem Audit ab, und diese Lücke ist mit einem Bußgeld nach Art. 83 Abs. 4 DSGVO oder § 30 OWiG sanktioniert.

CIVAC verkürzt die Bestellung auf zwei Werktage. Tag eins: strukturierter Intake (Entitäten, Mitarbeiterzahl, Verarbeitungskategorien, vorhandene Dokumentation, frühere Vorfälle, Branchenauslöser), Konfliktprüfung gegen den Officer-Pool, Vertragsentwurf aus der bereits anwaltlich geprüften Vorlage, NDA aus der gegengeprüften Vorlage, Datenzugriffsregelung für den Workspace. Tag zwei: signierte Bestellurkunde, Anzeige bei der zuständigen Aufsichtsbehörde wo erforderlich (etwa nach § 38 Abs. 2 BDSG bei der Datenschutzaufsicht), Veröffentlichung der Kontaktdaten in den Datenschutzhinweisen nach Art. 13 DSGVO, Kick-off mit der Geschäftsführung zur Bestätigung der Berichtslinie und der Eskalationspfade. Ab diesem Punkt gilt der laufende SLA von zwei Werktagen für jede Vertragsprüfung, jedes Auskunftsersuchen nach Art. 15 DSGVO, jede Folgenabschätzung nach Art. 35 DSGVO und jede meldepflichtige Schwelle nach § 7 GwG. Die Differenz zu klassischen Modellen ist nicht die Qualität der Beauftragten, sondern die Reaktionsgeschwindigkeit des Hintergrundprozesses, in dem die Beauftragten arbeiten. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die SLA wird zudem im Vertrag fixiert und nicht in einem Gespräch versprochen, sodass Einkauf und Justiziariat im Voraus prüfen können, welche Leistungspflichten der Anbieter konkret übernimmt.

Ein realistischer Compliance-Aufbau läuft nicht im luftleeren Raum. Unternehmen betreiben in der Regel bereits ein Informationssicherheits-Managementsystem nach ISO/IEC 27001:2022, ein GRC-Tool für Risiken und Audits, eine HR-Plattform für Personalakten und Pflichtschulungen, eine Hinweisgeber-Lösung für die interne Meldestelle nach HinSchG und ein Lieferantenmanagement für die LkSG- und Auftragsverarbeitungs-Vertragslandschaft. CIVAC ersetzt diese Systeme nicht, sondern integriert mit ihnen über definierte Schnittstellen. Das ISMS liefert die Control-Reife, der CIVAC-Workspace liefert die Bestellung und die Berichtslinie für den verantwortlichen ISB. Das GRC-Tool führt die Risikoinventur, CIVAC führt die Beauftragten-Verantwortlichkeit für die Maßnahmen, sodass jedes Risiko einer namentlichen Funktion zugeordnet ist und nicht in einem anonymen Risk Owner stecken bleibt.

Operativ bedeutet das: Die 93 Controls nach Anhang A der ISO/IEC 27001:2022 sind in CIVAC dem Informationssicherheitsbeauftragten zugeordnet. Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist dem Datenschutzbeauftragten zugeordnet. Die Risikoanalyse Geldwäsche nach § 5 GwG ist dem Geldwäschebeauftragten zugeordnet. Die LkSG-Risikoanalyse ist dem Lieferketten-Beauftragten zugeordnet. Die AGG-Beschwerdestelle nach § 13 AGG erhält ihre Eingänge aus der HR-Plattform. Die Hinweisgeber-Meldungen aus der externen Meldestelle laufen in den Workspace und werden dort dokumentiert. Wer in welchem System welche Rolle hat, wird einmal definiert und über alle Audit-Vorlagen, Berichtslinien und Maßnahmen konsistent gespiegelt. Wenn der ISO-Auditor das Statement of Applicability prüft, sieht er die Verantwortlichen. Wenn die Aufsichtsbehörde die Bestellurkunde prüft, sieht sie dieselben Verantwortlichen. Diese Konsistenz ist der Wert der Plattform-Architektur und der Grund, warum die CIVAC-Fakten die Verzahnung mit ISMS und GRC explizit benennen.

Die Entscheidung für eine Compliance-Plattform ist selten eine theoretische. Sie wird ausgelöst, wenn ein Aufsichtsbrief eingeht, ein Großkunde einen Lieferantenfragebogen mit Beauftragten-Nachweisen schickt, eine Vorstandssitzung das Risiko aus dem ESG-Bericht aufnimmt, das NIS-2-Umsetzungsgesetz in Kraft tritt oder ein Vorfall eine 72-Stunden-Meldung nach Art. 33 DSGVO erfordert. In jedem dieser Szenarien ist Zeit der knappe Faktor, nicht das Budget. Die Frage ist nicht, ob ein Beauftragter bestellt wird, sondern ob die Bestellung mit Bestellurkunde, Berichtslinie und Nachweis am Tag der Anfrage vorliegt oder erst rekonstruiert werden muss. Die zweite Variante ist die teurere, weil sie nicht nur die Strafzahlung erhöht, sondern auch interne Ressourcen für Wochen bindet.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege liefern denselben Dokumentationsstandard: Bestellurkunde mit Rechtsgrundlage und Berichtslinie, 490 Audit-Vorlagen, EU-Datenresidenz, ein SLA von zwei Werktagen für die Erstbestellung und für die laufende Reaktion, eine namentliche Beauftragte mit Eskalationspfad an die Geschäftsführung. Der Einstieg ist eine E-Mail an info@civac.de oder die Nutzung des Kontaktformulars auf civac.de. Innerhalb des ersten Werktages liegt der Intake vor, am zweiten Werktag steht die unterschriebene Bestellurkunde im Workspace, in derselben Woche ist die Berichtslinie aktiv und die ersten Audit-Vorlagen sind dem Verantwortlichen zugewiesen. Aus dem Lesen einen Auftrag machen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Prüfer ruft an, der Nachweis liegt bereit. Diese beiden Sätze sind keine Marketing-Aussagen, sondern operative Beschreibungen dessen, was die Plattform jeden Tag für ihre Mandanten produziert.