CIVAC Compliance-Plattform: Deutsche Cloud, alle 25 Beauftragten-Rollen, ein Workspace

Die CIVAC Compliance-Plattform ist seit 2026 in Betrieb und deckt alle 25 gesetzlich relevanten Beauftragten-Rollen für deutsche Unternehmen ab – von der Fachkraft für Arbeitssicherheit nach § 5 ASiG bis zum Informationssicherheitsbeauftragten nach §§ 30 und 38 BSIG. Die Infrastruktur läuft ausschließlich auf EU-Servern mit AES-256-Verschlüsselung at rest und TLS 1.3 in transit; das interne ISMS ist nach ISO/IEC 27001:2022 strukturiert und wird jährlich durch externe Penetrationstests geprüft.

Dieser Artikel beschreibt die technische Architektur der Plattform, die sechs funktionalen Oberflächen des Workspace, die beiden kommerziellen Liefermodelle sowie die Compliance-Postur, die CIVAC für Unternehmen mit erhöhten regulatorischen Anforderungen – KRITIS-Betreiber, NIS-2-Verpflichtete, ISO-27001-zertifizierungspflichtige Organisationen – nachweisbar macht.

CIVAC betreibt seine Infrastruktur ausschließlich auf europäischen Servern. Alle Compliance-Daten – Bestellurkunden, Audit-Berichte, Schulungsnachweise, Vorfallsmeldungen, Verzeichnisse von Verarbeitungstätigkeiten – werden innerhalb der EU gespeichert und verarbeitet. Ein Transfer in Drittstaaten findet nicht statt; Standardvertragsklauseln nach Art. 46 DSGVO sind damit für die Plattformnutzung selbst nicht erforderlich.

Die technische Sicherheitsarchitektur umfasst:

• Verschlüsselung AES-256 at rest für alle gespeicherten Daten
• TLS 1.3 für alle Datenübertragungen in transit
• ISO/IEC 27001:2022-konformes ISMS mit 93 Controls
• Jährlicher externer Penetrationstest durch akkreditierten Prüfer
• BSI C5 (Typ 1, declarable) – Attestierungsgrundlage für KRITIS-Betreiber
• TISAX-Readiness für Automotive-Kunden

Das Auftragsverarbeitungsvertragswerk nach Art. 28 DSGVO ist standardisiert und wird mit jedem Kunden abgeschlossen. Der revisionssichere Audit-Log protokolliert alle Benutzeraktionen zeitgestempelt und unveränderlich.

Für Unternehmen unter NIS-2-Pflicht ist der integrierte Meldepfad relevant: 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung nach §§ 30, 38 BSIG sind als Plattformfunktion implementiert – nicht als optionales Modul, sondern als Standard-Workflow im Informationssicherheitsbeauftragten-Bereich.

Der CIVAC Workspace gliedert sich in sechs funktionale Oberflächen, die den vollständigen Arbeitszyklus eines Beauftragten abbilden:

1. Aufgaben: Template-gesteuerter Tages- und Wochenbetrieb. E-Mail-Eingang wird direkt in Aufgaben umgewandelt; Hunderte vorkonfigurierte Prompt-Templates reduzieren Routinearbeit. Wiederkehrende Cadences (monatliche Reviews, jährliche Unterweisungen) werden automatisch generiert.
2. Schulungen: Pflichtkursmodule mit integriertem Wissenstest, Zertifikats-Ausstellung und Abschluss-Tracking. Schulungsnachweise sind DGUV V2-konform dokumentiert und exportierbar.
3. Projekte: Strukturierter fünfstufiger Prozess – Scope, Uploads, Rückfragen, Risiken, Bericht – für Audits, Assessments und Reports. Die 37 einsatzbereiten Audit-Vorlagen decken alle 25 Beauftragten-Rollen ab.
4. Dokumentation: Monatlicher Konsolidierungsworkflow, der abgeschlossene Aufgaben, Schulungen und Audit-Befunde in exportfertige Compliance-Evidence zusammenführt. Auditoren und Behörden können direkt auf strukturierte Berichte zugreifen.
5. Fragen: KI-Assistent mit Konfidenzwert und zitierten Quellen. Unsichere Antworten werden mit einem Klick an externe Fachberater eskaliert, ohne den Workspace zu verlassen.
6. Templates: Katalog mit anpassbaren Prompt-Templates in vier Kategorien: Audit, Assessment, Schulung, Operational. Templates werden mit Gesetzesänderungen aktualisiert.

Alle sechs Oberflächen sind rollenübergreifend nutzbar: Ein Datenschutzbeauftragter, ein Informationssicherheitsbeauftragter und ein Compliance-Beauftragter arbeiten in derselben Umgebung mit getrennten Datenräumen und gemeinsamem Reporting.

CIVAC deckt alle 25 gesetzlich relevanten Beauftragten-Rollen ab, die ein deutsches Unternehmen je nach Branche, Größe und Tätigkeitsfeld bestellen muss. Die elf üblicherweise pflichtigen Rollen umfassen:

• Datenschutzbeauftragter – Art. 37 DSGVO · § 38 BDSG
• Compliance-Beauftragter – IDW PS 980 · § 130 OWiG
• Informationssicherheitsbeauftragter – ISO/IEC 27001:2022 · §§ 30, 38 BSIG · NIS-2
• Fachkraft für Arbeitssicherheit – § 5 ASiG · DGUV V2
• Brandschutzbeauftragter – DGUV I 205-023 · DIN 14095
• Gefahrstoffbeauftragter – § 6 GefStoffV · TRGS 400
• Umweltbeauftragter – BImSchG · WHG · ISO 14001
• Geldwäschebeauftragter – § 7 GwG
• Qualitätsmanagementbeauftragter – DIN EN ISO 9001:2015
• Lieferketten-Beauftragter – § 4 LkSG
• Gleichstellungsbeauftragter – § 13 AGG

Die vierzehn branchenspezifischen Rollen – darunter Betriebsarzt (§ 3 ASiG), Gefahrgutbeauftragter (§ 3 GbV), ESG-Beauftragter (CSRD), Störfallbeauftragter (12. BImSchV) und weitere – sind ebenfalls vollständig im Workspace abgebildet. Ein Unternehmen wählt die relevanten Rollen; nicht benötigte Bereiche bleiben inaktiv.

CIVAC strukturiert sein Angebot in zwei kommerzielle Modelle, die einzeln oder kombiniert genutzt werden können:

Modell 1 – Tool-Lizenz (Self-Service): Der Kunde erwirbt eine Workspace-Lizenz für seine internen Beauftragten. Die Bestellungsbeziehung bleibt beim Kunden; CIVAC stellt die Plattform, die Templates, den KI-Assistenten und die Dokumentationsstruktur bereit. Dieses Modell eignet sich für Unternehmen, die qualifiziertes Personal intern haben und einen besseren Arbeitsrahmen suchen.

Modell 2 – Officer-as-a-Service: CIVAC bestellt den Beauftragten formell für den Kunden – schriftliche Urkunde, definierte Berichtslinie zur Geschäftsleitung, festes Reporting-Intervall. Der externe Beauftragte arbeitet im gleichen Workspace wie das interne Team. Das SLA lautet: Vertrag, Person und Urkunde in zwei Werktagen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten.

Modell 3 – Gemischtes Modell: Interne DSB-Funktion auf der Lizenz, externer ISB und externer Betriebsarzt über Officer-as-a-Service. Alle drei arbeiten im selben Workspace, teilen denselben Audit-Trail und das gleiche Reporting. Dies ist für viele mittelständische Unternehmen die wirtschaftlich sinnvollste Konfiguration.

Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO sowie die Beauftragungsverträge für Officer-as-a-Service-Rollen sind standardisiert und werden mit Vertragsabschluss bereitgestellt – kein gesondertes Vertragsverhandlungsverfahren erforderlich.

Für Betreiber wesentlicher und wichtiger Einrichtungen nach NIS-2 (Richtlinie 2022/2555/EU, umgesetzt durch das NIS2UmsuCG in Deutschland) stellt CIVAC spezifische Funktionen bereit. Die Bußgeld-Maxima – 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, 7 Mio. Euro oder 1,4 % für wichtige Einrichtungen – machen den Nachweis eines funktionierenden ISMS nicht optional.

CIVAC bildet den NIS-2-Meldepfad als Standard-Workflow ab:

• Frühwarnung innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls
• Folgemeldung innerhalb von 72 Stunden mit ersten Bewertungen
• Abschlussmeldung nach vollständiger Bearbeitung

Der Informationssicherheitsbeauftragte arbeitet in einem vorstrukturierten ISMS-Modul mit 93 Controls nach ISO/IEC 27001:2022. Risikobewertungen, Statement of Applicability und Risikobehandlungspläne folgen dem Annex-A-Framework; alle Dokumente werden im Audit-Trail revisionssicher abgelegt.

Für KRITIS-Betreiber, die eine BSI C5-Attestierung vorweisen müssen, ist die declarable C5-Konformität der CIVAC-Infrastruktur eine unmittelbar nutzbare Grundlage. Die jährlichen Penetrationstestberichte können auf Anfrage im Kundenportal eingesehen werden. Lesen Sie dazu auch die Anforderungen an einen externen Informationssicherheitsbeauftragten.

Die DSGVO stellt an die Plattform selbst und an die Nutzung durch Datenschutzbeauftragte spezifische Anforderungen. Art. 33 DSGVO schreibt die Meldung von Datenpannen an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnis vor. Frist läuft ab Kenntnis – nicht ab Entscheidung, nicht ab interner Eskalation.

CIVAC bildet diesen Workflow im DSB-Bereich des Workspace ab: Ein gemeldeter Datenschutzvorfall wird sofort als Aufgabe mit laufendem Frist-Timer angelegt. Die Meldepflicht nach Art. 33 DSGVO, die Information betroffener Personen nach Art. 34 DSGVO und die interne Dokumentation nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) sind als separate, prüfbare Schritte im Workflow strukturiert.

Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) wird im Dokumentationsmodul geführt und kann jederzeit als strukturierter Export für Aufsichtsbehörden aufbereitet werden. Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) werden als Projektyp im Projektmodul abgebildet – inklusive der fünfstufigen Struktur: Scope, Uploads, Rückfragen, Risiken, Bericht.

Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwischen CIVAC und dem Kunden regelt Weisungsgebundenheit, Unterauftragnehmer-Verzeichnis, Löschkonzept und Technisch-Organisatorische Maßnahmen (TOM). Die TOM sind nach ISO/IEC 27001:2022 strukturiert und im Kundenvertrag als Anlage dokumentiert.

Generische GRC-Suiten (Governance, Risk, Compliance) – wie sie von großen Softwareanbietern für Konzerne vermarktet werden – sind nicht für den deutschen Beauftragten-Markt konzipiert. Sie abstrahieren Compliance als Risiko-Framework und Richtlinienmanagement, bilden aber die formelle Bestellpflicht nach deutschem Recht strukturell nicht ab. Eine Urkunde ist kein Risiko-Control; sie ist ein Rechtsdokument mit spezifischen Anforderungen nach §§ DSGVO, BDSG, BSIG, ASiG, GwG.

Der strukturelle Unterschied zwischen CIVAC und einer Enterprise-GRC-Suite:

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Unterschied zeigt sich nicht in der Präsentation, sondern im Audit: Der Prüfer ruft an, der Nachweis liegt bereit.

CIVAC ist als Self-Service-Plattform konzipiert; eine Implementierungsberatung durch externe Systemintegratoren ist nicht erforderlich. Das Onboarding folgt einem strukturierten Pfad:

1. Rollenprofil erstellen (Tag 1): Das Unternehmen gibt an, welche Beauftragten-Rollen benötigt werden. CIVAC prüft die Bestellpflicht anhand der angegebenen Mitarbeiterzahl, Branche und regulatorischen Anforderungen und empfiehlt eine Rollenkonfiguration.
2. Workspace konfigurieren (Tag 1-2): Die relevanten Rollenmodule werden aktiviert; vorkonfigurierte Audit-Vorlagen und Schulungsmodule sind sofort verfügbar. Unternehmens-spezifische Templates können auf Basis der 37 Standardvorlagen angepasst werden.
3. Bestellurkunden ausstellen (Tag 2): Für Officer-as-a-Service-Rollen wird der externe Beauftragte benannt, die Bestellurkunde ausgestellt und die Berichtslinie zur Geschäftsführung dokumentiert. SLA: zwei Werktage.
4. Schulungen starten: Pflichtschulungen für interne Beauftragte und Mitarbeitende werden im Schulungsmodul aufgesetzt; Zertifikate werden automatisch nach bestandenem Test ausgestellt.
5. Erster Audit-Zyklus eröffnen: Das Projektmodul öffnet den ersten Audit oder das erste Assessment mit der passenden Vorlage; Scope, Risiken und Bericht folgen dem fünfstufigen Standardprozess.

Für KMU ohne eigene Compliance-Funktion ist das Modell so konzipiert, dass der erste Audit-Bericht innerhalb von vier Wochen nach Vertragsabschluss vorliegen kann – ohne externe Berater, nur mit den Plattformfunktionen und dem zugeordneten Beauftragten.

Die CIVAC Compliance-Plattform ist keine generische GRC-Suite und kein EHS-Tool. Sie ist ausschließlich für die 25 Beauftragten-Rollen des deutschen und europäischen Rechts konzipiert, vollständig in der EU betrieben und als Kombination aus Workspace-Lizenz und Officer-as-a-Service strukturiert.

Audit-fest, dokumentiert, DSGVO-fest, NIS-2-fest. Das gilt für die Plattform selbst – und für die Compliance-Nachweise, die Ihre Beauftragten in ihr erzeugen.

Wenn Sie konkret prüfen möchten, welche Rollen für Ihr Unternehmen bestellt werden müssen, welches Modell – Lizenz, Officer-as-a-Service oder gemischt – passt und wie der Workspace aufgebaut ist, sprechen Sie mit CIVAC. Aus dem Lesen einen Auftrag machen: info@civac.de.