CIVAC Demo: In 45 Minuten vom Aktenschrank zur audit-festen Plattform

Eine CIVAC-Demo ist kein Pitch-Deck. Sie ist ein 45-minütiger Rundgang durch den Workspace, in dem CIVAC als Compliance-Plattform und Officer-as-a-Service tatsächlich arbeitet. Sie sehen die 25 Beauftragten-Rollen, 490 einsatzbereite Audit-Vorlagen, die Bestellurkunde-Strecke, die Berichtslinie und den 24/72-Meldepfad nach Art. 14 NIS2UmsuCG. Wir öffnen die Module live und spielen Ihre konkrete Rollenfrage durch, statt Folien zu zeigen, die niemand später wiederfindet. Das spart Vorbereitungszeit auf beiden Seiten und liefert ein belastbares Bild der Plattform.

Dieser Beitrag erklärt, was eine produktive Demo enthält, wie Sie sich in zehn Minuten vorbereiten, welche Fragen Sie unbedingt stellen sollten und wie der Übergang von der Demo zum Auftrag aussieht, falls Sie nach den 45 Minuten entscheiden, die Plattform einzuführen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle zeigen wir in der Demo, damit Sie die Differenz nicht aus einer PDF, sondern an einem realen Mandanten-Setup beurteilen. Der Termin ist kostenfrei und unverbindlich. Wir behandeln die Demo wie einen technischen Workshop, nicht wie einen Vertriebstermin, und richten sie an der akuten Frage Ihres Hauses aus. So bleibt am Ende der 45 Minuten ein konkretes Bild zurück, das im internen Gremium tragfähig diskutiert werden kann.

Die Demo öffnet sofort einen vollständigen Mandanten-Workspace mit anonymisierten Beispielen, ohne Vorlauf-Folien. Sie sehen die 25 Beauftragten-Rollen als eigene Module, jede mit Bestellurkunde-Strecke, Aufgabenkatalog nach dem jeweiligen Fachgesetz und Verknüpfung zu den passenden Audit-Vorlagen. Wir zeigen die Module, die für Sie relevant sind: häufig sind das DSB, ISB nach BSI-Grundschutz und NIS-2, Compliance-Beauftragter, ESG-Beauftragter, Hinweisgeberschutz-Meldestelle nach HinSchG sowie je nach Branche Hygiene-, Gefahrgut-, Geldwäsche- oder Brandschutzbeauftragter. Jede Rolle bringt ihre eigenen Vorlagen mit, die wir bei Bedarf live aufrufen und besprechen.

Im zweiten Block öffnen wir eine konkrete Audit-Vorlage. Insgesamt liefert CIVAC 37 vorausgefüllte Vorlagen, die typische Verarbeitungstätigkeiten, Risikoanalysen, NIS-2-Reifegradprüfungen oder Hinweisgeberprozesse abdecken. Sie sehen Felder, Pflichtangaben, die Logik der Vollständigkeitsprüfung und den Versionsstand. Jede Vorlage ist sofort einsatzbereit und kann mandantenspezifisch angepasst werden, ohne den Standard zu verlieren. Im dritten Block zeigen wir die Berichtslinie: Wer unterzeichnet die Stellungnahme, wer kennzeichnet die Kenntnisnahme, wo bleibt die Spur, wenn die Geschäftsleitung anders entscheidet. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Den Abschluss bildet der Meldepfad. Für ISB-Mandanten der NIS-2-Frühwarnpfad mit 24-Stunden-Erstmeldung und 72-Stunden-Folgemeldung, für DSB-Mandanten der 72-Stunden-Pfad nach Art. 33 DSGVO. Sie sehen, wie eine reale Meldung aus den Stamm- und Tätigkeitsdaten heraus aufgebaut wird, statt aus Excel-Tabellen rekonstruiert. Der Prüfer ruft an, der Nachweis liegt bereit. Die Demo schließt mit einer offenen Fragerunde, in der wir branchenspezifische Sonderfälle und Audit-Anforderungen Ihrer Auftraggeber klären. Häufig zeigen wir hier noch eine spezifische Sicht für Auditoren, die in einer Lieferanten-Prüfung auf Ihr Haus zukommen, damit deutlich wird, wie der Workspace im Drittblick wirkt.

Eine produktive Demo braucht nicht viel Vorbereitung. Drei Punkte reichen. Erstens: Welche Rolle ist heute Ihr akuter Druckpunkt? DSB, ISB, Compliance, ESG, Hinweisgeberschutz, Hygiene, Gefahrgut oder eine der weiteren 18 Rollen aus dem CIVAC-Portfolio? Zweitens: Welcher konkrete Anlass treibt Sie zum Termin? Ein anstehendes Audit, ein neuer Auftraggeber mit ISO-27001-Anforderung, eine NIS-2-Einstufung als wesentliche oder wichtige Einrichtung, ein abgesprungener interner DSB, eine Aufsichtsanfrage oder ein Vorstandsbeschluss zum Aufbau einer Compliance-Funktion?

Drittens: Wer sitzt mit am Tisch? Geschäftsleitung, Datenschutz, IT-Sicherheit, Personal, Rechtsabteilung, Einkauf. Eine Demo ist effektiver, wenn die Entscheider mit denjenigen zusammensitzen, die das System danach nutzen. Wir empfehlen einen Personenkreis von drei bis sechs Teilnehmern, mehr verwässert die Diskussion. Mit diesen drei Punkten gleichen wir das Demo-Szenario vor dem Termin an: Welche Rolle wir aufrufen, welche Vorlage wir öffnen, welche Meldepfad-Konstellation wir live durchspielen. Das spart in den 45 Minuten den allgemeinen Produkt-Pitch und liefert direkt einen konkreten Anwendungsfall.

Optional schicken wir vor dem Termin eine Kurzversion der Bestellurkunde und ein Beispiel-Aufgabenheft für die ausgewählte Rolle. Damit kann das Gremium parallel zur Demo die Frage prüfen, ob das interne Bestellungsmodell oder ein externer Officer-as-a-Service besser passt. Wir bringen keinen Lead-Bogen mit, wir wollen Ihre Frage beantworten. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software, und genau das soll die Demo zeigen. Wer dies vorab teilt, gewinnt in der Demo die Diskussion über das Mandatsmodell, nicht über die Plattform-Funktionalität. Die Plattform-Funktionen werden nebenher gezeigt, die Diskussion bleibt auf der strategischen Ebene.

CIVAC operiert in zwei Modellen, und Sie sehen beide in derselben Demo, weil sich die Software nicht unterscheidet. Im ersten Modell lizenzieren Sie den Workspace für Ihre internen Beauftragten. Ihr DSB, ISB oder Compliance-Beauftragter erhält Zugang, Berichtslinie und Vertretungsregel, und nutzt die Plattform als operatives Werkzeug. Diese Variante eignet sich, wenn die Funktion intern bereits besetzt ist und Sie die Belastung reduzieren wollen, die Excel, Word und ein offener SharePoint-Ordner verursachen. Die Lizenz umfasst alle 25 Rollen und 490 Audit-Vorlagen.

Im zweiten Modell lassen Sie unsere Beauftragten bestellen. CIVAC stellt einen externen DSB, ISB, Compliance-Beauftragten oder eine der weiteren 25 Rollen mit Bestellurkunde, Berichtslinie und Vertretungsregel. Diese Variante eignet sich, wenn die Funktion vakant ist, wenn die interne Position überlastet ist oder wenn ein Audit-Druck schnelle Besetzung erfordert. Die Demo zeigt beide Settings nebeneinander, damit Sie die Frage nicht abstrakt, sondern an der konkreten Oberfläche beantworten. Die Trennung zwischen Verantwortlichen-Pflicht und Beauftragten-Pflicht bleibt in beiden Modellen identisch.

Ein dritter Punkt, der in der Demo zur Sprache kommt: der Wechsel zwischen den Modellen. Unternehmen starten oft mit Officer-as-a-Service, weil der externe Beauftragte schnell verfügbar ist, und gehen nach zwölf bis 24 Monaten in das Workspace-Modell über, sobald intern eine Position aufgebaut wurde. Die Dokumentation bricht dabei nicht. Bestellurkunde, unterschrieben, abgelegt, belegbar. In der Demo zeigen wir diesen Übergang anhand eines anonymisierten Beispiels aus dem Mandantenkreis. Wer im Vorfeld unklar ist, welches Modell passt, sollte genau diese Übergangsstrecke aufmerksam verfolgen. Sie ist der wichtigste Hebel, um eine Entscheidung über das Mandatsmodell mit langer Halbwertszeit zu treffen.

Eine Demo wird produktiv, wenn die Fragen scharf sind. Sieben Fragen lohnen besonders. Erstens: Wo liegen die Daten? CIVAC betreibt den Workspace mit EU-Datenresidenz und ein ISMS nach ISO/IEC 27001:2022 mit 93 Controls, ein wichtiges Argument für Auftraggeber mit ISO-Anforderung. Zweitens: Wie lange dauert die Bestellung eines externen Beauftragten? Das CIVAC-SLA setzt zwei Werktage, statt der klassischen zwei bis sechs Wochen. Drittens: Welche der 490 Audit-Vorlagen passen zu meiner Branche und decken meinen aktuellen Audit-Druck ab?

Viertens: Wie funktioniert die Berichtslinie, wenn die Geschäftsleitung anders entscheidet als der Beauftragte? Sie sehen die Stellungnahme nach Art. 39 DSGVO oder § 38 BSIG in der Demo dokumentiert, mit Datum, Signatur und Verteiler. Fünftens: Wie sieht die 24-Stunden-Frühwarnung nach NIS-2 in der Praxis aus? Wir öffnen den Meldepfad und gehen die Pflichtfelder durch. Sechstens: Was passiert, wenn wir nach 18 Monaten das Modell wechseln? Die Plattform bleibt, die Bestellurkunde wird angepasst, die Dokumentation läuft durch, ohne dass ein zweites System eingerichtet werden müsste.

Siebtens: Welche internen Aufwände bleiben bei uns? Die Demo zeigt die Trennung zwischen Verantwortlichen-Pflicht und Beauftragten-Pflicht klar. CIVAC nimmt Ihnen weder die Geschäftsleitungs-Verantwortung nach § 130 OWiG noch die Mitwirkung der Fachabteilungen ab. Was wir liefern, ist Plattform, Bestellurkunde und Berichtslinie. Wer diese sieben Fragen stellt, vermeidet die typische Demo-Falle: ein gutes Gefühl, aber keine konkrete Entscheidung. Eine sauber geführte Demo hinterlässt eine Liste mit zwei bis vier konkreten nächsten Schritten, nicht eine vage Begeisterung. Diese Liste sollte den Vorschlag vorbereiten, den Sie zwei Werktage später erhalten, und die Diskussion in Ihrem internen Entscheidergremium strukturieren.

Eine 45-Minuten-Demo deckt die Plattform, das Modell und einen konkreten Anwendungsfall ab. Was sie nicht leisten kann, ist eine vollständige Branchenanalyse, ein Audit Ihrer bestehenden Dokumentation oder eine technische Sicherheitsbewertung Ihrer IT-Landschaft. Diese Schritte folgen nach der Demo, wenn beide Seiten die grundsätzliche Passung bestätigt haben. CIVAC führt im Anschluss in der Regel ein zweites Gespräch mit Tiefenfokus auf eine Rolle, eine Branche oder eine konkrete Audit-Anforderung, oft mit Beteiligung Ihrer IT- oder Rechtsabteilung.

Auch eine Vertragsverhandlung gehört nicht in die Demo. Wir zeigen Lizenzumfang und SLA in Standardform, individuelle Kommerzialisierung erfolgt im Nachgang. Wer in der Demo bereits über Pricing-Details diskutiert, verliert die Zeit für die fachliche Prüfung. Ähnlich verhält es sich mit IT-Integrationen: Single Sign-On, SCIM-Provisioning oder API-Anbindungen klären wir im technischen Folgegespräch, das auf Anforderung der IT- oder Sicherheitsabteilung stattfindet. Hier helfen die ISO-Berichte und die SOC-2-Unterlagen, die wir auf Anfrage bereitstellen.

Was die Demo dagegen sehr wohl beantwortet: Passt die Plattform zu meiner Beauftragten-Frage, ist das Modell für mein Haus tragfähig, und kann ich die Dokumentation in einem Audit verteidigen? Wenn diese drei Fragen nach 45 Minuten mit Ja, mit konkretem Bauchgefühl oder mit klaren Folgefragen beantwortet sind, hat die Demo ihren Zweck erfüllt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software, und das soll innerhalb der 45 Minuten spürbar werden. Die Demo ist explizit nicht als geschlossener Verkaufstermin angelegt, sondern als technischer Rundgang mit einem klaren Folgeprozess, der Zeit für Rückfragen lässt.

Nach der Demo erhalten Sie innerhalb von zwei Werktagen einen schriftlichen Vorschlag. Er enthält drei Bausteine. Erstens den Lizenzumfang: welche Beauftragten-Module, welche Audit-Vorlagen, wie viele Workspace-Plätze. Zweitens, falls relevant, die Bestellurkunden für externe Beauftragte: Name, Aufgabenkatalog nach dem jeweiligen Fachgesetz, Bestellungsdauer, Vertretungsregel. Drittens den Migrationsplan: in welchen Wochen welche Module live gehen, welche Fachabteilungen wann eingebunden werden, wann der erste vollständige Stichtagsexport möglich ist. Der Plan ist konkret und nicht abstrakt.

Der Vorschlag ist nicht bindend. Sie prüfen ihn intern, schicken Anpassungswünsche und entscheiden in einem zweiten Termin. CIVAC arbeitet hier nicht mit Drucktechniken, weil Compliance-Funktionen langfristige Vertrauensentscheidungen sind. Ein DSB-Mandat läuft typischerweise drei Jahre, ein ISB-Mandat ähnlich. Die Entscheidung muss tragfähig sein, nicht schnell. Wer hier zu früh entscheidet, bezahlt später mit Reibung in der eigenen Organisation oder mit einem Tool-Wechsel nach 18 Monaten.

Der Onboarding-Start erfolgt in der Regel zwei bis vier Wochen nach Auftragserteilung. Im Mittelstand ist die Plattform nach vier bis acht Wochen produktiv, größere Strukturen mit mehreren Gesellschaften benötigen drei bis sechs Monate. Wer einen externen Beauftragten bestellt, erhält die Bestellurkunde innerhalb von zwei Werktagen nach Auftragsbestätigung. Damit beginnt die Beauftragten-Funktion sofort, auch wenn die Migration der bestehenden Dokumente noch läuft. Aus dem Lesen einen Auftrag machen, ohne dass die Belastung der internen Teams parallel ungebremst weiterläuft. Diese Geschwindigkeit ist insbesondere bei vakanten Positionen relevant, wo die Berichtslinie an den Verantwortlichen sonst tagelang stillsteht und Aufsichtsfristen ungenutzt verstreichen. Der zwei-Werktage-SLA gilt auch für Modul-Erweiterungen im laufenden Betrieb, etwa wenn eine neue Tochtergesellschaft hinzukommt oder eine Rolle nachträglich aktiviert wird. Die Plattform bleibt während der Erweiterung verfügbar, es gibt keinen Migrations-Stillstand und keinen Datenverlust für aktive Vorgänge.

Konzerne mit mehreren Gesellschaften brauchen eine andere Demo als ein Mittelstandsunternehmen mit einer Gesellschaft. Wir öffnen in diesem Fall die Mandantenstruktur: Ein zentraler Konzern-Workspace mit untergeordneten Mandanten je Gesellschaft, gemeinsame Vorlagen, gemeinsame TOM-Standards und konzernweite Berichtslinie. Sie sehen, wie eine Holding ihre Pflichten nach DSGVO, NIS-2 und ggf. LkSG koordiniert, ohne dass die einzelne Gesellschaft ihre Eigenständigkeit verliert. Die Mandantentrennung ist technisch und organisatorisch sauber umgesetzt.

Besonders relevant wird das, wenn die Tochterunternehmen unterschiedliche Branchen abdecken, etwa eine Konzernmutter im Maschinenbau mit einer Tochter im Gesundheitsbereich und einer Tochter in der Logistik. Die Demo zeigt, wie unterschiedliche Beauftragten-Rollen pro Mandant aktiviert werden: Hygienebeauftragter im Gesundheitssegment, Gefahrgutbeauftragter in der Logistik, Datenschutzbeauftragter konzernweit, ISB konzernweit mit NIS-2-Konstellation. Jede Rolle bleibt im jeweiligen Mandanten verankert, die Berichtslinie läuft an den Konzern-Compliance-Officer, der seinerseits an den Vorstand berichtet. Die Berichtswege werden in der Demo grafisch dargestellt und können auf das Organigramm Ihres Hauses angepasst werden.

Wir zeigen auch die NIS-2-Konstellation für Konzerne: Welche Gesellschaft fällt als wesentliche Einrichtung in den Anwendungsbereich, welche als wichtige, welche fällt heraus. Die Schwellen ergeben sich aus § 28 NIS2UmsuCG und den Sektorlisten. Die Plattform führt diese Bewertung als wiederholbare Audit-Vorlage, sodass die Einstufung jährlich oder bei Veränderungen aktualisiert werden kann. Damit entsteht ein Steuerungsinstrument, das die Konzernleitung im Jahresbericht nutzen kann, und das im Rahmen einer Aufsichtsanfrage sofort vorgelegt werden kann. Auch externe Auditoren erkennen die einheitliche Struktur und sparen Prüfungszeit, was die jährlichen Audit-Kosten messbar senkt und die Wahrnehmung der Compliance-Funktion in der Geschäftsleitung verändert.

Ein besonderer Fall ist die Demo, wenn eine Beauftragten-Position aktuell vakant ist. Der interne DSB hat gekündigt, der externe Dienstleister ist abgesprungen, eine NIS-2-Einstufung trifft Sie überraschend als wesentliche Einrichtung. In dieser Lage zeigen wir die Officer-as-a-Service-Strecke mit besonderem Fokus auf die Geschwindigkeit. Die Bestellurkunde liegt innerhalb von zwei Werktagen vor, der Beauftragte ist meldefähig, die Berichtslinie steht. Die Aufsichtsanfrage kann beantwortet werden, bevor die Frist abläuft.

Wir spielen in der Demo den Übergang durch. Schritt eins: Bestellung des externen Beauftragten und Eintrag in das Verzeichnis. Schritt zwei: Übernahme der bestehenden Dokumentation, sofern vorhanden, in den Workspace, mit klarer Markierung von Lücken. Schritt drei: Priorisierung der akuten Aufgaben, etwa eine offene Aufsichtsanfrage, eine ausstehende Datenpannen-Meldung, ein ISO-27001-Audit oder eine NIS-2-Erstmeldung. Schritt vier: die Übergabe an einen internen Beauftragten, falls die Position später wieder besetzt wird, ohne dass die Dokumentation bricht und ohne dass ein Wissensverlust entsteht.

Die Demo zeigt diese vier Schritte an einem anonymisierten realen Fall aus dem Mandantenkreis. Audit-fest, dokumentiert, §-38-BSIG-fest. Frist läuft ab Kenntnis, deshalb ist der schnelle Übergang in solchen Lagen entscheidend, und genau das demonstriert die Plattform. Wer in einer vakanten Lage sitzt, sollte die Demo entsprechend mit der akuten Frist im Hinterkopf führen, damit die zweite Stunde nicht erst nach einem mehrwöchigen Beschaffungsprozess folgt. In dringenden Fällen ist auch eine Demo am Folgetag möglich, sofern die Termine es zulassen, und die Bestellurkunde kann unmittelbar im Anschluss ausgestellt werden, sofern alle Pflichtangaben vorliegen. Auch die Demo selbst protokollieren wir, sodass interne Notizen für das Entscheidergremium nachvollziehbar bleiben.

Eine CIVAC-Demo ist die kürzeste Form, herauszufinden, ob die Plattform und das Officer-as-a-Service-Modell zu Ihrem Haus passen. 45 Minuten, live im Workspace, an einer konkreten Beauftragten-Rolle, mit einem klaren Folgeprozess. Wenn die Demo aus Ihrer Sicht trägt, erhalten Sie innerhalb von zwei Werktagen einen schriftlichen Vorschlag mit Lizenzumfang, Bestellurkunden und Migrationsplan. Wenn nicht, bleibt der Aufwand bei einer Dreiviertelstunde, ohne Folgekosten und ohne Bindung. Eine zweite Demo ist jederzeit möglich, falls weitere Fachbereiche eingebunden werden sollen.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle teilen sich denselben Datenstand, dieselben 490 Audit-Vorlagen und dieselbe Berichtslinie. Der Wechsel zwischen den Modellen ist jederzeit möglich, ohne dass eine Migration auf eine neue Plattform entsteht. Genau das macht die Demo zu mehr als einer Verkaufsvorführung: Sie zeigt eine Architektur, die mehrere Audit-Zyklen und mehrere Modelländerungen trägt, und die in 25 Beauftragten-Rollen denkbar ist.

Aus dem Lesen einen Auftrag machen. Senden Sie uns eine kurze Beschreibung Ihrer Ausgangslage und der gewünschten Rolle an info@civac.de oder buchen Sie den Termin über das Kontaktformular auf civac.de. Sie erhalten innerhalb eines Werktags einen Terminvorschlag und eine Vorbereitungs-Checkliste. Die Demo findet als 45-Minuten-Videocall statt, optional persönlich bei einer einstündigen Anfahrt aus München, Berlin oder dem Rhein-Main-Gebiet. In dringenden Fällen ist die Terminvergabe auch am Folgetag möglich, etwa bei akuten Aufsichtsanfragen oder vakanten Beauftragten-Positionen, in denen eine Frist nach § 38 BSIG oder Art. 33 DSGVO bereits läuft und die Berichtslinie umgehend wiederhergestellt werden muss.