CIVAC Plattform: 25 Beauftragten-Rollen im Überblick – Pflichten, Bestellung und Workspace

Das deutsche Unternehmensrecht kennt mehr als 25 Beauftragten-Rollen, die Unternehmen je nach Branche, Größe und Tätigkeitsfeld bestellen müssen. Der Datenschutzbeauftragte nach Art. 37 DSGVO und § 38 BDSG ist am bekanntesten; daneben stehen Bestellpflichten für Informationssicherheits-, Compliance-, Geldwäsche-, Gefahrstoff-, Brandschutz-, Umwelt- und viele weitere Beauftragte. Jede Rolle hat eigene Bestellvoraussetzungen, eigene Dokumentationspflichten und eigene Meldefristen gegenüber Behörden.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die alle 25 dieser Rollen in einem einzigen Workspace abbildet. Dieser Beitrag erklärt, welche Rollen für den deutschen Mittelstand typischerweise verpflichtend sind, wie der Bestellprozess auf der Plattform funktioniert und warum ein integrierter Workspace gegenüber rollenspezifischen Einzellösungen strukturelle Vorteile hat.

Für ein produzierendes mittelständisches Unternehmen mit 200 Mitarbeitern, das Gefahrstoffe verarbeitet und Kundendaten speichert, können folgende Rollen gleichzeitig verpflichtend sein: Datenschutzbeauftragter (Art. 37 DSGVO, § 38 BDSG ab 20 automatisiert verarbeitenden Personen), Fachkraft für Arbeitssicherheit (§ 5 ASiG, DGUV V2), Brandschutzbeauftragter (DGUV I 205-023, DIN 14095), Gefahrstoffbeauftragter (§ 6 GefStoffV, TRGS 400), Compliance-Beauftragter (§ 130 OWiG, IDW PS 980) und – bei NIS-2-Relevanz – Informationssicherheitsbeauftragter (§§ 30, 38 BSIG, ISO/IEC 27001:2022).

Für Finanzdienstleister tritt der Geldwäschebeauftragte (§ 7 GwG) hinzu; für Unternehmen mit mehr als 1.000 Mitarbeitern oder ab 2024 mit erheblichen Lieferkettenrisiken der LkSG-Beauftragte (§ 4 LkSG). Für Unternehmen im Gesundheitswesen der Hygienebeauftragte (§ 36 IfSG) und der Betriebsarzt (§ 3 ASiG, DGUV V2).

Diese Rollenkombinationen verwalten viele Unternehmen mit Einzellösungen: ein Schulungsanbieter für Datenschutz, ein externer Berater für Arbeitssicherheit, ein separates System für Gefahrstoffmanagement. Der CIVAC-Workspace für den Datenschutzbeauftragten ist eine der 25 Rollen, die auf der Plattform in einem gemeinsamen Dokumentationsgefüge geführt werden.

Die Bestellung eines Beauftragten ist kein formloses Gespräch, sondern ein Rechtsakt mit formalem Mindestinhalt. Je nach Rolle verlangt das Gesetz Schriftform, öffentliche Bekanntmachung oder Meldung an eine Behörde. Für den Datenschutzbeauftragten fordert Art. 37 Abs. 7 DSGVO die Übermittlung der Kontaktdaten an die Aufsichtsbehörde. Für den Informationssicherheitsbeauftragter schreibt § 30 BSIG für KRITIS-Betreiber eine Meldung beim BSI vor. Für den Geldwäschebeauftragten ist nach § 7 Abs. 3 GwG unverzüglich eine Meldung an die zuständige Behörde zu erstatten.

Die Bestellurkunde selbst muss mindestens enthalten: Name des Beauftragten, Bezeichnung der Rolle mit gesetzlicher Grundlage, Bestelldatum, Umfang der Beauftragung, Berichtslinie zur Geschäftsleitung sowie Unterschriften beider Parteien. Fehlt ein Element, ist die Bestellung im Prüfungsfall angreifbar. Bestellurkunde, unterschrieben, abgelegt, belegbar – das ist der formale Standard für jede der 25 Rollen.

CIVAC erzeugt bei jeder Bestellung über den Officer-as-a-Service automatisch eine vollständige Bestellurkunde, speichert sie im Dokumentationscenter und löst ggf. die behördliche Meldung aus. Das CIVAC-SLA sieht Vertrag, Person und Urkunde innerhalb von zwei Werktagen vor – gegenüber klassischen Bestellprozessen, die 2 bis 6 Wochen dauern können.

Der CIVAC-Workspace ist in sechs Bereiche gegliedert, die den wiederkehrenden Arbeitszyklus jedes Beauftragten abbilden. Im Bereich Aufgaben liegen vorgefertigte Prompt-Templates für tägliche Aufgaben, E-Mail-Intake und wiederkehrende Cadences. Über 200 einsatzbereite Templates decken die häufigsten Tätigkeiten jeder Beauftragten-Rolle ab.

Im Bereich Schulungen erstellt der Beauftragte Schulungsmodule, weist Mitarbeiter zu und verfolgt den Absolvierungsstand. Zertifikate werden automatisch ausgestellt. Im Bereich Projekte werden Audits, Assessments und Berichte in fünf festen Schritten bearbeitet: Scope, Uploads, Rückfragen, Risiken, Bericht. 37 einsatzbereite Audit-Vorlagen bilden die Ausgangsbasis.

Die Dokumentation konsolidiert monatlich abgeschlossene Aufgaben, Schulungsnachweise und Auditbefunde in exportfähige Compliance-Berichte. Der Bereich Fragen stellt einen KI-Assistenten mit Konfidenzwert und One-Click-Eskalation zur Verfügung. Templates enthält den anpassbaren Katalog aller Prompt-Templates nach Audit, Assessment, Schulung und Operational. Alle sechs Bereiche sind für alle 25 Rollen identisch aufgebaut und teilen dieselbe Audit-Spur.

Für den deutschen Mittelstand sind elf Beauftragten-Rollen so weit verbreitet, dass sie als Standardpflichtprogramm gelten. Die folgende Tabelle gibt einen Überblick:

Jede Rolle hat eine eigene Seite im CIVAC-Rollenverzeichnis mit Bestellvoraussetzungen, Dokumentationspflichten und verfügbaren Audit-Vorlagen. Die Auswahl der relevanten Rollen orientiert sich am Unternehmensprofil; CIVAC unterstützt bei der Bedarfsanalyse.

Neben den elf Standardrollen kennt das deutsche Unternehmensrecht vierzehn branchenspezifische Rollen, die abhängig von Sektor und Tätigkeit verpflichtend werden. Der Betriebsarzt (§ 3 ASiG, DGUV V2) ist für fast alle Unternehmen mit Mitarbeitern erforderlich, oft in Kombination mit der Fachkraft für Arbeitssicherheit. Der Gefahrgutbeauftragte (§ 3 GbV, ADR, GGVSEB) ist für Unternehmen verpflichtend, die gefährliche Güter im Straßen-, Schienen-, See- oder Luftverkehr befördern oder versenden.

Der Hygienebeauftragte (§ 36 IfSG, TrinkwV, KRINKO) ist in Gesundheitseinrichtungen, Lebensmittelbetrieben und Gemeinschaftseinrichtungen gesetzlich vorgeschrieben. Der ESG-Nachhaltigkeitsbeauftragte (CSRD, ESRS, LkSG) wird für Unternehmen im Anwendungsbereich der Corporate Sustainability Reporting Directive relevant. Der Beauftragte für die interne Meldestelle (HinSchG, EU-Hinweisgeberrichtlinie) ist für Unternehmen ab 50 Mitarbeitern verpflichtend.

Die interne Meldestelle nach HinSchG und der Umweltbeauftragte nach BImSchG gehören zu den Rollen, die im Mittelstand häufig erst auf Prüfanfrage besetzt werden – was das Bußgeldrisiko erhöht. CIVAC bildet alle 14 branchenspezifischen Rollen im selben Workspace ab wie die Standardrollen.

Die Wahl zwischen internem und externem Beauftragten hängt von drei Faktoren ab: Fachkompetenz, Kapazität und Unabhängigkeit. Interne Beauftragte kennen das Unternehmen und seine Prozesse besser, sind aber in Personalressource und Fachwissen oft begrenzt. Externe Beauftragte bringen spezialisierte Expertise mit und sind von Interessenkonflikten unabhängiger, müssen aber mit dem Unternehmen erst vertraut gemacht werden.

Für bestimmte Rollen schreibt das Gesetz Interessenunabhängigkeit explizit vor. Der Datenschutzbeauftragte nach Art. 38 Abs. 6 DSGVO darf keine Aufgaben wahrnehmen, die zu einem Interessenkonflikt führen. Der Informationssicherheitsbeauftragte sollte nach BSI-Empfehlung nicht gleichzeitig Systemadministrator sein. In diesen Fällen ist ein externer Beauftragter strukturell die sicherere Wahl.

Für Unternehmen, die mehrere Rollen gleichzeitig besetzen müssen, aber nicht für jede Rolle einen Vollzeitbeauftragten beschäftigen können, ist das mixed model sinnvoll: interne Beauftragte für die Rollen mit hoher Betriebsnähe (z. B. QMB, SiFa), externe Beauftragte für die Rollen mit Unabhängigkeitserfordernis (DSB, ISB) oder hohem Fachtiefgang (GwB, LkSG). Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder bestellen Sie unsere Beauftragten. Beide Modelle teilen denselben Workspace.

Die häufigste Compliance-Lücke im Mittelstand ist nicht die fehlende Bestellung eines Beauftragten, sondern die fehlende laufende Dokumentation seiner Tätigkeit. Viele Unternehmen haben die Bestellurkunde ausgestellt, aber kein nachvollziehbares Protokoll der Beauftragten-Aktivitäten: keine Schulungsnachweise, keine Audit-Berichte, keine Risikoanalysen, keine Berichtslinie zur Geschäftsleitung.

Im Prüfungsfall fragt die Behörde nicht nur, ob der Beauftragte bestellt ist, sondern ob er tätig ist. Für den Datenschutzbeauftragten bedeutet das: Tätigkeitsbericht nach Art. 39 DSGVO, dokumentierte Datenschutz-Folgenabschätzungen, Schulungsquoten. Für den ISB: aktuelles Statement of Applicability, Risikoregister, Audit-Berichte. Für den Brandschutzbeauftragten: dokumentierte Begehungen, Mängelberichte, Schulungsnachweise.

Der CIVAC-Workspace dokumentiert alle diese Tätigkeiten automatisch: Jede abgeschlossene Aufgabe, jede Schulung, jeder Audit-Bericht wird mit Zeitstempel im Audit-Log protokolliert. Die monatliche Dokumentationsfunktion konsolidiert diese Datenpunkte in ein exportfähiges Compliance-Evidenz-Dokument. Der Prüfer ruft an, der Nachweis liegt bereit. Das ist der strukturelle Unterschied zu einem Aktenschrank.

Unternehmen, die sechs oder acht Beauftragten-Rollen besetzen, verwalten diese typischerweise mit sechs oder acht verschiedenen Systemen: Schulungs-LMS, Gefahrstoff-Datenbank, ISMS-Tool, GwG-Meldeplattform, Auditmanagement-Software und manuelle Ablagestrukturen. Diese Fragmentierung erzeugt drei strukturelle Probleme.

Erstens: Inkonsistente Datenbasis. Wenn Risikobewertung im ISMS-Tool und Gefährdungsbeurteilung in einer Tabellenkalkulation leben, fehlt der Gesamtüberblick über das kombinierte Unternehmensrisiko. Zweitens: Redundante Prozesse. Schulungsnachweise für den Datenschutz, die Arbeitssicherheit und den Gefahrstoffbereich liegen in drei verschiedenen Systemen und erfordern separate Exports für Prüfungen. Drittens: Fehlende Berichtslinie. Die Geschäftsleitung erhält keine konsolidierte Übersicht über den Stand aller Beauftragten-Rollen.

Ein integrierter Workspace löst alle drei Probleme: Eine gemeinsame Datenbasis, ein einziges Schulungsprotokoll, ein einziger konsolidierter Monatsbericht für die Geschäftsleitung. Der CIVAC Compliance-Beauftragte kann als zentrale Koordinationsfunktion eingerichtet werden, die den Gesamtüberblick über alle aktiven Beauftragten-Rollen und deren Dokumentationsstand hält.

CIVAC ist als Compliance-Plattform und Officer-as-a-Service konzipiert für den deutschen Mittelstand, der mehrere Beauftragten-Rollen gleichzeitig managen muss. Alle 25 Rollen sind auf der Plattform heute live – von der Fachkraft für Arbeitssicherheit bis zum Störfallbeauftragten. Jede Rolle hat eigene Audit-Vorlagen, eigene Schulungsmodule und eigene Berichtspfade; alle teilen denselben Workspace, dieselbe Dokumentationsbasis und dieselbe Audit-Spur.

Der Onboarding-Prozess beginnt mit einer Bedarfsanalyse: Welche Beauftragten-Rollen sind für das konkrete Unternehmensprofil verpflichtend? CIVAC unterstützt bei dieser Einschätzung und schlägt auf dieser Basis die relevanten Rollen vor. Die Bestellung per Officer-as-a-Service erfolgt mit Urkunde, Berichtslinie zur Geschäftsleitung und CIVAC-SLA innerhalb von zwei Werktagen. Für interne Beauftragte steht der Workspace-Lizenzvertrag zur Verfügung.

Beide Modelle – Tool-Lizenz und Officer-as-a-Service – sind kombinierbar. Ein Unternehmen kann seinen internen DSB auf dem Workspace lizenzieren und gleichzeitig einen externen ISB über CIVAC bestellen. Alle arbeiten auf derselben Plattform, alle Dokumentationsnachweise liegen an einem Ort. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.