Drafting Engine für Compliance-Gutachten: Vorlagen, Logik, Audit-Trail

Compliance-Gutachten zu Datenschutz, Informationssicherheit, Lieferkette oder Geldwäscheprävention folgen einer wiederkehrenden Struktur. Aus § 26 BDSG, Art. 35 DSGVO, ISO/IEC 27001:2022, NIS-2, § 4f KWG, § 6 GwG und der LkSG-Sorgfaltspflichten-Verordnung leiten sich Prüfschemata ab, die in 80 Prozent der Fälle identisch laufen. Genau hier setzt eine Drafting Engine an. Sie übernimmt nicht die juristische Bewertung, sie übernimmt das Skelett: Aufbau, Quellenangaben, Definitionen, Prüfschritte, Empfehlungen und Anlagenverzeichnis. Der Sachverständige oder der externe Beauftragte konzentriert sich auf den variablen Teil, in dem die juristische Würdigung steckt. Aus drei Tagen Tipparbeit werden so wenige Stunden Bewertungsarbeit, ohne dass die Qualität sinkt.

Eine gut gebaute Drafting Engine reduziert die Zeit für ein typisches Gutachten von drei Tagen auf wenige Stunden, ohne dass die Qualität sinkt. Voraussetzung sind versionierte Vorlagen, ein sauber gepflegtes Glossar und eine Anbindung an das Verarbeitungs- oder Risikoregister. CIVAC betreibt diese Mechanik als Teil einer Compliance-Plattform und Officer-as-a-Service. Der Workspace enthält 490 einsatzbereite Audit-Vorlagen, 93 Controls nach ISO/IEC 27001:2022 und einen Audit-Trail, der jeden Schritt belegt. Dieser Artikel beschreibt, wie eine Drafting Engine in der Praxis funktioniert, welche Grenzen sie hat, welche sechs Auswahlkriterien Sie kennen sollten und wann sie ein lohnendes Investment ist. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Eine Drafting Engine ist ein parametrisiertes Dokumentensystem. Sie nimmt strukturierte Eingaben wie Mandant, Verarbeitung, Risikoklasse, Rechtsgrundlage, Empfänger und Drittlandbezug auf und erzeugt daraus den ersten Entwurf eines Gutachtens, einer DSFA nach Art. 35 DSGVO, eines ISMS-Statements oder einer LkSG-Risikoanalyse. Die Engine ersetzt nicht die juristische Bewertung. Sie standardisiert das, was standardisierbar ist: Definitionen, Rechtsgrundlagen, Prüfschritte, Anlagenverzeichnisse und Belegketten. Der Sachverständige bearbeitet anschließend die variablen Felder, ergänzt die Argumentation, prüft die Quellen und unterschreibt. Genau diese Trennung zwischen Skelett und Würdigung ist entscheidend, damit die Engine nicht zur Black-Box wird und damit die Verantwortlichkeit nach § 130 OWiG sauber beim Verfasser bleibt.

Im CIVAC Workspace ist die Drafting Engine in das Verarbeitungsverzeichnis nach Art. 30 DSGVO und in das Risikoregister nach ISO/IEC 27001:2022 eingebettet. Wenn eine neue Verarbeitung im Verzeichnis angelegt wird, schlägt die Engine eine passende Gutachten-Vorlage vor, lädt die zugehörigen Quellen und parametrisiert den Entwurf mit den bereits vorhandenen Daten. So entsteht der erste Draft eines DSFA-Gutachtens in unter einer Stunde. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der externe Datenschutzbeauftragte oder der interne Beauftragte prüft den Entwurf, ergänzt die Argumentation und gibt frei. Die Engine liefert keine Meinung, sie liefert Tempo und Konsistenz. Damit verschiebt sich der Fokus des Beauftragten weg von Recherchearbeit hin zu der eigentlich wertschöpfenden Bewertung. Auch der Wissenstransfer zwischen erfahrenen und neuen Beauftragten wird einfacher, weil die Engine die methodischen Konventionen reproduzierbar macht und ein Onboarding neuer Mitarbeiter messbar verkürzt.

Eine produktive Drafting Engine besteht aus vier Bausteinen. Erstens die Vorlagenbibliothek: CIVAC pflegt 490 Audit-Vorlagen, von der DSFA über die LkSG-Risikoanalyse bis zum Lieferanten-Audit nach ISO 27001 Anhang A.5.19. Jede Vorlage hat eine Versionsnummer, ein Änderungsprotokoll und einen Verantwortlichen, der die Pflege übernimmt. Zweitens die Klauselbibliothek: Standardformulierungen für Rechtsgrundlagen, Empfänger, Sub-Prozessoren, Drittlandbezüge, TIA-Ergebnisse und Empfehlungen, jeweils mit Quellenangabe und Versionsstand. Drittens ein zentrales Glossar: Begriffe wie "Personenbezogene Daten", "Wesentliche Einrichtung", "Kritische Komponente" werden im gesamten Dokumentenbestand identisch verwendet, sodass Prüfer keine Begriffsabweichungen finden, die sonst regelmäßig zu Rückfragen führen.

Viertens das Risikoregister: Jedes Gutachten verweist auf die Risikoeinträge, die die Bewertung tragen. Wenn das Risiko aktualisiert wird, wird das Gutachten in der nächsten Iteration mit dem neuen Wert befüllt, sodass kein Gutachten still altert. Im Workspace sieht der Verfasser, welche Vorlagen er nutzt, welche Klauseln er ändert und welche Risiken er adressiert. Jeder Schritt landet im Audit-Trail mit Zeitstempel und Autor. Mehr Hintergrund zur Methodik finden Sie in der CIVAC FAQ. Der Verfasser bleibt der juristische Autor. Die Engine ist sein Werkzeug, nicht sein Vertreter. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. In beiden Modellen bleiben die vier Bausteine das gleiche stabile Fundament. Wenn ein Konzern mehrere Tochtergesellschaften betreibt, kann jede Tochter eigene Mandanten-Spaces nutzen, während die Vorlagen, Klauseln und Glossare zentral gepflegt werden. So entstehen keine Begriffsabweichungen zwischen Headquarter und Landesgesellschaft, was bei grenzüberschreitenden Audits regelmäßig kritisiert wird und zu vermeidbaren Abweichungen im Auditbericht führt.

Drei Gutachtentypen lassen sich besonders effizient drafting-gestützt erstellen. Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO folgt einer klaren Struktur: Beschreibung der Verarbeitung, Notwendigkeit und Verhältnismäßigkeit, Risikobewertung, Abhilfemaßnahmen, Restrisikobewertung und Empfehlung an die Geschäftsleitung. Die Engine zieht die ersten drei Abschnitte aus dem Verarbeitungsverzeichnis, der Verfasser ergänzt Bewertung und Empfehlung. Ein zweites Beispiel ist das ISMS-Statement zur Anwendbarkeit der 93 Controls nach ISO/IEC 27001:2022. Die Engine erzeugt das Statement of Applicability aus dem Risikoregister und der Asset-Liste, der ISB kommentiert die Begründungen, ergänzt die kompensatorischen Maßnahmen und erstellt die Reifegradbewertung.

Drittens die LkSG-Risikoanalyse für direkte Zulieferer: Aufbauend auf einer parametrisierten Branchen- und Länderbewertung erzeugt die Engine den Entwurf der Analyse, der Lieferketten-Beauftragte ergänzt Lieferantengespräche, Audits und Maßnahmenpläne. In allen drei Fällen entsteht ein zitierfähiges Dokument mit Quellenangaben, Versionsnummer und Audit-Trail. Der Prüfer ruft an, der Nachweis liegt bereit. Wenn ein Konzern hundert Lieferanten zu bewerten hat, entscheidet die Engine über die Bearbeitbarkeit. Ohne strukturierte Drafting-Unterstützung scheitern LkSG-Programme häufig an der schieren Menge der zu erstellenden Analysen, nicht an der juristischen Komplexität der einzelnen Bewertung. Genauso verhält es sich bei DSGVO-Programmen mit hundert Verarbeitungen oder ISMS-Roll-outs über mehrere Tochtergesellschaften. Ergänzend lassen sich Geldwäsche-Risikoanalysen nach § 5 GwG, AGG-Beschwerdebescheide und Hygieneaudits drafting-gestützt erstellen. Damit deckt eine Drafting Engine einen Großteil des wiederkehrenden Compliance-Bestands ab und schafft Raum für die wirklich komplexen Einzelfälle, die zwingend manuelle Bearbeitung verlangen, etwa innovative Datenverarbeitungen, hochsensible Lieferketten oder neue KI-Anwendungen mit unklarer Rechtslage, die im Rahmen des EU AI Act gesondert zu bewerten sind und die juristische Tiefenarbeit des Verfassers erfordern.

Eine Drafting Engine ersetzt weder den Sachverständigen noch den Beauftragten. Sie liefert Bausteine. Die juristische Würdigung, die Subsumtion unter eine Rechtsnorm, die Beurteilung von Verhältnismäßigkeit und die Empfehlung sind Aufgaben des Verfassers. § 38 BDSG verlangt für den Datenschutzbeauftragten Fachkunde und Zuverlässigkeit, § 4 NIS2UmsuCG-Entwurf fordert dasselbe für den ISB, § 7 GwG nennt die Anforderungen an den Geldwäschebeauftragten und § 12 LkSG die Anforderungen an den Lieferkettenbeauftragten. Diese persönliche Verantwortung lässt sich nicht delegieren. Wer eine Drafting Engine als Ersatz für die Würdigung einsetzt, verstößt gegen die Anforderungen aus § 130 OWiG und gefährdet die Geschäftsleitung durch Organisationsverschulden.

CIVAC adressiert das durch eine klare Trennung der Rollen im Workspace. Die Engine erzeugt einen Entwurf, der Verfasser zeichnet ihn frei. Die Bestellurkunde dokumentiert die Beauftragung, das Gutachten dokumentiert die Bewertung, die Versionierung dokumentiert den Prozess. Damit ist die Beweislast aus Art. 5 Abs. 2 DSGVO bzw. § 130 OWiG erfüllt: Sie können dem Prüfer zeigen, wer wann was unterschrieben hat. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. In beiden Fällen bleibt die juristische Verantwortung beim Verfasser, die Engine entlastet ihn lediglich von der Wiederholungsarbeit. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Trennung zwischen Werkzeug und Verantwortung ist nicht nur juristisch geboten, sondern auch eine Frage der Audit-Reife eines Unternehmens. Geschäftsleitungen, die diese Trennung sauber organisieren, reduzieren ihr persönliches Haftungsrisiko und stärken zugleich die Position der Beauftragten gegenüber den operativen Fachbereichen, die ihre Vorhaben so transparenter und planbarer durch das Compliance-Verfahren führen können.

Ein Gutachten ist ein Beweismittel. Im Streitfall mit der Aufsichtsbehörde, im Schadensersatzprozess oder in der M&A-Due-Diligence wird gefragt, wer welchen Stand des Dokuments wann gesehen und freigegeben hat. Wer hier nur die letzte Word-Datei vorlegen kann, verliert in der Argumentation, weil weder die Versionshistorie noch die Freigabezeitpunkte sauber belegt sind. Eine Drafting Engine muss daher zwingend mit einem versionierten Repository und einem unveränderlichen Audit-Trail arbeiten. CIVAC nutzt dafür eine Ablage mit EU-Datenresidenz, gehärtet gegen das nach ISO/IEC 27001:2022 zertifizierte ISMS mit den 93 Controls und einem dokumentierten Notfallplan.

Jede Änderung an einem Gutachten erzeugt einen Eintrag mit Autor, Zeitstempel, betroffener Sektion und Vergleichsansicht zum vorherigen Stand. Freigaben werden mit Bestellnachweis und Identitätsbestätigung gekoppelt. So entsteht ein Beweismaterial-Bestand, der auch in einem mehrjährigen Prozess belastbar bleibt. Audit-fest, dokumentiert, § 130-OWiG-fest. Wer heute mit Word-Dokumenten und Sharepoint-Ordnern arbeitet, kann diese Beweislast in der Regel nicht erfüllen, sobald ein größerer Vorfall auftritt. Im Konfliktfall ist ein versionierter Bestand auch deshalb wertvoll, weil er die Sorgfalt des Verfassers in einer Form belegt, die juristisch wesentlich tragfähiger ist als nachträgliche Erinnerungen oder rekonstruierte E-Mail-Threads. Auch ein Wechsel des Beauftragten bleibt nachvollziehbar, weil die historischen Versionen die Verantwortlichkeiten klar zuordnen. Für die Aufsichtsbehörde reicht eine kurze Abfrage im Audit-Trail, um die Bestellkette, die Schulungsnachweise und die Gutachtenstände einer beliebigen Zeitscheibe zu rekonstruieren. Das vermeidet langwierige Beweisaufnahmen und stärkt die Verteidigungsposition, gerade in komplexen Sachverhalten mit mehreren Beteiligten und parallelen Prüfungsverfahren, in denen sich die Faktenlage über Jahre entwickelt und alte Stände belastbar reproduziert werden müssen.

Ein Standardgutachten zur DSFA erfordert in einer Kanzlei zwischen 8 und 24 Stunden, je nach Komplexität der Verarbeitung, der Drittlandbezüge und der eingesetzten Tools. Die Honorarspanne liegt bei 1.500 bis 6.000 Euro plus Folgekosten für Updates. Mit einer Drafting Engine, einem Verarbeitungsverzeichnis und einem aktuellen Risikoregister sinkt der Aufwand für den Erstentwurf auf zwei bis vier Stunden. Der Verfasser konzentriert sich auf die Würdigung, nicht auf die Recherche der Rechtsgrundlagen oder die Tippsuche für Standardklauseln. Bei einem Mittelständler mit zwanzig DSFA-pflichtigen Verarbeitungen entsteht so eine Ersparnis von hundert Stunden pro Jahr, ohne dass die Qualität sinkt. Bei einem Konzern mit hundert Verarbeitungen liegt die Ersparnis im Bereich von 500 Stunden, was den Aufbau eines internen Datenschutzteams oft erst rechtfertigt.

Hinzu kommt die Geschwindigkeit, mit der Gutachten aktualisiert werden können. Wenn ein Sub-Prozessor wechselt, regeneriert die Engine die betroffenen Abschnitte in Minuten. Wenn die Aufsichtsbehörde eine neue Leitlinie veröffentlicht, schlägt die Engine eine Anpassung der Klauselbibliothek vor und propagiert die Änderung in alle aktiven Gutachten. Das CIVAC-SLA von zwei Werktagen für Erstdokumente wird so realistisch und einhaltbar. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Aus dem Lesen einen Auftrag machen: Wer heute mehrere Gutachten pro Quartal erstellt, sollte den Business Case rechnen. In den meisten Fällen amortisiert sich die Lizenz innerhalb des ersten Quartals durch eingesparte externe Honorare und schnellere Reaktion auf neue regulatorische Anforderungen. Hinzu kommt ein nicht zu unterschätzender Effekt auf die Motivation der Beauftragten, weil sie mehr Zeit für die juristisch interessanten Fragen haben und weniger Zeit auf Tipparbeit und Formatierung verwenden müssen. Damit wird die Rolle des Beauftragten attraktiver und der Wettbewerb um qualifizierte Compliance-Fachkräfte planbarer.

Eine Drafting Engine entfaltet ihren Nutzen nur dann vollständig, wenn sie nicht isoliert läuft, sondern an die operativen Compliance-Datenbestände angedockt ist. CIVAC verknüpft die Engine mit drei Quellen: dem Verarbeitungsverzeichnis nach Art. 30 DSGVO, dem Risikoregister und Statement of Applicability nach ISO/IEC 27001:2022 und der Lieferantendatenbank für LkSG und ISO 27001 Anhang A.5.19. Wenn der Datenschutzbeauftragte eine DSFA anstößt, lädt die Engine automatisch die Beschreibung der Verarbeitung, die Rechtsgrundlage, die Empfänger, die Drittlandbezüge und die zugehörigen Auftragsverarbeiter aus dem Verzeichnis. Wenn der ISB ein Control-Statement schreibt, lädt die Engine die zugehörige Risikoeinstufung und die getroffenen Maßnahmen.

Diese Integration vermeidet doppelte Datenpflege und stellt Konsistenz sicher. Wenn das Verzeichnis aktualisiert wird, wandert die Information automatisch in die nächste Gutachten-Iteration. Die Engine signalisiert dem Verfasser, welche Abschnitte überprüft werden müssen. Mehr zur Architektur und zu den 25 verfügbaren Beauftragten-Rollen finden Sie auf der Übersicht der CIVAC Rollen. Für Konzerne mit zentralem Compliance-Office und dezentralen Fachbereichen ist diese Verzahnung der entscheidende Vorteil gegenüber Insellösungen. Auch die Vorbereitung externer Zertifizierungsaudits gewinnt: Der Auditor sieht ein konsistentes Set aus Verzeichnis, Risiken, Maßnahmen und Gutachten, statt sich durch fragmentierte Wiki-Seiten zu arbeiten. Damit verkürzen sich Audit-Zeiten und es sinkt die Wahrscheinlichkeit von Abweichungen. Im Zertifizierungszyklus von drei Jahren spart das je nach Standort und Tochtergesellschaft mehrere Manntage Auditbegleitung pro Jahr, was wiederum dem Compliance-Office Raum für strategische Themen verschafft, etwa für die Vorbereitung neuer regulatorischer Anforderungen oder den Aufbau eines internen Schulungsprogramms für die Fachbereiche.

Sechs Kriterien entscheiden über die Tauglichkeit einer Drafting Engine. Erstens: Versionierung mit unveränderlichem Audit-Trail. Zweitens: Anbindung an die operativen Compliance-Datenbestände, nicht eine isolierte Vorlagensammlung. Drittens: EU-Datenresidenz und ISO-zertifiziertes Hosting, was insbesondere für Mandanten aus regulierten Branchen wie Banken, Versicherungen, Gesundheit oder kritischen Infrastrukturen unverhandelbar ist. Viertens: Klauselbibliothek mit Quellenangaben, die regelmäßig durch Juristen gepflegt wird, nicht eine generative KI ohne Quellenbindung. Fünftens: Klare Rollentrennung zwischen Engine (Skelett) und Verfasser (Würdigung), inklusive Freigabe-Workflow mit Vier-Augen-Prinzip. Sechstens: Ein Service-Level, das die Pflege der Vorlagen verbindlich zusichert.

Generative KI-Tools ohne Quellenbindung erfüllen typischerweise mehrere dieser Kriterien nicht. Sie produzieren überzeugend klingende Texte, die im juristischen Detail Halbwahrheiten enthalten und in der Belegkette nicht überprüfbar sind. Eine Drafting Engine im Compliance-Sinne ist nicht eine generative KI mit Hochglanz, sondern eine deterministische Mechanik mit Klauselbibliothek und Quellenangabe. CIVAC erfüllt alle sechs Kriterien und bietet die Wahl zwischen einer Workspace-Lizenz für interne Teams und einem Officer-as-a-Service-Modell mit eigenen Beauftragten. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. So wird aus einer Werkzeugfrage eine Modellfrage, die Sie nach Ihrem Reifegrad und Ihrer personellen Aufstellung entscheiden. In einer ersten Demo zeigen wir Ihnen exemplarisch, wie eine DSFA, ein ISMS-Statement und eine LkSG-Analyse innerhalb von Minuten aus echten Stammdaten heraus aufgebaut werden, sodass Sie ein realistisches Bild für Ihre eigene Entscheidung erhalten. Die Demo dauert in der Regel 45 Minuten und wird durch einen unserer Beauftragten geführt, der Ihre Branchenspezifika berücksichtigt und auf Wunsch mit anonymisierten Referenzfällen arbeitet.

Die Drafting Engine von CIVAC ist Teil der Compliance-Plattform und Officer-as-a-Service. Sie läuft im selben Workspace wie das Verarbeitungsverzeichnis nach Art. 30 DSGVO, das Risikoregister nach ISO/IEC 27001:2022, die Bestellurkunden-Verwaltung, der Datenpannen-Meldepfad nach Art. 33 DSGVO (72 Stunden) und der NIS-2-Berichtspfad (24h Frühwarnung, 72h Folgemeldung). 490 einsatzbereite Audit-Vorlagen decken die wichtigsten Gutachtentypen ab, von DSFA und LkSG-Analyse bis zum ISMS-Statement, zum AGG-Beschwerdebescheid und zur Geldwäsche-Risikoanalyse nach § 5 GwG. Alle Vorlagen werden durch das CIVAC-Team gepflegt und versioniert, sodass neue Leitlinien und Urteile innerhalb von Tagen einfließen und Sie nicht eigenständig den Markt beobachten müssen.

Sie haben zwei Pfade. Erstens: Sie lizenzieren den Workspace und nutzen die Engine mit Ihren internen Beauftragten und Sachverständigen. Zweitens: Sie übergeben die Beauftragung an CIVAC und erhalten externe Beauftragte, die die Engine täglich nutzen und Ihre Gutachten innerhalb des SLA von zwei Werktagen liefern. Auch hybride Modelle sind möglich, etwa eine Workspace-Lizenz mit gezielter Aushilfe durch CIVAC-Beauftragte bei Spitzenlasten. Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten eine Demo des Workspace, eine erste Einschätzung Ihres Gutachten-Volumens und einen Vorschlag, mit welchem Modell sich der Aufwand am schnellsten reduziert. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Prüfer ruft an, der Nachweis liegt bereit, weil jede Bestellung, jede Schulung und jedes freigegebene Gutachten im selben Workspace gefunden wird. Damit verschiebt sich die Compliance-Funktion von einer reaktiven in eine proaktive Rolle, was Geschäftsleitung und Aufsichtsgremien zunehmend einfordern und was Investoren bei der Due-Diligence honorieren.