GRC-Tool auswählen: Governance, Risk und Compliance ohne Aktenschrank-Romantik

Ein GRC-Tool, also eine Software für Governance, Risk und Compliance, ist seit der NIS-2-Richtlinie (Art. 21 NIS2-RL) und der ISO/IEC 27001:2022 kein Komfortkauf mehr, sondern operative Grundausstattung. Wer 93 Controls nach ISO/IEC 27001:2022 dokumentieren, Risiken nach Art. 32 DSGVO bewerten und parallel die Berichtspflichten aus § 130 OWiG erfüllen muss, kommt mit Excel-Mappen nicht durch ein ernsthaftes Audit. Die Aufsichtsbehörden erwarten nachvollziehbare Kontrollketten, datierte Nachweise und reproduzierbare Risikoanalysen. Die rund 29.500 NIS-2-betroffenen Unternehmen in Deutschland stehen damit vor einer doppelten Anforderung: Sie müssen Pflichten erfüllen und gleichzeitig nachweisen, dass sie sie erfüllen.

Dieser Beitrag erklärt, welche Funktionen ein belastbares GRC-Tool im Jahr 2026 abdecken muss, welche Auswahlfehler regelmäßig auftreten und wie sich die Software in eine bestehende Beauftragten-Organisation einfügt. Sie erhalten eine Checkliste für die Beschaffung, eine Übersicht zu typischen Integrationspunkten, eine Bewertung gängiger Preismodelle sowie einen Vorschlag, wie sich Lizenzmodell und Officer-as-a-Service kombinieren lassen. Ziel ist eine Compliance, die belegbar ist, wenn der Prüfer anruft, nicht nur eine, die auf Folien gut aussieht. Der Beitrag adressiert primär Geschäftsführungen, Compliance- und IT-Sicherheitsverantwortliche im Mittelstand und in Konzernen mit verteilten Standorten.

Der Begriff GRC umfasst drei Disziplinen: Governance, also die Steuerung von Verantwortlichkeiten und Berichtslinien, Risk Management nach Art. 32 DSGVO sowie ISO/IEC 27005, und Compliance, also die Einhaltung gesetzlicher und vertraglicher Pflichten. Ein GRC-Tool integriert diese drei Ebenen in einem gemeinsamen Datenmodell. Risiken werden mit Controls verknüpft, Controls mit Pflichten, Pflichten mit Nachweisen und Nachweisen mit verantwortlichen Personen. Diese Verkettung ist der eigentliche Wert. Ohne sie haben Sie vier Excel-Tabellen mit unterschiedlichen Versionsständen und ein hohes Risiko, im Audit widersprüchliche Aussagen zu produzieren.

Operativ bedeutet das: Wenn eine neue NIS-2-Anforderung in Kraft tritt, etwa die 24-Stunden-Frühwarnpflicht aus § 32 BSIG, muss das Tool diese Pflicht erfassen, einer Rolle zuordnen, mit den passenden Controls verknüpfen und eine Aufgabe an den Informationssicherheitsbeauftragten auslösen können. Wenn ein Risiko aktualisiert wird, muss das System automatisch prüfen, ob die zugewiesenen Kontrollen noch angemessen sind und ob die zugehörigen Nachweise noch aktuell sind. Wer als Informationssicherheitsbeauftragter arbeitet, kennt die Folgen schlechter Datenmodelle: doppelte Pflege, widersprüchliche Aussagen, fehlende Nachweise im Audit, hoher Pflegeaufwand pro Quartal, und im schlimmsten Fall persönliche Haftung der Geschäftsleitung nach § 130 OWiG.

CIVAC führt diese Verkettung als Kernfunktion der Compliance-Plattform und Officer-as-a-Service, nicht als nachträgliches Add-on. Pflichten, Rollen und Nachweise wachsen aus einem gemeinsamen Datenmodell, das von Anfang an für Audit-Tauglichkeit ausgelegt ist. Das spart Pflege, schließt Lücken und reduziert die Reibung zwischen Fachbereich, Rechtsabteilung und IT auf ein operativ verträgliches Maß. Die Beauftragten sehen ihre Aufgaben in einer einzigen Oberfläche statt in fünf parallelen Werkzeugen.

Ein GRC-Tool ohne Risikoregister ist kein GRC-Tool. Das Register muss Risiken nach Eintrittswahrscheinlichkeit und Schadenshöhe bewerten, Maßnahmen zur Risikobehandlung dokumentieren und den Restrisikoverlauf über die Zeit darstellen. ISO/IEC 27005 gibt den methodischen Rahmen für Informationssicherheitsrisiken vor, die DSGVO ergänzt um die Datenschutz-Folgenabschätzung nach Art. 35. Beide Methodiken müssen abbildbar sein, idealerweise parallel und mit gemeinsamen Stammdaten zu Assets, Verarbeitungstätigkeiten und Bedrohungen, damit dieselbe Bedrohung nicht zweimal bewertet wird. Wer drei Register parallel führt, verbraucht Personenstunden, die im operativen Risikomanagement fehlen.

Die zweite Pflichtfunktion ist das Control-Management. Die 93 Controls aus ISO/IEC 27001:2022 Anhang A müssen vollständig hinterlegt sein, ebenso die zugehörigen Reifegrade nach einem klar definierten Modell. Jedes Control braucht einen Eigentümer, ein Prüfintervall und eine Verknüpfung zu konkreten Nachweisen. Drittens benötigen Sie eine Pflichtendatenbank, die Gesetze, Normen, vertragliche Anforderungen und interne Policies abbildet, mit Aktualisierungsmechanismus bei Gesetzesänderungen. Viertens ein revisionssicheres Dokumentenmanagement mit Versionierung, Freigabeworkflows und Aufbewahrungsfristen nach § 257 HGB und § 147 AO. Fünftens ein Audit-Modul, das Lieferanten- und interne Audits inklusive Findings, Maßnahmen und Eskalationspfaden führt.

Wer hier spart, spart am falschen Ende. Die 490 einsatzbereiten Audit-Vorlagen der CIVAC-Plattform decken diese fünf Bereiche standardisiert ab, von der Risikobewertung über die Lieferantenprüfung bis zur Bestellurkunde, unterschrieben, abgelegt, belegbar. Das spart in der Einführung typischerweise sechs bis zwölf Personenwochen interner Konzeptarbeit und reduziert den Beratungsbedarf für die Methodik um einen vergleichbaren Umfang. Wer eine eigene Methodik aufbauen will, kann das, gewinnt aber operativ nichts, weil die ISO-Welt und die deutschen Aufsichtsbehörden ohnehin standardisierte Strukturen erwarten.

Der häufigste Fehler bei der GRC-Tool-Auswahl ist die Orientierung an Featurelisten statt an Anwendungsfällen. Anbieter werben mit Hunderten von Funktionen, von denen Sie 80 Prozent nie nutzen. Entscheidend ist nicht der Umfang, sondern wie schnell Ihre Beauftragten ein konkretes Szenario abbilden können. Definieren Sie vor jeder Demo drei Use Cases aus Ihrem Alltag, etwa die Aufnahme eines neuen Lieferanten mit LkSG-Risikoanalyse, die Reaktion auf einen Datenschutzvorfall mit Meldepflicht nach Art. 33 DSGVO innerhalb von 72 Stunden und den Quartalsbericht an die Geschäftsführung. Lassen Sie diese im Tool durchspielen, nicht in der Foliendemo, und zwar mit Echtdaten aus Ihrer Pflichtenlandschaft.

Zweiter Fehler: Unterschätzung des Datenimports. Bestehende Risiken, Verträge, Verarbeitungstätigkeiten und Audit-Findings müssen migriert werden, oft aus heterogenen Quellen wie Excel, SharePoint und alten GRC-Versionen. Anbieter, die hier nur CSV-Upload anbieten, verlagern Aufwand zu Ihnen. Dritter Fehler: Hosting außerhalb der EU. Mit dem Wegfall des Privacy Shield und der weiter unsicheren Rechtslage rund um US-Cloud-Anbieter ist EU-Datenresidenz nicht verhandelbar, schon gar nicht für Unternehmen unter NIS-2 oder mit Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO.

Vierter Fehler: keine Rollentrennung. Wer Datenschutzbeauftragter, Compliance-Officer und ISB im gleichen Mandanten zusammenfasst, verletzt das Trennungsgebot und produziert Audit-Findings. Ein belastbares Tool führt Mandanten und Rollen sauber getrennt, mit individuellen Berichtslinien und Vertraulichkeitsstufen. Fünfter Fehler: Vernachlässigung der Skalierung. Was bei 50 Risiken funktioniert, kann bei 500 Risiken unbedienbar werden. Testen Sie Suche, Filter und Export mit produktionsnaher Datenmenge, idealerweise mit anonymisierten Daten Ihres größten Standorts. Wer hier nachverhandelt, zahlt später doppelt, im Zweifel auch das Vertrauen der Aufsichtsbehörden.

Ein GRC-Tool ist kein Selbstzweck, sondern Werkzeug Ihrer Beauftragten. Es muss sich an die Berichtslinien anpassen, nicht umgekehrt. Klären Sie vor der Einführung: Welche Beauftragten sind nach Gesetz, Norm oder Vertrag bestellt? Üblicherweise sind das Datenschutzbeauftragter (Art. 37 DSGVO), Informationssicherheitsbeauftragter (NIS-2, § 38 BSIG), Compliance-Beauftragter (§ 91 Abs. 2 AktG), Geldwäschebeauftragter (§ 7 GwG), Hinweisgeberschutz-Meldestelle (§ 14 HinSchG), Lieferkettenbeauftragter (§ 4 LkSG) und je nach Branche weitere wie Hygiene-, Brandschutz-, Gefahrstoff-, Gefahrgut-, Umwelt- oder Qualitätsmanagementbeauftragter. Insgesamt sind in Deutschland mehr als 20 gesetzlich oder normativ definierte Beauftragtenrollen aktiv.

Jeder Beauftragte hat eigene Pflichten, eigene Fristen und eigene Berichtsempfänger. Ein gutes GRC-Tool bildet diese Rollen als eigene Sichten ab, mit eigenen Dashboards, eigenen Aufgabenlisten und eigenen Eskalationspfaden. Der Compliance-Beauftragte sieht andere Pflichten als der ISB, beide greifen aber auf den gemeinsamen Datenstamm zu, etwa auf das Asset-Inventar, das Lieferantenverzeichnis oder das Verarbeitungsverzeichnis nach Art. 30 DSGVO. Auf diese Weise entsteht eine einheitliche Wahrheit, ohne dass die Trennung der Verantwortlichkeiten aufgegeben wird, und ohne dass dieselbe Information dreimal gepflegt werden muss.

Wenn Sie noch keine vollständige Beauftragten-Organisation haben, müssen Sie diese parallel zur Tool-Einführung aufbauen. CIVAC kombiniert beide Schritte in einem Programm. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, falls intern keine Kapazitäten bestehen. Beide Modelle nutzen dasselbe Datenmodell, dieselben Vorlagen und dieselben Audit-Spuren. So entsteht keine Lücke zwischen Software und verantwortlicher Person, und ein Wechsel zwischen den Modellen ist jederzeit ohne Datenmigration möglich. Auch Mischformen, etwa intern DSB und extern ISB, sind in der Plattform sauber abbildbar.

Ein modernes GRC-Tool ist kein Inselsystem. Es muss mit den führenden Systemen Ihres Hauses kommunizieren. Mindestens fünf Schnittstellen sind verpflichtend. Erstens das Identity-Management, etwa Entra ID oder Okta, für rollenbasierte Berechtigungen und Single Sign-On, idealerweise mit SCIM-Provisionierung. Zweitens das Asset-Management oder die CMDB, damit Risiken und Controls mit konkreten Systemen verknüpft sind. Drittens das Ticketsystem, etwa Jira Service Management oder ServiceNow, damit Maßnahmen direkt in den operativen Betrieb fließen und nicht in einem separaten GRC-Workflow versanden. Viertens das Dokumentenmanagement, damit Verträge und Policies nicht doppelt gepflegt werden. Fünftens der Meldepfad an Behörden, insbesondere der NIS-2 24/72-Meldepfad an das BSI.

Zusätzlich gewinnen API-basierte Datenabfragen an Bedeutung. Auditoren erwarten zunehmend, dass Nachweise nicht aus PDFs, sondern aus Live-Systemen gezogen werden, etwa Konfigurationszustände von Firewalls, Patch-Stände von Servern, Backup-Erfolgsraten oder Logging-Vollständigkeit. Das GRC-Tool wird damit zur zentralen Brücke zwischen technischen Systemen und prüfungsfähiger Dokumentation. Ohne diese Brücke bleibt jede Audit-Vorbereitung manuelle Kleinarbeit, mit hohem Fehlerpotenzial und unklarer Stichtagslogik. Wer die Brücke baut, gewinnt eine kontinuierliche Audit-Fähigkeit statt eines jährlichen Sonderprojekts, und entlastet damit die Beauftragten in der heißen Audit-Phase erheblich.

CIVAC betreibt diese Schnittstellen mit ISO/IEC 27001:2022 ISMS und EU-Datenresidenz, sodass selbst Konzerne mit strenger Datenklassifizierung die Plattform für Berichtspflichten gegenüber Aufsichtsbehörden, Wirtschaftsprüfern und Lieferanten nutzen können. Wer das nicht prüft, riskiert Audit-Findings im Subprozessor-Bereich, mit allen Folgen für Verträge, Versicherungen und Kreditrating. Die Schnittstellen sind als REST-APIs mit OAuth2-Authentifizierung umgesetzt und vollständig dokumentiert, sodass auch IT-Architekten ohne CIVAC-Vorkenntnisse die Integration steuern können. Audit-fest, dokumentiert, § 130-OWiG-fest.

GRC-Tools werden meist pro Nutzer und Monat oder als Enterprise-Lizenz angeboten. Die Spannbreite ist erheblich: von etwa 30 Euro je Nutzer und Monat für schlanke Lösungen bis zu mehreren hunderttausend Euro Jahresgebühr für Konzernsuiten mit unbegrenzter Nutzerzahl. Die reine Lizenzgebühr ist jedoch selten der größte Posten. Der Total Cost of Ownership umfasst Implementierungsdienstleistungen, Datenmigration, Schulungen, jährliche Pflegegebühren und vor allem die internen Personenstunden für Pflege und Datenqualität. Faustregel: Rechnen Sie das Dreifache der Lizenzgebühr im ersten Jahr ein und das Doppelte in den Folgejahren.

Achten Sie im Vertrag auf vier Punkte. Erstens den Datenrückgabeanspruch bei Vertragsende: Ihre Daten müssen in einem maschinenlesbaren Format ausgeliefert werden, ohne zusätzliche Gebühr und mit klar definierter Frist. Zweitens die Subprozessoren-Liste: Wenn der Anbieter US-Subprozessoren nutzt, etwa für Hosting, Telemetrie oder Support, droht ein DSGVO-Konflikt, der nicht durch Standardvertragsklauseln allein zu lösen ist. Drittens die SLA für Verfügbarkeit und Wiederherstellungszeit. Bei einem GRC-Tool, das Nachweise für Audits führt, ist ein Ausfall in der Prüfungswoche schmerzhaft und kann Findings produzieren. Viertens die Preisanpassungsklausel: Ungedeckelte Indexierungen führen über drei Jahre zu erheblichen Kostensteigerungen, die im Beschaffungsvorgang nicht eingeplant waren.

CIVAC bietet einen SLA von zwei Werktagen für die Bestellung externer Beauftragter, statt der branchenüblichen zwei bis sechs Wochen. Das ist für viele Unternehmen der eigentliche Hebel, weil die Tool-Einführung sonst an fehlenden Verantwortlichen scheitert. Lizenz und Mandat sind dabei separat kündbar, sodass kein Lock-in entsteht. Auch ein Wechsel von externer zu interner Besetzung ist ohne Datenmigration möglich, weil das Datenmodell konstant bleibt.

Die wichtigste Frage an jedes GRC-Tool ist: Wie gut steht es ein externes Audit durch? Nicht in der Theorie, sondern wenn der Prüfer Ihnen drei Wochen vor Audit-Beginn eine Liste mit 40 Stichproben schickt. Belastbar ist ein Tool, das auf jede dieser Stichproben den Nachweis innerhalb von Minuten anzeigen kann, inklusive Versionsstand, Verantwortlichem und Freigabedatum. Wer hier blättern muss, hat das falsche Tool oder das falsche Datenmodell, häufig auch beides in Kombination, und produziert genau die Findings, die ein gut geführtes GRC-Tool eigentlich verhindern soll.

Drei Indikatoren sind entscheidend. Erstens die Volltext-Suche über alle Dokumente, Maßnahmen, Risiken und Pflichten, mit Filterung nach Status, Aufbewahrungsfrist und Freigabezustand. Zweitens die Filterung nach Audit-Scope, etwa nach Standort, Geschäftsbereich, Verarbeitungstätigkeit oder ISO-Anwendungsbereich. Drittens die Möglichkeit, einen lesenden Audit-Zugang für externe Prüfer zu vergeben, mit Zugriff auf den definierten Scope und einer revisionssicheren Protokollierung der Zugriffe. Wer einem Prüfer den vollen Adminzugang gibt, hat keinen Schutz mehr gegen Querblick auf nicht prüfungsrelevante Bereiche und riskiert unbeabsichtigte Offenlegungen.

Der Prüfer ruft an, der Nachweis liegt bereit. So muss es funktionieren, am Standort, in der Konzernrevision und im aufsichtsbehördlichen Audit nach NIS-2, ISO 27001 oder DSGVO. Beim CIVAC FAQ finden Sie konkrete Antworten zu Prüf- und Bestellprozessen, einschließlich der Mandantentrennung für externe Auditoren und Konzernrevisionen. Frist läuft ab Kenntnis. Wer das verinnerlicht, baut die Audit-Vorbereitung als Dauerzustand, nicht als Sonderprojekt, und reduziert den jährlichen Audit-Aufwand spürbar, häufig im Bereich von 30 bis 50 Prozent der bisherigen Personenstunden.

Eine GRC-Tool-Einführung scheitert selten an der Technik, fast immer an unklaren Verantwortlichkeiten und unstrukturierten Altdaten. Ein realistischer Fahrplan dauert acht bis zwölf Wochen bis zur ersten produktiven Nutzung, weitere drei bis sechs Monate bis zur vollständigen Migration. Woche eins und zwei: Scope-Definition, Festlegung der Mandanten und Rollen, Auswahl der ersten drei Use Cases, Klärung der Berichtslinien zur Geschäftsführung und zum Aufsichtsrat. Woche drei und vier: Datenmigration der bestehenden Risiken und Pflichten, Anlage der 93 ISO-Controls, Verknüpfung mit Assets und Verarbeitungstätigkeiten, Bereinigung von Dubletten und veralteten Einträgen.

Woche fünf und sechs: Schulung der Beauftragten in einem dedizierten Workshop, Definition der Eskalationspfade, Anbindung der Schnittstellen zu IDM, CMDB und Ticketsystem. Woche sieben und acht: Pilotbetrieb mit echten Vorfällen und einem Test-Audit, Feinjustierung der Workflows, Übergabe in den Regelbetrieb, Etablierung des monatlichen Steuerungs-Jour-fixe. Kritischer Erfolgsfaktor ist ein interner Projektleiter mit klarem Mandat der Geschäftsführung. Ohne diesen Sponsor versanden Tool-Einführungen in Detaildiskussionen über Felderbeschriftungen und Reifegradmodelle.

Wenn intern kein Mandat verfügbar ist, kann ein externer Beauftragter mit Implementierungserfahrung die Rolle übernehmen, beispielsweise als externer Compliance-Beauftragter mit Doppelfunktion in der Plattform-Einführung. So entsteht keine Lücke zwischen Beschaffung und produktiver Nutzung. Die ersten drei Use Cases sind in der Regel nach Woche sechs auditierbar, der vollständige Scope nach Quartal zwei. Die CIVAC-SLA von zwei Werktagen für die Bestellung externer Beauftragter wirkt hier doppelt: schnellere Tool-Einführung und gleichzeitig formale Rechtssicherheit gegenüber der Aufsichtsbehörde, weil die Bestellurkunde von Anfang an datiert und ablegbar ist und im Audit jederzeit vorgewiesen werden kann.

Ein GRC-Tool ist Voraussetzung, aber kein Ersatz für eine funktionierende Beauftragten-Organisation. Die Software dokumentiert, was Menschen entscheiden. Wenn die Rollen nicht besetzt sind, wenn Berichtslinien fehlen oder wenn die Geschäftsführung das System nicht aktiv nutzt, bleibt das Tool eine teure Datenbank. Die wirksame Kombination ist immer beides: eine Plattform, die Pflichten, Risiken und Nachweise verlässlich führt, plus Beauftragte, die mit der Plattform arbeiten und der Geschäftsführung berichten. Diese Kombination ist im Audit das, was zählt, und sie ist es auch in der Haftungsdiskussion nach einem Vorfall.

CIVAC ist als Compliance-Plattform und Officer-as-a-Service genau für diese Kombination gebaut. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, falls intern keine Kapazitäten bestehen. Beide Wege führen zum gleichen Ergebnis: eine Compliance-Organisation, die belegbar ist, wenn der Prüfer anruft. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Das Datenmodell, die 490 Audit-Vorlagen und die 93 ISO-Controls sind unabhängig vom gewählten Modell.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de, um eine Plattform-Demo oder ein Erstgespräch zur Bestellung externer Beauftragter zu vereinbaren. Sie erhalten eine Rückmeldung innerhalb von zwei Werktagen, inklusive Vorschlag zum passenden Lizenz- oder Mandatsmodell und einer Indikation zu Implementierungsaufwand und Zeitachse. Auf Wunsch übersenden wir vorab ein anonymisiertes Beispiel der Workspace-Struktur, damit Sie vor dem Termin einen konkreten Eindruck vom Datenmodell, den 490 Vorlagen und den Berichtslinien gewinnen. Erstgespräche werden in der Regel von einem unserer bestellfähigen Officer geführt, sodass sowohl fachliche als auch operative Fragen direkt beantwortet werden. Bestellurkunde, unterschrieben, abgelegt, belegbar.