Officer-as-a-Service: Bestellpflichten als Managed Service organisieren

Mit jedem neuen Gesetz wächst die Liste der bestellpflichtigen Funktionen. Die DSGVO fordert einen Datenschutzbeauftragten, das LkSG einen Menschenrechtsbeauftragten, die NIS-2-Richtlinie einen Informationssicherheitsbeauftragten, das GwG einen Geldwäschebeauftragten. Im Schnitt müssen mittelständische Unternehmen heute zwischen sechs und zwölf Rollen besetzen, dokumentieren und prüfbar halten. Klassische Modelle koppeln pro Rolle einen Einzelvertrag, einen Dienstleister und ein Excel-File.

Officer-as-a-Service kehrt diese Logik um. Statt mehrerer Dienstleister mit unterschiedlichen Verträgen, Tools und Berichtsformaten bündelt das Modell die bestellten Personen, die Plattform und die Audit-Vorlagen unter einem Vertrag. Dieser Beitrag beschreibt, wie das Modell rechtlich, operativ und kostenseitig funktioniert, welche Rollen sinnvoll ausgelagert werden können, wo die Grenzen liegen und wie der Übergang vom heutigen Patchwork zu einer einheitlichen Compliance-Organisation gelingt.

Officer-as-a-Service kombiniert drei Bausteine. Erstens: ordentlich bestellte natürliche Personen mit den jeweils erforderlichen Qualifikationen und Bestellurkunden nach Art. 37 DSGVO, § 9b GwG, § 5a IT-SiG oder vergleichbaren Normen. Zweitens: eine zentrale Compliance-Plattform, in der Risiken, Maßnahmen, Audits, Vorfälle und Nachweise rollenübergreifend abgebildet sind. Drittens: ein SLA mit Reaktions- und Bearbeitungszeiten, das im Vorfeld definiert, wer wann was tut. Die Verantwortung gegenüber Aufsichtsbehörden bleibt beim Unternehmen, der Beauftragte arbeitet weisungsgebunden im Rahmen seiner gesetzlichen Unabhängigkeit.

Der Unterschied zur klassischen Beraterleistung ist substanziell. Berater empfehlen, Officer-as-a-Service übernimmt operative Verantwortung. Eine bestellte Person nach Art. 37 DSGVO kann sich nicht durch ein Memo entziehen, sondern ist Ansprechpartner der Aufsichtsbehörde und der Betroffenen. CIVAC liefert das Modell als Compliance-Plattform und Officer-as-a-Service über 25 Beauftragten-Rollen, mit einem Workspace, in dem Bestellurkunden, Audit-Vorlagen und Nachweise zentral abgelegt sind. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Officer-as-a-Service funktioniert dort, wo das Gesetz die Bestellung externer Personen ausdrücklich erlaubt. Das ist bei den meisten Rollen der Fall: Art. 37 Abs. 6 DSGVO erlaubt den externen DSB, § 7 Abs. 3 GwG den externen Geldwäschebeauftragten, § 6 ASiG die externe Fachkraft für Arbeitssicherheit, § 12 ArbSchG den externen Betriebsarzt, die Verordnungen zu Brandschutz, Gefahrgut und Strahlenschutz erlauben externe Beauftragte mit entsprechender Qualifikation.

Grenzen gibt es bei wenigen Rollen mit zwingender interner Verankerung. Der Compliance-Beauftragte ist gesetzlich nicht zwingend extern besetzbar; in regulierten Branchen wie Banken oder Versicherungen schreibt § 25h KWG den internen Compliance-Beauftragten faktisch vor. Auch der Inklusionsbeauftragte nach § 181 SGB IX muss zwingend Beschäftigter sein. CIVAC arbeitet in diesen Fällen mit dem Plattform-Modell: Ihr internes Personal nutzt den Workspace, die Audit-Vorlagen und die Berichtslinie, ohne dass die Bestellung selbst extern erfolgt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

CIVAC bildet 25 Beauftragten-Rollen vollständig ab. Im Bereich Datenschutz und Privacy: Datenschutzbeauftragter. Im Bereich Governance und Compliance: Compliance-Beauftragter, AGG-Beschwerdestelle, Hinweisgeberschutz-Meldestelle nach HinSchG. Im Bereich IT-Sicherheit und NIS-2: Informationssicherheitsbeauftragter und ISO/IEC 27001 ISMS. Im Bereich Arbeitssicherheit und Gesundheit: Fachkraft für Arbeitssicherheit, Betriebsarzt, Brandschutzbeauftragter, Hygienebeauftragter.

Im Bereich Umwelt und Gefahrstoffe: Gefahrstoffbeauftragter, Umweltbeauftragter, Abfallbeauftragter, Gewässerschutzbeauftragter, Immissionsschutzbeauftragter, Strahlenschutzbeauftragter. Im Bereich Logistik und Sicherheit: Gefahrgutbeauftragter, Störfallbeauftragter, Notfallbeauftragter. Im Bereich Geldwäsche und Finanzen: Geldwäschebeauftragter. Im Bereich Lieferkette und Qualität: LkSG-Beauftragter, Lieferanten-Auditor, Qualitätsmanagementbeauftragter. Im Bereich ESG: ESG- und Nachhaltigkeitsbeauftragter. Im Bereich Bau: Bauleiter und SiGeKo. Im Bereich Soziales: Inklusionsbeauftragter. Jede Rolle ist mit gesetzlicher Grundlage, Qualifikationsanforderung, typischem Stundenaufwand und Audit-Vorlagen hinterlegt. Der Prüfer ruft an, der Nachweis liegt bereit.

CIVAC bietet das Modell in zwei Varianten an. Variante eins ist die Plattform-Lizenz: Sie behalten alle Bestellungen intern, Ihre eigenen Beauftragten arbeiten im Workspace mit Audit-Vorlagen, Risiko-Registern, Meldepfaden und Reporting. Geeignet für Unternehmen mit aufgebauter interner Compliance-Abteilung, die Methodik, Tooling und Audit-Fähigkeit standardisieren wollen, ohne Bestellungen zu verlagern.

Variante zwei ist Officer-as-a-Service im engeren Sinn: Ein nach jeweiligem Gesetz bestellter externer Beauftragter übernimmt die Rolle für einzelne oder alle 25 Funktionen. Die Bestellurkunde wird unterschrieben, im Workspace abgelegt und an die zuständige Aufsichtsbehörde gemeldet, wo erforderlich. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle leben in derselben Plattform mit denselben 37 Audit-Vorlagen, denselben 93 Controls für ISO/IEC 27001:2022 und demselben EU-Datenresidenz-Standard. Der Unterschied liegt in der formalen Verantwortlichkeit und im internen Kapazitätsbedarf, nicht in der inhaltlichen Tiefe.

Compliance-Vorfälle laufen nach Fristen, nicht nach Verfügbarkeit. Die 72-Stunden-Frist nach Art. 33 DSGVO beginnt mit der Kenntnisnahme. Frist läuft ab Kenntnis. Die NIS-2-Frühwarnung an das BSI ist nach § 32 BSIG-neu binnen 24 Stunden zu erstatten, die Folgemeldung binnen 72 Stunden. Wer einen Beauftragten nicht innerhalb eines Werktags erreicht, verliert die Frist. Genau hier setzt das CIVAC-SLA an: Erstreaktion innerhalb von zwei Werktagen, Eskalationspfad mit definierter Vertretungsregel, Dokumentation jeder Reaktion im Workspace.

Die Berichtslinie nach Art. 38 Abs. 3 DSGVO oder § 7 Abs. 5 GwG sieht vor, dass der Beauftragte unmittelbar der obersten Leitungsebene berichtet. Im klassischen Modell endet die Berichtslinie häufig im Posteingang des Geschäftsführers, ohne strukturiertes Format. CIVAC strukturiert die Berichtslinie mit standardisierten Quartalsberichten, Vorfallsmeldungen und einem Audit-Dashboard, das den Stand jeder Rolle in einer Übersicht zeigt. So entsteht eine Berichtslinie, die audit-fest, dokumentiert und § 38-fest ist.

Im klassischen Modell wird jede Rolle einzeln vergeben, oft an unterschiedliche Anbieter. Ein mittelständisches Unternehmen mit 250 Beschäftigten, das DSB, ISB, GwB, SiFa, Betriebsarzt, Brandschutz, Gefahrstoffe und LkSG extern besetzt, bezahlt typischerweise zwischen 30.000 und 70.000 Euro pro Jahr, verteilt auf acht Verträge, acht Berichtsformate und acht Reaktionszeiten. Hinzu kommen die internen Stunden für Koordination, Steuerung und Audit-Vorbereitung, häufig 200 bis 400 Stunden pro Jahr.

Im Bündel-Modell von Officer-as-a-Service liegt der Preis je nach Rollenanzahl und Branche zwischen 24.000 und 60.000 Euro pro Jahr, mit einem Vertrag, einem SLA und einem Audit-Dashboard. Die internen Steuerungsstunden sinken erfahrungsgemäß um 40 bis 60 Prozent, weil die Plattform die Koordination übernimmt. Der wirtschaftliche Hebel liegt weniger im reinen Lizenzpreis als in der eingesparten Koordinationszeit und in der drastisch verkürzten Reaktionszeit von zwei bis sechs Wochen auf zwei Werktage. Im Falle eines NIS-2-Vorfalls kann diese Differenz über die Höhe eines Bußgeldes bis 10 Mio. Euro oder 2 Prozent des Konzernumsatzes entscheiden.

Der Wechsel zu Officer-as-a-Service dauert typischerweise 60 bis 90 Tage. In den ersten zwei Wochen werden bestehende Bestellurkunden, Verträge und Risiken aufgenommen und im Workspace hinterlegt. In Woche drei bis sechs erfolgt die Bestellung der neuen externen Personen, parallel werden Altverträge gekündigt oder ausgesetzt. Die Datenschutz-Aufsichtsbehörde wird gemäß Art. 37 Abs. 7 DSGVO über die Bestellung informiert, die GwG-Aufsicht entsprechend § 7 Abs. 4 GwG, sofern relevant.

Ab Woche sieben läuft der Regelbetrieb mit definierten Quartalsberichten, Audit-Vorlagen und Vorfallsmeldepfaden. Wichtig ist eine saubere Übergabe der Altakten, damit historische Nachweise nicht verloren gehen. CIVAC übernimmt die Migration der bestehenden Dokumente in das Workspace-Schema und bildet die Berichtslinie auf den jeweiligen Vorstand oder Geschäftsführer ab. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Vorteil eines klar terminierten Übergangs: Die Audit-Fähigkeit ist während des Wechsels durchgehend gewährleistet und nicht erst nach Abschluss der Migration.

Officer-as-a-Service ist kein Allheilmittel. Drei Risiken werden in der Praxis unterschätzt. Erstens: Abhängigkeit vom Anbieter. Wer alle Rollen bündelt, sollte einen Exit-Plan vertraglich fixieren, mit Datenmigrationspfad und Übergabefristen. Zweitens: Qualität der bestellten Personen. Ein DSB ohne Praxis in Ihrer Branche ist riskanter als ein erfahrener interner Mitarbeiter mit DSGVO-Schulung. Lassen Sie sich Qualifikationsnachweise pro Rolle vorlegen, nicht nur einen Firmenflyer.

Drittens: Datenresidenz und Sub-Prozessoren. Compliance-Daten sind besonders sensibel, weil sie alle Verstöße und Schwachstellen Ihres Unternehmens enthalten. Verlangen Sie EU-Datenresidenz, vertraglich gesicherte Sub-Prozessoren nach Art. 28 DSGVO und ISO/IEC 27001:2022-zertifizierte Hosting-Standorte. CIVAC arbeitet ausschließlich mit EU-Datenresidenz, ISO 27001:2022-zertifiziertem ISMS und 93 dokumentierten Controls. Prüfen Sie diese Punkte vor Vertragsschluss; nach Vertragsschluss ist eine Korrektur deutlich aufwändiger.

Officer-as-a-Service ist kein Etikett, sondern ein operativer Vertrag mit klaren Pflichten, Bestellungen und Reaktionszeiten. Wer 25 Rollen über Excel und einzelne Berater steuert, verbringt mehr Zeit mit Koordination als mit Inhalt. Ein gebündeltes Modell schafft eine Berichtslinie, ein Audit-Dashboard und einen Ansprechpartner, ohne die gesetzliche Unabhängigkeit der einzelnen Beauftragten zu beschneiden.

CIVAC ist eine deutsche Compliance-Plattform und Officer-as-a-Service mit 25 live verfügbaren Rollen, 37 Audit-Vorlagen, 93 Controls nach ISO/IEC 27001:2022 und EU-Datenresidenz. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de/de/faq. Im 30-minütigen Erstgespräch klären wir, welche Rollen Sie heute besetzen müssen, welche bereits intern abgedeckt sind und welcher Mischweg aus Plattform-Lizenz und bestellten Officer-Rollen für Ihre Größe, Branche und Risikolage sinnvoll ist.