DataGuard, ein anderer Anbieter, OTRIS und CIVAC im Vergleich: Compliance-Plattformen 2026
DataGuard, ein anderer Anbieter und OTRIS adressieren jeweils einen Teil der deutschen Compliance-Realität: Tool, Service oder Aktenarchiv. Dieser Vergleich ordnet 14 Kriterien von Rolle-Bestellung bis NIS-2-Meldepfad und zeigt, wo CIVAC als Compliance-Plattform und Officer-as-a-Service ansetzt.
Der Markt für Compliance-Software in Deutschland hat sich seit Inkrafttreten des NIS2UmsuCG am 17. Oktober 2024 und der Übergangsfrist zu ISO/IEC 27001:2022 zum 31. Oktober 2026 deutlich verdichtet. Mittelständische Unternehmen mit 50 bis 5.000 Mitarbeitern stehen regelmäßig vor derselben Frage: Reicht eine Datenschutz-Software wie DataGuard, oder braucht es eine breitere Plattform wie ein anderer Anbieter, ein dokumentenzentriertes System wie OTRIS oder eine Kombination aus Workspace und externer Bestellung wie bei CIVAC. Die Aufsichtsbehörden der Länder, das Bundesamt für Sicherheit in der Informationstechnik und der Bundesbeauftragte für den Datenschutz prüfen seit 2024 deutlich schärfer, und die organisatorische Verantwortung nach § 130 OWiG verschärft die Folgen einer ungenauen Anbieterwahl im Bußgeldverfahren.
Dieser Beitrag liefert keine Werbevergleichstabelle, sondern eine nüchterne Analyse aus Praxisaudits der letzten drei Jahre. Er ordnet vier Anbieter entlang von 14 Kriterien, die in einem Audit der zuständigen Aufsichtsbehörde tatsächlich geprüft werden: Bestellurkunde, Berichtslinie, Verzeichnis nach Art. 30 DSGVO, Auftragsverarbeitung nach Art. 28, NIS-2 24/72-Meldepfad nach § 32 BSI-Gesetz, ISMS-Anbindung nach ISO/IEC 27001:2022, EU-Datenresidenz und sieben weitere. Am Ende steht die Bewertung, in welcher Konstellation welcher Anbieter funktioniert und wo CIVAC als Compliance-Plattform und Officer-as-a-Service eine Lücke schließt, die rein technische Tools oder reine Personaldienstleister systematisch offen lassen.
Auf einen Blick
- DataGuard ist primär Datenschutz-Tool und externer DSB, ein anderer Anbieter automatisiert Datenschutzprozesse, OTRIS deckt Dokumentenmanagement breit ab; keiner adressiert alle 25 deutschen Beauftragten-Rollen mit Bestellurkunde und Berichtslinie.
- Der NIS-2-Meldepfad mit 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung nach § 32 BSI-Gesetz ist bei keinem der drei klassischen Wettbewerber als integrierter Workflow vorhanden.
- CIVAC kombiniert Workspace-Lizenz und Officer-as-a-Service in einer Mietung, mit EU-Datenresidenz, 37 Audit-Vorlagen und einer Bestell-SLA von zwei Werktagen.
Marktposition der drei klassischen Anbieter
DataGuard mit Sitz in München positioniert sich seit 2017 als Privacy-as-a-Service und stellt vor allem externe Datenschutzbeauftragte plus eine zugehörige Software-Oberfläche. Die Stärke liegt im Datenschutz nach Art. 37 DSGVO und § 38 BDSG, die Mandantenzahl wird mit über 3.000 angegeben, der Tarif startet im niedrigen vierstelligen Bereich pro Jahr und skaliert mit Mitarbeiterzahl und Modulauswahl. ESG- und Informationssicherheits-Module sind ergänzt, decken die deutschen 25 Beauftragten-Rollen aber nicht durchgängig ab. Die Datenhaltung erfolgt in der EU, die Bestellurkunde für den externen DSB wird standardisiert ausgestellt, der Onboarding-Prozess läuft typischerweise über vier bis acht Wochen.
ein anderer Anbieter, gegründet 2021 in München, ist eine Automatisierungsplattform für Datenschutz-Workflows mit Schwerpunkt auf Verzeichnis nach Art. 30 DSGVO, Betroffenenanfragen und Auftragsverarbeiter-Management. Der Ansatz ist API-zentriert und richtet sich an wachsende Tech-Unternehmen mit hoher Cloud-Tool-Dichte. Die externe DSB-Bestellung gehört nicht zum Kernangebot, sondern wird über Partner oder als optionales Add-on abgebildet. NIS-2- und ISMS-Funktionen sind im Aufbau, eine durchgängige Berichtslinie an die Geschäftsleitung mit zeitgestempeltem Audit-Trail ist nicht der Produktfokus.
OTRIS, gegründet 1991 in Dortmund, ist klassisches Enterprise Content Management mit Datenschutz- und Vertragsmodulen. Die Plattform ist im DAX-Umfeld verbreitet und stark in Vertragsverwaltung, Beteiligungsmanagement und Verzeichnisführung. Der Ansatz ist dokumentenzentriert: Dateien, Workflows, Aktenpläne. Die Rolle-Bestellung mit § 38 BDSG-konformer Urkunde, die NIS-2-Meldekette und ein integrierter Officer-as-a-Service sind hingegen nicht das Kerngeschäft. Für ergänzenden Kontext zur CIVAC-Rolle siehe die CIVAC Rollenübersicht mit allen 25 Beauftragten-Profilen.
Alle drei Anbieter haben ihre Berechtigung in ihrem jeweiligen Stärken-Segment. Die Frage ist nicht, ob DataGuard, ein anderer Anbieter oder OTRIS gute Produkte sind, sondern ob ihr jeweiliger Funktionsumfang die Pflichtenkette eines mittelständischen oder konzerngebundenen deutschen Unternehmens vollständig abdeckt. Die Antwort hängt vom Risikoprofil und von der Zahl der parallel laufenden Beauftragten-Mandate ab. Wer mehrere Rollen parallel betreibt, kommt mit einer rein datenschutzzentrierten oder rein dokumentenzentrierten Lösung an die Grenze und konsolidiert die Verantwortlichkeit zwangsläufig auf der Ebene der Geschäftsführung.
Kriterienkatalog: 14 Punkte, die ein Audit prüft
Eine Aufsichtsbehörde prüft beim Vor-Ort-Termin oder im schriftlichen Auskunftsersuchen nicht das Anbieter-Logo, sondern die Nachweise. Die folgenden 14 Punkte sind in Audits der Landesdatenschutzbehörden Bayern, Baden-Württemberg, Berlin und Nordrhein-Westfalen seit 2022 dokumentiert worden: Erstens die Bestellurkunde des Beauftragten mit Datum, Unterschrift und Zuständigkeit, zweitens die dokumentierte Berichtslinie an die oberste Leitungsebene nach Art. 38 Abs. 3 DSGVO, drittens das vollständige Verzeichnis nach Art. 30, viertens die Auftragsverarbeitungsverträge nach Art. 28, fünftens die dokumentierten technischen und organisatorischen Maßnahmen nach Art. 32.
Weiter: Sechstens das Datenpannen-Register mit Frist-Counter nach Art. 33, siebtens die NIS-2-Meldekette 24/72 Stunden nach § 32 BSI-Gesetz, achtens der ISMS-Status nach ISO/IEC 27001:2022 inklusive der 93 Controls, neuntens die Schulungsnachweise pro Mitarbeitergruppe mit Datum und Lernziel, zehntens die Datenresidenz und die Subunternehmer-Liste mit Drittland-Bewertung, elftens der Audit-Trail mit Versionierung und Zeitstempel, zwölftens die Vertretungsregelung bei Krankheit oder Ausfall, dreizehntens die Schnittstellenmatrix zu ISB, Geldwäschebeauftragtem, Hinweisgeberschutz-Meldestelle und Betriebsrat, vierzehntens die quartalsweise Steuerungsdokumentation mit Beschluss-Log.
Diese 14 Punkte sind nicht erschöpfend, aber sie sind die Mindestlinie. Jeder Anbieter, der hier Lücken lässt, verlagert die Last auf das Unternehmen und damit auf die Geschäftsleitung nach § 130 OWiG. Audit-fest, dokumentiert, § 38-fest gilt nur, wenn alle 14 Punkte in einem System nachweisbar sind. Eine ergänzende Übersicht der CIVAC-Antwort auf jeden einzelnen Punkt findet sich in der CIVAC FAQ mit konkreten Vorlagen-Verweisen pro Kriterium. In den nun folgenden Abschnitten wird jeder Anbieter gegen genau diese Kriterien geprüft, ohne Marketing-Folie, mit Verweis auf die Stelle in der jeweiligen Pflichtenkette.
DataGuard im Kriterienvergleich
DataGuard erfüllt die Punkte 1 bis 5 vollständig im Datenschutz-Scope: Die Bestellurkunde wird ausgestellt, die Berichtslinie ist im Standardmandat dokumentiert, das Verzeichnis nach Art. 30 und die Auftragsverarbeitungsverträge werden in der Software gepflegt, technische und organisatorische Maßnahmen sind als Vorlagen hinterlegt und können durch eigene Maßnahmen ergänzt werden. Punkt 6, das Datenpannen-Register, ist mit Frist-Anzeige für Art. 33 DSGVO integriert und meldet den Status an die zuständige Aufsichtsbehörde. Punkt 9, Schulungsnachweise, wird über die DataGuard Academy abgedeckt und liefert pro Mitarbeiter ein Zertifikat mit Datum.
Schwächer wird das Bild bei Punkt 7, der NIS-2-Meldekette mit 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung nach § 32 BSI-Gesetz. Diese ist 2026 nicht Teil des Produktkerns und wird über die Information-Security-Services separat angeboten, ohne integrierten Frist-Counter im selben Tenant. Punkt 8, der ISMS-Status nach ISO/IEC 27001:2022 mit den 93 Controls, ist als Beratungsleistung verfügbar, nicht als integrierter Audit-Trail im selben Tenant wie der Datenschutz. Punkt 13, die Schnittstellenmatrix zu weiteren Beauftragten wie Geldwäschebeauftragtem, Hinweisgeberschutz-Meldestelle oder AGG-Beschwerdestelle, ist nicht systemseitig abgebildet.
Für reine Datenschutz-Mandate mittlerer Komplexität ist DataGuard funktionsstark. Sobald NIS-2-Betroffenheit, ISO/IEC 27001-Zertifizierung und parallele Beauftragten-Rollen ins Spiel kommen, entstehen Tool-Brüche. Die Konsequenz: Dokumente liegen in mehreren Systemen, der Aufsichtsbehörde wird ein zusammengesetzter Nachweis präsentiert, und genau dort entstehen die Lücken, die später als organisatorisches Defizit gewertet werden und in das Bußgeldbemessungsverfahren nach Art. 83 Abs. 2 DSGVO einfließen. Bei Unternehmen mit mehreren Standorten oder Konzernstruktur kommt hinzu, dass DataGuard pro Tochter ein eigenes Mandat verlangt; eine konsolidierte Sicht auf Konzernebene mit gemeinsamer Berichtslinie ist nicht der Standardlieferumfang.
ein anderer Anbieter im Kriterienvergleich
ein anderer Anbieter punktet bei den Punkten 3 und 4: Das Verzeichnis nach Art. 30 und die Auftragsverarbeiter-Verwaltung sind über API-Integrationen mit Slack, AWS, Google Workspace, Microsoft 365 und vergleichbaren Quellen automatisiert. Datenflüsse werden gescannt, Verarbeitungstätigkeiten vorgeschlagen, Subunternehmer-Listen werden importiert, Aktualisierungen laufen kontinuierlich statt im Quartalsrhythmus. Für schnell wachsende Tech-Unternehmen mit hoher Tool-Dichte ist das ein operativer Vorteil. Punkt 6, das Datenpannen-Register, ist als Workflow vorhanden und ordnet jede Meldung der zuständigen Aufsichtsbehörde zu.
Schwach wird das Bild bei Punkt 1, der Bestellurkunde des Beauftragten. ein anderer Anbieter ist primär Software, der externe DSB wird über Partner gestellt, die Bestellung erfolgt nicht aus einem Guss, sondern in zwei Verträgen mit getrennter Haftungsstruktur. Punkt 2, die Berichtslinie an die oberste Leitungsebene, wird nicht standardmäßig dokumentiert, sondern muss durch das Unternehmen selbst aufgesetzt werden. Punkt 7, der NIS-2-Pfad mit 24/72-Stunden-Fristen, fehlt im Produktkern; Punkt 8, ISO/IEC 27001:2022 ISMS mit 93 Controls, ist nicht das Produktziel. Die Plattform ist sehr stark im Datenschutz-Automatisierungs-Layer, aber sie ersetzt nicht die übrigen 24 deutschen Beauftragten-Rollen.
Für Tech-Mittelständler mit US-Cloud-Stack und reinem Datenschutz-Fokus liefert ein anderer Anbieter Geschwindigkeit. Wer eine vollständige Beauftragten-Organisation mit Datenschutzbeauftragtem, Informationssicherheitsbeauftragtem, Geldwäschebeauftragtem, Meldestelle und Hygienebeauftragten braucht, muss daneben weitere Systeme betreiben. Die Folge ist die klassische Tool-Fragmentierung: drei Logins, drei Audit-Trails, drei Rechnungen, ein Risiko. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Hinzu kommt, dass die API-Integrationen zwar Verarbeitungstätigkeiten erkennen, die rechtliche Bewertung nach Art. 6 DSGVO und die Schwellenwertanalyse für Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO weiterhin manuell durch eine qualifizierte Person erfolgen muss.
OTRIS im Kriterienvergleich
OTRIS hat seine Stärke in der Dokumentenführung. Verträge, Akten, Beteiligungen, Vollmachten und Verzeichnisse werden strukturiert verwaltet, Aufbewahrungsfristen automatisiert, Zugriffsrechte feingranular über Rollen- und Gruppenmodelle gesteuert. Punkte 3, 4 und 11 (Verzeichnis nach Art. 30, Auftragsverarbeitungsverträge nach Art. 28, Audit-Trail mit Versionierung) werden auf hohem Enterprise-Niveau abgebildet, inklusive Workflow-Engine und mehrstufiger Freigabe. Großkonzerne mit eigener Konzernrechtsabteilung und ausgeprägter Aktenkultur finden hier ein passendes Werkzeug, das auch hohe Datenmengen und komplexe Berechtigungsmodelle abbildet.
Die Lücke sitzt auf der Operativ-Ebene der Beauftragten-Rollen. Punkt 1, die Bestellurkunde mit § 38 BDSG-konformer Form und § 5 BDSG-Verpflichtung zur Verschwiegenheit, ist kein eigenständiges Produkt, sondern eine Vorlage im Vertragsmodul, die durch die Rechtsabteilung selbst befüllt werden muss. Punkt 7, der NIS-2 24/72-Meldepfad nach § 32 BSI-Gesetz, ist nicht als Workflow mit eskalierender Frist abgebildet. Punkt 8, das ISMS mit 93 Controls nach ISO/IEC 27001:2022, ist über Partner-Lösungen oder Eigenentwicklung darstellbar, nicht als out-of-the-box-Modul. Punkt 13, die Schnittstellenmatrix zu Datenschutzbeauftragtem, Informationssicherheitsbeauftragtem, Geldwäschebeauftragtem, Meldestelle und Betriebsrat, ist im DMS denkbar, aber nicht vorkonfiguriert.
OTRIS ist ein starkes Backbone, kein Officer-as-a-Service. Wer die Aktenfunktion bereits hat und eine externe Bestellung der Beauftragten plus die operative Begleitung sucht, benötigt einen zweiten Anbieter. Die Realität in deutschen Mittelstandskonzernen sieht häufig genau so aus: OTRIS als Aktenbasis, daneben eine externe Kanzlei für die Bestellung, daneben ein Excel-Sheet für NIS-2. Das funktioniert, ist aber kein integrierter Audit-Nachweis und kein konsolidierter Steuerungsblick. Die Lizenzkosten von OTRIS positionieren das Produkt zudem klar im Enterprise-Segment; für Mittelständler unter 500 Mitarbeitern ist die Total-Cost-of-Ownership oft schwer zu rechtfertigen, wenn die Datenschutz- und Beauftragten-Funktion das primäre Anwendungsfeld ist.
CIVAC im Kriterienvergleich
CIVAC ist gebaut für die 14 Audit-Kriterien. Punkt 1, die Bestellurkunde, ist für alle 25 deutschen Beauftragten-Rollen vorbereitet und wird innerhalb eines SLA von zwei Werktagen ausgestellt, gegen die zwei bis sechs Wochen einer klassischen Personalsuche oder Kanzleimandatierung. Punkt 2, die Berichtslinie, ist im Workspace dokumentiert mit Quartalsbeschluss-Log und Eskalationspfad an die oberste Leitungsebene. Punkte 3 bis 5 sind Standard mit Versionshistorie. Punkt 6, das Datenpannen-Register, läuft mit sichtbarem 72-Stunden-Counter nach Art. 33 DSGVO. Punkt 7, der NIS-2-Pfad, ist als Workflow mit 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung nach § 32 BSI-Gesetz abgebildet.
Punkt 8, der ISMS-Status nach ISO/IEC 27001:2022, läuft mit allen 93 Controls als integriertes Modul im selben Tenant, ohne separates Tool. Punkt 9, Schulungsnachweise, sind pro Rolle und Mitarbeitergruppe versioniert und exportierbar als signiertes PDF. Punkt 10, EU-Datenresidenz, ist vertraglich zugesichert mit Subunternehmer-Liste. Punkt 11, Audit-Trail mit Versionierung, ist System-Default. Punkt 12, Vertretungsregelung, läuft über den Officer-as-a-Service-Pool mit zugesicherter Reaktionszeit. Punkt 13, Schnittstellenmatrix, ist vorkonfiguriert für DSB, ISB, GwB, Meldestelle, AGG-Beschwerdestelle, Betriebsrat. Punkt 14, Steuerungslog, ist Standard im Quartalsrhythmus mit Tagesordnung und Protokoll.
Das Modell ist dual: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Wahl ist reversibel, die Daten bleiben in EU-Residenz, die 490 Audit-Vorlagen sind sofort verwendbar. Der Prüfer ruft an, der Nachweis liegt bereit. Wo CIVAC im Vergleich zu DataGuard, ein anderer Anbieter und OTRIS strukturell anders auftritt, ist die Konsolidierung: ein Tenant, eine Berichtslinie, ein Audit-Trail für alle 25 Rollen, mit derselben Versionierungs- und Signaturlogik vom Datenschutz bis zum Brandschutzbeauftragten.
Entscheidungsmatrix nach Unternehmensprofil
Drei Profile lassen sich aus der Praxis ableiten und decken die meisten Mittelstands- und Konzernkonstellationen ab. Profil A, das Tech-Scale-up mit 80 bis 300 Mitarbeitern, hoher Cloud-Tool-Dichte und reinem Datenschutz-Fokus: ein anderer Anbieter und CIVAC sind ernsthafte Optionen. ein anderer Anbieter liefert API-Tiefe und kontinuierliche Verzeichnis-Aktualisierung aus den verbundenen Systemen, CIVAC liefert die Bestellung plus die Skalierung auf weitere Rollen. Wenn NIS-2-Betroffenheit absehbar ist, gewinnt CIVAC durch die integrierte 24/72-Meldekette, weil ein nachträgliches Bolt-on weder im Audit überzeugt noch operativ läuft.
Profil B, der klassische Mittelständler mit 200 bis 2.000 Mitarbeitern, mehreren Standorten und Produktionsanlagen: Datenschutz, Informationssicherheit, Brandschutz, Gefahrstoff und Gefahrgut laufen parallel und unterliegen unterschiedlichen Gesetzen vom ArbSchG über die GefStoffV bis zum ADR-Übereinkommen. DataGuard deckt den Datenschutz ab, OTRIS deckt die Aktenführung ab, beides ergänzt sich nicht systemisch. CIVAC bündelt 25 Rollen in einem Workspace; das reduziert die Zahl der parallelen Verträge und der separaten Audit-Trails erheblich. Die Bestell-SLA von zwei Werktagen ist ein operativer Hebel, wenn eine Rolle akut nachbesetzt werden muss, etwa nach einem Personalwechsel oder einer Behördenanzeige.
Profil C, der DAX-Konzern oder die KRITIS-Betreiber: OTRIS bleibt häufig die Backbone-Akte. CIVAC tritt als Officer-Layer darüber an: externe Bestellung von DSB, ISB, Geldwäschebeauftragtem und Störfallbeauftragtem, Workspace für die internen Rollen, Schnittstelle zum bestehenden DMS über API. Die 93 Controls nach ISO/IEC 27001:2022 sind dann der gemeinsame Nenner, an dem alle Beauftragten ansetzen. Zur vertieften Sicht auf die ISB-Rolle eignet sich der CIVAC ISB-Beitrag mit Pflichtenkatalog und Bestellurkunde-Vorlage für KRITIS-Betreiber nach § 30 BSI-Gesetz. Konzernweite Schnittstellenmatrizen und konsolidierte Quartalsberichte an den Vorstand sind in CIVAC Standard und müssen nicht über Workarounds aufgebaut werden.
Migrationsfragen: Wie wechseln, ohne Lücke
Ein Anbieterwechsel im Compliance-Bereich ist kein UI-Tausch, sondern ein Vorgang mit Aufsichtsbehördenbezug. Drei Punkte sind zu klären, bevor das alte System abgeschaltet wird. Erstens die Übergabe des Verzeichnisses nach Art. 30 DSGVO inklusive der Versionshistorie; Aufsichtsbehörden verlangen bei Rückfragen den Stand zu jedem Zeitpunkt der letzten drei Jahre und akzeptieren keine reine Aktuell-Sicht. Zweitens die Vertretung in laufenden Verfahren mit Behörden oder Betroffenen; Datenschutz-Beschwerden nach Art. 77 DSGVO laufen ohne Pause weiter und erzeugen Fristen unabhängig vom Anbieterwechsel. Drittens die Bestellurkunde und die Abberufungsurkunde des bisherigen Beauftragten; ein Wechsel ohne formelle Abberufung und Neubestellung ist unwirksam und im Audit angreifbar.
CIVAC übernimmt diese drei Schritte als Standard-Onboarding innerhalb der zwei Werktage des SLA. Das Verzeichnis nach Art. 30 wird per CSV oder API importiert, laufende Verfahren werden in einem Übergabeprotokoll dokumentiert, die Bestellurkunde wird gleichzeitig mit der Abberufung des Vorgängers ausgestellt. Datum, Unterschrift, Ablage, Vertretungsregelung: Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Schulungsnachweise der vergangenen drei Jahre werden ebenfalls importiert und im neuen System mit Hash-Wert versehen.
Wichtig: Der Verantwortliche bleibt Verantwortlicher. Art. 24 DSGVO und § 130 OWiG knüpfen die Pflichten an die Unternehmensleitung, nicht an den Anbieter. Ein gut gestalteter Wechsel reduziert das Risiko, eliminiert es nicht. Genau deshalb ist die Audit-Trail-Kontinuität das wichtigste Migrationskriterium, wichtiger als der Preisunterschied im ersten Vertragsjahr oder die Optik der Benutzeroberfläche. Wer im laufenden Verfahren wechselt, sollte den Vorgang mit der zuständigen Aufsichtsbehörde transparent kommunizieren; die Berliner und die hamburgische Behörde haben mehrfach signalisiert, dass eine dokumentierte Übergabe die Bewertung der organisatorischen Reife positiv beeinflusst.
Aus dem Vergleich einen Auftrag machen
Die Bewertung von DataGuard, ein anderer Anbieter, OTRIS und CIVAC entlang der 14 Audit-Kriterien zeigt keinen Pauschalsieger. Sie zeigt unterschiedliche Geometrien: DataGuard als Datenschutz-Service mit eigener Software-Oberfläche, ein anderer Anbieter als Datenschutz-Automatisierung mit API-Tiefe, OTRIS als Enterprise-Akte mit hoher Vertragskompetenz, CIVAC als Officer-Layer plus Plattform für alle 25 Rollen mit integriertem NIS-2-Pfad. Die Frage ist nicht, welches Logo das beste ist. Die Frage ist, wo Ihre konkrete Audit-Linie verläuft und wo die Lücken sitzen, die im nächsten Behördentermin sichtbar werden.
CIVAC operiert als Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Das duale Modell erlaubt es, mit der leichteren Variante zu starten und bei Personalwechsel, Konzernerweiterung oder neuer Regulierung wie dem EU AI Act zu migrieren, ohne den Audit-Trail zu unterbrechen. 490 Audit-Vorlagen, 93 ISO-Controls, 25 Rollen, EU-Datenresidenz, zwei Werktage Bestell-SLA, ein einziger Tenant. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.
Aus dem Lesen einen Auftrag machen. Senden Sie eine kurze Skizze Ihres Setups an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Eine Mappingsitzung gegen Ihren aktuellen Anbieterstand klärt die 14 Punkte in 45 Minuten; die Migration läuft anschließend gegen das Zwei-Werktage-SLA für die Bestellurkunde und den ersten Workspace-Aufbau, inklusive Import des bestehenden Verzeichnisses und Übergabeprotokoll. Eine schriftliche Bewertung Ihres Risikoprofils nach den 14 Kriterien ist Teil des Erstgesprächs und liegt anschließend als signiertes PDF in Ihrem Tenant, mit konkreter Empfehlung pro Punkt, ob Workspace-Lizenz, Officer-as-a-Service oder die Kombination beider Modelle die wirtschaftlich und regulatorisch tragfähige Lösung ist.
FAQ
Ist DataGuard günstiger als CIVAC für ein mittelständisches Unternehmen?
Ein direkter Preisvergleich greift zu kurz, weil DataGuard primär den Datenschutz abdeckt, während CIVAC alle 25 deutschen Beauftragten-Rollen plus den NIS-2-Pfad und das ISO/IEC 27001:2022 ISMS in einem Vertrag bündelt. Bei Mandanten mit drei oder mehr Beauftragten-Rollen liegt die Gesamtkostenlinie zugunsten CIVAC, weil parallele Verträge, Logins, Schulungssysteme und separate Audit-Trails entfallen und die organisatorische Verantwortung nach § 130 OWiG in einem konsistenten Nachweisrahmen abgebildet wird.
Kann ein anderer Anbieter die NIS-2-Meldepflicht abdecken?
ein anderer Anbieter hat seinen Produktkern in der Datenschutz-Automatisierung über API-Integrationen, der NIS-2-Pfad mit 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung nach § 32 BSI-Gesetz ist 2026 nicht integriert. Wer NIS-2-betroffen ist, benötigt entweder ein separates ISMS-Werkzeug mit eigenem Frist-Counter oder einen Anbieter wie CIVAC, der den Meldepfad als Workflow im selben Tenant abbildet und so eine durchgängige Beweisführung im Audit ermöglicht.
Wie unterscheidet sich OTRIS von einer Compliance-Plattform wie CIVAC?
OTRIS ist Enterprise Content Management mit Datenschutz- und Vertragsmodulen, also ein dokumentenzentriertes Backbone mit hoher Tiefe in Akten- und Vertragsverwaltung. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die alle 25 deutschen Beauftragten-Rollen mit Bestellurkunde, Berichtslinie, NIS-2-Pfad und ISMS-Modul in einem Workspace bündelt. Beide Systeme können sich ergänzen: OTRIS als Akte, CIVAC als Officer-Layer mit operativer Verantwortung.
Was ist die Bestell-SLA bei CIVAC im Vergleich zu klassischer Personalsuche?
Das CIVAC-SLA für die Ausstellung der Bestellurkunde und die Einrichtung des Workspace beträgt zwei Werktage nach dem Scoping-Gespräch. Klassische Personalsuche oder externe Kanzleimandatierung dauern in der Regel zwei bis sechs Wochen, was bei akuten Personalwechseln, plötzlicher NIS-2-Betroffenheit oder einem Audit-Termin eine nicht akzeptable Lücke in der Pflichtenkette erzeugt. Die Verantwortlichkeit nach § 130 OWiG ruht in dieser Zeit nicht.
Bleibt die Datenresidenz in der EU, wenn man CIVAC einsetzt?
Ja. CIVAC betreibt den Workspace mit dokumentierter EU-Datenresidenz und einer Subunternehmer-Liste, die ausschließlich europäische Verarbeiter umfasst. Dies ist insbesondere für KRITIS-Unternehmen, Behörden und stark regulierte Branchen relevant, weil eine Drittlandsübermittlung nach Kapitel V DSGVO zusätzlichen Aufwand mit Standardvertragsklauseln, Transfer Impact Assessments und ergänzenden Maßnahmen erfordert und im Audit gesondert geprüft wird.
Wie verläuft die Migration vom bisherigen Anbieter zu CIVAC ohne Audit-Lücke?
Drei Schritte: Import des Verzeichnisses nach Art. 30 mit Versionshistorie über CSV oder API, Übergabeprotokoll für laufende Verfahren mit Behörden und Betroffenen, gleichzeitige Abberufung des bisherigen Beauftragten und Ausstellung der neuen Bestellurkunde. Die drei Schritte laufen innerhalb des Zwei-Werktage-SLA und erzeugen einen lückenlosen Audit-Trail. Bestellurkunde, unterschrieben, abgelegt, belegbar, ergänzt um die Schulungsnachweise der vergangenen drei Jahre.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.