25 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022490 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung25 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022490 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Jetzt starten

Trust Center

Stand 08.05.2026

Überblick

CIVAC ist der deutsche Compliance-Workspace für jede gesetzliche Beauftragten-Rolle, die Unternehmen ab den jeweiligen Schwellenwerten bestellen müssen. Kunden lizenzieren den Workspace für ihre eigenen Beauftragten - oder bestellen unsere im Rahmen von Officer-as-a-Service. In beiden Fällen dieselbe Plattform, derselbe Audit-Trail, derselbe Nachweis, den Prüfer kennen. Datenhaltung ausschließlich in der EU, unveränderliche Audit-Logs, KI-Antworten mit Quellenangabe und ausgewiesener Konfidenz.

Anfragen

Compliance

Rahmenwerke, nach denen wir heute arbeiten - im Betrieb oder in laufender Zertifizierung.

DSGVO
Umgesetzt
BDSG
Umgesetzt
TTDSG
Umgesetzt
ISO/IEC 27001:2022
Stufe 1 abgeschlossen, Stufe 2 in Q4 2026
SOC 2 Type II
Beobachtungszeitraum läuft seit Mai 2026
ISO/IEC 27701
Roadmap, im Anschluss an ISO 27001
TISAX
Roadmap H2 2026
EU AI Act
Abbildung läuft bis zum 02.08.2026
ISO/IEC 42001
KI-Managementsystem, Roadmap

Sicherheit

Datenhaltung in der EU

Sämtliche Kundendaten werden ausschließlich in der EU (Frankfurt) verarbeitet und gespeichert. Keine Übermittlung außerhalb des EWR ohne einen Mechanismus nach Art. 46 DSGVO.

Durchgängige Verschlüsselung

TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand. Im Officer-as-a-Service-Tarif zusätzlich kundenspezifische KMS-Schlüssel für Dokumente.

Unveränderlicher Audit-Trail

Jede Aktion jedes Nutzers erzeugt einen unveränderlichen Nachweis. Exportierbar in den Formaten, die Prüfer ohnehin gewohnt sind.

Zugriff nach dem Minimalprinzip

Rollenbasierter Zugriff von Anfang an, MFA-Pflicht für Admins, SSO/SAML verfügbar, vierteljährliche Überprüfung der Berechtigungen.

Belastbare Infrastruktur

Mehrzonen-Betrieb, stündliche Backups mit Point-in-Time-Recovery über 30 Tage, Notfallhandbücher werden zweimal jährlich getestet.

Verantwortungsvoller KI-Einsatz

Keine Modelltrainings auf Kundendaten. Jede KI-Antwort ist mit Quellenangaben und ausgewiesener Konfidenz versehen. Prompts und Dokumente werden niemals zwischen Mandanten geteilt.

Unterlagen

Was wir öffentlich bereitstellen, was wir unter Geheimhaltung teilen und was Ihre Beauftragten direkt an Prüfer weiterreichen können.

ISO/IEC 27001:2022
Bescheinigung über die abgeschlossene Stufe 1 verfügbar. Stufe-2-Zertifikat wird für Q4 2026 erwartet.
Penetrationstest-Bescheinigung
Unabhängige Penetrationsprüfung durch einen externen Dienstleister, Kurzfassung auf Anfrage verfügbar.

Richtlinien

+ 6 weitere auf Anfrage
  • POL-01Informationssicherheits-Richtlinie
  • POL-04Richtlinie zur zulässigen Nutzung
  • POL-07Richtlinie zur Zugriffskontrolle
  • POL-09Kryptographie-Richtlinie
  • POL-12Datenschutz-Richtlinie (DSGVO)
  • POL-15Richtlinie zum Umgang mit Sicherheitsvorfällen
  • POL-18Richtlinie zur Geschäftskontinuität und Wiederanlauf
  • POL-21Richtlinie zu Lieferanten und Unterauftragsverarbeitern
  • POL-24Richtlinie zur zulässigen Nutzung von KI
  • POL-27Verzeichnis von Verarbeitungstätigkeiten

Berichte und Vorlagen

  • Auftragsverarbeitungsvertrag (Art. 28 DSGVO)
    Sofort einsetzbare AVV-Vorlage inklusive Standardvertragsklauseln und aktueller Liste der Unterauftragsverarbeiter.
    Anfragen
  • Sicherheits-Whitepaper
    Architektur, Verschlüsselung, Berechtigungsverwaltung, Vorfallreaktion und Geschäftskontinuität - in einem Dokument.
    Anfragen
  • Zusammenfassung des Penetrationstests
    Unabhängige Prüfung durch einen externen Dienstleister. Kurzfassung ohne Geheimhaltung, vollständiger Bericht unter NDA.
    Anfragen
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30)
    Interne VVT-Vorlage in derselben Form, in der Ihr DSB sie der Aufsichtsbehörde vorlegt.
    Anfragen

Unterauftragsverarbeiter

Unternehmen, die wir zur Erbringung der Leistung einsetzen. Kunden werden mindestens 30 Tage vor jeder Änderung informiert.

  • Google Cloud Platform
    Deutschland (Region Frankfurt)
  • Cloudflare
    EU-Standorte
  • Anthropic
    EU-Endpunkte
  • Stripe
    Irland

Maßnahmen

Wir arbeiten nach ISO/IEC 27001:2022, Anhang A. Hier ein Auszug aus dem Geltungsbereich, gruppiert nach Klausel.

Organisatorisch

37 Controls
  • A.5.1
    Richtlinien für die Informationssicherheit
  • A.5.9
    Inventar der Informationen und sonstigen verbundenen Vermögenswerte
  • A.5.15
    Zugriffssteuerung
  • A.5.16
    Identitätsmanagement
  • A.5.22
    Überwachung, Überprüfung und Änderungssteuerung von Lieferantendiensten
  • A.5.29
    Informationssicherheit bei Betriebsunterbrechungen
  • A.5.31
    Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen
  • A.5.34
    Datenschutz und Schutz personenbezogener Daten

Technologisch

34 Controls
  • A.8.5
    Sichere Authentifizierung
  • A.8.8
    Umgang mit technischen Schwachstellen
  • A.8.18
    Verwendung privilegierter Hilfsprogramme
  • A.8.24
    Einsatz von Kryptographie
  • A.8.26
    Anwendungssicherheits-Anforderungen
  • A.8.28
    Sichere Programmierung
  • A.8.29
    Sicherheitsprüfungen in Entwicklung und Abnahme
  • A.8.34
    Schutz von Informationssystemen während Audit-Tests

Physisch

14 Controls
  • A.7.2
    Physischer Zutritt
  • A.7.4
    Physische Sicherheitsüberwachung
  • A.7.5
    Schutz vor physischen und umweltbedingten Bedrohungen
  • A.7.7
    Aufgeräumter Schreibtisch und gesperrter Bildschirm
  • A.7.8
    Aufstellung und Schutz von Geräten
  • A.7.12
    Verkabelungssicherheit

Personell

8 Controls
  • A.6.1
    Hintergrundprüfung
  • A.6.3
    Sensibilisierung, Schulung und Training zur Informationssicherheit
  • A.6.4
    Disziplinarverfahren
  • A.6.5
    Verantwortlichkeiten nach Beendigung oder Wechsel des Beschäftigungsverhältnisses
  • A.6.6
    Vertraulichkeits- oder Geheimhaltungsvereinbarungen
  • A.6.8
    Meldung von Informationssicherheitsereignissen

FAQ