Alternative zu Kertos: Wenn Datenschutz mehr als ein Modul braucht

Seit dem Inkrafttreten der DSGVO am 25. Mai 2018 ist der Markt für Datenschutz-Software in Deutschland stark gewachsen. Anbieter wie Kertos haben sich auf die Abbildung von Verfahrensverzeichnis, Datenschutz-Folgenabschätzung und Auskunftsersuchen spezialisiert und konnten in den vergangenen Jahren namhafte Mittelstands- und Konzernkunden gewinnen. Für reine Datenschutz-Abteilungen ist dieser Zuschnitt sinnvoll. Für mittelständische Unternehmen mit 250 bis 5.000 Beschäftigten, für Konzerntöchter im KRITIS-Sektor sowie für Organisationen, die unter die NIS-2-Richtlinie fallen, reicht ein isoliertes Datenschutz-Tool jedoch häufig nicht mehr aus. Dieselben Personen verantworten in solchen Häusern in der Praxis die Berichtslinien für Informationssicherheit, Compliance, Hinweisgeberschutz und Arbeitssicherheit.

Dieser Beitrag ordnet Kertos sachlich ein und zeigt, wann eine Alternative wirtschaftlicher ist. Der Vergleich umfasst Funktionsumfang, Rollenabdeckung, Datenresidenz, Auditpraxis und die Frage, ob ein Anbieter neben der Software auch externe Beauftragte stellen kann. Sie erhalten konkrete Kriterien, eine Entscheidungsmatrix, einen Migrationsfahrplan und einen Überblick darüber, wie CIVAC als Compliance-Plattform und Officer-as-a-Service dieselbe Aufgabe in einem Workspace löst. 25 Beauftragten-Rollen, 93 Controls nach ISO/IEC 27001:2022, 37 Audit-Vorlagen und ein vorkonfigurierter NIS-2-Meldepfad sind dort bereits hinterlegt. Die Lektüre liefert keine Werbung, sondern eine Entscheidungsgrundlage mit überprüfbaren Paragrafen, Fristen und Kennzahlen.

Kertos positioniert sich als Software für Datenschutz-Management. Im Funktionsumfang finden sich typischerweise das Verarbeitungsverzeichnis nach Art. 30 DSGVO, die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, die Bearbeitung von Betroffenenanfragen nach Art. 15 bis 22 DSGVO, die Verwaltung von Auftragsverarbeiterverträgen nach Art. 28 DSGVO sowie ein Workflow für Datenpannen mit Blick auf die 72-Stunden-Frist nach Art. 33 DSGVO. Hinzu kommen Module für Schulungen, Audits beim Auftragsverarbeiter und Reporting an die Geschäftsleitung. Für Datenschutzabteilungen mit klar umrissenem Mandat ist das ein nutzbares Werkzeug. Die Software wird in der Regel pro Mandant lizenziert und integriert sich über Schnittstellen in HR- und IT-Systeme.

Die fachliche Grenze beginnt dort, wo Datenschutz mit angrenzenden Pflichten verschmilzt. Ein Datenpannen-Ticket nach Art. 33 DSGVO ist häufig zugleich ein Sicherheitsvorfall nach § 32 BSIG und löst die 24-Stunden-Frühwarnung sowie die 72-Stunden-Folgemeldung der NIS-2-Richtlinie aus. Wer die Datenpanne in Kertos und den Sicherheitsvorfall in einem anderen Tool dokumentiert, riskiert widersprüchliche Zeitstempel und doppelte Sachverhaltsdarstellungen. Dasselbe gilt für Risikoanalysen: Eine DSFA referenziert technische und organisatorische Maßnahmen, die im ISMS nach ISO/IEC 27001:2022 verankert sind. Wenn diese beiden Welten getrennte Stammdaten führen, entsteht doppelter Pflegeaufwand und das Risiko inkonsistenter Maßnahmenstände wächst von Quartal zu Quartal. Eine Alternative zu Kertos lohnt sich also genau dann, sobald ein Unternehmen über reines Datenschutz-Management hinausgeht und die Berichtslinien aus Datenschutz, Informationssicherheit und Compliance zusammenführen muss. Mehr zum Aufgabenprofil im Profil des externen Datenschutzbeauftragten, der genau diese Verzahnung in einer Person darstellt. Wer diese Verzahnung früh adressiert, erspart sich später teure Restrukturierungen der Compliance-Tooling-Landschaft und behält die Hoheit über die Berichtslinie.

Die Wahl zwischen einer fokussierten Datenschutz-Software und einer integrierten Compliance-Plattform sollte an sechs Kriterien festgemacht werden, die sich aus typischen Mittelstandssituationen ableiten lassen. Erstens: die Anzahl der bestellten Beauftragten im Unternehmen. Wer nur einen Datenschutzbeauftragten nach § 38 BDSG benötigt, kann mit einer Spezialsoftware leben. Sobald zusätzlich ein Informationssicherheitsbeauftragter, ein Compliance-Officer, eine interne Meldestelle nach HinSchG und eine Fachkraft für Arbeitssicherheit nach § 5 ASiG bestellt sind, wachsen Datenredundanz und Schnittstellenkosten überproportional, weil dieselben Stammdaten in vier Tools gepflegt werden.

Zweitens: die Branche. KRITIS-Betreiber, Energieversorger, Krankenhäuser, Wasserversorger und Finanzdienstleister unterliegen sektorspezifischen Pflichten wie BSI-Kritisverordnung, KAIT, BAIT, MaRisk oder DORA. Drittens: die Datenresidenz. Wer mit besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO arbeitet, sollte die Frage stellen, in welchem Rechtsraum das Tool gehostet wird und welche Subdienstleister es einsetzt. Viertens: die Auditpraxis. Audit-Vorlagen und Nachweise sollten exportierbar, versionierbar und revisionssicher sein, weil der Prüfer im Ernstfall keine PowerPoint-Folien akzeptiert, sondern signierte Dokumente und Zeitstempel. Fünftens: die Frage, ob der Anbieter auch externe Bestellungen übernimmt, etwa wenn die interne Person ausfällt oder die fachliche Eignung nach § 5 BDSG nicht durchgängig gegeben ist. Sechstens: die Bußgeldrisiken nach NIS-2 von bis zu 10 Mio. Euro oder 2 Prozent des Konzernumsatzes für wesentliche Einrichtungen und 7 Mio. Euro oder 1,4 Prozent für wichtige Einrichtungen. Wer diese sechs Kriterien gegen Kertos und gegen eine Plattform-Alternative spiegelt, kommt zu einer belastbaren Entscheidung statt zu einem Bauchgefühl der Beschaffung. Hilfreich ist eine schriftliche Bewertungsmatrix mit Gewichtung, die nach dem Toolwechsel als Nachweis der Sorgfaltspflicht dient.

Die deutsche Compliance-Landschaft kennt deutlich mehr Beauftragten-Pflichten, als ein Datenschutz-Tool bedienen kann. Allein im klassischen Mittelstand sind je nach Größe und Branche regelmäßig sechs bis zwölf Rollen besetzt: Datenschutzbeauftragter, Informationssicherheitsbeauftragter, Fachkraft für Arbeitssicherheit, Brandschutzbeauftragter, Gefahrstoffbeauftragter, Hinweisgeberschutz-Meldestelle, ESG-Beauftragter, Geldwäschebeauftragter, Lieferkettenbeauftragter nach LkSG, Qualitätsmanagementbeauftragter, Immissionsschutzbeauftragter und je nach Tätigkeitsprofil zusätzlich Gefahrgutbeauftragter, Störfallbeauftragter, Strahlenschutzbeauftragter oder Inklusionsbeauftragter. Jede dieser Rollen hat eigene rechtliche Anker, eigene Berichtspflichten an die Geschäftsleitung und eigene Audit-Spuren.

Wer für jede Rolle ein eigenes Tool lizenziert, zahlt nicht nur mehrere Lizenzen, sondern erzeugt strukturelle Folgekosten. Es entstehen separate Berichtspfade, separate Eskalationsregeln, separate Stammdatenstände und separate Audit-Spuren. Eine Risikoinformation aus dem ISB-Tool erreicht den DSB nur über manuelle Übergabe, was die Reaktionszeit bei einem Vorfall um Stunden verzögert. Eine integrierte Plattform bündelt diese Rollen in einem Workspace, hält Bestellurkunden, Eignungsnachweise und Berichtslinien an einem Ort und stellt sicher, dass dieselbe Risikoinformation in allen Rollen verfügbar ist. Andere führen Compliance wie einen Aktenschrank, eine Plattform führt sie wie Software. Bestellurkunde, unterschrieben, abgelegt, belegbar. Im Vergleich zwischen Kertos und einer Plattform-Alternative ist die Rollenabdeckung daher der größte Stellhebel für die Total Cost of Ownership. Für einen reinen Datenschutz-Use-Case mag Kertos genügen. Sobald die Geschäftsführung den Überblick über alle Beauftragten und ihre Pflichten in einer einzigen Sicht braucht und vor dem Aufsichtsrat oder dem Beirat erklären muss, ist eine Plattform die wirtschaftlichere Antwort. Details zur Rollenpalette und den jeweiligen Rechtsgrundlagen finden Sie in der Rollenübersicht, die auch die Bestellpflichten je Mitarbeiterzahl und Branche transparent ausweist.

Die NIS-2-Richtlinie wurde durch das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz in nationales Recht überführt und betrifft rund 29.500 Unternehmen in Deutschland. Sie verlangt eine 24-Stunden-Frühwarnung an das BSI und eine 72-Stunden-Folgemeldung mit detailliertem Sachverhalt sowie eine abschließende Meldung binnen eines Monats. Parallel verlangt Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, sofern personenbezogene Daten betroffen sind, und Art. 34 DSGVO unter bestimmten Voraussetzungen die Benachrichtigung der betroffenen Personen. In den meisten realen Vorfällen sind beide Meldewege gleichzeitig zu bedienen, oft mit demselben Sachverhalt, aber unterschiedlichen Empfängern, unterschiedlichen Fristen und unterschiedlichen Formularen.

Ein isoliertes Datenschutz-Tool kann die DSGVO-Meldung gut abbilden. Es kann jedoch nicht die parallele BSI-Meldung steuern, weil ihm der NIS-2-Meldepfad, die Vorlagen, die Eskalationsregeln und die Verzahnung mit dem ISB fehlen. Hinzu kommt ISO/IEC 27001:2022 als zentraler Rahmen für die 93 Controls eines Informationssicherheitsmanagementsystems. Die DSFA bedient sich aus denselben Maßnahmen wie das ISMS, der Sicherheitsvorfall folgt denselben Erkennungs- und Reaktionsprozessen, und das Verzeichnis der Verarbeitungstätigkeiten überschneidet sich mit dem Asset-Inventar. Wer Datenschutz, Informationssicherheit und Compliance auf einer Plattform führt, hält die Berichtslinie technisch zusammen: Frist läuft ab Kenntnis, der Workflow zeigt beide Meldepfade parallel und legt Eskalationsregeln so an, dass keine Frist verstreicht. Der Prüfer ruft an, der Nachweis liegt bereit. Genau das leistet eine Alternative, die Datenschutz nicht als Insel begreift, sondern als ein Element eines integrierten Risikomanagements für regulierte Branchen. Eine solche Architektur reduziert Übertragungsfehler zwischen Tools auf null und schafft eine konsolidierte Audit-Sicht.

Datenresidenz ist seit dem Schrems-II-Urteil des EuGH vom 16. Juli 2020 ein Top-Thema im Datenschutz. Wer personenbezogene Daten in der EU verarbeitet und sicherstellen will, dass keine US-Behörden nach FISA Section 702 darauf zugreifen können, sollte beim Tool-Vergleich genau prüfen: Wo liegt das primäre Rechenzentrum? Wer ist Anbieter der zugrundeliegenden Cloud-Infrastruktur? Welche Subdienstleister kommen zum Einsatz und in welchem Rechtsraum sitzen sie? Welche Standardvertragsklauseln nach Art. 46 DSGVO sind hinterlegt und welche zusätzlichen Maßnahmen werden angewandt, beispielsweise Verschlüsselung mit kundenseitiger Schlüsselverwaltung oder Tokenisierung sensibler Felder?

Eine Alternative zu Kertos sollte EU-Datenresidenz nicht als Marketingversprechen, sondern als nachweisbares Set-up führen. Dazu gehört ein vollständiges Verzeichnis aller Subdienstleister mit Sitz, Rolle, Sicherheitslevel und Vertragsstand, eine dokumentierte Transferfolgenabschätzung für jeden Drittlandsbezug sowie ein Verfahrensverzeichnis, das den Datenfluss in der Plattform selbst nachvollziehbar macht. Praktisch geprüft heißt das: Die Plattform muss in der Lage sein, im Audit binnen Minuten zu zeigen, welcher Mandant welche Daten in welcher Region speichert, welche Backups in welcher Frequenz angelegt werden und welche Mitarbeitenden des Anbieters Zugriff haben. CIVAC betreibt seinen Workspace mit EU-Datenresidenz und legt das Subdienstleisterverzeichnis offen. Damit wird der Vergleich vom Versprechen zur Tatsache: Audit-fest, dokumentiert, Art. 28-fest. Wer Datenresidenz ernst nimmt, prüft sie bevor der Vertrag unterschrieben wird und nicht erst, wenn die Aufsichtsbehörde nachfragt oder ein Großkunde im Lieferanten-Audit den Nachweis verlangt. Diese Praxis spart später Wochen an Nacharbeit und vermeidet kostspielige Vertragsanpassungen oder gar einen erzwungenen Toolwechsel mitten im laufenden Geschäftsjahr unter Zeitdruck und in Kostenexplosion.

Viele mittelständische Unternehmen suchen eine Alternative zu Kertos nicht nur, weil die Software einen breiteren Funktionsumfang braucht, sondern auch, weil sie zugleich die Person des Datenschutzbeauftragten extern besetzen wollen. Nach § 38 BDSG in Verbindung mit § 5 BDSG ist die Bestellung eines DSB ab 20 Beschäftigten mit ständiger automatisierter Verarbeitung verpflichtend, in der Praxis häufig auch darunter, sobald besondere Kategorien personenbezogener Daten verarbeitet werden oder eine Datenschutz-Folgenabschätzung erforderlich ist. Die Bestellung muss schriftlich erfolgen, die Person muss fachlich geeignet sein und Interessenkonflikte ausschließen. Wer den DSB intern besetzt, muss zudem die fachliche Weiterbildung sicherstellen.

Ein klassischer Tool-Anbieter liefert nur die Software. Wer den DSB extern besetzen möchte, sucht zusätzlich einen Dienstleister, klärt Eignungsnachweise und Bestellurkunde getrennt und führt die Berichtslinie über zwei Verträge mit zwei Ansprechpartnern und zwei Reaktionszeiten. Eine Alternative, die Plattform und Personal in einem Modell anbietet, reduziert diese Schnittstelle deutlich. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle nutzen dieselbe Plattform, dieselben Vorlagen, dieselbe Berichtslinie und dieselben Eskalationsregeln. Die CIVAC-SLA für Bestellungen liegt bei zwei Werktagen statt der branchenüblichen zwei bis sechs Wochen. Das hat Folgen für den Vergleich: Die Total Cost of Ownership eines Tool-only-Modells sieht günstiger aus, sobald aber Personalkosten, Schnittstellenpflege, Vertretungsregelungen und Audit-Verteidigung mitgerechnet werden, kippt die Rechnung in vielen Konstellationen zugunsten des integrierten Modells. Officer-as-a-Service ist damit kein Add-on, sondern ein eigenes Vergleichskriterium, das in jede Toolauswahl gehört. Wer es weglässt, vergleicht zwei unterschiedliche Leistungstiefen und kommt zu einer methodisch fragwürdigen Empfehlung.

Ein Toolwechsel ist organisatorisch heikel, weil Audit-Spuren und laufende Verfahren nicht abreißen dürfen. Eine sinnvolle Migration vom bisherigen Tool zu einer Plattform folgt fünf Schritten, die sich aus dutzenden realer Wechselprojekte ableiten lassen. Schritt eins ist die Bestandsaufnahme: Welche Verarbeitungstätigkeiten, DSFAs, Datenpannen und Auftragsverarbeiter sind im Altsystem dokumentiert, in welcher Version, mit welchem Freigabestand? Schritt zwei ist der Export in strukturierter Form, möglichst maschinenlesbar als JSON oder CSV inklusive aller Versionsstände, Kommentare und Anhänge.

Schritt drei ist die Mapping-Phase: Felder des Altsystems werden auf die Datenobjekte der Plattform abgebildet, fehlende Pflichtfelder werden ergänzt, abweichende Taxonomien etwa für Datenkategorien oder Empfängergruppen werden harmonisiert. Schritt vier ist die Parallelphase von vier bis acht Wochen, in der beide Systeme aktiv geführt werden und neue Vorfälle in beiden eingegeben werden, bis die Vollständigkeit der Migration verifiziert ist. Schritt fünf ist die Abschaltung des Altsystems mit dokumentierter Übergabebestätigung, Archivierung der Altdatenbank in einem revisionssicheren Format und einer schriftlichen Bestellung des DSB oder anderer Beauftragter auf das neue System. Wichtig ist, dass die Bestellurkunde mit dem Wechsel der technischen Umgebung nicht obsolet wird. Sie bezieht sich auf die Person und die Rolle, nicht auf das Tool. CIVAC begleitet die Migration mit einem Workspace-Onboarding und stellt sicher, dass das ISMS, die Datenschutzdokumentation und die Berichtslinie nahtlos in den neuen Stand wechseln. Der Prüfer ruft an, der Nachweis liegt bereit, auch am ersten Tag nach dem Wechsel. Diese Disziplin entscheidet darüber, ob ein Toolwechsel ein Verwaltungsakt bleibt oder zu einem Audit-Risiko wird.

Das Bußgeldgefüge ist im Vergleich zu klassischen Datenschutzverstößen deutlich härter geworden und sollte in jede Vergleichsentscheidung einfließen. Art. 83 DSGVO sieht Bußgelder von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist. Das NIS-2-Umsetzungsgesetz ergänzt für wesentliche Einrichtungen Bußgelder von bis zu 10 Mio. Euro oder 2 Prozent des Konzernumsatzes, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 Prozent. § 130 OWiG erlaubt persönliche Bußgelder gegen Geschäftsleitungen, die ihre Aufsichtspflichten verletzen, in Höhe von bis zu 10 Mio. Euro. Hinzu treten zivilrechtliche Schadensersatzansprüche nach Art. 82 DSGVO und im Schadensfall die Reputationsfolgen.

Diese drei Hebel wirken kumulativ. Wer einen Datenschutzvorfall mit Cyberbezug nicht koordiniert meldet, kann nach DSGVO, NIS-2 und OWiG gleichzeitig sanktioniert werden. Ein isoliertes Datenschutz-Tool reduziert das Risiko in seinem Bereich, lässt die anderen aber offen, weil es weder den NIS-2-Meldepfad bedient noch die OWiG-Aufsichtspflichten der Geschäftsleitung dokumentiert. Eine integrierte Plattform liefert die Eskalationsregeln und Fristtimer für alle drei Rechtsregime in einem Workflow und dokumentiert nachvollziehbar, wer wann was entschieden hat, mit welcher Begründung und auf welcher Datenbasis. Im Audit ist diese Nachvollziehbarkeit der entscheidende Hebel, um eine Aufsichtsbehörde von einer Bußgeldminderung zu überzeugen, denn nach Art. 83 Abs. 2 DSGVO sind Maßnahmen zur Minderung der Risiken ausdrücklich strafmildernd zu berücksichtigen. Wer eine Alternative zu Kertos sucht, sollte daher die Frage stellen, ob das Zielsystem Bußgeldrisiken aus DSGVO, NIS-2 und OWiG in einem konsolidierten Risiko-Dashboard ausweist und ob es im Falle eines Vorfalls als Nachweis vor Gericht standhält.

Der Vergleich zwischen Kertos und einer Plattform-Alternative entscheidet sich an drei Fragen, die jede Geschäftsleitung beantworten können sollte, bevor sie eine Lizenz unterschreibt. Erstens: Wie viele Beauftragten-Rollen muss Ihr Unternehmen führen und sind diese heute synchronisiert oder fragmentiert in separaten Tools, Ordnern und Mailpostfächern? Zweitens: Wie ist Ihre Datenpannen- und Sicherheitsvorfall-Strecke aufgebaut, bedient sie 24h, 72h und Art. 33 DSGVO koordiniert oder getrennt mit jeweils eigenen Eskalationsregeln? Drittens: Wollen Sie die Beauftragten intern stellen oder extern bestellen lassen, und in welchem zeitlichen Korridor, beispielsweise nach Ausfall eines internen Beauftragten?

CIVAC beantwortet diese drei Fragen als Compliance-Plattform und Officer-as-a-Service. 25 Beauftragten-Rollen liegen im Workspace bereit, 37 Audit-Vorlagen sind einsatzbereit, 93 Controls nach ISO/IEC 27001:2022 sind verankert, der NIS-2-Meldepfad ist mit 24- und 72-Stunden-Fristen vorkonfiguriert, das Verzeichnis der Subdienstleister ist offen, EU-Datenresidenz ist nachweisbar. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle sind im selben System auditierbar und mandantenfähig. Wenn Sie heute mit Kertos arbeiten und prüfen wollen, ob eine Plattform für Sie wirtschaftlicher ist, lohnt sich ein 30-minütiges Sondierungsgespräch. Aus dem Lesen einen Auftrag machen. Eine kurze Nachricht an info@civac.de oder ein Eintrag im Kontaktformular genügt für eine erste Einschätzung. Sie erhalten innerhalb von fünf Werktagen eine schriftliche Gegenüberstellung Ihrer aktuellen Lizenz, der zu erwartenden Plattformkosten und der Officer-Optionen, einschließlich eines Migrationsfahrplans mit konkreten Meilensteinen. Ein Vergleich, der nicht nur den Listenpreis betrachtet, sondern auch Auditaufwand und Personalkosten einbezieht, ist die Grundlage für eine wirklich belastbare Entscheidung.