CIVAC vs. Kertos: Vergleich der Datenschutz-Automation für deutsche Unternehmen

Seit Inkrafttreten der DSGVO am 25. Mai 2018 sind Unternehmen ab 20 Personen mit regelmäßiger automatisierter Datenverarbeitung nach § 38 BDSG zur Benennung einer oder eines Datenschutzbeauftragten verpflichtet. Die Pflicht ist statisch, der Markt für Datenschutz-Software jedoch dynamisch. Zwei Anbieter werden im deutschsprachigen Mittelstand häufig in einem Atemzug genannt: CIVAC und Kertos. Beide adressieren die operative Datenschutzarbeit, beide nutzen Automation, beide wollen Audits beschleunigen.

Dieser Beitrag stellt die Modelle gegenüber, ohne Wettbewerb zu inszenieren. Im Fokus stehen drei Fragen: Welches Modell trägt die Verantwortung, wenn die Aufsichtsbehörde anruft? Wie werden die 72 Stunden aus Art. 33 DSGVO operationalisiert? Und wie sieht der Übergang von Datenschutz zu Informationssicherheit nach ISO/IEC 27001:2022 aus? Die Antworten entscheiden, welche Plattform zu welcher Organisation passt.

Die DSGVO ist acht Jahre alt, die NIS-2-Richtlinie ist umgesetzt, der EU AI Act greift seit August 2026 für Hochrisiko-Systeme. Datenschutz steht damit nicht mehr isoliert, sondern ist mit Informationssicherheit, Lieferkette und KI-Governance verzahnt. Plattformen, die nur Verarbeitungsverzeichnisse pflegen, decken den heutigen Bedarf nicht ab. Gefragt sind durchgängige Compliance-Workspaces, in denen Verzeichnisse, Auftragsverarbeitungen, Risikoanalysen, Mitarbeiterschulungen und Meldeprozesse zusammenlaufen.

CIVAC positioniert sich als Compliance-Plattform und Officer-as-a-Service mit 25 Beauftragten-Rollen, 93 Controls nach ISO/IEC 27001:2022 und 37 einsatzbereiten Audit-Vorlagen. Kertos positioniert sich als Datenschutz-Automation mit Schwerpunkt auf DSGVO-Workflows und Privacy-Operations. Beide Anbieter verarbeiten Daten in der EU. Der erste sichtbare Unterschied liegt in der Breite: CIVAC adressiert alle Beauftragten-Funktionen, Kertos konzentriert sich auf das Datenschutz-Mandat.

Für Unternehmen ab 250 Mitarbeitenden mit verteilten Standorten ergibt sich daraus eine Architekturfrage. Eine reine Datenschutz-Lösung benötigt eine Anbindung an das Informationssicherheits-Managementsystem. Eine plattformübergreifende Lösung wie der Workspace des externen Datenschutzbeauftragten erspart diese Brücke, weil ISMS und DSMS im gleichen Mandantenraum liegen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Der zentrale Unterschied liegt im Bestellmodell. Kertos liefert Software, die ein interner oder externer Datenschutzbeauftragter nutzt. Die Bestellung der Person erfolgt separat über Kanzleien oder freie Berater. CIVAC bietet beide Wege parallel: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Diese duale Struktur verschiebt die Verantwortungsfrage. Wer bestellt, haftet nach § 6 BDSG und § 38 BDSG. Wer nur Software liefert, haftet nicht für die Mandatsführung.

Für mittelständische Unternehmen ohne dedizierten DSB ist das Officer-as-a-Service-Modell relevant, weil die Bestellung dokumentiert, die Berichtslinie an die Geschäftsleitung definiert und die Erreichbarkeit nachweisbar geregelt ist. Die CIVAC-Bestellurkunde wird unterschrieben, abgelegt und ist belegbar. Bei reinen Software-Modellen müssen Bestellung und Workflow von außen zusammengeführt werden.

Für größere Organisationen mit eigenem Datenschutz-Team kann die Workspace-Lizenz allein ausreichen. Hier ist die Frage, ob das Tool weitere Rollen abdeckt, etwa Informationssicherheit, Hinweisgeberschutz oder Geldwäscheprävention, ohne Lizenzwechsel. CIVAC bündelt 25 Rollen in einer Mandantenstruktur, Kertos bleibt im Datenschutz-Fokus. Beide Wege sind legitim. Die Entscheidung hängt am internen Aufbau, nicht am Feature-Katalog.

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist Pflicht ab dem ersten Verarbeitungsvorgang mit besonderem Risiko und ab Unternehmen mit 250 Personen. Beide Anbieter bilden das Verzeichnis als strukturierte Datenbank ab. Unterschiede zeigen sich in der Vorbefüllung und in den Audit-Vorlagen.

CIVAC stellt 37 einsatzbereite Audit-Vorlagen bereit, die Verzeichnis, Auftragsverarbeitung nach Art. 28 DSGVO, Transfer Impact Assessment nach Schrems II, Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und ISMS-Controls querverlinken. Die Vorlagen sind versionsgeführt und auditierbar. Kertos arbeitet ebenfalls vorlagenbasiert, der Schwerpunkt liegt auf Privacy-Workflows wie Betroffenenrechten, Auskunftsersuchen und Cookie-Management.

Für Unternehmen mit Drittlandtransfers in die USA ist die TIA-Tiefe relevant. Seit dem EU-US Data Privacy Framework vom 10. Juli 2023 sind zertifizierte US-Empfänger erleichtert nutzbar, die Risikoanalyse bleibt jedoch erforderlich. Beide Plattformen bilden das ab. CIVAC verknüpft die TIA mit dem ISMS-Risikoregister und der Lieferanten-Bewertung, sodass eine Drittland-Übermittlung gleichzeitig als ISO 27001-Risiko erscheint. Der Prüfer ruft an, der Nachweis liegt bereit. Bei isolierten Datenschutz-Tools muss die Brücke manuell gebaut werden.

Art. 33 DSGVO verlangt die Meldung einer Datenpanne an die Aufsichtsbehörde binnen 72 Stunden ab Kenntnis. § 32 NIS2UmsuCG ergänzt für KRITIS- und wesentliche Einrichtungen eine 24-Stunden-Frühwarnung und eine 72-Stunden-Folgemeldung an das BSI. Diese Fristen laufen parallel, treffen aber unterschiedliche Adressaten.

Eine Datenschutz-Plattform ohne NIS-2-Modul deckt nur einen der beiden Pfade ab. CIVAC integriert beide Meldepfade in einen Vorfall-Workflow. Eine erkannte Schwachstelle wird gleichzeitig als DSGVO-Vorfall und als NIS-2-Sicherheitsvorfall klassifiziert. Die 24h-Frühwarnung an das BSI und die 72h-Meldung an die Datenschutz-Aufsicht laufen aus derselben Quelle, mit derselben Sachverhaltsdarstellung und derselben Versionierung.

Frist läuft ab Kenntnis. Die Plattform stempelt den Zeitpunkt, sobald ein Verantwortlicher den Sachverhalt zur Kenntnis genommen hat. Das ist relevant, weil Aufsichtsbehörden bei verspäteten Meldungen den Beginn der Frist rekonstruieren. Bußgelder nach Art. 83 DSGVO reichen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Unter NIS-2 sind für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des Konzernumsatzes vorgesehen. Wer beide Pfade getrennt führt, verdoppelt die Fehlerquellen. Mehr Hintergrund liefert der NIS-2-Umsetzungsleitfaden für Deutschland.

ISO/IEC 27001:2022 hat das Annex-A-Control-Set von 114 auf 93 Controls in vier Domänen reduziert. Der Übergang ist bis 31. Oktober 2026 verbindlich. Datenschutz-Plattformen, die kein ISMS abbilden, lassen den Mittelstand bei genau diesem Schnittpunkt allein. CIVAC liefert das vollständige Control-Set mit Maßnahmen, Nachweisen und Verantwortlichen. Kertos überlässt das ISMS dem Kunden oder verbundenen Beratern.

Die zweite Infrastruktur-Frage ist die Datenresidenz. Datenschutz-Daten sind nach Art. 5 DSGVO an Zweckbindung und Sicherheit gebunden. Eine US-gehostete Compliance-Plattform unterliegt potentiell dem CLOUD Act. CIVAC verarbeitet ausschließlich in der EU, mit dokumentierten Auftragsverarbeitern und SCC-basierten Subprozessoren. Diese Architektur ist für Banken, Versicherer, Energieversorger und Gesundheitsorganisationen relevant, die selbst KRITIS-Pflichten haben.

Kertos verarbeitet ebenfalls in der EU. Der Unterschied liegt im Tiefenangebot: CIVAC erlaubt Sub-Mandanten je Tochtergesellschaft, getrennte Mandantenräume für interne Audits und eine Berichtslinie an die Geschäftsleitung über die Plattform. Die Kombination aus Compliance-Plattform und Officer-as-a-Service trägt die organisatorische Komplexität, nicht nur die fachliche. Für reine Holding-Strukturen ohne Datenschutz-Komplexität reicht das einfachere Modell. Audit-fest, dokumentiert, Art. 30-fest.

Audits scheitern selten an Inhalten, häufig an Versionsständen. Aufsichtsbehörden verlangen nicht das aktuelle Dokument, sondern das Dokument, das zum Zeitpunkt des Vorfalls galt. Plattformen ohne harte Versionierung können das nicht liefern. CIVAC versioniert jede Audit-Vorlage, jede Mandatsänderung und jede Risikoeinschätzung. Die 37 Vorlagen umfassen Art. 30-Verzeichnis, AV-Verträge nach Art. 28, DSFA nach Art. 35, TOMs nach Art. 32, Berichtslinien-Bestellungen und Schulungsnachweise.

Kertos liefert ebenfalls Vorlagen, mit Schwerpunkt auf Datenschutz-Workflows. Wer ein integriertes ISMS oder ein Hinweisgebersystem nach HinSchG benötigt, ergänzt das durch eigene Tools. Das ist legitim, erhöht aber die Integrationskosten. Bei einem koordinierten Audit, das Datenschutz, ISMS und Hinweisgeberschutz gleichzeitig prüft, müssen die Spuren aus drei Systemen zusammengeführt werden.

Die Bestellurkunde, unterschrieben, abgelegt, belegbar, ist auf der CIVAC-Plattform Teil des Standardpfads. Bei externer Bestellung erscheint die Person als Beauftragter im Mandantenraum, die Berichtslinie an die Geschäftsleitung ist hinterlegt, das BfDI-Meldeformular wird vorausgefüllt erzeugt. Reine Datenschutz-Tools übergeben diesen Schritt an die Bestellunterlage, die separat verwaltet wird. In großen Audits zählt jede Sekunde Sucharbeit.

Preisvergleiche zwischen CIVAC und Kertos sind nur valide, wenn dieselbe Leistung verglichen wird. Eine Workspace-Lizenz für 10 bis 50 Datenschutz-Rollen liegt bei beiden Anbietern im niedrigen vierstelligen Bereich pro Jahr. Officer-as-a-Service unterscheidet sich strukturell, weil hier eine bestellungsfähige Person inklusive Haftpflicht und Berichtslinie geliefert wird. Der Marktpreis für externe Datenschutzbeauftragte liegt typischerweise zwischen 800 und 4.000 Euro pro Monat, abhängig von Mitarbeiterzahl, Verarbeitungs-Komplexität und Drittlandtransfers.

CIVAC bietet einen SLA von 2 Werktagen für die Bestellung eines Beauftragten. Klassische Beraterhäuser liegen zwischen 2 und 6 Wochen. Der Unterschied ist betrieblich relevant, weil die Pflicht zur Benennung nicht aussetzt, sobald ein Beauftragter ausgefallen ist. Eine kurze SLA reduziert das Compliance-Vakuum.

Bei Kertos ergibt sich die Bestellzeit aus dem externen Beratungs-Netzwerk, das parallel beauftragt wird. Das ist kein Mangel, sondern ein anderes Modell. Wer Software bevorzugt und die Personenfrage selbst regelt, fährt mit der reinen Lizenz günstiger. Wer Bestellurkunde und Software in einem Lieferschein bündeln möchte, wählt das Plattform-und-Beauftragten-Modell. Die Mathematik wird einfach, sobald die internen Sucharbeitsstunden eingepreist werden.

Ein Plattformwechsel ist kein juristisches Ereignis, aber ein operatives. Die DSGVO verlangt Kontinuität: Verarbeitungsverzeichnis, AV-Verträge, DSFAs und Meldepfade müssen lückenlos verfügbar bleiben. Beide Anbieter exportieren Daten in strukturierten Formaten. CIVAC unterstützt CSV-, JSON- und XLSX-Export, plus PDF-Audit-Trail.

Der typische Wechsel von einer Datenschutz-Punktlösung zu einer Plattform-Lösung erfolgt, wenn NIS-2-Pflichten hinzukommen, ein ISMS-Zertifikat angestrebt wird oder ein Hinweisgebersystem nach HinSchG verpflichtend wird. Mittelständler mit 250 bis 5.000 Mitarbeitenden konsolidieren in solchen Phasen häufig auf eine Mandantenplattform, um Lizenzen, Berichtslinien und Audit-Pfade zu reduzieren.

Umgekehrt kann eine Konsolidierung auf ein reines Datenschutz-Tool sinnvoll sein, wenn andere Beauftragten-Pflichten extern verbleiben und der Datenschutz organisatorisch vom ISMS getrennt ist. Diese Trennung ist in regulierten Konzernen mit eigenen Sicherheits-Abteilungen üblich. Die Migrationszeit hängt am Volumen: Ein Mittelständler mit 60 Verarbeitungstätigkeiten und 40 AV-Verträgen erreicht binnen 4 bis 6 Wochen einen vollständig migrierten Zustand. Wer in der gleichen Zeit auch ISMS und Meldestelle übernimmt, plant 8 bis 12 Wochen.

Die Wahl zwischen CIVAC und Kertos ist keine Funktionsfrage, sondern eine Modellfrage. Wer eine reine Software-Lösung sucht und die Beauftragten-Bestellung separat regelt, prüft beide Anbieter auf Verzeichnis-Tiefe, Cookie-Management und Betroffenenrechte-Workflows. Wer Plattform und Bestellung in einer Hand bündeln will, prüft CIVAC auf Officer-as-a-Service mit dokumentierter Bestellurkunde, Berichtslinie und 2-Werktage-SLA.

Die Compliance-Plattform und Officer-as-a-Service-Architektur ist insbesondere für Mittelständler relevant, die ohne eigene Compliance-Abteilung mehrere Beauftragten-Rollen tragen müssen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege liegen im selben Mandantenraum, beide nutzen dieselben 93 Controls nach ISO 27001:2022, beide laufen mit EU-Datenresidenz.

Aus dem Lesen einen Auftrag machen. Wer eine konkrete Entscheidung zwischen Workspace-Lizenz und externer Bestellung treffen möchte, kann eine kurze Bedarfsskizze an info@civac.de senden oder das Kontaktformular nutzen. Die Erstprüfung enthält eine Einschätzung zu Pflichtumfang, Mitarbeiterzahl, Drittlandtransfers und NIS-2-Betroffenheit. Die Antwort kommt innerhalb von 2 Werktagen, mit konkreten Optionen, ohne Verkaufsdruck.