Indicium vs. Validato vs. Certn — der europäische Background-Check-Vergleich 2026

Verwandte Artikel

• Indicium vs. Sterling, Checkr und HireRight

• Moody's vs. LexisNexis vs. Dow Jones

• DPO-Checkliste 23 Punkte

• Migration zu EU-nativer Lösung

Wer in Europa eine DSGVO-native Background-Check-Plattform sucht, hat drei realistische Optionen — und drei verschiedene Stärken. Dieser Vergleich nimmt jede Plattform an dem Maßstab, den ein DPO, ein BaFin-Compliance-Officer oder ein FINMA-Mandatsträger anlegen würde: regulatorische Tiefe, vertragliche Auditierbarkeit und operative Reife. Keine Marketingversprechen, sondern eine Operator-Sicht aus 18 Monaten Side-by-Side-Erfahrung im DACH-Markt.

1. Warum diese drei — und nicht zehn

Der globale Background-Check-Markt zählt nach Frost & Sullivan über 2.400 Anbieter. Für ein in Deutschland, Österreich oder der Schweiz regulierten Unternehmen bleibt nach Ausschluss US-zentrierter Lösungen ohne EU-Datenresidenz, ohne AVV nach Art. 28 DSGVO in deutscher Sprache und ohne BaFin-/FINMA-fähigen Tiefgang ein einstelliger Kreis übrig.

Drei Anbieter haben sich in unseren Sales-Cycles als die wiederkehrenden Kandidaten herausgeschält: Validato (Berlin), Certn (Victoria/Kanada, EU-aktiv über Amsterdam) und Indicium Technologies (Hünenberg/ZG & Hamburg). Andere Namen wie HireRight, Sterling oder Veremark sind in RFP-Listen präsent — verlieren aber regelmäßig an einer der drei Hürden: AVV-Sprache, Sub-Auftragsverarbeiter-Transparenz oder fehlende Aufsichtsexpertise für § 25c KWG.

2. Die drei Stärken auf einen Blick

• Validato — Pricing-Champion: Der schlankste Anbieter. Standard-Bonitäts- und Identitätsprüfung ab € 14,90 pro Check, klare Volume-Tiers, deutsche AVV out-of-the-box. Trade-off: kein Wertpapierhandelsregister-Lookup, keine FINMA-Gewährspersonen-Prüfung, kein PEP-Screening über Standard-Watchlists hinaus.

• Certn — API-Reife: Die technisch ausgereifteste Plattform. RESTful API mit OAuth 2.0, Webhooks, Bulk-Endpunkten, dokumentiert nach OpenAPI 3.1. Native Connectors für Workday, SAP SuccessFactors, BambooHR, Greenhouse, Lever. Trade-off: kanadischer Mutterkonzern, Datenresidenz EU verfügbar aber nicht Default, AVV anglophonisch geprägt.

• Indicium — Regulatorische Tiefe: Die einzige Plattform mit dedizierter BaFin-§-25c-KWG- und FINMA-Art.-3-BangG-Prüflogik. Board-President: Prof. Dr. iur. Urs Schenker (Walder Wyss, ehem. M&A-Co-Head). Vorstand: Nabil El Berr, deutsch zugelassener Rechtsanwalt. Trade-off: jünger als Certn, Pricing über Validato-Niveau.

• Keiner ist universell „besser": Wer Volumenscreening für Logistik-Massenrekrutierung braucht, ist bei Validato richtig. Wer eine cloud-native HR-Tech-Stack-Integration über vier Länder braucht, gewinnt mit Certn. Wer regulierte Finanzberufe oder Versicherungs-Schlüsselfunktionen prüft, kommt an Indicium nicht vorbei.

3. Vergleichstabelle: 14 harte Kriterien

4. DSGVO-Tiefe: Wer hält der DPO-Brille stand?

Eine AVV nach Art. 28 DSGVO ist Pflicht, kein Differentiator. Differentiator ist die Frage: Was passiert, wenn der DPO am Tag nach dem Vertragsschluss eine schriftliche Auflistung aller Sub-Auftragsverarbeiter mit Standort, Rolle und TOM-Niveau verlangt? Bei Validato gibt es ein PDF mit vier Subs. Bei Certn neun, davon zwei in Kanada (für die das Adäquanzbeschluss-Argument trägt). Bei Indicium drei — alle im EWR oder in der Schweiz.

Schrems-II-Risiko

Certn ist der einzige Anbieter im Vergleich, der wegen seines kanadischen Mutterkonzerns einen Transfer-Impact-Assessment erfordert — auch wenn der EU-Adäquanzbeschluss für Kanada (kommerzielle Daten) seit 2002 besteht. Anwaltlich gut handhabbar, aber DPOs großer Banken haben nach EuGH C-311/18 (Schrems II) grundsätzlich eine niedrigere Toleranz für Drittstaatenbezüge — selbst bei Adäquanzbeschluss.

Datenlokation

• Validato: AWS Frankfurt (eu-central-1), keine Replikation außerhalb EU. Saubere Position.

• Certn: Default Microsoft Azure Toronto (Canada Central), EU-Residenz Azure Amsterdam auf vertragliche Anforderung. Wer EU-Residenz will, muss aktiv verlangen — und die Migration der bestehenden Tenants planen.

• Indicium: Schweiz (Equinix Zürich) für CH-Mandanten, AWS Frankfurt für EU-Mandanten. Mandantentrennung auf Hosting-Ebene, nicht nur logisch.

5. BaFin- und FINMA-Coverage — der eigentliche Differentiator

Hier endet die Vergleichbarkeit. Wer als Bank, Wertpapierinstitut oder Versicherung in Deutschland oder der Schweiz Schlüsselfunktionsträger einstellt, muss prüfen — und das Prüfergebnis muss aufsichtsfest sein.

§ 25c KWG (Deutschland)

Die Vorschrift verlangt von Geschäftsleitern und Aufsichtsorganen die fachliche Eignung und persönliche Zuverlässigkeit. Validato kann Strafregister und Schufa abfragen — aber keine Branchenauflagen, keine Berufsverbote nach § 6 GewO, keine konsolidierte Sicht auf laufende WpHG-Verfahren. Certn deckt international den Criminal Background — versteht aber das deutsche Aufsichtsrecht nicht im Detail. Indicium hat einen dedizierten §-25c-Workflow mit 14 Prüfpunkten, ausgerichtet an den BaFin-Merkblättern zur Geschäftsleiterprüfung (Stand 2024-09).

Art. 3 BangG / Gewährspersonen (Schweiz)

Die FINMA verlangt für Banken, Effektenhändler, Versicherer und kollektive Kapitalanlagen einen Nachweis, dass leitende Personen „Gewähr für eine einwandfreie Geschäftstätigkeit" bieten (Art. 3 Abs. 2 lit. c BangG, parallel BörsG, KAG, VAG). In der Praxis heißt das: SECO-Sanktionslisten, schweizerisches Strafregister, Betreibungsregister, FINMA-Watchlist-Abgleich, ausländisches Strafregister bei Auslandsmandanten — und ein begründeter Bericht. Validato und Certn führen keine Schweizer Betreibungsregister-Abfragen durch. Indicium tut es als Kerngeschäft.

6. Integration in HR-Tech-Stacks

• Personio: Alle drei Anbieter haben native Integrationen. Personio ist DACH-Marktführer und für Anbieter mit DACH-Fokus Pflicht. Bei Validato und Indicium aus der Box; bei Certn seit Q1 2025 verfügbar.

• SAP SuccessFactors: Certn bietet einen vorzertifizierten SAP Store-Eintrag mit OData-Push. Indicium läuft via SAP HANA Cloud Connector. Validato benötigt Middleware (Workato, Make oder Mulesoft).

• Workday: Certn ist die einzige der drei mit Workday Marketplace-Listing. Indicium über Partner-Integrator (Kainos / Mercer Marsh).

• Greenhouse, Lever, Recruitee, BambooHR: Certn führt mit nativen Connectors. Indicium über generischen Webhook + Zapier. Validato bislang nur Personio.

7. Der Pricing-Vergleich — und warum „pro Check" trügt

Validato wirbt mit € 14,90. Im Side-by-Side-RFP einer mittelständischen Privatbank (320 Mitarbeitende, 60 Checks/Jahr) lag der wahre All-in-Preis bei € 29 — weil PEP, Wertpapierhandelsregister und § 25c-Begründung nachgekauft werden mussten. Bei Certn lag der Listenpreis bei € 38 pro Check, der Volumenpreis ab 50 Checks/Jahr bei € 28. Bei Indicium pauschal € 39 — inklusive aller regulatorischen Bausteine.

Die Total-Cost-of-Ownership-Frage

Wer einen einzigen fehlerhaften § 25c-Bericht produziert und dafür eine BaFin-Beanstandung kassiert, verursacht intern 40–80 Anwaltsstunden à € 350–550 für Stellungnahme, Korrespondenz und ggf. WpIG-§-25c-Nachprüfung. Das sind € 14.000–44.000 — und übersteigt die Differenz zwischen Validato und Indicium über jeden realistischen Mehrjahreshorizont.

8. Was die Anbieter nicht öffentlich sagen

• Validato: Hat 2024 zwei Großkunden im DACH-Bankensektor verloren, weil der § 25c-Workflow als „nicht aufsichtsfest" beanstandet wurde. Die Plattform positioniert sich seitdem stärker im Mittelstand und Tech.

• Certn: Ist im EU-Markt aktiv, aber das Wachstum stammt nach öffentlich verfügbaren Crunchbase-Daten überwiegend aus UK, NL und FR. DACH-Penetration unter 8% des EU-Umsatzes. Praktisch bedeutet das: deutsche AVV-Verhandlungen dauern länger.

• Indicium: Jung. Gegründet 2023. Wer 200+ Logos in der Referenzliste verlangt, bekommt sie nicht. Wer Tiefe und juristische Substanz verlangt, bekommt sie. Der Walder-Wyss-Board-President ist nicht dekorativ — er liest jeden AVV-Entwurf vor Versand.

9. Welcher Anbieter für welchen Käufer-Typus?

Was gilt in der Schweiz, Österreich und EU-weit?

Schweiz

Die FINMA reguliert Banken, Effektenhändler, Versicherer und Vermögensverwalter unter dem Gewährserfordernis nach Art. 3 Abs. 2 lit. c BangG, ergänzend Art. 14 BörsG und Art. 14 KAG. Wer Geschäftsleiter oder Verwaltungsräte einsetzt, muss FINMA gegenüber nachweisen können, dass kein fitness & propriety-Defizit besteht. Das schweizerische Datenschutzgesetz (revDSG, in Kraft seit 1.9.2023) unterscheidet sich von der DSGVO in Detailfragen — Art. 8 (Informationspflicht), Art. 10 (Bearbeitung durch Auftragsbearbeiter) und Art. 28 (besonders schützenswerte Personendaten) sind die zentralen Pendants. Anbieter ohne CH-spezifischen AVV (manchmal noch „Datenbearbeitungsvereinbarung" genannt) verlieren den FINMA-Markt.

Validato und Certn liefern grundsätzlich keinen revDSG-spezifischen AVV — Anpassungen muss der Käufer rechtsanwaltlich verlangen. Indicium liefert standardmäßig zwei separate Vertragswerke: DSGVO-AVV (DE/AT) und revDSG-DBV (CH).

Österreich

In Österreich greift die FMA über das BWG (für Banken), das WAG 2018 (für Wertpapierdienstleister) und das VAG 2016 (für Versicherer). Die fitness & propriety-Anforderung wird über § 5 BWG und EBA/EIOPA-Leitlinien konkretisiert. DSGVO gilt unmittelbar; ergänzend das österreichische DSG. Praxisbesonderheit: das Gleichbehandlungsgesetz (GlBG) ist im Recruiting strenger als das deutsche AGG — Auskunfts- und Begründungspflichten gegenüber abgelehnten Bewerbern können bis zu € 720 Schadenersatz auslösen. Background-Check-Workflows müssen Bewerber-Akten DSGVO-konform und GlBG-konform aufbewahren.

EU-weit

Auf EU-Ebene konvergieren mehrere Regimes: Die CRD VI (Eigenkapitalrichtlinie, Umsetzungsfrist Januar 2026) verschärft Drittanbieter-Anforderungen für Banken; DORA (Verordnung 2022/2554) verlangt Resilienz-Tests auch von ICT-Drittanbietern wie Background-Check-Plattformen; NIS-2 (Richtlinie 2022/2555) erweitert Cybersecurity-Pflichten auf weite Teile der „wesentlichen Einrichtungen". Die EBA-Leitlinien zu Outsourcing (EBA/GL/2019/02) und die ergänzende ESMA-Leitlinie zu IT-Services (ESMA/2024/1185) bilden den De-facto-Standard für AVV- und SLA-Tiefen. Wer eine Plattform 2026 einführt, sollte CRD-VI-Tauglichkeit, DORA-Konformität und NIS-2-Notifikation bereits in der RFP-Liste prüfen — alle drei Anbieter im Vergleich erfüllen sie auf Papier; der Tiefgang variiert.

10. Die ehrliche Empfehlung

Wir betreiben Indicium — wir sind in dieser Bewertung Beteiligte, nicht Schiedsrichter. Was wir sagen können: Wer FINMA-Gewährspersonen prüfen muss, hat heute keinen anderen pragmatischen Weg. Wer Pricing optimiert und kein Bankenmandat hat, sollte Validato in den Vergleich nehmen. Wer einen multinationalen Konzern mit Workday-Stack führt, sollte Certn ernsthaft prüfen. Es gibt kein einziges richtiges Werkzeug — es gibt das richtige Werkzeug für Ihren Anwendungsfall.

11. Was im RFP-Prozess wirklich entscheidet

1. AVV-Entwurf in der Verhandlungssprache innerhalb 5 Werktagen.

2. Sub-Auftragsverarbeiter-Liste mit Standorten, ohne Trade-Secret-Argument.

3. TOM-Konzept nach Art. 32 DSGVO als gesondertes Dokument, nicht nur als Klausel.

4. Penetrationstest-Bericht der letzten 12 Monate (redacted ist akzeptabel).

5. SOC-2-Typ-II- oder ISO-27001-Zertifikat im Original — und das aktuelle Audit-Datum.

6. Aufsichtsbezogener Workflow mit Prüfpunkt-Liste, nicht nur „Compliance-Modul".

7. Referenzkunde im gleichen Sektor, kontaktierbar — nicht nur namentlich erwähnt.

12. Fazit in einem Absatz

Validato ist die schlanke, deutsche Wahl für Volumen ohne Aufsichtsbezug. Certn ist die international integrierte Wahl mit der reifsten API. Indicium ist die regulatorisch-juristische Wahl für DACH-Finanzdienstleister. Alle drei sind DSGVO-tauglich — aber „tauglich" reicht in einem regulierten Umfeld nicht. Die richtige Frage ist: Wessen Vertragswerke und Workflows hält ein DPO mit zwei Stunden Durchsicht für verteidigungsfähig? In dieser Frage liegen die drei nicht beieinander.

Buche eine Demo — wir zeigen Side-by-Side, was § 25c und Art. 3 BangG in unserer Plattform konkret bedeuten. 30 Minuten, ohne Sales-Pitch.