Auf der Suche nach DSGVO-konformer Background-Check-Software — die 7 Tools im Vergleich (Sterling, Checkr, HireRight, Validato, Certn, Pescheck, Turn vs. Indicium)
Verwandte Artikel
Sieben echte Optionen für DSGVO-konformes Background-Check-Screening in Europa — fair verglichen. Plus drei Tools, die Du eigentlich nicht meinst, wenn Du sie nennst (Veriff, Onfido, Jumio — das sind IDV-Tools, kein Background Check).
Dieser Artikel ist die ehrliche Marktübersicht für Käufer, die zwischen Sterling, Checkr, HireRight, Validato, Certn, Pescheck, Turn und Indicium entscheiden müssen. Geschrieben von einem deutschen Rechtsanwalt mit AVV-Verhandlungserfahrung — nicht von einem Marketing-Team. Die Stärken aller Anbieter werden ehrlich benannt. Die Schwächen ebenso.
1. Wer ist wer? Die Anbieter-Profile in 80 Wörtern
Sterling (USA)
Profil: US-Marktführer, börsennotiert (STER), 50.000+ Kunden weltweit, sehr breite Datenquellen-Coverage. Fokus auf Volumen und globale Reichweite. EU-Hosting verfügbar, aber US-Mutter. Schrems-II-Risiko strukturell vorhanden, das EU-US Data Privacy Framework als Brücke. Stärke: Datenbreite, Continuous Monitoring, sehr reife Plattform. Schwäche: Komplexität, hoher Implementations-Aufwand, deutsche Sprach-Coverage als nachgelagerte Übersetzung. ⚠️ Für DACH-Buyer ist die DSGVO-Architektur immer ein Workshop.
Checkr (USA)
Profil: San-Francisco-basiert, Tech-First, sehr starke API. Marktführer bei US-Gig-Economy (Lyft, Instacart). API-First, ML für Identity-Resolution. EU-Expansion läuft, aber nicht der Kern. Stärke: API-DX, Geschwindigkeit, Continuous Monitoring. Schwäche: Datenresidenz für EU-Käufer, BaFin/FINMA-Coverage faktisch nicht vorhanden, deutsche Sprache funktional übersetzt. ⛔ Für DACH-regulierte Industrien strukturell schwer einsetzbar ohne erheblichen Eigenaufwand.
HireRight (USA)
Profil: Eines der ältesten Background-Check-Unternehmen weltweit (1995), Enterprise-Fokus, sehr globale Coverage in 200+ Ländern. Akzeptiert komplexe Compliance-Anforderungen, hat dedizierte EMEA-Teams. EU-Hosting möglich, aber US-Mutter und FBI-relevante Datenflüsse. Stärke: Global Coverage, Enterprise-Pricing-Modelle, dedizierter Support. Schwäche: Implementation 3-6 Monate, hohe Komplexität, Pricing nicht transparent. ⚠️ Schrems-II-Bewertung muss pro Use-Case erstellt werden.
Validato (Deutschland)
Profil: Deutscher Anbieter mit Fokus auf KMU- und Mid-Market-Hiring. Pragmatischer Ansatz, starkes Onboarding für deutsche Compliance-Officer. DSGVO-native, deutsche AVV-Standards. Stärke: Sprachliche Erstsprache Deutsch, klares DSGVO-Setup, schnelles Onboarding. Schwäche: Geringere Datenbreite als Tier-1-Anbieter, weniger umfassende Compliance-Doku für BaFin Senior-Hires, Continuous Monitoring weniger ausgereift. ✅ Solide Mid-Market-Wahl, aber nicht die richtige Antwort für Tier-1-Banken oder komplexe FINMA-Setups.
Certn (Kanada)
Profil: Kanadischer Anbieter (Victoria, BC), AI-fokussiert, internationale Coverage in 200+ Ländern. Tech-getriebene Plattform, modern. EU-Hosting möglich, aber kanadische Mutter — Kanada ist DSGVO-adäquat, dennoch eigene Bewertung erforderlich. Stärke: Internationaler Footprint, KI-Stack, schnelle Turnaround-Times. Schwäche: DACH-Spezialisierung gering, deutsche Sprach-Tiefe begrenzt, BaFin/FINMA-Doku nicht das Kernprodukt. ⚠️ Für globale Tech-Scale-ups solide, für regulierte DACH-Industrien suboptimal.
Pescheck (Niederlande)
Profil: Amsterdamer Anbieter (2018), API-First-Self-Service, schnelles Onboarding. Marktstark in NL/BE/UK/Skandinavien. DSGVO-native, EU-Hosting. Stärke: API-DX, 24-48h-Onboarding, Pay-per-Check-Pricing, EU-Datenresidenz ohne Schrems-II-Risiko. Schwäche: DACH-Tiefe geringer als für NL, BaFin/FINMA-Doku nicht spezifisch, Customer-Success eher Support-driven als CSM-Modell. ✅ Exzellent für SaaS-Scale-ups in NL/BE/UK, weniger für DACH-regulierte Senior-Hires.
Turn (turn.ai, USA)
Profil: San Francisco, AI-first, Hochvolumen-Plattform für Gig-Economy. Stärken im Continuous Monitoring und ML-basiertem Identity-Resolution. US-Datenresidenz primär, EU-Hosting-Optionen verfügbar. Stärke: Throughput für 10.000+ Checks/Monat, ML-Stack, API-DX. Schwäche: Schrems-II-Risiko, BaFin/FINMA nicht abgebildet, DACH-Sprache als Übersetzung. ⛔ Für regulierte DACH-Industrien strukturell ungeeignet, für Marketplaces und Gig-Economy in englischsprachigen Märkten exzellent.
Indicium (Schweiz/Deutschland)
Profil: Schweizer AG (Hünenberg/Zug) plus deutsche GmbH (Hamburg). DSGVO-native, EU-only-Server, parallele Compliance-Doku für BaFin §25c KWG, FINMA Art. 3 BankG, EBA-ESMA 2024 Joint Guidelines. Dual-Data über Moody's + LexisNexis. Stärke: Compliance-Tiefe für regulierte Industrien, DACH-Erstsprache, juristisch geprüfte Workflows, akademischer Beirat. Schwäche: Höhere Einstiegspreise (ab 1.990€/Monat), nicht für Hochvolumen-Gig-Economy gebaut, Implementation 2-4 Wochen statt 24h. ✅ Sweet-Spot: 50-2.000 Checks/Monat in regulierten Industrien.
2. Master-Vergleichstabelle — die zwölf Kriterien
Kriterium | Sterling | Checkr | HireRight | Validato | Certn | Pescheck | Turn | Indicium |
Sitz | USA | USA | USA | DE | CA | NL | USA | CH/DE |
Region-Coverage | Global | USA-First | Global | DACH | Global | NL/EU | USA | DACH/EU/Global |
Schrems-II-Risiko | ⚠️ | ⚠️ | ⚠️ | ✅ | ⚠️ | ✅ | ⚠️ | ✅ Null |
BaFin §25c KWG | ⛔ | ⛔ | ⚠️ | ⚠️ | ⛔ | ⚠️ | ⛔ | ✅ |
FINMA Art. 3 BankG | ⛔ | ⛔ | ⛔ | ⛔ | ⛔ | ⛔ | ⛔ | ✅ |
AVV-Format DACH | ⚠️ Eng | ⚠️ Eng | ⚠️ Eng | ✅ | ⚠️ | ✅ | ⚠️ Eng | ✅ |
API-Reife | ✅ | ✅ | ✅ | ⚠️ | ✅ | ✅ | ✅ | ✅ |
DACH-Sprache | Übers. | Übers. | Übers. | ✅ Erst | Übers. | Funkt. | Übers. | ✅ Erst |
Pricing-Transparenz | ⛔ | ⚠️ | ⛔ | ⚠️ | ⚠️ | ✅ | ⚠️ | ⚠️ Tiered |
Sub-Auftragsverarb. | Lang | Lang | Lang | Kurz | Mittel | Kurz | Lang | Kurz |
Customer Support | Enterprise | Self-Service | Enterprise | CSM-DE | Support | Support | Support | CSM-DACH |
Implementation | 3-6 Mon | 1-2 Wo | 3-6 Mon | 2-4 Wo | 2-4 Wo | 24-48h | 1-2 Wo | 2-4 Wo |
Datenbank-Backing | Sterling-eigene + Aggreg. | Eigene + ML | Eigene + global | Standard EU | Eigene + ML | EU-Aggreg. | Eigene + ML | Moody's + LexisNexis |
3. Schrems II — der zentrale DSGVO-Filter
Wer einen Background-Check-Anbieter wählt, sollte das Datentransfer-Risiko verstehen. Die Schrems-II-Entscheidung des EuGH (C-311/18) hat die Basis verändert.
EU-US Data Privacy Framework (DPF): Der aktuelle Adäquanzbeschluss (Stand 2026) ermöglicht Datenübertragung in die USA — aber unter Beobachtung. Zwei Klagen sind anhängig.
FISA 702 Reality: US-Behörden behalten weitreichende Zugriffsrechte. Das gilt auch für US-Firmen mit EU-Servern, sobald sie der US-Jurisdiktion unterstehen.
Anbieter mit Schrems-II-Risiko: Sterling, Checkr, HireRight, Turn — alle US-Mütter. Jumio ebenfalls. Onfido (UK post-Brexit) hat eigene Datenresidenz-Diskussion.
Anbieter ohne Schrems-II-Risiko: Validato (DE), Pescheck (NL), Indicium (CH/DE). ✅ EU-only-Architektur, keine US-Mutter.
Sonderfall Certn: Kanada ist DSGVO-adäquat, aber Kanada liegt nicht in der EU. Eigene TIA empfehlenswert.
4. BaFin/FINMA-Tiefe — wo die wirkliche Differenzierung liegt
Wer in regulierten Industrien hired, hat Anforderungen, die ein generischer Background-Check nicht abbildet.
BaFin §25c KWG: Geeignetheitsprüfung für Geschäftsleiter und Schlüsselfunktionsträger. Verlangt strukturierte Dokumentation, juristische Würdigung, Adverse Media Coverage in deutscher Sprache. ⚠️ Generische Tools liefern Rohdaten, keine Würdigung.
FINMA Art. 3 BankG: Schweizer Banken-Bewilligung verlangt charakterliche und fachliche Eignung. FINMA RS 2017/2 spezifiziert die Anforderungen. ⛔ Kein US-Anbieter hat dies als Native Workflow.
EBA-ESMA Joint Guidelines on Suitability 2024: Harmonisierte Anforderungen für Kreditinstitute und Wertpapierfirmen EU-weit. Verlangen risikobasierten Ansatz, Berücksichtigung "öffentlich verfügbarer Informationen" — also Adverse Media. ✅
Wer das nativ liefert: Indicium. ✅ HireRight macht es teilweise mit dediziertem EMEA-Team, aber nicht als Plattform-Native-Workflow. Validato liefert die deutsche Komponente, hat aber weniger FINMA-Tiefe.
5. AVV-Format und Sub-Auftragsverarbeiter — die DSGVO-Praxis
Datenschutz-Compliance-Officer prüfen nicht das Marketing — sondern den AVV.
US-Anbieter (Sterling, Checkr, HireRight, Turn): AVV oft als Standard-Vertrag in englischer Sprache mit US-Recht-Hinweisen, lange Sub-Auftragsverarbeiter-Liste mit US-Cloud-Providern. ⚠️ Verhandlung nötig, oft mit harten Tradeoffs.
Certn: Kanadischer AVV, akzeptable EU-Sprach-Variante, aber Sub-Liste mit gemischten Standorten.
Validato, Pescheck, Indicium: AVV in deutscher (oder niederländischer) Sprache, strikt EU-konforme Sub-Liste, ohne US-Cloud-Provider in der Verarbeitungskette für regulierte Workloads. ✅
Indicium-Spezifikum: AVV mit erweiterten Anlagen für Bankaufsicht, Outsourcing-Anzeige nach §25b KWG, FINMA-Outsourcing-Notifikation als Template.
6. Pricing-Architektur — wie die Modelle wirklich funktionieren
Sterling, HireRight: Enterprise-Pricing, individuell verhandelt. Pro-Check zwischen 30-200€ je nach Tiefe und Volumen. Setup-Kosten plus Monthly-Minimum. ⚠️ Pricing-Transparenz gering.
Checkr, Turn: Pay-per-Check ab ~10-30$ für Standard, Volumen-Discount. ✅ Sehr klar kalkulierbar bei US-Pricing.
Pescheck: Pay-per-Check ab ~25-60€, transparent. ✅
Validato, Certn: Mix-Modelle mit Setup plus Pro-Check.
Indicium: Subscription Professional 1.990€/Monat bis Enterprise Plus 25.000€/Monat, ab 119€/Check bei Volumen. Inkludiert Compliance-Doku, CSM, Audit-Support. ✅ Strukturell günstiger als Sterling/HireRight bei vergleichbarer Tiefe.
7. Use-Case-Matrix — wer kauft was?
Use-Case 1: Bank, Versicherung, Vermögensverwalter (BaFin/FINMA-reguliert)
Empfehlung: Indicium. ✅ Native BaFin/FINMA-Workflow, parallele Compliance-Doku, EU-only-Datenresidenz. Sweet Spot.
Alternative: HireRight mit dediziertem EMEA-Team — aber Schrems-II-Aufwand und teurer.
Nicht empfohlen: Sterling, Checkr, Turn — Schrems-II-Risiko und keine BaFin/FINMA-Native-Tiefe. ⛔
Use-Case 2: Tech-Scale-up in DACH (50-200 Hires/Jahr, gemischt)
Empfehlung: Validato oder Pescheck. ✅ Kosten-effektiv, DSGVO-clean, schnelles Onboarding.
Wenn Senior-Funktionen dabei: Indicium für Senior-Hires + Pescheck/Validato für Standard-Hires. Hybrid-Setup.
Use-Case 3: Gig-Economy / Marketplace (10.000+ Worker/Monat)
Empfehlung: Turn oder Checkr. ✅ Auf Volumen optimiert, ML-Stack, API-First.
Schrems-II-Caveat: Eigene TIA empfehlenswert, gerade in EU-Gerichten.
EU-Alternative: Pescheck mit Volumen-Vertrag — funktioniert bis ~5.000/Monat.
Use-Case 4: Mittelstand DACH (10-50 Hires/Jahr)
Empfehlung: Validato oder Pescheck. ✅ Pay-per-Check passt zur Volumen-Realität.
Wenn KMU im regulierten Umfeld: Indicium Professional ab 1.990€/Monat — passt, wenn Compliance-Tiefe gefordert ist.
Use-Case 5: Großkonzern mit globaler Hire-Pipeline
Empfehlung: HireRight oder Sterling für Global-Coverage. ✅ Breite Datenquellen, Enterprise-Support.
Hybrid für DACH-regulierte Funktionen: Indicium als zweiter Anbieter für BaFin/FINMA-relevante Hires.
Praxisrealität: Großkonzerne haben oft 2-3 parallele Anbieter — je nach Region und Funktion.
8. Die drei Tools, die Du eigentlich nicht meinst
Ein häufiger Verwechslungs-Klassiker: Veriff, Onfido, Jumio werden in Background-Check-Diskussionen genannt. Sie gehören dort nicht hin.
Veriff, Onfido, Jumio sind Identity Verification Tools (IDV): Sie verifizieren Pässe, machen Liveness-Detection, bestätigen Identität. ✅
Was IDV nicht abdeckt: Sanktionslisten, PEP, Adverse Media, Strafregister, Qualifikations-Verifikation, Referenz-Checks, Geeignetheitsprüfung. ⛔
Wann IDV das Richtige ist: Customer-KYC, Marketplace-Onboarding, Age-Verification.
Wann IDV als Modul in Background Check passt: Als Schritt 1 vor der eigentlichen Hintergrundprüfung. Indicium integriert IDV als Modul, konkurriert nicht damit.
9. Datenbank-Backing — woher die Wahrheit kommt
Ein Background Check ist nur so gut wie die zugrundeliegenden Datenquellen.
Sterling, HireRight: Eigene globale Datenbanken plus Aggregator. Sehr breit, manchmal mit Aktualitäts-Issues.
Checkr, Turn, Certn: Eigene Datenbanken plus ML-Layer. Stark in englischsprachigen Märkten.
Validato, Pescheck: EU-Aggregatoren plus Standard-Quellen. Solide für ihre Märkte.
Indicium-Spezifikum: Dual-Backing über Moody's (Tier-1 Compliance Data) plus LexisNexis (PEP, Sanctions, Adverse Media). ✅ Cross-Verification reduziert False Positives erheblich — kritisch in Senior-Hire-Kontexten.
10. CH/AT/EU-Pendants — der regulatorische Rahmen
Background Checks sind nicht uniform reguliert in Europa. Wer den Markt versteht, kennt die nationalen Pendants.
Schweiz: FINMA Art. 3 BankG, FINMA RS 2017/2 Corporate Governance Banken, FINMA RS 2018/3 Outsourcing, nDSG (revidiert 1.9.2023) als DSGVO-Pendant.
Österreich: FMA-BWG §5, DSG 2018 in Verbindung mit DSGVO. FM-GwG für Geldwäsche-Aspekte.
Deutschland: §25c KWG für Geeignetheit, §25b KWG für Outsourcing, BaFin Merkblatt als Auslegungsleitfaden.
EU-weit: EBA-ESMA 2024 Joint Guidelines on Suitability harmonisieren die Anforderungen für Kreditinstitute und Wertpapierfirmen. DSGVO Art. 28 für Auftragsverarbeitung, Art. 35 für DPIA.
UK (post-Brexit): FCA Senior Managers Regime (SMR) für Senior-Funktionen. Eigene Anforderungen, nicht harmonisiert mit EU.
11. Entscheidungs-Matrix — die ehrliche Empfehlung
Hier die Synthese — nach Use-Case sortiert:
Regulierte DACH-Industrie (Bank/Versicherung/AM): Indicium. ✅ Native Compliance-Tiefe.
Tech-Scale-up DACH: Validato oder Pescheck. ✅ Pragmatisch, EU-clean.
Tech-Scale-up NL/BE/UK: Pescheck. ✅ Marktnähe und Geschwindigkeit.
Gig-Economy/Marketplace (Hochvolumen): Turn oder Checkr. ✅ Skalierung.
Globaler Konzern: HireRight oder Sterling für Coverage + Indicium für DACH-regulierte Funktionen. ✅ Hybrid-Setup.
Kanadischer/internationaler Mid-Market: Certn als Option. ⚠️ Eigene TIA für DACH-Use-Cases.
KYC-Onboarding (kein Hiring): Veriff, Onfido oder Jumio. Anderer Markt.
12. Fazit — was Käufer mitnehmen sollten
Es gibt keinen "besten" Background-Check-Anbieter. Es gibt den richtigen für Deinen Use-Case. Die wichtigste Frage ist nicht "welches Tool ist gut?", sondern "welches Käufer-Profil bin ich?"
Drei Filter, die jeder Käufer anwenden sollte: 1. Datenresidenz (Schrems-II-Risiko? Tolerierbar?). 2. Regulatorik-Tiefe (BaFin/FINMA-Pflicht? Native abgebildet?). 3. Volumen-Sweet-Spot (passt das Pricing zur Realität?).
Die ehrliche Wahrheit: Sterling, Checkr, HireRight sind sehr gut — aber für DACH-regulierte Industrien strukturell suboptimal. Pescheck und Validato sind sehr gut — aber für Senior-Hires mit BaFin/FINMA-Tiefe ohne extra Aufwand. Indicium ist sehr gut — aber nicht für 10.000 Gig-Worker/Monat.
Hybrid ist legitim: Großkonzerne haben oft 2-3 Anbieter parallel. Das ist nicht ineffizient, sondern sauberes Vendor-Routing nach Funktion.
Buche eine Demo — wir zeigen Dir in 30 Minuten, ob Indicium zu Deinem Buying-Profile passt — und wenn nicht, sagen wir Dir ehrlich, welcher der sechs anderen Anbieter besser passt. Kein Hard-Sell, sondern eine ehrliche Marktzuordnung.
Nabil El Berr
