datamastr vs. heyData: Was ist der Unterschied – und wer braucht was?

Wer für sein Unternehmen nach DSGVO-Software sucht, landet früher oder später bei beiden Namen: heyData und datamastr. Beide versprechen Datenschutz-Compliance, beide kommen aus Deutschland, beide richten sich an den Mittelstand. Und trotzdem sitzt man nach zwanzig Minuten auf beiden Websites da und fragt sich: Machen die eigentlich dasselbe?

Nein. Und genau das ist der Punkt, den dieser Artikel klärt.

Eine Sache vorweg, der Fairness halber: Dieser Artikel erscheint auf dem datamastr-Blog. Wir haben also eine Perspektive. Wir bemühen uns trotzdem um einen ehrlichen Vergleich – denn die Wahrheit ist, dass beide Werkzeuge unterschiedliche Probleme lösen. Wer das falsche kauft, ärgert sich in beiden Richtungen.

1. Zwei Philosophien: Fragebogen oben, Datenscan unten

Der grundlegende Unterschied lässt sich in einem Satz zusammenfassen: heyData arbeitet mit Ihren Menschen, datamastr arbeitet mit Ihren Daten.

heyData positioniert sich als Compliance-as-a-Service-Plattform. Der typische Ablauf: Sie beantworten strukturierte Fragen zu Ihren Prozessen, Datenschutz-Experten prüfen die Angaben, Sie erhalten Dokumente, Schulungen und auf Wunsch einen externen Datenschutzbeauftragten. Am Ende steht ein geprüfter organisatorischer Rahmen – inklusive Siegel, das Sie gegenüber Kunden vorzeigen können. Das ist die Draufsicht: Compliance aus der Perspektive von Prozessen, Verträgen und Verantwortlichkeiten.

datamastr setzt eine Ebene tiefer an. Die Plattform verbindet sich mit Ihren tatsächlichen Datenbeständen – CSV-Exporte, Datenbanken, Systemabzüge – und scannt, was wirklich darin steht. Welche Spalten enthalten personenbezogene Daten? Wo liegen E-Mail-Adressen, Geburtsdaten, Sozialversicherungsnummern, Gesundheitsmerkmale? Aus diesem Befund entsteht das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO – nicht aus dem, was Mitarbeiter über ihre Daten glauben, sondern aus dem, was in den Dateien tatsächlich liegt.

📷 BILD-PLATZHALTER: Schematische Gegenüberstellung zweier Ansätze – links ein Fragebogen mit Häkchen und einem Prüfsiegel, rechts eine Datenbanktabelle, in der einzelne Spalten rot als personenbezogene Daten markiert sind.

Der Unterschied klingt akademisch. Er ist es nicht.

2. Was heyData gut kann

Ein fairer Vergleich beginnt mit den Stärken des anderen. Und die sind real.

Der externe Datenschutzbeauftragte ist für viele Unternehmen Pflicht, nicht Kür. Nach § 38 BDSG braucht ein Unternehmen einen Datenschutzbeauftragten, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Wer diese Schwelle reißt und niemanden intern benennen kann oder will, braucht einen externen DSB – und genau das gehört zum Kernangebot von Compliance-Dienstleistern wie heyData. Software allein löst dieses Problem nicht.

Dazu kommen Mitarbeiterschulungen (die Aufsichtsbehörden im Ernstfall sehen wollen), geprüfte Vertragsvorlagen und ein Ansprechpartner aus Fleisch und Blut, wenn die Rechtslage unklar ist. Für die organisatorische und juristische Schicht des Datenschutzes ist dieser Ansatz stark. Wer bei null anfängt und vor allem Rechtssicherheit in Prozessen und Dokumenten sucht, ist in dieser Kategorie gut aufgehoben.

Was der Fragebogen-Ansatz systembedingt nicht leisten kann: in Ihre Daten hineinschauen.

3. Was datamastr anders macht

datamastr beantwortet die Frage, an der fragebogenbasierte Compliance regelmäßig scheitert: Stimmt das, was in unseren Dokumenten steht, mit dem überein, was in unseren Systemen liegt?

In der Praxis lautet die Antwort erstaunlich oft: nein. Die Exportdatei aus dem CRM enthält eine Spalte mit Geburtsdaten, von der niemand mehr wusste. Im Bemerkungsfeld der Auftragstabelle stehen Telefonnummern. Die “anonymisierte” Analyse-Tabelle enthält Klarnamen. Kein Fragebogen der Welt findet das – weil derjenige, der ihn ausfüllt, es selbst nicht weiß.

datamastr scannt die angebundenen Datenbestände automatisch, erkennt personenbezogene Daten per Muster- und Kontextanalyse (von der IBAN über die Schweizer AHV-Nummer bis zur Werbe-ID) und erzeugt daraus ein VVT mit deutschen Datenkategorien, Rechtsgrundlagen-Feldern und Vollständigkeits-Prüfung – als prüffertiges deutsches PDF. Dazu kommen Betroffenenanfragen: Auf Knopfdruck wird über alle angebundenen Bestände gesucht, wo eine bestimmte Person vorkommt, samt Auskunfts-Export nach Art. 15 DSGVO und dokumentierter Löschung nach Art. 17 DSGVO. Gehostet wird in Deutschland.

Was datamastr nicht mitbringt, gehört ebenfalls zur Ehrlichkeit: keinen externen Datenschutzbeauftragten, keine Rechtsberatung, keine Schulungen. Es ist ein Werkzeug für die Datenebene, kein Beratungsersatz.

4. Der Lackmustest: das Verzeichnis von Verarbeitungstätigkeiten

Warum wir so auf dem VVT herumreiten? Weil es der Punkt ist, an dem beide Welten kollidieren.

Das VVT nach Art. 30 DSGVO ist für fast jedes Unternehmen Pflicht. Die vielzitierte Ausnahme des Art. 30 Abs. 5 DSGVO für Unternehmen unter 250 Mitarbeitern greift nur, wenn die Verarbeitung nicht nur gelegentlich erfolgt, kein Risiko für Betroffene birgt und keine besonderen Datenkategorien umfasst. Wer regelmäßig Kunden- oder Mitarbeiterdaten verarbeitet – also praktisch jeder – fällt aus der Ausnahme heraus. Und Verstöße gegen Art. 30 können nach Art. 83 Abs. 4 DSGVO mit bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.

Ein VVT aus dem Fragebogen ist besser als kein VVT. Aber es dokumentiert den Wissensstand der befragten Person – nicht den Zustand der Systeme. Ein VVT aus einem Datenscan dokumentiert, was tatsächlich verarbeitet wird. Wenn die Aufsichtsbehörde prüft, ist das der Unterschied zwischen “wir haben ein Dokument” und “wir können jede Zeile belegen”.

📷 BILD-PLATZHALTER: Ausschnitt eines deutschen VVT-PDFs mit ausgefüllten Feldern für Datenkategorien, Rechtsgrundlage nach Art. 6 DSGVO und einem Hinweisfeld für besondere Kategorien nach Art. 9 DSGVO.

5. Betroffenenanfragen: ein Monat, und die Uhr läuft

Noch ein Punkt, an dem der Unterschied praktisch wird. Verlangt eine Person Auskunft oder Löschung, haben Sie nach Art. 12 Abs. 3 DSGVO einen Monat Zeit für die Antwort. Wer nicht weiß, in welchen Tabellen, Exporten und Altbeständen die Person überhaupt vorkommt, verbringt diesen Monat mit Suchen.

Ein prozessorientiertes Compliance-Paket gibt Ihnen für diesen Fall eine saubere Vorlage und einen definierten Ablauf. Ein datengetriebenes Werkzeug gibt Ihnen die Fundstellen. Beides zusammen wäre ideal – aber wenn die Frist tickt, ist die Frage “Wo liegt diese Person in unseren Daten?” die härtere von beiden.

📷 BILD-PLATZHALTER: Bildschirmfoto einer Suchmaske für Betroffenenanfragen, darunter eine Trefferliste mit Datenbestand, Spalte und Anzahl der Fundstellen pro Datei.

6. Preis und Zielgruppe

Zu den Preisen: heyData veröffentlicht gestaffelte Abo-Pakete, deren Höhe sich nach Leistungsumfang und Unternehmensgröße richtet – wer den externen DSB und Schulungen einschließt, kauft naturgemäß mehr als reine Software. Konkrete Zahlen ändern sich, ein Blick auf die aktuelle Preisseite ersetzt jede Tabelle in einem Blogartikel.

Bei datamastr ist der Einstieg kostenlos: FREE-Einstieg kostenlos (1 Nutzer, 3 Datenbestände) – genug, um den Datenscan mit echten Beständen auszuprobieren, bevor Geld fließt. Der TEAM-Plan kostet 399 Euro/Monat bei jährlicher Abrechnung.

Die Zielgruppen überschneiden sich, sind aber nicht identisch. Wer vor allem den organisatorischen Rahmen und einen externen DSB sucht, gehört in die Beratungs-Kategorie. Wer bereits Verantwortlichkeiten geklärt hat und jetzt wissen will, was in den eigenen Systemen wirklich liegt, braucht den Datenscan.

7. Und wer beides braucht?

Die vielleicht wichtigste Erkenntnis: Die beiden Ansätze schließen sich nicht aus. Ein externer DSB, der mit einem datengestützten VVT arbeitet, ist schlagkräftiger als einer, der auf Selbstauskünfte angewiesen ist. Umgekehrt ersetzt der beste Datenscan keine Schulung und keine juristische Einschätzung. Etliche Unternehmen fahren zweigleisig: Beratung für die Organisationsebene, Werkzeug für die Datenebene.

Die Frage ist also nicht “datamastr oder heyData?”, sondern: Welches Problem tut bei Ihnen gerade am meisten weh? Fehlt der Rahmen – oder fehlt der Blick in die eigenen Daten?

Wenn es der Blick in die Daten ist: Der schnellste Weg zu einer Antwort ist kein Verkaufsgespräch, sondern ein Test mit echten Daten. Legen Sie unter app.datamastr.com einen kostenlosen Zugang an, laden Sie den mitgelieferten Demo-Datensatz oder einen eigenen Export hoch und sehen Sie selbst, was der Scan findet. Wenn er in fünf Minuten eine PII-Spalte entdeckt, von der Sie nichts wussten, hat sich die Frage nach dem Unterschied von allein beantwortet.