Nicht alles, was glänzt, ist Gold: Pre-Employment-Screening

Schon heute schreibt das NIS-Gesetz (NISG) vor:

„Der Betreiber stellt sicher, dass Mitarbeiter vertrauenswürdig und sich ihrer Verantwortung bewusst sind. Der Betreiber stellt des Weiteren sicher, dass Mitarbeiter für die ihnen zugewiesenen Rollen qualifiziert sind.“

Mit der kommenden NIS2-Richtlinie wird diese Anforderung noch konkreter: Im Anhang 3, Punkt 5b ist die Rede von verpflichtenden Hintergrundüberprüfungen für sicherheitsrelevante Rollen. Auch die international anerkannte ISO 27001 fordert in Abschnitt A.6.1 eine angemessene Überprüfung aller Personen, die aufgenommen werden sollen – verhältnismäßig zu geschäftlichem Risiko, Informationsklassifizierung und im Rahmen geltender Gesetze und ethischer Standards.

Doch was bedeutet das in der Praxis? Wie weit darf man gehen? Und was ist überhaupt erlaubt?

Warum Hintergrundüberprüfungen wichtiger werden

Ein effektives Risikomanagement fängt bei der Auswahl des richtigen Personals an. Eine Studie der Association of Certified Fraud Examiners zeigt, dass in 85 % der Fälle von internem Betrug die Täter*innen bereits im Vorfeld Verhaltensauffälligkeiten zeigten – und trotzdem eingestellt wurden.

Insbesondere bei sicherheitsrelevanten Positionen oder in risikointensiven Unternehmensbereichen ist ein Pre-Employment-Screening eine wertvolle Maßnahme zur Prävention. Es hilft, Personen zu identifizieren, die potenziell ein Sicherheitsrisiko darstellen – sei es durch eine gefälschte Qualifikation, Vorstrafen, wirtschaftskriminelle Vorgeschichte oder extremistische Weltanschauungen.

Was genau ist Pre-Employment-Screening?

Beim Pre-Employment-Screening handelt es sich um strukturierte Hintergrundüberprüfungen im Rahmen des Einstellungsprozesses. Ziel ist es, Bewerber:innen zu identifizieren, die aus juristischer, wirtschaftlicher oder sicherheitsrelevanter Sicht ein Risiko darstellen könnten. Je nach Branche und Unternehmensgröße kann ein Screening beispielsweise folgende Punkte umfassen:

• Überprüfung von Lebenslauf und Referenzen
• Führungszeugnis / Strafregisterauszug
• Bonitätsprüfung
• Prüfung der Online-Präsenz
• Validierung akademischer Abschlüsse
• Identitätsprüfung (v. a. bei Remote-Einstellungen)

In Banken oder sicherheitskritischen Branchen (z. B. Energie, Luftfahrt) ist ein solches Screening teilweise gesetzlich vorgeschrieben (z. B. § 39 BWG). Wichtig ist jedoch: Art und Tiefe der Überprüfung müssen sich nach der Funktion und dem Risiko der Position richten.

Was ist erlaubt, was ist verboten?

Die Durchführung von Pre-Employment-Screenings ist rechtlich möglich – aber an enge Grenzen gebunden.

Erlaubt ist, was im berechtigten Interesse des Unternehmens liegt, informiert, freiwillig und mit Einwilligung erfolgt, verhältnismäßig ist und sich im Rahmen der DSGVO und des BDSG (§ 26) bewegt. Das heißt: Die Tiefe der Prüfung muss sich nach der konkreten Stelle richten. Eine Bonitätsprüfung bei einem angehenden Buchhalter bzw. einer Buchhalterin? Möglich. Bei einer Reinigungskraft? Unverhältnismäßig.

Verboten ist jede Form der Ausforschung ohne rechtliche Grundlage. Dazu zählen:

• Abfragen ohne Einwilligung der betroffenen Person (z. B. Führungszeugnis)
• Auswerten privater Social-Media-Inhalte ohne Relevanz zur Tätigkeit
• Gesundheitsdaten ohne medizinische Relevanz oder rechtliche Grundlage
• Pauschale oder diskriminierende Prüfungen (z.B. Religion)

Rechtlich relevant sind insbesondere:

• Art. 5, 6 und 9 DSGVO (Zweckbindung, Datenminimierung, Schutz besonderer Kategorien personenbezogener Daten)
• § 26 BDSG (Zulässigkeit der Datenverarbeitung im Beschäftigungskontext)
• Für bestimmte Branchen: Spezialgesetze wie das Bankwesengesetz (§ 39 BWG) oder Vorgaben des Luftsicherheitsgesetzes

Fazit: Unternehmen müssen individuelle Risikoabwägungen treffen und Screenings mit Augenmaß und Transparenz durchführen. Eine Einwilligung ist in der Regel zwingend – sie muss freiwillig, informiert und widerrufbar sein.

Zwischen Prävention und Kontrolle: Was Unternehmen wissen sollten

Hintergrundüberprüfungen sind kein Allheilmittel – aber ein weiterer Baustein einer umfassenden Sicherheitsstrategie. Sie müssen eingebettet sein in ein ganzheitliches Kontrollsystem (IKS), das auch technische und organisatorische Maßnahmen berücksichtigt (z. B. “Least Privilege”-Prinzip, Separation of Duties).

Zudem müssen Unternehmen sich bewusst sein, dass nicht alle Risiken sichtbar sind: 83 % der internen Betrugsfälle in der Studie der ACFE wurden von Ersttäter:innen begangen. Ein Screening ist daher kein Freifahrtschein, sondern eine präventive Maßnahme – nicht mehr, aber auch nicht weniger.

Fazit: Der Mensch ist der Schlüssel – und das Risiko

Hintergrundüberprüfungen helfen Unternehmen dabei, fundierte Personalentscheidungen zu treffen und ihre Risiken gezielt zu managen. Für Betreiber kritischer Infrastrukturen oder ISO-zertifizierte Unternehmen ist das längst keine freiwillige Maßnahme mehr – sondern eine gesetzlich und normativ verankerte Pflicht.

Wer sich auf Lebensläufe und Bauchgefühl verlässt, geht ein unternehmerisches Risiko ein. Wer dagegen rechtlich sauber, transparent und verhältnismäßig prüft, schützt nicht nur das Unternehmen – sondern auch Mitarbeitende, Partner und Kund:innen.

Quellen:

• https://www.nis.gv.at/dam/jcr:bbe1c393-ba27-43b3-8d38-890610cfcc75/NIS_Factsheet_9_2022_1_0.pdf
• https://acfepublic.s3.us-west-2.amazonaws.com/2022+Report+to+the+Nations.pdf