Auftraggeber und potenzielle Kunden stellen hohe Anforderungen an die IT- Sicherheit ihrer Daten bei den beauftragten Unternehmen. Zertifizierungen setzen Standards, kontrollieren die Durchführung und erzeugen somit Vertrauen in die IT- Infrastruktur.
Eine der geforderten Maßnahmen ist das Pre-Employment Screening für IT-Personal in kritischen Positionen. Was dies für zertifizierte Unternehmen bedeutet und wie sie den Anforderungen gerecht werden können, zeigt dieser Artikel.
1. Um welche Zertifizierungen bzw. Richtlinien geht es?
Betroffen sind Direktive für die Sicherheit von IT-Systemen wie:
- ISO 27001
- C5 (Cloud Computing)
- TISAX (Automobilindustrie)
- KRITIS (Unternehmen der kritischen Infrastruktur)
Als Teil des Risikomanagements schreiben Direktive die Überprüfung von Bewerbern auf risikosensitive Stellen vor. Das betrifft externe Kandidaten, schließt aber auch interne Jobwechsel auf sicherheitsrelevante Positionen ein (In-Employment Screening).
Geprüft wird nach dem risikobasierten Ansatz – der Prüfumfang richtet sich nach dem potenziellen Schaden, der auf einer bestimmten Position entstehen kann.
2. Die Prüfkriterien
Die Direktive geben auch Auskunft, was und wie geprüft werden muss. Beispielsweise listet die ISO 27001 Voraussetzungen und Anforderungen auf:
„Diese Überprüfung muss bezogen auf geschäftliche Anforderungen, die Einstufung der einzuholenden Information und auf mögliche Risiken angemessen sein (A.7.1.1). Um dies erreichen zu können, sollte unter anderem Folgendes vorliegen, sichergestellt bzw. geprüft sein:
- ein Verfahren zum Einholen von Informationen (wie und unter welchen Voraussetzungen)
- eine Auflistung von gesetzlichen und ethischen Kriterien, die zu beachten sind
- die Sicherheitsprüfung muss angemessen sein, bezogen auf Risiken und den Unternehmensbedarf
- die Plausibilität und Echtheit von Lebenslauf, Abschlüssen und sonstigen Dokumenten
- die Vertrauenswürdigkeit und Kompetenz des Bewerbers für die zugedachte Stelle“
(Quelle: ISO 27001:2020, Annex A.7)
Dabei kommen zwei Grundprinzipien des Pre-Employment Screenings zur Sprache:
Die Angemessenheit und die Art der Informationseinholung.
Angemessenheit
Der risikobasierte Ansatz besagt, dass nur Positionen mit betriebswirtschaftlichem Schadenspotenzial zu prüfen sind. Die Maßnahmen müssen also verhältnismäßig sein.
Informationseinholung
Die Prüfung von Bewerberdaten unterliegt den datenrechtlichen Anforderungen der DSGVO. Sie erlaubt das Verarbeiten von personenbezogenen Daten zum Zweck der Eignungsprüfung in Bewerbungsverfahren. Darüber muss der Kandidat unterrichtet werden und eine Auskunfts- und Einwilligungserklärung unterschreiben.
3. Inhalt der Prüfungen
Während die ISO 27001 den Prüfumfang etwas vage umschreibt, ist die C5-Richtlinie konkret:
„Soweit rechtlich zulässig, umfasst die Überprüfung folgende Bereiche:
• Verifikation der Person durch Personalausweis
• Verifikation des Lebenslaufs
• Verifikation von akademischen Titeln und Abschlüssen
• Führungszeugnis bzw. nationale Pendants
• Bewerten des Risikos der Erpressbarkeit
Die Überprüfung der Qualifikation und Vertrauenswürdigkeit kann durch einen spezialisierten Dienstleister unterstützt werden. Je nach nationaler Gesetzgebung sind auch nationale Pendants des deutschen Führungszeugnisses zulässig. […]
Die Bewertung, inwieweit ein potenzieller Mitarbeiter erpressbar ist, kann bspw. durch die Prüfung der Bonität erfolgen.“
(Quelle: Cloud Computing Compliance Criteria Catalogue – C5:2020, 5.3 Personal (HR), HR-01 Überprüfung der Qualifikation und Vertrauenswürdigkeit)
Daraus ergeben sich die Prüfbereiche Identität, fachliche Qualifikation und Vertrauenswürdigkeit. Diesen werden im nächsten Schritt passende Checks zugeordnet, um zu den angestrebten Resultaten zu gelangen.
4. Passende Checks und Prüfpakete
Die Zuordnung kann beispielsweise in zwei Beispiel-Prüflevel erfolgen. „Minimum“ für eine Basisprüfung (= niedriges Risiko) und „Erweitert“ für ein tiefergehendes Screening (= hohes Risiko).
Check | Minimum | Erweitert |
Höchster Bildungsabschluss | ✓ | ✓ |
Plausibilität Angaben Lebenslauf | ✓ | ✓ |
Adressverifizierung | ✓ | ✓ |
Sanktions- / Korruptionslisten | ✓ | ✓ |
Beschäftigungsverhältnisse | ✓ | |
Medienrecherche | ✓ | |
Credit Check | ✓ | |
Führungszeugnis (Criminal Record) | ✓ |
Alle Checkbeschreibungen finden Sie hier
5. Der Prüfbericht
Am Ende eines Screenings wird ein Prüfbericht mit den Resultaten der einzelnen Checks erstellt. Der Bericht dient als Unterstützung bei der Einstellungsentscheidung und erfüllt die Dokumentationspflicht für nachfolgende Audits.
Alle personenbezogenen Daten werden standardmäßig drei Monate nach Berichtserstellung komplett und unwiderruflich gelöscht.
6. Was erreichen Unternehmen mit Pre- / In- Employment Screening?
✓ Risikominimierung für Fehlbesetzungen
✓ Entscheidungshilfe bei der Einstellung
✓ Erfüllung der Zertifizierungskriterien
✓ Nachweispflicht für Audit
✓ Datenschutzkonforme, rechtssichere Überprüfungen
✓ Entlastung für die Personalabteilung
7. Fazit
Pre-Employment Screening beruht in Deutschland auf Freiwilligkeit – einzige Ausnahmen sind Unternehmen mit den aufgeführten Zertifizierungen. Die geforderten Background Checks sind Teil eines Maßnahmenkatalogs und dienen der Risikominimierung.
In den Anforderungen zum Pre-Employment Screening ähneln sich die Direktive. Als Blaupause dienen die ISO 27001 Norm und C5, die anderen Richtlinien bauen darauf auf. Daher sind die Prüfpakete aus Kapitel 4 auf alle Zertifizierungen + KRITIS anwendbar.
Eine Broschüre mit diesen Informationen können Sie gerne auch hier herunterladen.