A.6 Personenbezogene Maßnahmen
Sicherheitsüberprüfung
Vor der Einstellung müssen Bewerber im Rahmen der gesetzlichen Möglichkeiten überprüft werden. Umfang und Tiefe der Prüfung richten sich nach der Sensibilität der Position und den verarbeiteten Informationen.
Was fordert dieses Control?
Vor der Einstellung müssen Bewerber im Rahmen der gesetzlichen Möglichkeiten überprüft werden. Umfang und Tiefe der Prüfung richten sich nach der Sensibilität der Position und den verarbeiteten Informationen.
Warum ist das wichtig?
Unzureichend geprüfte Mitarbeiter sind ein erhebliches Insider-Risiko. Eine dokumentierte Überprüfung schützt vor Fehlbesetzungen in sicherheitskritischen Rollen und ist bei Audits ein häufiger Nachweispunkt.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| NIS2 | Art. 21 (2) | Indirekt |
| TISAX | 1.3.1 | Direkt |
| BSI | ORP.2.A1 | Direkt |
Was der Auditor erwartet
- 1Dokumentierter Prozess zur Bewerberüberprüfung mit Rollenbezug
- 2Nachweis durchgeführter Prüfungen (z.B. Referenzen, Führungszeugnis bei sensiblen Rollen)
- 3Berücksichtigung der DSGVO bei Erhebung und Speicherung der Daten
Audit-Checkliste
Dokumente
Einstellungs- und Screening-Richtlinie
Welche Prüfungen je Rollenkategorie vorgesehen sind
Nachweise
Dokumentierte Prüfungen ausgewählter Neueinstellungen
Referenzprüfung, Identitätsnachweis, ggf. Führungszeugnis
Interviews
HR-Verantwortliche
Ablauf der Überprüfung und Eskalation bei Auffälligkeiten
Praxis-Tipps zur Umsetzung
Risikobasiert abstufen
Nicht jede Rolle braucht das gleiche Prüfniveau. Definieren Sie Stufen nach Datenzugriff und Kritikalität.
DSGVO sauber halten
Erhebung nur mit Rechtsgrundlage, klare Löschfristen für Bewerberunterlagen.
Dienstleister einbinden
Auch für externe Kräfte und Zeitarbeit eine vergleichbare Überprüfung vertraglich sicherstellen.
Häufige Fehler
Nur bei Festanstellung geprüft
Externe, Praktikanten und Dienstleister mit Datenzugriff werden oft übersehen.
Keine Dokumentation
Die Prüfung findet statt, wird aber nicht nachweisbar festgehalten.
Häufig gestellte Fragen
Ist ein polizeiliches Führungszeugnis Pflicht?
Nein, nicht generell. Es ist nur bei sensiblen Rollen verhältnismäßig und muss DSGVO-konform begründet werden.
Gilt das auch für bestehende Mitarbeiter?
Primär für Neueinstellungen. Bei Rollenwechsel in sensiblere Positionen ist eine erneute Prüfung empfehlenswert.
Wie lange dürfen Bewerberunterlagen gespeichert werden?
In der Regel bis zu sechs Monate nach Absage, sofern keine längere Aufbewahrung gerechtfertigt ist.
So hilft CompliantDesk bei A.6.1
Im Mitarbeiter-Modul dokumentieren Sie Onboarding-Schritte inklusive Screening-Nachweis und verknüpfen sie revisionssicher mit dem ISMS.