Der Screening-Prozess in der ISO 27001

Vorbemerkung

Die folgenden Punkte stellen keine Rechtsberatung da. Es ist eine Thematische und Inhaltliche Einordnung der Anforderungen und der rechtlichen Grundlage. 

Vorgeben der ISO/IEC 27001:2022

Der Standard fordert, dass der Hintergrund der Mitarbeiter regelmäßig überprüft wird. Dabei sind die geltenden Gesetze, Verordnungen und die geschäftlichen Anforderungen einzuhalten. (ISO/IEC 27001 A.6.1) 

Thematische Einordnung des Screenings

Das Personal Screening in Deutschland unterliegt strengen gesetzlichen Vorgaben, die den Schutz der Persönlichkeitsrechte und Daten der Bewerber gewährleisten sollen. Hier ein Überblick über die wichtigsten rechtlichen Rahmenbedingungen.

Datenschutzrechtliche Grundlagen

Das Pre-Employment Screening wird primär durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) reguliert (§ 26 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Diese Gesetze legen fest, welche personenbezogenen Daten erhoben und verwendet werden dürfen. Grundsätzlich gilt:

  • Die Datenerhebung muss nach Treu und Glauben erfolgen
  • Nur für die Einstellungsentscheidung relevante Daten dürfen erhoben werden
  • Die Verhältnismäßigkeit muss gewahrt bleiben

Verpflichtung zur Prüfung gegen Sanktionslisten

Grundsätzlich sind alle in der EU ansässigen oder wirtschaftlich tätigen Unternehmen verpflichtet, ihre Geschäftspartner gegen Sanktionslisten zu prüfen. Dies schließt auch Mitarbeiter ein.

  • EU-Verordnungen und dem Außenwirtschaftsgesetz (§ 74 AWG)
  • EU Verordnungen: 2580/2001 (Anti-Terrorismus), Nr. 881/2002 (Al-Qaida) sowie Nr. 753/2011 (Taliban)

Durchführung der Prüfung

Bei der Durchführung der Sanktionslistenprüfung für Mitarbeiter gilt:

  • Die Prüfung sollte verhältnismäßig und auf das Notwendige beschränkt sein
  • Automatisierte Verfahren können eingesetzt werden, um den Prozess zu vereinfachen
  • Bei Neueinstellungen ist eine frühzeitige Prüfung in der Bewerbungsphase ratsam.

Zulässige Screening-Methoden

Arbeitgeber dürfen im Rahmen des Screenings folgende Quellen nutzen:

  • Vom Bewerber vorgelegte Bewerbungsunterlagen
  • Berufliche Netzwerke wie LinkedIn oder XING  
  • Rücksprache mit früheren Arbeitgebern (mit Einwilligung)
  • Vorstellungsgespräch

Einschränkungen und Verbote

Folgende Praktiken sind in der Regel nicht zulässig:

  • Recherchen in privaten sozialen Netzwerken wie Facebook oder Instagram
  • Überprüfung der finanziellen Situation (außer bei relevanten Positionen)
  • Fragen nach Vorstrafen (nur in begründeten Fällen erlaubt)
  • Erhebung von Gesundheitsdaten (nur bei Relevanz für die Tätigkeit)

Fragerecht des Arbeitgebers

Das Fragerecht des Arbeitgebers ist eingeschränkt:

  • Fragen müssen einen konkreten Bezug zur ausgeschriebenen Stelle haben
  • Nach dem vorherigen Gehalt darf erst gefragt werden, wenn der Bewerber es selbst anspricht
  • Fragen zu politischer oder religiöser Gesinnung sind nur bei entsprechenden Einrichtungen zulässig

Rechtliche Konsequenzen

Verstöße gegen die Datenschutzbestimmungen beim Screening können rechtliche Folgen haben:

  • Bußgelder nach der DSGVO
  • Schadensersatzansprüche von Bewerbern
  • Imageschäden für das Unternehmen

Um rechtssicher zu agieren, sollten Unternehmen ihre Screening-Prozesse sorgfältig an den gesetzlichen Vorgaben ausrichten und die Verhältnismäßigkeit sowie den Datenschutz stets beachten.

Sollte ein Mitarbeiter auf einer Sanktionsliste erscheinen:

  • Sofortige Unterbrechung von Zahlungen und Leistungen
  • Prüfung der rechtlichen Konsequenzen für das Arbeitsverhältnis
  • Meldung an zuständige Behörden, falls erforderlich

Unternehmen sollten bei der Implementierung von Sanktionslistenprüfungen für Mitarbeiter stets die Balance zwischen rechtlichen Verpflichtungen und dem Schutz der Persönlichkeitsrechte ihrer Angestellten wahren. Eine sorgfältige Dokumentation und regelmäßige Überprüfung der Prozesse sind unerlässlich, um rechtssicher zu agieren.

  • Die Prüfung sollte verhältnismäßig und auf das Notwendige beschränkt sein
  • Automatisierte Verfahren können eingesetzt werden, um den Prozess zu vereinfachen
  • Bei Neueinstellungen ist eine frühzeitige Prüfung in der Bewerbungsphase ratsam.

Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.

Informationssicherheit: → ISO 27001

Compliance.Management: → ISO 37301

Datenschutz: → DSGVO, ISO 27701

Business Continuity Management: → ISO 22301

Unser Partner  ↗ IT-Richtlinien.de bietet Vorlagen für Managementsysteme an.

Diese Vorlagen sind geeignet für die Zertifizierung. 

Vorheriger Beitrag Festlegung des Anwendungsbereiches ISO/IEC 27001
Nächster Beitrag Schritte zur erfolgreichen Zertifizierung