Sicherheitsüberprüfung von Reinigungskräften

Die Kombination aus weitreichendem Zugang, geringer Überwachung und oftmals fehlender Überprüfung macht Reinigungskräfte und andere Servicedienstleister anfällig für verschiedene Sicherheitsrisiken. Im Folgenden werden zentrale Risikopotenziale erläutert, ergänzt durch Beispiele realer oder realistischer Vorfälle, die die Dringlichkeit von Sicherheitsüberprüfungen in diesem Bereich verdeutlichen.

1. Unbefugter Zugriff auf Informationen und Materialien: Reinigungskräfte können in Büros, Konferenzräume oder Archive gelangen, in denen vertrauliche Dokumente offen liegen oder elektronisch zugängliche Informationen nicht ausreichend geschützt sind. Ohne entsprechende Sicherheitsvorkehrungen besteht die Gefahr, dass sensible Daten ausgespäht oder entwendet werden. Ein Leitfaden Wirtschaftsschutz empfiehlt aus diesem Grund ausdrücklich, externe Besucher, Handwerker und Reinigungskräfte nicht unbeaufsichtigt in Chef-Büros, Sekretariaten oder Konferenzräumen arbeiten zu lassen. Dieser Rat basiert auf der Erfahrung, dass gerade in solchen Situationen – etwa spät abends im Vorstandsbüro – die Versuchung oder Gelegenheit groß ist, einen Blick in vertrauliche Unterlagen zu werfen oder Kopien zu fertigen. Bekannt sind Fälle, in denen Putzpersonal aus Papierkörben brisante Dokumente entnommen hat oder mit Smartphones Ablichtungen von Tischen und Whiteboards gemacht wurden. Derartige Wirtschaftsspionage kann von Konkurrenten oder fremden Nachrichtendiensten gezielt initiiert werden, indem sie versuchen, Reinigungspersonal anzuwerben oder einzuschleusen.

2. Sabotage und innere Gefährdung: Über Dienstleister besteht auch das Risiko gezielter Sabotageakte. Personen, die Zugang zu technischen Einrichtungen haben – z. B. in Rechenzentren, Produktionshallen oder sicherheitskritischen Anlagen – könnten absichtlich Schäden verursachen oder Störungen herbeiführen. Das Szenario eines „Innentäters“, der im Auftrag eines Dritten oder aus eigener Motivation heraus Infrastruktur sabotiert, wird von Sicherheitsbehörden inzwischen als reale Bedrohung eingestuft. Die gestiegene Zahl von Sabotageakten und Anschlagsversuchen hat dazu geführt, dass das BMI im Jahr 2024 betonte, man müsse künftig noch genauer hinschauen, wen man in sicherheitsrelevanten Bereichen mit wichtigen Aufgaben betraut, um Sabotage und Spionage von innen heraus zu verhindern. Hierunter fallen ausdrücklich nicht nur Beamte, sondern auch Mitarbeiter in Kritischen Infrastrukturen und deren Dienstleister. Ein Beispiel eines möglichen Sabotagerisikos wäre, wenn ein Wartungsmitarbeiter in einer Energieversorgungsanlage manipuliert: Ohne Zuverlässigkeitsprüfung könnten sich etwa Personen mit extremistischer Gesinnung einschleichen, die im Ernstfall Schaltanlagen sabotieren.

3. Diebstahl und Vermögensschäden: Ein eher klassisches, aber immer relevantes Risiko ist der Diebstahl von Firmeneigentum oder Wertgegenständen. Reinigungspersonal hat Zugang zu praktisch allen Räumen – inklusive Lager, Kantine, Büros – und könnte unbehelligt Gegenstände entwenden (IT-Geräte, Materialien, Bargeld aus Kassen etc.). Gerade weil Reinigungskräfte oft unsichtbar im Hintergrund agieren, bleibt ein Diebstahl unter Umständen lange unbemerkt oder wird fälschlich internen Mitarbeitern angelastet. Einfache Präventionsmaßnahmen wie Schließfächer für Wertsachen oder Videoüberwachung sind hier nur begrenzt einsetzbar, da letztlich immer Bereiche existieren, in denen Putzpersonal unbeobachtet arbeiten muss (z. B. Sanitärbereiche). Ein Vorfall in diesem Kontext war etwa der Diebstahl sensibler elektronischer Speichermedien in einer Behörde, bei dem sich später herausstellte, dass ein externer Reinigungsarbeiter die Geräte mitgenommen hatte. Die Aufklärung solcher Delikte ist schwierig, wenn Personal nicht registriert oder überprüft ist, da ein großes Kreis potenziell Verdächtiger entsteht.

4. Einschleusung und Spionageoperationen: Besonders nachrichtendienstliche Angriffe nutzen häufig den Weg der „weichen Ziele“, zu denen auch Dienstleister zählen, um an geschützte Informationen zu gelangen. Ein aktuelles Beispiel, das in den Medien Beachtung fand, betrifft den Deutschen Bundestag: Dort wurde publik, dass im Reinigungsdienst Personen beschäftigt waren, die aus Ländern mit erhöhtem Spionagerisiko stammen (z. B. Russland oder Belarus). Selbstverständlich darf niemand pauschal aufgrund seiner Herkunft verdächtigt werden; dennoch betont der Bericht die Notwendigkeit, wachsam zu sein und nicht naiv zu glauben, dass solche Zusammenhänge irrelevant seien. Tatsächlich kam es 2021 im Bundestag zu einem entlarvten Spionagefall: Ein externer Dienstleister, der als Techniker für Elektrogeräte eingesetzt war, wurde vom Generalbundesanwalt wegen geheimdienstlicher Agententätigkeit angeklagt und später zu zwei Jahren Haft verurteilt. Der Mann hatte Lagepläne des Parlaments an einen russischen Nachrichtendienst weitergeleitet, wobei seine Stellung als unauffälliger Externer es ihm erleichterte, solche sensiblen Informationen zu beschaffen. Dieses Beispiel illustriert eindrücklich, wie Servicemitarbeiter im scheinbar nebensächlichen Auftrag (hier: Geräteprüfung) ausgeforscht werden können oder selbst zur Quelle von Insiderinformationen werden.

5. Social Engineering und Anbahnungsversuche: Eng verwandt mit Spionage sind Social-Engineering-Angriffe, bei denen menschliches Vertrauen ausgenutzt wird. Reinigungskräfte könnten unwissentlich zu Komplizen gemacht werden – etwa indem Täter sich als Kollegen ausgeben und um Zutritt bitten („Ich habe meinen Ausweis vergessen, lassen Sie mich kurz mit rein“), oder indem sie Putzpersonal mit kleinen Gefälligkeiten bestechen, Türen offen zu lassen oder USB-Sticks an Computern anzuschließen. Sicherheitsbehörden weisen darauf hin, dass eine „Erpressbarkeit bei möglichen Anbahnungs- oder Werbungsversuchen durch ausländische Nachrichtendienste“ ein konkretes Risiko darstellt. Mitarbeiter mit geringem sozialem Status oder in finanziellen Schwierigkeiten (was bei niedrig bezahlten Servicejobs nicht selten ist) könnten gezielt angesprochen werden. Ohne vorherige Sensibilisierung und ohne Bewusstsein für Sicherheitsregeln steigt die Gefahr, dass solche Versuche erfolgreich sind. Beispielsweise könnte ein externer Gärtner gegen Zahlung bereit sein, Fremde ins Gebäude einzuschleusen, wenn er keinen Sinn in strikten Zutrittsregeln sieht. Hier zeigt sich, dass das Risikopotenzial auch psychologischer Natur ist: Die fehlende Einbindung in die Unternehmenskultur und mangelnde Schulung zum Thema Sicherheit können externe Dienstleister anfällig für ungewollte Kooperation mit Angreifern machen.

Diese Risikopotenziale werden durch konkrete Vorfälle und Beobachtungen aus der Praxis untermauert. So ergab eine Recherche in den Gebäuden des Bundestags, dass die Zugangskontrollen für Reinigungskräfte teilweise leicht zu umgehen waren: Eine Reinigungskraft passierte die Sicherheitsschleuse mit ihrem eigenen Ausweis, schob aber ihren Putzwagen (der voluminös und potenziell mit Gegenständen beladen sein kann) seitlich an der Schleuse vorbei, ohne dass dessen Inhalt gescannt wurde. In einem anderen Fall betrat eine Person das Gebäude mit der Zutrittskarte eines Verwandten, was mangels Fotoüberprüfung am Eingang unbemerkt blieb. Intern wurde dies sogar von einem Mitarbeiter der Reinigungsfirma kritisiert mit den Worten: „Die Überprüfung ist miserabel. Das geht so lange gut, bis etwas passiert.“. Drinnen, so der Bericht, putzen manche Kräfte unbeaufsichtigt, selbst in hochsensiblen Bereichen wie dem Verteidigungsausschuss, wo mit militärischen Geheimnissen umgegangen wird – ein offensichtliches Einfallstor für fremde Mächte. Diese Schilderungen belegen, dass die theoretisch beschriebenen Risiken keineswegs konstruiert sind, sondern real bestehen und teils bereits zu beinahe-Vorfällen geführt haben.

Die Risikopotenziale sind vielfältig: Spionage, Sabotage, Diebstahl, Social Engineering – all dies kann über scheinbar harmlose Dienstleister in die Organisation getragen werden. Die Beispiele aus dem Bundestag und anderen Bereichen verdeutlichen, dass es sich um keine abstrakten Gefahren handelt. Unternehmen müssen daher prüfen, welche Vorkehrungen – insbesondere welche Sicherheitsüberprüfungen – geboten sind, um diesen Risiken zu begegnen. Im nächsten Schritt wird hierzu der rechtliche Rahmen in Deutschland analysiert, der festlegt, was in puncto Überprüfung möglich, erlaubt oder vielleicht sogar vorgeschrieben ist.

In Deutschland bewegen sich Arbeitgeber bei der Überprüfung von Mitarbeitern – seien es eigene Beschäftigte oder externe Dienstleister – in einem dicht regulierten Umfeld. Mehrere Rechtsgebiete überschneiden sich hier: Sicherheitsgesetze, die Überprüfungen verlangen oder regeln, Datenschutzgesetze, die den Umgang mit personenbezogenen Daten begrenzen, das Arbeitsrecht inklusive Arbeitsschutz, sowie branchenspezifische Vorgaben (etwa in Kritischen Infrastrukturen). Im Folgenden wird dieser rechtliche Rahmen systematisch aufbereitet.

Sicherheitsüberprüfungsgesetz (SÜG) und verwandte Vorschriften: Das zentrale Gesetz, das in Deutschland Sicherheitsüberprüfungen regelt, ist das Sicherheitsüberprüfungsgesetz (SÜG) des Bundes. Es ist primär auf den öffentlichen Sektor zugeschnitten und findet Anwendung, wenn Personen mit einer sogenannten sicherheitsempfindlichen Tätigkeit betraut werden sollen. Man unterscheidet dabei zwei Hauptfälle: zum einen den personellen Geheimschutz, d.h. den Zugang zu Verschlusssachen (VS) bestimmter Einstufungen; zum anderen den vorbeugenden personellen Sabotageschutz, d.h. die Beschäftigung an einer sicherheitsempfindlichen Stelle innerhalb einer lebens- oder verteidigungswichtigen Einrichtung. Mit anderen Worten greift das SÜG immer dann, wenn entweder Geheimhaltungsbedürfnisse des Staates berührt sind oder wenn eine Einrichtung als so kritisch eingestuft ist, dass Sabotageakte dort massiv die öffentliche Sicherheit gefährden könnten.

Das SÜG sieht drei Stufen der Überprüfung vor: die einfache Sicherheitsüberprüfung (Ü1), die erweiterte Sicherheitsüberprüfung (Ü2) und die erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen (Ü3). Diese Stufen unterscheiden sich im Prüfungsumfang. Bei Ü1 werden beispielsweise Identität, grundlegende Personalien und Registerabfragen (z. B. Bundeszentralregister = Strafregister) durchgeführt. Bei Ü2 werden zusätzlich das nähere persönliche Umfeld (z.B. Ehepartner) einbezogen und Auskünfte des Verfassungsschutzes angefordert. Ü3 umfasst schließlich alle Maßnahmen der Ü1 und Ü2 und ergänzt sie um Sicherheitsermittlungen im Lebensumfeld, z. B. Befragungen von Referenzpersonen oder Nachbarn. Ziel ist es jeweils, mögliche Sicherheitsrisiken der zu überprüfenden Person aufzudecken – etwa Zweifel an ihrer Zuverlässigkeit wegen Straftaten oder extremistischer Aktivitäten. Die Durchführung einer SÜG setzt das Einverständnis der betroffenen Person voraus (mit Unterzeichnung einer ausführlichen Sicherheitserklärung); ohne Zustimmung kann die Überprüfung nicht erfolgen, was allerdings bedeutet, dass der Person dann auch keine sicherheitsempfindliche Tätigkeit übertragen werden darf. Das Ergebnis der Überprüfung wird von der prüfenden Behörde (i.d.R. dem Verfassungsschutz) in einem Sicherheitsvotum zusammengefasst – positiv (keine Bedenken), vorbehaltlich (nur mit Auflagen) oder negativ (Sicherheitsrisiko festgestellt). Bei negativem Votum darf die Person nicht in der betreffenden Position eingesetzt werden.

Für Unternehmen in der Privatwirtschaft ist das SÜG zunächst nicht bindend – außer sie arbeiten im Auftrag der öffentlichen Hand an sicherheitsempfindlichen Projekten. Tatsächlich sieht § 3 Abs. 1 SÜG ausdrücklich auch nicht-öffentliche Stellen als „zuständige Stelle“ vor, wenn sie jemanden mit einer sicherheitsempfindlichen Tätigkeit betrauen wollen. In solchen Fällen ist das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) die zuständige oberste Behörde, die den Verfassungsschutz mit der Überprüfung beauftragt. In der Praxis kommt dies etwa vor, wenn Wirtschaftsunternehmen Zugang zu staatlichen Verschlusssachen erhalten sollen – zum Beispiel Rüstungsunternehmen, Forschungseinrichtungen mit Rüstungsprojekten oder auch Gebäudereinigungsunternehmen, die in militärischen Liegenschaften tätig werden. Hier greifen meist vertragliche Vorgaben: Eine Behörde schreibt in die Ausschreibung, dass das eingesetzte Personal eine Sicherheitsüberprüfung nach SÜG (z. B. Ü1 oder Ü2) benötigt. So wurde etwa vor der Vergabekammer des Bundes im Dezember 2022 der Fall diskutiert, ob die Anforderung einer Ü1-Überprüfung für Gebäudereinigungspersonal in einem Regierungsgebäude rechtens ist – was bejaht wurde, da der Auftraggeber entsprechende Sicherheitsinteressen hatte (VK Bund, Beschluss vom 22.12.2022, VK 2-100/22). Ebenso gab es Fälle, in denen eine SÜ 2 (erweiterte Überprüfung) für Fensterputzer verlangt wurde, wenn diese beispielsweise in Bereichen mit geheimzuhaltenden Informationen tätig werden sollten. Zwar schränken solche Anforderungen den Bieterkreis ein (nicht jeder Dienstleister hat bereits überprüftes Personal), doch werden sie vom Vergaberecht zugelassen, sofern sie sachlich gerechtfertigt sind – nämlich durch Sicherheitsbelange.

Auf Länderebene existieren eigene Landes-Sicherheitsüberprüfungsgesetze (SÜG der Länder), die im Wesentlichen analog zum Bundes-SÜG funktionieren, aber für Landesbehörden und bestimmte Einrichtungen gelten. Ein Beispiel bietet Nordrhein-Westfalen: Das SÜG NRW schreibt im Rahmen des vorbeugenden personellen Sabotageschutzes vor, dass Beschäftigte von Unternehmen, die in sicherheitsempfindlichen Einrichtungen tätig sind, einer Überprüfung unterzogen werden müssen. Dazu zählen etwa Unternehmen, die in einem zum Sicherheitsbereich erklärten Teil einer Behörde arbeiten oder in lebens- oder verteidigungswichtigen Einrichtungen (im Sinne der KRITIS-Definition, siehe unten) Aufträge ausführen. Die Praxis zeigt, dass diese Überprüfungspflichten insbesondere dann relevant werden, wenn externe Dienstleister in Kernbereiche von staatlichen oder kritischen Einrichtungen vordringen. Allerdings erlauben die Gesetze auch Ausnahmen: Beispielsweise kann bei nur kurzzeitigen Einsätzen, die unter ständiger Begleitung einer bereits überprüften Person stattfinden, von einer eigenen Überprüfung abgesehen werden – gedacht ist hier etwa an einmalige Reparatur- oder Reinigungsarbeiten mit wechselndem Personal, bei denen es unverhältnismäßig wäre, jedes Mal ein volles SÜG-Verfahren zu durchlaufen.

Datenschutzrecht (DSGVO, BDSG) und Persönlichkeitsrechte: Während das SÜG einen Rahmen für behördliche Überprüfungen vorgibt, setzen die Datenschutz-Grundverordnung (DSGVO) und das nationale Bundesdatenschutzgesetz (BDSG) Grenzen dafür, welche Nachforschungen ein Arbeitgeber oder Auftraggeber überhaupt anstellen darf. Grundsätzlich sind Background-Checks in Deutschland zwar nicht verboten, aber sie unterliegen strengen Vorgaben zum Schutz der Persönlichkeit und Privatsphäre der Betroffenen. Gemäß § 26 BDSG (der die DSGVO für Beschäftigtendaten konkretisiert) dürfen personenbezogene Daten von Bewerbern oder Beschäftigten nur verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Arbeitsverhältnisses oder für dessen Durchführung erforderlich ist. Notwendigkeit und Verhältnismäßigkeit sind hier die Schlüsselbegriffe. Das bedeutet konkret: Eine pauschale, grenzenlose Durchleuchtung der Vita oder Persönlichkeit eines Mitarbeiters ist unzulässig. Vielmehr müssen sich Arbeitgeber auf solche Informationen beschränken, die einen sachlichen Bezug zur angestrebten Tätigkeit haben und ein berechtigtes Interesse darstellen.

Erlaubt ist etwa die Recherche nach öffentlich zugänglichen Daten: Informationen, die ein Bewerber selbst öffentlich gemacht hat (z. B. in beruflichen Netzwerken oder auf einer Homepage) oder die über einfache Internet-Suchen auffindbar sind, dürfen im Rahmen eines Background-Checks berücksichtigt werden. § 28 Abs. 1 S.1 Nr. 3 BDSG n.F. (bzw. nach DSGVO Art. 6 Abs. 1 lit. f in Verbindung mit Erwägungsgrund 48) gestattet die Erhebung allgemein zugänglicher Daten für berechtigte Interessen des Arbeitgebers. Heikel wird es jedoch bei nicht-öffentlichen Informationen: Das verdeckte Einholen von Auskünften aus sozialen Netzwerken, die nur einem bestimmten Personenkreis zugänglich sind, oder gar der Einsatz von Detektiven zur Beschattung eines Mitarbeiters, ist ohne Weiteres unzulässig. Solche Maßnahmen würden tief in das Persönlichkeitsrecht eingreifen und sind nur denkbar, wenn sehr konkrete Verdachtsmomente einer schweren Pflichtverletzung vorliegen – in diesem Fall kämen strafrechtliche Ermittlungen in Betracht, aber nicht bloß präventive Checks. Ebenso schützt das Allgemeine Gleichbehandlungsgesetz (AGG) Bewerber davor, aufgrund von Hintergrundrecherchen diskriminiert zu werden: Ein Arbeitgeber darf z.B. einen Kandidaten nicht deshalb ablehnen, weil er anhand sozialer Medien dessen Ethnie oder Religionszugehörigkeit erkannt hat – solche Kriterien sind für die Eignung irrelevant und die Verwertung entsprechender Informationen verstößt gegen das AGG.

Spezifisch auf Vorstrafen bezogen gilt: Grundsätzlich gehen etwaige Vorstrafen den Arbeitgeber nichts an, es sei denn, sie haben einen Bezug zum Arbeitsplatz. Daher ist das Verlangen eines polizeilichen Führungszeugnisses nur erlaubt, wenn die Tätigkeit eine besondere Vertrauensstellung beinhaltet oder gesetzlich eine Überprüfung auf einschlägige Vorstrafen vorgesehen ist. Beispiele: Ein angehender Kassierer darf nach Diebstahldelikten gefragt werden; ein Bewerber für den Sicherheitsdienst muss angeben, ob er vorbestraft ist; in bestimmten Bereichen mit Schutzbefohlenen (Schulen, Kita) ist sogar ein erweitertes Führungszeugnis Pflicht. Für eine klassische Reinigungskraft in einem gewöhnlichen Bürogebäude hingegen wäre das präventive Einholen eines Führungszeugnisses pauschal schwer zu rechtfertigen – hier müssten schon spezifische Risiken (z. B. häufige Diebstähle in der Vergangenheit) einen berechtigten Anlass bieten. Andernfalls würde man gegen den Grundsatz der Datenminimierung verstoßen, zumal ein Führungszeugnis auch viele irrelevante oder erledigte Einträge enthalten kann. Die Datenschutzaufsichtsbehörden vertreten die Auffassung, dass eine vorsorgliche flächendeckende Überprüfung aller Mitarbeiter durch Führungszeugnisse unzulässig ist, sofern keine gesetzliche Grundlage oder kein zwingendes Bedürfnis dafür besteht.

Es stehen dem Sicherheitsinteresse des Arbeitgebers also rechtliche Schranken gegenüber: Überprüfungen müssen gezielt, erforderlich und datenschutzkonform sein. Eine mögliche gesetzliche Grundlage, die solche Prüfungen explizit fordert oder zulässt, erleichtert die Rechtfertigung erheblich. Fehlt sie, ist eine enge Abstimmung mit den Datenschutzregelungen notwendig. In einem späteren Abschnitt (Datenschutz und Persönlichkeitsrechte) wird noch ausführlicher darauf eingegangen, wie diese Balance konkret zu gestalten ist.

Arbeitsschutz und Sicherheit im Betrieb: Das Arbeitsschutzgesetz (ArbSchG) und verwandte Vorschriften zielen primär auf den Schutz der Gesundheit und Sicherheit der Beschäftigten vor physischen und psychischen Gefahren am Arbeitsplatz. Man könnte meinen, dieser Bereich sei weit entfernt von Sicherheitsüberprüfungen. Allerdings bestehen indirekte Bezüge. Der Arbeitgeber ist verpflichtet, eine Gefährdungsbeurteilung für alle Tätigkeiten vorzunehmen (§ 5 ArbSchG) und entsprechende Maßnahmen zu ergreifen, um Gefahren zu minimieren. Man kann argumentieren, dass hierzu auch die Berücksichtigung von Gefahren gehört, die durch ungeeignete oder illoyale Personen entstehen – beispielsweise die Gefahr eines Innentäters, der Kolleginnen und Kollegen gefährden könnte (etwa durch Sabotage eines sicherheitsrelevanten Systems mit möglicher Unfallfolge). Wenn etwa in einem Chemiebetrieb Reinigungskräfte Chemikaliengebinde transportieren oder entsorgen, dann betrifft das ArbSchG zunächst die Unterweisung und Schutzausrüstung dieser Kräfte. Aber wenn man den Fall einer absichtlich herbeigeführten chemischen Reaktion denkt (Sabotage), so würde ein solcher Vorfall die Sicherheit aller im Betrieb gefährden. Insofern kann man das Arbeitsschutzdenken erweitern: Ein sicherheitsbewusstes Unternehmen achtet auch auf die Zuverlässigkeit der Personen, die an sicherheitskritischen Prozessen beteiligt sind. Es existiert jedoch keine direkte rechtliche Verpflichtung, im Rahmen des Arbeitsschutzes allgemeine Zuverlässigkeitsüberprüfungen durchzuführen. Vielmehr sind dies Erwägungen, die in das freiwillige Sicherheitsmanagement eines Betriebs einfließen könnten. Dort wo konkrete Anhaltspunkte bestehen (z. B. Vorfälle von Sabotage oder Drohungen), greift eher das Arbeitsrecht und ggf. Strafrecht (Bedrohung, Sachbeschädigung) als der klassische Arbeitsschutz. Nichtsdestotrotz seien hier Überschneidungen erwähnt: So steht dem Betriebsrat nach § 87 Abs. 1 Nr. 7 BetrVG ein Mitbestimmungsrecht bei betrieblichen Regelungen zur Verhütung von Arbeitsunfällen und Gesundheitsschäden zu – worunter man auch organisatorische Sicherheitsmaßnahmen fassen kann. Insofern wäre eine Betriebsvereinbarung, die Hintergrundüberprüfungen zum Zwecke der Anlagensicherheit regelt, wohl mitbestimmungspflichtig (dazu mehr bei den praktischen Herausforderungen).

BSI-Gesetz und KRITIS-Regelungen: Für Betreiber Kritischer Infrastrukturen (KRITIS) – dazu zählen Sektoren wie Energie, Wasser, Ernährung, Informationstechnik, Gesundheit, Finanzwesen, Transport etc., sofern sie gewisse Größenkriterien überschreiten – gelten seit einigen Jahren besondere IT-Sicherheitsanforderungen. Das BSI-Gesetz (BSIG) verpflichtet diese Betreiber, ein angemessenes Sicherheitsniveau ihrer IT-Systeme aufrechtzuerhalten (§ 8a BSIG) und schwere IT-Vorfälle zu melden. Während das Gesetz selbst keine detaillierten Personalvorschriften enthält, gibt es doch konkrete Ausführungsanweisungen und anstehende Neuerungen, die in Richtung Personalsicherheit gehen. So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anforderungskatalog veröffentlicht, der die Kriterien des § 8a BSIG konkretisiert. Darin wird auch der Bereich personelle Sicherheit adressiert. Für KRITIS-Betreiber sollten demnach ab Einstellung bestimmte Sicherheitsanforderungen umgesetzt werden, etwa: definierte HR-Prozesse, die Sicherheitsüberprüfungen ermöglichen, die Verpflichtung auf Informationssicherheit im Arbeitsvertrag, Schulungen und Sensibilisierung des Personals. Insbesondere wird empfohlen, weitergehende Überprüfungen vor der Einstellung von Personal in bestimmten Sicherheits- oder Betriebsbereichen durchzuführen. Das impliziert, dass ein KRITIS-Unternehmen zum Beispiel bei der Einstellung eines Administrators für ein zentrales IT-System oder eben bei der Beauftragung eines sensiblen Dienstleisters (etwa eines Security-Unternehmens oder technischen Servicepersonals im Rechenzentrum) eine erweiterte Zuverlässigkeitsüberprüfung vornimmt.

Auf europäischer Ebene treibt die neue NIS2-Richtlinie (Network and Information Security Directive, 2022) solche Anforderungen voran. Deutschland plant, diese durch ein sogenanntes KRITIS-Dachgesetz und Anpassungen im BSIG umzusetzen. Es ist absehbar, dass darin Vertrauenswürdigkeitsprüfungen für Personal explizit geregelt werden. In der Tat hat – wie erwähnt – das BMI im Juni 2024 einen Referentenentwurf zur Änderung des SÜG vorgelegt, um neben staatlichen Stellen auch private KRITIS-Unternehmen besser vor Innentätern zu schützen. Vorgesehen ist u.a., dass Mitarbeiter in sicherheitsrelevanten Bereichen (z.B. IT- und Kommunikationstechnik kritischer Dienste) einer angepassten SÜG-Überprüfung unterzogen werden können, wobei sogar Social-Media-Screenings einbezogen werden dürften. Damit reagiert der Gesetzgeber ausdrücklich auf die erhöhte Bedrohungslage durch Insider-Sabotage. Bis diese Neuregelungen in Kraft treten, ist es jedoch noch Aufgabe der Unternehmen, eigenständig für passende Überprüfungsmaßnahmen zu sorgen, orientiert an dem bereits bestehenden Instrumentarium.

• Im Luftverkehr schreibt § 7 des Luftsicherheitsgesetzes (LuftSiG) eine behördliche Zuverlässigkeitsüberprüfung (ZÜP) für alle Personen vor, die unbegleiteten Zugang zu den Sicherheitsbereichen eines Flughafens haben oder sicherheitsrelevante Tätigkeiten ausüben. Dazu zählen neben Piloten, Bodenpersonal und Sicherheitsdiensten auch Reinigungskräfte, Catering-Personal oder Wartungsteams, die innerhalb der sensiblen Zonen eines Flughafens tätig werden. Die ZÜP wird von den Landesluftsicherheitsbehörden durchgeführt und umfasst Abfragen beim Verfassungsschutz, im Strafregister und in polizeilichen Datenbanken. Sie ist in regelmäßigen Abständen (idR alle 5 Jahre) zu erneuern. Ohne gültige ZÜP darf eine Person nicht in den betreffenden Bereichen eingesetzt werden. Diese Regelung ist einerseits branchenspezifisch motiviert (Luftterrorismus-Prävention), zeigt aber andererseits, dass der Gesetzgeber durchaus bereit ist, für private Arbeitgeber (hier: Airlines, Flughafenbetreiber und deren Dienstleister) verbindliche Überprüfungen vorzuschreiben, wenn das Schutzgut (hier: Sicherheit des Luftverkehrs) es erfordert.

• Im Kernenergiebereich existieren seit langem Vorgaben zur Überprüfung von Personal in kerntechnischen Anlagen. Bereits 1987 erließ das Bundesumweltministerium Richtlinien, wonach bestimmte Mitarbeiter von Kernkraftwerken vor Einstellung und anschließend im Fünf-Jahres-Rhythmus von der Atomaufsichtsbehörde sicherheitsüberprüft werden müssen. Die Überprüfung ähnelt einer SÜG (schriftliche Einwilligung des Betroffenen, Abfrage diverser Sicherheitsbehörden, Bewertung der Zuverlässigkeit). Bei sicherheitsrelevanten Bedenken darf die Person nicht beschäftigt oder weiterbeschäftigt werden. Dieses Vorgehen, später in Verordnungen gegossen (AtZÜV – Atomrechtliche Zuverlässigkeitsüberprüfungs-Verordnung), unterlag anfangs der Mitbestreit von Betriebsräten. Doch das Bundesarbeitsgericht bestätigte, dass ein Betriebsrat nicht verlangen kann, solche behördlich geforderten Sicherheitsüberprüfungen zu unterlassen oder aufzuschieben – mit anderen Worten: Wo eine gesetzliche Auflage besteht, hat sie Vorrang vor etwaigen Mitbestimmungsrechten. Dies zeigt den hohen Stellenwert der öffentlichen Sicherheitsinteressen.

Auch andere Bereiche kennen Zuverlässigkeitschecks – etwa die Bewachungsbranche (§ 34a GewO und Bewachungsverordnung verlangen die Überprüfung von Wachpersonal) oder der Transport sensibler Güter (hier sind oftmals behördliche Erlaubnisse an Zuverlässigkeit geknüpft, z.B. Sprengstoffgesetz für Transporteure von explosionsgefährlichen Stoffen).

• Jede Maßnahme zur Sicherheitsüberprüfung von Personal berührt zwangsläufig die Persönlichkeitsrechte der Betroffenen, insbesondere ihr Recht auf informationelle Selbstbestimmung. In Deutschland besitzt dieser Aspekt durch die DSGVO und das BDSG sowie durch die Rechtsprechung der Arbeitsgerichte ein großes Gewicht. Unternehmen müssen daher sorgfältig abwägen, welche Überprüfungen zulässig und zumutbar sind. In diesem Kapitel werden die wesentlichen Grundsätze dargestellt und auf den speziellen Fall der Überprüfung von Reinigungskräften und Servicepersonal angewandt.

• Datenvermeidung und Erforderlichkeitsprinzip: Zentrales Leitmotiv des Datenschutzes ist, dass nur diejenigen personenbezogenen Daten erhoben und verarbeitet werden dürfen, die für den festgelegten Zweck erforderlich sind (Art. 5 Abs. 1 lit. c DSGVO, „Datenminimierung“). Für Arbeitgeber bedeutet dies: Wollen sie einen Hintergrund-Check durchführen, muss klar definiert sein, zu welchem Zweck und in welchem Umfang dies geschieht. Ein pauschaler „Rundum-Check“ ohne konkreten Anlass oder ohne Bezug zur Tätigkeit wäre unzulässig. Stattdessen ist der Grundsatz der Verhältnismäßigkeit zu beachten. Im Fall von Reinigungskräften könnte ein berechtigtes Interesse des Unternehmens z.B. darin liegen, Eigentumsdelikte zu verhindern (Diebstahlschutz) oder Spionageakte zu erschweren. Hieraus ließe sich rechtfertigen, bestimmte Informationen einzuholen – etwa ob eine Person schon einmal wegen Diebstahls verurteilt wurde. Nicht rechtfertigen lässt sich hingegen, allgemeine Finanzdaten (Schufa-Auskünfte) oder Gesundheitsdaten von Reinigungspersonal einzusehen, da dies für die genannten Zwecke irrelevant wäre und die Intimsphäre betreffen würde.

• Transparenz und Einwilligung: Die DSGVO fordert, dass jede Datenverarbeitung transparent erfolgen muss (Art. 5 Abs. 1 lit. a DSGVO). Mitarbeiter oder Bewerber müssen also informiert werden, wenn und welche Hintergrundrecherchen stattfinden. Heimliche Überprüfungen sind nicht nur aus Transparenzgründen problematisch, sondern auch aus arbeitsrechtlicher Sicht: Das Bundesarbeitsgericht hat wiederholt entschieden, dass der Eingriff in Persönlichkeitsrechte nur bei vorheriger Information und, wenn erforderlich, Einwilligung des Betroffenen zulässig ist. Eine im Verborgenen durchgeführte Observation oder Nachforschung verletzt in der Regel das allgemeine Persönlichkeitsrecht. Dementsprechend sind heimliche Anrufe bei früheren Arbeitgebern oder der verdeckte Einsatz von Detektiven ohne Wissen des Betroffenen illegal. Wenn ein Arbeitgeber solche Schritte für unumgänglich hält (z. B. bei dringendem Tatverdacht einer konkreten Straftat), muss er sehr hohe Hürden erfüllen und in aller Regel die Einwilligung oder eine gesetzliche Befugnis haben.

• Identitäts- und Dokumentenprüfung: Selbstverständlich darf der Arbeitgeber die Identität feststellen (etwa durch Ausweiskopie bei Beschäftigungsbeginn) und Zeugnisse oder Nachweise prüfen. Bei Fremdfirmen-Personal sollte der Auftraggeber zumindest sicherstellen, dass die Dienstleister legitim gemeldet sind. Scheinidentitäten oder nicht angemeldete Kräfte wären nicht nur sicherheits-, sondern auch haftungsrelevant.

• Abfrage eines Führungszeugnisses, aber nur falls erforderlich: Wie bereits erwähnt, ist die pauschale Einholung eines polizeilichen Führungszeugnisses nur statthaft, wenn die Tätigkeit ein hohes Vertrauensniveau erfordert. Bei Reinigungskräften könnte man argumentieren, dass Zugang zu vielen Büroräumen ein solches Vertrauen nötig macht – allerdings haben Gerichte hier enge Maßstäbe angelegt. In einer bekannten Entscheidung wurde etwa diskutiert, ob eine Reinigungskraft in einer Flüchtlingsunterkunft ein Führungszeugnis vorlegen muss; das BAG ließ dies zu, da der Betreiber (Arbeitgeber) nach Vorgaben seines Kunden – des Landes – verpflichtet war, nur überprüfte Personen einzusetzen. Dieses Beispiel zeigt: wenn Auftraggeberforderungen bestehen (z.B. öffentliche Hand verlangt im Vertrag ein sauberes Führungszeugnis für Reinigungspersonal), ist die Datenverarbeitung durch ein berechtigtes Interesse gedeckt. Ohne solche äußeren Pflichten sollte ein Unternehmen sorgsam überlegen, ob es für das Sicherheitsziel nicht mildere Mittel gibt (z.B. Zugangsbeschränkungen, Vier-Augen-Prinzip bei sensibler Reinigung). Ein normales Führungszeugnis enthält übrigens sämtliche Verurteilungen ab einer gewissen Schwelle, auch weit zurückliegende. Hier gilt das Prinzip der Zweckbindung: Ergeben beispielsweise kleinere Verkehrsdelikte keinen Bezug zur angestrebten Tätigkeit, dürfen sie eigentlich nicht zum Nachteil des Bewerbers verwendet werden.

• Recherche öffentlich zugänglicher Informationen: Arbeitgeber dürfen ihre künftigen Mitarbeiter googeln. Das schließt ein, Social-Media-Profile einzusehen, soweit diese öffentlich sind. Ein Beitrag in einem öffentlichen Forum oder ein Zeitungsartikel über die Person darf durchaus in die Entscheidungsfindung einfließen. Arbeitgeber bewegen sich im rechtlich erlaubten Rahmen, solange sie nur frei zugängliche Quellen nutzen. Diese Praxis ist gängig, birgt jedoch die Gefahr von Fehlinterpretationen – zudem muss man vorsichtig sein, gewonnene Informationen nicht diskriminierend zu verwenden (s.o. AGG).

• Einholen von Referenzen (mit Zustimmung): Insbesondere bei Führungskräften üblich ist das Nachfragen bei früheren Arbeitgebern oder Referenzpersonen, die der Bewerber selbst angegeben hat. Hier liegt keine Heimlichkeit vor, da der Betroffene solche Referenzen bewusst angibt. Allerdings dürfen die Fragen auch hier nur das berufsrelevante Verhalten betreffen. Für Reinigungskräfte wird dieser Weg selten beschritten, außer vielleicht bei leitendem Reinigungspersonal oder in sicherheitskritischen Umgebungen (z.B. Reinraumreiniger in der Pharmaindustrie, wo absolute Vertrauenswürdigkeit essenziell ist).

• Verpflichtung auf Vertraulichkeit und Datengeheimnis: Ein wesentlicher, zulässiger Schritt ist, dass jeder Mitarbeiter – ob intern oder extern – vertraglich auf die Wahrung von Geschäfts- und Datengeheimnissen verpflichtet wird. Art. 28 DSGVO verlangt dies sogar für Auftragsverarbeiter: Wenn also eine Firma einen Reinigungsdienstleister beauftragt, muss der Vertrag regeln, dass dessen Personal das Datengeheimnis achtet. Die Praxis ist, solche Mitarbeiter gemäß Art. 29 DSGVO i.V.m. § 53 BDSG schriftlich zu verpflichten, personenbezogene Daten, die ihnen bei der Arbeit begegnen, nicht unbefugt zu verarbeiten oder weiterzugeben. Ein Branchenblog weist darauf hin, dass auch Reinigungskräfte das Datengeheimnis zu beachten haben und daher spätestens bei Tätigkeitsaufnahme schriftlich auf die DSGVO-Vertraulichkeit verpflichtet werden sollten. In Bereichen, wo sogar Verschwiegenheitspflichten etwa nach dem Strafgesetzbuch (Dienst- und Amtsgeheimnisse) eine Rolle spielen, kann zusätzlich eine förmliche Verpflichtung nach dem Verpflichtungsgesetz vorgenommen werden. Letzteres kommt z.B. in Betracht, wenn eine zivile Reinigungskraft in einer Polizeidienststelle arbeitet, wo sie mit polizeilichen Vorgängen in Berührung kommen könnte – hier kann sie durch einen Amtsträger nach § 1 Verpflichtungsgesetz förmlich auf die gewissenhafte Erfüllung ihrer Geheimhaltungspflicht verpflichtet werden.

• Überwachung am Arbeitsplatz im Rahmen des Zulässigen: Zu den Persönlichkeitsrechten zählt auch das Recht am eigenen Bild und die Wahrung der Würde. Videoüberwachung in Betriebsräumen ist datenschutzrechtlich nur erlaubt, wenn sie zum Schutz von Personen oder Eigentum erforderlich ist und keine milderen Mittel bestehen (und sie muss angezeigt werden, keine verdeckte Kameras). In sensiblen Archiven oder Serverräumen mag Videoüberwachung ein Werkzeug sein, um jeden Zugriff – auch durch Reinigungspersonal – nachvollziehbar zu machen. Dies ist jedoch mitbestimmungspflichtig und löst Informationspflichten aus. Das Gleiche gilt für Zugangskontrollsysteme, Zeiterfassung und ähnliche technische Überwachungsmaßnahmen (§ 87 Abs. 1 Nr. 6 BetrVG). Solche Systeme dürfen eingesetzt werden, aber ihr Zweck muss klar sein (z.B. Protokollierung wer wann welche Tür geöffnet hat) und die Datenverwendung muss sich auf Sicherheitszwecke beschränken. Im Zweifel sind anonymisierte oder pseudonymisierte Lösungen vorzuziehen (etwa dass nur berechtigte Stellen bei Vorfall die Logs einsehen).

Schutz der Persönlichkeitsrechte im Überprüfungsprozess: Sollte eine Überprüfung kritische Befunde ergeben – beispielsweise der Dienstleister weist darauf hin, dass ein Reinigungsmitarbeiter vorbestraft ist –, so ist mit diesen Informationen äußerst sensibel umzugehen. Sie dürfen nur denjenigen Personen offenbart werden, die sie unbedingt kennen müssen (Prinzip „need to know“), etwa der Sicherheitsbeauftragte oder die Personalabteilung. Innerhalb des Betriebs darf nicht plötzlich Stigmatisierung stattfinden. Ein einfaches Beispiel: Erfährt ein Vorgesetzter, dass eine Reinigungskraft in der Vergangenheit eine Diebstahlstrafe verbüßt hat, so darf er diese Information nicht breit kommunizieren oder gar andere Kollegen vor „dem Vorbestraften“ warnen – dies wäre ein eindeutiger Verstoß gegen Datenschutz und Persönlichkeitsrecht des Betroffenen. Stattdessen müssten, falls die Person weiterbeschäftigt wird, strukturelle Maßnahmen reichen (z.B. intensivere Kontrolle von sensiblen Bereichen, ohne die Person persönlich an den Pranger zu stellen). Wird die Person aufgrund eines negativen Prüfergebnisses nicht eingesetzt, hat sie – sofern es sich um eine Einstellungsprüfung handelte – im Regelfall keinen Auskunftsanspruch gegenüber dem potenziellen Arbeitgeber, warum sie abgelehnt wurde. Hier kollidiert Transparenz mit potentiell rufschädigenden Details. Aus Fairnessgründen sollte man Bewerbern aber möglichst kommunizieren, wenn man aus Sicherheitsgründen Bedenken hat – auch um etwaige Missverständnisse aufzuklären (vielleicht war eine Eintragung im Führungszeugnis falsch oder irrelevant und der Bewerber kann dies erklären).

Betriebsrat und Mitbestimmung: Ein oft übersehener, aber entscheidender Punkt ist die Rolle des Betriebsrats bei der Einführung von Sicherheitsüberprüfungen. In Betrieben mit Betriebsrat gilt: Maßnahmen, die die Ordnung des Betriebs und das Verhalten der Arbeitnehmer betreffen, sind mitbestimmungspflichtig (§ 87 Abs. 1 Nr. 1 BetrVG). Eine geplante generelle Überprüfung aller Mitarbeiter oder einer bestimmten Gruppe (z.B. aller im Rechenzentrum tätigen Personen) dürfte als Maßnahme der betrieblichen Ordnung gewertet werden, da sie verbindliche Regeln für das Arbeitsverhältnis aufstellt. Der Betriebsrat kann hier also ein Mitspracherecht beanspruchen. Ebenso greifen Mitbestimmungsrechte bei der Einführung technischer Überwachungseinrichtungen (§ 87 Abs. 1 Nr. 6 BetrVG), wie oben erwähnt (z.B. Ausweissysteme, die zur Verhaltens- oder Leistungskontrolle geeignet sind). Die Rechtsprechung hat in der Vergangenheit differenziert: Ist eine Überprüfung gesetzlich vorgeschrieben, hat der Betriebsrat kein Vetorecht hinsichtlich der Frage „ob“ – er kann dann nur bei den Modalitäten mitwirken. Das BAG entschied beispielhaft, dass ein Betriebsrat nicht verlangen kann, eine angeordnete Überprüfung (hier: von Kernkraftwerk-Personal) zu unterlassen, solange es dafür eine offizielle Auflage gibt. Raum für Mitbestimmung besteht aber in solchen Fällen dennoch bei der Ausgestaltung: etwa wie der Arbeitgeber mit den Ergebnissen umgeht, wie die Anhörung der Betroffenen abläuft etc. Wenn jedoch die Überprüfung freiwillig vom Arbeitgeber eingeführt wird (ohne externen Zwang), ist eher von einem vollen Mitbestimmungstatbestand auszugehen. Praktisch bedeutet das: Der Arbeitgeber sollte in einer Betriebsvereinbarung gemeinsam mit dem Betriebsrat festlegen, welche Kategorien von Mitarbeitern überprüft werden, in welchem Umfang, in welchen Abständen und mit welchen Konsequenzen. Darin lässt sich auch der Datenschutz sicherstellen, z.B. dass die erhobenen Daten nach einer bestimmten Frist gelöscht und nur verschlüsselt gespeichert werden, oder dass negative Ergebnisse dem Betriebsrat anonymisiert mitgeteilt werden (sofern z.B. eine Weiterbeschäftigung fraglich ist und der Betriebsrat bei Kündigungen/Versetzungen ja wieder ins Spiel kommt).

Für externe Mitarbeiter (also z.B. Angestellte eines Dienstleisters) gibt es keinen internen Betriebsrat, aber der Betriebsrat des Auftraggeber-Unternehmens kann verlangen, über die Einweisung und Behandlung der Externen informiert zu werden (§ 80 Abs. 2 BetrVG – Informationsrechte, zudem ggf. § 92 BetrVG bezüglich Personalplanung externer Kräfte). Wenn externe Dienstleister in großer Zahl eingesetzt werden, berührt das mitunter die Belegschaftsinteressen (Thema „Fremdfirmenregelung“). Auch hier sind manche Unternehmen dazu übergegangen, per Betriebsvereinbarung festzulegen, dass Fremdfirmenpersonal bestimmten Sicherheitsstandards genügen muss, bevor es im Betrieb tätig werden darf – was dann vom Auftraggeber vertraglich eingefordert wird.

Fazit in puncto Datenschutz: Unternehmen müssen einen sorgfältigen Ausgleich schaffen: Einerseits haben sie legitime Sicherheitsinteressen, andererseits dürfen sie nicht über das Ziel hinausschießen und Persönlichkeitsrechte verletzen. Transparenz, Verhältnismäßigkeit und Einbindung von Mitarbeitervertretungen sind die Gebote der Stunde. Im Zweifel sollten rechtliche Beratung und Einholung von Genehmigungen (z.B. bei der Datenschutzaufsicht oder der Einwilligung der Betroffenen) angestrebt werden, bevor umfangreiche Background-Checks implementiert werden.

Gerade bei Reinigungskräften, die oft über Subunternehmen kommen, ist es wichtig zu verstehen: Der Auftraggeber darf dem Dienstleister nicht ohne Weiteres vorschreiben, was er mit seinen Angestellten tut – wohl aber kann er aus sicherheitsrelevanten Gründen bestimmte Nachweise verlangen (z.B. dass niemand mit relevanter Vorstrafe eingesetzt wird). Die Umsetzung obliegt dann dem Dienstleister, der seinerseits datenschutzkonform handeln muss. Hier entsteht eine Kette von Verantwortung: vom auftraggebenden Unternehmen (das die Kriterien festlegt) zum Dienstleister (der die Checks durchführt) bis hin zum einzelnen Mitarbeiter (der informiert einwilligt). Nur wenn jeder Teil dieser Kette rechtskonform agiert, ist der Prozess als Ganzes tragfähig.

Nachdem nun die rechtlichen Leitplanken abgesteckt sind, wendet sich die Arbeit den praktischen Herausforderungen zu: Was bedeutet es operativ für ein Unternehmen, solche Sicherheitsüberprüfungen einzuführen? Welche Hürden und Probleme treten erfahrungsgemäß auf?

• Die Implementation von Sicherheitsüberprüfungen für Reinigungskräfte und andere Servicemitarbeiter in einem Unternehmen ist mit einer Reihe praktischer Herausforderungen verbunden. Diese resultieren teils aus den zuvor dargestellten rechtlichen Vorgaben, teils aus organisatorischen und personellen Gegebenheiten. Im Folgenden werden die wichtigsten Herausforderungen skizziert.

• Zusammenarbeit mit externen Dienstleistern: In vielen Fällen sind Reinigungskräfte nicht direkt beim zu schützenden Unternehmen angestellt, sondern bei einem externen Reinigungsdienst. Ähnliches gilt für Wartungstechniker (viele sind Mitarbeiter von Fremdfirmen) oder Bewachungspersonal (Sicherheitsdienstleister). Wenn ein Unternehmen beschließt, Sicherheitsüberprüfungen durchzuführen, stellt sich die Frage: Wer führt diese durch und auf wessen Initiative? Der Auftraggeber kann seinen Dienstleister vertraglich verpflichten, nur Personal einzusetzen, das bestimmte Kriterien erfüllt (z.B. "muss einwandfreies Führungszeugnis besitzen" oder "muss SÜG-überprüft sein, falls vorgeschrieben"). Allerdings liegt die eigentliche Arbeit der Überprüfung dann beim Dienstleister – dieser muss die entsprechenden Nachweise beschaffen und dem Auftraggeber ggf. zugänglich machen. Hier können Interessenskonflikte entstehen: Ein Dienstleister möchte vielleicht keinen Mitarbeiter verlieren, nur weil eine kleine Verfehlung in dessen Vergangenheit vorliegt; das auftraggebende Unternehmen hingegen könnte strengere Maßstäbe anlegen. Zudem besteht das Datenschutz-Dilemma: Darf der Dienstleister dem Auftraggeber Details über seine Leute mitteilen? Eigentlich nur, wenn es notwendig ist. Oft wird deshalb nur ein Ergebnis kommuniziert (z.B. "Mitarbeiter X ist überprüft und unbedenklich" oder "hat Überprüfung nicht bestanden"), ohne Details. Der Auftraggeber muss diesem Ergebnis vertrauen, hat aber wenig Einsicht in den Prozess. Um diese Zusammenarbeit zu strukturieren, sind klare vertragliche Vereinbarungen nötig: Wer prüft was, nach welchem Standard, in welchem Turnus und was passiert bei negativen Befunden? Ohne solche Vereinbarungen kann es schnell zu Unklarheiten kommen – zum Beispiel wenn plötzlich herauskommt, dass der Dienstleister die versprochenen Checks gar nicht konsequent durchgeführt hat.

• Qualität und Verlässlichkeit der Überprüfungen: Nicht jede Überprüfung ist gleich aussagekräftig. Ein einfaches Führungszeugnis zeigt nur verurteilte Straftaten, aber niemand wird darin als potentieller Spion oder Extremist geführt, solange er nicht einschlägig verurteilt wurde. Selbst eine SÜG-Überprüfung kann keine 100%ige Garantie liefern – sie stellt auf bekannte Erkenntnisse ab. Eine Person ohne jede Eintragung kann dennoch morgen erstmals straffällig oder illoyal werden. Unternehmen könnten einer trügerischen Sicherheit erliegen: "Alle unsere Reinigungskräfte haben einen sauberen Leumund, also sind wir sicher." Dem ist natürlich nicht so. Die Herausforderung besteht also darin, Überprüfungen sinnvoll zu interpretieren und durch weitere Maßnahmen zu ergänzen (Schulung, Beobachtung, technische Sicherungen). Praktisch ist auch die Aktualität ein Thema: Ein einmaliges Screening bei Einstellung ist womöglich nach ein paar Jahren obsolet, wenn sich die Lebensumstände geändert haben. Periodische Wiederholungen wären nötig – doch diese sind aufwendig und können als Misstrauensvotum verstanden werden. Hier den richtigen Rhythmus zu finden (z.B. alle 5 Jahre ein aktuelles Führungszeugnis verlangen, analog SÜG) ist Teil der Umsetzung.

• Aufwand und Kosten: Jede Überprüfung verursacht Kosten – sei es Gebühren (für behördliche Führungszeugnisse oder SÜG-Verfahren), sei es interner Aufwand (Personalabteilung, Sicherheitsbeauftragte, Zeit für Gespräche). Bei größeren Dienstleistern mit vielen Angestellten summiert sich das schnell. Kleine Reinigungsfirmen könnten damit überfordert sein, vor allem wenn sie plötzlich von mehreren Kunden ähnliche Anforderungen bekommen. Für ein Unternehmen der Privatwirtschaft ist der Nutzen einer Überprüfung oft schwer zu quantifizieren (Sicherheitsgewinn lässt sich nicht direkt in Euro messen), während die Kosten konkret anfallen. Daher besteht eine Herausforderung darin, das Management vom Sinn solcher Maßnahmen zu überzeugen. Es bedarf meist erst einer Risikoanalyse mit Szenarien und vielleicht dem Verweis auf Vorfälle (siehe vorheriges Kapitel), um Budgets für diese "präventive Sicherheit" locker zu machen. Darüber hinaus erfordert es Prozessanpassungen: Die Personalabteilung muss Einladungen zur Vorlage von Dokumenten verschicken, Fristen überwachen (z.B. Gültigkeit einer ZÜP im Luftverkehr läuft nach 5 Jahren ab – das muss getrackt werden) und bei Nichteignung Alternativen parat haben (z.B. anderen Mitarbeiter einsetzen). Das alles verlangt zusätzliche Verwaltungsarbeit.

• Zeitliche Dauer von Überprüfungen: Manche Checks benötigen erhebliche Zeit. Beispielsweise dauert eine SÜG-Überprüfung (Ü1) in der Praxis nicht selten mehrere Wochen bis wenige Monate, je nach Auslastung der Behörden. Wenn ein Unternehmen aber kurzfristig Reinigungspersonal benötigt (z.B. weil ein Auftrag erweitert wird oder jemand ausfällt), kollidiert das mit dem langsamen Überprüfungsprozess. Hier müssen eventuell Übergangslösungen gefunden werden, etwa dass ein noch nicht überprüfter Mitarbeiter zunächst nur begleitet arbeitet (was wiederum interne Ressourcen bindet) – genau solche Fälle sieht ja z.B. das SÜG NRW vor, um flexibel zu bleiben. Auch das Führungszeugnis braucht Zeit, meist 1–2 Wochen bis es vorliegt. Die Praxis zeigt: Wenn solche Anforderungen nicht frühzeitig eingeplant werden, stehen plötzlich Bereiche ungereinigt da, weil Personal nicht freigegeben ist. Unternehmen müssen also ihre Personal- und Einsatzplanung eng mit den Überprüfungsprozessen verzahnen.

• Akzeptanz bei den Betroffenen: Für die einzelnen Reinigungskräfte oder Servicemitarbeiter kann eine Sicherheitsüberprüfung ein zweischneidiges Erlebnis sein. Auf der einen Seite mögen viele verstehen, dass es um Sicherheit geht, auf der anderen Seite entsteht leicht ein Gefühl von Misstrauen. Insbesondere wenn bisher im Betrieb so etwas nie Thema war, kann das Einführen von Checks Ängste oder Unmut schüren: "Traut man uns plötzlich nicht mehr?", "Werde ich jetzt bespitzelt?". Diese emotionale Komponente darf nicht unterschätzt werden. Sie kann die Motivation und Loyalität der Mitarbeiter beeinträchtigen – was ironischerweise die Sicherheitskultur verschlechtern könnte. Es ist daher eine Herausforderung, solche Maßnahmen gut zu kommunizieren und sensibel umzusetzen. Eine offene Kommunikation darüber, warum Überprüfungen stattfinden (z.B. neue Vorgaben, gestiegene Sicherheitsanforderungen) und wie genau sie ablaufen (Transparenz) ist wichtig, um Gerüchten und Ängsten vorzubeugen. Zudem sollte betont werden, dass die Maßnahme alle gleichermaßen betrifft (kein Fingerpointing auf einzelne Gruppen) und dass die meisten Beschäftigten keinerlei negative Folgen zu erwarten haben, wenn sie ihrer Arbeit ordentlich nachgehen.

• Umgang mit Ergebnissen und Personalmaßnahmen: Was geschieht, wenn eine Überprüfung tatsächlich ein Problem zutage fördert? Auch das stellt Unternehmen vor praktische Herausforderungen. Angenommen, im Führungszeugnis eines Reinigers taucht eine einschlägige Vorstrafe auf (z.B. Diebstahl vor 3 Jahren): Entlässt man ihn sofort? Versetzt man ihn auf einen weniger sensiblen Posten? Spricht man mit ihm? Diese Entscheidung ist nicht trivial, da sie rechtliche Konsequenzen hat (Kündigungsschutz!) und auch menschlich delikat ist. Denkbar ist, dass der Mitarbeiter die Vergangenheit offenlegen hätte können, es aber nicht tat – was das Vertrauen beeinträchtigt. Andererseits hat er die Strafe verbüßt und gesetzlich Anspruch darauf, nicht dauerhaft wegen derselben Sache diskriminiert zu werden (Resozialisierungsprinzip). Hier müssen Arbeitgeber im Einzelfall entscheiden, möglicherweise unter Einbezug des Betriebsrats und juristischer Beratung. Ähnliches gilt, wenn z.B. der Verfassungsschutz eine Person als Extremismus-verdächtig einstuft (ohne Straftatnachweis). Solche Informationen sind hochsensibel. Die Herausforderung ist, arbeitsrechtlich sauber zu agieren: Ggf. kann eine personenbedingte Kündigung ausgesprochen werden, wenn die Zuverlässigkeit für die Stelle unerlässlich ist und begründete Zweifel bestehen – das muss aber im Streitfall einem Gericht standhalten. Meist wird man versuchen, den Mitarbeiter selbst zum Ausscheiden zu bewegen (etwa indem ein Aufhebungsvertrag angeboten wird), um lange Auseinandersetzungen zu vermeiden. Das Unternehmen muss außerdem einen Plan haben, wie es Ersatz beschafft (gerade, wenn überprüftes Personal rar ist).

• Rechtsdurchsetzung und Kontrolle: Schließlich ist es eine praktische Herausforderung, die definierten Sicherheitsprüfprozesse einzuhalten und regelmäßig zu kontrollieren. Es genügt nicht, einmal ein Konzept zu schreiben. Verantwortliche müssen überwachen, dass z.B. alle neu ankommenden Fremdfirmen vor Arbeitsbeginn die vereinbarten Nachweise liefern. In der Hektik des Tagesgeschäfts kann das untergehen ("Die Handwerker waren schon da, bevor wir deren Führungszeugnisse hatten"). Hier empfiehlt es sich, Checklisten und Freigabeprozeduren einzuführen, sodass etwa der Sicherheitsbeauftragte oder Objektleiter ein Veto-Recht hat, bevor ein Externer allein gelassen wird. Diese internen Kontrollen kosten ebenfalls Zeit und müssen von der Unternehmensleitung unterstützt werden. Ein probates Mittel ist es, einen Verantwortlichen für personelle Sicherheit zu benennen, der als Schnittstelle zwischen HR, Betriebsschutz und den Fremdfirmen fungiert und den Prozess steuert.

• Als Zwischenfazit ist festzuhalten: Die beste Richtlinie nützt wenig, wenn sie nicht in die gelebte Praxis umgesetzt wird. Sicherheitsüberprüfungen einzuführen, bedeutet Change Management – also Veränderung von etablierten Abläufen, vom Recruiting bis zum Putzplan. Das bringt Widerstände und Stolpersteine mit sich. Unternehmen, die hier erfolgreich sein wollen, müssen sich dieser Herausforderungen bewusst sein und entsprechende lösungsorientierte Strategien entwickeln.

Die Gestaltung von Sicherheitsüberprüfungen für Dienstleister im Unternehmen kann je nach Branche, Risikolage und Unternehmensgröße sehr unterschiedlich ausfallen. Es haben sich jedoch einige Modelle und Vorgehensweisen herausgebildet, die als Best Practices gelten. Zentral ist dabei meist ein risikobasierter Ansatz: Nicht jede Position und nicht jeder Ort erfordert die gleiche Tiefe der Überprüfung. Vielmehr sollten Unternehmen einschätzen, wo die größten Gefahren drohen, und dort intensivere Maßnahmen ergreifen, während in weniger kritischen Bereichen einfachere Vorkehrungen genügen.

• Zum Hochsicherheitsbereich könnten z.B. das Rechenzentrum, Bereiche mit geheimpflichtigen Daten (Forschungs- und Entwicklungsabteilungen mit hohem Know-how-Schutzbedarf) oder Vorstandsetagen zählen. Hier wäre das Schutzinteresse maximal, weshalb man das Personal, einschließlich Reinigungs- oder Wartungskräfte, einer strengen Überprüfung unterzieht. Streng könnte bedeuten: Durchführung einer behördlichen Sicherheitsüberprüfung nach SÜG (falls zulässig), oder zumindest eine erweiterte Zuverlässigkeitsüberprüfung analog behördlicher Verfahren. Der IT-Grundschutz des BSI schlägt beispielsweise vor, im Hochsicherheitsbereich eine zusätzliche Überprüfung nach SÜG-Standards durchzuführen. Das würde in der Praxis bedeuten: Für alle, die in einem Hochsicherheitsbereich tätig sein sollen – ob eigene Mitarbeiter oder von Fremdfirmen – wird beim Verfassungsschutz eine Sicherheitsanfrage gestellt und ggf. eine Ü1 oder Ü2 Überprüfung angestoßen. Auch regelmäßige Wiederholungen (alle 5 Jahre) wären hier angebracht, analog der SÜG-Regelung.

• Sensible Bereiche (mittleres Risiko) könnten normale Büros umfassen, in denen zwar keine Staatsgeheimnisse lagern, aber dennoch vertrauliche Unternehmensinformationen (Geschäftsgeheimnisse, personenbezogene Daten etc.). Auch Produktionsbereiche, in denen Sabotage größeren Schaden anrichten könnte, zählen hierzu. Für diese Bereiche empfiehlt sich eine eingeschränkte Überprüfung: Zum Beispiel das Einholen eines Polizeilichen Führungszeugnisses vor Einsatzbeginn, überprüfbare Referenzen (falls vorhanden), und das Unterzeichnen strikter Geheimhaltungsvereinbarungen. Das Führungszeugnis dient als Filter für Personen, die durch Diebstahl-, Betrugs- oder ähnliche Delikte aufgefallen sind – gerade diese wären in sensiblen Bereichen problematisch. Der Bundestag-Fall hat etwa aufgezeigt, dass bisher Reinigungskräfte dort intern nicht einmal ein Führungszeugnis vorlegen mussten; als "Handlungsbedarf" wurde erkannt, dies künftig einzufordern. In Unternehmen sollte ein Führungszeugnis zumindest für jene externen Mitarbeiter Standard sein, die selbstständig und ohne Begleitung in sensiblen Zonen arbeiten. Ergänzend kann eine Verpflichtung auf das Datengeheimnis (wie schon erläutert) und ggf. auf das Unternehmensgeheimnis erfolgen – de facto eine NDA (Non-Disclosure Agreement). Auch praktische Einschränkungen können festgelegt werden, z.B. dass Reinigungspersonal in solchen Bereichen nur zu bestimmten Zeiten zugreifen darf oder stets beim Pförtner registriert werden muss.

• Allgemeine Bereiche (niedriges Risiko) sind Zonen, in denen weder besonders schützenswerte Informationen vorhanden sind noch große Schäden angerichtet werden können. Beispielsweise Foyers, Kantinen (wenn dort keine vertraulichen Gespräche stattfinden) oder Außenareale. Hier kann man mit grundlegenden Maßnahmen auskommen: Identitätsfeststellung und Zutrittsausweisvergabe, kurze Einweisung in Verhaltensregeln, aber keine tiefergehende persönliche Überprüfung. In diesen Bereichen könnte auch fremdes Personal arbeiten, das noch keine komplette Prüfung durchlaufen hat – etwa Aushilfen –, solange Aufsichtsmöglichkeiten bestehen.

Ein solches Modell erlaubt es, Ressourcen effizient einzusetzen – die aufwendigen Überprüfungen konzentrieren sich auf die wichtigen Punkte, und die Mitarbeiter verstehen eher, warum sie in manchen Bereichen strengere Kontrollen akzeptieren müssen als in anderen. Wichtig ist, dass die Klassifizierung nachvollziehbar und dokumentiert ist (idealerweise als Ergebnis einer formalen Sicherheits- oder Gefährdungsanalyse). Im Fall von Dienstleistern kann diese Tabelle auch Teil der Ausschreibung bzw. des Dienstleistungsvertrags sein, damit Anbieter wissen, worauf sie sich einstellen müssen.

• Zentraler Koordinator: Es sollte eine verantwortliche Stelle oder Person geben, die den Überblick über alle sicherheitsrelevanten Überprüfungen hat – oft der Sicherheitsbeauftragte oder eine spezielle Einheit (z.B. Abteilung Konzernsicherheit). Diese koordiniert die Zusammenarbeit zwischen Fachabteilungen (die Dienstleister einsetzen) und Personalwesen sowie externen Behörden.

• Onboarding-Prozess mit Sicherheits-Check: Für jede neue Reinigungskraft oder externen Servicemitarbeiter, der im Unternehmen tätig werden soll, wird ein standardisierter Prozess durchlaufen, bevor er vollen Zugriff erhält. Dieser Prozess könnte z.B.

• Anmeldung/Anforderung: Die Fachabteilung meldet dem Sicherheitskoordinator, dass ein neuer externer Mitarbeiter ab Datum X anfangen soll, mit Angaben zu Einsatzort und -art.

• Risikoeinstufung: Anhand des Einsatzortes wird automatisch die Risikostufe bestimmt und damit die erforderlichen Checks (z.B. "Einsatz im Rechenzentrum – Hochrisiko – Ü2-Überprüfung nötig" oder "Einsatz im Bürotrakt – mittleres Risiko – Führungszeugnis und NDA nötig").

• Dokumenteneinholung: Der Koordinator fordert vom Dienstleister die nötigen Unterlagen an (z.B. Kopie des Führungszeugnisses, ausgefüllte Sicherheitsfragebögen, Personaldaten für Einleitung SÜG). Parallel unterschreibt der Mitarbeiter bereits Verpflichtungserklärungen (Geheimhaltung).

• Behördliche Überprüfung (falls vorgesehen): Wird eine SÜG oder behördliche ZÜP benötigt, stellt der Koordinator den Antrag bei der zuständigen Behörde. In dieser Zeit darf der Mitarbeiter nur eingeschränkt tätig werden (z.B. in Begleitung oder in Nicht-Hochsicherheitsbereichen).

• Ergebnis und Freigabe: Liegen alle Ergebnisse vor und sind zufriedenstellend, wird der Mitarbeiter freigegeben. Das bedeutet, er erhält vollen Zugang, einen Dauerausweis etc. Falls das Ergebnis negativ ist (oder Prüfung verweigert wird), entscheidet man je nach Schwere: kein Einsatz in sensiblen Zonen oder überhaupt keine Beschäftigung im Unternehmen.

• Dokumentation: Alle Schritte werden dokumentiert, Prüfungsergebnisse sicher verwahrt (aktenkundig machen, aber vor unbefugtem Zugriff geschützt). Hier empfiehlt sich ein Sicherheitsüberprüfungsregister, in dem für jede Person festgehalten ist: Überprüfungsart, Datum der Freigabe, Ablaufdatum (damit Wiederholungen rechtzeitig erfolgen können).

• Dieser Onboarding-Prozess sollte in einer Checkliste oder einem Flussdiagramm definiert sein, damit nichts übersehen wird (siehe Handlungsempfehlungen). Eine gute Praxis ist, keine Ausnahmen von diesem Prozess zuzulassen – auch nicht unter Zeitdruck. Andernfalls entsteht das Risiko des „Schlupflochs“: Etwa eine Reinigungskraft wird eilig eingesetzt ohne Prüfung, und genau diese Person verursacht dann einen Vorfall.

• Wiederholungs- und Ereignisüberprüfungen: Ein Modell, das z.B. im Geheimschutz üblich ist, kann auch hier Anwendung finden: Überprüfungen sind zeitlich befristet gültig (im SÜG Regelfall 5 Jahre). Unternehmen können etwa festlegen, dass alle externen Dienstleister nach 5 Jahren eine erneute Vorlage eines Führungszeugnisses erbringen müssen. Oder wenn ein Mitarbeiter aus dem sicherheitsempfindlichen Bereich zwischenzeitlich in einen noch kritischeren Bereich wechselt, ein erneuter Check erfolgt. Ebenso sollten anlassbezogene Überprüfungen vorgesehen sein: Wenn z.B. der begründete Verdacht entsteht, dass jemand doch ein Risiko darstellt (z.B. weil er gegen Sicherheitsregeln verstößt oder Gerüchte über kriminelle Verbindungen auftauchen), muss der Prozess eine Eskalationsstufe enthalten. Das kann bedeuten: temporärer Entzug der Zugangsberechtigung, Sonderüberprüfung in Absprache mit Behörden, und bis zur Klärung ein Ersatz für die Aufgabe.

• Kontrollinstanzen und Audit: Um sicherzustellen, dass das Modell greift, können Audits durchgeführt werden. Die interne Revision oder externe Prüfer könnten stichprobenartig untersuchen, ob alle aktiven Dienstleister den vorgeschriebenen Überprüfungsstatus haben. Diese Qualitätssicherung ist nötig, denn es hat Fälle gegeben, wo formal Richtlinien bestanden, aber dann doch einige Mitarbeiter "durchgerutscht" sind. Gerade bei einer hohen Fluktuation im Reinigungsgewerbe (viele Aushilfen, wechselndes Personal) passiert es leicht, dass nicht jeder neuen Person die gleiche Aufmerksamkeit geschenkt wird. Hier wirken Audits als Korrektiv.

Je nach Sicherheitsniveau kann es sinnvoll oder erforderlich sein, Behörden in den Überprüfungsprozess einzubinden. Wir haben bereits das SÜG und die Verfassungsschutzbehörden angesprochen. Unternehmen, die keinen direkten Zugang zu behördlichen Überprüfungen haben (weil keine gesetzliche Grundlage greift), können im Kontext der Initiative Wirtschaftsschutz partnerschaftlich Informationen austauschen. So bieten Landesämter für Verfassungsschutz den Firmen teils eine präventive Beratung an, um z.B. Innenbedrohungen zu erkennen und abzuwehren. Natürlich werden sie keine Individualauskünfte über Personen geben (Datenschutz der Behörden selbst), aber sie können sensibilisieren, worauf zu achten ist. In kritischen Fällen, wenn ein Mitarbeiter verdächtige Kontakte hat, kann das Unternehmen auch die Sicherheitsbehörden einschalten – Letztere sind dankbar für Hinweise, da Wirtschaftsspionagefälle oft nur in Kooperation mit den betroffenen Firmen aufgedeckt werden können.

Neben Behörden existieren private Dienstleister, die Background-Checks als Service anbieten (Pre-Employment Screening Firmen). Diese können im Rahmen des Erlaubten z.B. internationale Strafregisterauszüge besorgen, berufliche Qualifikationen verifizieren und Social-Media-Screenings maschinell durchführen. Der Vorteil externer Firmen liegt in ihrer Expertise und Geschwindigkeit; der Nachteil ist das Datenschutzthema (eine Weitergabe von Bewerberdaten an solch eine Screening-Firma ist wiederum eine Verarbeitung, die man rechtfertigen muss). Einige Großunternehmen nutzen diesen Weg, besonders wenn sie viele Einstellungen haben und eine Standardprüfung möchten. Für die Überprüfung bestehender Reinigungsteams werden externe Investigator-Dienste seltener eingesetzt, außer vielleicht bei konkretem Verdacht (dann eher Detektei, aber das ist – wie erwähnt – rechtlich heikel ohne triftigen Grund).

Sonderfall kritische Infrastruktur: Sollte ein Unternehmen zum KRITIS-Sektor gehören und nun (nach geänderter Gesetzeslage) tatsächlich behördliche Vertrauenswürdigkeitsüberprüfungen seiner Mitarbeiter durchführen dürfen, so wäre dies ein Novum. Denkbar ist, dass in Zukunft KRITIS-Betreiber auf Antrag beim Verfassungsschutz ihre besonders wichtigen Beschäftigten überprüfen lassen können. In diesem Fall würde man den Prozess formal dem SÜG angleichen. Das Personal (z.B. leitende IT-Techniker, Security Manager) würde eine Sicherheitserklärung ausfüllen wie im Geheimschutz üblich, und der Verfassungsschutz würde dann im Hintergrund seine Register und Quellen checken. Das Ergebnis käme als Ampel zurück (keine Bedenken/Bedenken). Diese Vertrauenswürdigkeitsüberprüfung (VWÜ), so der geplante Name, wäre im Prinzip eine adaptierte Sicherheitsüberprüfung für die Wirtschaft. Da Reinigungspersonal aber selten zu dem Personenkreis gehört, der Risikominimierungsmaßnahmen entwickelt oder umsetzt (so die Formulierung im KRITIS-Entwurf), würden sie wohl nicht darunterfallen. Reinigungskräfte könnten höchstens dann von solchen neuen gesetzlichen Möglichkeiten betroffen sein, wenn sie in höchstkritischen Anlagen arbeiten (z.B. Kernkraftwerk, Rechenzentrum eines Bundesministeriums), wo man sie als sicherheitsempfindlich einstuft.

• Überprüfung der Bewerber schon beim Einstellungsprozess (inkl. Führungszeugnis).

• Laufende Führung einer Liste, wer welche Überprüfung hat (gerade wenn Personal zwischen Objekten wechselt – der Mitarbeiter, der gestern ein öffentliches Museum geputzt hat, soll morgen vielleicht ins Polizeipräsidium – hierfür muss verifiziert sein, dass er die Voraussetzungen erfüllt).

• Schulungen für das Reinigungspersonal in Sicherheitsbewusstsein: Z.B. was tun, wenn man vertrauliche Unterlagen findet (Antwort: liegen lassen und melden, nicht an sich nehmen).

• Ein System von Vertrauenspässen oder Ausweisen, welches vom Dienstleister an seine Leute ausgegeben wird, um gegenüber verschiedenen Auftraggebern nachzuweisen: Diese Person ist geprüft. Eventuell könnten brancheneinheitliche Lösungen entstehen, analog dem früheren "Bewacherausweis" für Sicherheitsdienste.

Solche Modelle stehen erst am Anfang, gewinnen aber mit steigenden Anforderungen an Fahrt.

Alles in allem bietet die Kombination aus risikobasierter Kategorisierung und klar definierten Prozessen einen gangbaren Weg, Sicherheitsüberprüfungen effektiv und fair umzusetzen. Wichtig ist dabei stets, dass die Maßnahmen intern abgestimmt sind (mit Betriebsrat, Management) und extern kommuniziert werden (gegenüber Dienstleistern und ggf. Behörden). Nur so entsteht ein konsistentes System, das im Ernstfall trägt.

• Es werden konkrete Handlungsempfehlungen formuliert, die Unternehmen – insbesondere im Bereich Facility Management – dabei unterstützen sollen, eine angemessene Sicherheitsüberprüfung für Reinigungskräfte und andere Servicedienstleister zu etablieren. Diese Empfehlungen fassen die vorangegangenen Erkenntnisse zusammen und übersetzen sie in praktische Schritte. Wo sinnvoll, werden Checklisten und Ablaufdiagramme angedeutet, die in der Umsetzung hilfreich sein können.

• Sicherheitsrisikoanalyse durchführen: Bevor übereilte Maßnahmen ergriffen werden, sollte ein Unternehmen zunächst seine spezifische Gefährdungslage bestimmen. Empfohlen wird eine 360°-Sicherheitsrisikoanalyse der betrieblichen Einrichtungen: Welche Bereiche sind kritisch? Welche Dienste (z.B. Reinigung, Wartung, IT-Service) werden dort von Externen erbracht? Welche Schutzbedarfe (Vertraulichkeit, Integrität, Verfügbarkeit) bestehen für Informationen und Systeme in diesen Bereichen? Das Ergebnis der Analyse bildet die Grundlage für alle weiteren Schritte. Es sollte schriftlich dokumentiert werden und kann z.B. ergeben: "Gebäude A, Stockwerk 3 (F&E) = Hochrisiko, Reinigung nur mit Überprüfung X; Gebäude B (Verwaltung) = mittleres Risiko, Standard-Check Y ausreichend" etc. Eine solche Dokumentation ist auch hilfreich, um gegenüber dem Betriebsrat und eventuellen Auditoren oder Kunden die Notwendigkeit der Maßnahmen zu begründen.

• Kategorien und Prüfintensitäten festlegen: Auf Basis der Risikoanalyse sollte das Unternehmen ein Kategorisierungsschema (wie in Tabelle 2 beispielhaft dargestellt) verabschieden. Dazu gehört die Definition von Risikoklassen und die Zuordnung der entsprechenden Überprüfungsmaßnahmen. Empfehlenswert ist, dies in einer Richtlinie oder Anweisung schriftlich festzuhalten – etwa einer internen "Dienstanweisung für den Einsatz externer Dienstleister und Sicherheitsüberprüfungen". Darin stünde z.B.: "Reinigungskräfte, die in IT-Räumen arbeiten, müssen vorab eine erweiterte Zuverlässigkeitsüberprüfung durchlaufen und dürfen erst nach schriftlicher Freigabe selbständig tätig werden." Ebenso sollte festgelegt sein, wer Ausnahmen genehmigen darf (idealerweise kaum jemand, um den Prozess nicht zu unterlaufen). Dieses Dokument dient intern als Richtschnur und kann betroffenen Dienstleistern (in Auszügen) ebenfalls zur Kenntnis gegeben werden, damit sie wissen, welche Erwartungen sie erfüllen müssen.

• Einbindung des Betriebsrats suchen: Wenn ein Betriebsrat vorhanden ist, sollte dieser frühzeitig ins Boot geholt werden. Transparente Kommunikation der Erkenntnisse aus Schritt 1 (natürlich ohne vertrauliche Details preiszugeben, aber die generelle Gefahreneinschätzung) hilft, Verständnis zu schaffen. Gemeinsam kann eine Betriebsvereinbarung erarbeitet werden, die den Umgang mit Sicherheitsüberprüfungen regelt. Punkte, die darin geklärt werden sollten, umfassen: Geltungsbereich (für welche Mitarbeitergruppen gilt die Überprüfung – wahrscheinlich vor allem Externe, aber ggf. auch eigene Mitarbeiter in sensiblen Positionen), Art der Daten (welche Nachweise werden verlangt, z.B. Führungszeugnis, Selbstauskunftsformular), Verfahren (siehe Onboarding-Prozess, Fristen, Wiederholungen), Datenschutzmaßnahmen (Wer darf Ergebnisse sehen? Wann werden Daten gelöscht?), sowie Folgen (Was passiert bei Weigerung oder negativem Ergebnis? – etwa Versetzung statt Kündigung, sofern möglich). Durch diese Vereinbarung werden die Maßnahmen für alle Beteiligten verbindlich und gleichzeitig abgesichert, was Rechtsstreitigkeiten vorbeugt.

• Dienstleister vertraglich verpflichten: Parallel zur internen Regelung muss auch auf der Auftragnehmer-Seite Verbindlichkeit geschaffen werden. In neuen Dienstleistungsverträgen (oder durch Nachträge zu bestehenden Verträgen) sollte der Auftraggeber festschreiben, welche Sicherheitsanforderungen er an das Personal des Dienstleisters stellt. Beispielsweise: "Der Auftragnehmer garantiert, dass alle von ihm eingesetzten Mitarbeiter in sicherheitsempfindlichen Bereichen ein aktuelles Führungszeugnis ohne Eintragungen in den einschlägigen Deliktsbereichen (Eigentums-, Vermögens-, Gewalt- oder Staatschutzdelikte) vorweisen. Auf Verlangen ist dies durch Vorlage des Original-Führungszeugnisses nachzuweisen." Weiter könnte gefordert werden, dass das Personal in regelmäßigen Abständen geschult wird in Sicherheits- und Geheimhaltungsthemen. Viele öffentliche Auftraggeber haben solche Klauseln schon, die Privatwirtschaft kann und sollte hier nachziehen. Wichtig: Der Vertrag sollte auch die Konsequenzen benennen, z.B. dass der Auftraggeber berechtigt ist, den Austausch von Personal zu verlangen, wenn Zweifel an dessen Zuverlässigkeit auftauchen, oder dass er im Extremfall den Vertrag kündigen kann, falls der Dienstleister den Pflichten nicht nachkommt. Diese klaren Regeln erhöhen den Druck auf den Dienstleister, seinerseits proaktiv für vertrauenswürdiges Personal zu sorgen.

• Standardisierte Checklisten und Abläufe einführen: Im Unternehmen selbst sollten alle relevanten Stellen (Empfang/Security, Fachabteilungen, Objektmanagement, Personalabteilung) mit klaren Prozessanweisungen ausgestattet werden.

• Vor Arbeitsaufnahme: Personalien des externen MA erfasst (Name, Geburtsdatum, Firma) Ausweiskopie genommen Bereichseinstufung festgestellt (hohes/mittleres Risiko?) erforderliche Nachweise angefordert (z.B. Führungszeugnis, Fragebogen) Verpflichtungserklärung DSGVO/Geheimhaltung unterzeichnet(falls hoch) behördliche Überprüfung beantragt am: ____.

• Bei Arbeitsbeginn (vorläufig): Besucherausweis temporär ausgestellt (Zutritt nur mit Begleitung) Einweisung in Sicherheitsregeln erfolgt (Datum, Unterschrift) Vorgesetzter/Objektleiter informiert über Begleitpflicht.

• Nach Erhalt aller Prüfergebnisse (endgültig): Führungszeugnis geprüft am ____ (Ergebnis: ok/nicht ok) Verfassungsschutz-Antwort eingegangen am ____ (Ergebnis: keine Bedenken/Bedenken) Gesamtbewertung: freigegeben / abgelehnt (zutreffendes ankreuzen). Bei Freigabe: Dauerausweis erstellt, Zugangsrechte erteilt; Bei Ablehnung: Zutritt gesperrt, Dienstleister informiert am ____.

Eine solche Checkliste sollte der Sicherheitsverantwortliche mit jeder Person abarbeiten. Sie dient zugleich als Dokumentation im Sinne eines Prüfprotokolls. Viele Unternehmen setzen hier auch auf Software-Lösungen (Datenbank oder Excel-Listen), um den Überblick über Fristen zu behalten – insbesondere, wann jemandes Berechtigung erneuert werden muss.

Nicht nur die Reinigungskräfte brauchen Schulung – auch das eigene Personal muss wissen, warum und wie die neuen Prozesse laufen. Beispielsweise sollten Objektleiter oder die Mitarbeiter der Fachabteilung, die täglich mit den Reinigungskräften Kontakt haben, darüber Bescheid wissen, welche Regeln gelten: Etwa, dass sie keine ungeprüfte Person in einen sensiblen Raum lassen dürfen, auch wenn diese "doch nur kurz putzen" will. Ebenso sollten sie eventuelle Veränderungen im Verhalten der Dienstleister einschätzen lernen (Stichwort Insider Threat Awareness). Eine einmalige Infoveranstaltung kann hier hilfreich sein: Man stellt das neue Sicherheitskonzept vor, erläutert die Rollen (wer macht was) und klärt Fragen. Für die externen Kräfte selbst sollte je nach Verweildauer auch eine kurze Sicherheitseinweisung verpflichtend sein – damit sie wissen, was von ihnen erwartet wird (z.B. dass sie kein Foto machen dürfen in Bereichen oder dass sie verdächtige Beobachtungen melden sollen).

Trotz aller Kontrollen ist wichtig zu vermitteln, dass es nicht um Generalverdacht geht, sondern um Prävention weniger, aber potentiell gravierender Fälle. Führungskräfte sollten in ihrer Kommunikation betonen, dass die überwiegende Mehrheit der Reinigungskräfte und Dienstleister hervorragende Arbeit leistet und vertrauenswürdig ist. Die neuen Maßnahmen dienen dazu, diese Ehrlichen vor den wenigen Unehrlichen zu schützen, die sonst das Gesamtvertrauen untergraben könnten. So eine Rhetorik hilft, die Akzeptanz hochzuhalten. Gleichzeitig sollte man aber keine falsche Scheu haben, im Anlassfall konsequent durchzugreifen – d.h. zeigt sich doch ein eklatantes Fehlverhalten, muss das klar sanktioniert werden, um ein Zeichen zu setzen.

Gerade im Sektor Facility Management kann es hilfreich sein, sich mit anderen Organisationen über Best Practices auszutauschen. Branchenverbände oder Arbeitskreise (z.B. der Deutsche Verband für Sicherheit in der Wirtschaft oder lokale Sicherheitsnetzwerke) bieten Plattformen dafür. Dort kann man erfahren, wie andere das Problem gelöst haben, welche Dienstleister z.B. zuverlässig Überprüfungen liefern etc. Eventuell ergeben sich daraus auch Kooperationen: So könnte ein Großunternehmen kleinere Partnerfirmen dabei unterstützen, Überprüfungen zu organisieren, indem es etwa sein Wissen oder seine Infrastruktur teilt (z.B. könnte ein Konzern anbieten, die Führungszeugnisse der Putzkräfte seines Outsourcing-Partners mit zu prüfen, da der Partner keine eigene Sicherheitsabteilung hat).

Neben der direkten Überprüfung der Personen sollte man nicht vergessen, dass bauliche, technische und organisatorische Maßnahmen ebenfalls viel bewirken können, um Risiken zu senken.

• Einführung eines Zonenprinzips: Reinigungskräfte bekommen nur Zugang zu den Räumen, die sie tatsächlich reinigen müssen (Zutrittskontrolle per Chip, Schlüssel nur für definierte Bereiche). So wird die "Angriffsfläche" reduziert.

• Einrichtung von Begleitpflicht in Top-Secret-Bereichen: Wie erwähnt, wird im AA der Leitungstrakt nur in Anwesenheit eines Mitarbeiters gereinigt. Unternehmen könnten Ähnliches für ihre allerwichtigsten Räume vorsehen, auch wenn es Aufwand bedeutet.

• Clean-Desk-Policy forcieren: Wenn abends alle Mitarbeiter ihre vertraulichen Unterlagen wegsperren und Bildschirme gesperrt sind, können Reinigungskräfte gar nicht viel sehen oder entwenden. Viele Spionage-Fälle basieren auf Nachlässigkeit der eigentlichen Mitarbeiter (z.B. liegen gelassene Passwörter). Hier schützt man die Reinigungskräfte auch davor, in Versuchung zu geraten.

• Logging und Monitoring: Es sollte protokolliert werden, wer wann wo war (insbesondere bei IT-Systemen: temporäre Admin-Accounts für externe Techniker, die hinterher deaktiviert werden). So hinterlassen potentielle Täter Spuren, was abschreckend wirkt.

• Meldewege etablieren: Falls einem internen Mitarbeiter etwas Ungewöhnliches auffällt (z.B. ein externer Reiniger steckt einen USB-Stick in einen PC), muss klar sein, an wen er das melden kann (ohne gleich jemanden zu beschuldigen, sondern neutral). Ebenso sollten Externe selbst eine Ansprechperson haben, wenn sie z.B. von Fremden angesprochen werden oder etwas Verdächtiges bemerken.