Personalüberprüfung im Kontext von NIS2, CER, CRA, KRITIS-Dachgesetz und ISO 27001: Eine Bestandsaufnahme 2025
- Marc Borgers
- vor 4 Tagen
- 6 Min. Lesezeit
Aktualisiert: vor 3 Tagen
Was die neuen Regularien fordern und wo die Grenzen liegen
Rechtslage zum Zeitpunkt der Veröffentlichung: Dezember 2025
Die europäischen sowie deutschen Gesetzgeber haben in den vergangenen Jahren mehrere Regelwerke geschaffen, die Anforderungen an die Personalüberprüfung in Unternehmen enthalten. Dieser Artikel dokumentiert die Rechtslage im Dezember 2025 und gibt einen Überblick über die wesentlichen Regelungen sowie deren Reichweite zu diesem Zeitpunkt.Die relevanten Regelwerke im Überblick
NIS2-Richtlinie und deutsches Umsetzungsgesetz
Die EU-Richtlinie 2022/2555 (NIS2) wurde in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz umgesetzt, das am 6. Dezember 2025 in Kraft trat. Es ändert unter anderem das BSI-Gesetz (BSIG) und betrifft nach Schätzungen über 30.000 Unternehmen in Deutschland.
KRITIS-Dachgesetz
Der Regierungsentwurf zum KRITIS-Dachgesetz wurde im September 2025 vom Bundeskabinett beschlossen. Das Gesetz setzt die EU-Richtlinie 2022/2557 (CER-Richtlinie) um und soll voraussichtlich 2026 in Kraft treten. Es adressiert die physische Resilienz kritischer Infrastrukturen.
Cyber Resilience Act (CRA)
Die EU-Verordnung 2024/2847 trat am 10. Dezember 2024 in Kraft. Sie betrifft primär Hersteller sowie Importeure und Händler von Produkten mit digitalen Elementen. Anforderungen an Personalüberprüfungen enthält sie nicht direkt.
Sicherheitsüberprüfungsgesetz (SÜG)
Das SÜG regelt seit 1994 die Voraussetzungen für behördliche Sicherheitsüberprüfungen. Es wurde zuletzt durch Artikel 3 des Gesetzes vom 22. Dezember 2023 geändert. Eine Modernisierung des Sicherheitsüberprüfungsgesetzes steht in Kürze bevor.
Anforderungen an die Personalüberprüfung
NIS2-Umsetzungsverordnung (EU) 2024/2690
Die Durchführungsverordnung (EU) 2024/2690 zur NIS2-Richtlinie enthält im Anhang unter Nummer 10.2 Vorgaben zur Zuverlässigkeitsüberprüfung:
Nummer 10.2.1 bestimmt, dass betreffende Einrichtungen „soweit durchführbar" sicherstellen, dass Zuverlässigkeitsüberprüfungen ihrer Mitarbeitenden durchgeführt werden, wenn dies für deren Rollen, Verantwortlichkeiten und Weisungsbefugnisse erforderlich ist.
Nummer 10.2.2 fordert, dass Einrichtungen Kriterien festlegen, welche Rollen nur von Personen mit überprüfter Zuverlässigkeit wahrgenommen werden dürfen. Überprüfungen sollen vor Tätigkeitsbeginn erfolgen, wobei geltende Gesetze, Vorschriften und ethische Normen zu berücksichtigen sind.
Nummer 10.2.3 verlangt eine regelmäßige Überprüfung und gegebenenfalls Aktualisierung des Konzepts.
KRITIS-Dachgesetz (Regierungsentwurf, Stand September 2025)
Der Entwurf enthält in mehreren Paragrafen Bezüge zur Personalsicherheit:
§ 8 (Risikobewertung) sieht vor, dass Betreiber kritischer Anlagen Risikobewertungen durchführen, die auch Personalrisiken umfassen.
§ 9 (Resilienzmaßnahmen) fordert Maßnahmen, die auch organisatorische und personelle Aspekte einschließen.
§ 13 (Resilienzplan) verlangt die Dokumentation der getroffenen Maßnahmen.
Der Zugang zu behördlichen Sicherheitsüberprüfungen
Rechtslage nach SÜG im Dezember 2025
Das Sicherheitsüberprüfungsgesetz des Bundes definiert in § 1, wer einer Sicherheitsüberprüfung unterzogen werden kann. Voraussetzung ist eine „sicherheitsempfindliche Tätigkeit".
Eine solche liegt nach § 1 Abs. 2 SÜG vor, wenn eine Person:
Zugang zu Verschlusssachen ab der Einstufung VS-VERTRAULICH erhält oder sich verschaffen kann
An einer sicherheitsempfindlichen Stelle innerhalb einer lebens- oder verteidigungswichtigen Einrichtung beschäftigt ist
Die Zuständigkeit für Überprüfungen in nicht-öffentlichen Stellen liegt nach § 3 Abs. 1 SÜG beim Bundesministerium für Wirtschaft und Klimaschutz.
Keine Erweiterung durch NIS2 oder KRITIS-Dachgesetz
Zum Zeitpunkt der Veröffentlichung dieses Artikels erweitern weder das NIS2-Umsetzungsgesetz noch der Entwurf des KRITIS-Dachgesetzes den Kreis der zum SÜG-Verfahren berechtigten Unternehmen. Die Betroffenheit von NIS2 oder die Eigenschaft als KRITIS-Betreiber begründet für sich genommen keinen Anspruch auf behördliche Sicherheitsüberprüfungen.
Forderungen aus Verbänden
Der Deutsche Städte- und Gemeindebund (DStGB) hat in seiner Stellungnahme zum KRITIS-Dachgesetz vom Februar 2024 gefordert, dass Betreiber von KRITIS-relevanten Anlagen auch Zuverlässigkeitsüberprüfungen nach SÜG anfordern dürfen. Diese Forderung wurde im Regierungsentwurf vom September 2025 nicht aufgegriffen.
Privatrechtlich verfügbare Instrumente
Unternehmen ohne Zugang zum SÜG-Verfahren stehen nach der Rechtslage im Dezember 2025 mehrere privatrechtliche Instrumente zur Verfügung. Professionelle Personalüberprüfungen werden zum Zeitpunkt der Veröffentlichung in sensiblen Bereichen bereits seit Jahren praktiziert, insbesondere in der Finanzdienstleistungsbranche, der Pharmaindustrie, der Verteidigungsindustrie sowie bei Unternehmen mit hohen Compliance-Anforderungen. Die neuen Regularien erweitern den Kreis der betroffenen Unternehmen erheblich und formalisieren die Anforderungen an Überprüfungsverfahren. Ob und in welchem Umfang diese Instrumente im Einzelfall zulässig eingesetzt werden können, hängt von den jeweils anwendbaren arbeits- und datenschutzrechtlichen Regelungen sowie der aktuellen Rechtsprechung ab und bedarf einer individuellen rechtlichen Prüfung.
Führungszeugnis
Ein Führungszeugnis wird auf Antrag der betroffenen Person nach § 30 BZRG erteilt. Arbeitsrechtlich kann ein Arbeitgeber nach Maßgabe des § 26 BDSG die Vorlage verlangen, sofern dies für die angestrebte Tätigkeit erforderlich ist. Das Führungszeugnis enthält Eintragungen aus dem Bundeszentralregister nach Maßgabe der §§ 32 ff. BZRG.
Schufa-Auskunft und Bonitätsprüfung
Bei Positionen mit Finanzverantwortung, Zugang zu Zahlungsverkehr oder erhöhtem Korruptionsrisiko kann die Vorlage einer Schufa-Selbstauskunft verlangt werden, sofern dies nach § 26 BDSG für die konkrete Position erforderlich ist. Die Anforderung muss sich aus der spezifischen Tätigkeit begründen lassen. Die betroffene Person fordert die Auskunft selbst an und entscheidet über die Vorlage beim potentiellen Arbeitgeber.
Selbstauskunft
Arbeitgeber können Selbstauskünfte zu verschiedenen beschäftigungsrelevanten Sachverhalten einholen. Der Umfang des zulässigen Fragerechts richtet sich nach der Erforderlichkeit für die konkrete Position sowie den Grenzen des AGG und der aktuellen arbeitsgerichtlichen Rechtsprechung.
Referenz- und Lebenslaufprüfung
Die Überprüfung von Angaben im Lebenslauf sowie die Einholung von Referenzen sind im Rahmen der arbeitsrechtlichen Grenzen zulässig. Maßgeblich sind insbesondere die Vorgaben des Bundesdatenschutzgesetzes (BDSG) sowie der Datenschutz-Grundverordnung (DSGVO).
Validierung von Qualifikationsnachweisen
Die Überprüfung der Echtheit von Zeugnissen, Zertifikaten und akademischen Abschlüssen ist grundsätzlich zulässig. Dies umfasst die Verifizierung bei ausstellenden Institutionen sowie die Prüfung auf Fälschungen.
Background Checks durch Dienstleister
Spezialisierte Anbieter führen mehrstufige Überprüfungen durch, die je nach Anforderungsprofil folgende Elemente umfassen können:
• Identitätsprüfung und Dokumentenvalidierung
• Bonitätsprüfungen
• Sanktionslistenabgleiche (PEP-Listen, Terrorlisten, Embargos)
• Recherchen in öffentlich zugänglichen Quellen und Datenbanken
• Überprüfung der Beschäftigungshistorie
• Validierung von Qualifikationen und beruflichen Zertifizierungen
• Analyse öffentlich zugänglicher Online-Präsenzen
Der Umfang solcher Überprüfungen muss sich an der konkreten Position und den damit verbundenen Risiken orientieren und die datenschutzrechtlichen Anforderungen wahren. In sensiblen Bereichen sind mehrstufige Screening-Verfahren bereits seit Jahren etablierte Praxis.
Rechtliche Rahmenbedingungen für Personalüberprüfungen
Datenschutzrechtliche Vorgaben
Die Erhebung personenbezogener Daten im Bewerbungsverfahren richtet sich nach § 26 BDSG in der im Dezember 2025 geltenden Fassung. Demnach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Die Frage, welche Überprüfungsmaßnahmen als „erforderlich" gelten, ist einzelfallabhängig und richtet sich nach den jeweils geltenden Vorschriften und deren Auslegung durch Behörden und Gerichte.
Arbeitsrechtliche Grenzen
Das Fragerecht des Arbeitgebers ist durch die Rechtsprechung begrenzt. Die konkreten Grenzen ergeben sich aus der jeweils aktuellen Rechtsprechung der Arbeitsgerichte.
Verhältnismäßigkeit und Erforderlichkeit
Der Umfang zulässiger Überprüfungsmaßnahmen richtet sich nach dem Grundsatz der Verhältnismäßigkeit. Je sensibler die Position und je höher das Risikopotential, desto umfangreicher dürfen die Überprüfungen ausfallen. Maßgeblich sind insbesondere:
• Die Art der Tätigkeit und die damit verbundenen Zugangsrechte
• Das Schadenspotential bei Missbrauch der Position
• Die Sensibilität der zugänglichen Daten und Systeme
• Gesetzliche oder vertragliche Verpflichtungen des Arbeitgebers
AGG-Konformität
Überprüfungsmaßnahmen dürfen nicht zu einer Diskriminierung nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) führen.
Schnittstellen zwischen den Regelwerken
SÜG und KRITIS-Dachgesetz
Der Entwurf des KRITIS-Dachgesetzes vom September 2025 berührt das SÜG nicht. Die Regelungen bestehen parallel. Betreiber kritischer Anlagen, die bereits nach SÜG überprüfungsberechtigt sind (etwa aufgrund von Verschlusssachenzugang), können diese Möglichkeit weiterhin nutzen.
NIS2 und KRITIS-Dachgesetz
Beide Regelwerke adressieren teilweise dieselben Unternehmen mit unterschiedlichen Schwerpunkten. Das NIS2-Umsetzungsgesetz fokussiert auf Cybersicherheit und das KRITIS-Dachgesetz auf physische Resilienz. Die Personalüberprüfung ist in beiden als Element des Risikomanagements vorgesehen.
Verhältnis zu ISO 27001
Die internationale Norm ISO/IEC 27001 enthält in Anhang A Anforderungen an die Sicherheitsüberprüfung von Personal. Die NIS2-Umsetzungsverordnung nimmt auf „einschlägige europäische und internationale Normen" Bezug.
Übersicht: Zugang zu Überprüfungsinstrumenten (Dezember 2025)
Voraussetzung | SÜG-Überprüfung | Privatrechtliche Instrumente* |
Zugang zu Verschlusssachen (VS-VERTRAULICH und höher) | Ja | Ja |
Lebens- oder verteidigungswichtige Einrichtung nach SÜG | Ja | Ja |
NIS2-betroffene Einrichtung (ohne weitere SÜG-Voraussetzung) | Nein | Ja |
KRITIS-Betreiber (ohne weitere SÜG-Voraussetzung) | Nein | Ja |
Sonstige Unternehmen | Nein | Ja |
*„Ja" bedeutet: Die Nutzung der jeweiligen Instrumente ist rechtlich grundsätzlich möglich. Im Einzelfall ist die Zulässigkeit jedoch an die arbeits- und datenschutzrechtlichen Voraussetzungen (insbesondere DSGVO, BDSG, AGG sowie die einschlägige Rechtsprechung) gebunden.
Übersicht: Typische Überprüfungsinstrumente nach Sensibilitätsstufen (Dezember 2025)
Sensibilitätsstufe | Typische Positionen | Übliche Instrumente* |
Basis | Standardpositionen ohne besonderen Systemzugang | Lebenslaufprüfung, Qualifikationsvalidierung |
Erhöht | IT-Administration, Zugang zu personenbezogenen Daten | Zusätzlich: Führungszeugnis, Referenzprüfung |
Hoch | Systemadministratoren, Zugang zu kritischen Systemen | Zusätzlich: Professioneller Background Check, ggf. Schufa-Auskunft |
Sehr hoch | KRITIS-relevante Positionen, Zugang zu Verschlusssachen | Zusätzlich: SÜG-Überprüfung (falls verfügbar), umfassender Background Check |
*Die Zulässigkeit richtet sich im Einzelfall nach den arbeits- und datenschutzrechtlichen Voraussetzungen sowie der konkreten Position.
Praxishinweis: Unternehmen, die erstmals durch NIS2 oder das KRITIS-Dachgesetz zu Personalüberprüfungen verpflichtet werden, sollten beachten, dass professionelle Screening-Verfahren in vergleichbaren sensiblen Bereichen bereits seit Jahren etabliert sind. Es empfiehlt sich, bei der Implementierung von Überprüfungsverfahren auf die Expertise spezialisierter Dienstleister sowie auf rechtliche Beratung zurückzugreifen, um sowohl die regulatorischen Anforderungen als auch die datenschutz- und arbeitsrechtlichen Grenzen zu wahren.Quellenverzeichnis
Europäische Rechtsakte:
Deutsche Rechtsakte (Stand Dezember 2025):
Sicherheitsüberprüfungsgesetz (SÜG) in der Fassung vom 22. Dezember 2023, Update in Kürze: Drucksache 21/1926, geändert in 21/3106.
NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vom 5. Dezember 2025
Regierungsentwurf KRITIS-Dachgesetz vom 10. September 2025
Behördliche Informationen:
Rechtlicher Hinweis: Dieser Artikel dokumentiert die Rechtslage im Dezember 2025. Er dient ausschließlich der Information über den Rechtsstand zum Zeitpunkt der Veröffentlichung, erhebt keinen Anspruch auf Vollständigkeit und stellt keine Rechtsberatung dar. Die wiedergegebenen Rechtsvorschriften können sich nach dem Veröffentlichungsdatum geändert haben. Für die Anwendung auf konkrete Sachverhalte ist die Prüfung der jeweils geltenden Rechtslage sowie die Hinzuziehung rechtlicher Beratung erforderlich.