Wenn Unternehmen Kapitel 16 der DIN SPEC 14027:2026 zum ersten Mal lesen, überrascht sie oft, was die Norm tatsächlich fordert. Es geht nicht einfach darum, ab sofort ein Führungszeugnis einzuholen oder einen Dienstleister für Identitätsprüfungen zu beauftragen. Die Spezifikation verlangt eine vollständige Prozessarchitektur für die sicherheitsorientierte Personalauswahl – und das ist der Punkt, an dem die meisten Organisationen Unterstützung brauchen.

Was Kapitel 16 wirklich fordert: Drei Implementierungsebenen

Tabelle A.13 der DIN SPEC 14027 gliedert die Anforderungen an Pre-Employment Screening in drei Bereiche:

Ebene 1: Vorgaben und Verantwortlichkeiten (Anforderungen 1.1–1.7)

Bevor die erste Prüfung durchgeführt wird, müssen Organisationen:

  1. Den Schutzbedarf für alle relevanten Positionen ermitteln (Schutzbedarfsmatrix nach Kritikalität der Funktion, Datenzugang, IT-Sicherheitsrelevanz, Know-how-Kritikalität)
  2. Ein schriftliches Integritätsprüfungskonzept erarbeiten
  3. Eskalationsprozesse für Yellow- und Red-Flag-Ergebnisse definieren
  4. Eine dokumentierte Make-or-Buy-Entscheidung treffen (Anforderung 1.7 der Norm)
  5. Alle beteiligten Recruiter und Führungskräfte schulen

Das ist mehr als eine Checkliste – das ist Organisationsentwicklung.

Ebene 2: PES/IDD durchführen (Anforderungen 2.1–2.6)

Erst hier kommen die eigentlichen Prüfmodule ins Spiel. Die Norm definiert 11 mögliche Prüfschritte und fordert zusätzlich:

  1. Ein Prüflevel-Konzept, das den Schutzbedarf der Position (Sicherheitsniveau A–D) mit dem Umfang der Prüfung verknüpft
  2. Abstimmung mit Datenschutz und Compliance vor dem Go-live
  3. Einbindung des Personal- oder Betriebsrates
  4. Eine Kommunikationsstrategie für interne und externe Stakeholder
  5. Operative Vorlagen für die Bewerberkommunikation (One-Pager, Einwilligungsformulare)

Ebene 3: Wirksamkeit sicherstellen (Anforderungen 3.1–3.3)

Background Screening ist kein Einmalprojekt. Kapitel 16 fordert:

  1. KPI-Tracking: Anzahl PES, Yellow/Red-Flag-Quoten, Ablehnungsquoten aufgrund PES-Ergebnisberichte
  2. Jährlichen Evaluationsbericht durch den Prozessowner (Adressaten: Leitung Recruiting, Verantwortlicher Sicherheit)
  3. Zyklische Fortschreibung des PES-Standards auf Basis der KVP-Maßnahmen

Wo die meisten Unternehmen scheitern

In der Praxis sehen wir drei typische Lücken:

Fehlende Schutzbedarfsmatrix

Ohne eine klare Einteilung der Positionen nach Risikokriterien werden entweder alle Bewerber gleich behandelt – zu aufwändig und datenschutzrechtlich problematisch – oder Prüfungen werden ad hoc entschieden: nicht reproduzierbar und nicht auditierbar. Die Norm fordert ausdrücklich eine Schutzbedarfsmatrix für Jobgruppen und Positionen als Grundlage jedes Prüflevel-Konzepts.

Kein definierter Eskalationsprozess

Was passiert, wenn ein Bewerber eine Yellow Flag hat? Wer entscheidet – HR, Legal, Security? Kapitel 16 fordert einen festgelegten Informationsfluss über alle beteiligten Stellen sowie eine letzte Entscheidungsinstanz. Wenn diese Frage nicht vorab beantwortet ist, entstehen im Ernstfall Entscheidungslosigkeit und Haftungsrisiken.

Dokumentation als Lückenbüßer

Viele Unternehmen führen Prüfungen durch, dokumentieren aber nicht normgerecht. Im Audit fehlen dann Nachweise über Einwilligungen, Prüflevel-Begründungen, Speicherfristen der Ergebnisberichte oder KVP-Maßnahmen.

Wie Validato die Implementierung trägt

Validato ist nicht nur ein Technologieanbieter – wir sind ein Prozesspartner. Unser Implementierungsansatz umfasst:

  1. Schutzbedarfsanalyse und Erstellung der Positionsmatrix gemeinsam mit dem Kunden
  2. Entwicklung des Integritätsprüfungskonzepts nach den Anforderungen von Kapitel 16
  3. Plattformkonfiguration mit kundenspezifischen Prüfleveln und Eskalationsworkflows
  4. DSGVO-konforme Einwilligungsdokumentation und Datenlösch­prozesse (120 Tage)
  5. Schulungen für Recruiter und Hiring Manager
  6. Laufendes Reporting für KVP und jährliche Evaluation nach Tabelle A.13, Anforderung 3.1–3.3

Das Ergebnis: Unsere Kunden sind nicht nur compliant – sie können Compliance nachweisen.

Fazit

Kapitel 16 der DIN SPEC 14027 ist eine Chance, Background Screening in Ihrer Organisation auf ein professionelles Fundament zu stellen. Die Herausforderung liegt weniger in den 11 Prüfmodulen als in der Prozessarchitektur dahinter. Validato hat diese Architektur – und die Erfahrung, sie in Ihrer Organisation zum Leben zu erwecken.