Wenn deine Beschäftigten mit staatlichen Aufträgen, Verschlusssachen oder kritischer Infrastruktur in Berührung kommen, wird aus einem gewöhnlichen Einstellungsvorgang schnell ein rechtlich anspruchsvolles Verfahren. Wir erklären, was auf dich zukommt – und wo die Fallstricke liegen.
Wann trifft dich das Thema?
Sicherheitsüberprüfungen sind kein Thema nur für Behörden. Auch private Unternehmen sind betroffen, sobald sie staatliche Aufträge ausführen, bei denen Beschäftigte Zugang zu sicherheitsrelevanten Informationen erhalten oder an sogenannten sicherheitsempfindlichen Stellen tätig werden.
Das Gesetz nennt zwei große Fallgruppen:
Personeller Geheimschutz: Beschäftigte, die Zugang zu als VS-VERTRAULICH, GEHEIM oder STRENG GEHEIM eingestuften Verschlusssachen erhalten sollen, müssen vorab überprüft werden.
Vorbeugender personeller Sabotageschutz: Wer an einer sicherheitsempfindlichen Stelle innerhalb einer lebens- oder verteidigungswichtigen Einrichtung tätig ist – z.B. in der Energieversorgung, Wasserversorgung, im Telekommunikationsbereich oder der Rüstungsindustrie –, fällt ebenfalls in den Anwendungsbereich.
Ob dein Unternehmen oder einzelne Arbeitsplätze konkret betroffen sind, entscheidet die jeweils zuständige öffentliche Stelle. Auf Bundesebene ist das in der Regel das Bundesministerium für Wirtschaft und Klimaschutz (BMWK), auf Landesebene die jeweilige Landesbehörde.
Die drei Prüfstufen
Das Sicherheitsüberprüfungsgesetz (SÜG) des Bundes – zuletzt geändert durch das Gesetz zur Modernisierung des SÜG vom Januar 2026 – sieht drei abgestufte Überprüfungsebenen vor:
Ü1 – Einfache Sicherheitsüberprüfung Greift bei Zugangsmöglichkeit zu VS-VERTRAULICH eingestuften Verschlusssachen. Es erfolgen Abfragen beim Verfassungsschutz, Bundeszentralregister, Gewerbezentralregister, Bundeskriminalamt und den Polizeidienststellen der bisherigen Wohnsitze. Hinzu kommt eine Internetrecherche im öffentlich sichtbaren Bereich – nach der aktuellen Rechtslage ausdrücklich auch in sozialen Netzwerken.
Ü2 – Erweiterte Sicherheitsüberprüfung Greift bei Zugang zu GEHEIM eingestuften Informationen oder einer hohen Anzahl VS-VERTRAULICH-Verschlusssachen. Zusätzlich werden Identität und frühere Wohnsitze vertieft geprüft, soziale Netzwerke können eingesehen werden.
Ü3 – Erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen Die intensivste Stufe, greift bei STRENG GEHEIM oder Tätigkeiten bei Nachrichtendiensten. Hier werden zudem von der betroffenen Person benannte Referenzpersonen sowie weitere geeignete Auskunftspersonen befragt.
Deine Pflichten als Arbeitgeber
Registrierung: Bevor überhaupt eine Überprüfung deiner Beschäftigten beantragt werden kann, musst du dein Unternehmen beim BMWK oder der BDBOS im vorbeugenden personellen Sabotageschutz registrieren lassen. Das erfordert ein formelles Schreiben der Geschäftsleitung mit Benennung eines Sabotageschutzbeauftragten.
Sicherheitsbeauftragter: Die mit der Sicherheitsüberprüfung zusammenhängenden Aufgaben müssen im Unternehmen von einer anderen Stelle wahrgenommen werden als der regulären Personalverwaltung – diese darf das Ergebnis der Überprüfung nicht kennen (§ 25 Abs. 5 SÜG).
Einleitung des Verfahrens: Du kannst die Überprüfung anstoßen, indem du das BMWK unter Beschreibung der sicherheitsempfindlichen Tätigkeit und Beifügung der schriftlichen Einwilligung der betroffenen Person anschreibst.
Ergebnis: Das BMWK teilt dir nur mit, ob eine Ermächtigung erteilt werden kann oder nicht – inhaltliche Details aus der Überprüfung erhältst du nicht.
Prüfung der Voraussetzungen: Wichtig: Vor dem Anstoßen einer Überprüfung solltest du sorgfältig prüfen, ob die gesetzlichen Voraussetzungen überhaupt vorliegen. Eine Überprüfung, die nicht gerechtfertigt ist, kann arbeits- und datenschutzrechtliche Folgen haben.
Einwilligung der Beschäftigten – ohne geht gar nichts
Die Sicherheitsüberprüfung setzt zwingend die schriftliche Zustimmung der betroffenen Person voraus. Das ist nicht verhandelbar. Ohne Einwilligung darf das Verfahren nicht eingeleitet werden.
Das stellt dich als Arbeitgeber vor eine praktische Frage: Was passiert, wenn ein Beschäftigter oder Bewerber die Zustimmung verweigert? Dann kann die Person die sicherheitsempfindliche Tätigkeit schlicht nicht ausüben. Ob das arbeitsrechtliche Konsequenzen hat, etwa bei der Einstellung oder beim Einsatz im Rahmen eines laufenden Arbeitsverhältnisses, hängt vom Einzelfall ab und sollte rechtlich bewertet werden.
Die DSGVO findet auf das Sicherheitsüberprüfungsverfahren selbst nach überwiegender Auffassung keine Anwendung (Art. 2 Abs. 2 lit. a DSGVO). Für deine Datenübermittlung als Arbeitgeber an die Behörde kommt als Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO in Betracht, wenn die Überprüfung zur Erfüllung des Arbeitsverhältnisses erforderlich ist, weil die Beschäftigten ihre vertraglich geschuldete Arbeitsleistung sonst nicht erbringen können.
Was geprüft wird und was ein Sicherheitsrisiko begründet
Das Gesetz definiert drei Kategorien von Sicherheitsrisiken (§ 5 SÜG):
Erstens Zweifel an der Zuverlässigkeit der Person bei der Wahrnehmung einer sicherheitsempfindlichen Tätigkeit. Zweitens eine besondere Gefährdung durch Anbahnungs- oder Werbungsversuche ausländischer Nachrichtendienste oder extremistischer Organisationen. Drittens Zweifel am Bekenntnis zur freiheitlichen demokratischen Grundordnung.
In der Praxis spielen dabei folgende Aspekte eine Rolle: Mitgliedschaften in verfassungsfeindlichen Personenzusammenschlüssen (auch Verdachtsfälle), extremistische Äußerungen in sozialen Netzwerken oder Chats, das Liken oder Teilen solcher Inhalte, Tätowierungen mit einschlägigen Symbolen, Kontakte zu entsprechenden Personen sowie falsche Angaben in der Sicherheitserklärung. Letzteres ist besonders heikel: Wer in der Sicherheitserklärung Unwahrheiten angibt, riskiert damit regelmäßig die Feststellung eines Sicherheitsrisikos – unabhängig vom inhaltlichen Vorwurf.
Wichtig für die Praxis: Für die Feststellung eines Sicherheitsrisikos genügen tatsächliche Anhaltspunkte. Es braucht keinen strafgerichtlichen Nachweis. Im Zweifel hat das Sicherheitsinteresse Vorrang (§ 14 Abs. 3 SÜG).
Exkurs: Lügendetektor – rechtlich und praktisch
Im Kontext von Sicherheitsüberprüfungen taucht gelegentlich die Frage auf, ob der Einsatz eines Polygraphen (umgangssprachlich: Lügendetektor) zulässig ist oder sein könnte.
Die Antwort ist in Deutschland klar: Der Einsatz ist weder im Strafverfahren noch im Arbeitsrecht als Beweismittel anerkannt. Der Bundesgerichtshof hat die Verwertbarkeit grundsätzlich abgelehnt, weil die Methode wissenschaftlich nicht belastbar ist. Es lässt sich nach heutigem Erkenntnisstand kein eindeutiger Zusammenhang zwischen körperlichen Reaktionen wie Puls, Blutdruck und Schweißproduktion und dem Lügen einer Person nachweisen.
Das Bundesarbeitsgericht hat 2023 bestätigt (BAG, 28.02.2023 – 2 AZR 194/22; BGH 30. November 2010 – 1 StR 509/10 – Rn. 6; 24. Juni 2003 – VI ZR 327/02 – Rn. 6 ff.; BVerwG 31. Juli 2014 – 2 B 20.14 – Rn. 9 ff.), dass ein Polygraphenergebnis kein taugliches Beweismittel im Arbeitsgerichtsprozess darstellt.
Darüber hinaus bestehen erhebliche datenschutz- und persönlichkeitsrechtliche Bedenken: Die Verarbeitung der dabei erfassten biometrischen und gesundheitsbezogenen Daten stellt einen schwerwiegenden Eingriff dar, für den es in der Regel an einer tragfähigen Rechtsgrundlage fehlt. Aufgrund des typischen Abhängigkeitsverhältnisses im Arbeitsverhältnis ist außerdem eine wirklich freiwillige Einwilligung kaum vorstellbar. Hinzu kommen mögliche Mitbestimmungsrechte des Betriebsrats.
Kurz gesagt: Der Lügendetektor bleibt in Deutschland ein rechtlich unzulässiges Instrument – auch und gerade im Rahmen von Sicherheitsüberprüfungen.
Was bedeutet das für dein Unternehmen konkret?
Wenn du einen staatlichen Auftrag anstrebst, der eine Sicherheitsüberprüfung deiner Beschäftigten voraussetzt, empfehlen wir folgende Schritte:
Prüfe zunächst, ob die gesetzlichen Voraussetzungen für eine Überprüfung tatsächlich vorliegen. Kläre frühzeitig, welche Beschäftigten konkret betroffen sind und ob diese bereit sind, die erforderliche Sicherheitserklärung auszufüllen. Stelle sicher, dass in deinem Unternehmen eine vom Personalbereich getrennte Stelle für die Abwicklung zuständig ist. Berücksichtige den zeitlichen Aufwand: Sicherheitsüberprüfungen können Monate dauern und sollten daher weit vor dem geplanten Einsatz der Beschäftigten eingeleitet werden. Dokumentiere die Einwilligung der betroffenen Personen sorgfältig und in der gesetzlich vorgeschriebenen Form.
Unser Fazit
Sicherheitsüberprüfungen sind kein bürokratischer Selbstzweck, sondern ein gesetzlich geregeltes Verfahren mit echten Konsequenzen für beide Seiten – Unternehmen und Beschäftigte. Wer die Voraussetzungen nicht sorgfältig prüft oder das Verfahren fehlerhaft einleitet, riskiert nicht nur das Scheitern des Auftrags, sondern auch arbeits- und datenschutzrechtliche Probleme.
Wir bei Legal Living Hub beraten dich sowohl bei der Einordnung, ob eine Überprüfung in deinem Fall überhaupt erforderlich ist, als auch bei der datenschutzkonformen Umsetzung des gesamten Verfahrens.
Rechtsstand: Juni 2026 | Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung.
Weiterführende Informationen findest du beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI): https://www.bfdi.bund.de/DE/Buerger/Inhalte/SÜG/FAQ.html
