-
Drittanbieter-Screening: Warum die Überprüfung von Lieferanten und Partnern zur Pflicht wird
Externe Partner im Blindflug: Ein unterschätztes Unternehmensrisiko Unternehmen prüfen Bewerber für interne Stellen heute häufig sorgfältig – doch bei externen Partnern, Lieferanten und Subunternehmern klafft oft eine strategische Lücke. Dabei sind es häufig genau diese Akteure, die sensiblen Zugang zu IT-Systemen, Kundendaten oder kritischen Geschäftsprozessen erhalten. Die Folge: Sicherheitsrisiken, Compliance-Verstöße und Reputationsschäden, die sich mit einem strukturierten Third-Party Screening vermeiden ließen. Laut einer Studie des Ponemon Institute entfallen mehr als 50 Prozent aller Datenpannen auf Dritte mit privilegiertem Zugriff. Gleichzeitig steigen regulatorische Anforderungen: DSGVO, das Lieferkettensorgfaltspflichtengesetz (LkSG) sowie branchenspezifische Normen wie ISO 27001 oder der BSI IT-Grundschutz verlangen von Organisationen den Nachweis, dass auch externe Partner ihren Sorgfaltspflichten genügen. Was…
-
Deutschland im Fokus: Validato macht NIS2-Compliance messbar und beherrschbar
Europa setzt neue Maßstäbe: Was die NIS2-Richtlinie für Deutschland bedeutet Mit der NIS2-Richtlinie (Network and Information Security Directive 2) hat die Europäische Union die Cyber-Sicherheitsanforderungen für Unternehmen und Behörden grundlegend neu geregelt. Seit Oktober 2024 gilt in Deutschland wie in allen EU-Mitgliedstaaten: Kritische Infrastrukturen, wesentliche und wichtige Einrichtungen müssen deutlich höhere Sicherheitsstandards erfüllen und Nachweise darüber erbringen können. Schätzungen zufolge sind allein in Deutschland über 30.000 Unternehmen unmittelbar von der Richtlinie betroffen. Die NIS2-Richtlinie weitet den regulatorischen Anwendungsbereich erheblich aus. Neben klassischen KRITIS-Sektoren wie Energie, Gesundheit und Finanzen sind nun auch Unternehmen aus den Bereichen Lebensmittelproduktion, Maschinenbau, Chemie und digitale Infrastruktur erfasst. Für viele dieser Organisationen stellt dies eine völlig…
-
Background-Check-Provider auswählen: Der Kriterienkatalog für HR in der Schweiz
Die Entscheidung, Background Checks auszulagern, ist für die meisten Schweizer Unternehmen wirtschaftlich sinnvoll. Doch der Markt ist unübersichtlich, und die falsche Wahl kann zur Compliance-Falle werden. Worauf müssen HR-Verantwortliche bei der Auswahl eines Screening-Providers achten? Kriterium 1: Datenschutz und Serverstandort Das wichtigste Kriterium in der Schweiz ist die Frage, wo die Daten Ihrer Bewerber gespeichert werden. Best Practice ist ein Serverstandort in der Schweiz, der garantiert, dass die Daten den Schweizer Rechtsraum nicht verlassen. Akzeptabel ist auch ein Serverstandort in EU-Ländern mit angemessenem Datenschutzniveau. Serverstandorte in den USA oder Asien können zulässig sein, erfordern aber eine sorgfältige Einzelfallprüfung – inklusive der Frage nach Besitzverhältnissen und Gesellschaftsstruktur des Providers. Kriterium 2:…
-
Background Screening im Finanzsektor: Validato schließt Compliance-Lücken zwischen DORA & FINMA
Regulatorischer Druck steigt – Screening-Lücken werden zum Risiko Der Finanzsektor in Deutschland, Österreich und der Schweiz steht 2026 unter einem regulatorischen Druck, der in dieser Dichte historisch beispiellos ist. Mit der vollumfänglichen Anwendbarkeit des Digital Operational Resilience Act (DORA) seit Januar 2025, der fortlaufenden Umsetzung der MiFID II-Eignungsprüfungen, den FINMA-Rundschreiben zu operationellen Risiken und den verschärften Anforderungen aus § 25a KWG sowie BaFin MaRisk AT 9 entsteht ein Geflecht aus Sorgfaltspflichten, das ohne professionelle Hintergrundprüfung kaum noch beherrschbar ist. Besonders kritisch: Mehr als 50 Prozent aller Datenschutzverletzungen werden laut Ponemon Institute auf Drittparteien mit privilegiertem Zugriff zurückgeführt. In einem Sektor, in dem ein einziger kompromittierter Mitarbeiter oder Dienstleister Schäden in…
-
Social Media Screening in der Schweiz: Was Arbeitgeber dürfen – und was verboten ist
Faktisch jede Person hinterlässt heute digitale Spuren im Internet – auf LinkedIn, Instagram, Facebook oder X. Für HR-Verantwortliche können diese Spuren wertvolle Einblicke liefern, etwa in die Fachkompetenz oder das öffentliche Auftreten eines Kandidaten. Gleichzeitig ist Social Media Screening in der Schweiz eine rechtliche und ethische Grauzone: Wo endet die legitime Recherche und wo beginnt das digitale Stalking? OSINT: Strukturierte Recherche statt Zufallsfunde Professionelle Screener verlassen sich nicht auf unstrukturierte Google-Suchen, sondern nutzen OSINT-Methoden (Open Source Intelligence): die gezielte, strukturierte Suche in öffentlich zugänglichen Quellen. Ein unstrukturierter ‚Google-Check‘ ist fehleranfällig (Namensgleichheiten, veraltete Treffer, Kontextverlust) und kann schnell unverhältnismässig wirken. Wenn online recherchiert wird, dann rollenbegründet, klar begrenzt und mit Dokumentation…
-
Enhanced Due Diligence: Warum C-Level-Positionen einen anderen Background Check brauchen
Je höher die Position im Unternehmen, desto weitreichender sind die Entscheidungskompetenzen – und desto grösser der potenzielle Schaden, den eine Fehlbesetzung anrichten kann. Bei C-Level-Positionen, Verwaltungsratsmandaten und Stellen mit hohem Risikoprofil (umfassende IT-Zugangsrechte, weitreichende Finanzverantwortung) reichen Standard-Background-Checks aus Sicht des Risikomanagements fast immer nicht aus. Was Enhanced Due Diligence von Standard-Checks unterscheidet Während ein Standard-Background-Check Identität, Strafregister, Betreibungen und Referenzen abdeckt, geht die Enhanced Due Diligence erheblich weiter. Sie beinhaltet eine ganzheitliche, tiefgehende Analyse der Integrität, der beruflichen Vergangenheit und möglicher Interessenkonflikte des Kandidaten. PEP-Prüfung und Compliance Wenn ein Kandidat als politisch exponierte Person (PEP) gilt – also wichtige öffentliche Ämter ausübt oder ausgeübt hat – sind besondere Sorgfalt und…
-
Referenzprüfung in der Schweiz: Wie HR-Teams hinter das Schweizer Arbeitszeugnis schauen
‚Papier ist geduldig‘ – dieser Grundsatz gilt im Schweizer Recruitment in besonderem Masse. Das hiesige Arbeitszeugnis ist von Gesetzes wegen wohlwollend zu formulieren, was dazu führt, dass selbst kritische Aussagen oft in einer sehr zurückhaltenden Sprache verpackt sind. Für HR-Verantwortliche ist die korrekte Interpretation von Arbeitszeugnissen deshalb eine Kunst für sich – und die telefonische Referenzprüfung ein unverzichtbares Instrument. Das Schweizer Arbeitszeugnis: Wohlwollen als gesetzliche Pflicht Das Obligationenrecht verpflichtet Arbeitgeber, Zeugnisse wohlwollend auszustellen. In der Praxis hat sich eine regelrechte Codierungssprache entwickelt: Formulierungen wie ‚Er erledigte die ihm übertragenen Aufgaben zu unserer Zufriedenheit‘ klingen positiv, gelten aber als schwach im Vergleich zu ’stets zu unserer vollsten Zufriedenheit‘. HR-Profis kennen diese…
-
Bonitätsprüfung im Bewerbungsprozess: Wann Betreibungsregisterauszüge zulässig sind
Finanzielle Schwierigkeiten können bei Personen in exponierter Stellung ein erhöhtes Risiko für Bestechlichkeit, Interessenkonflikte oder wirtschaftliche Delikte bedeuten. Für Unternehmen mit sensiblen Finanzpositionen oder Mitarbeitenden mit Zugang zu schützenswerten Daten ist die Prüfung der finanziellen Integrität deshalb ein legitimes Risikomanagement-Instrument – sofern sie verhältnismässig eingesetzt wird. Das Betreibungsregister: Der Standard-Baustein Der Betreibungsregisterauszug dokumentiert laufende und abgeschlossene Betreibungsverfahren, Verlustscheine und Pfändungen. Im Bewerbungsprozess wird er typischerweise beim Betreibungsamt des aktuellen Wohnsitzes eingeholt, bei längeren Laufbahnen auch bei früheren Wohnsitzen – üblicherweise für die letzten zwei bis fünf Jahre. Wann ist eine Bonitätsprüfung verhältnismässig? Das Verhältnismässigkeitsprinzip ist auch hier zentral. Eine Prüfung der finanziellen Integrität ist regelmässig zulässig bei Positionen im Finanzsektor,…
-
Strafregisterauszug im Bewerbungsprozess: Wann darf der Arbeitgeber ihn verlangen?
Der Ruf nach einem ’sauberen Leumund‘ findet sich in vielen Schweizer Stellenanzeigen. Doch nicht für jeden Job darf ein Strafregisterauszug verlangt werden, und nicht jeder Auszug liefert dieselben Informationen. Für HR-Verantwortliche ist die Kenntnis der Unterschiede zwischen Privatauszug, Sonderprivatauszug und dem behördeninternen VOSTRA-System essenziell. Der Privatauszug: Der Standard bei Integritätsfragen Der klassische Strafregisterauszug für Privatpersonen (Privatauszug) enthält rechtskräftige Verurteilungen wegen Verbrechen und Vergehen für einen befristeten Zeitraum. Arbeitgeber dürfen ihn nur verlangen, wenn die Integrität des Bewerbers für die zu besetzende Stelle zentral ist – was bei Positionen mit Sicherheitsverantwortung, Geldtransport, grossen Verantwortungsbereichen oder im Finanz- und Versicherungswesen regelmässig der Fall ist. Wichtig: Der Bestellantrag muss grundsätzlich vom Bewerber selbst…
-
BSI C5:2026: Warum die Personalsicherheit (HR-01) zum kritischen Erfolgsfaktor für Cloud-Auditierungen wird
Cloud-Anbieter investieren traditionell erhebliche Ressourcen in technische Kontrollbereiche wie Verschlüsselung, Netzwerksicherheit und Logging. Doch mit der Veröffentlichung des BSI C5:2026 am 7. April 2026 rückt ein oft unterschätzter Bereich in das Visier der Auditoren: Die Personalsicherheit (HR). Während technische Hürden meist sauber dokumentiert sind, offenbart der Kontrollbereich 5.3 (Personnel) in der Praxis häufig einen „blinden Fleck“. Oft fehlen strukturierte Pre-Employment-Checks oder eine lückenlose Dokumentation, was im Audit für ein Typ-2-Testat zu kritischen Abweichungen führt. Der C5:2026 strukturiert den Bereich HR in acht spezifische Kriterien. Das Herzstück bildet dabei HR-01: „Verification of Qualification and Trustworthiness“. Cloud-Anbieter sind nun verpflichtet, für alle Rollen in der Produktionsumgebung – sowohl für internes Personal als…