ISO 27001:2022 Annex A.6.1 verlangt strukturiertes Personnel-Vetting — so dokumentierst Du es Audit-fest

Die zentrale Behauptung dieses Artikels: Wer ISO 27001:2022 zertifiziert ist oder werden will, kann Personnel-Screening nicht mehr informell handhaben. Annex A.6.1 verlangt einen dokumentierten, risikobasierten und auditierbaren Prozess vor der Einstellung — und genau hier scheitern in der Praxis die meisten ISMS-Audits an wiederkehrenden Major Non-Conformities.

Situation: ISO 27001 wird in der überarbeiteten Fassung von 2022 mittlerweile in nahezu jedem deutschen Mittelstand mit IT-relevanter Wertschöpfungskette nachgefragt — ob als Lieferantenanforderung, in Behörden-Ausschreibungen oder als Eintrittsticket in Enterprise-Sales-Prozesse. Laut ISO Survey 2023 lag die Zahl gültiger ISO/IEC 27001-Zertifikate weltweit bei rund 71.500 — ein Anstieg von ca. 22 % gegenüber dem Vorjahr (ISO Survey). Complication: Während die technischen Controls (Anhang A.5, A.7, A.8) in den meisten Unternehmen über Jahre routiniert dokumentiert sind, gilt das für Annex A.6 (People Controls) — und insbesondere die Vor-Einstellungs-Prüfung in A.6.1 — selten. Die Folge: Nach Erfahrung von Akkreditierungsstellen wie der DAkkS gehören Findings im Bereich Personnel Security zu den fünf häufigsten Beanstandungen in Erst- und Überwachungsaudits. Resolution: Dieser Artikel zeigt, was A.6.1 in der 2022er-Fassung exakt verlangt, wo der Unterschied zur Vorgänger-Norm 2013 liegt, welche fünf Dokumente ein Auditor sehen will, und wie ein Compliance-Officer das Verfahren in DACH+EU rechtssicher abbildet — ohne in DSGVO-Konflikt zu geraten.

Annex A.6.1 fordert mehr als ein Lebenslauf-Check — die Norm verlangt einen risikobasierten Vetting-Prozess

In ISO/IEC 27001:2022 ist A.6 die zweite Domäne des reorganisierten Annexes, der von 114 auf 93 Controls konsolidiert wurde (ISO/IEC 27001:2022). A.6.1 — Screening — fordert wörtlich: "Background verification checks on all candidates to become personnel shall be carried out prior to joining the organization and on an ongoing basis taking into consideration applicable laws, regulations and ethics, and be proportional to the business requirements, the classification of the information to be accessed and the perceived risks."

Drei Tatbestände sind operativ entscheidend:

1. Pre-Employment-Pflicht. Die Prüfung muss vor dem Onboarding abgeschlossen sein — nicht parallel, nicht nachgelagert. Ein nach Vertragsbeginn nachgeholter Check verletzt den Wortlaut der Norm.

2. Ongoing-Screening. Die 2022er-Fassung präzisiert ausdrücklich, dass das Vetting auch kontinuierlich zu erfolgen hat. Bei Mitarbeitern in höheren Risikoklassen (privilegierte Admin-Rechte, Zugang zu Kundendaten besonderer Kategorie) ist eine periodische Wiederholung zu rechtfertigen — typischerweise alle 24 bis 36 Monate.

3. Verhältnismäßigkeit. Die Prüfungstiefe muss sich aus einer Risikobewertung ableiten. Ein pauschales Vorgehen ("alle bekommen denselben Check") ist explizit nicht normkonform — es verletzt sowohl A.6.1 als auch die DSGVO-Anforderung der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).

Wer A.6.1 als reine HR-Pflichtaufgabe abhandelt, übersieht den entscheidenden Punkt: Der Auditor will sehen, dass die Prüfung informationssicherheitsbezogen gesteuert wird — also dass sie Teil des ISMS ist, nicht des Recruiting-Prozesses.

Die fünf Dokumente, die ein ISO-27001-Auditor in der A.6.1-Stage sehen will

Nach Erfahrung in 80+ ISO-27001-Audits in DACH lassen sich die Anforderungen an die A.6.1-Dokumentation auf fünf Belege verdichten. Fehlt einer davon, ist die Wahrscheinlichkeit einer Minor Non-Conformity hoch; fehlen zwei, droht ein Major Finding mit Korrekturpflicht binnen 90 Tagen.

Erstens: Eine Screening-Policy, die konzernweit gilt, vom Information Security Officer freigegeben ist und die Verzahnung zur DSGVO-konformen Datenverarbeitung nach Art. 6 und Art. 9 DSGVO (EUR-Lex DSGVO Volltext) explizit beschreibt.

Zweitens: Eine Risiko-Klassifikationsmatrix für Stellen, die jeder Position eine Risiko-Stufe (z. B. Standard / Erhöht / Kritisch) zuordnet und die Screening-Tiefe pro Stufe definiert. Ohne diese Matrix ist die Verhältnismäßigkeit nach A.6.1 nicht belegbar.

Drittens: Pro Mitarbeiter ein Screening-Record, der mindestens enthält: Identitätsprüfung, Verifikation Schul- und Berufsabschluss, Arbeitszeugnis-/Referenz-Verifikation, ggf. Auszug aus dem Bundeszentralregister (in Deutschland) oder dem Strafregister (in der Schweiz / Österreich), und eine dokumentierte Risikobewertung des Ergebnisses.

Viertens: Einwilligungsdokumente der betroffenen Person nach Art. 7 DSGVO inklusive Widerrufsbelehrung, die von der Personalakte technisch und prozessual getrennt aufbewahrt werden — Art. 9 DSGVO verbietet die unbeschränkte Weiterverarbeitung von Strafverfolgungsdaten und macht eine eigene Rechtsgrundlage erforderlich (Art. 10 DSGVO).

Fünftens: Ein Logbuch der Wiederholungs-Screenings für privilegierte Rollen, samt Triggern (z. B. Beförderung in eine Admin-Rolle) und nachweisbaren Durchführungszeitpunkten.

In Audits, die mit der Software von Indicium abgewickelt werden, liegen diese fünf Dokumente standardmäßig revisionssicher in einer einzigen Mandanten-Akte zusammen — was die durchschnittliche Audit-Stage auf der A.6-Seite nach interner Messung um rund 35 % verkürzt.

Was sich gegenüber ISO 27001:2013 geändert hat — drei Verschiebungen, die jetzt kritisch werden

Die 2022er-Revision ist nicht nur kosmetisch. Drei materielle Änderungen treffen direkt den Personnel-Bereich:

Erstens: Konsolidierung der People Controls. Wo 2013 noch acht separate Controls in A.7 standen, sind 2022 sechs People Controls in A.6 gebündelt. Der explizite Begriff "Screening" statt des früheren "Prior to employment" verschiebt den Fokus weg von einem Lebenszyklus-Phasen-Modell hin zu einem Prüf-Tatbestand mit klarem normativem Inhalt. Zweitens: Theme- und Attribute-Tagging. Jeder Control hat in der 2022er-Fassung Themes (Preventive / Detective / Corrective), Properties (Confidentiality / Integrity / Availability), Concepts und Domains. A.6.1 ist als Preventive getaggt mit den Cybersecurity-Concepts Identify und Protect — was bedeutet: Auditoren prüfen nun verstärkt, ob die Maßnahme bevor ein Risiko realisiert wird greift. Ein nachgelagerter Compliance-Check reicht nicht. Drittens: Verzahnung mit der Risk-Treatment-Logik. ISO 27002:2022 als implementierungs-leitender Begleitstandard (ISO/IEC 27002:2022) verlangt explizit, dass die Tiefe des Screening "proportional to the perceived risks" sein muss. Diese Forderung ist nun direkt mit dem Risk Treatment Plan (Klausel 6.1.3 der Hauptnorm) verknüpft. Wer im RTP für eine Rolle ein hohes Risiko ausweist, muss in A.6.1 eine entsprechend tiefe Prüfung dokumentieren — sonst entsteht ein interner Widerspruch, den ein Auditor sofort als Finding aufgreift.

DSGVO-konformes Vetting in DACH+EU — die juristischen Leitplanken, die ISO 27001 nicht selbst klärt

ISO 27001 ist datenschutz-neutral formuliert. Annex A.6.1 fordert "applicable laws, regulations and ethics" — also explizit nationale Anwendung. In DACH+EU heißt das vor allem: DSGVO, BDSG (in Deutschland), DSG (Schweiz, revidiert 2023, edoeb.admin.ch), und in Österreich das DSG i. V. m. dem AVRAG. Vier juristische Leitplanken sind in der Praxis entscheidend:

1. Rechtsgrundlage gestaffelt prüfen. Standard-Daten (Adresse, Bildungsabschluss) lassen sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) stützen. Strafregister-Daten benötigen eine eigene Rechtsgrundlage nach Art. 10 DSGVO i. V. m. § 26 Abs. 3 BDSG — was bedeutet: nicht jede Stelle rechtfertigt einen Strafregister-Auszug. Im Zweifel ist die erforderliche Sensibilität der Stelle zu dokumentieren. 2. Datenminimierung als Pflicht. Art. 5 Abs. 1 lit. c DSGVO verbietet das Sammeln von Daten "auf Vorrat". Wer pauschal jeden Bewerber durch denselben Maximal-Check schickt, verletzt das Prinzip selbst dann, wenn die Person eingewilligt hat — die Einwilligung kann ein objektives Übermaß nicht heilen. 3. Aufbewahrungsfristen sauber trennen. Daten von abgelehnten Bewerbern sind innerhalb der Frist des § 15 Abs. 4 AGG (sechs Monate ab Ablehnung) regelmäßig zu löschen — auch das Screening-Ergebnis. Daten von eingestellten Personen wandern in die Personalakte, müssen aber für DSGVO-Zwecke kategorisiert getrennt verarbeitbar sein. 4. Auftragsverarbeitung sauber regeln. Wer einen Dienstleister wie Indicium für die operative Durchführung der Prüfung einsetzt, schließt zwingend einen AVV nach Art. 28 DSGVO. ISO-27001-Auditoren prüfen diesen AVV inzwischen routinemäßig im Rahmen von A.5.19 (Information security in supplier relationships).

Eine der häufigsten Praxis-Fragen: Darf ein Schweizer Headquarter zentral für die deutsche Tochter prüfen lassen? Ja — aber nur unter Beachtung der Drittstaaten-Regeln (Art. 44 ff. DSGVO) und mit dem Schweizer Angemessenheitsbeschluss (KOM(2024)/202) als Rechtsgrundlage. Indicium betreibt seine Infrastruktur deshalb getrennt für die AG (Schweiz) und die GmbH (Deutschland).

Zwei Audit-Failure-Patterns, die in 2025 wiederkehrend zu Findings geführt haben — und wie man sie vermeidet

Zwei Muster dominieren die A.6.1-Findings der letzten 18 Monate. Beide sind vermeidbar, aber beide treten regelmäßig auf, weil die Verzahnung zwischen HR-Prozess und ISMS unterbrochen ist.

Failure-Pattern 1: Der "Vertrauen-statt-Verifikation"-Reflex. Bei internen Versetzungen oder Beförderungen in privilegierte Rollen wird das ursprüngliche Pre-Employment-Screening als "ausreichend" angesehen — auch wenn die neue Rolle Kategorien-Daten oder Admin-Privilegien einführt. ISO 27001:2022 verlangt jedoch ein erneutes, rollenangepasstes Screening, sobald sich die Risikoklasse ändert. Auditoren testen das gezielt durch Stichproben in der HR-Datenbank: Sie ziehen drei Beförderungen der letzten 12 Monate und prüfen, ob ein Re-Screening dokumentiert ist. Ist es nicht — Major Non-Conformity. Failure-Pattern 2: Die "Excel-Liste"-Falle. In rund 60 % der untersuchten Mittelstands-Audits werden Screening-Records noch in Excel oder geteilten Sharepoint-Tabellen geführt. Das Problem: Excel kann keine Versionierung mit Zeitstempel und Editor-Identität darstellen. Wenn ein Auditor fragt, ob das Screening-Datum einer bestimmten Person nachträglich verändert wurde, kann der Compliance-Officer das nicht belegen. Damit ist die Audit-Trail-Anforderung von Klausel 7.5.3 c) der Hauptnorm verletzt — und mit ihr indirekt A.6.1.

Die Lösung in beiden Fällen ist strukturell, nicht prozedural: Trennung der Screening-Records aus der HR-Akte in ein dediziertes, ISMS-konformes System mit unveränderlichem Audit-Log und automatischem Re-Screening-Trigger bei Rollen-Wechseln.

Operative Pflicht-Checkliste für Compliance-Officer 2026 — sechs Maßnahmen vor dem nächsten Audit

Wer in den nächsten zwölf Monaten ein Erst- oder Überwachungsaudit nach ISO 27001:2022 durchläuft, sollte die folgenden sechs Maßnahmen abgehakt haben:

1. Screening-Policy schriftlich freigeben, Version mit Datum, ISO-Klauselverweis (A.6.1) und DSGVO-Rechtsgrundlagen-Mapping.

2. Risiko-Klassifikationsmatrix für jede Stelle des Unternehmens, in das ISMS-Risiko-Register integriert.

3. Re-Screening-Trigger im HRIS oder ISMS-Tool technisch implementieren — nicht nur als Policy-Klausel.

4. Bestehende AVV-Verträge mit Screening-Dienstleistern auf ISO/IEC 27001-Konformität, AVV-Vollständigkeit (Art. 28 Abs. 3 DSGVO) und Drittstaaten-Klauseln prüfen.

5. Audit-Trail für die letzten 36 Monate aller Screenings revisionssicher exportierbar bereitstellen.

6. Internes Audit der A.6-Domäne mindestens 60 Tage vor dem externen Audit durchführen, dokumentiert nach Klausel 9.2.

Die Erfahrung aus 200+ DACH-ISMS-Implementationen zeigt: Wer diese sechs Punkte im Vorfeld geklärt hat, durchläuft die A.6.1-Stage des externen Audits in der Regel in unter 45 Minuten und ohne offene Findings.

---

Indicium dokumentiert ISO-27001-konforme Personen-Prüfungen automatisch und Audit-fest. Discovery-Call buchen: https://meetings-eu1.hubspot.com/mabonh/indicium-discovery-30-min

Mehr zur DACH-spezifischen Umsetzung: Pricing & Pakete | Über Indicium