ISO 27701 macht Personalprüfung zum Datenschutz-Tatbestand — wie das PIMS Background-Checks DSGVO-fest verankert

Die zentrale Behauptung dieses Artikels: ISO 27701 ist der einzige international zertifizierbare Standard, der einen Privacy-Information-Management-System-Rahmen liefert, in dem Personnel-Vetting direkt als Verarbeitungstätigkeit verankert wird. Wer ISO 27701 zertifiziert ist, hat damit gleichzeitig den DSGVO-Nachweis nach Art. 5 Abs. 2 (Rechenschaftspflicht) für seine Background-Check-Prozesse — vorausgesetzt, das PIMS bildet die richtigen Controls ab.

Situation: ISO/IEC 27701:2019 ist die Privacy-Erweiterung zur ISO 27001. Sie wurde im August 2019 veröffentlicht und ist als sektorale Erweiterung mit dem 27001-Zertifikat kombinierbar — eine eigenständige PIMS-Zertifizierung ist nicht möglich ohne ein bestehendes ISMS (ISO/IEC 27701:2019). In DACH wird der Standard zunehmend als Privacy-Pendant zum ISMS verlangt — vor allem bei Auftragsverarbeitern nach Art. 28 DSGVO, deren Kunden ihre eigene Rechenschaftspflicht erfüllen wollen. Complication: ISO 27701 ist kein "DSGVO-Zertifikat" im Sinne von Art. 42 DSGVO — der formale DSGVO-Zertifizierungsmechanismus existiert seit Jahren angekündigt, aber in der Praxis nur in Ansätzen. ISO 27701 schließt diese Lücke pragmatisch, indem sie operative Privacy-Controls definiert, die direkt auf DSGVO-Anforderungen mappen. Doch genau hier liegt das Risiko: Das PIMS muss inhaltlich auf das nationale Recht ausgelegt werden — pauschal "ISO 27701 zertifiziert" reicht weder einer Aufsichtsbehörde noch einem Geschäftspartner als Compliance-Nachweis. Resolution: Dieser Artikel zeigt, wo ISO 27701 das Personnel-Screening explizit adressiert (anders als ISO 27001 isoliert), welche PIMS-Controls auf Art. 6, Art. 9 und Art. 10 DSGVO mappen, wie der Datenschutzbeauftragte (DPO) die Hintergrundprüfung in das Verzeichnis von Verarbeitungstätigkeiten (VVT) korrekt einträgt — und wo die häufigsten DACH-Audit-Findings 2025 lagen.

ISO 27701 erweitert ISO 27001 um zwei spezifische Privacy-Layer — und macht dadurch das Personnel-Vetting zur dokumentationspflichtigen Verarbeitungstätigkeit

Der zentrale Mehrwert von ISO 27701 gegenüber ISO 27001 liegt in zwei Erweiterungen, die das Personnel-Vetting direkt betreffen:

Erstens: PIMS-spezifische Klauseln 5 bis 8. Diese Klauseln modifizieren die Hauptklauseln 4 bis 10 der ISO 27001 mit Privacy-Anforderungen. Klausel 5.2.1 etwa fordert, dass die Privacy-Policy explizit benennt, welche personenbezogenen Daten unter welcher Rechtsgrundlage verarbeitet werden — und Background-Check-Daten fallen exakt unter diese Pflicht. Zweitens: Anhänge A (für PII Controllers) und B (für PII Processors). Hier sind 49 zusätzliche Privacy-Controls definiert. Anhang A.7.2 fordert: "The organization shall identify and document a legitimate basis for processing PII." Für Background-Checks heißt das: Die Rechtsgrundlage muss pro Daten-Kategorie und pro Verarbeitungs-Schritt dokumentiert sein.

Die operative Folge: Während ein ISMS-Auditor in ISO 27001 fragt "Habt ihr ein Pre-Employment-Screening?", fragt ein PIMS-Auditor zusätzlich "Auf welcher Rechtsgrundlage erhebt ihr welche konkreten Daten, mit welcher Aufbewahrungsfrist, welcher technischen und organisatorischen Maßnahme — und wie kommunizieren ihr das an die betroffene Person?". Beide Fragen müssen separat dokumentiert beantwortbar sein.

Eine 2024er-Auswertung der ENISA zur Privacy-Reife in EU-Unternehmen (ENISA Reports) zeigt, dass nur etwa 28 % der mittelständischen Unternehmen die Verarbeitungstätigkeit "Pre-Employment-Screening" vollständig in ihrem VVT abgebildet haben — was unter einem PIMS-Audit-Regime regelmäßig zu Major Findings führt.

Sechs PIMS-Controls, die direkt auf das Background-Check-Verfahren angewendet werden

Aus dem Anhang A der ISO 27701 lassen sich sechs Controls extrahieren, die das Personnel-Vetting unmittelbar steuern. Sie bilden die operative Basis, gegen die ein PIMS-Auditor in der DACH-Praxis prüft:

A.7.2.1 — Identify the lawful basis. Der DPO muss pro Stellenkategorie dokumentieren, welche Rechtsgrundlage greift. In Deutschland: § 26 Abs. 1 BDSG für Standard-Stellen, § 26 Abs. 3 BDSG für besondere Datenkategorien (insb. Strafverfolgungsdaten), Art. 6 Abs. 1 lit. b DSGVO für die Vertragsanbahnung selbst. A.7.2.2 — Determine when and how consent is to be obtained. Wenn die Einwilligung als Grundlage verwendet wird (etwa für Social-Media-Checks oder Kreditprüfungen jenseits des § 26 BDSG), muss das Verfahren zur Einwilligung — inkl. Widerrufsmöglichkeit — dokumentiert sein. Wichtig: Im Beschäftigungsverhältnis ist die Freiwilligkeit der Einwilligung umstritten (§ 26 Abs. 2 BDSG) — der DPO muss den konkreten Freiwilligkeits-Indikator pro Verfahren nachweisen. A.7.2.5 — Records related to processing PII. Das VVT muss den Background-Check als eigenständige Verarbeitungstätigkeit ausweisen — mit Zweck, Datenkategorien, Empfängern, Drittland-Übermittlungen, Löschfristen und TOMs. A.7.3.4 — Providing information to PII principals. Die Datenschutz-Information (Art. 13 DSGVO) für Bewerber muss den Screening-Prozess explizit benennen — ein generisches "wir verarbeiten Ihre Daten zur Bewerbung" reicht nicht. Empfehlung: separater Datenschutz-Hinweis "Hintergrundprüfung", den der Bewerber vor Beginn der Prüfung erhält. A.7.4.5 — PII de-identification and deletion at the end of processing. Die Background-Check-Daten müssen nach Abschluss der Prüfung — und nach Ablauf der Aufbewahrungsfrist — definiert gelöscht werden. Die Frist selbst muss begründet sein (in DACH typisch: 6 Monate bei Ablehnung, mit Verweis auf § 15 Abs. 4 AGG). A.7.5.2 — Countries and international organizations to which PII can be transferred. Werden Daten in ein Drittland übermittelt (etwa weil der Background-Check-Anbieter US-Komponenten nutzt), muss das VVT diese Übermittlungen mit Rechtsgrundlage (DPF, SCCs) auflisten.

In der Indicium-Implementation sind diese sechs Controls technisch in der Mandanten-Akte abgebildet — der DPO-Bericht für ein PIMS-Audit ist auf Knopfdruck exportierbar und enthält alle sechs Belege pro Verarbeitungstätigkeit.

Joint-Controllership und Auftragsverarbeitung — wann der Background-Check-Anbieter Verantwortlicher und wann Auftragsverarbeiter ist

Eine in der DACH-Praxis ständig falsch eingeordnete Frage: Welcher Rolle nach DSGVO entspricht der externe Background-Check-Dienstleister?

Die Antwort hängt vom konkreten Vertrags- und Prozess-Design ab:

Reine Auftragsverarbeitung (Art. 28 DSGVO). Der Dienstleister erhebt nach detaillierten Vorgaben des Arbeitgebers spezifische Daten und liefert sie zurück. Er entscheidet nicht über Zweck und Mittel — diese bestimmt der Arbeitgeber. Beispiel: Der Arbeitgeber beauftragt explizit "Identitätsprüfung über Personalausweis-Daten + Diploma-Verifikation an Universität X". Hier liegt klassische AV vor; der DPO schließt einen AVV nach Art. 28 Abs. 3 DSGVO. Joint-Controllership (Art. 26 DSGVO). Der Dienstleister entscheidet zusammen mit dem Arbeitgeber über Zweck und Mittel. Beispiel: Der Anbieter führt eigenständig eine Risiko-Klassifikation durch, kombiniert Daten aus mehreren Quellen, erstellt einen Score und liefert eine Empfehlung. Hier liegt Joint-Controllership vor; eine Vereinbarung nach Art. 26 DSGVO ist erforderlich. Eigene Verantwortlichkeit des Dienstleisters. Der Dienstleister verarbeitet die Daten nach eigener Geschäftslogik — etwa wenn er parallel ein eigenes Bonitätsregister pflegt und Daten mit anderen Quellen anreichert.

ISO 27701 verlangt in Anhang A.7.2.6 (für Controllers) bzw. Anhang B.8 (für Processors) ausdrücklich die korrekte Klassifikation der Rolle. Falsch klassifiziert = falscher Vertragstyp = PIMS-Finding.

In der Indicium-Architektur ist die Rolle Auftragsverarbeitung — die Indicium-Plattform führt nur die Prüfungen durch, die der Mandant explizit anweist, mit den Quellen, die der Mandant freigibt. Der AVV ist standardmäßig Bestandteil des Vertrags, mit DSGVO-Mapping pro Klausel (siehe Über Indicium).

VVT-Eintrag für Pre-Employment-Screening — die zwölf Pflichtfelder nach Art. 30 DSGVO

Das Verzeichnis der Verarbeitungstätigkeiten ist in der Praxis der Punkt, an dem PIMS-Audits am häufigsten konkret werden. Der DPO muss für die Verarbeitungstätigkeit "Pre-Employment-Screening" mindestens zwölf Pflichtfelder nach Art. 30 Abs. 1 DSGVO ausfüllen — und ISO 27701 verschärft dies um Privacy-Engineering-Aspekte:

1. Name der Verarbeitung — explizit und sprechend.

2. Zweck — etwa "Eignungsprüfung im Bewerbungsverfahren bzgl. Vertrauenswürdigkeit und Sicherheitseignung".

3. Rechtsgrundlage — pro Datenkategorie separat (Art. 6 für Standard, Art. 9 für besondere Kategorien, Art. 10 für Strafverfolgungsdaten).

4. Datenkategorien — Identitätsdaten, Bildungsabschlüsse, Berufsverlauf, Strafregister-Auszüge etc.

5. Kategorien betroffener Personen — Bewerber, intern Versetzte, externe Mitarbeiter mit Daten-Zugriff.

6. Kategorien von Empfängern — interne Prüfer (HR, ISO), externer Dienstleister (Indicium o. ä.).

7. Drittland-Übermittlungen — falls anwendbar, mit Rechtsgrundlage.

8. Löschfristen — nach Datenkategorie differenziert.

9. TOMs — technische und organisatorische Maßnahmen.

10. Risiken für Betroffene — Reputationsrisiko, Diskriminierungsrisiko, Risiko bei Datenpanne.

11. DSFA-Erforderlichkeit — bei Strafregisterauszügen oder umfassenden Profilen ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO regelmäßig erforderlich.

12. PIMS-Mapping — Zuordnung zu den ISO-27701-Anhang-A-Controls (siehe oben).

Erfahrung aus DACH-PIMS-Audits 2024–2025: In über der Hälfte der untersuchten Unternehmen fehlte die DSFA für Background-Checks bei privilegierten Rollen — was der häufigste PIMS-Finding-Typ in dieser Domäne ist.

DSFA für Background-Checks — wann sie zwingend ist und welche fünf Risiken sie behandeln muss

Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist nicht für jeden Background-Check Pflicht — aber für viele in der Praxis. Die "Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist" der deutschen Aufsichtsbehörden (DSK Kurzpapier Nr. 18) zählt automatisierte Bewertungen mit erheblichen Auswirkungen ausdrücklich auf — und Hintergrundprüfungen mit Risiko-Score fallen darunter.

Eine DSFA muss mindestens fünf Risiken systematisch adressieren:

Risiko 1: Diskriminierungsrisiko. Strafregister-Auszüge können Personen aus benachteiligten sozioökonomischen Gruppen disproportional treffen. Die DSFA muss prüfen, ob die Datenkategorie für die konkrete Stelle notwendig ist (Verhältnismäßigkeit nach AGG). Risiko 2: Falsch-Positiv-Risiko. Verwechslungen bei Namens-Identität (gerade bei häufigen Namen) können zu falschen Risiko-Klassifikationen führen. Die DSFA muss den Verifikations-Prozess (z. B. Geburtsdatum-Abgleich) dokumentieren. Risiko 3: Dauer-Speicherung. Daten, die einmal erhoben sind, bleiben in der Personalakte länger als notwendig. Die DSFA muss Löschroutinen mit Zeitstempel definieren. Risiko 4: Breach-Risiko. Strafregister-Daten in einer Personalakte sind ein hochsensibler Datensatz. Die DSFA muss die TOMs auf Art. 32 DSGVO mappen — Verschlüsselung, Zugriffsbeschränkung, Audit-Logs. Risiko 5: Weiterverwendungs-Risiko. Daten, die für die Einstellungsentscheidung erhoben wurden, dürfen nicht für spätere Performance-Bewertungen oder Disziplinarmaßnahmen wiederverwendet werden (Zweckbindung, Art. 5 Abs. 1 lit. b DSGVO). Die DSFA muss diese Trennung organisatorisch belegen.

Eine vollständige DSFA umfasst typischerweise 15 bis 25 Seiten und ist vom DPO zu unterschreiben sowie der Geschäftsführung vorzulegen — Art. 35 Abs. 9 DSGVO empfiehlt zudem die Konsultation der Betroffenen oder ihrer Vertreter (in DACH häufig der Betriebsrat).

Vor dem PIMS-Audit — fünf konkrete Maßnahmen, die DACH-Compliance-Officer im April 2026 angehen sollten

Wer einen PIMS-Audit nach ISO 27701 in den nächsten zwölf Monaten durchläuft, sollte folgende fünf Maßnahmen vorbereitet haben:

1. VVT-Eintrag "Pre-Employment-Screening" auf alle 12 Pflichtfelder hin prüfen. Insbesondere die Rechtsgrundlagen pro Datenkategorie und das PIMS-Mapping nachziehen.

2. DSFA für privilegierte Rollen erstellen oder aktualisieren. Mindestens 30 Tage vor dem Audit fertig, mit DPO-Unterschrift.

3. Joint-Controllership-/AVV-Klassifikation der Dienstleister prüfen. Falsch klassifizierte Verträge umstellen.

4. Datenschutz-Hinweis für Bewerber überarbeiten. Pre-Hire-Information nach Art. 13 DSGVO mit konkreten Angaben zum Screening-Prozess.

5. Audit-Trail des PIMS-Prozesses für die letzten 12 Monate revisionssicher exportierbar bereitstellen. Inkl. Log der Datenschutz-Anfragen nach Art. 15 DSGVO.

Diese fünf Maßnahmen schließen die Lücke zwischen ISO-27001-konformer Sicherheits-Dokumentation und DSGVO-konformer Privacy-Dokumentation — und genau diese Lücke ist es, die ein PIMS-Audit prüft. Wer beides synchronisiert hat, durchläuft das PIMS-Add-On in der Regel ohne zusätzliche Findings über das ISMS-Audit hinaus.

---

Indicium dokumentiert ISO-27701-konforme Personen-Prüfungen automatisch und Audit-fest. Discovery-Call buchen: https://meetings-eu1.hubspot.com/mabonh/indicium-discovery-30-min

Verwandte Artikel: ISO 27001 Annex A.6.1 in der Praxis | SOC 2 Type II — CC1.4 und CC1.5 | Pricing & Pakete