Re-Screening von Mitarbeitern: Warum einmalige Background Checks nicht reichen

Re-Screening bezeichnet die anlassbezogene oder turnusmäßige Wiederholung eines Background Checks bei Bestandsmitarbeitern in Schlüsselpositionen. Es ist nach § 26 Abs. 1 Satz 1 BDSG zulässig, wenn es für die Durchführung des Beschäftigungsverhältnisses erforderlich ist — und für regulierte Institute teilweise Pflicht: Die EBA/ESMA-Leitlinien zur Eignungsbeurteilung verlangen von CRD-Instituten von erheblicher Bedeutung mindestens eine jährliche Neubewertung der Eignung ihrer Leitungsorgane. Eine anlasslose Dauerüberwachung der gesamten Belegschaft bleibt dagegen unzulässig.

Warum reicht ein einmaliger Background Check nicht aus?

Weil er eine Momentaufnahme ist. Ein Pre-Employment-Check belegt, dass am Tag der Einstellung keine Red Flags vorlagen — mehr nicht. Die Risiken, die Compliance-Verantwortliche tatsächlich treffen, entstehen häufig erst im laufenden Beschäftigungsverhältnis: eine private finanzielle Schieflage, ein nicht angezeigter Interessenkonflikt, ein neu eröffnetes Strafverfahren, ein Eintrag auf einer Sanktionsliste oder ein zusätzliches Mandat, das die zeitliche Verfügbarkeit eines Geschäftsleiters infrage stellt.

Das Zeitfenster ist erheblich: Nach dem ACFE-Report „Occupational Fraud“ (2026) läuft ein typischer Fall von Mitarbeiter-Fraud zwölf Monate, bevor er entdeckt wird; der Medianschaden liegt bei 104.000 US-Dollar pro Fall — ermittelt aus 2.402 untersuchten Fällen in 143 Ländern. Die befragten Fraud Examiner schätzen, dass Organisationen rund 5 % ihres Umsatzes pro Jahr durch Fraud verlieren. Wer ausschließlich bei der Einstellung prüft, hat für dieses Zeitfenster keinen personenbezogenen Kontrollmechanismus.

Dazu kommt die organisatorische Realität: Mitarbeiter wechseln intern die Rolle. Wer als Analyst ohne Zugriff auf den Zahlungsverkehr eingestellt wurde, sitzt drei Jahre später im Treasury oder administriert produktive Systeme — der ursprüngliche Check hat diese Risikoexponierung nie abgedeckt.

Was ist Re-Screening — und was ist es nicht?

Re-Screening ist die strukturierte Wiederholung einer Personenprüfung bei bestehenden Mitarbeitern. In der Praxis haben sich drei Ausprägungen etabliert:

1. Anlassbezogenes Re-Screening: Eine erneute Prüfung wird durch ein vorab definiertes Ereignis ausgelöst — etwa die Beförderung in eine Schlüsselfunktion, dokumentierte Verdachtsmomente oder einen Treffer im laufenden Listen-Abgleich.

2. Turnusmäßiges Re-Screening: Für definierte Schlüsselpositionen wird in festen Intervallen geprüft — typischerweise jährlich oder alle zwei Jahre, angelehnt an die Frequenzen der EBA/ESMA-Leitlinien.

3. Kontinuierliches Monitoring einzelner Datenkategorien: Für eng definierte Hochrisiko-Rollen werden nur die besonders dynamischen Quellen laufend abgeglichen — vor allem Sanktionslisten und Adverse Media als Delta-Screening: gemeldet wird nur, was sich seit der letzten Prüfung geändert hat.

Genauso wichtig ist die Abgrenzung. Re-Screening ist nicht: die anlasslose Dauerüberwachung der gesamten Belegschaft, heimliches Verhaltens- oder Leistungsmonitoring oder die permanente Beobachtung privater Social-Media-Profile. Solche Maßnahmen scheitern regelmäßig an Erforderlichkeit und Verhältnismäßigkeit — unabhängig davon, wie sensibel die Position ist.

Auf welcher Rechtsgrundlage darfst Du Bestandsmitarbeiter erneut prüfen?

Die zentrale Norm in Deutschland ist § 26 Abs. 1 Satz 1 BDSG: Beschäftigtendaten dürfen verarbeitet werden, wenn dies nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung erforderlich ist. Die Durchführung umfasst auch die laufende Vergewisserung, dass ein Mitarbeiter die Anforderungen seiner Position weiterhin erfüllt. Der Maßstab ist die Erforderlichkeit: Je sensibler die Rolle — Vertretungsmacht, Zahlungsverkehr, Zugriff auf kritische Systeme, regulatorische Schlüsselfunktion —, desto eher trägt die Norm ein wiederholtes Screening. Für Positionen ohne besonderes Risiko trägt sie es nicht.

Daneben kommen drei weitere Grundlagen in Betracht:

• Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO (rechtliche Verpflichtung): einschlägig, wo das Aufsichtsrecht laufende Eignung verlangt — etwa über § 25c KWG für Geschäftsleiter von Kreditinstituten.

• Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO (berechtigtes Interesse): für Konstellationen außerhalb des unmittelbaren Beschäftigungskontexts, etwa konzernweite Compliance-Programme — stets mit dokumentierter Interessenabwägung.

• § 26 Abs. 1 Satz 2 BDSG (Aufdeckung von Straftaten): nur bei zu dokumentierenden tatsächlichen Anhaltspunkten für eine im Beschäftigungsverhältnis begangene Straftat, und nur, soweit die Maßnahme verhältnismäßig ist. Das ist ein enger Korridor für den Verdachtsfall, keine Grundlage für ein Dauerprogramm.

Auf die Einwilligung solltest Du ein Re-Screening-Programm nicht stützen: Im Beschäftigungsverhältnis ist die Freiwilligkeit strukturell zweifelhaft, und eine widerrufene Einwilligung reißt dem laufenden Programm die Grundlage weg. Transparenz bleibt trotzdem Pflicht — nach Art. 13 und 14 DSGVO informierst Du über Zweck, Datenkategorien, Quellen, Empfänger und Speicherdauer, bevor der erste Prüflauf startet. Die Grundlagen für Erst-Checks behandelt unser Leitfaden zu DSGVO und Background Checks.

Wo liegen die rechtlichen Grenzen des Mitarbeiter-Monitorings?

Vier Leitplanken entscheiden, ob Dein Programm rechtlich hält:

1. Erforderlichkeit und Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Die Prüftiefe muss je Rolle differenzieren. Eine Organfunktion rechtfertigt Sanktions-, PEP- und Adverse-Media-Abgleich; sie rechtfertigt nicht automatisch dieselbe Tiefe für jede Fachkraft. Ein Einheits-Screening über alle Mitarbeiter ist das sicherste Indiz für ein unverhältnismäßiges Programm.

2. Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Ergebnisse aus dem Compliance-Screening dürfen nicht zweckfremd weiterverwendet werden — etwa für Leistungsbewertung oder Personalauswahl außerhalb des definierten Prüfzwecks.

3. Mitbestimmung (§ 87 Abs. 1 Nr. 6 BetrVG): Setzt Du eine technische Einrichtung ein, die zur Überwachung von Verhalten oder Leistung der Arbeitnehmer bestimmt ist, hat der Betriebsrat mitzubestimmen — die Schwelle ist niedrig, in der Praxis löst nahezu jede Screening-Plattform die Mitbestimmung aus. Die Betriebsvereinbarung ist dabei mehr als eine Hürde: Als Kollektivvereinbarung kann sie nach § 26 Abs. 4 BDSG zugleich datenschutzrechtliche Rechtsgrundlage sein.

4. Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 DSGVO): Die systematische, wiederholte Prüfung von Beschäftigten begründet regelmäßig ein voraussichtlich hohes Risiko für die Rechte der Betroffenen. Führe die DSFA vor dem Rollout durch, dokumentiere Risiken und Abhilfemaßnahmen — und halte zusätzlich ein Löschkonzept vor (Art. 5 Abs. 1 lit. e DSGVO).

Was erwarten BaFin und FINMA beim Re-Screening?

Für Banken und Finanzdienstleister ist Re-Screening keine Kür. Nach § 25c Abs. 1 KWG müssen Geschäftsleiter zuverlässig und fachlich geeignet sein und der Wahrnehmung ihrer Aufgaben ausreichend Zeit widmen — das sind Daueranforderungen, keine einmaligen Bestellungsvoraussetzungen. Konkretisiert wird die laufende Dimension durch die gemeinsamen EBA/ESMA-Leitlinien zur Eignungsbeurteilung EBA/GL/2021/06 (2021):

• Laufende Überwachung (Rn. 26): Institute sollen die Eignung der Mitglieder des Leitungsorgans laufend überwachen und insbesondere neu bewerten, wenn Bedenken an der individuellen oder kollektiven Eignung bestehen, bei wesentlichen Auswirkungen auf den Leumund eines Mitglieds oder des Instituts sowie bei begründetem Verdacht auf Geldwäsche oder Terrorismusfinanzierung im Zusammenhang mit dem Institut.

• Zeitaufwand (Rn. 27): Übernimmt ein Mitglied ein zusätzliches Mandat oder neue relevante Tätigkeiten — einschließlich politischer Tätigkeiten —, ist der ausreichende Zeitaufwand neu zu bewerten.

• Fester Turnus (Rn. 156): CRD-Institute von erheblicher Bedeutung sollen die Eignung mindestens jährlich neu bewerten, alle übrigen Institute mindestens alle zwei Jahre.

• Dokumentation (Rn. 161): Neubewertungen, ihre Ergebnisse und die ergriffenen Maßnahmen sind zu dokumentieren und der zuständigen Behörde auf Verlangen vorzulegen.

Wie die deutsche Aufsichtspraxis im Detail aussieht, liest Du im Beitrag zur Fit-&-Proper-Prüfung der BaFin.

In der Schweiz folgt dieselbe Logik aus dem Gewährserfordernis: Nach Art. 3 Abs. 2 Bst. c BankG müssen die mit der Verwaltung und Geschäftsführung betrauten Personen Gewähr für eine einwandfreie Geschäftstätigkeit bieten. Die FINMA (Gewährsbeurteilung) versteht darunter alle charakterlichen und fachlichen Faktoren, die die korrekte Führung eines beaufsichtigten Unternehmens erlauben — und sie hat in ihrer Enforcement-Praxis klargestellt, dass eine Bank „jederzeit“ Gewähr bieten muss (FINMA, 2014). Die Gewähr ist also Dauervoraussetzung der Bewilligung: Fällt sie bei einer Schlüsselperson weg und reagiert das Institut nicht, wird daraus ein Institutsproblem. Den Direktvergleich der beiden Regime findest Du im Artikel FINMA vs. BaFin Fit-and-Proper.

Welche Anlässe sollten ein Re-Screening auslösen?

Eine belastbare Re-Screening-Policy definiert ihre Trigger ex ante — nicht erst, wenn der Fall eingetreten ist. Acht Anlässe haben sich bewährt:

1. Beförderung in eine Schlüsselfunktion oder Organstellung: Die neue Rolle definiert die neue Prüftiefe — geprüft wird auf das Zielprofil, nicht auf das alte.

2. Interner Wechsel in einen sensiblen Bereich: Zahlungsverkehr, Treasury, IT-Administration, KRITIS-relevante Tätigkeiten oder Prokura.

3. Wiederbestellung von Geschäftsleitern oder Aufsichtsorganen: bei Instituten regelmäßig mit einer formalen Neubewertung der Eignung verbunden.

4. Übernahme zusätzlicher Mandate oder relevanter Nebentätigkeiten: nach Rn. 27 der EBA/ESMA-Leitlinien ausdrücklich Anlass, den Zeitaufwand neu zu bewerten.

5. Sanktionslisten- oder PEP-Treffer im laufenden Delta-Screening.

6. Adverse-Media-Treffer mit Bezug zur beruflichen Integrität — von Betrugsvorwürfen bis zu Insolvenzverfahren.

7. Dokumentierte tatsächliche Anhaltspunkte für eine Straftat im Beschäftigungsverhältnis: Dann — und nur dann — öffnet § 26 Abs. 1 Satz 2 BDSG den engen, dokumentationspflichtigen Korridor für eine verdachtsbezogene Aufklärung.

8. M&A-Transaktionen und Integration neuer Einheiten: Schlüsselpersonen der Zielgesellschaft wurden nach Deinen Standards nie geprüft.

Wie baust Du ein DSGVO-konformes Re-Screening-Programm auf?

Sieben Schritte, in dieser Reihenfolge:

1. Schlüsselpositionen definieren: Lege abschließend fest, welche Rollen erfasst sind — regulatorisch erfasste Funktionen (Geschäftsleiter, Inhaber von Schlüsselfunktionen), sicherheitskritische Rollen (IT-Administration, kritische Infrastruktur) und vermögensrelevante Rollen (Zahlungsverkehr, Treasury, Prokura). Alle übrigen Mitarbeiter bleiben außen vor.

2. Prüftiefe je Rolle festlegen: Erstelle eine Datenkategorien-Matrix — welche Rolle rechtfertigt welche Quellen (Sanktionslisten, PEP, Adverse Media, Register). Diese Matrix ist Dein Erforderlichkeitsnachweis gegenüber Datenschutzaufsicht und Prüfern.

3. Rechtsgrundlage je Prüfbaustein dokumentieren: Ordne jedem Baustein die tragende Norm zu — § 26 Abs. 1 Satz 1 BDSG, Art. 6 Abs. 1 UAbs. 1 lit. c oder lit. f DSGVO — und halte die Abwägung schriftlich fest.

4. Betriebsrat früh einbinden: Verhandle eine Betriebsvereinbarung, die Anlässe, Turnus, Datenkategorien, Auswertungslogik und Löschfristen regelt — sie erfüllt § 87 Abs. 1 Nr. 6 BetrVG und kann zugleich Rechtsgrundlage nach § 26 Abs. 4 BDSG sein.

5. Mitarbeiter transparent informieren: Erfülle die Informationspflichten der Art. 13 und 14 DSGVO vor dem ersten Prüflauf — Zweck, Datenkategorien, Quellen, Empfänger, Speicherdauer, Betroffenenrechte.

6. DSFA durchführen: Dokumentiere nach Art. 35 DSGVO Risiken und Abhilfemaßnahmen, bevor das Programm produktiv geht.

7. Treffer-Prozess und Audit-Trail definieren: Jeder Treffer durchläuft eine menschliche Validierung — keine automatisierte Einzelentscheidung über Köpfe. Prüfanlass, Ergebnis und Maßnahme werden revisionsfest dokumentiert; genau diese Dokumentation verlangt die Aufsicht auch (Rn. 161 der EBA/ESMA-Leitlinien).

Einmal-Check, Re-Screening oder kontinuierliches Monitoring — was passt wann?

Die drei Instrumente schließen einander nicht aus, sie adressieren unterschiedliche Risikofenster:

• Pre-Employment-Check: einmalig vor der Einstellung, für alle Rollen mit angepasster Tiefe. Rechtsgrundlage ist die Entscheidung über die Begründung des Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 Var. 1 BDSG). Er deckt das Einstellungsrisiko ab — nicht mehr.

• Turnusmäßiges Re-Screening: jährlich bis alle zwei Jahre, ausschließlich für definierte Schlüsselpositionen, gestützt auf die Durchführungs-Variante des § 26 Abs. 1 Satz 1 BDSG bzw. aufsichtsrechtliche Pflichten. Fokussierte Prüftiefe: Relevant ist das Delta seit der letzten Prüfung.

• Kontinuierliches Monitoring: laufender Abgleich einzelner dynamischer Datenkategorien (Sanktionen, PEP, Adverse Media) für eng definierte Hochrisiko-Rollen — automatisierte Treffer, menschliche Validierung, dokumentierte Eskalation.

Die Faustregel: Breite beim Einstieg, Tiefe im Turnus, Echtzeit nur dort, wo das Risiko sie trägt. Wer alle drei Ebenen sauber dokumentiert, besteht nicht nur die nächste Datenschutzprüfung — er hat auch der BaFin oder FINMA gegenüber jederzeit belegbare Antworten.

Die hier beschriebenen Prüfungen automatisiert Indicium: DSGVO-konform, EU/Schweizer Hosting, audit-fester Trail, Reports in 8–30 Minuten. Kostenlose 30-Minuten-Demo buchen — oder direkt die transparenten Preise ansehen.