Sicherheitsüberprüfung nach SÜG: Ü1, Ü2, Ü3 — und was Du als Arbeitgeber selbst prüfen darfst

Die Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetz (SÜG) ist ein staatliches Verfahren in drei Stufen: Ü1 (einfache Sicherheitsüberprüfung), Ü2 (erweiterte Sicherheitsüberprüfung) und Ü3 (erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen) nach § 7 Abs. 1 SÜG. Durchführen darf sie ausschließlich die zuständige staatliche Stelle unter Mitwirkung des Bundesamts für Verfassungsschutz — nie der Arbeitgeber selbst. Für alle Positionen ohne Zugang zu Verschlusssachen bleibt der zivile, DSGVO-konforme Background Check das richtige Instrument: Den verantwortest Du als Arbeitgeber, und er dauert Stunden statt Monate.

Was ist eine Sicherheitsüberprüfung nach dem SÜG?

Das SÜG regelt die Voraussetzungen und das Verfahren zur Überprüfung von Personen, die mit einer sicherheitsempfindlichen Tätigkeit betraut werden sollen (§ 1 Abs. 1 SÜG). Sicherheitsempfindlich ist eine Tätigkeit vor allem dann, wenn sie Zugang zu Verschlusssachen der Stufen VS-VERTRAULICH, GEHEIM oder STRENG GEHEIM eröffnet. Daneben erfasst § 1 Abs. 4 SÜG den vorbeugenden personellen Sabotageschutz: Wer an einer sicherheitsempfindlichen Stelle innerhalb einer lebens- oder verteidigungswichtigen Einrichtung arbeitet, übt ebenfalls eine sicherheitsempfindliche Tätigkeit aus. Lebenswichtig sind nach § 1 Abs. 5 SÜG Einrichtungen, deren Beeinträchtigung die Gesundheit oder das Leben großer Teile der Bevölkerung erheblich gefährden kann — genau hier entsteht die Überschneidung mit KRITIS-Betreibern.

Grundlage jeder Überprüfung ist die Sicherheitserklärung nach § 13 SÜG. Die betroffene Person legt darin unter anderem offen:

• Identitätsdaten und Wohnsitze der letzten fünf Jahre, Auslandswohnsitze ab dem 18. Lebensjahr,

• Arbeitgeber und Beschäftigungsverlauf sowie im Haushalt lebende Personen über 14 Jahre,

• finanzielle Verpflichtungen und Insolvenzverfahren,

• Kontakte zu Nachrichtendiensten sowie zu kriminellen oder terroristischen Vereinigungen,

• Strafverfahren und Verurteilungen sowie Aktivitäten in sozialen Netzwerken.

Ohne Zustimmung der betroffenen Person findet keine Sicherheitsüberprüfung statt — das Verfahren ist freiwillig, die sicherheitsempfindliche Tätigkeit ohne Überprüfung aber ausgeschlossen.

Ü1, Ü2, Ü3: Worin unterscheiden sich die drei Stufen?

Die drei Überprüfungsarten unterscheiden sich nach Anlass und Eingriffstiefe. Welche Maßnahmen die Behörden je Stufe ergreifen, regelt § 12 SÜG:

1. Ü1 — einfache Sicherheitsüberprüfung (§ 8 SÜG): vorgesehen für Personen, die Zugang zu VS-VERTRAULICH eingestuften Verschlusssachen erhalten sollen oder ihn sich verschaffen können. Maßnahmen: Auswertung der Sicherheitserklärung, unbeschränkte Auskunft aus Bundeszentral- und Gewerbezentralregister, Anfragen an BKA, Bundespolizei und Nachrichtendienste, bei Auslandsaufenthalten von mehr als sechs Monaten in den letzten fünf Jahren auch Anfragen an ausländische Sicherheitsbehörden sowie Recherchen in öffentlich zugänglichen Internetauftritten und sozialen Netzwerken. Die zuständige Stelle kann von der Ü1 absehen, wenn die Zuverlässigkeit bereits durch eine Luftsicherheitsüberprüfung festgestellt wurde oder Art und Dauer der Tätigkeit dies zulassen.

2. Ü2 — erweiterte Sicherheitsüberprüfung (§ 9 SÜG): Pflicht bei Zugang zu GEHEIM eingestuften Verschlusssachen oder zu einer hohen Anzahl VS-VERTRAULICH eingestufter Verschlusssachen — und der Regelfall im vorbeugenden Sabotageschutz nach § 1 Abs. 4 SÜG. Zusätzlich zur Ü1: Identitätsprüfung, Anfragen an die Polizeidienststellen der bisherigen inländischen Wohnsitze. Ehegatten, Lebenspartner und Lebensgefährten sollen nach § 2 SÜG als mitbetroffene Personen einbezogen werden. Bei kurzfristigen Tätigkeiten von maximal acht Wochen oder bei ständiger Begleitung durch eine überprüfte Person kann die Überprüfung entfallen; genügen Art oder Dauer der Tätigkeit, kann im Einzelfall eine Ü1 ausreichen.

3. Ü3 — erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen (§ 10 SÜG): erforderlich bei Zugang zu STRENG GEHEIM eingestuften Verschlusssachen, bei einer hohen Anzahl GEHEIM eingestufter Verschlusssachen sowie bei Tätigkeiten bei oder für Nachrichtendienste des Bundes. Zusätzlich zur Ü2: Befragung von Referenzpersonen und weiteren Auskunftspersonen im Lebensumfeld der betroffenen Person.

Ergeben sich während einer laufenden Überprüfung sicherheitserhebliche Erkenntnisse, kann die Behörde mit Zustimmung der betroffenen Person zur nächsthöheren Stufe übergehen (§ 7 Abs. 2 SÜG).

Wer ist zuständig — und welche Rolle hat der Arbeitgeber?

Zuständige Stelle ist nach § 3 Abs. 1 SÜG grundsätzlich die Bundesbehörde, die eine Person mit der sicherheitsempfindlichen Tätigkeit betrauen will. Als mitwirkende Behörde führt das Bundesamt für Verfassungsschutz (BfV) die eigentlichen Überprüfungsmaßnahmen durch, im Geschäftsbereich der Verteidigung der Militärische Abschirmdienst (§ 3 Abs. 2 SÜG). Die abschließende Entscheidung über die Sicherheitsermächtigung trifft die zuständige Stelle, wie das Bundesamt für Verfassungsschutz (2026) klarstellt.

Für Unternehmen — also den nichtöffentlichen Bereich, etwa Rüstungszulieferer oder IT-Dienstleister mit VS-Aufträgen — ist nach § 25 Abs. 1 SÜG das Bundesministerium für Wirtschaft und Energie zuständige Stelle. Im Unternehmen selbst nimmt eine Sicherheitsbevollmächtigte oder ein Sicherheitsbevollmächtigter die Aufgaben wahr. Deine Rolle als Arbeitgeber ist damit klar umrissen: Du stößt das Verfahren über den Sicherheitsbevollmächtigten an, sammelst die Sicherheitserklärung ein und setzt das Ergebnis um — die Prüfung selbst liegt vollständig beim Staat.

Wie lange dauert eine Sicherheitsüberprüfung Ü2?

Deutlich länger als jeder zivile Background Check. Die Berliner Geheimschutzstelle veranschlagt für das Verfahren im Geheimschutz der Wirtschaft ca. 3 bis 9 Monate, je nach Stufe und Geheimhaltungsgrad (Service-Portal Berlin (2026)). Einzelfälle mit klärungsbedürftigen Auslandsaufenthalten dauern länger. Hinzu kommt der Lebenszyklus: Nach Angaben des Bundesamts für Verfassungsschutz (2026) wird die Sicherheitserklärung nach fünf Jahren aktualisiert und die Überprüfung nach zehn Jahren wiederholt. Für Deine Personalplanung heißt das: Eine Position mit Ü2-Erfordernis kannst Du nicht kurzfristig besetzen — das Verfahren gehört an den Anfang des Einstellungsprozesses, nicht an sein Ende.

Was gilt im KRITIS-Umfeld: SÜG, Zuverlässigkeitsüberprüfung oder Background Check?

Hier entsteht in der Praxis die meiste Verwirrung, denn drei Prüfregime existieren nebeneinander:

• SÜG-Sicherheitsüberprüfung: nur bei Zugang zu Verschlusssachen oder wenn die konkrete Stelle als sicherheitsempfindliche Stelle einer lebens- oder verteidigungswichtigen Einrichtung im Sinne des § 1 Abs. 4 SÜG festgelegt wurde. Das betrifft einen kleinen Teil der Belegschaft — nicht jeden Mitarbeiter eines Energieversorgers oder Krankenhauses.

• Sektorspezifische Zuverlässigkeitsüberprüfungen: eigene gesetzliche Verfahren außerhalb des SÜG, etwa die Zuverlässigkeitsüberprüfung der Luftsicherheitsbehörde für Personal mit Zugang zu Sicherheitsbereichen von Flughäfen nach § 7 LuftSiG. Erfasst sind dort unter anderem Personen mit Zugang zu Sicherheitsbereichen, Personal von Flugplätzen, Luftfahrtunternehmen und Wartungsbetrieben sowie Piloten und Flugschüler. Auch hier prüft die Behörde, nicht der Arbeitgeber.

• Zivile Background Checks in Arbeitgeberverantwortung: Für die breite Mehrheit sicherheitsrelevanter Positionen verlangen NIS2 und § 30 BSIG Konzepte zur personellen Sicherheit, ohne ein staatliches Verfahren bereitzustellen. Wie Du diese Lücke schließt, zeigen unsere Beiträge zu Background Checks in der KRITIS und zur personellen Sicherheit nach NIS2 Art. 21 Abs. 2.

Merksatz: Die SÜ nach SÜG ist die Ausnahme für Verschlusssachen und festgelegte Sabotageschutz-Stellen. Der zivile Background Check ist der Standard für alle übrigen Positionen — und seit NIS2 für Geschäftsleitungen sogar haftungsrelevant, wie unser Beitrag zu § 30 BSIG und der Geschäftsleiterhaftung zeigt.

Was darfst Du als Arbeitgeber selbst prüfen — und was nicht?

Erlaubt ist Dir als privatem oder öffentlichem Arbeitgeber im Rahmen von DSGVO und BDSG:

• Identitätsverifikation anhand von Ausweisdokumenten vor Vertragsschluss.

• Lebenslauf-, Abschluss- und Zeugnisvalidierung — die häufigste Fehlbesetzungsquelle.

• Führungszeugnis zur Vorlage: Der Bewerber beantragt es selbst nach § 30 BZRG und legt es Dir vor — bei berechtigtem, positionsbezogenem Interesse.

• Register-, Sanktionslisten- und Adverse-Media-Screening aus öffentlich zugänglichen und lizenzierten Quellen.

• Referenzgespräche mit Wissen und Einwilligung des Bewerbers.

Nicht erlaubt ist Dir, was das SÜG den Behörden vorbehält: Anfragen an Verfassungsschutz, BKA oder Polizeidienststellen, die unbeschränkte Auskunft aus dem Bundeszentralregister, verdeckte Befragungen im Lebensumfeld oder die Einbeziehung von Ehepartnern. Wo genau die datenschutzrechtlichen Grenzen ziviler Prüfungen verlaufen, behandelt unser DSGVO-Leitfaden für Background Checks.

Warum ersetzt eine bestandene Ü2 keinen zivilen Background Check?

Weil beide Verfahren unterschiedliche Fragen beantworten. Die Sicherheitsüberprüfung klärt, ob von einer Person ein Sicherheitsrisiko für Verschlusssachen ausgeht — Erpressbarkeit, Loyalitätszweifel, Kontakte zu fremden Nachrichtendiensten. Sie validiert dagegen nicht, ob der Lebenslauf stimmt, der angegebene Hochschulabschluss existiert oder die Person auf einer Sanktionsliste steht: Diese Prüfgegenstände kommen in den Maßnahmenkatalogen des § 12 SÜG schlicht nicht vor. Umgekehrt erfüllt ein ziviler Background Check nie die SÜG-Anforderungen, weil ihm der Zugriff auf nachrichtendienstliche Erkenntnisse fehlt. Regulatorische Nachweispflichten — etwa nach ISO 27001, NIS2 oder gegenüber der BaFin — adressieren ohnehin den Arbeitgeber selbst und lassen sich nicht an ein Behördenverfahren delegieren, dessen Ergebnis Dir nur als Ja/Nein-Entscheidung mitgeteilt wird. Beide Instrumente schließen einander also nicht aus, sondern decken komplementäre Risiken ab.

SÜG-Überprüfung vs. ziviler Background Check: der direkte Vergleich

• Rechtsgrundlage: SÜ: SÜG plus Zustimmung der betroffenen Person. Ziviler Check: DSGVO und BDSG, regelmäßig mit Einwilligung.

• Wer prüft: SÜ: zuständige Stelle und BfV bzw. MAD. Ziviler Check: Arbeitgeber oder beauftragter Dienstleister als Auftragsverarbeiter.

• Anlass: SÜ: Verschlusssachen-Zugang, Sabotageschutz-Stellen. Ziviler Check: regulatorische Pflichten (NIS2, ISO 27001, BaFin), Risikomanagement, Sorgfalt bei der Einstellung.

• Datenzugriff: SÜ: nachrichtendienstliche und polizeiliche Register, unbeschränkte BZR-Auskunft. Ziviler Check: öffentliche Register, Sanktions- und PEP-Listen, Medienquellen, vom Bewerber beigebrachte Dokumente.

• Dauer: SÜ: Monate. Ziviler Check: Minuten bis Tage.

• Gültigkeit: SÜ: Aktualisierung nach fünf, Wiederholung nach zehn Jahren. Ziviler Check: anlassbezogen wiederholbar, etwa beim Rollenwechsel.

Wie gehst Du praktisch vor, wenn beides zusammenkommt?

1. Positionen klassifizieren: Welche Stellen erfordern VS-Zugang oder liegen im festgelegten Sabotageschutz-Bereich? Nur diese laufen über das SÜG-Verfahren. Public-Sector-Cloud-Kontexte haben zusätzlich eigene Anforderungen — siehe unseren Beitrag zu BSI C5 und Personnel-Kontrollen.

2. SÜ früh anstoßen: Sicherheitserklärung direkt nach der Vertragsunterschrift über den Sicherheitsbevollmächtigten einreichen, denn die Behördenlaufzeit bestimmt Deinen Besetzungstermin.

3. Zivilen Background Check parallel fahren: Identität, Lebenslauf, Sanktionslisten und Adverse Media kannst Du sofort prüfen — so reduzierst Du das Risiko in der Wartezeit und für alle Positionen ohne SÜ-Erfordernis.

4. Audit-fest dokumentieren: Prüfumfang, Rechtsgrundlage, Einwilligung und Ergebnis je Position festhalten — das verlangen Auditoren nach ISO 27001 ebenso wie Aufsichtsbehörden.

5. Wiederholungszyklen tracken: SÜ-Aktualisierung nach fünf Jahren, zivile Re-Checks anlassbezogen — beides gehört in ein zentrales Compliance-Register.

Die hier beschriebenen Prüfungen automatisiert Indicium: DSGVO-konform, EU/Schweizer Hosting, audit-fester Trail, Reports in 8–30 Minuten. Kostenlose 30-Minuten-Demo buchen — oder direkt die transparenten Preise ansehen.