BSI C5 Personnel-Anforderungen — diese drei Anhang-B-Kontrollen entscheiden über die Cloud-Zulassung im Public Sector

Antwort vorab: Wer als Cloud-Anbieter den deutschen Public Sector adressiert, kommt am BSI-C5-Testat (Cloud Computing Compliance Criteria Catalogue) nicht vorbei. Das oft übersehene Personalkapitel HR (Human Resources) mit den Kriterien HR-01 bis HR-06 enthält drei testat-kritische Anforderungen: Sicherheitsüberprüfung des Personals (HR-01), Vertraulichkeitsverpflichtung vor Aufnahme der Tätigkeit (HR-02) und Sicherheits-Awareness-Schulung mit Wirksamkeitsmessung (HR-03 bis HR-05). Wer diese Kontrollen ohne strukturierten Nachweis betreibt, fällt im Wirtschaftsprüfer-Testat nach IDW PS 980 / ISAE 3000 durch. Im Public-Sector-Kontext wird genau das von Auftraggebern wie BMI, BAMF, der Bundesdruckerei oder kommunalen IT-Dienstleistern als Ausschlusskriterium gewertet.

Die Situation: Mit dem BSI C5:2020 hat das Bundesamt für Sicherheit in der Informationstechnik den maßgeblichen Anforderungskatalog für Cloud-Dienste in regulierten und sicherheitskritischen Umgebungen geschaffen. Über 100 Cloud-Anbieter haben mittlerweile ein C5-Testat — von den Hyperscalern bis zu spezialisierten deutschen Sektor-Clouds. Die Komplikation: Während die technischen Kontrollen (Verschlüsselung, Netzwerksegmentierung, Identity Management) regelmäßig systematisch umgesetzt werden, bleibt der HR-Block in vielen Implementierungen formal — ein Personalbogen mit Häkchen, ohne testbare operative Tiefe. Die Resolution: Das BSI verlangt für HR-01 bis HR-06 nicht nur eine Policy, sondern wirksame und nachweisbare operative Mechanismen. Genau diese werden im Wirtschaftsprüfer-Testat geprüft.

H2.1 BSI C5 im Public-Sector-Kontext — warum das Testat das einzig akzeptierte Sicherheitsnachweis-Format ist

Der C5-Anforderungskatalog wurde 2016 in der Erstausgabe und 2020 in der überarbeiteten Fassung vom BSI publiziert. Er adressiert Cloud-Service-Anbieter, die personenbezogene Daten oder andere schutzbedürftige Informationen verarbeiten. Das C5-Testat ist kein klassisches Zertifikat, sondern eine durch einen unabhängigen Wirtschaftsprüfer erstellte Bescheinigung nach IDW PS 980 oder dem internationalen Pendant ISAE 3000 (Type 2 — design and operating effectiveness über typischerweise 6 bis 12 Monate).

Im Public-Sector-Kontext hat das C5-Testat eine besondere Rolle. In der "Mindestanforderungen externe Cloud-Nutzung" der Bundesverwaltung (zu finden in den BSI-Mindestanforderungen sowie der ergänzenden Cloud-Strategie des IT-Planungsrats und des Bundes-CIO) wird das C5-Testat in der Variante "C5 Type 2" als faktischer Nachweis-Standard zitiert. Die Konsequenz: Wer Public-Sector-Auftraggeber adressieren will — Bundesbehörden, Landesbehörden, Kommunalverwaltungen, kommunale Dienstleister wie Stadtwerke oder kommunale IT-Anstalten — braucht ein C5-Type-2-Testat, das die geltende C5:2020-Anforderungslogik vollumfänglich abbildet.

Drei testat-praktische Implikationen ergeben sich daraus. Erstens, Type-2-Nachweis-Tiefe: Type 2 verlangt nicht nur die Existenz von Kontrollen, sondern die nachgewiesene Wirksamkeit über einen Beobachtungszeitraum. Der Wirtschaftsprüfer prüft Stichproben aus diesem Zeitraum — bei HR typischerweise an konkreten Onboarding-Vorgängen, Schulungsbestätigungen, Sanktionsfällen. Zweitens, Anhang-B-Tiefe: Der C5:2020 enthält im Anhang B die "ergänzenden Anforderungen" für besonders schutzbedürftige Datenklassen — und genau hier verschärfen sich die Personnel-Anforderungen. Drittens, Querverweise zum IT-Grundschutz: Das BSI selbst weist das C5-HR-Kapitel als kompatibel zu den ORP.2-Bausteinen (Personalmanagement) des IT-Grundschutz-Kompendiums aus. Wer ORP.2 sauber umsetzt, deckt einen erheblichen Teil der C5-HR-Anforderungen ab — aber nur, wenn die Dokumentationsqualität testat-tauglich ist.

Maßgebliche Quelle: BSI Cloud Computing C5:2020, BSI IT-Grundschutz-Kompendium.

H2.2 HR-01 Sicherheitsüberprüfung — was das BSI unter "Background-Screening" tatsächlich versteht

Das Kriterium HR-01 verlangt eine Sicherheitsüberprüfung des Personals vor der Übernahme von Tätigkeiten mit Zugriff auf schutzbedürftige Cloud-Services. Die genaue Sprache des Standards differenziert nach der Sensibilität der Tätigkeit — für Standardrollen reichen weniger eingriffsintensive Maßnahmen, für privilegierte Rollen (Administratoren, Sicherheitsoperationen, Datenbank-Administratoren mit Zugriff auf Kundendaten) verschärfen sich die Anforderungen erheblich.

In der Wirtschaftsprüfer-Praxis ist HR-01 konkret an folgenden Nachweisen messbar: Erstens, Identitätsverifikation — eine dokumentierte Prüfung der Identität anhand eines amtlichen Lichtbildausweises, idealerweise mit elektronischer Identitätsfunktion oder Video-Ident-Verfahren. Zweitens, Beschäftigungshistorie — eine durchgeführte Verifikation der Beschäftigungsstationen über schriftliche Bestätigungen früherer Arbeitgeber oder dokumentierte Referenzgespräche. Drittens, Ausbildungs- und Qualifikationsverifikation — eine Verifikation der angegebenen Bildungs- und Berufsqualifikationen, insbesondere wenn die Stelle bestimmte Zertifizierungen voraussetzt (CISSP, CISM, AWS-Architect, BSI-IT-Grundschutz-Praktiker). Viertens, Negative Feststellungen aus öffentlichen Quellen — eine durchgeführte Recherche zu negativen öffentlichen Informationen, soweit beschäftigungsrelevant und DSGVO-konform.

Eine fünfte, oft umstrittene Dimension ist das Strafregister: Das BSI fordert in HR-01 nicht zwingend eine generelle Strafregisterabfrage. Aber: Im Anhang B (siehe Abschnitt H2.3) und im Public-Sector-Kontext wird sie für Tätigkeiten mit Zugriff auf besonders schutzbedürftige Daten regelmäßig erwartet. Die DSGVO-Schnittstelle ist hier zentral. Art. 10 DSGVO macht die Verarbeitung von Strafregister-Daten besonders restriktiv. Eine pauschale Strafregisterabfrage ohne dokumentierte Erforderlichkeitsprüfung ist DSGVO-rechtswidrig — und damit auch im C5-Testat angreifbar.

Quantitativ: Eine Auswertung von bekannt gewordenen Test-Findings im C5-Kontext zeigt, dass HR-01-bezogene Befunde — typischerweise Lücken in der Dokumentation der durchgeführten Verifikation oder fehlende Risikoabhängigkeit — zu den fünf häufigsten Findings im HR-Bereich gehören. Eine strukturierte Identitäts- und Beschäftigungsverifikation mit DSGVO-konformer Rechtsgrundlagen-Dokumentation ist hier nicht "nice-to-have", sondern testat-konstitutiv.

H2.3 Anhang B HR-Anforderungen — die zusätzliche Verschärfung für besonders schutzbedürftige Daten

C5:2020 unterscheidet zwischen Basis-Anforderungen (Hauptteil des Katalogs) und ergänzenden Anforderungen (Anhang B). Der Anhang B greift, wenn der Cloud-Service besonders schutzbedürftige Datenkategorien verarbeitet — typische Beispiele sind Bestandsdaten der Bundesverwaltung, Patientendaten in einer Klinik-Cloud, Steuerdaten in einer Behörden-Cloud, Sozialdaten in einer Sozialversicherungs-Cloud.

Die HR-Verschärfung im Anhang B erfolgt entlang dreier Dimensionen. Erstens, Tiefe der Sicherheitsüberprüfung: Während im Hauptkatalog HR-01 bei Standardrollen mit Identitäts- und Beschäftigungsverifikation auskommt, verlangt Anhang B für privilegierte Rollen eine erweiterte Prüfung — typischerweise inklusive Strafregisterauszug (in Deutschland regelmäßig das erweiterte Führungszeugnis), erweiterte Referenzprüfung über mindestens zwei vorherige Arbeitgeber und ggf. eine Sicherheitsüberprüfung nach SÜG (Sicherheitsüberprüfungsgesetz), wenn die Tätigkeit Verschlusssachen oder klassifizierte Informationen berührt. Zweitens, Geltungsdauer und Wiederholung: Anhang B verlangt regelmäßige Wiederholungen der Sicherheitsüberprüfung — typischerweise alle 3 bis 5 Jahre, bei besonders sensiblen Rollen häufiger. Drittens, Subdienstleister-Erstreckung: Wenn der Cloud-Anbieter Subdienstleister einsetzt (Subprozessoren, Wartungspartner, On-Site-Support), gelten die Anhang-B-HR-Anforderungen für deren Personal in gleicher Weise — was ein Subprozessor-Vendor-Management-Programm voraussetzt, das HR-Compliance bei Subdienstleistern auditieren kann.

Die operativen Konsequenzen sind erheblich. Ein Cloud-Anbieter mit, sagen wir, 400 Mitarbeitern und 30 Subprozessoren mit eigenem privilegierten Zugriff kommt schnell auf 700 bis 1.000 Personen, deren HR-Status laufend überwacht werden muss — Identitätsverifikation, Lizenz-Status, Schulungs-Compliance, Wiederholungs-Sicherheitsüberprüfungen. Ohne strukturiertes System wird das im Wirtschaftsprüfer-Testat zur Achillesferse.

Cross-Reference: Die ORP.2-Bausteine des IT-Grundschutz-Kompendiums (insbesondere ORP.2.A1 bis ORP.2.A14) bilden die operative Detaillierung für HR-01 und sind die typische Implementierungs-Referenz für deutsche Cloud-Anbieter. Eine saubere C5-Implementierung dokumentiert die Mappings zwischen C5-HR-Kriterien und IT-Grundschutz-ORP.2-Maßnahmen explizit.

H2.4 HR-02 Vertraulichkeitsverpflichtung — der Zeitpunkt entscheidet

Das Kriterium HR-02 verlangt, dass Personal vor der Aufnahme der Tätigkeit mit Zugriff auf Cloud-Services zur Vertraulichkeit verpflichtet wird. Die testat-relevante Spitze dieser Klausel ist der Zeitpunkt "vor der Aufnahme". In der operativen Realität vieler Cloud-Anbieter wird die Vertraulichkeitsverpflichtung erst am ersten Arbeitstag oder wenige Tage danach unterzeichnet — was formell konform sein kann, aber in der Audit-Praxis regelmäßig zu Findings führt, weil zwischen Vertragsunterzeichnung und tatsächlichem Zugriff Lücken bestehen, in denen schon Onboarding-Materialien oder System-Zugänge bereitgestellt wurden, ohne dass die Verpflichtung wirksam war.

Drei Anforderungen sind operativ zu trennen. Erstens, inhaltliche Substanz: Die Vertraulichkeitsverpflichtung muss konkret die Daten- und Informationskategorien adressieren, die in der Cloud verarbeitet werden — eine generische "alle Geschäftsgeheimnisse"-Formulierung ist regelmäßig unzureichend. Zweitens, zeitliche Dimension: Die Verpflichtung muss auch nach Beendigung des Beschäftigungsverhältnisses fortwirken — die typische Klausel adressiert Fortwirkung über mindestens drei Jahre, im Public-Sector-Kontext häufig länger. Drittens, Re-Acknowledgment: Bei materiellen Änderungen der Vertraulichkeitslandschaft (neue Datenkategorien, neue Cloud-Services, neue Kunden mit eigenem Vertraulichkeitsregime) muss eine erneute Verpflichtung erfolgen.

Die DSGVO-Komponente: Die Vertraulichkeitsverpflichtung der Cloud-Mitarbeiter ist gleichzeitig die Erfüllung der Verpflichtung nach Art. 32 Abs. 4 DSGVO ("Vertraulichkeit der Personen, die Zugriff auf personenbezogene Daten haben, sicherzustellen"). Wer hier sauber dokumentiert, erfüllt zwei Compliance-Regime mit einem Vorgang.

H2.5 HR-03 bis HR-06 Awareness und Schulung — Wirksamkeitsmessung statt Pflichtkurs

Die Kriterien HR-03 bis HR-06 adressieren Sicherheits-Awareness, Schulung, Sanktionsverfahren und das Beschäftigungsende. Der testat-kritische Aspekt liegt im Begriff der Wirksamkeit: Das BSI verlangt nicht nur, dass Schulungen stattfinden, sondern dass ihre Wirksamkeit gemessen und nachgewiesen wird.

Operativ bedeutet das: Eine jährliche E-Learning-Schulung mit Multiple-Choice-Test reicht im Type-2-Testat regelmäßig nicht aus. Erforderlich ist ein zusammengesetztes Awareness-Programm, das mindestens drei Komponenten kombiniert. Erstens, strukturierte Schulung mit dokumentierter Curriculum-Struktur, versionierten Inhalten und individuellen Acknowledgments. Zweitens, Kontinuierliche Awareness-Maßnahmen — Phishing-Simulationen mit dokumentierter Erfolgsmessung, Newsletter mit Lese-Bestätigung bei kritischen Themen, gezielte Re-Trainings für Mitarbeiter, die in Tests durchgefallen sind. Drittens, Wirksamkeitsmessung auf Programmebene — KPIs wie Phishing-Klickrate, Compliance-Schulungsrate, Incident-Reporting-Rate, deren Trends über Jahre hinweg dokumentiert werden.

Quantitativ: Cloud-Anbieter mit C5-Type-2-Testat berichten in branchentypischen Aggregaten von Phishing-Klickraten unter 5%, Schulungs-Abschlussraten über 98% und Incident-Reporting-Latenz im einstelligen Stundenbereich. Diese Werte sind testat-relevante Benchmarks. Wer wesentlich darunter liegt, riskiert Findings — nicht weil der Standard absolute Schwellen vorschreibt, sondern weil der Wirtschaftsprüfer die Wirksamkeit qualitativ bewertet.

HR-04 und HR-05 betreffen das Sanktionsverfahren und das ordnungsgemäße Beschäftigungsende. Im Sanktionsverfahren verlangt das BSI eine dokumentierte Eskalationsskala mit objektiven Kriterien — vom Hinweis-Gespräch bis zur außerordentlichen Kündigung mit Datenzugriffs-Sofortentzug. Das Beschäftigungsende erfordert einen formalen Off-Boarding-Prozess mit dokumentierter Rückgabe aller Assets, Deaktivierung aller Zugriffe und einer Bestätigung, dass die Vertraulichkeitsverpflichtung fortgilt. Die operative Umsetzung kombiniert HR, IT und Sicherheit in einem koordinierten Workflow.

Cross-Reference zur DSGVO: Die hier dokumentierten Personnel-Records — Schulungsnachweise, Sanktionsverläufe, Off-Boarding-Bestätigungen — sind sensible Beschäftigtendaten. Sie müssen mit dokumentierter Rechtsgrundlage geführt werden, typischerweise nach § 26 BDSG i.V.m. einer Betriebsvereinbarung oder einer arbeitsvertraglichen Klausel. Eine Compliance-Plattform mit getrennten Datenräumen für DSGVO-Workforce-Records und C5-HR-Records löst die Speicherbegrenzungs- und Zweckbindungs-Konflikte zwischen den Regimen.

H2.6 C5 im Kontext anderer Cloud-Standards — die Mapping-Logik zu ISO 27001, SOC 2 und EU Cloud CoC

Public-Sector-Auftraggeber erwarten zunehmend nicht ein einzelnes Testat, sondern ein Compliance-Portfolio: C5-Type-2 für die deutsche Public-Sector-Akzeptanz, ISO 27001 für die internationale Anschlussfähigkeit, SOC 2 für den US-Markt, EU Cloud Code of Conduct für DSGVO-Konformität. Cloud-Anbieter, die effizient operieren wollen, müssen die Personnel-Anforderungen dieser Regimes nicht parallel, sondern integriert tragen. Vier Mapping-Dimensionen sind zentral.

Erstens, ISO 27001:2022 Annex A 6.1 (Screening) entspricht weitgehend C5 HR-01. Die Anforderungen an Identitäts-, Beschäftigungs- und Qualifikations-Verifikation sind nahezu deckungsgleich. Wer C5-konform ist, ist regelmäßig auch ISO-27001-konform — und umgekehrt. Allerdings: ISO 27001 lässt mehr Auslegungsspielraum zu, während C5 für den Public-Sector-Kontext typischerweise tiefere Verifikation erfordert.

Zweitens, SOC 2 Common Criteria CC1.4 (Personnel Practices) überlappt teilweise mit C5 HR-01 bis HR-06, deckt aber das Schulungs- und Sanctions-Regime weniger detailliert ab. Wer als Cloud-Anbieter europäische und US-amerikanische Kunden adressiert, kombiniert typischerweise C5-Type-2 mit SOC-2-Type-2 — und nutzt die operative Personnel-Compliance-Architektur als gemeinsamen Unterbau, mit jeweils standard-spezifischen Reporting-Schnittstellen.

Drittens, EU Cloud Code of Conduct (genehmigt nach Art. 40 DSGVO durch belgische Datenschutzaufsicht) addressiert die DSGVO-Konformität von Cloud-Diensten. Die Personnel-Anforderungen sind weniger granular als bei C5, aber in der Mitarbeiter-Vertraulichkeit und Schulung weitgehend kompatibel. Cloud-Anbieter, die diesen Code unterzeichnet haben, finden in C5-HR-02 eine direkte operative Konkretisierung der Code-Anforderungen.

Viertens, TISAX (Trusted Information Security Assessment Exchange) für Automotive-Cloud-Dienste enthält in den ISA-Personnel-Modulen vergleichbare Anforderungen wie C5 HR — mit branchenspezifischer Schärfung für Prototypenschutz und Engineering-Vertraulichkeit. Cloud-Anbieter, die OEMs adressieren, brauchen typischerweise TISAX zusätzlich zu C5.

Die operative Empfehlung: Eine gemeinsame Personnel-Compliance-Datenbasis mit standard-spezifischen Mapping-Tabellen ist effizienter als parallele Compliance-Silos. Eine zentral geführte Workforce-Datenbank, die für jeden Mitarbeiter den Verifikations-Status, den Schulungs-Status, die laufenden Sanktions-Informationen und die zugewiesene Risiko-Klasse hält, lässt sich gegen jede der genannten Standards reportieren — mit unterschiedlichen Schwerpunkten, aber gemeinsamem Datengrundbestand.

Quantitativ: Cloud-Anbieter mit C5-Type-2- und ISO-27001-Zertifikaten parallel berichten typischerweise 30% bis 50% Effizienz-Gewinn in der Personnel-Compliance, wenn die Datenbasis integriert ist — verglichen mit der Pflege paralleler, nicht abgestimmter Strukturen. Wer zusätzlich SOC 2 und TISAX trägt, multipliziert diesen Hebel.

H2.7 Bestehende Findings systematisch bearbeiten — der Pfad vom ersten Testat zur stabilen Compliance

Erstmalige C5-Testate enthalten in der Regel Findings — typischerweise als "Defizit" oder "Empfehlung" formuliert. Die operative Frage ist: Wie werden diese Findings systematisch in die laufende Compliance-Architektur überführt, ohne im nächsten Testat-Zyklus dieselben Defizite zu reproduzieren?

Drei Mechanismen sind in der Praxis erfolgreicher Cloud-Anbieter etabliert. Erstens, Findings-Tracking-Register: Jedes Finding wird mit Verantwortlicher, Zielzustand, Maßnahmen-Plan und Bearbeitungs-Frist erfasst. Im HR-Bereich umfasst das typischerweise: Lückenschließungen in der Background-Screening-Dokumentation, Verbesserungen der Schulungs-Wirksamkeitsmessung, Implementierung fehlender Re-Verifikations-Mechanismen. Zweitens, Quartalsweise Status-Reviews mit dokumentierter Eskalation an die Geschäftsleitung. Bei C5-Type-2 hat die Geschäftsleitung die Verantwortung für die Wirksamkeit der Kontrollen — Status-Berichte sind nicht optional, sondern explizit erwartet. Drittens, Wirtschaftsprüfer-Vor-Audit vor dem nächsten regulären Testat-Zyklus. Ein Pre-Audit identifiziert verbleibende Schwachstellen früh und ermöglicht ihre Behebung im laufenden Beobachtungs-Zeitraum, ohne im finalen Testat-Bericht aufzutauchen.

Cross-Reference zu DORA für Cloud-Anbieter mit Finanzkunden: Wenn der Cloud-Anbieter Finanzdienstleister bedient, treten zu den C5-Anforderungen die Subkontraktor-Pflichten aus DORA Art. 28 hinzu — mit eigenen Audit-Rechten der Finanzdienstleister-Aufsicht (BaFin) und Pooled-Audit-Möglichkeiten. Eine integrierte Compliance-Architektur, die C5-Audit-Trails so führt, dass sie auch DORA-Audit-Anforderungen abdecken können, vermeidet Doppelaufwand.

Quantitativ: Cloud-Anbieter mit C5-Type-2-Erfahrung berichten, dass ein erstmaliges Testat typischerweise 12 bis 18 Monate Vorbereitungszeit erfordert — von der initialen Gap-Analyse bis zum unterzeichneten Testat. Folgende Testat-Zyklen sind kürzer, typischerweise 6 bis 12 Monate Beobachtungs-Zeitraum mit kontinuierlichen internen Reviews. Wer eine strukturierte Personnel-Compliance-Plattform mit Findings-Tracking im ersten Zyklus implementiert, baut Effizienz-Vorteile auf, die sich in Folge-Zyklen kumulieren.

Weiterführende offizielle Quellen: BSI Cloud Computing C5:2020 Kriterienkatalog, BSI IT-Grundschutz Baustein ORP.2 Personal, Sicherheitsüberprüfungsgesetz (SÜG), IDW Prüfungsstandard PS 980, EU Cloud Code of Conduct.

---

Indicium dokumentiert C5-konforme Personen-Prüfungen automatisch und auditfest — mit risikoabhängigem Screening-Profil und IDW-PS-980-tauglicher Beweislogik. Discovery-Call buchen.