Es gibt diesen Moment in einem Recruiting-Prozess, an dem alles passt. Der Lebenslauf, das fachliche Gespräch, die Referenzen, die Persönlichkeit. Sie sind sich einig, Sie wollen die Person einstellen. Und dann lesen Sie das Wort, das alles ändert: „Voraussetzung ist eine erfolgreiche Sicherheitsüberprüfung Ü2 nach SÜG."

In diesem Augenblick beginnt eine Reise, die je nach Konstellation vier bis sechs Monate dauern kann. Manchmal länger. Und an deren Ende — das ist die unangenehme Wahrheit, die in den Pitch-Decks der Recruiting-Tools selten auftaucht — kann eine Ablehnung stehen. Nicht selten aus Gründen, die im Vorfeld erkennbar gewesen wären. Genau in diesem Spannungsfeld arbeitet die Validato AG seit Monaten an einer strukturierten Lösung. In diesem Beitrag erkläre ich, warum die Sicherheitsüberprüfung in der gelebten Praxis so unkalkulierbar ist, was sich 2024 verändert hat — und wie unsere zwei neuen Module für Ü1- und Ü2-Verfahren das Problem an seinen zwei wesentlichen Bruchstellen angreifen.

Die Sicherheitsüberprüfung nach SÜG kurz erklärt

Das deutsche Sicherheitsüberprüfungsgesetz regelt drei Stufen der Überprüfung: Ü1 (einfache Sicherheitsüberprüfung), Ü2 (erweiterte Sicherheitsüberprüfung) und Ü3 (erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen). Welche Stufe für eine Tätigkeit erforderlich ist, hängt vom Geheimhaltungsgrad der Informationen ab, mit denen die Person in Berührung kommt — von „VS-Nur für den Dienstgebrauch" bis „Streng Geheim" — sowie davon, ob es sich um Aufgaben im Bereich Geheimschutz oder Sabotageschutz handelt.

Federführend ist je nach Sektor das Bundesamt für Verfassungsschutz (BfV), das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) oder ein Landesamt für Verfassungsschutz. Im Unternehmen liegt die operative Verantwortung beim Sicherheitsbevollmächtigten (SiBe), der die Sicherheitserklärung der zu überprüfenden Person entgegennimmt, formal prüft und an die Behörde weiterleitet. Das Verfahren basiert auf der Mitwirkung des Kandidaten: Wer nicht mitwirkt, wird nicht überprüft. Wer falsche Angaben macht, riskiert nicht nur die Ablehnung, sondern auch strafrechtliche Konsequenzen.

Was sich 2024 verändert hat — und warum es jetzt darauf ankommt

Im November 2024 wurde die Staatenliste nach § 13 Abs. 1 Nr. 17 SÜG erweitert. Sie umfasst nun neben den bisher gelisteten Staaten auch China, Iran, Nordkorea, Kuba, Vietnam und Afghanistan. Verbindungen zu diesen Staaten — sei es durch doppelte Staatsangehörigkeit, nahe Angehörige, längere Aufenthalte oder geschäftliche Beziehungen — werden mit deutlich höherer Aufmerksamkeit geprüft. Das bedeutet nicht automatisch eine Ablehnung. Es bedeutet aber: Die Plausibilisierung dieser Verbindungen wird zur zentralen Frage des Verfahrens, und der Kandidat muss in der Lage sein, sie schlüssig zu erklären.

Parallel dazu sind die Bearbeitungszeiten in vielen Behörden weiterhin angespannt. Vier bis sechs Monate sind für ein reguläres Ü2-Geheimschutzverfahren keine Ausnahme, sondern der Normalfall. In einzelnen Konstellationen — komplexe Auslandsaufenthalte, mehrere Staatsangehörigkeiten, umfangreiche Plausibilisierung — sind auch deutlich längere Zeiten möglich. Für Unternehmen bedeutet das: Die Personalentscheidung muss frühzeitig getroffen werden, der Vertrag wird oft unterschrieben, bevor die Freigabe vorliegt, und die offene Position bleibt zwischenzeitlich unbesetzt.

Was passiert, wenn ein Ü2-Verfahren scheitert?

  1. Der Kandidat ist eingestellt, die Probezeit läuft, das Gehalt fließt, aber die sicherheitsempfindliche Position kann nicht angetreten werden.
  2. Die Behörde meldet das Ergebnis nach 4–6 Monaten. Eine erneute Antragstellung mit demselben Sachverhalt ist faktisch ausgeschlossen.
  3. Der Sicherheitsbevollmächtigte muss intern erklären, warum die Vorauswahl die Risikolage nicht erkannt hat.
  4. Im schlechtesten Fall müssen Personalmaßnahmen ergriffen oder die Position neu ausgeschrieben werden, mit erneuter Wartezeit für die Sicherheitsüberprüfung.

Modul A: OSINT-Vorprüfung — Eignungs-Check bevor das Verfahren startet

Hier setzt das erste der beiden Module an. Die Logik ist einfach: Bevor ein Antrag formell beim BfV oder BMWK eingereicht wird, prüfen wir mit denselben methodischen Mitteln, die die Behörde später ohnehin anwendet, ob es in der Sphäre des Kandidaten erkennbare Risikofaktoren gibt. Wir arbeiten mit öffentlich zugänglichen Quellen, eben Open Source Intelligence, und mit den vom Kandidaten selbst freigegebenen Informationen.

Was im OSINT-Sweep konkret geprüft wird

  1. Lückenlosigkeit der Wohnsitzangaben über die letzten fünf Jahre im Inland — ein Standard-Stolperstein, weil viele Kandidaten Zwischenstationen vergessen oder nicht „laufend" angeben können.
  2. Auslandsaufenthalte ab dem 18. Lebensjahr mit einer Dauer von mehr als zwei Monaten — Studienaufenthalte, Auslandssemester, längere Praktika, Sabbaticals.
  3. Frühere Namen, Namensänderungen, doppelte Staatsangehörigkeiten — alles, was später bei der behördlichen Prüfung als Inkonsistenz auffallen würde.
  4. Risiko-Mapping gegen die erweiterte Staatenliste nach § 13 Abs. 1 Nr. 17 SÜG: Verbindungen über Familie, Reise, Geschäft.
  5. OSINT-Sweep durch Webseiten, soziale Netzwerke, Adverse Media, Sanktions- und PEP-Listen sowie eine forensische Bildersuche.
  6. Finanzielle Belastbarkeit und Erpressbarkeitsrisiko über DACH-Bonitätsquellen, ergänzt um eine strukturierte Offenlegungs-Empfehlung.

Was Sie nach 3–5 Arbeitstagen erhalten

Das Ergebnis ist bewusst kompakt gehalten. Ein Ein-Seiter mit Ampel-Bewertung je Risikofeld, eine klare Handlungsempfehlung und ein Briefing-Memo für den Kandidaten. Die Handlungsempfehlung kann lauten: weitermachen, statt Ü2 zunächst Ü1 erwägen, proaktive Offenlegung gegenüber dem SiBe vorbereiten — oder im Einzelfall: Verfahren nicht empfohlen. Das Memo bereitet den Kandidaten darauf vor, was er bei der späteren Anhörung erläutern können muss. Beides zusammen ist die Grundlage, auf der die Personalentscheidung getroffen werden kann, ohne dass ein Behördenslot verbrannt wird.

--------------------------------------------------------------

„Schulden allein sind kein Killer in einer Sicherheitsüberprüfung. Intransparenz ist es. Diesen Satz hören Sicherheitsbevollmächtigte bei jeder BfV-Schulung — und genau diesen Punkt nehmen wir mit Modul A vorweg. Wir helfen dem Kandidaten und dem Unternehmen, transparent zu sein, bevor das Behördenverfahren anläuft.“  - Reto Marti, Managing Partner der Validato AG

--------------------------------------------------------------

Modul B: Antragsbegleitung — vom Briefing bis zur sauberen Übergabe an den SiBe

Modul B greift mit der Entscheidung, das Verfahren tatsächlich einzuleiten. Hier liegt das größere und in der Praxis häufig unterschätzte Problem: nicht der Inhalt der Sicherheitserklärung, sondern ihre handwerkliche Qualität. Eine fehlende Unterschrift der mitbetroffenen Person, ein Lichtbild im falschen Format, Wohnsitze, die nicht als „laufend" gekennzeichnet sind, Auslandsaufenthalte, die nicht in zeitlicher Reihenfolge eingetragen wurden — all das führt zu Rückfragen, die das Verfahren um vier bis acht Wochen je Rückfrage verzögern.

Was die Antragsbegleitung umfasst

  1. Briefing-Call (60 Min.) mit dem Kandidaten — Zweck und Ablauf des Verfahrens, Mitwirkungspflicht, Verweigerungsrecht nach § 13 Abs. 5 SÜG, Reise-Anzeigepflicht nach § 32 SÜG, laufende Anzeigepflichten nach § 15b SÜG.
  2. Strukturiertes Dokumentenmanagement — über ein DACH-gehostetes, MFA-gesichertes Validato-Portal. Geburts- und Einbürgerungsurkunde, Lichtbilder nach Spec, Wohnsitz- und Heiratsnachweise, Sorgerechtsdokumente.
  3. Field-by-Field-Coaching (90–120 Min.) der Sicherheitserklärung — jede Frage wird erklärt, juristisch eingeordnet, typische Stolpersteine adressiert. Der Kandidat füllt selbst aus, wir coachen.
  4. Separater Termin mit der mitbetroffenen Person bei Ü2-Geheimschutz — eigene Sicherheitserklärung, eigene Zustimmung. Wird häufig vergessen und blockiert sonst das gesamte Verfahren.
  5. Vier-Augen-Qualitätssicherung vor Übergabe an den SiBe — standardisierte Checkliste mit den häufigsten Mängeln. Ordnungsgemäße Übergabe an den SiBe in der vorgeschriebenen Form (handschriftlich auf Papier — die elektronische Übermittlung ist gesetzlich nicht zulässig).

--------------------------------------------------------------

„Der SiBe bekommt einen sauberen Vorgang statt 80 Prozent Eigenleistung. Das ist für Unternehmen mit einer hohen Frequenz an Sicherheitsüberprüfungen — also typischerweise Verteidigungs-, Verfassungsschutz- und KRITIS-Umfeld — der entscheidende Hebel. Der SiBe wird entlastet, die Verfahren laufen schneller, die Rückfragenquote sinkt.“  - Reto Marti, Managing Partner der Validato AG

--------------------------------------------------------------

Datenschutz, Geltungsbereich und was wir bewusst nicht tun

Beide Module verarbeiten Daten der höchsten Sensibilitätsstufe. Rechtsgrundlage ist eine schriftliche Einwilligung des Kandidaten nach Art. 9 DSGVO, ergänzt um einen Auftragsverarbeitungsvertrag mit dem Unternehmen und wo erforderlich, eine Vereinbarung nach § 26 BDSG. Sämtliche Daten verbleiben in der DACH-Region, der Zugang ist mehrfaktor-geschützt, das Schlüsselmanagement dokumentiert. Die Löschung erfolgt 30 Tage nach Übergabe der Sicherheitserklärung an den Sicherheitsbevollmächtigten. Der Kandidat ist zu jedem Zeitpunkt Inhaber seiner Daten, eine separate Vertragslinie zwischen Validato und Kandidat ist deshalb sinnvoll und üblich.


Genauso wichtig ist die Abgrenzung. Wir stellen keine Behördenanfragen, wir führen keine Registerabfragen beim Bundeszentralregister oder Gewerbezentralregister durch, und wir veranlassen keine Polizeianfragen. Diese Aufgaben verbleiben hoheitlich beim BfV, beim BMWK und den Landesämtern für Verfassungsschutz. Wir füllen die Sicherheitserklärung nicht anstelle des Kandidaten aus, und wir ersetzen nicht den Sicherheitsbevollmächtigten. Wir geben auch keine Erfolgsgarantie, die Eignungsentscheidung trifft die Behörde, nicht Validato.

Für welche Unternehmen ist das relevant?

Primäre Zielgruppe sind Unternehmen, in denen Sicherheitsüberprüfungen kein Einzelfall, sondern ein wiederkehrender Prozess sind. Das umfasst typischerweise Auftragnehmer der Bundeswehr und des Beschaffungsamts, Unternehmen mit Aufträgen aus dem Verfassungsschutz- und Nachrichtendienst-Umfeld, sowie Betreiber kritischer Infrastrukturen, die in den Anwendungsbereich des KRITIS-Dachgesetzes oder des Sabotageschutzes fallen. Innerhalb dieser Unternehmen sind die operativen Stakeholder typischerweise der Sicherheitsbevollmächtigte, die HR-Leitung als Vertragspartner und Rechnungsempfänger, sowie die Geschäftsführung als Entscheidungsträger für die Personalfreigabe.

Wann sollten Sie die Module einsetzen?

Modul A — die OSINT-Vorprüfung — kommt zum Einsatz, bevor ein Ü1- oder Ü2-Verfahren formell eingeleitet wird. Empfohlen wird der Einsatz bei jedem neuen Vorgang sowie bei Wechseln einer Person in eine sicherheitsempfindliche Position. Die Investition ist deutlich geringer als die Folgekosten einer gescheiterten Einstellung. Modul B — die Antragsbegleitung — greift, sobald die Entscheidung für das Verfahren gefallen ist. Beide Module können einzeln oder gemeinsam beauftragt werden.

Validato Sicherheitsüberprüfung: Ihre nächsten Schritte

  1. Sie planen ein Ü1- oder Ü2-Verfahren und möchten die Eignung vorab realistisch einschätzen? Sprechen Sie mit uns über Modul A.
  2. Sie haben den Verfahrensbeschluss bereits gefasst und wollen die Sicherheitserklärung formal sauber zur Übergabe bringen? Modul B begleitet Sie durch den gesamten Prozess.
  3. Sie sind unsicher, welche Sicherheitsüberprüfungs-Stufe (Ü1 / Ü2 / Geheim- vs. Sabotageschutz) für Ihre Position erforderlich ist? Wir klären das im Vorgespräch - kostenfrei und unverbindlich.

Weiterführende Informationen und interne Verlinkungen

  1. Übersicht der Validato-Module für Pre-Employment-Screening und Background Checks im DACH-Markt
  2. Third-Party-Screening und Lieferantenprüfung: Wie Sie privilegierten Zugriff externer Parteien absichern
  3. Re-Screening und In-Employment-Screening: Wann erneute Prüfungen notwendig sind
  4. BSI-Informationen zur Sicherheitsüberprüfung beim Bundesamt für Verfassungsschutz (extern): verfassungsschutz.de
  5. KRITIS-Dachgesetz, NIS2 und Human Risk Management — wie die regulatorischen Anforderungen zusammenhängen


Fazit: Aus 6 Monaten Unsicherheit wird ein kalkulierbarer Prozess

Die Sicherheitsüberprüfung nach SÜG ist und bleibt eine hoheitliche Entscheidung des BfV, des BMWK oder eines Landesamts. Daran ändern unsere Module nichts. Was wir verändern, ist die Kalkulierbarkeit des Prozesses davor und drumherum. Mit der OSINT-Vorprüfung wissen Sie nach wenigen Arbeitstagen, ob das Verfahren eine realistische Chance hat und welche Punkte der Kandidat proaktiv adressieren sollte. Mit der Antragsbegleitung wissen Sie, dass der Antrag handwerklich sauber zur Übergabe geht und die Rückfragenquote auf ein Minimum reduziert ist. Aus vier bis sechs Monaten Unsicherheit wird ein Prozess mit klaren Entscheidungspunkten und der SiBe bekommt einen druckreifen Vorgang statt eines halbfertigen Entwurfs.