Staatliche und private Stellen können für den Zugang zu bestimmten Berufen "Sicherheitsüberprüfungen" vorsehen. Geregelt ist das in Sicherheitsüberprüfungsgesetzen, die jeweils auf Landesebene erlassen werden, sowie dem Sicherheitsüberprüfungsgesetz auf Bundesebene.

Sicherheitsüberprüfungen führen durchweg zu weit gespannten Datenbankabfragen. Die Verhältnisse in Berlin – andere Länder dürften sich kaum unterscheiden – werden in Hinweisen zur Sicherheitsüberprüfung (2008) erläutert. Es drei Stufen der Sicherheitsüberprüfung, SÜ1 bis SÜ3:

1. Bei allen Sicherheitsüberprüfungen:
   • Anfragen an das zentrale staatsanwaltschaftliche Verfahrensregister, das Bundeszentralregister, an Meldebehörden und an Polizeibehörden (zum Betroffenen)
   • Anfragen an das "Nachrichtendienstliche Informationssystem (NADIS)" der Verfassungsschutzbehörden (zum Betroffenen und zum Ehegatten oder Lebenspartner).
2. Bei der SÜ 2 werden zusätzlich durchgeführt:
   • Prüfung der Identität des Betroffenen mit Hilfe der Pass- oder Personalausweisnummer oder durch Befragung geeigneter Personen unter Vorlage eines Lichtbildes
   • Anfragen an die Grenzschutzdirektion und Nachrichtendienste des Bundes (zum Betroffenen).
   • Alle unter 1. genannten Maßnahmen zum einzubeziehenden Ehegatten oder Lebenspartner.
3. Bei der SÜ 3 werden zusätzlich die vom Betroffenen angegebenen Referenzpersonen befragt.
4. Zusätzlich können je nach Lage im Einzelfall folgende Maßnahmen durchgeführt werden.
   • Maßnahmen der nächsthöheren Art der Sicherheitsüberprüfung mit Zustimmung des Betroffenen und der gegebenenfalls einzubeziehenden Person.
   • Gespräch(e) mit dem Betroffenen über seine persönliche Sicherheitssituation (soweit dies nach dem Ergebnis der Sicherheitsüberprüfung geboten erscheint.)

Sicherheitsüberprüfungen werden insbesondere durchgeführt für Menschen

die eine Tätigkeit ausüben sollen, bei der sie Zugang zu geheimhaltungsbedürftigen Angelegenheiten erhalten oder sich verschaffen können und ihrer Sicherheitsüberprüfung zugestimmt haben (siehe § 2 und § 8 Abs. 2 BSÜG). Hierzu gehören z.B. Bearbeiter von Verschlusssachen des Geheimhaltungsgrades VS-VERTAULICH oder höher, aber auch Personen, die an sicherheitsempfindlichen Stellen von lebens- oder verteidigungswichtigen Einrichtungen beschäftigt sind. (aaO)

Die Klausel zur Zustimmung ist hier natürlich noch weniger wert als in Ausnahmeregelungen zum Richtervorbehalt – wer nicht zustimmt, wird nicht eingestellt bzw. ggf. gefeuert.

Praxis der SÜ

Im 31. TB des BfDI für 2022 (S. 95) wird unter der Überschrift »Viel „bad practice“ und ein wenig „best practice“« über eine Kontrolle der SÜ-Praxis bei acht Behörden und vier privaten Stenllen berichtet.

Die festgestellten Mängel dürften nicht überraschen:

Zu den häufigsten Mängeln gehörte ein unzureichender Informationsfluss zwischen Geheimschutz- und Sabotageschutzbeauftragten bzw. Sicherheitsbevollmächtigten einerseits und der Personalstelle anderseits. Ebenso führten Mängel bei der Wiedervorlage wiederholt zur Missachtung von Vernichtungs- und Löschfristen. Des Weiteren habe ich immer wieder unzulässige Inhalte in den Sicherheitsakten festgestellt, wie beispielsweise Kopien von Bundespersonalausweisen, Pässen und Aufenthaltstiteln sowie Dokumente mit personenbezogenen Daten unbeteiligter Dritter, die gar nicht oder unzureichend geschwärzt waren.

Sicherheitsüberprüfungen und der VS

Ein guter Teil der Speicherungen von Personen im Haupt-Datenbanksystem der BRD-Geheimdienste, NADIS sind Personen, die in sicherheitsrelevanten Bereichen beschäftigt sind ("Sicherheitsüberprüfung"). Diese werden grundsätzlich so lange gespeichert,wie die Person in dem Bereich arbeitet, um spätere Erkenntnisse korrelieren zu können. Eingeführt wurde die Sicherheitsüberprüfung auf dem Höhepunkt des Kalten Krieges Anfang der sechziger Jahre, als die Bundesregierung Gewissheit über die Zuverlässigkeit jener Beschäftigten haben wollte, die sie für relevant für die Staatssicherheit (die eigene und die der DDR) hielt.

Bei der Sicherheitsüberprüfung gaben die Betroffenen zunächst Selbstauskunft und nannten bereits damals Referenzzeugen. Die Behörde sollte die Angaben überprüfen, zusätzliche Auskünfte etwa bei der Polizei und beim Strafregister einholen und notfalls weitere "Auskunftspersonen" befragen. Diese Prozedur, an der damals der Verfassungsschutz lediglich "mitwirken" sollte, hat sich mittlerweile zu einer der Hauptaufgaben dieser Geheimdienste entwickelt. Sie treten dabei offiziell als "mitwirkende Behörde" auf, formal liegt die Verantwortung für die Sicherheitsüberprüfung bei einem "Geheimschutzbeauftragten" der beschäftigenden Behörde.

Ein paar Ratschläge zum Verhalten bei Sicherheitsüberprüfungen finden sich im 14. TB LfD Sachsen (2009), S. 82.

Übrigens: Vorsicht bei Bewerbungen beim VS (aber wer würde das auch machen?): Im 28. TB (2019) berichtet der LfDI, der VS habe die Daten, die bei Sicherheitsüberprüfungen von Bewerber_innen angefallen sind, noch lange nach ablauf der Löschfristen behalten (S. 57); dass, wie der BfDI berichtet, der VS die zahlreichen Datenschutzverstöße erstmal korrigiert hat, dürfte nach Erfahrungen mit dem VS nicht viel heißen (vgl. die Übertragung von Anmelder_innendaten an den VS in Baden-Württemberg, die auch schon mindestens drei Mal eingestellt wurden...).

Zuverlässigkeitsprüfung

Für einige problematische Bereiche sehen einige Rechtsnormen eine Art kleine Sicherheitsüberprüfung statt; das heißt dort „Zuverlässigkeitsüberprüfung“ (§12 b Atomgesetz, §7 Luftsicherheitsgesetz).

Nach allgemeiner Einschätzung (z.B. 30. TB LfD BaWü (2011), S. 115) außergesetzlich werden inzwischen oft ebenfalls als Zuverlässigkeitsüberprüfung bezeichnete Datenabfragen weit über diese Bereiche hinaus eingesetzt. Sie basieren auf einer analogen Erpressung: Stimme einer breiten Abfrage zu, sonst wirst du nicht akkreditiert oder eingestellt.

Außerhalb von AKWs und Flughäfen wurden Zuverlässigkeitsüberprüfungen in der BRD zum ersten Mal breit bei der Fußball-Weltmeisterschaft der Männer 2006 breit eingesetzt. Dabei wurde das komplette Stadionpersonal ebenso überprüft wie Journalist_innen. Der BfDI disktutiert das Verfahren in seinem 21. TB (2006) (S. 71):

Unter Beteiligung der Polizei und des Verfassungsschutzes des Bundes und der Länder sowie des Bundesnachrichtendienstes wurden mit Einwilligung der Betroffenen insgesamt 148 351 Datensätze auf die Zuverlässigkeit der davon Betroffenen überprüft. Zu 2 055 Personen wurde eine ablehnende Empfehlung gegenüber dem OK FIFA WM 2006 ausgesprochen. [...] Im Zentrum der Kritik stand dabei die Beteiligung der Verfassungsschutzbehörden. [...] Denn eine fehlende Aufgabenzuweisung kann im Sicherheitsbereich nicht durch eine Einwilligung der betroffenen Personen ersetzt werden.

2006 wurde behauptet, es handele sich um eine Ausnahme; der BfDI ließ sich eingedenk desen a.a.O. (S. 71) auch zur Einlassung hinreißen, die "datenschutzrechtlichen Prüfungen der Zuverlässigkeitsüberprüfungen bei den verfahrensbeteiligten Behörden ergaben keinen Anlass für grundlegende Bedenken". So kann er kaum überrascht gewesen sein, dass wenig später die bayrische Polizei bei einem Papstbesuch wiederum Zuverlässigkeitsprüfungen durchführte, wenn auch unter Aussparung des VS. “Ich halte dies nicht für verhältnismäßig.“ konnte der BfDI dazu nur sagen.

Danach waren alle Dämme gebrochen, das polizeiliche Veto gegen z.B. Journalist_innen zu Anlässen wie Castortransporten oder dem NATO-Jubiläum 2008 in Kehl/Strasbourg gilt inzwischen als freiheitlich-demokratisch grundgeordnet.

Der LfD BaWü berichtet in seinem 30. TB (2011), (S. 114) von Übertragungen des LKA BaWü an das LKA NRW, das für die Veranstalter der Frauen-Fussball-WM tätig war. Dabei hatte NRW 106 Personen von BaWü überprüfen lassen wollen, von denen 27 im Catering, 3 bei der medizinischen Versorung und eine als Hostess hätten arbeiten sollen. Das LKA BaWü hat „Erkenntnisse“ zu 48 Personen übertragen. Dazu erwähnt er, auch bei der einfachen Zuverlässigkeitsprüfung sei der Verfassungsschutz in zwei Fällen „beteiligt“ worden.

Leider ist die Übermittlung von Daten an Private häufig durch Klauseln in den Polizeigesetzen gedeckt, in BaWü etwa durch §44 (2) PolG:

Die Polizei kann auf Antrag von Personen oder Stellen außerhalb des öffentlichen Bereichs personenbezogene Daten übermitteln, soweit der Auskunftsbegehrende

1. ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft macht und kein Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat oder
2. ein berechtigtes Interesse geltend macht, offensichtlich ist, daß die Datenübermittlung im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, daß er in Kenntnis der Sachlage seine Einwilligung verweigern würde.

Weiteres zu Zuverlässigkeitsprüfungen

• TAZ-Artikel von 2006 zu WM-Zuverlässigkeitsprüfungen

• Irre Geschichten#Begehrlichkeiten für weitere Beispiele von Zuverlässigkeitsprüfungen und ähnlichem

• 2022 führt die GFF ein Verfahren, weil einem Betroffenen noch nicht mal gesagt wird, auf welchen Spekulationen das Nichtbestehen einer Sicherheitsüberprüfung wohl basieren mag.