Die Ausgangslage hat sich 2024 verschärft. Mit der Erweiterung der Staatenliste nach § 13 Abs. 1 Nr. 17 SÜG im November 2024 — die nun unter anderem China, den Iran, Nordkorea, Kuba, Vietnam und Afghanistan umfasst — und der Verlagerung von Bearbeitungszuständigkeiten innerhalb des Bundesamts für Verfassungsschutz (BfV) und der Landesbehörden, dauert eine reguläre Ü2-Geheimschutzprüfung in der Praxis zwischen vier und sechs Monaten, in Einzelfällen länger. Wird ein Verfahren nach dieser Zeit negativ beschieden oder wegen formaler Mängel zurückgewiesen, entstehen für das beauftragende Unternehmen erhebliche Kosten: ein eingestellter Mitarbeiter ohne Freigabe, eine ungenutzte Position, ein verbrannter Behördenslot.
Modul A: OSINT-Vorprüfung vor der formellen Antragstellung
Das erste Modul setzt vor der eigentlichen Sicherheitserklärung an. Die Validato-Analysten führen eine strukturierte Open-Source-Intelligence-Recherche durch, die methodisch exakt das simuliert, was das BfV im Rahmen der Ü2-Prüfung selbst tut: ein Sweep durch öffentlich sichtbare Webseiten, soziale Netzwerke, Adverse-Media-Datenbanken, Sanktions- und PEP-Listen sowie eine forensische Bildersuche. Ergänzt wird die Prüfung um einen SÜG-spezifischen Lückenlosigkeits-Check der Wohnsitze über die letzten fünf Jahre, die Erfassung von Auslandsaufenthalten ab dem 18. Lebensjahr über zwei Monate Dauer, sowie die Plausibilisierung von Auslandsverbindungen, doppelten Staatsangehörigkeiten und Reisemustern.
„Wir verbrennen keinen Behördenslot mehr. Das war für unsere Kunden die zentrale Entscheidung. Wenn die Ü2 negativ ausgeht, dann nicht nach sechs Monaten Bearbeitungszeit, sondern nach fünf Arbeitstagen Vorprüfung — und das Unternehmen kann den Kandidaten entweder gezielt auf Risikofelder vorbereiten oder das Verfahren gar nicht erst einleiten.“ — Reto Marti, COO und Co-Founder der Validato AG
Das Ergebnis der Vorprüfung erhalten die Auftraggeber als Ein-Seiter-Ampelbericht mit grünen, gelben und roten Bewertungen je Risikofeld sowie einer konkreten Handlungsempfehlung. Diese reicht von „Verfahren empfohlen, weitermachen" über „Ü1 statt Ü2 prüfen" und „proaktive Offenlegung erforderlich" bis hin zu „Verfahren nicht empfohlen". Ergänzend liefert Validato ein Kandidaten-Briefing-Memo, das die Person darauf vorbereitet, was sie später gegenüber dem BfV erläutern können muss. Die Bearbeitung erfolgt innerhalb von drei bis fünf Arbeitstagen. Rechtsgrundlage ist die schriftliche Einwilligung der betroffenen Person nach Art. 9 DSGVO in Verbindung mit einem Auftragsverarbeitungsvertrag.
Modul B: Antragsbegleitung und Sicherheitserklärung-Coaching
Das zweite Modul deckt den eigentlichen Antragsprozess ab. Validato führt mit dem Kandidaten ein einstündiges Briefing zu Zweck und Ablauf des Verfahrens durch, einschließlich der Mitwirkungspflicht, des Verweigerungsrechts nach § 13 Abs. 5 SÜG, der Reise-Anzeigepflicht nach § 32 SÜG sowie der laufenden Anzeigepflichten nach § 15b SÜG. Über ein DACH-gehostetes, MFA-gesichertes Portal werden die benötigten Dokumente strukturiert angefordert: Geburts- und Einbürgerungsurkunden, Lichtbilder nach Behörden-Spezifikation, Wohnsitz- und Heiratsnachweise sowie Sorgerechtsdokumente.
Den Kern bildet das Field-by-Field-Coaching der Sicherheitserklärung über 90 bis 120 Minuten. Jede Frage wird juristisch eingeordnet, typische Stolpersteine werden adressiert, die Trennung zwischen Pflichtfeldern und Feldern mit Verweigerungsrecht wird transparent gemacht. Der Kandidat füllt selbst aus, Validato coacht. Bei der Ü2-Geheimschutzvariante kommt ein separater Termin mit der mitbetroffenen Person hinzu — typischerweise dem Ehepartner — die eine eigene Sicherheitserklärung abgeben muss. Dieser Schritt wird in der Praxis häufig vergessen und blockiert in der Folge das gesamte Verfahren. Vor der Übergabe an den Sicherheitsbevollmächtigten (SiBe) durchläuft jeder Vorgang eine Vier-Augen-Qualitätssicherung anhand einer standardisierten Mängel-Checkliste.
„Der typische Verzögerungsgrund bei Ü2-Verfahren ist nicht der Inhalt, sondern handwerkliche Mängel. Wohnsitz nicht laufend angegeben, Lichtbild-Format falsch, Ehepartner-Zustimmung vergessen, Auslandsaufenthalte nicht in zeitlicher Reihenfolge. Jede einzelne Rückfrage des BfV kostet vier bis acht Wochen. Genau hier setzt unser Coaching an.“ — Andre Naef, CEO der Validato AG
Datenschutz, Aufbewahrung und klare Abgrenzung zur Hoheitsaufgabe
Die Verarbeitung erfolgt in der höchsten Sensibilitätsstufe: Sonderkategorien nach Art. 9 DSGVO, ergänzt um eine Vereinbarung nach § 26 BDSG. Sämtliche Daten werden in DACH-Rechenzentren gehostet, der Zugang ist mehrfaktor-geschützt, das Schlüsselmanagement ist dokumentiert. Die Löschung erfolgt 30 Tage nach Übergabe an den Sicherheitsbevollmächtigten. Validato grenzt das Angebot klar gegen hoheitliche Aufgaben ab: Es werden keine Behördenanfragen gestellt, keine Registerabfragen (BZR, GZR) durchgeführt, keine Polizeianfragen veranlasst. Diese Aufgaben verbleiben bei den zuständigen Behörden. Die Übergabe der fertigen Sicherheitserklärung an den SiBe erfolgt in der gesetzlich vorgeschriebenen Form, handschriftlich auf Papier — eine elektronische Übermittlung ist nach SÜG nicht zulässig.
Zielgruppe und Anwendungstrigger
Die Module richten sich primär an Sicherheitsbevollmächtigte in Unternehmen mit Aufträgen aus dem Verteidigungs-, Verfassungsschutz- und KRITIS-Umfeld, an HR-Abteilungen, die häufig als Vertragspartner und Rechnungsempfänger fungieren, sowie an die geprüften Personen selbst, die eigene DSGVO-Rechte haben und für die eine separate Vertragslinie sinnvoll ist. Auslöser für Modul A ist jeder neue Ü1- oder Ü2-Vorgang oder der Wechsel einer Person in eine sicherheitsempfindliche Position. Modul B greift, sobald die Entscheidung für das Verfahren gefallen ist.
„Bei aller Technik bleibt eines klar: Wir ersetzen nicht den Sicherheitsbevollmächtigten und geben keine Erfolgsgarantie. Was wir liefern, ist ein sauber aufbereiteter Vorgang statt 80 Prozent Eigenleistung des SiBe — und eine realistische Einschätzung der Eignung, bevor das Behördenverfahren überhaupt startet.“ — Marco Marti, CTO der Validato AG
Über die Validato AG
Die Validato AG mit Sitz in Zürich ist Anbieter einer konfigurierbaren, modularen Human-Risk-Management- und Background-Screening-Plattform für den DACH-Markt. Über 18 Module deckt Validato Pre-Employment-Screening, In-Employment-Screening, Re-Screening, Third-Party- und Lieferanten-Screening sowie Due Diligence ab. Die Plattform arbeitet mit einem Pay-per-Use-Modell, ist vollständig DSGVO- und nDSG-konform und auf die regulatorischen Rahmenwerke des deutschsprachigen Raums abgestimmt — von NIS2 und DORA über das KRITIS-Dachgesetz bis hin zu DIN SPEC 14027:2026-04, BSI C5:2026, ISO 27001 und dem Lieferkettensorgfaltspflichtengesetz.
Validato ist ein führender Anbieter für digitale Background Checks und Human Risk Management mit Sitz in Zürich. Die Plattform unterstützt Unternehmen dabei, Bewerberinnen sowie bestehende Mitarbeitende strukturiert und effizient auf Integrität, Interessenskonflikte und potenzielle Risiken zu prüfen – datenschutzkonform, modular und skalierbar.
Validato ist speziell auf die Anforderungen im DACH-Raum ausgerichtet, verzichtet auf Set-up-Gebühren, Jahresgebühren oder Mindestanzahl an Screenings und lässt sich flexibel in bestehende HR- oder Recruiting-Prozesse integrieren.
Mehr unter: www.validato.com
Validato AG
Claridenstrasse 34
CH8002 Zürich
Telefon: +41 (44) 51577-77
Telefax: +49 (721) 182894304
http://validato.com
COO
Telefon: +41 (44) 5157776
