# Mitarbeitersicherheit und Screening

**Dokumenttyp:** Richtlinie & Prozess
**Geltungsbereich:** Alle Mitarbeitenden und Hilfspersonen mit Zugang zu Kundendaten
**Version:** 1.0
**Status:** Entwurf zur internen Freigabe
**Owner:** Geschäftsführung
**Letzte Aktualisierung:** 02.06.2026
**Deckt ab (CACC):** 23, 35, 37

---

## 1. Vertraulichkeitsverpflichtung (#23)

Alle Mitarbeitenden und Hilfspersonen werden bei Eintritt schriftlich zur Geheimhaltung sämtlicher Inhaltsdaten der Kunden verpflichtet — insbesondere zur Wahrung des Bankkunden- und sonstigen Berufsgeheimnisses. Die Verpflichtung gilt **zeitlich unbefristet** und besteht auch nach Beendigung des Arbeitsverhältnisses fort.

**Nachweis:** Unterschriebene Geheimhaltungsvereinbarung (NDA) im Personaldossier. **[ZU PRÜFEN: liegen NDAs für alle aktuellen Mitarbeitenden vor?]**

## 2. Sorgfältige Auswahl und Hintergrundprüfung (#35)

Vor Gewährung von Zugang zu Berufsgeheimnisdaten im Klartext werden Mitarbeitende sorgfältig ausgewählt und überprüft.

| Prüfschritt | Durchführung |
|---|---|
| Identitätsprüfung | Bei Einstellung |
| Strafregisterauszug | [ZU PRÜFEN: wird verlangt?] |
| Referenzprüfung früherer Arbeitgeber | [ZU PRÜFEN] |
| Prüfung auf einschlägige Sanktionslisten | [ZU PRÜFEN] |

> **Hinweis:** Punkt #35 verlangt eine Überprüfung „entsprechend den Standards des Instituts für eigene Mitarbeiter". Für FINMA-Kunden ist mindestens ein aktueller Strafregisterauszug üblich. Falls dies aktuell nicht erfolgt, als Massnahme aufnehmen.

## 3. Schulung und Awareness

| Massnahme | Häufigkeit |
|---|---|
| Sicherheits- und Datenschutz-Onboarding | Bei Eintritt |
| Auffrischungsschulung (inkl. Phishing-/Social-Engineering-Awareness) | Jährlich |
| Schulung zu dieser Richtlinie und zur IS-Richtlinie | Bei Eintritt + bei Änderungen |

**[ZU PRÜFEN: Findet eine strukturierte Schulung statt? Falls informell, formalisieren und dokumentieren.]**

## 4. Überwachung privilegierter Mitarbeitender (#37)

Mitarbeitende mit privilegiertem Zugriff auf kritische Klartextdaten werden:
- sorgfältig ausgewählt und geschult,
- durch Audit-Trails überwacht, die regelmässig (mindestens stichprobenweise) ausgewertet werden (siehe `11_Logging_und_Monitoring.md`),
- bei Offboarding sofort entzogen (siehe `02_Zugriffsmanagement_IAM_PAM.md` Abschnitt 5).

## 5. Stand der Umsetzung / Lücken

| Thema | Status | Massnahme |
|---|---|---|
| NDAs für alle Mitarbeitenden | [ZU PRÜFEN] | Vollständigkeit sicherstellen |
| Strafregisterauszug bei Einstellung | [ZU PRÜFEN] | Einführen falls nicht vorhanden |
| Dokumentierte jährliche Schulung | [ZU PRÜFEN] | Formalisieren |