Ein Fachblog von Gercke Wollschläger
gw-strafrecht.de ↗ LinkedIn Kontakt
Gesicherte Sicherheitsschleuse mit Glastüren und Zutrittskontrolle — vorbeugender personeller Sabotageschutz nach SÜG-Novelle 2026.

SÜG-Novelle 2026: Geheim- und Sabotageschutz als Compliance-Aufgabe

Von

9 Min.

AUF EINEN BLICK

Die SÜG-Novelle 2026 — das Gesetz zur Modernisierung des Sicherheitsüberprüfungsgesetzes — ist seit dem 16. Januar 2026 in Kraft. Betreiber lebens- oder verteidigungswichtiger Einrichtungen müssen ihre sicherheitsempfindlichen Stellen der zuständigen Stelle künftig unverzüglich melden (§ 25a SÜG); die Überprüfung im vorbeugenden personellen Sabotageschutz wurde angehoben und erfasst nun auch Ehe- und Lebenspartner. Das SÜG selbst ist sanktionsbewehrt: Verstöße gegen die neue Meldepflicht sind als Ordnungswidrigkeit mit Bußgeld bedroht (§ 38 SÜG); daneben greifen Staatsschutz- und Geheimnisdelikte (§§ 93 ff., 99, 353b StGB) sowie §§ 30, 130 OWiG. Parallel hat der Gesetzgeber § 99 StGB zum 2. April 2026 verschärft.

Die SÜG-Novelle 2026: Anlass und Verfahren

Das Sicherheitsüberprüfungsgesetz regelt seit 1994, wer in sicherheitsempfindlichen Tätigkeiten eingesetzt werden darf — in Behörden wie in Unternehmen, die Verschlusssachenaufträge des Bundes ausführen oder lebens- und verteidigungswichtige Einrichtungen betreiben. Anlass der Novelle waren die Evaluation der Reform von 2017 und die veränderte Sicherheitslage: Die Gefahr von Ausspähung und Sabotage öffentlicher Stellen und der in ihrem Auftrag handelnden nichtöffentlichen Stellen sei stark gewachsen, so die Begründung (BT-Drs. 21/1926).

In der Anhörung des Innenausschusses am 3. November 2025 zeigten sich die Konfliktlinien: Die intensivierte Internetrecherche — auch zu mitbetroffenen Personen — bewertete das Bundesamt für Verfassungsschutz als sachgerecht, die Bundesdatenschutzbeauftragte als zu weitgehend; der Bundesverband der Sicherheitswirtschaft verwies auf Verfahrensdauern von regelmäßig 3 bis 6 Monaten im Geheimschutz und 5 bis 8 Monaten im Sabotageschutz, die DIHK auf die neuen Meldepflichten. Ausgefertigt am 11. Januar 2026 und verkündet am 15. Januar 2026 (BGBl. 2026 I Nr. 6), gilt das Gesetz in seinem Kern seit dem 16. Januar 2026. Punktuell hat zudem das Gesetz zur Stärkung der Militärischen Sicherheit in der Bundeswehr vom 9. Januar 2026 (BGBl. 2026 I Nr. 7) § 36 SÜG angepasst.

Was jetzt gilt: die Kernänderungen für den nichtöffentlichen Bereich

Meldepflicht nach § 25a SÜG. Betreiber lebens- oder verteidigungswichtiger Einrichtungen sind verpflichtet, ihre sicherheitsempfindlichen Stellen der zuständigen Stelle unverzüglich mitzuteilen — spätestens innerhalb von 1 Jahr, nachdem die Einrichtung diese Eigenschaft erlangt hat. Sicherheitsempfindliche Stelle ist die kleinste selbständig handelnde, vor unberechtigtem Zugang geschützte Organisationseinheit, von der im Fall ihrer Beeinträchtigung eine erhebliche Gefahr für die geschützten Güter ausgeht (§ 1 Abs. 5 S. 3 SÜG). Welche Einrichtungen erfasst sind, ergibt sich aus § 1 Abs. 5 SÜG in Verbindung mit der Rechtsverordnung nach § 34 SÜG. Die Meldung ist keine Formalie: Sie legt zugleich fest, welche Beschäftigten dem vorbeugenden personellen Sabotageschutz unterliegen (§ 1 Abs. 4 SÜG).

Angehobene Überprüfung im Sabotageschutz. Die Sicherheitsüberprüfung im vorbeugenden personellen Sabotageschutz erstreckt sich nun auch auf mitbetroffene Personen — Ehegatten, Lebenspartner und Partner einer auf Dauer angelegten Gemeinschaft — und entspricht damit dem Zuschnitt der erweiterten Sicherheitsüberprüfung. Die neue Sicherheitserklärung ist auch von der mitbetroffenen Person zu unterschreiben. Hinzu treten laufende Pflichten: Wer während oder nach der Überprüfung eine Ehe oder eine auf Dauer angelegte Gemeinschaft eingeht, hat dies den Sabotageschutzbeauftragten unverzüglich anzuzeigen (§ 29 Abs. 2 i. V. m. § 2 Abs. 2 S. 6 SÜG).

Sicherheitsakte und Zweckbindung. Die Sicherheitsakte der nicht-öffentlichen Stelle ist in § 30 SÜG geregelt; sie wird — anders als im öffentlichen Bereich — bei einem Wechsel des Arbeitgebers nicht abgegeben. Verwendung und Weitergabe der Informationen aus der Sicherheitsüberprüfung sind zweckgebunden (§ 25 Abs. 5 und § 27 SÜG). Zuständige Stelle für den Geheimschutz in der Wirtschaft ist das Bundesministerium für Wirtschaft und Energie (§ 25 Abs. 1 SÜG); im Unternehmen nehmen Sicherheitsbevollmächtigte beziehungsweise Sabotageschutzbeauftragte die Aufgaben wahr (§ 25 Abs. 3 SÜG). Die SÜG-Ausführungsvorschrift und der Leitfaden zum Sabotageschutz im nichtöffentlichen Bereich werden nach Ankündigung des Ministeriums in den kommenden Monaten angepasst. Eine Einordnung des Gesamtsystems aus personellem und materiellem Geheimschutz gibt der Leitfaden zum Geheim- und Sabotageschutz für die Geschäftsleitung.

Strafverfahrensrechtliche Konsequenzen

Das SÜG enthält ein eigenes, aber begrenztes Sanktionsregime. § 38 SÜG ahndet als Ordnungswidrigkeit unter anderem, wer die Mitteilung nach § 25a nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht oder entgegen § 27a Abs. 2 den Einsatz einer untersagten Person nicht unterbindet; § 37 SÜG stellt bestimmte unbefugte Verwendungen der im Verfahren geschützten, nicht offenkundigen personenbezogenen Daten unter Strafe (bei Bereicherungs- oder Schädigungsabsicht Freiheitsstrafe bis zu 2 Jahren, § 37 Abs. 3 SÜG). Im nichtöffentlichen Bereich darf eine Person an einer sicherheitsempfindlichen Stelle zudem erst nach Mitteilung der zuständigen Stelle eingesetzt werden; bei Untersagung ist der Einsatz ausgeschlossen (§ 27a SÜG). Daneben — und für Spionage- und Sabotagesachverhalte praktisch gewichtiger — wird das Umfeld strafrechtlich relevant, an 3 Stellen.

Erstens die Staatsschutzdelikte. Spionage- und Sabotagesachverhalte in Unternehmen führen in die §§ 93 ff. StGB, praktisch vor allem in die geheimdienstliche Agententätigkeit nach § 99 StGB. Deren Strafrahmen hat der Gesetzgeber durch Gesetz vom 20. März 2026 (BGBl. 2026 I Nr. 95) mit Wirkung zum 2. April 2026 angehoben und zugleich verdeckte Ermittlungsmaßnahmen wie Online-Durchsuchung und Wohnraumüberwachung für die Verfolgung eröffnet. Solche Verfahren führen der Generalbundesanwalt und die Staatsschutzsenate der Oberlandesgerichte (§§ 120, 142a GVG). Für Unternehmen bedeutet das: Ermittlungen gegen eigene Beschäftigte treffen den Betrieb als Durchsuchungsort und Beweismittelquelle, während eingestufte Aktenbestandteile und Sperrerklärungen nach § 96 StPO die Akteneinsicht begrenzen. Die Tatbestände und Fallgruppen behandelt vertieft der Beitrag zu Wirtschaftsschutz und staatlich gelenkter Spionage.

Zweitens die individualstrafrechtlichen Flanken des Geheimschutzes: Förmlich verpflichtete Beschäftigte haften bei Geheimnisbruch nach § 353b StGB; Sabotagehandlungen an Verteidigungsmitteln erfasst § 109e StGB, Angriffe auf Datenverarbeitungen § 303b StGB. Drittens die Verbandsebene: Eine lückenhafte Geheim- und Sabotageschutzorganisation kann als Aufsichtspflichtverletzung nach § 130 OWiG gewertet werden, wenn gehörige Aufsicht die Zuwiderhandlung verhindert oder wesentlich erschwert hätte — mit der Folge einer Verbandsgeldbuße nach § 30 OWiG (dazu der Überblick zum Unternehmensstrafrecht in Deutschland). Unabhängig davon wirken Verstöße verwaltungsrechtlich: Sie können die Geheimschutzbetreuung und damit die Fähigkeit gefährden, Verschlusssachenaufträge des Bundes zu übernehmen.

Hinzu kommen die Informationsflüsse, die die Novelle institutionalisiert: Meldungen nach § 25a SÜG, Sicherheitserklärungen und Nachberichte nach § 29 SÜG erzeugen Datenbestände bei der zuständigen Stelle und den mitwirkenden Verfassungsschutzbehörden. Aus diesem Präventionskanal können Erkenntnisse in Ermittlungsverfahren gelangen — wer meldet, kontrolliert die weitere Verwendung nicht.

Die Sicherheitsakte der nicht-öffentlichen Stelle (§ 30 SÜG) kann im Ermittlungsverfahren je nach Inhalt, Gewahrsam und Verfahrensbezug als Beweismittel in Betracht kommen. Die Zweckbindungen des SÜG binden das Unternehmen — eine automatische Sperrwirkung gegenüber strafprozessualen Zugriffen entfalten sie nicht.

Praktische Konsequenzen für Unternehmen und Organe

Am Anfang steht die Statusfrage: Ist die eigene Einrichtung lebens- oder verteidigungswichtig im Sinne des § 1 Abs. 5 SÜG? Daran schließt die Identifikation der sicherheitsempfindlichen Stellen an — mit dokumentierter, belastbarer Methodik, denn der Zuschnitt entscheidet zugleich über den Kreis der überprüfungspflichtigen Beschäftigten: zu eng lässt Schutzlücken, zu weit erzeugt Aufwand und Datenbestände ohne Not.

Die Verfahrensdauern von mehreren Monaten gehören in die Personalplanung; Einstellungen, Versetzungen und Vertretungen brauchen Vorlauf. Die Einbeziehung mitbetroffener Personen und die laufenden Anzeigepflichten verlangen abgestimmte Prozesse zwischen Sicherheitsorganisation, Personal und Datenschutz; die Sicherheitsakte ist getrennt von der Personalakte zu führen. Für den Ernstfall braucht es definierte Wege — wer eine sicherheitserhebliche Erkenntnis bewertet und über Meldung, interne Untersuchung und eine Strafanzeige entscheidet, gerade in Konstellationen des unzulässigen Wissenstransfers. Die Novelle verlagert die Verantwortung für den personellen Geheim- und Sabotageschutz erkennbar in die Unternehmen. Ob die Strukturen tragen, zeigt sich oft erst, wenn Ermittlungsbehörden im Haus stehen — dann sind Meldewege, Aktenführung und Zuständigkeiten Beweisthema.

Häufige Fragen

Für welche Unternehmen gilt das Sicherheitsüberprüfungsgesetz?
In 2 Konstellationen: zum einen für Unternehmen, die Verschlusssachenaufträge des Bundes ausführen und in die Geheimschutzbetreuung aufgenommen sind; zum anderen für Betreiber lebens- oder verteidigungswichtiger Einrichtungen im Sinne des § 1 Abs. 5 SÜG in Verbindung mit der Rechtsverordnung nach § 34 SÜG (vorbeugender personeller Sabotageschutz). Ohne SÜG-Bezug richtet sich der Schutz von Unternehmenswissen nach dem GeschGehG.
Was ist eine sicherheitsempfindliche Stelle nach dem SÜG?
Die kleinste selbständig handelnde Organisationseinheit innerhalb einer lebens- oder verteidigungswichtigen Einrichtung, die vor unberechtigtem Zugang geschützt ist und von der im Fall einer Beeinträchtigung eine erhebliche Gefahr für die geschützten Güter ausgeht (§ 1 Abs. 5 S. 3 SÜG). Seit der Novelle sind diese Stellen der zuständigen Stelle nach § 25a SÜG zu melden.
Sieht die SÜG-Novelle 2026 Bußgelder oder Strafen vor?
Ja, in begrenztem Umfang. § 38 SÜG ahndet als Ordnungswidrigkeit unter anderem Verstöße gegen die Mitteilungspflicht nach § 25a SÜG und gegen das Einsatzverbot nach § 27a Abs. 2 SÜG; § 37 SÜG stellt bestimmte unbefugte Verwendungen geschützter personenbezogener Daten aus dem Verfahren unter Strafe. Ein umfassendes Unternehmensstrafrecht für Spionage- und Sabotagefälle ist das nicht — dafür bleiben §§ 93 ff., 99, 353b StGB sowie §§ 30, 130 OWiG maßgeblich.
Was ändert sich für Ehe- und Lebenspartner von Beschäftigten?
Im vorbeugenden personellen Sabotageschutz werden Ehegatten, Lebenspartner und Partner einer auf Dauer angelegten Gemeinschaft als mitbetroffene Personen in die Überprüfung einbezogen; die Sicherheitserklärung ist auch von ihnen zu unterschreiben. Eheschließungen oder die Begründung einer solchen Gemeinschaft während oder nach der Überprüfung sind den Sabotageschutzbeauftragten unverzüglich anzuzeigen (§ 29 Abs. 2 i. V. m. § 2 Abs. 2 S. 6 SÜG).

Quellen

  • Gesetz zur Modernisierung des Sicherheitsüberprüfungsgesetzes und zur Änderung beamtenrechtlicher Vorschriften vom 11. Januar 2026, BGBl. 2026 I Nr. 6 (verkündet am 15. Januar 2026) — recht.bund.de
  • Sicherheitsüberprüfungsgesetz (SÜG) in der geltenden Fassung, insbesondere §§ 1, 25, 25a, 27, 27a, 30 sowie § 37 (Strafvorschriften) und § 38 (Bußgeldvorschriften) — gesetze-im-internet.de
  • Gesetzentwurf der Bundesregierung, BT-Drs. 21/1926; BR-Drs. 370/25
  • Deutscher Bundestag, hib-Meldung zur öffentlichen Anhörung des Innenausschusses vom 3. November 2025 — bundestag.de
  • BMWE-Sicherheitsforum, „FAQ zur SÜG-Novelle 2026″ — bmwe-sicherheitsforum.de
  • DIHK, Stellungnahme zur Reform des SÜG (2025) — dihk.de
  • Gesetz zur Umsetzung der Richtlinie (EU) 2017/541 zur Terrorismusbekämpfung und zur Anpassung des Strafrahmens bei geheimdienstlicher Agententätigkeit vom 20. März 2026, BGBl. 2026 I Nr. 95 (in Kraft seit 2. April 2026); Pressemitteilung des BMJV vom 1. Oktober 2025
  • Strafgesetzbuch, § 99 StGB, geltende Fassung nach Art. 1 des Gesetzes vom 20. März 2026, BGBl. 2026 I Nr. 95 — gesetze-im-internet.de
  • Gesetz zur Stärkung der Militärischen Sicherheit in der Bundeswehr vom 9. Januar 2026, BGBl. 2026 I Nr. 7 (Art. 4: Änderung des § 36 SÜG)

Quellen und Rechtsprechung

Aktuelle Analysen aus dieser Kategorie

Das Fundament

GrundlageUnternehmensstrafrecht DeutschlandGrundlageCompliance Officer — HaftungGrundlageBeschuldigtenrechte im StrafverfahrenGrundlageUntreue nach § 266 StGBGrundlageBetrug im WirtschaftsstrafrechtGrundlageSteuerhinterziehung § 370 AO

Criminal Compliance Briefing

Einmal im Quartal: ausgewählte Entwicklungen im Wirtschaftsstrafrecht, in der Criminal Compliance und bei internen Untersuchungen — eingeordnet aus Verteidigerperspektive.

Erscheint quartalsweise.  Jederzeit abbestellbar.  Datenschutz.

Zum Inhalt springen