Ein Fachblog von Gercke Wollschläger
gw-strafrecht.de ↗ LinkedIn Kontakt
Betonsichtmauer als Perimeterschutz — Symbol für Geheim- und Sabotageschutz im Unternehmen

Verletzung des Geheim- und Sabotageschutzes: Leitfaden für die Geschäftsleitung

Von

19 Min.

AUF EINEN BLICK

Die „Verletzung des Geheim- und Sabotageschutzes“ ist kein einheitlicher Tatbestand, sondern ein Bündel verwaltungs-, gesellschafts- und strafrechtlicher Risiken, die sich an einem Vorfall gleichzeitig entzünden können — vom Abfluss einer Verschlusssache (VS) über einen Cyberangriff bis zum Innentäter. Für die Geschäftsleitung entscheidet sich in den ersten Stunden, ob ein Sicherheitsvorfall ein beherrschbares Verwaltungsproblem bleibt oder zum Ermittlungs- und Haftungsfall wird. Drei Regime greifen ineinander: der personelle und materielle Geheimschutz nach dem Geheimschutzhandbuch (GHB) und dem Sicherheitsüberprüfungsgesetz (SÜG), die Cybersicherheitspflichten des neuen BSI-Gesetzes (§§ 30, 32, 38 BSIG) seit dem 6. Dezember 2025 und die Straftatbestände der §§ 93 ff. StGB, § 109e StGB sowie § 23 GeschGehG und § 303b StGB. Wer diese Stränge verwechselt, meldet falsch, dokumentiert gegen sich selbst oder übersieht die eigene strafrechtliche Exponiertheit.

Warum dieser Leitfaden — und für wen

Dieser Leitfaden richtet sich an Vorstände, Geschäftsführer und die unmittelbar mit Sicherheitsfragen befassten Leitungsebenen von Unternehmen, die entweder geheimschutzbetreut sind (VS-Aufträge der öffentlichen Hand), als „besonders wichtige“ oder „wichtige Einrichtung“ unter das BSI-Gesetz fallen oder schlicht über schützenswertes Know-how verfügen, das in das Visier fremder Nachrichtendienste oder von Innentätern geraten kann.

Er ist bewusst aus der Perspektive der Unternehmens- und Individualverteidigung geschrieben. Das bedeutet nicht kämpferische Rhetorik, sondern eine nüchterne Brille: Jeder Sicherheitsvorfall hat eine verwaltungsrechtliche, eine gesellschaftsrechtliche und eine strafrechtliche Dimension. Die Sicherheitsbehörden — Verfassungsschutz, Bundesamt für Verfassungsschutz (BfV), die zuständigen Wirtschaftsministerien — treten zunächst als kooperative Partner auf. Das ist hilfreich, ändert aber nichts daran, dass sich aus demselben Vorgang ein Ermittlungsverfahren gegen Mitglieder der Geschäftsleitung entwickeln kann. Der Leitfaden soll die Leitungsebene in die Lage versetzen, kooperationsbereit zu bleiben, ohne die eigene Position preiszugeben.

Eine wichtige Klarstellung vorab: Die Bedrohungslage ist real und sie betrifft nicht nur Konzerne. Nach Einschätzung des Bundesinnenministeriums sind auch kleine und mittlere Unternehmen sowie Forschungseinrichtungen lohnende Ziele für Spionage, Sabotage und Konkurrenzausspähung — bei der Mehrzahl der KMU fehle jedoch häufig das Bewusstsein, selbst Ziel zu sein. Die im März 2026 vorgestellte Nationale Wirtschaftsschutzstrategie der Bundesregierung beziffert die jährlichen Schäden durch Angriffe auf deutsche Unternehmen in dreistelliger Milliardenhöhe. Geheim- und Sabotageschutz ist damit zur Leitungsaufgabe geworden — rechtlich und faktisch.

Drei Schutzregime auseinanderhalten

Der häufigste Fehler im Krisenfall ist die Vermischung dreier völlig verschiedener Rechtskreise. Wer sie nicht trennt, meldet an die falsche Stelle, beruft sich auf die falsche Frist oder unterschätzt die eigene Haftung.

Klassischer Geheim- und Sabotageschutz (SÜG / GHB)

Dieses Regime betrifft Unternehmen, die im Rahmen staatlicher Aufträge — typischerweise im Bereich der Wehr- oder Sicherheitstechnik — mit Verschlusssachen umgehen. Grundlage ist das Sicherheitsüberprüfungsgesetz und das „Handbuch für den Geheimschutz in der Wirtschaft“ (Geheimschutzhandbuch, GHB) des Bundeswirtschaftsministeriums. Zuständig sind das BMWK beziehungsweise auf Landesebene die Wirtschaftsministerien; in Nordrhein-Westfalen ist dies seit dem 5. März 2022 das Wirtschaftsministerium auf Grundlage des SÜG NRW.

Der Geheimschutz teilt sich in zwei Säulen: Der personelle Geheimschutz umfasst die Sicherheitsüberprüfung von Personen, die Zugang zu VS erhalten sollen. Der materielle Geheimschutz umfasst die technischen und organisatorischen Maßnahmen zum Schutz der VS selbst — Kennzeichnung, Verwahrung, Vervielfältigung, Weitergabe. Zentrale Figur im Unternehmen ist der oder die Sicherheitsbevollmächtigte (SiBe), unmittelbar der Geschäftsleitung unterstellt. Die Geschäftsleitung erkennt durch öffentlich-rechtlichen Vertrag das GHB als verbindlich an und verpflichtet sich zu allen erforderlichen Geheimschutzmaßnahmen.

Der Sabotageschutz verfolgt ein anderes Ziel: Er soll potenzielle Innentäter von lebens- oder verteidigungswichtigen Einrichtungen fernhalten, um Sabotageakte zu verhindern.

Cybersicherheit nach dem neuen BSI-Gesetz (NIS-2)

Seit dem 6. Dezember 2025 ist die europäische NIS-2-Richtlinie in Deutschland im BSI-Gesetz (BSIG) umgesetzt. Dieses Regime ist vom Geheimschutz strikt zu trennen: Es knüpft nicht an staatliche Verschlusssachen an, sondern an die Zugehörigkeit zu bestimmten Sektoren und Größenklassen. Das BSIG unterscheidet „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Drei Normen sind für die Leitungsebene zentral:

  • § 30 BSIG verpflichtet die Einrichtungen zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. Absatz 2 konkretisiert dies in einem Katalog von Mindestmaßnahmen — von der Risikoanalyse über das Management von Sicherheitsvorfällen bis zur Lieferkettensicherheit und zu Schulungen. Die Einhaltung ist zu dokumentieren.
  • § 32 BSIG begründet die Meldepflicht bei erheblichen Sicherheitsvorfällen — mit einer ersten Meldung binnen 24 Stunden.
  • § 38 BSIG ist die schärfste Vorschrift für die Geschäftsleitung (dazu unten Abschnitt 4).

Wirtschaftsschutz und Spionageabwehr (BMI / Verfassungsschutz)

Der dritte Strang ist weniger ein geschlossenes Pflichtenregime als ein Bedrohungs- und Kooperationsrahmen. Der Verfassungsschutz ist für die Abwehr von Spionage und Sabotage durch ausländische Nachrichtendienste zuständig und steht Unternehmen als vertraulicher Ansprechpartner zur Verfügung. Nach Darstellung des BMI sind vor allem Nachrichtendienste aus Russland, China, Iran sowie der Türkei in Deutschland aktiv. Cyberangriffe sind nach Einschätzung der Behörden inzwischen fester Bestandteil nachrichtendienstlicher Methoden; charakteristisch sei eine Vermischung analoger und digitaler Angriffsvektoren.

Die Nationale Wirtschaftsschutzstrategie vom 19. März 2026 bündelt diese Linie. Sie definiert Wirtschaftsschutz erstmals auf Bundesebene als die staatlich unterstützte Stärkung der Resilienz deutscher Unternehmen gegenüber physischen, digitalen und hybriden Bedrohungen, insbesondere vor Wirtschaftsspionage und Wirtschaftssabotage. Operativ bündelt die „Initiative Wirtschaftsschutz“ unter Federführung des BMI mehrere Bundesbehörden und Wirtschaftsverbände.

Wer einen Vorfall hat, muss zuerst klären, welcher Rechtskreis betroffen ist. Davon hängt ab, an wen gemeldet wird, in welcher Frist — und ob die Geschäftsleitung selbst exponiert ist.

Die strafrechtliche Dimension: Welche Tatbestände im Raum stehen

Für die Verteidigungsperspektive ist die Kernfrage nicht „Wurde gegen Geheimschutzvorschriften verstoßen?“, sondern „Welcher Straftatbestand könnte sich daran knüpfen — und wer ist Beschuldigter?“. Geheimschutzvorschriften sind überwiegend Verwaltungsrecht; ihre Verletzung ist nicht per se strafbar. Strafbarkeit entsteht erst, wenn ein eigenständiger Tatbestand erfüllt ist. Dabei sind je nach Art des betroffenen Geheimnisses unterschiedliche Normgruppen einschlägig.

Staatsgeheimnisse: §§ 93 ff. StGB

Betrifft der Vorfall ein echtes Staatsgeheimnis — Tatsachen, Gegenstände oder Erkenntnisse, die nur einem begrenzten Personenkreis zugänglich sind und vor einer fremden Macht geheimgehalten werden müssen, um die Gefahr eines schweren Nachteils für die äußere Sicherheit der Bundesrepublik abzuwenden (§ 93 Abs. 1 StGB) — greifen die Staatsschutzdelikte:

  • § 94 StGB (Landesverrat): Mitteilung eines Staatsgeheimnisses an eine fremde Macht oder Gelangenlassen an Unbefugte mit Benachteiligungs- oder Begünstigungsabsicht.
  • § 95 StGB (Offenbaren von Staatsgeheimnissen): Wer ein amtlich geheimgehaltenes Staatsgeheimnis an einen Unbefugten gelangen lässt oder öffentlich bekannt macht und dadurch die Gefahr eines schweren Nachteils für die äußere Sicherheit herbeiführt, wird mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren bestraft, in besonders schweren Fällen von einem Jahr bis zu zehn Jahren. Der Versuch ist strafbar.
  • § 96 StGB (Landesverräterische Ausspähung; Auskundschaften): erfasst bereits das Sich-Verschaffen eines Staatsgeheimnisses in Verrats- oder Offenbarungsabsicht.
  • § 97 StGB (Preisgabe von Staatsgeheimnissen): erfasst auch leichtfertiges Handeln durch zur Geheimhaltung Verpflichtete.

Maßgeblich ist: Nicht jede als „GEHEIM“ gekennzeichnete VS ist zugleich ein Staatsgeheimnis im Sinne des § 93 StGB. Die verwaltungsrechtliche Einstufung und der strafrechtliche Geheimnisbegriff laufen nicht deckungsgleich. Das ist ein zentraler Ansatzpunkt der Verteidigung.

Sabotage: § 109e StGB

§ 109e StGB stellt Sabotagehandlungen an Wehrmitteln und an Einrichtungen oder Anlagen, die ganz oder vorwiegend der Landesverteidigung oder dem Schutz der Zivilbevölkerung dienen, unter Strafe. Praktisch relevant wird die Norm bei manipulativen Eingriffen in sicherheitsrelevante Infrastruktur durch Innentäter.

Geschäftsgeheimnisse: § 23 GeschGehG

Für die typische Unternehmensmandantschaft ist dieser Strang oft der praktisch wichtigere. Betrifft der Vorfall kein Staats-, sondern ein Geschäftsgeheimnis, greift § 23 des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG). Strafbar mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe macht sich nach § 23 GeschGehG, wer zur Förderung des eigenen oder fremden Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in Schädigungsabsicht ein Geschäftsgeheimnis erlangt, nutzt oder offenlegt. Erfasst sind unter anderem Betriebsspionage, der Geheimnisverrat durch Beschäftigte und verschiedene Formen der Geheimnishehlerei. Für die Geschäftsleitung relevant: Beim Innentäter-Szenario ist häufig nicht nur der ausscheidende Mitarbeiter Beschuldigter, sondern es stellt sich auch die Frage nach Aufsichts- und Organisationspflichtverletzungen im Unternehmen.

Computersabotage und Datendelikte: § 303b StGB

Bei Cyberangriffen — von außen wie von innen — kommen die Computer- und Datendelikte hinzu, insbesondere § 303b StGB (Computersabotage) sowie die §§ 202a ff. StGB (Ausspähen und Abfangen von Daten) und § 303a StGB (Datenveränderung). § 303b StGB schützt die Funktionsfähigkeit von Datenverarbeitungen von wesentlicher Bedeutung und sieht in qualifizierten Fällen — etwa bei Beeinträchtigung der Versorgung der Bevölkerung mit lebenswichtigen Gütern oder der Sicherheit der Bundesrepublik — verschärfte Strafrahmen vor.

Die strafrechtliche Brille verschiebt sich je nach betroffenem Gut. Staatsgeheimnis, Geschäftsgeheimnis und IT-Integrität führen zu drei verschiedenen Normgruppen — und damit zu drei verschiedenen Verteidigungslinien.

Die persönliche Exponierung der Geschäftsleitung

Hier liegt der eigentliche Hebel. Drei Haftungs- und Sanktionsachsen treffen die Leitungsebene unmittelbar.

§ 38 BSIG: nicht delegierbare Pflicht und persönliche Binnenhaftung

§ 38 BSIG verlagert die Verantwortung für Cybersicherheit ausdrücklich auf die Leitungsorgane. Die Norm enthält drei Schichten:

  • Absatz 1 — Umsetzungs- und Überwachungspflicht: Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen sind verpflichtet, die Risikomanagementmaßnahmen nach § 30 BSIG umzusetzen und ihre Umsetzung zu überwachen. Der Verweis „Die IT macht das schon“ entlastet nicht.
  • Absatz 2 — Haftung: Verletzt die Geschäftsleitung diese Pflichten, haftet sie ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform anwendbaren Regeln des Gesellschaftsrechts. Ein Haftungsverzicht über Satzung oder Gesellschaftervertrag ist insoweit ausgeschlossen.
  • Absatz 3 — Schulungspflicht: Die Mitglieder der Geschäftsleitung müssen regelmäßig an Schulungen teilnehmen, um Risiken erkennen und bewerten zu können. Diese Schulungspflicht ist nach verbreiteter Auffassung nicht delegierbar — der IT-Leiter kann sie nicht stellvertretend erfüllen.

Hinzu treten Bußgelder: Bei Verstößen drohen besonders wichtigen Einrichtungen Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes. Aufgaben lassen sich delegieren — die Verantwortung dafür, dass das Gesamtsystem angemessen ist, bleibt bei der Leitung.

Gesellschaftsrechtliche Organhaftung (§ 93 AktG / § 43 GmbHG)

Unabhängig vom BSIG haftet die Leitung nach allgemeinem Gesellschaftsrecht. Verletzt ein Vorstand die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters (§ 93 Abs. 2 AktG), oder ein Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmanns (§ 43 Abs. 2 GmbHG), haftet er der Gesellschaft auf Schadensersatz. Unzureichende Sicherheitsorganisation, ignorierte Warnungen oder fehlende Notfallvorsorge sind klassische Anknüpfungspunkte. Spiegelbildlich kann dieselbe Organisationsschwäche die Geschäftsleitung entlasten, wenn sie eine angemessene Compliance- und Sicherheitsorganisation nachweisen kann — die Beweislage entsteht vor dem Vorfall, nicht danach.

Unternehmenssanktion und Aufsichtspflichtverletzung (§§ 30, 130 OWiG)

Gegen das Unternehmen selbst kann nach § 30 OWiG eine Verbandsgeldbuße verhängt werden, wenn eine Leitungsperson eine Straftat oder Ordnungswidrigkeit begeht, durch die betriebsbezogene Pflichten verletzt werden. § 130 OWiG sanktioniert die Verletzung der Aufsichtspflicht, wenn durch gehörige Aufsicht eine Zuwiderhandlung verhindert oder wesentlich erschwert worden wäre. Beim Innentäter-Szenario ist dies der Punkt, an dem die Ermittlungen vom Täter auf die Organisation übergreifen können.

Die Leitungsebene ist nicht nur potenzielles Opfer eines Sicherheitsvorfalls. Sie ist im selben Vorgang potenzieller Adressat von Binnenhaftung, Organhaftung und Verbandssanktion.

Typische Auslöser und Szenarien

Sicherheitsvorfälle erreichen die Geschäftsleitung selten als sauber etikettierter „Geheimschutzverstoß“. Häufiger sind diffuse Frühindikatoren:

  • Abfluss oder Verlust einer Verschlusssache — ein verlorener Datenträger, ein offen gebliebener VS-Verwahrgelass, ein nicht zurückgegebenes Dokument. Nach dem GHB ist der SiBe verpflichtet, bei Verdacht der Kenntnisnahme durch Unbefugte oder bei Verlust unverzüglich das zuständige Ministerium und die Landesverfassungsschutzbehörde zu unterrichten.
  • Cyberangriff — Ransomware, ungewöhnliche Datenabflüsse, kompromittierte Zugangsdaten. Hier greift, bei Betroffenheit, die 24-Stunden-Meldepflicht nach § 32 BSIG.
  • Innentäter — der ausscheidende Mitarbeiter, der Daten kopiert; auffälliges Interesse an Vorgängen außerhalb des eigenen Aufgabenbereichs; nachrichtendienstliche Ansprache. Die Behörden behandeln Innentäterschaft als unterschätztes Massenphänomen.
  • Behördlicher Erstkontakt — ein Anruf des Verfassungsschutzes, ein Hinweis auf eine mögliche Spionageaktivität, im Extremfall eine Durchsuchung.
  • Aussetzung des Sicherheitsbescheids — nach dem GHB kann das Ministerium den Sicherheitsbescheid aussetzen, unter anderem wenn gegen einen Geschäftsführer, ermächtigten Eigentümer oder Gesellschafter ein Ermittlungsverfahren gemäß § 160 StPO eingeleitet worden ist. Das verknüpft das Strafverfahren unmittelbar mit der wirtschaftlichen Handlungsfähigkeit des Unternehmens.

Der letzte Punkt verdient besondere Aufmerksamkeit: Schon die Einleitung eines Ermittlungsverfahrens — nicht erst eine Verurteilung — kann den Sicherheitsbescheid und damit die Fähigkeit zur Abwicklung von VS-Aufträgen gefährden. Für ein Unternehmen, dessen Geschäftsmodell auf solchen Aufträgen beruht, ist das ein existenzielles Risiko, das in der strafrechtlichen Verteidigungsstrategie von Anfang an mitzudenken ist.

Sofortmaßnahmen: Die ersten 24 bis 72 Stunden

Die folgende Reihenfolge ist ein Orientierungsrahmen, kein Schema für jeden Einzelfall. Sie verbindet die Pflichtenlage mit der Verteidigungsperspektive.

1. Lage feststellen und sichern, bevor gehandelt wird. Welcher Rechtskreis ist betroffen — Staatsgeheimnis, Geschäftsgeheimnis, IT-Integrität, mehrere zugleich? Welche Systeme, welche Personen, welcher Zeitraum? Beweismittel (Logdaten, Datenträger, Zugriffsprotokolle) sind zu sichern, nicht zu verändern. Voreilige „Aufräumarbeiten“ zerstören Entlastungsbeweise und können ihrerseits Strafbarkeitsfragen aufwerfen.

2. Den engsten Kreis bilden. Geschäftsleitung, SiBe (sofern vorhanden), Informationssicherheitsbeauftragter, interne Rechtsabteilung. Der Kreis der Mitwisser ist nach dem Grundsatz „Kenntnis nur, wenn nötig“ eng zu halten. Frühe externe strafrechtliche Begleitung ist sinnvoll, sobald eine strafrechtliche Dimension nicht ausgeschlossen werden kann — gerade weil die Weichen für die spätere Verteidigung in dieser Phase gestellt werden.

3. Meldepflichten prüfen — getrennt nach Regime. Die 24-Stunden-Frist des § 32 BSIG läuft ab Kenntnis vom erheblichen Vorfall und ist unabhängig von strafrechtlichen Erwägungen einzuhalten. Die Unterrichtungspflichten des GHB gegenüber Ministerium und Verfassungsschutz bestehen daneben. Diese verwaltungsrechtlichen Meldungen sind in der Regel zwingend; sie sollten jedoch sorgfältig formuliert und mit Blick auf ihre spätere Verwertbarkeit abgestimmt sein. Eine Meldung ist kein Geständnis — aber sie wird Teil der Akte.

4. Interne Kommunikation disziplinieren. Anweisungen schriftlich, sachlich, ohne Schuldzuweisungen und ohne rechtliche Wertungen. Spekulationen über Verantwortlichkeiten in E-Mails oder Chats werden im Ermittlungsverfahren regelmäßig zum Bumerang. Reflexartige Schuldeingeständnisse der Leitung sind zu vermeiden.

5. Verhältnis zu den Behörden klären. Kooperation mit dem Verfassungsschutz im Wirtschaftsschutz ist sinnvoll und in der Regel vertraulich. Davon strikt zu trennen ist das Verhalten gegenüber Strafverfolgungsbehörden, sobald ein Ermittlungsverfahren im Raum steht. Dort gelten die Beschuldigtenrechte — einschließlich des Rechts, sich nicht selbst zu belasten. Aussagen von Mitarbeitern und Leitungspersonen gegenüber Ermittlern sollten nicht ohne vorherige rechtliche Klärung erfolgen.

6. Arbeitsrechtliche und strafrechtliche Stränge koordinieren. Im Innentäter-Szenario laufen interne Untersuchung, arbeitsrechtliche Maßnahmen und ein mögliches Strafverfahren parallel. Eine interne Befragung, die arbeitsrechtlich geboten erscheint, kann strafprozessual heikel sein. Die Stränge sind aufeinander abzustimmen, nicht isoliert zu führen.

Verteidigungs- und Risikoperspektive: Worauf es im Kern ankommt

Aus der Substanz der Rechtslage ergeben sich mehrere Linien, die für die Geschäftsleitung den Unterschied machen.

Die Einstufung ist nicht das Delikt. Eine als VS gekennzeichnete Information ist nicht automatisch ein Staatsgeheimnis im Sinne des § 93 StGB; ein als vertraulich behandeltes Dokument ist nicht automatisch ein Geschäftsgeheimnis im Sinne des § 2 GeschGehG. Ob die tatbestandlichen Voraussetzungen — insbesondere die Eignung zur Gefährdung der äußeren Sicherheit beziehungsweise die angemessenen Geheimhaltungsmaßnahmen — tatsächlich vorliegen, ist eine eigenständige Prüfung. Hier liegt einer der wichtigsten Ansatzpunkte.

Der subjektive Tatbestand trägt die Last. Die meisten einschlägigen Tatbestände verlangen Vorsatz, teils qualifizierte Absichten (Schädigungs-, Begünstigungs-, Wettbewerbsförderungsabsicht). Organisatorisches Versagen, Nachlässigkeit oder ein technisches Versehen erfüllen diese Anforderungen oft gerade nicht. Die Abgrenzung von vorsätzlichem Geheimnisverrat und fahrlässigem Organisationsmangel ist zentral — strafrechtlich wie für die Haftung.

Dokumentierte Sicherheitsorganisation entlastet. Was im BSIG als Pflicht formuliert ist (§ 30: dokumentierte Maßnahmen; § 38: Überwachung und Schulung), ist zugleich der Entlastungsbeweis für die Geschäftsleitung. Ein nachweisbar implementiertes und überwachtes Sicherheits- und Compliance-System ist im Haftungs- wie im Bußgeldverfahren das wichtigste Beweisstück. Wer Geschäftsleitungsbeschlüsse, Statusberichte und Schulungsnachweise vorhalten kann, reduziert die persönliche Exponierung erheblich. Diese Beweislage muss vor dem Vorfall geschaffen werden.

Die Verfahrensverknüpfung mitdenken. Die Aussetzung des Sicherheitsbescheids knüpft bereits an die Einleitung eines Ermittlungsverfahrens an. Eine Verteidigungsstrategie, die nur das Strafverfahren im Blick hat, übersieht die parallele verwaltungsrechtliche und wirtschaftliche Dimension. Beide Stränge sind gemeinsam zu steuern.

Schweigen ist eine Option, kein Eingeständnis. Gegenüber Strafverfolgungsbehörden besteht keine Pflicht zur aktiven Selbstbelastung. Die verwaltungsrechtlichen Meldepflichten (BSIG, GHB) bestehen davon unabhängig und sind zu erfüllen — aber sie sind präzise zu fassen und nicht mit strafprozessual relevanten Wertungen anzureichern.

Vorsorge: Was die Geschäftsleitung vor dem Ernstfall regeln sollte

Der wirksamste Schutz entsteht nicht in der Krise, sondern davor. Die folgenden Punkte sind kein abschließender Maßnahmenkatalog, sondern die Achsen, an denen sich die Belastbarkeit im Ernstfall entscheidet:

  • Klare Verantwortlichkeiten und Eskalationswege — wer entscheidet im Sicherheitsvorfall, wer meldet, wer spricht mit Behörden. Ein definierter Incident-Response-Prozess mit dokumentierten Eskalationsstufen ist die Grundlage für fristkonformes Handeln nach § 32 BSIG.
  • Dokumentierte Risikomanagementmaßnahmen nach § 30 BSIG, soweit das Unternehmen betroffen ist — einschließlich Lieferkettensicherheit, Schwachstellenmanagement und der Bewertung ihrer Wirksamkeit.
  • Geschäftsleitungsbeschluss und laufende Statusberichte — die Billigung der Maßnahmen, regelmäßige Berichte des Informationssicherheitsbeauftragten und deren Archivierung belegen die Überwachungspflicht nach § 38 Abs. 1 BSIG.
  • Schulungsnachweise der Leitungsebene nach § 38 Abs. 3 BSIG — dokumentiert, mit Datum und Inhalt.
  • Funktionierender personeller und materieller Geheimschutz bei VS-Auftragnehmern — bestellter SiBe, gepflegte VS-Bestandsverzeichnisse, gelebter Grundsatz „Kenntnis nur, wenn nötig“.
  • Innentäter-Sensibilität — Sensibilisierung der Belegschaft, klare Prozesse bei Ausscheiden von Mitarbeitern mit Zugang zu sensiblen Informationen, Aufmerksamkeit für nachrichtendienstliche Ansprachen. Der Verfassungsschutz steht hierzu als vertraulicher Ansprechpartner zur Verfügung.
  • Vorab geklärte externe Begleitung — strafrechtliche und IT-forensische Ansprechpartner, die im Ernstfall innerhalb von Stunden erreichbar sind.

Häufige Fragen

Ist jeder Verstoß gegen Geheimschutzvorschriften strafbar?

Nein. Der Geheimschutz nach SÜG und GHB ist überwiegend Verwaltungsrecht. Ein Verstoß kann verwaltungsrechtliche Folgen haben — etwa die Aussetzung des Sicherheitsbescheids — ohne dass zugleich ein Straftatbestand erfüllt ist. Strafbarkeit setzt einen eigenständigen Tatbestand voraus, etwa §§ 94 ff. StGB, § 109e StGB oder § 23 GeschGehG, mit jeweils eigenen objektiven und subjektiven Voraussetzungen.

Wann läuft die 24-Stunden-Frist nach dem BSIG?

Die Erstmeldung nach § 32 BSIG ist bei einem erheblichen Sicherheitsvorfall binnen 24 Stunden ab Kenntnis abzugeben. Sie betrifft besonders wichtige und wichtige Einrichtungen im Sinne des Gesetzes und ist unabhängig davon zu erfüllen, ob zugleich strafrechtliche Fragen im Raum stehen. Sie ersetzt nicht die Unterrichtungspflichten des GHB und sollte sorgfältig formuliert werden.

Haftet die Geschäftsleitung persönlich für Cybersicherheitsmängel?

Ja, unter bestimmten Voraussetzungen. Nach § 38 Abs. 2 BSIG haftet die Geschäftsleitung ihrer eigenen Einrichtung für schuldhaft verursachte Schäden, wenn sie ihre Pflichten zur Umsetzung und Überwachung der Risikomanagementmaßnahmen verletzt. Diese Binnenhaftung folgt den gesellschaftsrechtlichen Regeln; ein Haftungsverzicht ist insoweit ausgeschlossen. Daneben drohen Bußgelder gegen das Unternehmen.

Kann ein Ermittlungsverfahren den Sicherheitsbescheid gefährden?

Ja. Nach dem GHB kann das zuständige Ministerium den Sicherheitsbescheid aussetzen, unter anderem wenn gegen einen Geschäftsführer, ermächtigten Eigentümer oder Gesellschafter ein Ermittlungsverfahren gemäß § 160 StPO eingeleitet worden ist. Schon die Einleitung — nicht erst eine Verurteilung — kann die Abwicklung von VS-Aufträgen beeinträchtigen. Die wirtschaftliche Dimension ist deshalb von Beginn an in die Verteidigungsstrategie einzubeziehen.

Sollte das Unternehmen mit dem Verfassungsschutz kooperieren?

Die Zusammenarbeit mit dem Verfassungsschutz im Rahmen des Wirtschaftsschutzes ist in der Regel sinnvoll und vertraulich; der Verfassungsschutz ist nicht Strafverfolgungs-, sondern Abwehrbehörde. Davon strikt zu trennen ist das Verhalten gegenüber Strafverfolgungsbehörden, sobald ein Ermittlungsverfahren im Raum steht. Dort gelten die Beschuldigtenrechte. Vor Aussagen gegenüber Ermittlern sollte stets eine rechtliche Klärung erfolgen.

Was unterscheidet ein Staatsgeheimnis von einem Geschäftsgeheimnis im Krisenfall?

Das betroffene Gut entscheidet über das anwendbare Recht. Ein Staatsgeheimnis (§ 93 StGB) betrifft die äußere Sicherheit der Bundesrepublik und führt zu den Staatsschutzdelikten der §§ 94 ff. StGB. Ein Geschäftsgeheimnis (§ 2 GeschGehG) betrifft unternehmenseigenes Know-how und führt zu § 23 GeschGehG. Bei Cyberangriffen treten die Computer- und Datendelikte hinzu. Diese Einordnung steuert sowohl die Meldewege als auch die Verteidigungslinie.

Genügt es, die IT-Sicherheit an Fachabteilungen oder Dienstleister zu delegieren?

Aufgaben lassen sich delegieren, die Verantwortung für die Angemessenheit des Gesamtsystems nicht. Die Umsetzungs- und Überwachungspflicht nach § 38 Abs. 1 BSIG bleibt bei der Leitung; die Schulungspflicht nach § 38 Abs. 3 BSIG ist nicht delegierbar. Eine dokumentierte Überwachung — Beschlüsse, Berichte, Nachweise — ist zugleich der zentrale Entlastungsbeweis.

## 10. Einordnung und Ausblick

Der Geheim- und Sabotageschutz hat sich von einer Spezialmaterie für Rüstungs- und Sicherheitsunternehmen zu einer übergreifenden Leitungsaufgabe entwickelt. Die NIS-2-Umsetzung im BSI-Gesetz, die Nationale Wirtschaftsschutzstrategie und die verschärfte Bedrohungslage durch staatlich gesteuerte Spionage und Sabotage haben die Verantwortung der Leitungsebene rechtlich verankert und faktisch verschärft.

Für die Geschäftsleitung bedeutet das eine doppelte Aufgabe: Vorsorge und Krisenfestigkeit. Die Vorsorge entscheidet über die Entlastungslage; die Krisenfestigkeit über den Verlauf der ersten Stunden. Beide Stränge sind miteinander verbunden — wer vorgesorgt hat, kann im Ernstfall ruhiger, präziser und mit geringerer persönlicher Exponierung handeln.

Die entscheidende Erkenntnis bleibt: Derselbe Vorfall, der das Unternehmen zum Opfer macht, kann seine Leitung zum Adressaten von Haftung und Ermittlungen machen. Wer diese Doppelrolle früh erkennt, trifft im Ernstfall die richtigen Weichenstellungen — und schafft die Beweislage, die ihn schützt, bevor er sie braucht.

Hinweis: Dieser Leitfaden gibt den Rechtsstand Mai 2026 in zusammengefasster Form wieder und ersetzt keine Prüfung des Einzelfalls. Die zitierten Normen und Strafrahmen unterliegen Änderungen; im konkreten Fall ist die jeweils aktuelle Fassung maßgeblich. Für die rechtliche Bewertung eines konkreten Sicherheitsvorfalls ist eine einzelfallbezogene Prüfung erforderlich.

Quellen und Rechtsgrundlagen

  • Sicherheitsüberprüfungsgesetz (SÜG); Geheimschutzhandbuch (GHB) des BMWK / Geheimschutzportal des BMWK
  • Wirtschaft NRW, „Geheim- und Sabotageschutz in der Wirtschaft“; SÜG NRW (in Kraft seit 05.03.2022)
  • BSI-Gesetz (BSIG) i. d. F. der NIS-2-Umsetzung, in Kraft seit 06.12.2025: § 30 (Risikomanagementmaßnahmen), § 32 (Meldepflichten), § 38 (Umsetzungs-, Überwachungs- und Schulungspflicht der Geschäftsleitung)
  • §§ 93, 94, 95, 96, 97 StGB (Staatsgeheimnisse); § 109e StGB (Sabotage); § 23 GeschGehG; § 303b StGB (Computersabotage); §§ 202a ff., 303a StGB
  • §§ 30, 130 OWiG; § 93 AktG; § 43 GmbHG; § 160 StPO
  • BMI, „Spionageabwehr, Wirtschafts- & Geheimschutz“ / „Wirtschaftsschutz“ / „Spionage“ / „Cyberspionage“
  • Nationale Wirtschaftsschutzstrategie der Bundesregierung, vorgestellt am 19. März 2026; Initiative Wirtschaftsschutz

Aktuelle Analysen aus dieser Kategorie

Das Fundament

GrundlageUnternehmensstrafrecht DeutschlandGrundlageCompliance Officer — HaftungGrundlageBeschuldigtenrechte im StrafverfahrenGrundlageUntreue nach § 266 StGBGrundlageBetrug im WirtschaftsstrafrechtGrundlageSteuerhinterziehung § 370 AO

Newsletter

Compliance & Wirtschaftsstrafrecht

Neue Beiträge direkt in Ihr Postfach.

Kein Spam. Abbestellbar. Datenschutz

Zum Inhalt springen