AUF EINEN BLICK
Mit der Nationalen Wirtschaftsschutzstrategie vom 18. März 2026 erklärt die Bundesregierung den Schutz der Unternehmen vor Spionage, Sabotage und hybriden Bedrohungen zur gesamtstaatlichen Aufgabe. Eine eigene Rechtspflicht der Unternehmen begründet die Strategie nicht. Verbindliche Pflichten ergeben sich – je nach Unternehmensprofil – insbesondere aus §§ 30, 38 BSIG für besonders wichtige und wichtige Einrichtungen, aus SÜG und Geheimschutzhandbuch bei VS-Bezug sowie aus der allgemeinen Organisationspflicht der Geschäftsleitung. Strafrechtlich wird Wirtschaftsschutz-Compliance an zwei Stellen relevant: Unterlassene Aufsicht kann über §§ 130, 30 OWiG zur Verbandsgeldbuße führen. Und der Zuschnitt der Prävention beeinflusst im Ernstfall die Verfahrensrolle des Unternehmens – vom Geschädigten bis zum Adressaten von Durchsuchung, Einziehung oder Aufsichtsvorwürfen.
Wirtschaftsschutz war lange Sache der Sicherheitsabteilung, nicht der Compliance. Das ändert sich 2026 aus zwei Richtungen: Die Bundesregierung hat den Wirtschaftsschutz strategisch neu aufgestellt, und das Spionagestrafrecht wurde verschärft. Beides verschiebt die Anforderungen an die interne Organisation – und die strafrechtliche Ausgangslage im Ernstfall.
Der Anlass: Wirtschaftsschutzstrategie und verschärftes Spionagestrafrecht
Die Bedrohungslage ist dokumentiert: Ein wachsender Teil der Angriffe auf deutsche Unternehmen ist staatlich gelenkt. Das Methodenspektrum reicht von offenen Quellen über die Anwerbung menschlicher Quellen bis zu Cyberangriffen und Sabotage durch sogenannte Wegwerf-Agenten. Wie ausländische Nachrichtendienste dabei vorgehen und wann die §§ 99 ff. StGB greifen, behandelt der Beitrag zu Wirtschaftsschutz und staatlich gelenkter Spionage im Einzelnen.
Am 18. März 2026 hat das Bundeskabinett die Nationale Wirtschaftsschutzstrategie beschlossen (BT-Drs. 21/4920). Sie definiert erstmals, was staatlich organisierter Wirtschaftsschutz ist: die staatlich unterstützte Stärkung der Resilienz von Wertschöpfungs- und Lieferketten sowie von Forschung und Innovation gegen physische, digitale und hybride Bedrohungen – insbesondere Wirtschaftsspionage und Wirtschaftssabotage. Organisatorisch setzt sie auf einen All-Gefahren-Ansatz, die Initiative Wirtschaftsschutz als Dachstruktur und fortzuschreibende Aktionspläne.
Flankierend hat der Gesetzgeber das Spionagestrafrecht verschärft. Mit Gesetz vom 20. März 2026 (BGBl. I Nr. 95) wurde der Strafrahmen der geheimdienstlichen Agententätigkeit angehoben: § 99 Abs. 1 StGB sieht seit dem 2. April 2026 Freiheitsstrafe von 6 Monaten bis zu 10 Jahren vor; zugleich wurde § 87a StGB neu eingefügt. Der Gesetzgeber misst dem Schutz vor geheimdienstlicher Ausforschung damit erkennbar höheres Gewicht bei – auch dort, wo Unternehmen betroffen sind.
Wirtschaftsschutz-Compliance: kein Sondergesetz, sondern ein Pflichtenbündel
Die Strategie selbst ist kein Gesetz. Sie bündelt Unterstützungsangebote, kündigt Maßnahmen an und koordiniert Behörden – unmittelbare Pflichten der Unternehmen entstehen daraus nicht. Ihre rechtliche Wirkung ist mittelbar: Sie kann künftig als Indiz dafür herangezogen werden, welche Risiken staatlich bekannt waren und welche Vorsorgestandards in bestimmten Branchen als erwartbar galten.
Die verbindlichen Pflichten verteilen sich auf drei Schichten:
| Pflichtenschicht | Adressaten | Kern |
|---|---|---|
| BSIG (seit 6. Dezember 2025) | Besonders wichtige und wichtige Einrichtungen | Risikomanagement (§ 30 BSIG), gestuftes Meldewesen (§ 32 BSIG), persönliche Umsetzungs-, Überwachungs- und Schulungspflicht der Geschäftsleitung mit gesellschaftsrechtlicher Haftung (§ 38 BSIG) |
| Geheimschutz (SÜG/GHB) | Geheimschutzbetreute Unternehmen mit VS-Bezug | Personeller und materieller Geheimschutz, Sicherheitsüberprüfungen, behördliche Meldewege |
| Allgemeines Organisationsrecht | Alle Unternehmen | Risikofrüherkennung und Legalitätskontrolle als Leitungspflicht; Obliegenheit angemessener Geheimhaltungsmaßnahmen, ohne die schon kein Geschäftsgeheimnis i. S. d. § 2 Nr. 1 GeschGehG vorliegt – und damit kein gesetzlicher Geheimnisschutz besteht |
Wie die drei Regime im Sicherheitsvorfall ineinandergreifen, zeigt der Leitfaden zum Geheim- und Sabotageschutz für die Geschäftsleitung. Wirtschaftsschutz-Compliance ist damit kein Sondergesetz, sondern ein anwendungsbereichsabhängiges Pflichtenbündel – und heißt praktisch, diese Schichten in einem Programm zusammenzuführen, statt sie auf IT-Sicherheit, Werkschutz und Rechtsabteilung zu verteilen.
Strafverfahrensrechtliche Konsequenzen: Die Prävention prägt die Verfahrensrolle
Beim Angriff von außen ist das Unternehmen Geschädigter und Geheimnisinhaber – Beschuldigte sind Täter und gegebenenfalls eigene Beschäftigte. Verschont bleibt das Unternehmen deshalb nicht: Ermittlungsbehörden sichern Systeme und Unterlagen auch beim Nichtverdächtigen (§ 103 StPO); bei Staatsschutzbezug ermittelt der Generalbundesanwalt mit langen Verfahrensläufen und restriktiver Informationspolitik. Was bei einer Durchsuchung im Unternehmen zu beachten ist, gilt hier entsprechend – auch in der Rolle des Geschädigten.
Die zweite Konstellation ist unbequemer: Geht die Tat aus dem Unternehmen hervor, kippt die Rolle. Verwendet etwa ein neu eingestellter Mitarbeiter mitgebrachte Daten seines früheren Arbeitgebers, steht eine betriebsbezogene Straftat nach § 23 GeschGehG im Raum. Fehlten naheliegende und zumutbare Aufsichtsmaßnahmen, die eine solche Tat verhindert oder wesentlich erschwert hätten, kann daraus ein Vorwurf nach § 130 OWiG entstehen. Je nach Zurechnungslage kommen dann auch eine Verbandsgeldbuße nach § 30 OWiG und Einziehungsfragen in Betracht. Wirtschaftsschutz-Compliance ist insoweit nicht nur Schutz eigener Werte, sondern auch Schutz vor Haftung für die Verletzung fremder Rechtsgüter.
Hinzu kommt eine Fristenmechanik, die ohne Organisation regelmäßig übersehen wird: § 23 GeschGehG und § 202a StGB sind relative Antragsdelikte. Regelmäßig braucht es einen Strafantrag; bei besonderem öffentlichen Interesse kann die Strafverfolgungsbehörde von Amts wegen einschreiten (§ 23 Abs. 8 GeschGehG, § 205 StGB). Die dreimonatige Strafantragsfrist (§ 77b StGB) läuft grundsätzlich ab Kenntnis von Tat und Täter. Wer Vorfälle nicht systematisch erfasst und eskaliert, riskiert, dass die Frist abläuft, bevor die Entscheidung über eine Strafanzeige wegen Wirtschaftsspionage vorbereitet ist.
Die Compliance-Dokumentation von heute kann der Aktenbestand von morgen sein. Risikoanalysen, Auditberichte und Vorfallprotokolle können beschlagnahmerelevant werden und im Ermittlungsverfahren gegen das Unternehmen ausgewertet werden. Ob im Einzelfall Beschlagnahmeschutz greift, hängt vor allem von Entstehungskontext, Verteidigungsbezug und Gewahrsam ab. Wer Defizite schriftlich feststellt, ohne die Abhilfe zu dokumentieren, liefert einen möglichen Anknüpfungspunkt für den Aufsichtsvorwurf gleich mit. Entscheidend sind präzise Formulierungen, klare Zuständigkeiten und nachgehaltene Abstellprozesse.
Praktische Konsequenzen für Unternehmen und Organe
Den Ausgangspunkt bildet eine bedrohungsbasierte Risikoanalyse entlang des behördlichen Lagebilds: Welche Informationen, Funktionen und Lieferkettenpositionen sind aus Sicht eines Angreifers wertvoll? Darauf bauen Zugriffs- und Personalsicherheit an Schlüsselpositionen auf – vom Berechtigungskonzept bis zum Umgang mit Auffälligkeiten.
Prozessual gehören die Fristen zusammen: Melde- und Eskalationswege sollten BSIG-Meldungen, vertragliche Informationspflichten und die Strafantragsfrist in einem Ablauf abbilden, statt sie drei Abteilungen zu überlassen. Behördenschnittstellen sind vorab zu definieren – die Spionageabwehr des Bundesamtes für Verfassungsschutz und die Initiative Wirtschaftsschutz leisten Prävention und Lagebeurteilung, sind aber keine Strafverfolgungsbehörden. Angaben gegenüber Behörden können gleichwohl später in Ermittlungsverfahren einfließen; Kommunikationsdisziplin ist deshalb Teil des Programms.
Für die Organe gilt: Die Verantwortung ist nicht delegierbar, wohl aber die Ausführung. Im Anwendungsbereich des BSIG verlangt § 38 BSIG die Umsetzung und Überwachung durch die Geschäftsleitung persönlich, einschließlich regelmäßiger Schulung. Außerhalb trägt die allgemeine Organisationspflicht – und im Schadensfall die Frage, wie das Unternehmen seine Rolle als Geschädigter im Strafverfahren vorbereitet hat.
