Geheimnisschutz in der Wirtschaft

Unternehmen, die in sicherheitsempfindlichen Bereichen tätig sind oder im Rahmen von Aufträgen Zugang zu Verschlusssachen erhalten, tragen eine besondere Verantwortung für den Schutz staatlich bedeutsamer Informationen und kritischer Infrastrukturen. Das Sicherheitsüberprüfungsgesetz Nordrhein-Westfalen (SÜG NRW) und das Sicherheitsüberprüfungsgesetz des Bundes (SÜG) bilden hierfür die rechtliche Grundlage und stellen sicher, dass nur Personen in sicherheitsrelevanten Bereichen eingesetzt werden, bei denen kein Sicherheitsrisiko besteht. Für die Wirtschaft ist dies insbesondere dann relevant, wenn Unternehmen Verteidigungs- oder sicherheitstechnische Aufträge bearbeiten oder ihre Mitarbeitenden in behördlichen Sicherheitsbereichen eingesetzt werden.

Zweck der Sicherheitsüberprüfung

Der Zweck der Sicherheitsüberprüfung ergibt sich aus dem gesetzlichen Auftrag, den Zugang zu geheimhaltungsbedürftigen Vorgängen zu schützen und Sabotagehandlungen zu verhindern. Unternehmen sollen in die Lage versetzt werden, geheime oder vertrauliche Informationen sicher zu verarbeiten. Ebenso sollen potenzielle Innentäterinnen und Innentäter von lebens- oder verteidigungswichtigen Einrichtungen ferngehalten werden. Das betrifft Unternehmensbereiche, in denen der Ausfall oder die Beeinträchtigung der betrieblichen Abläufe erhebliche Folgen für staatliche Schutzgüter, die Versorgungssicherheit oder die Verteidigungsfähigkeit haben könnte.

Personeller Geheim- und Sabotageschutz

Der personelle Geheimschutz zielt darauf ab, den Zugang zu Verschlusssachen nur solchen Personen zu ermöglichen, die zuverlässig sind und bei denen keine Anhaltspunkte für Erpressbarkeit, extremistische Bezüge oder besondere Gefährdung durch ausländische Nachrichtendienste bestehen, §§ 1 II, 7 SÜG NRW. Der personelle Sabotageschutz wiederum dient dazu, kritische Einrichtungen vor Angriffen von innen zu sichern. Beide Bereiche greifen ineinander und bilden gemeinsam die Grundlage dafür, dass Unternehmen ihre sicherheitsrelevanten Aufträge rechtskonform und risikobewusst erfüllen können.

Exkurs: Materieller Geheimschutz

Neben der zuverlässigen Personalauswahl müssen Unternehmen auch technische, organisatorische und bauliche Maßnahmen ergreifen, um geheime Informationen zu schützen. Während der personelle Geheimschutz im SÜG NRW bzw. im SÜG selbst geregelt ist, haben Bund und Länder den materiellen Geheimnisschutz in Verschlusssachenanweisungen geregelt. Diese Geheimschutzbestimmungen werden durch Abschluss eines öffentlich-rechtlichen Vertrags vom Unternehmen anerkannt.
Inhaltlich werden die Anforderungen im Wesentlichen im Handbuch für den Geheimschutz in der Wirtschaft (GHB) behandelt. Dieses wird vom BMWK herausgegeben und gilt – auf landesspezifische Gegebenheiten angepasst – auch in NRW.
Weitere Informationen zum materiellen Geheimnisschutz in NRW erhalten Sie auf den Seiten des Innenministeriums. Informationen zur Bundesebene gibt es auf den Seiten des Innenministeriums und des BSI.

Ablauf der Sicherheitsüberprüfung

Das Verfahren der Sicherheitsüberprüfung folgt einem klar strukturierten Ablauf. Die zuständige Stelle beantragt die Aufnahme eines Unternehmens in die Geheimschutzbetreuung. Das Unternehmen selbst kann die Aufnahme nicht beantragen. Je nach Art der vorgesehenen Tätigkeit sind drei Stufen vorgesehen: die einfache Überprüfung, die erweiterte Überprüfung und die erweiterte Überprüfung mit Sicherheitsermittlungen, § 7 SÜG / § 9 SÜG NRW. Welche Stufe zur Anwendung kommt, bestimmt sich nach der Schutzbedürftigkeit der Informationen und der konkreten Funktion, für die die betroffene Person vorgesehen ist. Unternehmen werden vom Wirtschaftsministerium als zuständiger Stelle begleitet, sobald Mitarbeitende Zugang zu Verschlusssachen oder sicherheitsempfindlichen Bereichen erhalten sollen.

Sicherheitserklärung und behördliche Prüfung

Zu Beginn steht die Sicherheitserklärung, § 13 SÜG / § 14 SÜG NRW. Die betroffene Person macht darin Angaben zu Identität, beruflichen Stationen, Wohnsitzen, möglichen Auslandskontakten, finanziellen Verhältnissen sowie zu etwaigen sicherheitsrelevanten Sachverhalten. Je nach Überprüfungsstufe kommen weitere Angaben hinzu, etwa zu Familienangehörigen oder Referenzpersonen.
Die Erklärung wird über das Unternehmen an die zuständige Stelle übermittelt, bei wirtschaftlichen Akteuren ist dies das Wirtschaftsministerium Nordrhein-Westfalen bzw. das Wirtschaftsministerium des Bundes. Die Verfassungsschutzbehörde prüft als mitwirkende Behörde die Angaben, zieht gesetzlich definierte Registerabfragen heran und befragt, sofern erforderlich, weitere Stellen oder Auskunftspersonen. Bei erweiterten Überprüfungen gehören Identitätsprüfungen, Anfragen an Polizeidienststellen sowie – bei der höchsten Überprüfungsstufe – auch Befragungen von Referenzpersonen zum regulären Verfahren.

Beteiligung und Ergebnis

Die Prüfung umfasst grundsätzlich die letzten fünf Jahre, bei bestimmten Personengruppen oder Tätigkeiten auch längere Zeiträume. Alle Verfahrensschritte folgen festen gesetzlichen Vorgaben. Die betroffene Person wird beteiligt und kann sich äußern, wenn sicherheitserhebliche Erkenntnisse auftreten. Erst wenn das Verfahren abgeschlossen ist und die zuständige Stelle feststellt, dass kein Sicherheitsrisiko vorliegt, darf die sicherheitsempfindliche Tätigkeit aufgenommen werden. Unternehmen erfahren ausschließlich, ob eine Person eingesetzt werden darf oder nicht; die zugrunde liegenden Erkenntnisse werden ihnen von gesetzlichen Ausnahmefällen abgesehen nicht offengelegt, § 27 SÜG, § 31 SÜG NRW.

Bedeutung für Unternehmen und Compliance

Für Unternehmen ist das Verfahren damit ein zentraler Baustein für Compliance, Risikomanagement und Auftragsfähigkeit im sicherheitsempfindlichen Umfeld. Die Sicherheitsüberprüfung ermöglicht verlässliche Rahmenbedingungen für sensible Projekte und schafft Vertrauen in die Integrität der handelnden Personen. Unternehmen stellen damit sicher, dass sie gesetzlichen Vorgaben entsprechen und zugleich ihrer besonderen Verantwortung in sicherheitsrelevanten Bereichen gerecht werden.

Unternehmenspflichten und organisatorische Maßnahmen

Unternehmen sind verpflichtet, eine Sicherheitsbevollmächtigte oder einen Sicherheitsbevollmächtigten zu benennen, der als Ansprechpartner für die Behörde fungiert und die Umsetzung der Schutzmaßnahmen im Betrieb sicherstellt, § 29 SÜG NRW, bzw. eine/n Sicherheitsbeauftragte/n und/oder Sabotageschutzbeauftragte/n nach § 25 SÜG. Die Geschäftsführung schließt einen öffentlich-rechtlichen Vertrag mit dem Land Nordrhein-Westfalen bzw. dem Bund und verpflichtet sich, die Vorgaben des Geheimschutzhandbuchs umzusetzen. Dazu gehören unter anderem die Offenlegung der Eigentumsverhältnisse, die Vorlage von Registerauszügen und die Bestellung von Ansprechpartnern für den Geheimschutz. Die Dauer des Aufnahmeverfahrens kann variieren, da sie von der Komplexität der Sicherheitsüberprüfung abhängt. Für die Dienstleistungen des Wirtschaftsministeriums entstehen keine Kosten; die Kosten für etwaige materielle Sicherungsmaßnahmen, wie spezielle Aufbewahrungsmöglichkeiten für Verschlusssachen, trägt das Unternehmen selbst.

Aktualisierung und Wiederholung der Sicherheitsüberprüfung

Die Sicherheitsüberprüfung ist kein einmaliger Vorgang. Sie wird regelmäßig aktualisiert und bei Bedarf wiederholt, etwa wenn neue sicherheitsempfindliche Tätigkeiten aufgenommen werden oder sich relevante persönliche Umstände ändern. Die Ergebnisse der Überprüfung werden dem Unternehmen mitgeteilt, wobei die Gründe für eine Ablehnung nicht zwingend offengelegt werden müssen.

Fazit

Das Verfahren der Sicherheitsüberprüfung ist somit ein wichtiger Baustein für den Schutz sensibler Informationen und Einrichtungen in Unternehmen. Es schafft Vertrauen bei Auftraggebern und Geschäftspartnern und hilft, Risiken frühzeitig zu erkennen und zu vermeiden. Unternehmen profitieren von klaren gesetzlichen Vorgaben und der Unterstützung durch das Wirtschaftsministerium, müssen aber auch Verantwortung übernehmen und die erforderlichen Maßnahmen konsequent umsetzen. So wird ein wirksamer Schutz vor Gefahren gewährleistet – zum Nutzen des Unternehmens und der Allgemeinheit.

Quellen und weiterführende Links