Rechts- und Regelungsrahmen der Unternehmenssicherheit

Ein zentraler Querschnittsaspekt der Unternehmenssicherheit ist die Betreiberverantwortung. Dieser Begriff ist gesetzlich nicht eindeutig definiert, hat sich aber in Praxis und Literatur als Sammelbezeichnung für die Pflichten eines Unternehmens (bzw. des Anlagen- oder Gebäudebetreibers) etabliert, alle notwendigen Vorkehrungen zu treffen, um Gefahren abzuwenden, die aus dem Betrieb seiner Einrichtungen resultieren. Hierbei spielt die Verkehrssicherungspflicht eine Schlüsselrolle. Die Verkehrssicherungspflicht besagt, vereinfacht, dass derjenige, der eine Gefahrenquelle schafft oder unterhält, die notwendigen und zumutbaren Maßnahmen ergreifen muss, um Dritte vor Schaden zu bewahren. Für Unternehmen bedeutet das: Betriebsstätten, Arbeitsmittel, Produkte, Dienstleistungen müssen so organisiert sein, dass Kunden, Mitarbeiter und andere nicht zu Schaden kommen. Diese Pflicht umfasst offensichtliche Dinge (wie z. B. das Räumen vereister Zugangswege, Absichern von Baustellen oder Bereitstellen von Feuerlöschern), erstreckt sich aber ebenso auf komplexe Bereiche wie die Sicherheit von Maschinen, IT-Systemen und Prozessen.

Betreiberverantwortung geht noch weiter: Sie umfasst alle gesetzlichen Pflichten, die an den „Betreiber“ einer Anlage oder eines Unternehmens adressiert sind. Dazu zählen Betreiberpflichten aus dem öffentlichen Recht (z. B. Auflagen aus einer Betriebsgenehmigung, Umweltauflagen, Prüfpflichten nach BetrSichV) ebenso wie Unternehmerpflichten aus dem Arbeitsrecht (Fürsorgepflichten gegenüber Mitarbeitern, Arbeitsschutz). In der Praxis überschneiden sich diese Pflichten. Rödl & Partner definieren: „Betreiberverantwortung umfasst alle Aufgaben und Kompetenzen, die erforderlich sind, um Gefahren und Schäden aus dem Betrieb einer Immobilie als Ganzes zu vermeiden.“. Man kann unterscheiden in Pflichten, die aus der Eigentümerstellung resultieren (Art. 14 GG, Schutz Dritter – klassisch Verkehrssicherung) und solche aus der Arbeitgeberstellung (Fürsorge für Arbeitnehmer). Zusammen bilden sie den Katalog an Aufgaben, die ein verantwortungsbewusster Unternehmensleiter im Blick haben muss.

Ein wichtiger Aspekt ist die Delegation von Sicherungspflichten. In größeren Organisationen kann die Geschäftsführung nicht jede konkrete Sicherheitsmaßnahme selbst durchführen, sondern beauftragt Fachleute (z. B. Sicherheitsingenieure, Werksschutzleiter, externe Dienstleister). Juristisch ist anerkannt, dass Pflichten übertragen werden können – etwa gemäß § 13 Abs. 2 ArbSchG darf der Arbeitgeber zuverlässige und fachkundige Personen schriftlich beauftragen, ihm obliegende Arbeitsschutzpflichten wahrzunehmen. Allerdings entbindet die Delegation den obersten Verantwortlichen nicht vollständig. Es gilt der Grundsatz: „Wer delegiert, muss kontrollieren.“. Der ursprünglich Verpflichtete behält eine Überwachungs- und Auswahlverantwortung (sog. Auswahlverschulden und Überwachungsverschulden). Konkret muss der Delegierende sorgfältig eine geeignete Person auswählen (Qualifikation prüfen, Zuverlässigkeit sicherstellen) und anschließend die Durchführung kontrollieren. Tut er dies nicht und kommt es zum Schaden, kann ihm vorgeworfen werden, er habe seine Organisationspflicht verletzt (Organisationsverschulden), was eine eigene Haftungsgrundlage darstellt.

Die Rechtsprechung betont, dass eine Pflicht zum Einschreiten bleibt, wenn der Beauftragte versagt. Stellt ein Unternehmer fest, dass sein beauftragter Sicherheitsdienst z. B. seinen Aufgaben nicht nachkommt (etwa der Winterdienst räumt nicht den Schnee), muss der Unternehmer im Zweifel selbst tätig werden, um Gefahr abzuwenden. Es gibt zudem nicht delegierbare Pflichten: Bestimmte Kernpflichten können gesetzlich nicht übertragen werden. Ein Beispiel: Bei Versammlungsstätten kann der Betreiber zwar Aufgaben auf den Veranstalter delegieren, bleibt aber laut Muster-Versammlungsstättenverordnung weiterhin voll verantwortlich (§ 38 Abs. 5 MVStättVO) – sogar wenn er kontrolliert. Allgemein kann man sagen, dass die Gesamtverantwortung für die Sicherheit letztlich immer beim Unternehmenseigner oder Geschäftsführer verbleibt. Nur wenn dieser nachweist, alles Zumutbare getan zu haben (sorgfältige Delegation und Kontrolle), kann er im Schadensfall entlastet sein.

Haftungsfragen: Die Verletzung von Betreiberpflichten kann verschiedene Rechtsfolgen auslösen. Zivilrechtlich haftet das Unternehmen bzw. seine Organe gegenüber Geschädigten auf Schadenersatz (§§ 823 ff. BGB). Bei Personenschäden greifen oft die Haftungsprivilegien der gesetzlichen Unfallversicherung (Beschäftigte erhalten Leistungen von der Berufsgenossenschaft, das Unternehmen wird im Gegenzug von unmittelbarer Haftung gegenüber dem Mitarbeiter freigestellt, außer bei Vorsatz). Gegenüber Dritten (Kunden, Passanten, Nachbarn) besteht aber die volle Deliktshaftung. Zusätzlich kann der Versicherungsschutz gefährdet sein, wenn grobe Fahrlässigkeit vorliegt (z. B. kann eine Feuerversicherung leistungsfrei werden, falls elementare Brandschutzregeln missachtet wurden).

Strafrechtlich kann – wie oben erwähnt – ein Geschäftsführer wegen fahrlässiger Tötung oder Körperverletzung belangt werden, wenn er sichere Zustände schuldhaft nicht herstellte. Prominente Beispiele sind Fälle von tödlichen Arbeitsunfällen oder Großschadenereignissen (wie Bränden in Betrieben), in denen Gerichte untersuchen, ob Leitungspersonen ihre Organisationspflichten verletzt haben. Auch das Ordnungswidrigkeitenrecht sieht bei Verstößen gegen sicherheitsbezogene Vorschriften Bußgelder vor (z. B. bis 25.000 € nach ArbSchG, höhere Beträge in Umweltgesetzen, bis 100.000 € nach BSIG). In Extremfällen drohen berufsrechtliche Konsequenzen bis hin zur Gewerbeuntersagung, wenn ein Unternehmen als unzuverlässig im Sinne der öffentlichen Sicherheit eingestuft wird.

Betreiberverantwortung bedeutet eine umfassende, proaktive Verantwortung der Unternehmensleitung für Sicherheit. Sie erfordert ein systematisches Vorgehen – ad-hoc-Aktionismus schützt nicht vor Haftung. Wie Branchenkenner betonen: Angst, „mit einem Bein im Gefängnis zu stehen“, ist zwar übertrieben, doch ohne systematisches Pflichtenmanagement riskiert ein Betreiber Rechtsnachteile. Moderne Compliance- und Sicherheitsmanagement-Systeme dienen gerade dazu, die Vielzahl an Pflichten in den Griff zu bekommen. Im Ergebnis hat ein Unternehmen dafür zu sorgen, dass alle einschlägigen Sicherheitsvorschriften eingehalten und Gefahren minimiert werden. Wird diese Verkehrssicherung in eigener Regie gewährleistet, reduziert das nicht nur Haftungsrisiken, sondern kommt auch dem Unternehmensinteresse an ungestörtem Betrieb zugute.

In diesem Kapitel werden typische sicherheitspraktische Maßnahmen behandelt, die in Unternehmen eingesetzt werden, und die damit verbundenen rechtlichen Fragestellungen. Vier Felder stehen im Fokus: Zutrittskontrollen, Videoüberwachung, Datensicherheit (IT-Sicherheit) und Personalüberprüfungen. Allen gemein ist, dass sie einer rechtlichen Gratwanderung bedürfen – die Maßnahmen sollen Sicherheit erhöhen, dürfen aber nicht unverhältnismäßig in Rechte der Betroffenen eingreifen oder gegen gesetzliche Vorgaben verstoßen.

Zutrittskontrollsysteme dienen dazu, den Zugang zu Betriebsräumen oder -gelände auf berechtigte Personen zu beschränken. Rechtlich stützt sich dies zunächst auf das Hausrecht des Unternehmens. Als Eigentümer oder Besitzinhaber von Grundstücken/Gebäuden darf das Unternehmen den Zutritt regeln und unbefugte Personen ausschließen. Dieses Hausrecht wird durch Art. 13 GG (Unverletzlichkeit der Wohnung, wozu auch befriedetes Besitztum zählt) geschützt – allerdings gegenüber staatlichen Eingriffen. Innerbetrieblich bedeutet es: Der Arbeitgeber kann im Rahmen seines Direktionsrechts Mitarbeitern nur bestimmten Zugang gestatten, und gegenüber betriebsfremden Personen den Zutritt verweigern.

Zutrittskontrollen berühren rechtliche Vorgaben insbesondere, wenn personenbezogene Daten verarbeitet werden. Moderne Systeme (z. B. elektronische Ausweiskarten, Schlüsselkarten, biometrische Zugangssysteme) erfassen, wer wann welches Tor/Schleuse passiert hat. Diese Zugangsdaten sind personenbezogen (sie beziehen sich auf Mitarbeiter oder Besucher) und unterfallen dem Datenschutzrecht (DSGVO/BDSG). Wichtig ist daher die Datenminimierung und Zweckbindung: Es dürfen nur die Daten erhoben werden, die zur Zugangssicherung nötig sind (etwa Identität, Zugangszeit, Berechtigungscode) und sie dürfen nicht länger als erforderlich gespeichert werden. Meist lässt sich der Zweck – Sicherheit des Unternehmens, Schutz vor unbefugtem Eindringen – als berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO anführen. Dennoch ist eine Interessenabwägung erforderlich: Überwiegen die Sicherheitsinteressen gegenüber dem Recht der Mitarbeiter/Besucher auf Privatsphäre? Regelmäßig wird man dies bejahen, wenn keine exzessive Überwachung stattfindet. Transparenz ist Pflicht: Besucher sind durch Schilder oder beim Check-in zu informieren, Mitarbeiter idealerweise durch eine Betriebsvereinbarung.

Biometrische Zutrittskontrollen (z. B. Fingerabdruck-Scanner, Iriserkennung) sind besonders kritisch, da biometrische Daten besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sein können. Ihre Verarbeitung ist nur ausnahmsweise zulässig (z. B. mit ausdrücklicher Einwilligung oder wenn unerlässlich aus Sicherheitsgründen). Die Datenschutz-Aufsichtsbehörden fordern hier hohe Rechtfertigungsgründe – etwa ein extrem hohes Schutzbedürfnis bestimmter Bereiche (Labore mit Pathogenen, Hochsicherheitsbereiche), das den Einsatz rechtfertigt. In normalen Bürogebäuden wären biometrische Verfahren meist unverhältnismäßig.

Arbeitsrechtlich ist zu beachten: Wenn ein Betriebsrat existiert, unterliegt die Einführung und Anwendung von technischen Kontrolleinrichtungen wie Zutrittssystemen seiner Mitbestimmung (§ 87 Abs. 1 Nr. 6 BetrVG). Das gilt jedenfalls dann, wenn das System zur Überwachung des Verhaltens der Arbeitnehmer geeignet ist. Zutrittssysteme protokollieren Arbeitszeiten (Kommen/Gehen) und Bewegungen im Betrieb – daher ist in der Regel der Betriebsrat einzubinden und eine Betriebsvereinbarung abzuschließen, die den Umgang mit den Daten, Speicherfristen, Zugriffsrechte etc. regelt.

Im Ergebnis sind Zutrittskontrollen zulässig und üblich, aber sie müssen datenschutzkonform gestaltet sein: Nur notwendige Daten erheben, Betroffene informieren (Transparenz, z. B. Aushang „Dieses Gebäude ist durch ein elektronisches Zutrittssystem gesichert, Verantwortlicher ist …, Daten werden nach X Tagen gelöscht“), ggf. Einwilligungen einholen wenn nötig (bei sensiblen Verfahren) und technische Sicherheit der Anlage gewährleisten (damit nicht das Zutrittssystem selbst zum Einfallstor wird). Missbrauch (z. B. Auswertung der Daten zu leistungskontrollzwecken ohne Mitbestimmung) ist unzulässig.

Videoüberwachung ist ein besonders heikles Thema der Unternehmenssicherheit, weil sie direkt das allgemeine Persönlichkeitsrecht und das Recht am eigenen Bild der gefilmten Personen berührt. Trotzdem setzen viele Unternehmen Kameras ein, um Diebstähle, Vandalismus oder unbefugtes Eindringen zu verhindern oder aufzuklären.

• Datenschutzrecht: Bilder von Personen sind personenbezogene Daten. Eine offene Videoüberwachung muss daher auf eine Rechtsgrundlage gestützt werden. In öffentlich zugänglichen Räumen (z. B. Kassenbereiche eines Geschäfts, Eingangshallen) greift § 4 BDSG ergänzend ein: Die Beobachtung ist nur zulässig, soweit sie erforderlich ist zur Wahrnehmung des Hausrechts oder berechtigter Interessen und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen (Kunden, Mitarbeiter) überwiegen. Diese Norm spiegelt letztlich Art. 6 Abs. 1 lit. f DSGVO und die Interessenabwägung wieder. In nicht-öffentlichen Räumen (rein betriebsinterne Bereiche ohne Kundenverkehr) erfolgt die Prüfung direkt nach DSGVO (und § 26 BDSG für Mitarbeiter). Kernkriterium ist die Verhältnismäßigkeit: Ist die Kamera ein geeignetes und erforderliches Mittel und wie schwer wiegt der Eingriff? Beispielsweise wird eine permanente Überwachung von Arbeitsplätzen kritisch gesehen, insbesondere wenn mildere Mittel existieren (Schlösser statt Kameras, Zugangsbeschränkungen etc.). Auch muss vorab geprüft werden, ob nicht bloß Überwachungsdruck ausgeübt wird ohne konkreten Anlass – das wäre unzulässig.

• Transparenz: Offene Kameras müssen gekennzeichnet werden. Das ergibt sich aus Art. 13 DSGVO (Informationspflicht) und wurde höchstrichterlich bestätigt. Üblich sind Hinweisschilder mit Kamerasymbol, die verantwortliche Stelle und Zweck kurz benennen. Heimliche Überwachung ist grundsätzlich verboten, mit wenigen Ausnahmen bei konkretem Tatverdacht (siehe unten).

• Speicherbegrenzung: Bilddaten dürfen nicht auf Vorrat unbegrenzt gespeichert werden. § 4 Abs. 5 BDSG schreibt vor, dass Aufnahmen unverzüglich zu löschen sind, wenn sie nicht mehr benötigt werden. Eine starre Frist nennt das Gesetz nicht; Aufsichtsbehörden empfehlen maximal 72 Stunden Speicherdauer, es sei denn, ein Vorfall erfordert längere Aufbewahrung (dann aber nur für diesen Zweck). Viele Unternehmen löschen routinemäßig nach 48–72 Stunden, wenn keine Vorkommnisse.

• Betriebsrat: Wie bei Zutrittssystemen gilt Mitbestimmungspflicht nach § 87 Abs. 1 Nr. 6 BetrVG. Ohne Zustimmung des Betriebsrats ist eine Überwachung von Mitarbeitern unzulässig. Das gilt auch implizit: Selbst wenn die Kamera primär dem Objektschutz dient, aber Arbeitnehmer erfasst werden könnten, ist Mitbestimmung geboten. Nur bei öffentlichen Bereichen, wo Mitarbeiter nur „mitbetroffen“ sind, wird diskutiert – aber sicher ist die Beteiligung anzuraten.

• Verdeckte Videoüberwachung: Die heimliche Überwachung eines Beschäftigten ist nur in extrem engen Grenzen zulässig. Nach der Rechtsprechung des Bundesarbeitsgerichts ist dies erlaubt, wenn ein konkreter Verdacht einer Straftat oder schweren Verfehlung eines Arbeitnehmers besteht, alle milderen Mittel ausgeschöpft sind und die verdeckte Überwachung verhältnismäßig ist. Ein Beispiel: Es verschwinden regelmäßig Waren aus dem Lager, der Verdacht fällt auf einen bestimmten Mitarbeiter – dann kann nach vorheriger Prüfung und als letztes Mittel eine versteckte Kamera an diesem Lagerplatz temporär installiert werden. Aber auch dann muss die Maßnahme eingestellt werden, sobald der Zweck erreicht oder obsolet ist. Ohne solchen Verdacht wäre eine heimliche Überwachung illegal und würde die so gewonnenen Beweise vor Gericht unverwertbar machen sowie Datenschutzverstöße darstellen.

• Örtliche Verbote: Absolut tabu ist Überwachung in Bereichen, die der privaten Lebensgestaltung dienen – Toiletten, Duschen, Umkleiden, Kantinenruheräume etc.. Hier überwiegt immer das Persönlichkeitsrecht (Intimsphäre).

• Zivilrechtliche Folgen: Unzulässige Videoüberwachung kann Unterlassungsansprüche der Betroffenen auslösen. Der BGH hat entschieden, dass schon eine gefühlte Überwachung einen Eingriff darstellt – selbst Kamera-Attrappen können einen Unterlassungsanspruch begründen. Arbeitnehmer könnten vor dem Arbeitsgericht auf Entfernung der Kameras klagen, ggf. unterstützt von Gewerkschaften. Zudem kann Schmerzensgeld nach Art. 82 DSGVO verlangt werden, wenn die Überwachung datenschutzwidrig war.

• Praxis: Videoüberwachung lässt sich rechtssicher einsetzen, wenn man ein konkretes Überwachungskonzept erstellt: Was soll überwacht werden (Eingänge, kritische Bereiche), warum (Diebstahlprävention, Schutz von Leben/Gesundheit, z. B. in Geldinstituten Überfallprävention), wie (offen, Kamerastandorte) und wie lange (Speicherfristen, automatische Löschung). Das Konzept sollte dokumentiert sein, damit bei Prüfungen durch Datenschutzbeauftragte oder Aufsichtsbehörden die Erforderlichkeit und Verhältnismäßigkeit nachvollziehbar ist. Wichtig ist auch, die Kameras nicht zweckentfremdet einzusetzen – z. B. keine Dauerbeobachtung von Mitarbeitern an Arbeitsplätzen zu Leistungszwecken.

In Summe muss die rechtliche Zulässigkeit der Videoüberwachung immer eine individuelle Abwägung sein. Das Unternehmen hat ein legitimes Interesse, seinen Betrieb und Eigentum zu schützen, aber dem steht das Recht der Mitarbeiter und Besucher auf Privatheit entgegen. Die Gesetze fordern einen schonenden Ausgleich: Überwachung ja, aber nur soweit unbedingt nötig und immer transparent und mit flankierenden Schutzmaßnahmen. Werden diese Grundsätze beachtet, kann Videoüberwachung ein wirksames Mittel der Sicherheitsstrategie sein – im Missbrauchsfall wird sie jedoch schnell zum juristischen Boomerang.

Datensicherheit – im Sinne von Schutz der Informationen, IT-Systeme und digitalen Prozesse – ist heute ein Kernbestandteil der Unternehmenssicherheit. Rechtlich wird Datensicherheit vor allem durch zwei Sphären geregelt: zum einen das Datenschutzrecht (Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust etc.), zum anderen spezielle IT-Sicherheitsgesetze und Sorgfaltspflichten im Bereich der kritischen Infrastrukturen und digitalen Dienste (siehe BSIG/NIS-Richtlinie). Darüber hinaus gibt es branchenabhängige IT-Sicherheitsauflagen (z. B. für Banken durch die BaFin, MaRisk und BAIT-Regeln).

Aus der DSGVO ergibt sich mit Art. 32 eine allgemeine Pflicht für Verantwortliche und Auftragsverarbeiter, ein dem Risiko angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten – einschließlich Pseudonymisierung/Verschlüsselung, Fähigkeit zur Wiederherstellung nach Zwischenfällen, und einem Verfahren zur regelmäßigen Überprüfung der Sicherheitsmaßnahmen. Diese Norm betrifft alle Unternehmen, die personenbezogene Daten verarbeiten (also nahezu alle), und erzwingt so etwas wie ein Informationssicherheits-Management zumindest rudimentär. Bei Verletzungen der Datensicherheit (Datenpannen, Art. 33/34 DSGVO) bestehen Meldepflichten an die Aufsichtsbehörde und Betroffene, was öffentlichen Reputationsschaden bedeuten kann. Zugleich drohen Bußgelder.

Über personenbezogene Daten hinaus haben Unternehmen natürlich auch ein eigenes Interesse, ihre Geschäftsgeheimnisse und betrieblichen Daten zu sichern. Das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) verlangt, dass Informationen nur dann als Geschäftsgeheimnis gelten, wenn der Inhaber angemessene Geheimhaltungsmaßnahmen getroffen hat (z. B. Zugriffsbeschränkungen, NDAs mit Mitarbeitern, IT-Schutz) – dies schafft einen zivilrechtlichen Anreiz für Datensicherheit. Im Angriffsfall (Hacking, Datenklau) kann der Geheimnisinhaber nur dann rechtlich vorgehen, wenn er zuvor intern für ausreichende Sicherung gesorgt hatte.

Das BSIG (bereits im Kap. 2 umrissen) schreibt für bestimmte Unternehmen konkrete IT-Sicherheitsmaßnahmen vor, etwa für KRITIS-Betreiber: Sie müssen die IT nach dem Stand der Technik absichern (§ 8a BSIG) und Sicherheitsvorfälle an das BSI melden (§ 8b BSIG). „Stand der Technik“ ist ein dynamischer Begriff – Unternehmen sind gut beraten, anerkannte Standards (z. B. ISO/IEC 27001, BSI-Grundschutz, siehe Kap. 5) als Maßstab heranzuziehen, um diese Anforderung zu erfüllen. Nichteinhaltung kann zu Bußgeldern führen. Schon vor Umsetzung von NIS 2 umfasste der Kreis der KRITIS viele Branchen; NIS 2 wird weitere „wichtige“ Unternehmen einbeziehen (z. B. mittelgroße Unternehmen aus Sektoren wie Lebensmittel, Abfall, Maschinenbau, die bislang nicht erfasst waren). Auch Telekommunikations- und Telemedien-Anbieter mussten nach TKG/TMG gewisse Mindeststandards einhalten und Sicherheitskonzepte vorhalten.

Neben gesetzlichen Pflichten spielt hier die Staatliche Aufsicht eine Rolle: Das BSI kann Warnungen herausgeben (z. B. vor bestimmten unsicheren Produkten), Mindeststandards definieren (für Bundesbehörden etwa), und Zertifizierungen anbieten, die Unternehmen nutzen können. Die Bundesnetzagentur wacht über TK-Anbieter. Bei Banken verlangt die BaFin ein Information Security Management System gemäß den bankaufsichtlichen Anforderungen (BAIT). Versicherungen fragen bei Cyber-Policen nach dem IT-Sicherheitsniveau. Kurzum: Auch jenseits unmittelbarer Gesetzespflichten wächst der Druck durch Soft Law und Marktanforderungen, Daten und IT angemessen zu schützen.

Ein oft übersehener Aspekt ist „security by design“ in Produkten: Wer z. B. IT-Produkte herstellt, muss (nach EU-Cybersicherheitsact und künftigen Regeln wie dem Cyber Resilience Act) gewisse Sicherheitsstandards einbauen. Für Unternehmen als Nutzer bedeutet das, ihre IT-Komponenten auf Sicherheit zu prüfen und ggf. nur zertifizierte Produkte einzusetzen. Zwar (noch) keine Pflicht, aber empfehlenswert.

Haftung in der IT-Sicherheit: Wenn mangelnde Datensicherheit zu Schäden führt, haftet das Unternehmen gegenüber Kunden ggf. aus Vertrag oder deliktisch (z. B. wenn Kundendaten entwendet werden wegen unzureichender Sicherheitsvorkehrungen). Außerdem könnten Geschäftsführer in Ausnahmen haftbar sein, wenn fahrlässige IT-Unsicherheit z.B. das Unternehmen existenzgefährdend schädigt (Stichwort Geschäftsleiterhaftung). Versicherungen gewähren oft nur Leistung, wenn grundlegende Sicherheitsvorkehrungen eingehalten wurden.

In der Praxis haben viele Unternehmen erkannt, dass proaktive Datensicherheit nicht nur Pflicht, sondern auch wirtschaftliche Notwendigkeit ist. Regelmäßige Penetrationstests, Backups, Notfallübungen (Cyber Incident Response) und Schulung der Mitarbeiter (IT-Security-Awareness) sind Bestandteil einer guten Sicherheitskultur. Dabei überschneidet sich der rechtliche Rahmen mit Standards (ISO 27001 etc., Kap. 5) – oft fordern Verträge mit Geschäftspartnern die Einhaltung solcher Standards ein, was den rechtlichen Druck ergänzt. Zusammengefasst: Datensicherheit ist von Gesetz wegen integraler Bestandteil der Unternehmenssicherheit und erfordert ständige Anpassung an neue Bedrohungen, wie auch der Gesetzgeber durch stetige Verschärfung (IT-SiG 2.0, NIS 2 etc.) signalisiert.

Zur Unternehmenssicherheit gehört auch, dafür zu sorgen, dass Mitarbeiter in sensiblen Positionen zuverlässig sind. Unternehmen wollen z.B. vermeiden, dass Personen mit Sicherheitsaufgaben vorbestraft wegen einschlägiger Delikte sind, oder dass kritische Positionen von unzuverlässigen Personen besetzt werden, die ein erhöhtes Risiko für Diebstahl, Sabotage oder Spionage darstellen.

• Rechtlich gelten hierbei enge Grenzen: Das Persönlichkeitsrecht (Art. 2 Abs. 1 GG) und das Recht auf informationelle Selbstbestimmung schützen Bewerber und Mitarbeiter vor unangemessener Schnüffelei. Nach § 26 BDSG ist die Verarbeitung personenbezogener Daten von Beschäftigten zu Beschäftigungszwecken nur zulässig, wenn sie für die Entscheidung über die Begründung eines Arbeitsverhältnisses erforderlich ist. Ein umfassender Backgroundcheck ist regelmäßig nur zulässig, soweit er unmittelbar berufsrelevant ist. Das Prinzip der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) verlangt, nicht mehr Informationen einzuholen als nötig. Beispielsweise darf ein Unternehmen die Schul- und Berufsabschlüsse überprüfen (Zeugnisse, Referenzen einholen), weil dies relevant für die Stelle ist. Ebenso kann die frühere Beschäftigung verifiziert werden, durch Kontaktaufnahme bei früheren Arbeitgebern, sofern der Bewerber dem zustimmt. Öffentlich zugängliche Informationen (z. B. Profile in beruflichen Netzwerken) dürfen gesichtet werden.

• Nicht erlaubt sind jedoch pauschale Ermittlungen in rein privaten Bereichen: Die finanzielle Situation (Kreditauskunft) etwa ist bei normalen Jobs tabu, außer die Position rechtfertigt ein berechtigtes Interesse (z. B. bei einem angehenden Finanzvorstand könnte eine Schufa-Auskunft zulässig sein, um erheblich verschuldete Personen ggf. auszuschließen, die erpressbar wären). Medizinische Untersuchungen oder Fragen zur Gesundheit sind nur bei konkretem Bezug (z. B. sehtauglich für Piloten) statthaft. Fragen nach Vorstrafen sind nur bei einschlägigem Bezug zulässig – beispielsweise darf bei einer Bewerbung als Geldtransportfahrer nach etwaigen Vermögens- oder Gewaltdelikten gefragt werden, jedoch nicht nach Jugendsünden ohne Bezug. Oft wird das polizeiliche Führungszeugnis verlangt; dies ist zulässig, wenn die Tätigkeit ein hohes Maß an Vertrauen erfordert oder gesetzlich eine Überprüfung vorgesehen ist (z. B. im Sicherheitsgewerbe, im Kinder-/Jugendschutz). Bei manchen Branchen schreibt das Gesetz Zuverlässigkeitsüberprüfungen vor, etwa im Luftverkehr (LuftSiG) oder bei Geldwäschebeauftragten (GwG). Ein genereller Screening aller Mitarbeiter auf Vorrat wäre allerdings unverhältnismäßig.

• Auch hier gilt der Datenschutz: Der Betroffene muss informiert werden, welche Daten erhoben werden, und ggf. einwilligen, wenn keine andere Rechtsgrundlage greift. Gerade bei bestehenden Arbeitnehmern ist eine Einwilligung problematisch (Freiwilligkeit fraglich); daher sollte die Erforderlichkeit argumentiert werden oder man greift auf gesetzliche Pflichten zurück (z. B. § 10 GwG: Banken müssen die Zuverlässigkeit von Mitarbeitern im kritischen Bereich prüfen – so etwas liefert die Rechtsgrundlage). Daten aus einem Background Check sind vertraulich zu behandeln und dürfen nur solange gespeichert werden, wie nötig.

• Ein Spezialfall sind Sicherheitsüberprüfungen nach SÜG (siehe oben): Hier ist der Prozess staatlich geregelt und greift nur in bestimmten Fällen. In der Privatwirtschaft bedarf es meist der Zustimmung des Mitarbeiters, sich einer solchen Überprüfung zu unterziehen; verweigert er, kann das zur Folge haben, dass er die Stelle nicht bekommt, wenn die Überprüfung objektiv erforderlich war (z. B. Zutritt zu einer militärischen Liegenschaft erfordert Ü2, wer das nicht will, kann nicht eingesetzt werden).

• Arbeitsrechtliche Konsequenzen: Erkenntnisse aus zulässigen Background Checks können eine Einstellungsentscheidung beeinflussen oder – falls erst nachträglich bekannt – ggf. eine Kündigung rechtfertigen (z. B. wenn der Mitarbeiter falsche Angaben gemacht hat oder eine relevante kriminelle Belastung verschwiegen hat). Allerdings müssen Arbeitgeber aufpassen: Eine Kündigung wegen vorheriger Straftaten ist oft schwierig, wenn die Tat nichts mit dem aktuellen Job zu tun hat und der Mitarbeiter sich bewährt hat. Hier kommt es auf den Einzelfall an.

• Fazit zu Personalüberprüfungen: Für die Unternehmenssicherheit ist „Know your employee“ in sensiblen Bereichen wichtig – jedoch stoßen Unternehmen auf rechtliche Schranken. Es empfiehlt sich, Standardprozesse festzulegen: Bei Bewerbern je nach Stelle bestimmte Checks (Führungszeugnis nur wo nötig, Referenzen routinemäßig mit Einwilligung), bei Mitarbeitern in besonderen Funktionen regelmäßige Überprüfung der gesetzlichen Voraussetzungen (z. B. Waffenträger im Werkschutz – regelmäßige psychologische Eignungstests und Nachweise nach § 34a GewO). Alles darüber hinaus bedarf guter Gründe. Die Rechtsgrundlagen (DSGVO/BDSG, ArbR) setzen dem pauschalen Durchleuchten enge Grenzen. Im Zweifel sollte man auf freiwillige Angaben setzen und eine Unternehmenskultur fördern, in der Vertrauen herrscht – flankiert von gezielten Kontrollen nur wo unabdingbar.

Rechtliche Vorschriften legen häufig Schutzziele oder Mindestanforderungen fest, schreiben aber nicht bis ins Detail vor, wie diese zu erreichen sind. Hier kommen Normen und Standards ins Spiel, die in der Unternehmenssicherheit eine wichtige Orientierungsfunktion einnehmen. Normen sind zwar nicht per se rechtsverbindlich, können aber durch Gesetze und Verordnungen indirekt verpflichtend werden oder als anerkannte Regeln der Technik de facto zum Maßstab des rechtmäßigen Handelns avancieren.

Das Deutsche Institut für Normung (DIN) erstellt Normen in vielfältigen Bereichen, darunter auch Sicherheitstechnik und Managementsysteme. Beispiele: DIN EN 62305 zur Blitzschutzanlage, DIN EN ISO 7010 für Sicherheitszeichen, oder DIN-Normen für Schließanlagen, für Einbruchmeldeanlagen etc. Manche Normen konkretisieren Arbeitsschutzforderungen – etwa existieren Technische Regeln (TRBS, TRGS), die quasi amtlich anerkannte technische Normen sind, oder Normen für Persönliche Schutzausrüstung. Werden solche Normen eingehalten, kann ein Unternehmen regelmäßig davon ausgehen, gesetzliche Forderungen erfüllt zu haben (Vermutungswirkung als „anerkannte Regeln der Technik“).

Die VDI (Verein Deutscher Ingenieure) gibt Richtlinien heraus, die praxisnahe technische Empfehlungen liefern. Beispiel: VDI-Richtlinie WR 2400 für Sicherheitsmanagement in der Wasserversorgung oder VDI 3813 ff. für Gebäudeleittechnik (die auch sicherheitsrelevant sein kann). VDI-Richtlinien sind nicht Gesetz, aber oft in Fachkreisen anerkannt. Ihr Befolgen kann im Haftungsfall zeigen, dass Stand der Technik eingehalten wurde.

Auf internationaler Ebene hat sich eine Reihe von Managementsystem-Standards etabliert, die auch für Sicherheit relevant sind.

• ISO/IEC 27001 – Informationssicherheits-Managementsystem (ISMS): Dieser Standard legt Anforderungen fest, wie ein Unternehmen seine Informationswerte schützen soll, inkl. Risikomanagement, Sicherheitsrichtlinien, organisatorische Maßnahmen, kontinuierliche Verbesserung. Viele Unternehmen streben eine Zertifizierung nach ISO 27001 an, um gegenüber Kunden und Aufsichtsbehörden nachzuweisen, dass sie IT-Risiken im Griff haben. Rechtlich ist ISO 27001 zwar freiwillig, doch z.B. für KRITIS-Betreiber gilt seit IT-SiG 1.0, dass sie IT-Sicherheit nach „Stand der Technik“ umsetzen müssen. ISO 27001 wird hier oft als Maßstab herangezogen. Zudem verweisen branchenspezifische Regelungen indirekt auf ISO 27001 (z. B. im Finanzsektor oder bei Versicherungen). Zertifikate nach ISO 27001 oder dem BSI-Grundschutz (der auf ähnlichen Prinzipien beruht) können die Compliance im IT-Recht erleichtern, da man im Ernstfall argumentieren kann, man habe bewährte Standards befolgt.

• ISO 22301 – Business Continuity Management (BCMS): Dieser Standard betrifft das Notfall- und Kontinuitätsmanagement. Unternehmenssicherheit umfasst auch die Vorbereitung auf Krisen (Blackout, IT-Ausfall, Pandemien). Rechtlich fordern einige Sektoren (z. B. Banken via MaRisk) ein Notfallmanagement. ISO 22301 bietet hier eine gute Praxis. Unternehmen können sich zertifizieren lassen, was in Sektoren mit hohem Public Interest (Energie, Telekom, Gesundheit) Vertrauen schafft. Während z.B. das Katastrophenschutzrecht Unternehmen zu Notfallplänen anhält, liefert ISO 22301 die Blaupause, wie man so etwas systematisch aufzieht.

• ISO 45001 – Arbeitsschutzmanagementsystem: Fortführung von OHSAS 18001, integriert in die ISO-Familie. Diese Norm unterstützt bei der Einrichtung eines Arbeitsschutz-Managementsystems, was gerade für größere Unternehmen sinnvoll ist, um ArbSchG und verwandte Pflichten dauerhaft zu erfüllen. Berufsgenossenschaften fördern solche Systeme (siehe z.B. das deutsche Pendant AMS der DGUV). Eine Zertifizierung nach ISO 45001 kann auch im Ernstfall als Argument dienen, man habe seine Organisationspflicht im Arbeitsschutz erfüllt (keine Haftungsfreistellung, aber Indiz für Sorgfalt).

• ISO 31000 – Risikomanagement: Zwar keine Zertifizierungsnorm, aber ein internationaler Standard, der Prinzipien und Leitlinien für Risikomanagement setzt. Unternehmenssicherheit ist eng mit dem Risikomanagement verbunden. In einigen Bereichen (Compliance-Management, interne Kontrollen) werden formale Risikomanagement-Systeme gefordert. ISO 31000 bietet hier einen Rahmen.

Weitere relevante ISO-Normen: ISO 14001 (Umweltmanagement – relevant, weil Sicherheit und Umweltschutz oft verknüpft sind, z. B. bei Störfällen), ISO 37301 (Compliance-Management), ISO 18788 (Managementsystem für private Sicherheitsdienstleistungen), um nur einige zu nennen. Für IT-Sicherheit zudem die Familie ISO 2700x (z.B. ISO 27002 als Maßnahmenkatalog).

In der Summe geben ISO-Standards dem Unternehmen Werkzeuge an die Hand, über reine Gesetzeserfüllung hinaus eine „Best Practice“-Sicherheit zu etablieren. Viele dieser Standards harmonieren mit rechtlichen Pflichten. So fordern z.B. die EU-Vorgaben (NIS 2) explizit ein Risikomanagement und geeignete organisatorische und technische Sicherheitsvorkehrungen – was faktisch auf ein ISMS nach ISO 27001 hinausläuft.

Der BSI IT-Grundschutz ist ein deutscher Standard, entwickelt vom Bundesamt für Sicherheit in der Informationstechnik, mit umfangreichen Katalogen von Sicherheitsmaßnahmen. Er ist kompatibel mit ISO 27001 (es gibt sogar die Möglichkeit, ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz zu erlangen). Viele Behörden und Unternehmen nutzen den Grundschutz als Leitfaden, da er praktische Empfehlungen enthält. Rechtlich ist auch er freiwillig, doch für Bundesbehörden beispielsweise quasi vorgeschrieben und für KRITIS eine empfohlene Vorgehensweise.

COBIT (Framework für IT-Governance), PCI-DSS (für die Zahlungsindustrie, Pflichtstandard zur Kreditkartendatensicherheit) – letzterer ist ein privater Branchenstandard, der aber durch Verträge bindend wird. TISAX ist ein Prüf- und Austauschsstandard der Automobilindustrie (basierend auf ISO 27001) und wird von Zulieferern verlangt. Diese sektoralen Standards gewährleisten in der Lieferkette ein einheitliches Sicherheitsniveau und sind de facto notwendig, um am Markt zu bleiben.

Auch DIN-EN-Normen für Produkte und Anlagen spielen im Rechtsrahmen eine Rolle. Beispiel: DIN EN 1627 ff. klassifiziert die Widerstandsfähigkeit von Türen/Fenstern gegen Einbruch (RC1–RC6). In Ausschreibungen und Gebäudeplanungen wird oft verlangt, dass z.B. Außenfenster mindestens RC2 sind. Zwar schreibt kein Gesetz direkt „Du musst RC2-Fenster einbauen“, aber wenn ein Versicherer oder eine behördliche Auflage (z. B. im Bankenaufsichtsrecht für Tresorräume) das fordert, werden Normen zur Messlatte. Brandschutz ist voll von Normen: Feuerschutztüren (DIN 4102), Brandmeldeanlagen (DIN 14675), Notbeleuchtung (DIN EN 1838) usw., die über die Landesbauordnungen und Arbeitsstättenregeln faktisch verpflichtend sind.

VdS-Richtlinien (herausgegeben vom Gesamtverband der deutschen Versicherer) sind auch bedeutsam: z.B. VdS 2095 für Sprinkleranlagen. Hält sich ein Unternehmen an VdS-anerkannte Technik und lässt diese zertifizieren, bekommt es Versicherungsschutz bzw. Prämienvorteile. Solche quasi-privat gesetzten Standards beeinflussen also das Sicherheitsniveau maßgeblich. Zwar nicht „Gesetz“, aber bei Abweichung riskiert man Versicherungsschutz oder bekommt Auflagen.

Reinhard Rupprecht fasst die Bedeutung der Normen so zusammen: „Wachsende Möglichkeiten, Sicherheitsprodukte und -komponenten zertifizieren zu lassen, erhöhen laufend die Zahl und den Umfang der technischen Normen (DIN-Normen, EN-Normen, VDE-Regeln, VDI-Richtlinien, VdS-Richtlinien, VDMA-Einheitsblätter). Ihre Einhaltung ist zwar nicht rechtlich verpflichtend, bildet aber die Voraussetzung als Nachweis für Zuverlässigkeit und Wirksamkeit wichtigen Zertifizierungen.“. Das heißt: Wer zertifiziert sein will – sei es aus Eigeninteresse oder weil ein Kunde/Behörde es fordert – kommt an Normen nicht vorbei.

Neben formalen Normen (DIN/ISO) gibt es Branchenstandards und Kodizes, die Sicherheitsbelange regeln.

• DGUV-Vorschriften: Die Unfallversicherungsträger erlassen Unfallverhütungsvorschriften (z. B. DGUV Vorschrift 1 „Grundsätze der Prävention“, DGUV Vorschrift 25 „Überfallprävention im Kreditgewerbe“). Diese haben zwar den Charakter autonomer Satzungen, sind aber quasi-gesetzlich, da sie auf Grundlage des SGB VII erlassen und für die Mitgliedsunternehmen verbindlich sind. DGUV-Vorschriften und die dazugehörigen Regeln und Informationen konkretisieren insbesondere Arbeitssicherheitsmaßnahmen (z. B. Ausrüstung der Ersthelfer, Organisation von Feuerwehreinsätzen im Betrieb). Ihre Einhaltung wird von den Berufsgenossenschaften überwacht. Daher sollten Unternehmen die DGUV-Regeln unbedingt in ihr Sicherheitsmanagement integrieren.

• BSI-Kritisstandards: Das BSI veröffentlicht branchenspezifische Sicherheitsstandards für KRITIS, z. B. B3S (Branchen-spezifische Sicherheitsstandards), die von den jeweiligen Branchenverbänden erarbeitet und vom BSI anerkannt werden. Ein solcher Standard (etwa für Krankenhäuser, Energieversorger) konkretisiert die Pflichten aus BSIG. Hält sich ein KRITIS-Betreiber daran, wird vermutet, dass er § 8a BSIG erfüllt.

• Allianz für Cyber-Sicherheit (ACS): Eine Initiative von BSI und Wirtschaft, die Best Practices austauscht. Nicht normativ, aber wer teilnimmt, erhält Zugang zu Standards und Erfahrungswerten.

• Branchengütesiegel: Z.B. „Geprüfter Werkschutz“ des Bundesverbands der Sicherheitswirtschaft (BDSW) oder Zertifikate nach DIN 77200 für Sicherheitsdienstleister. Unternehmen, die externe Dienstleister beauftragen, achten zunehmend auf solche Zertifikate als Qualitätsmerkmal.

Insgesamt bieten Normen und Standards dem Unternehmen eine Orientierungshilfe, wie es die oft abstrakten gesetzlichen Forderungen praktisch umsetzen kann. Zwar kostet die Einführung eines Managementsystems oder die Zertifizierung nach Norm Aufwand, doch sie bringt Rechtssicherheit: Intern schafft sie klare Prozesse, und extern kann sie im Ernstfall als Entlastungsbeweis dienen („Wir haben uns an Standards gehalten“). Allerdings dürfen Normen nicht blind befolgt werden – sie müssen ins eigene Risikoprofil passen. Dennoch gilt: In der heutigen vernetzten Unternehmenswelt ist die Ausrichtung an international anerkannten Standards fast unverzichtbar, um ein konsistentes und nachweisbares Sicherheitsniveau zu erreichen. Dies zeigt sich nicht zuletzt darin, dass Regulierer bei neuen Gesetzen immer häufiger direkt auf Standards Bezug nehmen oder deren Implementierung voraussetzen (z. B. NIS 2, die von angemessenen Maßnahmen und risk-based approaches spricht, was praktisch Standardisierung bedeutet).

Die Verantwortung für Sicherheit in Deutschland verteilt sich auf staatliche Stellen und gemeinwirtschaftliche Institutionen, die jeweils unterschiedliche Aufgaben und Befugnisse haben. Für Unternehmen ist es wichtig zu wissen, welche Behörden und Institutionen in welchen Bereichen ansprechbar sind, Anforderungen stellen oder Unterstützung bieten.

• Polizei und Ordnungsbehörden: Die Landespolizeien sind für die operative Gefahrenabwehr und Strafverfolgung zuständig. Unternehmen kommen mit der Polizei in Kontakt bei Vorfällen (Einbrüche, Diebstähle – Anzeigen erstatten, Ermittlungen), bei Gefährdungslagen (Bombendrohung, Amok, Demonstrationen) und in der Prävention. Viele Polizeidienststellen bieten Kriminalpräventive Beratung für Unternehmen an (z. B. polizeiliche Beratungsstellen für Einbruchschutz). Die Polizei kann in Gefahrenfällen auch Anordnungen gegenüber Unternehmen treffen (z. B. Evakuierung des Firmengeländes bei Bombenfund, Schließen einer Veranstaltung wegen Brandgefahr). Die Ordnungsämter (kommunal) überwachen z.B. die Einhaltung von Versammlungsstättenverordnungen und Brandschutz bei Veranstaltungen in Betrieben, erteilen Auflagen für Sicherheitskonzepte etc. Insgesamt ist die Polizei der zentrale staatliche Partner, wenn es um akute Sicherheitsbelange geht. Unternehmen sollten mit der örtlichen Polizei eine gute Kommunikation pflegen (Stichwort „Sicherheitspartnerschaft“), etwa durch regelmäßigen Austausch über aktuelle Bedrohungen (z. B. Einbruchserien in der Gegend) und Koordination im Notfall.

• Verfassungsschutz und Nachrichtendienste: Der Verfassungsschutz (Bund und Länder) beobachtet extremistische Bestrebungen, Terrorgefahren und auch Wirtschaftsspionage. Für Unternehmen relevant ist v.a. der Wirtschaftsschutz: Der Verfassungsschutz informiert gefährdete Firmen über Spionageaktivitäten (z. B. durch Auslandsgeheimdienste oder Konkurrenten) und berät in Fragen Informationsschutz. Außerdem spielt er eine Rolle bei Sicherheitsüberprüfungen (SÜG) und beim Geheimschutz (wenn Unternehmen für die Bundeswehr o.Ä. arbeiten und VS-Informationen handhaben, müssen sie mit dem BfV zusammenarbeiten). Das BfV und BND haben in den letzten Jahren vermehrt auf die Bedrohung durch Cyberangriffe hingewiesen und Unternehmen sensibilisiert. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist ebenfalls zu nennen: Es koordiniert Zivilschutz und entwickelt Warnsysteme (z. B. Warn-App NINA). Für Unternehmen ist BBK v.a. indirekt wichtig – z. B. stellt es Empfehlungen für Notfallvorsorge bereit und kann in Katastrophenfällen zusammen mit den Ländern über Ressourcenallokation entscheiden (siehe Katastrophenschutzrecht Kap. 2).

• Bundesamt für Sicherheit in der Informationstechnik (BSI): Das BSI ist die zentrale Cyber-Sicherheitsbehörde. Es erarbeitet Standards und Warnungen, berät KRITIS-Betreiber, zertifiziert IT-Produkte (z. B. Common Criteria), und sammelt Meldungen zu Cybervorfällen. Für Unternehmen, vor allem KRITIS, fungiert das BSI als Aufsichts- und Beratungsinstanz. Es hat z.B. bei KRITIS die Befugnis, Nachweise einzufordern, Audits durchzuführen oder bei schweren Sicherheitsmängeln Anordnungen zu erlassen. Gleichzeitig bietet das BSI Services wie die Allianz für Cyber-Sicherheit (eine Plattform mit Informationen und Schulungen) und Publikationen (IT-Grundschutz-Kompendium etc.). Neuerdings soll es auch Verbraucher schützen (z. B. „IT-Sicherheitskennzeichen“ für Produkte). Unternehmen sollten BSI-Meldungen und -Empfehlungen aufmerksam verfolgen; auch Nicht-KRITIS-Unternehmen können sich an das BSI wenden, etwa wenn sie von einem größeren Cyberangriff betroffen sind.

• Datenschutzaufsichtsbehörden: Jede Organisation, die personenbezogene Daten verarbeitet, unterliegt der Kontrolle der Datenschutzbehörden (in Deutschland die Landesdatenschutzbeauftragten für private Unternehmen, bzw. der Bundesbeauftragte für Post/Telekommunikations-Firmen in bestimmtem Umfang). Diese Behörden gehen Beschwerden nach, führen teils Stichproben-Prüfungen durch und verhängen Bußgelder bei DSGVO-Verstößen. In Bezug auf Sicherheit schauen sie z.B. auf Videoüberwachung (häufiges Ziel von Prüfungen), Zugangskontrollen, Datensicherheitskonzepte (gab es z.B. Kontrollen zu Passwortsicherheit, Backup-Konzepten). Sie können Prüfungen veranlassen, bei Datenpannen informieren Unternehmen die Behörde. Ein kooperativer Umgang mit der Aufsicht ist ratsam: Viele Behördenseiten bieten auch Orientierungs- oder Kurzpapiere zu datenschutzgerechten Sicherheitsmaßnahmen. Bei geplanten heiklen Projekten (z. B. Videoanalytics, KI-Überwachung) kann man den Dialog suchen, um konform zu bleiben.

• Arbeitsschutzbehörden und Gewerbeaufsicht: In jedem Bundesland gibt es staatliche Ämter für Arbeitsschutz / Gewerbeaufsicht, die die Einhaltung von Arbeitsschutzvorschriften in Betrieben überwachen (Unfallverhütung, Gefahrstofflagerung, technische Anlagen). Sie führen Betriebsinspektionen durch, insbesondere in unfallträchtigen Branchen, und können Anordnungen erlassen (z. B. Stilllegung einer unsicheren Maschine, Nachrüsten von Schutzeinrichtungen). Bei meldepflichtigen Arbeitsunfällen untersuchen sie die Ursachen. Für Unternehmen sind diese Behörden wichtige Ansprechpartner, wenn es um Beratung zur Arbeitssicherheit geht – viele bieten Beratungsmaterial an, ähnlich wie Berufsgenossenschaften. Manchmal greifen auch Bauaufsichtsbehörden in Sicherheitsbelange ein – etwa die Feuerwehr und Bauämter bei Brandschutzkonzepten, Versammlungsstätten etc.

• Berufsgenossenschaften (BGs) und Unfallkassen: Die BGs sind Teil der gesetzlichen Unfallversicherung und haben einen gesetzlichen Auftrag zur Prävention von Arbeitsunfällen. Sie erlassen die DGUV-Vorschriften (die für Mitgliedsbetriebe verbindlich sind) und verfügen über einen technischen Aufsichtsdienst, der Betriebe besucht. BG-„Aufsichtsbeamte“ können Mängel aufnehmen und Verbesserungen verlangen; bei groben Verstößen drohen sie mit Prämienzuschlägen oder schließen sich der staatlichen Anordnung an. Allerdings bieten BGs vor allem viel Unterstützung: Seminare, Beratung, Merkblätter. Beispielsweise die VBG (Berufsgenossenschaft der Verwaltungsberufe) hat umfangreiche Informationen zu Sicherheitsorganisation. Unternehmen sollten die Hilfestellungen der BG nutzen, da sie praxisnah und branchenspezifisch sind. Außerdem sind BGs oft in Unfalluntersuchungen eingebunden und können den Ablauf von Notfällen bewerten, was wieder Rückwirkungen auf die Organisation hat.

• Aufsichtsbehörden für besondere Branchen: Je nach Branche gibt es weitere Stellen: Etwa die Bundesanstalt für Materialforschung (BAM) für Explosivstoffe (genehmigt Lager), Regulierungsbehörden (BNetzA für Energie/TK – auch verantwortlich für KRITIS-Listen in Energie, die BaFin für Finanzsicherheit, etc.). In der Chemie gibt es Störfallbeauftragte bei Behörden. Im Transportwesen überwacht das Eisenbahn-Bundesamt oder Luftfahrt-Bundesamt die Sicherheitsstandards. Jedes Unternehmen hat also branchenspezifische Behörden, die Sicherheitsauflagen kontrollieren (z. B. Pharma: GMP-Inspektoren).

• Zertifizierungsstellen und Prüfstellen: Nicht direkt Behörde, aber im institutionalisierten Gefüge wichtig: TÜV, DEKRA und andere zugelassene Überwachungsstellen, die z.B. die technischen Prüfungen vornehmen (Aufzüge, Druckbehälter etc.). Sie handeln teils im Auftrag der staatlichen Überwachung (die BetrSichV-Prüfungen sind quasi „verlängerte Behörde“). Ihre Prüfberichte sind entscheidend für die Betriebserlaubnis von Anlagen.

• Wirtschaftsverbände und Kammern: Organisationen wie die IHKs oder Handwerkskammern engagieren sich ebenfalls beim Thema Sicherheit in der Wirtschaft. Die IHKs stellen Informationen bereit (z. B. IHK-Leitfäden zur IT-Sicherheit, wie das Bsp. IHK Leipzig zeigt) und vertreten die Interessen der Unternehmen gegenüber dem Staat, etwa bei neuen Sicherheitsgesetzen (Kritik oder Unterstützung). Es gibt auch spezialisierte Verbände wie die ASW (Allianz für Sicherheit in der Wirtschaft), teils auf Landesebene (ASW Niedersachsen etc.), in denen Sicherheitsverantwortliche sich austauschen und gemeinsam mit Behörden Präventionsprojekte starten. Diese Verbände sind wichtige Netzwerk-Plattformen und vermitteln z.B. auch Informationen aus erster Hand von Polizei oder Verfassungsschutz an die Mitglieder.

Zusammengefasst: Der institutionelle Sicherheitsrahmen ist vielschichtig. Unternehmen tun gut daran, proaktiv mit den relevanten Stellen zusammenzuarbeiten. Etwa durch Teilnahme an branchenspezifischen Sicherheitsforen mit Behörden, durch freiwillige Audits (z. B. lassen manche Firmen ihre IT vom BSI auditieren, obwohl nicht Pflicht, um ein Gütesiegel zu erlangen), oder durch Mitarbeit in Normungsgremien. Gerade die Verzahnung von Public und Private (siehe Kap. 8) wird immer wichtiger, da Bedrohungen komplexer werden (Cyber, Terror). Behörden haben oft nur begrenzte Einsicht in interne Risiken von Firmen, während Firmen ohne Behördeninfos über externe Gefahren blind wären. Ein resilientes Sicherheitssystem entsteht erst im Miteinander: die öffentliche Hand setzt Rahmen und greift im Notfall ein, die Unternehmen füllen diesen Rahmen eigenverantwortlich mit Leben und informieren umgekehrt die Behörden bei abnormalen Vorkommnissen (z. B. Häufung von Cyber-Angriffen, die aufs BSI gemeldet werden).

Nachdem bisher die externen Vorgaben und einzelnen Maßnahmen betrachtet wurden, geht es nun um die interne Organisation der Sicherheit im Unternehmen. Eine der Leitfragen dabei ist: Wie lässt sich die Vielzahl an Pflichten und Risiken so in betriebliche Prozesse integrieren, dass das Unternehmen jederzeit „sicher und legal“ aufgestellt ist? Hier kommen Konzepte wie Compliance-Management, Security Governance, Datenschutz-Organisation, Notfall- und Kontinuitätsmanagement sowie Audit-Systeme ins Spiel.

Compliance bedeutet Regelkonformität – also sicherzustellen, dass alle einschlägigen gesetzlichen und regulatorischen Vorgaben im Unternehmen eingehalten werden. Für die Unternehmenssicherheit heißt das: Ein Compliance-Management-System (CMS) muss auch Sicherheitsgesetze und -standards abdecken. Große Unternehmen richten hierzu oft eigene Compliance-Abteilungen ein oder benennen Compliance-Beauftragte, die mit Sicherheitsabteilung, Rechtsabteilung und Datenschutzbeauftragtem zusammenarbeiten.

• Rechtskataster: Übersicht aller für das Unternehmen relevanten Sicherheitsvorschriften (z. B. aus Kap. 2 dieser Arbeit). Dieses wird gepflegt, und Verantwortlichkeiten werden zugeordnet.

• Richtlinien und Policies: Interne Vorgabedokumente, die übersetzen, wie man die Gesetze einhält. Etwa eine Werkschutzordnung, IT-Security-Policy, Reiserichtlinie mit Sicherheitsaspekten, Datenschutzrichtlinie etc.

• Schulung und Sensibilisierung: Compliance funktioniert nur, wenn Mitarbeiter die Regeln kennen. Daher regelmäßig Schulungen zu Sicherheitsrichtlinien, z. B. IT-Sicherheitstrainings (Phishing), Datenschutz-Schulungen, Arbeitsschutzunterweisungen (Pflicht nach ArbSchG).

• Meldesystem: Mitarbeiter müssen Verstöße oder Sicherheitsvorfälle melden können (Stichwort Whistleblowing, wobei das Hinweisgeberschutzgesetz hier relevant wird). Ein offenes Meldeklima hilft, Probleme früh zu erkennen.

• Kultur: Das „Tone from the Top“ – das Management muss Sicherheit zur Priorität machen, sonst läuft Compliance ins Leere.

Rechtlich gewinnt Compliance an Bedeutung: In einigen Bereichen wird gesetzlich ein CMS verlangt (z. B. § 25a KWG für Banken = Risikomanagement inkl. Compliance-Funktion). Und in der Rechtsprechung (etwa BGH zur strafrechtlichen Unternehmensverantwortung) wird das Vorhandensein eines CMS als sanktionsmildernd gewertet. Auch Schünemann (2012) betonte, dass Compliance-Management zur Einhaltung aller normativen Vorgaben in Unternehmen essenziell ist.

Der Datenschutz ist ein Querschnittsbereich, der speziell organisiert sein muss: Nach Art. 37 DSGVO ist in vielen Fällen ein Datenschutzbeauftragter (DSB) zu bestellen (insbesondere bei großen Unternehmen oder besonderer Datenverarbeitung). Dieser überwacht die Einhaltung der DSGVO intern und berät die Verantwortlichen.

• Unternehmen müssen Datenschutz in alle sicherheitsrelevanten Prozesse integrieren („privacy by design“): Schon beim Entwurf von Sicherheitsmaßnahmen (z. B. Logfile-Überwachung in der IT) ist der Datenschutz mitzudenken und so zu gestalten, dass möglichst wenige personenbezogene Daten anfallen oder anonymisiert wird, wenn möglich. Der DSB führt darüber Protokoll, berät und schult Mitarbeiter zum richtigen Umgang mit personenbezogenen Daten (damit z.B. keine unzulässigen Listen geführt werden, keine Überwachungsmaßnahme ohne Rechtsgrundlage passiert).

• Wichtig ist zudem die Dokumentation: Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, aus dem hervorgeht, welche sicherheitsbezogenen Datenverarbeitungen stattfinden (z. B. „Videoüberwachung Eingangshalle: Zweck Objektschutz, Rechtsgrundlage Hausrecht/berechtigtes Interesse, Speicherdauer 72h, technisch und organisatorisch abgesichert…“). Diese Transparenz hilft intern und bei Außenprüfung.

Da Sicherheitsmaßnahmen oft heikle Daten beinhalten (Mitarbeiterüberwachung), ist die Zusammenarbeit zwischen Sicherheitsorganisation und Datenschutz der Schlüssel, um legale Lösungen zu finden. Manchmal kann man durch Pseudonymisierung Konflikte lösen (z. B. Auswertung von Zutrittslogs erst bei Vorfall, sonst pseudonym).

Fazit Datenschutz: Er ist kein Gegenpol zur Sicherheit, sondern Teil derselben. Nur ein rechtmäßig sicheres Unternehmen ist wirklich geschützt – andernfalls drohen innere Risiken durch behördliche Sanktionen und Vertrauensverlust.

Ein integraler Bestandteil der Sicherheitsorganisation ist die Notfallvorsorge: Die besten Präventionsmaßnahmen können nie 100% Sicherheit garantieren. Daher braucht es Pläne für den Umgang mit Notfällen und Krisen, um Schäden zu begrenzen und die Betriebsfähigkeit zu erhalten. Viele rechtliche Pflichten zielen in diese Richtung (z. B. Pflicht zu Notfallplänen in StörfallVO, regelmäßig Feueralarmübungen nach Arbeitsstättenrecht, Business Continuity in Finanzsektor).

• Notfallpläne: schriftliche Anweisungen für verschiedene Szenarien (Brand, Bombendrohung, IT-Ausfall, Pandemien, Produktkontamination, Kidnapping etc.). Darin enthalten: Alarmierungswege, Evakuierungsverfahren, Verantwortlichkeiten (Krisenstab).

• Krisenstab: Ein Team von Schlüsselpersonen (Geschäftsführung, Security, PR, IT, ggf. Behördenvertreter), das im Krisenfall zusammenkommt und Entscheidungen trifft. Vorab sollten Kommunikationswege, alternative Tagungsorte etc. festgelegt sein.

• Kontaktlisten: Aktuelle Listen von internen und externen Ansprechpartnern (Feuerwehr, Polizei, Notfall-Dienstleister, Psychologen, Behörden). Diese müssen datenschutzkonform gepflegt, aber im Notfall schnell zugänglich sein.

• Redundanzen und Backup: Technische Vorbereitung, z.B. Ausweichrechenzentrum, Notstromaggregate, Zweitstandorte, um Ausfälle zu kompensieren.

• Übungen und Tests: Regelmäßige Notfallübungen (Feueralarm-Drills, Krisenstabsübungen, IT-Notfalltests). Dies wird teils gesetzlich verlangt (z. B. Krankenhäuser müssen Katastrophenschutzübungen machen), aber auch ohne Vorschrift beste Praxis. Nach den Übungen: Auswertung und Verbesserungen (PDCA-Zyklus analog ISO 22301).

Rechtskonformität hier bedeutet, die vorgeschriebenen Elemente zu erfüllen (wer muss was haben) und dokumentieren. Beispiel: Nach ArbStättV sind Fluchtwegepläne auszuhängen und Mitarbeiter zu unterweisen – Compliance prüft, ob das überall gemacht wurde. Nach BSIG müssen KRITIS-Betreiber Notfallmaßnahmen für IT-Ausfälle haben – wird bei der Prüfung ans BSI vorgelegt.

Im Krisenfall selbst geht es darum, Haftungsrisiken durch richtiges Handeln zu minimieren: Z.B. Information der Behörden nicht vergessen (etwa Datenschutzbehörde binnen 72h bei Datenpanne, Umweltbehörde sofort bei Schadstoffaustritt), transparente Kommunikation aber ohne Schuldeingeständnisse, Betreuung von Opfern (Arbeitsschutzvorschrift: Nachbetreuung Verletzter organisieren). Eine gut geübte Organisation kann hier Fehler vermeiden, die sonst zu rechtlichen Folgen führen (z.B. wer trotz Evakuierungsbefehl von Feuerwehr weitermacht, riskiert strafrechtliche Konsequenzen).

Audits sind ein wesentliches Instrument, um die Wirksamkeit und Rechtskonformität der Sicherheitsorganisation sicherzustellen.

• Interne Audits: Ein unternehmensinternes Team (oder die interne Revision) prüft periodisch, ob Sicherheitsrichtlinien eingehalten werden, ob z.B. Zugangskontrollen funktionieren, ob Schulungen nachgewiesen sind, ob Maßnahmen aus Risikoanalysen umgesetzt wurden. Interne Auditberichte helfen dem Management, Schwachstellen früh zu sehen.

• Externe Audits/Zertifizierungen: Wie in Kap. 5 besprochen, kann das Unternehmen sich freiwillig zertifizieren lassen (ISO 27001, ISO 45001 etc.). Die Auditoren von außen schauen mit neutralem Blick und geben einerseits ein Zertifikat (bei Erfolg), andererseits oft wertvolle Empfehlungen. Solche Zertifikate dienen auch gegenüber Dritten als Nachweis – etwa gegenüber Geschäftspartnern oder bei behördlichen Anfragen. Manche Aufsichtsbehörden erkennen Zertifikate an: z. B. können Unternehmen nach Art. 42 DSGVO datenschutzsiegel anstreben, oder das BSI-Zertifikat nach Grundschutz kann als Erfüllungsnachweis gelten.

• Behördliche Inspektionen: Streng genommen auch Audits – Arbeitsschutzbehörde, Datenschutzprüfer, BSI-Kontrolle bei KRITIS. Diese sind nicht freiwillig, aber wenn man intern schon regelmäßige Audits macht, ist man auf solche Compliance-Prüfungen gut vorbereitet.

• Managementbewertung: In ISO-Standards gibt es das Top-Management-Review – d.h. die Führung muss sich berichten lassen, ob das Sicherheitsmanagement funktioniert. Das ist auch juristisch relevant: Die Unternehmensleitung kann sich nicht exkulpieren, wenn sie sich nie um Berichte gekümmert hat. Regelmäßige Vorstandsvorlagen zur Sicherheitslage, Vorfälle, Status der Maßnahmen sind daher empfehlenswert – sie belegen Sorgfalt.

• Kontinuierliche Verbesserung: Audit-Ergebnisse fließen in Korrekturmaßnahmen ein, neue Ziele werden gesetzt. Das entspricht dem Ideal eines „dynamischen Arbeitsschutzprozesses“ im ArbSchG und dem PDCA-Zyklus (Plan-Do-Check-Act) in Sicherheitsstandards. So bleibt die Organisation anpassungsfähig an Wandel (neue Technologien, neue Gefahren).

Eine rechtskonforme Sicherheitsorganisation beruht wesentlich auf Dokumentation und Nachweisbarkeit. In einem Gerichtsverfahren oder bei einer behördlichen Prüfung zählt oft: Haben Sie dokumentiert, dass Sie regelmäßig geprüft haben? Gibt es Protokolle? Was nicht dokumentiert ist, gilt als nicht getan. Diese „Papierarbeit“ mag lästig erscheinen, ist aber im Zweifel die Rettung vor Sanktionen. Sie zeigt: das Unternehmen hat systematisch gehandelt, nicht bloß ad hoc.

In der komplexen Sicherheitslandschaft ist eine Zusammenarbeit zwischen öffentlichem Sektor und privaten Unternehmen oft sinnvoll und notwendig. Keine Seite kann allein alle Herausforderungen stemmen. Deshalb haben sich verschiedene Kooperationsmodelle entwickelt, die ein vernetztes Vorgehen fördern. Auch Zertifizierungen spielen hier eine Rolle, weil sie Vertrauen zwischen den Akteuren schaffen (z. B. ein zertifizierter Sicherheitsdienst wird eher in eine Partnerschaft einbezogen).

• Sicherheitsforen Staat-Wirtschaft: In mehreren Bundesländern gibt es Allianzen für Sicherheit in der Wirtschaft (ASW), wo Unternehmen und Sicherheitsbehörden regelmäßig Informationen austauschen. Themen sind bspw. Wirtschaftskriminalität, Extremismusprävention, gemeinsame Übungen (z. B. Evakuierungsübungen mit Polizei/Feuerwehr in Industrieparks).

• Initiative Wirtschaftsschutz: Auf Bundesebene haben BMI, BfV, BKA, BSI zusammen mit Wirtschaftsverbänden ein Programm „Wirtschaftsschutz“ aufgelegt, um Unternehmen – v.a. Mittelstand – besser vor Spionage, Cyber und Sabotage zu schützen. Hier werden Leitfäden erstellt und schnelle Kommunikationskanäle im Fall von Großangriffen etabliert.

• Cyber-Allianzen: Das BSI betreibt die Allianz für Cyber-Sicherheit mit weit über tausend teilnehmenden Unternehmen, die sich gegenseitig informieren und von Expertenhinweisen profitieren. Auch gibt es sektorspezifische Informationsstellen (z. B. im Finanzsektor die FiNCIs – Financial Sector Computer Incident Exchange).

• Kooperation bei Veranstaltungen: Ein praktisches PPP sind gemeinsame Sicherheitskonzepte bei Großveranstaltungen: z.B. arbeiten Fußballvereine (privater Veranstalter) mit Polizei und Ordnungsamt eng zusammen, teils in gemeinsamen Einsatzleitungen. Auch bei Demonstrationen vor Unternehmen ist oft der unternehmenseigene Sicherheitsdienst in Absprache mit der Polizei tätig.

PPP hat auch kritische Aspekte: Rollentrennung Staat/Privat muss gewahrt bleiben, Grundrechte dürfen nicht „privatisiert“ ausgehöhlt werden (z. B. bewaffnete private auf öffentlichen Straßen sind heikel). Die meisten PPP-Modelle bleiben daher auf Informationsaustausch und Koordination beschränkt, exekutiv tätig wird im Ernstfall die Polizei.

Auch Private-Private-Partnerships sind erwähnenswert: Unternehmen arbeiten oft eng mit privaten Sicherheitsfirmen zusammen. Das erfordert vertragliche und organisatorische Klarheit: Wer darf was? (z. B. was der Werkschutz an Eingriffsbefugnissen hat – i.d.R. nur Jedermannsrechte wie Notwehr, vorläufige Festnahme bei auf frischer Tat ertappt, Hausrecht ausüben). Manche Unternehmen bilden Werkschutzgenossenschaften oder Nachbarschaften (etwa in Industriegebieten gemeinsamer Sicherheitsdienst für alle ansässigen Firmen).

Werksicherheitsdienste großer Konzerne tauschen sich in Verbänden aus (z. B. Arbeitskreis Werkschutz). Dies ist nicht staatlich, aber hilft, Standards zu harmonisieren und ggf. gegenüber Regulierern mit einer Stimme zu sprechen, wenn es um neue Auflagen geht.

Zertifizierungen wurden in Kap. 5 schon technisch behandelt.

• Ein Zertifikat (z.B. ISO 27001) eines Unternehmens kann Vertrauen schaffen bei Behörden, dass das Unternehmen bestimmte Sicherheitsanforderungen ernst nimmt. Möglicherweise verzichten Aufsichtsbehörden auf tiefe Prüfungen, wenn ein anerkanntes Zertifikat vorliegt – das ist zwar nicht garantiert, aber in der Praxis real (z. B. Datenschutzsiegel mindern die Wahrscheinlichkeit von Beschwerden).

• In Lieferbeziehungen fordern Unternehmen von ihren Zulieferern Zertifikate (z. B. ein Automobilhersteller verlangt TISAX-Zertifizierung von einem Zulieferer, damit dieser Zugang zu vertraulichen Entwicklungsdaten bekommt). So entsteht eine Kette von Vertrauensnachweisen entlang der Supply Chain.

• Personenzertifizierung: Auch Personen können zertifiziert sein (z. B. Certified Information Systems Security Professional – CISSP, oder geprüfte Werkschutzfachkraft). Solche Qualifikationen erleichtern es dem Arbeitgeber oder Auftraggeber, sich von der Kompetenz zu überzeugen.

Branchenzertifikate: Im Sicherheitsgewerbe gibt es seit einigen Jahren die DIN 77200, die private Sicherheitsdienste zertifizieren kann (Stufe 1–3 je nach Qualitätsniveau). Öffentliche Auftraggeber schreiben in Ausschreibungen oft vor, dass nur DIN 77200-zertifizierte Anbieter sich bewerben dürfen – ein indirektes PPP-Instrument, um Qualität hochzuhalten.

Ein neu aufkommender Trend sind freiwillige Verpflichtungen (Code of Conduct) in Bereichen, wo Gesetzgeber (noch) zurückhaltend sind. Z.B. Selbstverpflichtungen zur IT-Sicherheitskultur in der Wirtschaft. Das ist Soft Law und kann PPP-Charakter haben, wenn staatliche Stellen das moderieren.

Kooperation und Zertifizierung sind keine Selbstzwecke: Sie dienen dem Wissensgewinn (Bedrohungsinfos schnell austauschbar), der Ressourcenteilung (im Krisenfall hat man Ansprechpartner, bekommt Unterstützung) und der Standardisierung (gemeinsame Übungen, gleiche Sprache in Sicherheitskonzepten). Rechtlich bleiben die Verantwortlichkeiten aber getrennt: PPP-Abkommen entbinden kein Unternehmen von Pflicht oder Haftung. Sie sind eher „Hilfe zur Selbsthilfe“.

Es gibt einige formalisiere PPPs, z.B. in der Abwehr von Cybercrime (Verbund Cybercrime, wo Polizeien und Wirtschaftsvertreter zusammenarbeiten). Diese haben aber i.d.R. eine Vereinbarungsgrundlage (Memorandum of Understanding) statt harter Rechtsgrundlage.

Zertifikate haben ebenfalls keine gesetzliche Wirkung per se, außer wo Gesetz sie referenziert. Aber in Gerichtsverfahren können sie als Beweismittel fungieren: Ein Unternehmen mit Sicherheitszertifikat kann darlegen, dass es branchentypisch und nach Stand der Technik gehandelt hat – was zumindest Fahrlässigkeitsvorwürfe erschwert.

Insgesamt ist der Trend zu beobachten, dass sich Selbstregulierung der Wirtschaft im Sicherheitsbereich mit staatlicher Regulierung ergänzt. Regierungen setzen vermehrt auf Standards und Kooperation statt reinem Befehl-Gehorsam, weil man erkannt hat, dass die Agilität und Expertise der Privaten wichtig ist und starre Gesetze allein die sich rasch ändernden Sicherheitslagen (gerade Cyber) nicht abdecken können. Für Unternehmen bedeutet das aber auch Verantwortung: Sie müssen sich aktiv einbringen, Informationen teilen und natürlich sorgsam mit den gewonnenen Infos umgehen (z. B. sensible Lageberichte vertraulich behandeln, DSGVO auch bei Daten-Sharing in Allianz beachten).

Abschließend soll betrachtet werden, wie die Einhaltung der beschriebenen Vorschriften kontrolliert und durchgesetzt wird. Denn Normen sind nur so wirkungsvoll, wie ihre Durchsetzung es erlaubt. In der Unternehmenssicherheit erfolgt diese auf zweierlei Wegen: behördlich (präventiv oder repressiv) und gerichtlich (zivilrechtlich durch Betroffene oder strafrechtlich durch Staatsanwaltschaften).

Viele sicherheitsrelevante Pflichten werden durch zuständige Fachbehörden überwacht.

• Arbeitsschutz: Hier agieren die staatlichen Arbeitsschutzinspektoren. Sie können bei Verstößen Anordnungen erlassen, z. B. unsichere Betriebsteile schließen, Nachrüstungen verlangen, oder Bußgeldverfahren einleiten (gem. § 25 ArbSchG). In gravierenden Fällen (bei fortgesetztem Ignorieren) kann es an die Staatsanwaltschaft übergeben werden (§ 26 ArbSchG Straftatbestand). Praxis: Meist wird zunächst kooperativ auf Mängel hingewiesen, Unternehmen erhalten Fristen zur Beseitigung. Nur wenn nichts geschieht, droht ein Bußgeldbescheid.

• Datenschutz: Die Landesdatenschutzbehörden können bei Verstößen Verwarnungen aussprechen, konkrete Maßnahmen anordnen (z. B. Abschaltung einer unzulässigen Kamera, Löschung unrechtmäßig erhobener Daten) und empfindliche Bußgelder verhängen (bis in Millionenhöhe). Verfahren laufen oft so: nach Beschwerde oder Kontrollen wird dem Unternehmen Gelegenheit zur Stellungnahme gegeben; dann ergeht ein Verwaltungsakt (Anordnung/Bußgeld). Gegen Bußgelder kann man vorgehen (in DE per Einspruch, dann Gerichtsverfahren vor dem Amtsgericht).

• BSI/KRITIS: Das BSI kann bei KRITIS-Betreibern, die z.B. den Nachweis nach § 8a BSIG nicht erbringen, Bußgelder bis 2 Mio. € verhängen. Zudem – neu seit IT-SiG 2.0 – hat das BSI die Möglichkeit, Unternehmen als „Kritisch“ einzustufen oder Produkte zu verbieten, wenn Sicherheitsrisiken bestehen (siehe § 9c BSIG, sog. „Produktsicherheitswarnungen“). Es gab bereits Fälle, wo das BSI öffentlich vor unsicheren Produkten gewarnt hat. Behördlich durchgesetzt wird hier, indem das BSI bei Nichtbefolgung seiner Anordnungen Ordnungswidrigkeitenverfahren einleitet, die das Bundesamt für Justiz vollstreckt.

• Gewerbe-/Bewachungsrecht: Wenn ein Bewachungsunternehmen die Auflagen des § 34a GewO verletzt (z. B. unzuverlässiges Personal einsetzt), kann die Behörde die Erlaubnis entziehen. Für ein betroffenes Unternehmen hieße das: man verliert den Dienstleister oder muss internen Sicherheitsdienst neu strukturieren. Auch anderen Gewerbetreibenden kann bei krassen Sicherheitsmängeln (z. B. Brandschutz in Diskotheken) die Gewerbeerlaubnis entzogen oder suspendiert werden, bis Auflagen erfüllt sind.

• Bauaufsicht/Brandschutz: Bauaufsichtsbehörden können Nutzungsuntersagungen aussprechen, wenn z.B. Brandschutzauflagen missachtet werden. Es gab Fälle, wo Lagerhallen von Amts wegen versiegelt wurden, bis Brandschutztüren nachgerüstet waren. Solche Maßnahmen wirken oft härter als Bußgelder, weil sie den Geschäftsbetrieb direkt treffen.

• Unfallversicherung (BG): Die BG kann als „Quasi-Behörde“ bei schweren Verstößen den sog. UV-Sicherheitspreis (eine Art Zusatzbeitrag) erheben oder Betriebe aus der Prämiensystem-Förderung ausschließen. Die BG kann auch einen gefährlichen Betrieb stilllegen lassen, notfalls durch die staatliche Behörde per Amtshilfe (BG-Mitarbeiter haben keine hoheitliche Befugnis, aber in Zusammenarbeit mit Gewerbeaufsicht geht es).

Insgesamt setzen Behörden primär auf Prävention und Kooperation. Drakonische Strafen sind meist Ultima Ratio, kommen aber vor, insbesondere im Datenschutz (wo in den letzten Jahren hohe Bußgelder z.B. gegen internationale Konzerne verhängt wurden, was zeigt: man nimmt es ernst) und Umwelt/Arbeitsschutz (wenn Menschenleben gefährdet wurden).

• Zivilgerichte: Wenn z.B. ein Kunde auf dem Unternehmensgelände verunglückt, weil der Weg nicht gestreut war, kann er vor Zivilgericht Schadensersatz und Schmerzensgeld verlangen. Hier prüft das Gericht, ob eine Verkehrssicherungspflicht verletzt war. Gibt es Hinweise, dass das Unternehmen Pflichten vernachlässigt hat, wird es verurteilt (plus evtl. Mitverschulden des Kunden, je nach Fall). Ebenso könnten Nachbarn klagen, wenn unzureichende Sicherheit zu Immissionen führte (z.B. Giftwolke durch Betriebsunfall). Ein wachsendes Feld ist Datenschutz-Zivilklagen: Mitarbeiter oder Kunden könnten auf immateriellen Schadenersatz klagen, wenn z.B. ihre Daten durch mangelnde IT-Sicherheit abhanden kamen oder sie unrechtmäßig überwacht wurden. Diese DSGVO-Schadensersatzklagen (Art. 82) werden häufiger und zwingen Unternehmen, sich vor Gericht zu verantworten – zusätzlich zum behördlichen Verfahren.

• Arbeitsgerichte: Mitarbeiter, vertreten ggf. durch Betriebsrat oder Gewerkschaft, können bestimmte Sicherheitsmaßnahmen vor dem Arbeitsgericht angreifen. Etwa kann der Betriebsrat per einstweiliger Verfügung den Stopp einer eingeführten Videoüberwachung erzwingen, falls mitbestimmungspflichtig und ohne Zustimmung installiert. Oder ein Arbeitnehmer klagt auf Unterlassung einer Maßnahme, die sein Persönlichkeitsrecht verletzt (z.B. GPS-Überwachung des Dienstwagens). Arbeitsgerichte wägen dann zwischen Direktionsrecht/Unternehmensinteresse und Mitarbeiterrecht. Die Rechtsprechung hat z.B. oft entschieden, dass anlasslose Dauerüberwachung unzulässig ist; solche Urteile zwingen Firmen dann, die Maßnahmen zu ändern oder einzustellen.

• Verwaltungsgerichte: Gegen behördliche Anordnungen (Arbeitsschutzverfügungen, Datenschutzanordnungen) können Unternehmen klagen. Da geht es dann um Rechtmäßigkeit der Auflage. Z.B. wehren sich einige Unternehmen gegen DSGVO-Bußgelder vor Gericht – mit teils Erfolg, wenn Verfahrensfehler vorlagen oder die Auslegung strittig ist. Unternehmen mit starkem Sicherheitsinteresse könnten auch gegen eine Untersagungsverfügung klagen, die ihnen bestimmte Überwachungsmethoden verbietet – allerdings selten, weil die Rechtslage meist klar ist.

• Strafgerichte: In Falle von Unfällen oder Schäden ermitteln Staatsanwaltschaften. Wenn Anklage erhoben wird, entscheidet ein Strafgericht über die Schuld von Verantwortlichen (Geschäftsführer, Sicherheitsingenieur etc.). Medienwirksam waren Fälle wie der Einsturz der Eislaufhalle Bad Reichenhall 2006 (Anklage gegen Verantwortliche wegen Fahrlässigkeit – teils Verurteilungen), oder Arbeitsunfälle in Fabriken. Strafverfahren sind für Unternehmen rufschädigend, selbst wenn am Ende Freispruch steht.

• Spezialfall Zivilrecht und Standards: Oft spielen Standards in Gerichtsfällen eine Rolle als Referenz. War z.B. eine Einbruchmeldeanlage nach VdS-Standard installiert? Dann könnte die Firma argumentieren, sie hat alles getan, was Stand der Technik war – wenn trotzdem ein Einbruch gelang, evtl. kein Verschulden. Oder: War ein Arbeitnehmer verletzt, aber das Unternehmen kann nachweisen, dass es alle BG-Vorschriften eingehalten hat, alle Unterweisungen gemacht hat – dann spricht das gegen Fahrlässigkeit.

• Gerichtliche Auseinandersetzungen im Sicherheitsbereich sind auch Impulsgeber für Änderungen: Urteile des Bundesarbeitsgerichts zur Zulässigkeit von Datenschutz in der Videoüberwachung haben faktisch die Praxis vorgegeben, bevor der Gesetzgeber BDSG angepasst hat. Ebenso prägen BGH-Urteile zu Verkehrssicherung (etwa Schneeräumpflichten: nicht rund um die Uhr, aber bis 7 Uhr morgens gewerbliche Wege räumen) den Maßstab.

Weil heute viele Unternehmen global tätig sind, sei erwähnt: internationale Konzerne müssen auch ausländische Sicherheitsvorschriften beachten (z. B. US OSHA-Standards in eigenen US-Niederlassungen, oder extraterritoriale Wirkung mancher US-Gesetze, z. B. Sarbanes-Oxley Act fordern Risikomanagement weltweit).

• Versicherungen schließlich haben noch eine gewisse Durchsetzungsrolle: Sie fordern bestimmte Sicherungen (z. B. Alarmanlage, Wachdienst) als Vertragsbedingung. Hält man sich nicht daran und es passiert was, kann Versicherungsleistung verweigert werden. So erzwingen sie privatrechtlich Sicherheitsniveau.

• Resümee Durchsetzung: Die besten Regeln nützen nichts ohne wirksame Kontrolle. In Deutschland ist diese Kontrolle in vielen Händen – ein Nebeneinander von Aufsichtsbehörden, BG, Gerichten, Versicheren. Dies kann komplex sein, aber verhindert Einseitigkeit. Für Unternehmen bedeutet es: Sie müssen auf verschiedenen Ebenen gewappnet sein – intern durch Compliance (um gar nicht erst negativ aufzufallen), im Umgang mit Behörden kooperativ (um strenge Maßnahmen ggf. abzuwenden oder abzumildern) und im Streitfall durch gute Dokumentation und Rechtsbeistand. Letztlich bietet ein funktionierendes Rechtsdurchsetzungssystem auch Vorteile: Es schafft Anreize zur Investition in Sicherheit, da die Kosten unsicher zu sein, sonst als Sanktionen oder Haftung auf einen zurückfallen. Diese betriebswirtschaftliche Logik sollte Entscheidern bewusst sein, damit sie Sicherheitsausgaben nicht nur als Kosten sehen, sondern als Mittel, teurere Rechtsfolgen zu vermeiden – ganz abgesehen vom Schutz von Leib und Leben, der ethisch im Vordergrund stehen sollte.

• Reinhard Rupprecht (2023) – Zunehmende Regulierung und ihre Auswirkung auf die Unternehmenssicherheit. GIT Sicherheit, 13.06.2023. (Analyse der wachsenden Regulierungsdichte im Sicherheitsbereich)

• Industrie- und Handelskammer Leipzig (o.J.) – Das Themenfeld "Sicherheit in der Wirtschaft". IHK-Webseite, abgerufen 2025. (Definition und Bedeutung der Unternehmenssicherheit als Wettbewerbsfaktor)

• Verwaltungs-Berufsgenossenschaft VBG (2025) – Pflichten für Unternehmer – Verantwortung des Unternehmens und rechtliche Grundlagen. VBG-Webportal Arbeitsschutz. (Überblick über die Pflichten des Unternehmers im Arbeits- und Gesundheitsschutz)

• Rödl & Partner (2014) – Betreiberverantwortung – allen ein Begriff, nur nicht immer der Gleiche…. Fachaufsatz online, 03.02.2014. (Erläuterung des Begriffs Betreiberverantwortung und Verkehrssicherungspflichten, rechtliche Einordnung)

• Thomas Waetke (2024) – Beauftragung und Delegation befreit nicht (immer) von der Verantwortung. Eventfaq-Blog, 22.01.2024. (Praxisnahe Darstellung der Delegation von Verkehrssicherungspflichten und Überwachungspflichten bei Veranstaltungen, übertragbar auf Unternehmen)

• Wolfgang B. Schünemann (2012) – Rechtliche Grundlagen der Unternehmenssicherheit. In: Stober/Olschok/Gundel/Buhl (Hrsg.), Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit, Stuttgart 2012, S. 915 ff. (Fundamentale Abhandlung der für die Unternehmenssicherheit einschlägigen Rechtsgrundlagen; hier zitiert nach Zusammenfassung in anderer Quelle)

• IHK Pfalz (o.J.) – Arbeitsschutzgesetz – Rechtliche Grundlagen. IHK-Webseite, Nr. 4056308. (Beschreibung Sinn und Zweck des ArbSchG und seiner Verordnungen)

• IG Metall (o.J.) – Videoüberwachung am Arbeitsplatz – Ratgeber. IG Metall Service, abrufbar online. (FAQ-Format zu zulässiger und unzulässiger Videoüberwachung im Betrieb, Mitbestimmung, Speicherfristen etc.)

• Dr. Datenschutz (Blog) – Videoüberwachung am Arbeitsplatz: Das erlaubt der Datenschutz. Fachbeitrag vom 21.02.2023. (Juristische Bewertung der Videoüberwachung nach DSGVO/BDSG und Arbeitsrecht)

• Kanzlei Herfurtner (Blog) – Background-Check Bewerber: Was ist als Arbeitgeber erlaubt?. 2023. (Übersicht über zulässige und unzulässige Hintergrunderhebungen bei Bewerbern unter DSGVO/BDSG)

• BSI – Bundesamt f. Sicherheit in der Informationstechnik (2021) – Rechtsgrundlagen (für KRITIS und IT-Sicherheit). BSI-Webseite, Stand 2021. (Erläuterung BSIG, IT-SiG 1.0 und 2.0, KRITIS-Verordnung)

• ISiCO Datenschutz GmbH (2024) – Neue Regelungen für Ihr ISMS: ... Blogbeitrag 17.07.2024. (Zusammenfassung NIS2-Richtlinie, DORA und weiterer neuer EU-Vorgaben für die IT-Sicherheit, mit Empfehlung ISMS einzuführen)

• Senatsverwaltung Berlin (o.J.) – Rechtsinformationen zum Thema Sicherheit und Gesundheitsschutz bei der Arbeit. Berlin.de, Abschnitt Arbeitsschutz/Service. (Enthält Übersicht Rechtshierarchie, Normen, DGUV etc., Pyramidenbild)

• Gesetze und Verordnungen (Auswahl): Grundgesetz (Art. 2, 14); Bürgerliches Gesetzbuch (§ 823 BGB); Strafgesetzbuch (§§ 222, 229, 303b StGB u.a.); BSI-Gesetz (BSIG, i.d.F. IT-SiG 2.0); DSGVO (insb. Art. 5, 32, 35, 82); BDSG (insb. §§ 4, 26); Arbeitsschutzgesetz (ArbSchG); Betriebssicherheitsverordnung (BetrSichV); Polizeigesetze der Länder (z. B. PAG Bayern, PolG NRW, ASOG Berlin); Sicherheitsüberprüfungsgesetz (SÜG); Zivilschutz- und Katastrophenhilfegesetz (ZSKG) + LandesKatSG; Gewerbeordnung (§ 34a GewO + Bewachungsverordnung); Luftsicherheitsgesetz (LuftSiG); Arbeitssicherheitsgesetz (ASiG); Geschäftsgeheimnisgesetz (GeschGehG); NIS2-Richtlinie (EU) 2022/2555; Digital Operational Resilience Act (EU) 2022/2554; Störfall-Verordnung (12. BImSchV) etc. (Primärquellen der genannten Gesetze).

• DIN-/ISO-Normen (Hinweise): DIN 77200 (Sicherheitsdienstleistungen – Anforderungen); ISO/IEC 27001:2017 (Information Security Management); ISO 22301:2019 (Business Continuity); ISO 45001:2018 (Occupational H&S); ISO 31000:2018 (Risk Management Guidelines); DIN EN 1627:2011 (Einbruchhemmung Bauteile); VDI-Richtlinie MM Security (Beispiel für VDI-Empfehlungen in Sicherheit).

(Die vorgenannten Quellen wurden im Text zitiert und dienen der Vertiefung. Gesetzestexte sind im Bundesgesetzblatt bzw. bei „Gesetze-im-Internet“ verfügbar. Normen können bei Beuth Verlag bezogen werden. Weitere Literatur: etwa Schink/Wolff, Handbuch Werkschutz und Sicherheitstechnik; Bräutigam, Unternehmenssicherheit und Compliance, etc.)

(Tabelle: Nicht erschöpfend – dient der zusammenfassenden Übersicht der in dieser Schrift erläuterten Kernvorschriften.)

• Compliance-Officer (koordinierend für Rechtskonformität, berichtet GF)

• Sicherheitsmanager / Werkschutzleiter (operativ verantwortlich für physische Sicherheit, Notfallplanung)

• IT-Sicherheitsbeauftragter (CISO) – zuständig für Cyber/Datensicherheit

• Datenschutzbeauftragter – überwacht datenschutzgerechte Umsetzung der Maßnahmen

• Fachkraft für Arbeitssicherheit & Betriebsarzt – zuständig für Arbeitsschutz und Gesundheitsschutz

• Werkschutz-Personal / Sicherheitsdienst (vor Ort Überwachung, Zutritt, Kontrollgänge)

• Notfallteam/Krisenstab (Querschnitt aus o.g. Funktionen, tritt bei Bedarf zusammen)

• Interne Revision (prüft Einhaltung, führt Audits)

• Betriebsrat (hat Mitbestimmungsrechte bei kollektiven Sicherheitsmaßnahmen, arbeitet mit Management zusammen in paritätischen Ausschüssen, z.B. Arbeitsschutzausschuss)

(Organigramm ist je nach Unternehmensgröße anzupassen; entscheidend ist klare Aufgaben- und Pflichtendelegation gemäß rechtl. Vorgaben.)