Das US-Department für Homeland Security verlangt, dass Perimeterabsicherungen um Produktionsstätten sieben Fuß hoch sein müssen. Dass diese auch gegen Unterkriechen zu sichern sind, sollte auch erwähnt werden...
Security Compliance
Von der Regelkonformität mit Sicherheitsgesetzen
Von Dirk Fleischer
Kaum sind die Schüsse in Paris verhallt, dringt neben der unsinnigen Frage nach dem Einsatz der Streitkräfte im Innern, der Ruf nach zusätzlichen Sicherheitsgesetzen in die Öffentlichkeit. Nach den Anschlägen auf Einrichtungen der chemischen Industrie im Sommer diesen Jahres war zu bemerken, wie die Behörden die bereits geltenden gesetzlichen Regelungen zur Sicherheit an derartigen Produktionsstandorten kritischer hinterfragten und mit engerem Maßstab auditierten, als es noch vor den Terrorakten der Fall war. Die aktuellen Ereignisse lassen erwarten, dass die Unternehmen erneut mit weitergehenden Sicherheitsanforderungen konfrontiert werden.
Dabei sind die gesetzlichen Vorgaben mit denen sich Unternehmen bereits heute im In- und Ausland um die Standort- und Transportkettensicherheit bemühen müssen vielfältig. Hierbei kommen sowohl obligatorische Regelungen zur Anwendung die nicht zur Disposition des Unternehmens stehen, als auch fakultative, bei denen Unternehmen im Rahmen einer Selbstverpflichtung zusätzliche Sicherheitsmaßnahmen treffen können. Zur ersten Gruppe zählt insbesondere das Bewachungs-, Störfall-, Sabotageschutz-, Geheimschutz- und IT-Sicherheitsrecht. Zur zweiten Gruppe das Transportkettensicherheitsrecht und Unternehmerpflichten im Zusammenhang mit der Zertifizierung von Sicherheitsmaßnahmen. Über allem steht als Klammer die Pflicht des Unternehmers, die Konformität mit gesetzlichen Normen sicherzustellen und den Wert des eigenen Unternehmens vor Schädigung durch kriminelle Akte zu bewahren.
Diese kurze Abhandlung kann nur einen kleinen Einblick in die hoch komplexe und spannende Materie geben. Spezielle Regelungen, die z.B. für Luftfahrtunternehmen oder Flughafenbetreiber gelten, können ebenso wie spezielle Regelungen für den öffentlichen Personenverkehr, die Lebensmittelindustrie oder Betreiber tatsächlicher kritischer Infrastrukturen nicht in extenso dargestellt werden.
Bewachungsrecht
Kern des Bewachungsrechts ist vor allem das Recht für das Sicherheitsgewerbe, also für die Erbringung gewerblicher und damit erlaubnispflichtiger Sicherheitsdienstleistungen. Jedermann und jede juristische Person, die dies entweder als Unternehmen oder als Mitarbeiter tun möchte, muss dabei definierte Voraussetzungen erfüllen. Diese reichen von der individuellen Zuverlässigkeit, über die Qualifikation (Sachkunde oder Unterrichtung) bis hin zu Versicherungspflichten. Regelungen, die mit der deutschen Gewerbeordnung und der Bewachungsordnung vergleichbar sind, finden sich im Übrigen in zahlreichen sogenannte Private Security Acts anderer Staaten. In der Praxis ist mir kaum noch ein Land bekannt, in dem der Einsatz privater Sicherheitsdienstleister nicht an mindestens dieselben Standards gebunden ist wie in der Bundesrepublik Deutschland. Hier kommen sowohl bundesgesetzliche, als auch lokale/kommunale Regelungen in Frage.
Problematisch ist mitunter bereits die Frage, ob es sich bei der in Rede stehenden Tätigkeit tatsächlich um Bewachungstätigkeit handelt. Ist dies der Fall, handelt es sich um eine erlaubnispflichtige Tätigkeit, die den Anforderungen der Gewerbeordnung entsprechen muss. § 34a Gewerbeordnung versteht als genehmigungspflichtigen Sicherheitsdienstleister jedermann, der gewerbsmäßig Leben oder Eigentum fremder Personen bewacht. So nennt das Gesetz als Regelfälle die Streife im öffentlichen Raum, den Kaufhausdetektiv oder auch den Türsteher (wohlgemerkt nur den, der auf „fremdes“ Publikum achtet, nicht den, der bei einer Diskothek angestellt ist und sich um die „eigenen“ Kunden kümmert). Wie groß die Schnittmengen zwischen bewachender und ordnender Tätigkeit sein können, kann man sich am einfachsten verdeutlichen, wenn man vor seinem geistigen Auge auf die Ordner im Fußballstadion oder an den Feiermeilen rund um das Brandenburger Tor oder sog. Fahrkartenkontrolleure im ÖPNV schaut. Handelt es sich hierbei tatsächlich um „aktive Obhut“, wie es die einschlägige Rechtsvorschrift fordert?
Aus Sicht der Unternehmen ist es wichtig, sich der Anforderungen und zahlreichen Einzelheiten bis hin zur Qualität von Dienstanweisungen – so muss diese in jedem Fall den Hinweis zur Abgrenzung des Rechts der privaten Sicherheitskräfte von den Rechten der Polizeivollzugsbeamten enthalten – bewusst zu sein, die mit dem Einsatz von Sicherheitsunternehmen verbunden sind. Grund hierfür sind neben Reputationsfragen beim Fehlverhalten von beauftragten Sicherheitskräften auch simple Schadensersatzpflichten, wenn zum Beispiel der eingesetzte Sicherheitsdienst als sogenannter Verrichtungsgehilfe einen Schaden verursacht und der Auftraggeber es unterlassen hat, den Dienstleister sorgsam auszuwählen, klar anzuweisen und regelmäßig zu kontrollieren (vgl. Exkulpationsmöglichkeiten nach § 831 Bürgerliches Gesetzbuch). Im Übrigen könnte die unsachgemäße Beauftragung eine Beihilfe zu einer Ordnungswidrigkeit nach § 115 des Ordnungswidrigkeitengesetzes darstellen.
Standortsicherheit
In Deutschland gibt es zahlreiche branchenspezifische Regelungen, die einen unmittelbaren Einfluss auf die Maßnahmen der unternehmerischen Gefahrenvorsorge haben. Im Bereich potenziell kritischer Infrastrukturen gibt es unter anderem das Störfallrecht, das Unternehmen verpflichtet, Vorkehrungen an sicherheitsrelevanten Stellen zu treffen. Diese Stellen sind so abzusichern, dass es außerordentlich krimineller Energie bedarf, um Störfälle zu verursachen, die zu einer erheblichen Beeinträchtigung der öffentlichen Sicherheit oder Ordnung führen könnten.
Der Ursprung der Regelung hat weniger einen Security, als eher einen Safety-Hintergrund. Das heißt, dass die Regelungen primär dazu bestimmt waren, Störfälle zu reduzieren, die nicht aus einem kriminellen Akt herrühren, sondern eher aus betrieblichen Abläufen und Fehlbedienungen. In der Praxis ist festzustellen, dass die Regelungen zur betrieblichen Sicherheit zunehmend auch herangezogen werden, wenn es darum geht, Betriebsanlagen vor kriminellen und terroristischen Attacken zu schützen. So prüfen die französischen Behörden gegenwärtig die Sicherung von Produktionsstandorten auf der Grundlage der europäischen Basel Richtlinien gegen eben solche Ereignisse.
Der vorbeugende personelle Sabotageschutz geht noch einen Schritt weiter. Bei diesem sind nicht nur die Stellen an sich abzusichern, sondern auch die Mitarbeiter zu erfassen und zu überprüfen, die an hoch sensiblen Stellen arbeiten. Die Sabotageschutzbeauftragten der Unternehmen werden gegenüber den Behörden benannt und sind persönlich für die Einhaltung der Regelungen, vor allem des Sicherheitsüberprüfungsgesetztes, verantwortlich. Diese Norm steht vor einer erheblichen Veränderung. Ob die diesbezügliche Initiative des Wirtschaftsministeriums vor dem Hintergrund der aktuellen Ereignisse hilfreich ist, kann diskutiert werden.
Auch aus anderen Staaten sind vergleichbare Regelungen bekannt. Diese ergeben sich entweder aus Gesetzen, Verwaltungsvorschriften oder aus Betriebsgenehmigungen. So definiert in China das „Internal Safety and Security Regulations for Enterprises and Institutions“ den Umfang für Sicherheitsmaßnahmen an Standorten recht dezidiert. In den USA hat beispielsweise das Department for Homeland Security in Form der „Risk Based Performance Standard Guidance“ Vorgaben für die Standortsicherheit gemacht. Aus anderen Staaten wissen wir, dass Betriebsgenehmigungen für Produktionsanlagen oftmals auch detaillierte Vorgaben bis hin zur Höhe eines Zaunes oder zum Einsatz von Sicherheitskräften machen.
Transportkettensicherheit
Spätestens seit den versuchten Anschlägen mit den sog. Paketbomben aus dem Jemen im Oktober 2010 hat die Bedeutung und der Umfang verpflichtender oder individuell privilegierender Regelungen zur Absicherung der weltweiten Logistikketten beachtlich zugenommen. Kern der Regelungen sind Vorgaben zur unternehmerischen Gefahrenvorsorge gegen das kriminelle Einwirken auf logistische Prozesse. Sinnbildlich soll hierdurch eine gegen kriminelle Akte geschlossene Kette der verschiedenen Glieder der sogenannten Transportkette verstanden werden, bei der die einzelnen Elemente miteinander verzahnt sind.
Wesentliche Elemente der meisten Regelungen ist ein kontinuierliches Risk-Assessment der Security Risiken, die physische Trennung beziehungsweise Kontrolle von Bereichen, in denen Ver- oder Umladeprozesse stattfinden, sowie der Einsatz zuverlässiger und qualifizierter Mitarbeiter in diesem Bereich. Sämtliche Beteiligte haben sich gegenseitig der Einhaltung dieser Standards in einer konstitutiven Sicherheitserklärung zu versichern.
Obligatorische Regelungen wie zum Beispiel Art. 1.10 des ADR Abkommens verlangen von allen Teilen einer solchen Lieferkette, wie beim Umgang mit hoch gefährlichen Stoffen, einen Sicherungsplan, in dem alle Sicherheitsvorkehrungen erfasst werden. Fakultative Regelungen wie der U.S. amerikanische CPTAP Status verlangt die Einhaltung eines definierten Vorgehens – vom sogenannten „7 Point Inspection“ bis zur Anzahl der erforderlichen Fotos während des Beladevorgangs –, um zollrechtliche Privilegien durch entsprechende Sicherheitsmaßnahmen in Anspruch nehmen zu können.
IT Sicherheit
Der neuste Renner der Politik gegen kriminelle Aktivitäten ist das IT-Sicherheitsgesetz. Dieses sogenannte Artikelgesetz, mit dem sieben weitere Gesetze geändert werden, wird allzu oft auf die Formel „Melden macht frei!“ reduziert. Tatsächlich schafft es nicht nur für den Betreiber kritischer Infrastrukturen erhebliche Rechtspflichten. So ändert das IT-Sicherheitsgesetz unter anderem auch das Telemediengesetz. Resultat dieser Änderung ist der Umstand, dass alle Anbieter elektronischer Informations- und Kommunikationsdienste Vorkehrungen dafür treffen müssen, dass diese gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, geschützt sind. Da der Begriff der Informations- und Kommunikationsdienste relativ weit gefasst ist, richtet sich diese Vorschrift grundsätzlich an alle, die Informationen für Dritte, beispielsweise im Internet, zur Verfügung stellen.
Umfassender sind die Pflichten, die Betreiber kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes haben. Diese müssen nicht nur Vorkommnisse melden und hierfür Kommunikationsstellen vorhalten, sondern zukünftig die Schutzvorkehrungen an einem behördlich genehmigten, branchenüblichen Standard ausrichten. Mit Interesse bleibt abzuwarten, ob es bei den sieben Meldungen pro Jahr bleibt, mit denen die Bundesregierung pro Jahr rechnet, oder ob es doch zu den von der KPMG erwarteten 18.000 Meldungen kommt. In jedem Fall wird es für die Unternehmen und den Staat einer gewissen Eingewöhnungszeit und Lernkurve bedürfen, bis der erwartete Sicherheitsmehrwert eintritt. Dass das deutsche IT-Sicherheitsgesetz als Schablone für europäische und andere staatliche Regelungen gelten soll, sei hier der Vollständigkeit halber erwähnt.
Und nun?
Schon heute obliegen den Unternehmen bereits zahlreiche, explizite Sicherheitspflichten. Es ist den Unternehmern schon lange nicht mehr zur Disposition gestellt, ob sie für die Sicherheit des ihnen anvertrauten oder gehörenden Vermögens vor kriminellen Aktivitäten sorgen müssen oder nicht. Problematisch empfinde ich den Umstand, dass die hohe Regelungsdichte wenig transparent und nur schwer recherchierbar ist. Oft fehlen auch den betrieblich Verantwortlichen im In- und vor allem im Ausland die notwendigen Kenntnisse über die einschlägigen Rechtspflichten. Compliance Organisationen haben dieses Feld bisher meines Erachtens nur in wenigen Fällen als Handlungserfordernis erkannt. Um die Unternehmen vor Schäden durch Regelverletzungen zu bewahren, wird es zukünftig noch mehr von Nöten sein, einen umfassenden Überblick über Art und Umfang der Regelungen zu haben. Meine Hoffnung liegt hierbei auch in der Forschung und Lehre. Neben den „Praktikern“ könnten sich auch die Sicherheitsmanagement und Compliance Studiengänge diesem Feld intensiver zuwenden.
Aus persönlichem Interesse bin ich an einer inhaltlichen Diskussion zum Aspekt der Security-Compliance sehr interessiert. Ich würde mich freuen, wenn Sie mir, liebe Leserin und lieber Leser, Ihre Erfahrungen und Einschätzungen mitteilen könnten. Gerne können Sie mich auch auf relevante Vorschriften aufmerksam machen, die es gegebenenfalls noch nicht zu großer Bekanntheit gebracht haben. Ich bin gespannt auf den Austausch mit Ihnen.
Bitte schreiben Sie an: