VS-NFD Rollen & Verantwortlichkeiten definieren

Der Geheimschutzbeauftragte ist die von der Unternehmensleitung bestellte Person, die für die Umsetzung aller Maßnahmen des materiellen und personellen Geheimschutzes verantwortlich ist. Zu seinen Aufgaben gehören die Überwachung der VS-Registratur, die Durchführung von Sicherheitsbelehrungen, die Einleitung von Sicherheitsüberprüfungen (SÜ1, SÜ2, SÜ3) bei Mitarbeitern, die Kontrolle der ordnungsgemäßen Aufbewahrung von Verschlusssachen und die Beratung der Geschäftsleitung in allen Fragen des Geheimschutzes. Die Rolle ist vergleichbar mit der funktionalen Sonderstellung eines Datenschutzbeauftragten.

Der Sicherheitsbevollmächtigte ist das leitende Mitglied eines Unternehmens, das gegenüber dem Bundesministerium für Wirtschaft und Klimaschutz (BMWi) als Ansprechpartner für alle Belange des Geheimschutzes fungiert. Er verfügt über geheimschutzrechtliche Weisungsbefugnis im Unternehmen. Der Geheimschutzbeauftragte hingegen setzt die operativen Maßnahmen im Tagesgeschäft um. In kleineren Unternehmen können beide Rollen in einer Person zusammenfallen, in größeren Organisationen ist eine Trennung empfehlenswert.

Geheimschutzbetreute Unternehmen müssen mindestens folgende Rollen besetzen: den Sicherheitsbevollmächtigten als obersten Verantwortlichen, den Geheimschutzbeauftragten für die operative Umsetzung, den VS-Verwalter für die Registratur und Verwaltung von Verschlusssachen sowie bei Bedarf einen Sabotageschutzbeauftragten. Bei Unternehmen, die ausschließlich VS-NfD-Material verarbeiten, ist keine förmliche Geheimschutzbetreuung erforderlich, jedoch muss eine verantwortliche Person benannt werden, die die Einhaltung des VS-NfD-Merkblatts sicherstellt.

Eine VS-NfD Rollenmatrix ordnet jeder Funktion im Geheimschutz klare Aufgaben, Befugnisse und Berichtswege zu. Die Matrix umfasst typischerweise die Dimensionen Rolle (wer), Aufgabe (was), Befugnis (darf), Eskalation (wohin) und Vertretung (durch wen). Sie sollte mit der bestehenden Compliance-Governance verknüpft werden, um Doppelstrukturen zu vermeiden. ADVISORI erstellt diese Rollenmatrizen auf Basis der VSA-Anforderungen und Ihrer spezifischen Unternehmensstruktur.

Für VS-NfD eingestufte Informationen ist grundsätzlich keine Sicherheitsüberprüfung der Mitarbeiter erforderlich. Diese müssen lediglich zur Einhaltung der VS-NfD-Richtlinien verpflichtet werden. Ab der Einstufung VS-Vertraulich ist eine einfache Sicherheitsüberprüfung (SÜ1) notwendig, für VS-Geheim eine erweiterte (SÜ2) und für Streng Geheim eine erweiterte mit Sicherheitsermittlungen (SÜ3). Der Geheimschutzbeauftragte initiiert und überwacht diese Verfahren in Zusammenarbeit mit dem Bundesamt für Verfassungsschutz.

ADVISORI führt zunächst eine Organisationsanalyse durch, um bestehende Strukturen und Verantwortlichkeiten zu erfassen. Darauf aufbauend erstellen wir eine VSA-konforme Rollenmatrix, definieren Stellenbeschreibungen für Geheimschutzbeauftragten, Sicherheitsbevollmächtigten und VS-Verwalter, entwickeln Schulungskonzepte und implementieren Governance-Prozesse. Unsere Berater verfügen über Erfahrung mit dem BMWi-Geheimschutzverfahren und unterstützen auch bei der Vorbereitung auf Geheimschutzbetreuungsverfahren.

Unklare Verantwortlichkeiten im Geheimschutz können zu schwerwiegenden Konsequenzen führen: Verstöße gegen die Verschlusssachenanweisung können den Entzug der Geheimschutzbetreuung nach sich ziehen, wodurch das Unternehmen keine staatlichen Verschlusssachen-Aufträge mehr bearbeiten darf. Operative Risiken umfassen unkontrollierten Zugang zu Verschlusssachen, fehlende Belehrungsnachweise bei Prüfungen, verspätete Sicherheitsüberprüfungen und mangelnde Nachvollziehbarkeit bei der VS-Registratur. Dies kann auch strafrechtliche Konsequenzen nach § 353b StGB (Verletzung des Dienstgeheimnisses) haben.