Governance im Verteidigungsfall
Das Sicherheitsverständnis deutscher Organisationen ist geprägt von der Friedenszeit. Doch wie NATO-Generalsekretär Mark Rutte am 13. Januar 2025 vor dem Europäischen Parlament zur Sicherheitslage in Europa erklärte, „sind wir nicht im Krieg, aber auch nicht im Frieden.“[1] Daher haben Politiker bereits die Feststellung des Spannungsfalls (Art. 80a GG) gefordert.[2] Der formale Frieden darf daher nicht über die tatsächliche Bedrohungslage hinwegtäuschen.
Die dahinterstehende hybride Kriegsführung auch gegen Deutschland noch unterhalb der Schwelle des bewaffneten Angriffs und damit des Verteidigungsfalls (Art. 115a GG) erfordert, dass auch deutsche zivile Organisationen ihre individuelle Sicherheitsarchitektur an die Sicherheitslage anpassen. In diesem Rahmen wird hier von „organisationeller Härtung“ gesprochen.
Der Begriff der organisationellen Härtung meint die lagebedingt gebotene Transformation von gewohnter Shareholder-Value-Orientierung und Effizienz hin zu Resilienz und Fähigkeit zur Mitwirkung im Rahmen der Gesamtverteidigung[3] (militärische und zivile Verteidigung). Dabei wird bewusst der neue Begriff „organisationell“ gewählt, weil er nicht nur die Organisation und deren interne Organisation, sondern auch die Organisation zur Interaktion mit anderen Akteuren erfasst.
Sicherheitsvorsorge ist nach Nr. 2.3.2 Abs. 2 RRGV nicht nur eine gesamtstaatliche, sondern auch eine gesamtgesellschaftliche Aufgabe, die im Sinne der Integrierten Sicherheit explizit die Mitwirkung der Wirtschaft erfordert, um die gesamtstaatliche und gesamtgesellschaftliche Resilienz zu stärken. Daraus ergibt sich insbesondere, dass sich die organisationelle Härtung nicht in sog. Corporate Security erschöpft. Diese ist lediglich ein Bestandteil dieser Sicherheitsarchitektur und -vorsorge. Organisationelle Härtung ist „Chefsache“ und kann aufgrund ihrer Wesentlichkeit nicht anderen Rollen unterhalb der Geschäftsleitung überlassen werden.
Verantwortung der Geschäftsleitung
Vorstandsmitglieder sind gemäß § 93 Abs. 1 AktG dem Wohle der Aktiengesellschaft verpflichtet und haben die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Dies schließt die Antizipation von Entwicklungen zum Nachteil der Gesellschaft ein, die wiederum Lagen wie den möglichen Verteidigungsfall einschließen. Ignorieren sie die sich in den alltäglichen Medienberichten wiederfindenden Entwicklungen und unterlassen Schutzmaßnahmen, haften sie im Schadensfalle persönlich. Dies gilt entsprechend für Geschäftsführer einer Gesellschaft mit beschränkter Haftung gemäß § 43 Abs. 1 GmbHG.
Der Vorstand hat nach § 91 Abs. 2 AktG geeignete Maßnahmen zu treffen, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Nach § 1 des Gesetzes über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen (StaRUG) haben die Geschäftsleiter einer rechtsfähigen Organisation fortlaufend über Entwicklungen, die ihren Fortbestand gefährden können, zu wachen. Erkennen sie solche Entwicklungen, haben sie geeignete Gegenmaßnahmen zu ergreifen und den Überwachungsorganen unverzüglich Bericht zu erstatten. Berühren die zu ergreifenden Maßnahmen die Zuständigkeiten anderer Organe, haben die Geschäftsleiter unverzüglich auf deren Befassung hinzuwirken. In der aktuellen Lage mit hybrider Kriegsführung gegen deutsche Organisationen, welche Politiker bereits den Spannungsfall diskutieren lässt und in der der Verteidigungsfall möglich ist, ist eine reale, bestandsgefährdende Entwicklung nicht mehr von der Hand zu weisen.
Nicht zuletzt implizieren Gesetze wie das Zivilschutz- und Katastrophenhilfegesetz (ZSKG) Mitwirkungserfordernisse, welche die Funktionsfähigkeit von Organisationen voraussetzen.
Um diese Funktionsfähigkeit sichern, Überwachung leisten und Maßnahmen wirksam umsetzen zu können, braucht es entsprechende Voraussetzungen, Ressourcen und Strukturen. Die organisationelle Härtung macht dies möglich.
Der Chief Resilience & Civil Defence Officer (CRCDO)
Als Grundvoraussetzung organisationeller Härtung wird eine diese Verantwortung übernehmende Geschäftsleitung (d.h. Vorstand oder Geschäftsführer) angesehen.
Wie sich im Katastrophenschutz gezeigt hat, ist dieses Mandat als reine Nebensache jedoch nicht ausreichend. Gerade die notwendige Interoperabilität und zeitkritische Zusammenarbeit mit organisationsinternen aber auch mit externen Akteuren wie z.B. der Bundeswehr erfordern stete Aufmerksamkeit, Handlungs- und Führungsfähigkeit. Während Aufgaben delegiert werden können, bleibt die damit verbundene Verantwortung bei der Geschäftsleitung. Wer als Mitglied der Geschäftsleitung diese stete Aufmerksamkeit, Handlungs- und Führungsfähigkeit nicht leisten kann, um die Gesellschaft in eigener Verantwortung zu führen (vgl. § 76 Abs. 1 AktG), kann diese Verantwortung nicht übernehmen.
Diese umfassende Verantwortung kann und darf kein CSO (Chief Security Officer) oder z.B. CISO (Chief Information Security Officer) tragen. Ihre Aufgaben, die sie regelmäßig als (leitende) Angestellte unterhalb der Geschäftsleitungsebene wahrnehmen, sind erkennbar eng umrissen, um technische Sicherheit und Funktionalität herzustellen. Sie dürfen nicht über die Umsetzung z.B. von behördlichen Anordnungen nach § 5 Abs. 4 ZSKG oder Maßnahmen nach dem Wirtschaftssicherstellungsgesetz (WiSiG) entscheiden. Die hier beschriebene organisationelle Härtung kann und darf daher nicht in die Hände von CSO, CISO u.a. gelegt werden. Die verantwortliche Geschäftsleitung darf jedoch einzelne Aufgaben an sie delegieren. Sie muss sogar den Stellenwert der Sicherheit des Unternehmens im Sinne des Wirtschaftsschutzes (BMI, BfV) und IT-Grundschutzes (BSI) überprüfen und im Sinne einer organisationellen Härtung ggf. höher einstufen. Notfall-, Krisen- und Business Continuity Management (BCM) etc. sind unverzichtbar, aber auch nicht abschließend.
Eine klare Aufgabenverteilung bei funktionierender Führungsstruktur ist zur Erreichung der steten Aufmerksamkeit, Handlungs- und Führungsfähigkeit unter fortgesetzter Rechtspflichterfüllung wesentlich. Darin liegt noch keine Silobildung oder Verantwortungsverwirrung. Erst eine ungenügende Umsetzung führt dazu.
Aufgaben und Anforderungsprofil des CRCDO
Die Bezeichnung des Chief Resilience & Defence Officer beinhaltet die zwei wesentlichen Funktionen als Ausdruck einer besonderen Verantwortung und Sorgfaltspflicht:
1. Her- und Sicherstellung von Resilienz in der formellen Friedenszeit;
2. Sicherstellung von Handlungs- und Führungsfähigkeit im Ernst-, v.a. im Verteidigungsfall mit der Aufgabe und dem Ziel der zivilen Verteidigung.
Resilienz bedeutet dabei insbesondere, dass der Bestand der Organisation nicht durch eigenes Verhalten unmittelbar gefährdet ist, etwa durch unzureichende Schutzvorkehrungen gegen Cyberangriffe als Teil der hybriden Kriegsführung oder durch Unvorbereitetheit im Zeitpunkt der Feststellung des Verteidigungsfalls.
Für den CRCDO mit der ausgewiesenen Aufgabe der zivilen Verteidigung ist der Beitrag zur Gesamtverteidigung gesellschaftlicher Auftrag im doppelten Sinne, insbesondere im Verteidigungsfall: Er verteidigt die Organisation und befähigt sie, ihre zivile Pflicht im Rahmen der Gesamtverteidigung für die Gesellschaft zu erfüllen. D.h. auch, er vertritt die Organisation in anderen Organisationen oder Kooperationen zur Koordinierung der Versorgung der Bevölkerung und dient als Ansprechpartner für die Bundeswehr und sonstige Behörden, um schnelle Entscheidungen zu ermöglichen. Unter Umständen auch solche, welche der Vorstellung von „Corporate Security“ zuwiderlaufen, die jedoch Bestand der Organisation und Versorgung durch sie sichern. Entsprechende Befugnisse hat der CRCDO bereits in der formellen Friedenszeit geklärt.
Für diese rechtliche, personelle und strukturelle Härtung benötigt der CRCDO nicht nur Vollmacht und Entscheidungsbefugnis, sondern v.a. auch steten Überblick bei hoher kognitiver Bandbreite und Flexibilität, Härte in der Sache bei gleichzeitiger Menschlichkeit sowie Führungsqualitäten mit intaktem Selbstwertgefühl, diplomatischem Geschick und Entscheidungsfreude ohne Angst vor Risiko oder Fehlern. Risikoaversion und Abneigung gegenüber vollständigen Lagebildern widersprechen dabei der Rolle des CRCDO.
Laden Sie das Executive Briefing hier als PDF herunter:
[1] NATO, Remarks by NATO Secretary General Mark Rutte at the European Parliament’s Committee on Foreign Affairs and Subcommittee on Security and Defence, 13. Januar 2025, https://www.nato.int/en/news-and-events/events/transcripts/2025/01/13/remarks.
[2] Handelsblatt, CDU-Politiker fordert Ausrufung des Spannungsfalls, 29. September 2025, https://www.handelsblatt.com/politik/deutschland/drohnenvorfaelle-cdu-politiker-fordert-ausrufung-des-spannungsfalls/100158720.html.
[3] Vgl. Nr. 1 Abs. 2 der Rahmenrichtlinien für die Gesamtverteidigung (RRGV 2024).