Das Fachmagazin der DQS für Managementsysteme und impulsstarke AuditsNr. I 2017

PHONONET & POET – Men in the Middle

Mit Beiträgen zu den

aktuellen Revisionen

Bei PHONONET in Hamburg verantwortet der Geschäftsbereich „eBusiness“ das zentrale EDI-Kommunikationssystem für einen Groß-teil der Lieferanten und Händler der Entertain-ment-Branche in Deutschland. eBusiness dient dabei als flexible Schnittstelle zur Abwicklung aller EDI-Prozesse (elektronischer Datenaus-tausch) der Lieferkette wie Bestellung, Lie-feravis (Ankündigung der Warenlieferung) und weiterer Formate inkl. Rechnungsstellung und verbindet so die Vertriebe der Branche mit den Handelspartnern. Dabei werden alle Prozesse der Lieferkette über ein Clearing-Center (Clea-ring = zentrale Abwicklung) abgebildet.

Die angeschlossenen Unternehmen kön-nen bewährte Technik-Standards oder indivi-duell angepasste Formate zur Kommunikation mit dem Clearing-Center verwenden. eBusi-ness bietet mit dem EDI-Server neben AS2 und SFTP eine einfache Windows-Software zum Austausch aller Nachrichten. AS2 (Applicability Statement 2) dient dem sicheren Nachrichten-transport über das Internet. SFTP (Secure File Transfer Protocol) ermöglicht einen sicheren, authentifizierten und verschlüsselten Daten-transfer zwischen zwei Geräten, auch wenn der Übertragungsweg nicht sicher ist.

Die Abläufe im DetailDie Artikelstammdaten der Industriefirmen gelangen zunächst durch das Clearing-Center in den eMediaCatalog und werden dort gesam-

melt und geprüft. eBusiness stellt den Händ-lern täglich die validierten Änderungen bereit, z. B. Preisanpassungen, Neuanmeldungen oder Streichungen von nicht mehr lieferbaren Arti-keln. Zentrale Kontrollprozesse sorgen dabei für höchste Datenqualität und -vollständigkeit. So hat PHONONET z. B. Standards für Künst-ler-Schreibweisen etabliert, Genre-Codelisten erarbeitet und Schnittstellen zur Anlieferung von Content (Coverbilder, Sounds) geschaffen. Die regelkonforme Anlieferung wird im eMedia-Catalog automatisiert geprüft.

Bestellungen des Handels werden ohne Medienbruch an das Rechenzentrum und von dort auf die Systeme der Lieferanten übertra-gen. Für jede Sendung an den Handel kann ein Lieferavis als EDI-Datei oder PDF erzeugt werden. Retouren-Anträge können erstellt und wie Bestellaufträge über das Clearing-Center an die jeweilige Industriefirma gesendet wer-den. Die Industrie übermittelt im Gegenzug ihre Retouren-Freigaben. eBusiness erzeugt daraus auf Wunsch einen Retouren-Aufkleber für die Retouren-Sendung des Händlers. Der Austausch von elektronischen Rechnungen auf EDI-Basis zwischen Industrie und Handel ver-einfacht die Prozesse im Rechnungswesen. Es ermöglicht eBusiness-Kunden, elektronische Rechnungen revisionssicher zu archivieren und auf Papierrechnungen zu verzichten. Das eIn-voicing erfüllt für den Rechnungsempfänger alle Voraussetzungen für den Vorsteuerabzug.

Ob Thomas Alva Edison ahnte, wohin seine Erfindung des Phonographen einst führen würde? Die Grundlage für die Entwicklung von Massentonträgern und damit für die Musikindustrie hat er jedenfalls geschaffen. Deutschland ist heute weltweit der viertgrößte Markt für Musikkonserven. Um die Abläufe entlang der Lieferkette zu automatisieren, effizienter zu gestalten und so die Kosten zu senken, hat der Bundesverband Musikindustrie 1991 die Toch-ter PHONONET als gemeinsamen Branchendienstleister gegründet. Für die Sicherheit der Daten im zentralen EDI-Kommunikationssystem setzt man gemeinsam mit Dienstleister POET auf ein ISMS gemäß ISO/IEC 27001.

Das Managementsystem aus Sicht des DQS-Auditors

DQS-Auditor Martin Röper

Die aufeinander abgestimm-ten Managementsysteme von POET und PHONONET sind ein gutes Beispiel für ein durchgän-giges, unternehmensübergrei-fendes Informationssicherungs-konzept. Neben dem regelmä-ßigen Austausch von Informati-onen führt PHONONET interne Audits bei POET durch, um sich von der Effektivität der Maß-nahmen zu Verfügbarkeit und Schutz der Kundendaten zu überzeugen. Solche Kundenau-dits, interne Audits und Anregun-gen aus DQS-Audits hinterfragen die Wirksamkeit von Regelungen und Maßnahmen und sind die Grundlage für stetige Verbesse-rung im Sinne der Informations-sicherheit. Insofern kommt dem externen Auditor auch die Rolle zu, jenseits der Begutachtung von Normkonformität durch kriti-sche Diskussionen und Anregun-gen Möglichkeiten zur Verbesse-rung der Effektivität und Effizi-enz aufzuzeigen.

martin.roeper@dqs.de

Mit Sicherheit ein gutes Team

2

Nr. II 2014Nr. I 2017

Zusätzlich wird eine einheitliche Datenschnitt-stelle für alle Bestands- und Verkaufsdaten bereitgehalten.

Zu Partner POET ausgelagerter ProzessDas Clearing ist bei eBusiness als ausgelager-ter Prozess organisiert. Als Partner zur Umset-zung dient den Hamburgern seit vielen Jahren das Unternehmen POET in Karlsruhe, das für das Hosting eine skalierbare, leistungsstarke Serverinfrastruktur betreibt. POET ist u. a. spe-zialisiert auf E-Commerce-Lösungen auf Basis von SAP Hybris, E-Procurement (elektronische Kataloge) mit der Eigenentwicklung X-Solu-tions, Individualentwicklung für die öffentliche Verwaltung sowie Hosting und Managed Ser-

vices für diese Lösungen. Der IT-Dienstleister bedient dabei eine Vielzahl namhafter Kunden aus Industrie und Wirtschaft.

Die an das Clearing-System angeschlos-senen eBusiness-Kunden legen seit jeher größten Wert auf die Verfügbarkeit der Daten. Bedeutend sind dazu die klassischen ISMS-Kriterien Vertraulichkeit, Authentizität und Integrität bei der Übertragung der Daten und ihrer Archivierung. Neben diesen Anforderun-gen sind die systematische Verbesserung der Prozesse, das nachweislich hohe Sicherheits-niveau, eine neutrale Begutachtung und die damit verbundene Akzeptanz im Markt weitere Gründe, schon früh die Implementierung und Zertifizierung eines ISMS anzustreben.

Drei Fragen an Lars Dammann und Klaus KühnerDiD: Meine Herren, die DQS ist seit 12 Jahren Ihr Zertifizierungspartner. Wie sind Sie zu uns gekommen? Dammann: Die Geschäftsleitungen von POET und PHONONET unternahmen 2005 gemein-same Anstrengungen zur Einführung eines ISMS, damals noch nach BS 7799-2. Dazu holten wir ein externes Beratungsunternehmen mit ins Boot, das uns unter anderem die DQS als Zertifizierungspartner empfahl.

Kühner: Die Zertifizierung des ISMS war für beide Firmen auch strategisch bedeutsam. Zur Harmonisierung beider Lösungen wurden der Aufbau des ISMS sowie die Wahl des Zertifizie-rers gemeinsam durchgeführt. Das Renommee und die internationale Ausrichtung der DQS waren dabei für uns entscheidend.

Seit zwei Jahren haben Sie einen neuen Auditor. Was ändert sich bei einem solchen Wechsel?Dammann: Jeder Auditor bringt unterschiedliche Kenntnisse und Erfahrungen ein. Ein Wech-sel kann – gerade bei relativ hohem ISMS-Reifegrad – helfen, neue Punkte zu beleuchten und eingefahrene Lösungen kritisch zu hinterfragen.

Welche konkreten Impulse hat unser Auditor, Martin Röper, den beiden ISMS geben können?Kühner: Herrn Röpers pragmatischer und perspektivischer Ansatz half uns beispielsweise, unseren Aufwand für die ISMS-Dokumentation zu verringern, das Reporting aufs Wesentliche zu reduzieren und die Erhebung und Auswertung von KPIs zu verbessern. Letztendlich waren es Denkanstöße zur Optimierung einiger Prozesse.

Verantwortlich für die Managementsysteme

Gründung 1991 1993Mitarbeiter 14 120

Branche

IT-Dienstleistungen für Entertainment-

industrie und -handel

IT-Dienstleistungen & Hosting (E-Commerce,

E-Procurement, Öffentl. Verwaltung,

SAP-Partner)

Clearing- Volumen

ca. 4,5 Mio. Doku-mente mit> 2,4 Mrd. Positionen

–

Sound- und Video-Content

> 300 Mio. ausge-spielte Streams –

n Bestellungen 1.728.248

n Lieferavise 1.005.123

n Rechnungen 792.099

n Bestellbestätigungen 361.151

n Retouren-Management 273.352

n Bestands-/Abverkaufsdatenreport 207.613

n Sonstige 115.267Gesamtergebnis 4.482.853

Lars Dammann (r.) Leiter eBusiness, PHONONET

Bis 2007 Studium Systematische Musikwissenschaften, Rechts-wissenschaften und Psycholo-gie, Universität Hamburg, Ma-gister Artium. Seit 2007 bei PHONONET, zunächst im GB Musik Promotion Network. Seit 2013 verantwortlich für den GB eBusiness sowie Management-beauftragter ISMS. Zusatzqua-lifikation Projektmanagement (GPM Level D).

Klaus Kühner (l.) Senior IT-Administrator, POET

Dipl. Informatiker (FH), Senior IT-Administrator, Erfahrung in E-Commerce-Projekten, Firmenzu-gehörigkeit seit Anfang der 90er-Jahre, seit 2005 Aufbau und Betrieb des ISMS für die POET GmbH als Informationssicher-heitsverantwortlicher. Projektlei-tung E-Connect für E-Commerce-Branchenprojekte.

www.phononet.de www.poet.de

3DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2017

6 %

5 %

3 %

38 %

22 %

18 %

8 %

S e r v i c e a n d I n n o va t i o n i n E n t e r t a i n m e n t

PHONONET

Streng abgesichert: Der Serverraum bei POET

Das Regelwerk: ISO/IEC 27001:2013

Die international anerkannte Norm für Informationssicher-heit ISO/IEC 27001, derzeit gül-tig in der Version 2013, ist die geeignete Grundlage zur Imple-mentierung eines Informations-sicherheits-Managementsys-tems (ISMS). Der Fokus liegt auf der Beurteilung und Behand-lung von Risiken für die informa-tionsverarbeitenden Prozesse. Die Erfüllung der bewusst all-gemein gehaltenen Anforderun-gen muss die spezifische Situ-ation einer Organisation wider-spiegeln.

Reinhard Witzke DQS Programm-Manager ISMS

Mit der Revision von 2013 wurde das Thema Informationssicher-heit als bedeutendes strategi-sches Element hervorgehoben und avancierte damit endgül-tig zur „Chefsache“. Eine Zerti-fizierung gemäß ISO/IEC 27001 schafft Vertrauen gegenüber den interessierten Parteien und dient als Nachweis der fortlau-fenden Verbesserung des Infor-mationssicherheitsniveaus, der Reduzierung von Risiken und der Einhaltung relevanter Compli-ance-Forderungen.

Ihre Fragen beantwortet gern: reinhard.witzke@dqs.de

„Das ISMS als Teil unserer Unternehmenskultur

hilft uns, Prozesse und Kundenzufriedenheit stetig

zu verbessern.“Dietmar Schlumbohm

Geschäftsführer PHONONET GmbH

DQS-Vorschlag: ISMS aufeinander abstimmenDer damalige DQS-Auditor schlug wegen der engen Zusammenarbeit der Partner vor, beide ISMS aufeinander abzustimmen. Hier stand besonders die Überlegung im Vordergrund, gemeinsame Schnittstellen zu sichern und Synergien zu nutzen. Dabei gibt eBusiness als Kunde, wie bei ausgelagerten Prozessen not-wendig, dem Dienstleister POET die Anforderun-gen an dessen ISMS vor. Deren Erfüllung wird anhand regelmäßiger Lieferantenaudits geprüft.

Um auch internationalen Kunden gerecht zu werden, hatte man zunächst die britische Norm für Informationssicherheit BS 7799-2:2002 gewählt und von der DQS im Jahr 2005 zertifizieren lassen. Für die anforderungsge-rechte Implementierung des ISMS samt Vor-bereitung auf die Zertifizierung haben beide Unternehmen auf den Dienstleister Secorvo zurückgegriffen.

Noch im selben Jahr wurde die Norm ISO/IEC 27001 veröffentlicht, die aus BS 7799-2 hervorging und diese auch ablöste. Im Zug der ersten Rezertifizierung 2008 haben eBusiness und POET ihre Systeme auf die neue Norm für Informationssicherheit umgestellt. Bei Ausla-gerungen zu einem Partner bzw. in eine Cloud, z. B. bei der Archivierung von Rechnungsver-kehr, müssen auch finanzrechtliche Aspekte beachtet werden (Stichwort: dienstleistungs-bezogenes internes Kontrollsystem). Deshalb liegen zusätzlich Prüfberichte gemäß ISAE 3402 (durch PwC) vor. Der Standard geht jedoch, anders als Vorgänger SAS 70, über Kontrollen des Financial-Reportings hinaus und überschneidet sich teilweise mit Anforde-rungen von ISO/IEC 27001.

Umstellung war kein SelbstläuferWährend eBusiness und POET den Schritt von BS 7799-2:2002 auf ISO/IEC 27001:2005 als relativ einfach erachteten, war die Umstellung auf ISO/IEC 27001:2013 teilweise mühsam: Es gab damals weder eine deutsche Überset-zung der Norm noch ein alt/neu-Mapping zu den Anforderungen; zudem war das Regelwerk praktisch das erste unter den bekannten ISO-Managementsystemnormen mit der neuen Grundstruktur (HLS). Lars Dammann erinnert sich an sein Vorgehen, die bei seiner Über-nahme 2013 bereits bestehende, vom frühe-ren Auditor durchaus geforderte, umfangreiche Dokumentation beizubehalten – aus „Angst“, vom Auditor Nebenabweichungen zu erhalten, wenn etwas nicht gesagt wird.

Er war dann aber im Zug des Umstiegs vom heutigen DQS-Auditor auf eine der Unter-nehmensgröße und dem Sachverhalt ange-messenere Form der nun als „dokumentierte Information“ bezeichneten Anforderung hinge-wiesen worden. Dammann hat das gern ange-nommen und sämtliche Texte radikal abge-speckt – u. a. Kennzahlen einfach als Zahlen statt als Text dargestellt und so den Umfang z. B. des Managementreports von einst zwanzig auf heute nur noch zwei Seiten reduziert. Der Effekt: Die Bereitschaft der Mitarbeiter, den Inhalt tatsächlich auch zu lesen und damit Ver-änderungen leichter annehmen zu können, ist mit der Verschlankung deutlich gestiegen.

Zur sicheren Erfüllung neuer Anforderun-gen hat eBusiness damals mehrere Workshops durchgeführt. Einige der Anforderungen waren indes nicht zuletzt wegen der überschauba-ren Unternehmensgrößen für die Partner eher leicht zu erfüllen, z. B. jene aus Kapitel 5.1, in dem es um die Verantwortung der obersten Leitung geht. Beide Geschäftsführungen haben ihr ISMS von Anfang an unterstützt und bringen sich dabei intensiv ein, z. B. um gemeinsam nutzbares Wissen aufzubauen und zu erwei-tern. Flache Hierarchien und der übersichtlich strukturierte Geltungsbereich beider ISMS haben zudem das Verstehen des Kontextes der Organisation (Kap. 4.1) und die Ermittlung der interessierten Parteien (Kap. 4.2) erleichtert.

4

Nr. II 2014Nr. I 2017

„Das ISMS und unsere Expertise helfen uns, das Sicherheitsniveau

an die Bedürfnisse unserer Kunden anzupassen.“

Dr. J. Kreuzinger Mitglied der Geschäftsleitung

POET GmbH

Geschäftsbereiche außer-halb des ISMS-Scopes

Zugriffsrechte: Wer darf was?Ein wesentlicher Aspekt von ISO/IEC 27001 ist die Vertraulichkeit, Authentizität und Integri-tät der Kundendaten. Hier steht nicht zuletzt die Frage im Mittelpunkt: Wer darf was, und wie wird das umgesetzt? Obwohl oder gerade weil es bei eBusiness absolut klare Regeln für den Zugriff auf Daten oder für Schreibberech-tigungen gibt, kommt es – quasi systemimma-nent – hin und wieder zu operativen Hemm-nissen. Das kann bei Mitarbeitern zunächst Widerstände auslösen – wenn nämlich durch fehlende Berechtigungen bestimmte Arbeiten nur unter scheinbar erschwerten Bedingungen ausgeführt werden können. Lars Dammann setzt hier auf das klärende Gespräch und nutzt das regelmäßige „Mitarbeiter-Plenum“ bei PHONONET, um in lockerer Atmosphäre Bewusstsein und Verständnis für Sicher-heitsthemen zu schaffen. Eine vergleichbare Veranstaltung inklusive „Security Awareness Schulung“ hat auch POET eingeführt, hier im vierteljährlichen Turnus im Rahmen der „Mitar-beiterversammlung“.

Redundanz sichert VerfügbarkeitDie zentrale Kundenanforderung der durch-

gängigen Verfügbarkeit ihrer Daten wird vor allem durch Redundanz bei den Übertragungs-wegen sichergestellt. Die Wege der Daten zwi-schen Industrie und Handel über das Clearing-Center, in dem die Daten verarbeitet, verwaltet und gespeichert werden, wurden nicht nur als vertrauensbildende Maßnahme für die Kunden redundant angelegt. Das Vorgehen ist vor allem einem klassischen BCM-Scenario geschuldet: Fällt ein Weg aus welchen Gründen auch immer aus, ist die Verfügbarkeit, sind die einzelnen Abläufe weiterhin gesichert, die Lieferkette ist nicht unterbrochen.

Würde das System komplett ausfallen, wäre die Branche weitgehend lahmgelegt: Keine Ware für den Handel und in der Folge auch nicht für den Endkunden, um nur die direkteste Auswirkung zu nennen. Angesichts der Tatsache, dass eBusiness mit dem Clea-ring-Center ca. 95 % des hiesigen Marktes abdeckt und zudem als technischer Dienstleis-ter für die PHONONET-Landesgesellschaften in Österreich, der Schweiz und Benelux auch das dortige Branchen-Clearing betreibt, käme ein Total-Ausfall wirtschaftlich einem Desaster gleich.

AusblickAuch nach mehrjährigem Betrieb sind POET und PHONONET vom Konzept des Manage-mentsystems und der Zertifizierung durch eine externe Organisation überzeugt. „Die Akzep-tanz und Transparenz verschafft uns im laufen-den Betrieb inzwischen deutlich höheren Nut-zen als Aufwand“, so Klaus Kühner. Und Lars Dammann ergänzt: „Über die kommenden Auditperioden werden wir unsere „Tandem“-ISMS zunehmend aufeinander abstimmen, indem wir z. B. entsprechende Kontrollmecha-nismen weiter verbessern. Zudem werden wir die Dokumentation aufräumen. Und wir pla-nen, die Durchführung von Maßnahmen noch stärker toolbasiert zu verfolgen, um diesbezüg-lich bessere Reportmöglichkeiten zu haben.“

PHONONET – Services im Bereich Entertainment:

• eMediaCatalog: Produkt-informationen für Handel und Endkunden (seit 1998)

• musicline.de: frei zugängliche Musiksuchmaschine (seit 2001)

• MPN – Musik Promotion Network: Bemusterungs-Tool für Neuveröffentlichungen (seit 2003)

• DigiAS – Digitaler Artikelstamm: Schnittstelle zwischen Digitalvertrieben und Marktforschung (seit 2006)

• DSS – Digital Sales Service: Aufbereitung von Digital Sales Reports (seit 2010)

POET – E-Commerce, E-Procurement und öffentliche Verwaltung:

• E-Commerce: Vollintegrierte Online-Shops für B2B, B2C & B2B2C

• Marketing: Relevante, kontextbezogene Erlebnisse im richtigen Moment

• Service: Bester Service und individuelle Verkaufsberatung immer und überall

• Katalogplattformen: Beschaffungsprozesse vereinfachen und Automatisierung steigern

• Individuallösungen: Zuverlässige Verwaltungs-programme für hochkomplexe Daten

5DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2017

Das Reeperbahn Festival findet seit 2006 in Hamburg statt. Gestar-tet zunächst als Musikfestival, wurde es in den Folgejahren um Events und Ausstellungen anderer Kunstformen sowie um ein Kon-ferenzprogramm erweitert. Inzwischen ist es das größte Clubfes-tival Deutschlands und ein wichtiger Branchentreff der Entertain-ment- und Digitalwirtschaft. Zudem bietet das Festival insbeson-dere regionalen, aber auch internationalen Newcomern eine groß-artige Bühne. PHONONET ist überzeugt von der Wichtigkeit einer

starken, abwechslungsreichen und urbanen Kulturszene. Zur Unter-stützung bietet PHONONET regelmäßig Informationsveranstaltun-gen im Rahmen der Konferenzsessions an. Ziel ist es, interessier-ten Musikern, Labels und Vertrieben essentielles Branchenwissen zugänglich zu machen und somit zu helfen, organisatorische Hür-den zu minimieren.

Informationen: www.reeperbahnfestival.com

Aktiv für eine starke Kulturszene: Reeperbahn Festival

LEITG

EDAN

KEN

Liebe Leserin, lieber Leser, Industrie 4.0, Internet der Dinge, künstliche Intelligenz – man hört sie allenthalben, die Schlag-wörter, die gegenwärtig den Megatrend der Digitalisierung in Industrie und Wirtschaft kenn-zeichnen. Und das nicht ohne Grund. Während die Technik dahinter bereits munter voranschrei-tet und die flächendeckende Anwendung wohl nicht mehr allzu lange auf sich warten lassen wird, sind die gesetzlichen Rahmenbedingungen – u. a. zum Cyber-Schutz – dafür noch recht neu. Teilweise greifen diese auch erst nach einer gewissen Übergangszeit in der Zukunft. Dazu gehören u. a. das neue IT-Sicherheitsgesetz und das überarbeitete Bundesdatenschutzgesetz als Umsetzung der EU-Datenschutz-Grundverordnung.

Im Grunde geht es bei den neuen rechtlichen Anforderungen um die Funktionssicherheit von Prozessen, Organisationen und ganzen Infrastrukturen (KRITIS). Oberste Leitungen stehen nun in der Pflicht, diese neue, teils verschärfte Compliance in ihren Organisationen sicherzustel-len. Gefragt ist echte Prävention mithilfe geplanter organisatorischer und technischer Maßnah-men. Es geht also nicht um lediglich punktuelles Eingreifen oder Kosmetik, die an der Ober-fläche bleibt, sondern um nachhaltiges Implementieren geeigneter Strukturen in das Manage-mentsystem (PDCA-Zyklus).

Die Kernfragen zur IT-Sicherheit sind klipp und klar formuliert: Verfügbarkeit – wer hat zu was Zugang? Integrität – ist eine Information aktuell und stimmt sie? Vertraulichkeit – wer darf was wissen? Die IT-Sicherheit muss durch die Verzahnung innerhalb des Managementsystems in allen Kernprozessen gewährleistet sein.

Es ist an der Zeit: Wappnen Sie sich jetzt für die digitale Zukunft, zum Beispiel durch die Implementierung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001.

Ihre Christiana Rambow-Krummeck Leiterin Marketing. Service. Produktmanagement.

ISO 9001:2015 – Interessierte Parteien 8

ISO 14001:2015 – Betriebliche Planung und Steuerung 10

Compliance-Management senkt Haftungsrisiken 12

CSR – DQS Risk Assessment 14

DIN SPEC 91020 – BGM ist Win-win

16

INHALT Besser ist nicht immer gut.Was bedeutet der bedingungslose Verbesserungszwang?Eine andere Sichtweise.Das wenig hinterfragte Paradigma der bedingungslosen Verbesserung ist nicht immer sinnvoll. Das, was „gut“ heißen darf, erfüllt ja bereits die relevanten Anforderun-gen. Für das Bessere gilt die analoge Aussage nur unter bestimmten Bedingungen.

Nr. II 2014Nr. I 2017

6

STAN

DPUN

KTUm das zu erläutern, will ich im ersten Schritt aus der seriösen Erkenntnismethode der Extremheuristik eine Satire ableiten. Die Satire betrifft die Fälle, in denen wir bedin-gungslos zur Verbesserung aufgefordert werden, egal wie gut oder schlecht der derzei-tige Status ist. Die Beispiele dafür sind zahlreich und verschiedenartig. Stellvertretend sei nur eines aus ISO 9001:2015 herangezogen, wo es im Abschnitt 10.3 „Fortlau-fende Verbesserung“ heißt: „Die Organisation muss die Eignung, Angemessenheit und Wirksamkeit ihres Qualitätsmanagementsystems fortlaufend verbessern.“ Das nehmen wir jetzt ernst und betrachten als eines der möglichen Maße für die Wirksamkeit des Qualitätsmanagementsystems den Grad der Kundenzufriedenheit, dessen Extremwerte 0 % und 100 % sein können. Wir gehen in die Firma A, die bisher nur unzufriedene Kunden, also eine Kundenzufriedenheit von 0 % hatte. Nun hat sie 99 % unzufriedene Kunden und somit die Kundenzufriedenheit auf 1 % gesteigert. Das ist eine Verbes-serung. Die erwähnte Anforderung der Norm ist erfüllt. Nun gehen wir in die Firma B. Diese hatte bisher ausschließlich zufriedene Kunden, also eine Kundenzufriedenheit von 100 %. Dieses wunderbare Ergebnis hat die Firma B unverändert fortgesetzt. Ein unverändertes Fortsetzen ist keine Verbesserung. Dementsprechend ist die erwähnte Anforderung der Norm nicht erfüllt. Damit endet die Satire.

Die vorzustellenden allgemeinen Thesen sind einfach:�� Das verpflichtende Leitparadigma muss der ausreichend gute Zustand sein. Dieser

kann verschiedene Facetten haben, z. B. eine Kundenzufriedenheit von mindestens X % oder die zutreffenden gesetzlichen und behördlichen Anforderungen. Er kann aber auch ein Gesamtbild sein, z. B. die Summe aller in ISO 9001:2015 aufgeführten relevanten Anforderungen, wenn sich eine Organisation in Bezug auf ihr Qualitätsmanagementsystem zur Einhaltung dieser Norm bekennt.�� Verbesserung über den ausreichend guten Zustand hinaus ist für die natürliche

und/oder juristische Person, um deren Handeln und/oder Ergebnisse es geht, als freiwillige Option immer offen, darf aber nicht verpflichtend sein.�� Verbesserung ist als Hilfsmittel sehr oft unverzichtbar, darf aber nicht

unkonditionierter Selbstzweck sein.�� Wenn der aktuelle Zustand nicht ausreichend gut ist, ist Verbesserung notwendig,

aber nicht immer hinreichend. Hinreichend ist sie nur, wenn sie zu dem vollständigen Erreichen des ausreichend guten Zustands führt.�� Wenn der aktuelle Zustand ausreichend gut ist, ist Verbesserung nicht notwendig

und kann auch unmöglich sein. In dem letztgenannten Fall kann die Gefahr bestehen, dass die Verbesserungsaktivitäten die Effizienz des gesamten Handelns verschlechtern, weil sie unnötigen Aufwand verursachen.

Zur Wortwahl ist noch ein Hinweis wichtig: Die Verbesserung kann in sehr unterschied-lichen Formen erscheinen und demzufolge auch mit verschiedenen Benennungen aus-gedrückt werden. Aus den wiederum zahlreichen und verschiedenartigen Beispielen folgt hier eine kleine Auswahl: Das Steigern, Vergrößern oder Erhöhen von etwas Nützli-chem oder das Vermindern, Verkleinern oder Absenken von etwas Schädlichem.

Das Vorstehende ist an keiner Stelle überraschend. Somit ist es bemerkenswert, dass trotzdem auch heute noch oft Anforderungen und / oder Bekenntnisse zu einem bedingungslosen Verbesserungsparadigma bestehen. Die Konsequenz daraus kann sehr viele Bereiche des Lebens betreffen und kann teils tiefgreifend sein, z. B. wenn wir im gesellschaftlichen Kontext fortgesetzt dem Drang zum Wachsen und Schnellerwer-den ausgesetzt sind.

Im Bereich der Managementsysteme kann die Lösung erfreulich einfach sein. Wir brauchen nur den überall relevanten Unterschied zwischen dem „Müssen“ und dem „Dür-fen“ umzusetzen. Das „Müssen“ bezeichnet eine Pflicht, und das „Dürfen“ bezeichnet ein Recht. Beispielsweise muss die oberste Leitung laut Abschnitt 9.3 „Management-

bewertung“ aus ISO 9001:2015 „… das Qualitätsmanagementsystem der Organi-sation in geplanten Abständen bewerten …“. Sie darf mehr Bewertungen, also außerplanmäßige, machen, muss aber nicht. Ein ganz anderer Bereich bringt die Botschaft fast schon sprichwörtlich: Der Wirt muss den Füllstand des Glases bis zum Eichstrich steigern. Weiter darf er fül-len, muss aber nicht.

In dem Sinn der oben vorgestellten Thesen schlage ich für das Management folgenden Grundsatz vor: „Die Organisa-tion muss ihr Managementsystem verbes-sern, wenn und soweit das zum Erreichen und/oder Erhalten des ausreichend guten Zustands notwendig ist. Weitere Verbes-serungen darf sie unter Beachtung von Nutzen und Aufwand vornehmen.“ Auch die ISO ermöglicht solche Denkfreiheit im eigentlichen Geiste von ISO 9001:2015, indem sie in Nr. 22 ihrer diesebezüglichen FAQs sagt: „… there are a number of ways in which an organization may improve.“, also auf Deutsch „… es gibt viele Wege der Verbesserung, die eine Organisation beschreiten darf“.

Wenn wir eine unnötig bürokratische Pflicht ablegen und durch ein Recht erset-zen, ist das eine Verbesserung, die wir gut gebrauchen können.

Klaus Graebig Autor zahlreicher Fachbücher. Vielfältige Erfahrungen, unter anderem vormals im DIN zuständig für ISO 9001 und Auditor der DQS.

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2017

7

FACH

MAG

AZIN

Viele Organisationen tun sich mit der Erfüllung dieser Anforderung nicht gerade leicht, was im ungünstigen Fall zu Nicht-konformitäten führen kann. Eine solche Situation ist jedoch vermeidbar, wenn an die Bestimmung der relevanten interes-sierten Parteien systematisch herange-gangen wird und zuverlässige Informatio-nen darüber vorliegen, was die neue Norm eigentlich genau fordert – und was nicht.

Wann ist eine interessierte Partei relevant?Relevant sind interessierte Parteien, die auf die oben genannte Fähigkeit einer Organisation eine Auswirkung haben oder haben können bzw. ihrerseits von der Organisation beeinflusst werden. Interes-sierte Parteien, die für fast alle Organi-sationen relevant sind, sind ihre Kunden (inklusive Endkunden), Mitarbeiter, Liefe-ranten, Partner, Eigentümer, Behörden und Verbände. Wenn eine Organisation sensible Themen behandelt, gehören ggf. auch die Öffentlichkeit sowie Presse und Medien dazu. Grundsätzlich sollten nicht zu viele interessierte Parteien definiert werden, sondern nur diejenigen, die für

ISO 9001:2015 – Interessierte Parteien Wissen Sie, mit wem Sie es zu tun haben? Eine Organisation muss laut ISO 9001:2015 die Fähigkeit besitzen, beständig Pro-dukte oder Dienstleistungen bereitzustellen, die sowohl Kundenanforderungen als auch gesetzliche und behördliche Anforderungen erfüllen. Kapitel 4.2 der neuen Norm fordert in diesem Zusammenhang, dass jede Organisation ihre relevanten inte-ressierten Parteien sowie deren Erfordernisse und Bedürfnisse bestimmen muss. Der Schwerpunkt liegt dabei auf Relevanz.

den Anwendungsbereich des Qualitätsma-nagementsystems der Organisation tat-sächlich von Bedeutung sind.

Wie umfangreich die Analyse der rele-vanten interessierten Parteien sein muss, legt die Norm nicht fest. Es empfiehlt sich jedoch, maximal zwei Kriterien zu nutzen: Zum einen den Grad der Bedeutung einer interessierten Partei für das Qualitäts-managementsystem der Organisation (in Bezug auf eine mögliche Einflussnahme), zum anderen mit welcher Häufigkeit die Organisation zu einer interessierten Partei in Kontakt tritt. Mit einem wichtigen Liefe-ranten wird es häufiger Kontakt geben als mit einem weniger wichtigen.

Ermittlung der konkreten interessierten Parteien und ihrer Anforderungen Zunächst definiert das Management der Organisation ihre relevanten interessier-ten Parteien. Dabei ist es ratsam, sowohl die Geschäftsführung als auch einzelne Fachabteilungen einzubinden. Wie das im Detail zu geschehen hat, ist der Organisa-tion überlassen. Damit eine Organisation mit den als relevant definierten interes-sierten Parteien angemessen umgehen

kann, müssen gemäß ISO 9001:2015 auch deren Anforderungen ermittelt wer-den. Dazu können zum Beispiel gemein-same Workshops durchgeführt werden. Auch ein ausgeprägtes Beziehungsma-nagement (Qualitätsmanagementgrund-satz nach ISO 9000) ist hilfreich.

Es muss jedoch bedacht werden, dass die Anforderungen der einzelnen interes-sierten Parteien zu Konflikten führen kön-nen. Was für die eine Partei von Vorteil ist, kann für die andere von Nachteil sein (Stichwort: Gewerkschaft vs. Aktionäre). Es gilt also genau abzuwägen, welche interessierten Parteien welche Relevanz für eine Organisation haben und welche Ansprüche wie zu gewichten sind.

Wie relevant ist eine interessierte Partei?Schließlich wird die Bedeutung der rele-vanten interessierten Parteien und ihrer Anforderungen an die Organisation in Bezug auf das Qualitätsmanagementsys-tem bestimmt und abgestuft. Das Ergebnis kann – falls es schriftlich festgehalten wird – z. B. anhand von Symbolen dargestellt werden. In diesem Zusammenhang soll noch einmal darauf hingewiesen werden,

Nr. II 2014Nr. I 2017

8

dass die Organisation ihre relevanten interessierten Parteien und deren Anfor-derungen an das Qualitätsma-nagementsystem zwar bestimmen, aber nicht unbedingt dokumentieren muss. Im Hinblick auf weitere Anforde-rungen der neuen Norm kann es jedoch sinnvoll sein, die ermittelten Informationen aufzuzeichnen. Dabei kommt es weniger auf die Art und Weise der Dokumentation an, sondern vielmehr auf die Nutzung der Ergebnisse für das Beziehungsmanage-ment.

Regelmäßige Überprüfung und Überwachung der interessierten Parteien Die Organisation muss die interessierten Parteien und ihre Anforderungen regelmä-ßig überwachen bzw. überprüfen, was z. B. anhand eines kontinuierlichen Dialogs geschehen kann. Die Ergebnisse werden als Input in die Managementbewertung eingebracht. Dort werden Maßnahmen zur Verbesserung der Beziehung mit den interessierten Parteien festgelegt, die dann noch auf den Weg gebracht werden müssen.

An dieser Stelle taucht häufig die Frage auf, ob interessierte Parteien aktiv in den Prozess der Überwachung einbe-

zogen werden müssen. Die Norm schreibt diesbezüglich zwar nichts vor. Es kann aber durchaus hilfreich sein, interessierte Parteien direkt anzusprechen. Es sollte allerdings geklärt werden, zu welchem Zweck dies getan wird. Diskussionen mit interessierten Parteien können durchaus spannend sein und können dazu dienen, mehr über sie und ihre Anforderungen zu erfahren.

Die Norm gibt weder ein Verfahren noch einen Zyklus für die Überwachung und Überprüfung der interessierten Par-teien und ihrer Anforderungen vor. Da die Rückmeldungen jedoch in die Manage-mentbewertung eingehen, ist es empfeh-lenswert, sich an den Rhythmus dieses zentralen Management-Tools anzupassen.

Kommunikation mit den interessierten Parteien: Nutzung von RückmeldungenWie sollte eine Organisation mit ihren interessierten Parteien in der Praxis

umgehen? Die regelmäßige Kommunikation auf verschie-

denen Ebenen ist essenziell für einen Austausch und eine gute

Beziehung zu den verschiedenen Anspruchsgruppen. Schnittstellenge-

spräche und gemeinsame Workshops sind eine gute Möglichkeit, diesen Austausch zu fördern. Auch die (Weiter-)Entwicklung von Produkten, Leistungen und Prozes-sen ist ideal, um gemeinsam Anforde-rungen und Verbesserungen zu verstehen und umzusetzen. Sofern möglich, sollten die Rückmeldungen der interessierten Parteien direkt genutzt werden. Solche Rückmeldungen können beispielsweise durch Befragungen von Mitarbeitern, Part-nern und Lieferanten gesammelt werden. Rückmeldungen können auch den Berich-ten von Vertriebs- und Kundenbesuchen entnommen werden.

Deutsche Gesellschaft für Qualität e.V. (DGQ) info@dgq.de

Tipp zum Thema: ISO 9004:2009, Kapitel 4.4

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2017

9

ISO 14001:2015 – Betriebliche Planung und Steuerung Prozessorientierung als ein zentraler Aspekt des Umweltmanagementsystems Eine wesentliche Intention von ISO 14001:2015 ist die Stärkung der Prozessorientierung. Gegenüber der Vorgängerversion von 2008, wo es in Kapitel 4.4.6 noch um Anforderungen an die „Ablauflenkung“ ging, geht die neue Umweltnorm jetzt spürbar weiter. Im entsprechenden Kapitel 8.1 „Betriebliche Planung und Steuerung“ werden neben der Überwachung und Beurteilung geplanter und ungeplanter Änderungen nun ausdrücklich auch die Betrachtung ausgegliederter Prozesse und die Integration des Lebensweggedankens gefordert.

Die grundlegenden Aspekte des Umwelt-managements sind – wenig überraschend – auch in der neuen Umweltnorm erhalten geblieben: die Berücksichtigung umwelt-relevanter Aspekte zur Erfüllung entspre-chender Anforderungen, die fortlaufende Verbesserung der Umweltleistung und die Reduzierung der Umweltbelastung. Neu ist hingegen die zentrale Bedeutung der Prozessorientierung für das Umweltma-nagementsystem, was Organisationen in die Lage versetzt, die umweltrelevanten Abläufe entlang ihrer Geschäftsprozesse sicher zu erfassen und zu lenken.

Um Risiken und Chancen wie umwelt-relevante Aspekte (Kap. 6.1.2), bindende Verpflichtungen (Kap. 6.1.3) und andere Themen in Bezug auf die Umwelt zu erfas-sen, ist eine systematische Analyse der Geschäftsprozesse und ihrer Wechselwir-kungen innerhalb des Anwendungsberei-ches einer Organisation notwendig. Dabei kann ISO 9001:2015 ein wertvoller Rat-geber sein. Orientiert sich nämlich eine Organisation an der systematischen Dar-stellung des eigenen Wertschöpfungspro-zesses gemäß der Qualitätsnorm, können auch die bedeutenden umweltrelevanten Aspekte systematisch erkannt werden.

Mit diesem Vorgehen wird schnell deutlich, wo in einer Organisation Maßnahmen erfor-derlich sind. Diese Maßnahmen leiten sich aus den Kapiteln 6.1 (Maßnahmen zum Umgang mit Risiken und Chancen) und 6.2 (Umweltziele und Planung zu deren Errei-chung) ab und müssen aufgebaut, verwirklicht, gesteuert und aufrechterhalten werden.

Maßnahmen organisationsspezifisch festlegenEine Organisation kann mit Blick auf ihre Geschäftsprozesse selbst über die Flexibili-tät und den Detaillierungsgrad der Maßnahmen entscheiden. Mögliche Maßnahmen sind zum Beispiel �� Verfahrensanweisungen, �� Verträge oder Vereinbarungen mit Lieferanten, �� Einsatz technischer Möglichkeiten, �� Optimierung von Anlagen, �� technische Überwachungen, �� Einsatz von kompetentem Personal �� oder eine Kombination dieser Formen.

Die Auswahl konkreter Maßnahmen hängt von verschiedenen Faktoren ab, wie z. B. Fertigkeiten, Erfahrung und Qualifikation der beteiligten Personen sowie von der Kom-plexität und der umweltbezogenen Bedeutung der betrieblichen Umsetzung. Aller-dings muss sichergestellt werden, dass die Maßnahmen wie beispielsweise Wartung, Instandhaltung, Einhaltung von Grenzwerten auch wirksam sind, und die in der Planung festgelegten Ergebnisse erreicht werden. Zur wirksamen Planung und Steuerung müs-sen betriebliche Kriterien festgelegt werden (Kap. 8.1). Auch muss die Organisation geplante Änderungen von Maßnahmen/Prozessen überwachen und die Folgen unbeab-sichtigter Änderungen beurteilen. Sie muss darüber hinaus, falls notwendig, Maßnah-men ergreifen, um negative Auswirkungen zu reduzieren bzw. zu vermeiden. Die Art und das Ausmaß der Steuerung sollten den Erfordernissen der Organisation entsprechen und müssen innerhalb des Umweltmanagementsystems festgelegt sein.

Nr. II 2014Nr. I 2017

10

Neuer Aspekt: Die Betrachtung des Lebenswegs Bedeutende Umweltauswirkungen können während des gesamten Lebenswegs auftre-ten, sowohl bei vor- als auch bei nachgelagerten Prozessen: wie z. B. Rohstoffgewin-nung, Entwicklung und Herstellung, Transport und Lieferung, Nutzung, Behandlung am Ende des Lebensweges oder endgültigen Beseitigung des Produkts bzw. der Dienst-leistung (ISO 14004). Die Betrachtung des Lebenswegs sollte möglichst früh, also bereits bei der Produktentwicklung und bei der Beschaffung, berücksichtigt werden. ISO 14001 fordert zwar keine detaillierte Lebenszyklusanalyse gemäß ISO 14044, die Organisation muss jedoch prüfen, inwieweit ausgegliederte Prozesse gesteuert und beeinflusst werden müssen.

Auch externe Anbieter und Vertragspartner sind zu betrachten. Dabei sollen neben bedeutenden Umweltaspekten auch alle sonstigen Verpflichtungen und die damit ver-bundenen umweltbezogenen Risiken und Chancen beurteilt werden. Hier besteht ggf. auch die Notwendigkeit, geeignete Informationen bereitzustellen, und zwar über mög-liche bedeutende Umweltauswirkungen im Zusammenhang mit dem Transport oder der Lieferung, Nutzung, Behandlung am Ende des Lebenswegs und der endgültigen Beseitigung der Produkte bzw. Dienstleistungen. Dies schafft eine gute Möglichkeit, um Verbesserungen an der gesamten Umweltleistung vorzunehmen und führt zu einer ein-deutigen Verantwortung in Bezug auf nachteilige Umweltauswirkungen und den Schutz der Umwelt. Um darauf vertrauen zu können, dass die Prozesse wie geplant durchge-führt wurden, fordert ISO 14001:2015 eine entsprechende dokumentierte Information in angemessenem Umfang.

Nach Kapitel 8.2 „Notfallvorsore und Gefahrenabwehr“ muss die Organisation die Prozesse aufbauen und umsetzen, die sie für die ermittelten Notfallsituationen (Kap. 6.1) benötigt.

Dr.-Ing. Eric Werner-KorallGlobal Program Managereric.werner-korall@dqs.de

Ausgegliederter Prozess gemäß ISO 14004:2016

Kapitel 8.1.2: „Ein ausgelagerter Prozess ist ein Prozess, der alle der folgenden Kriterien erfüllt:

a) Die Funktion oder der Prozess ist fest in die Funktionsabläufe der Organisation eingebunden;

b) die Funktion oder der Prozess wird für das Umweltmanagementsystem benötigt, um beabsichtigte Ergebnisse zu erzielen;

c) die Haftbarkeit für die Funktion oder den Prozess liegt, in Übereinstimmung mit den Anforderungen, bei der Organisation;

d) die Organisation und externe Dienst-leister pflegen eine Beziehung zuei-nander, z. B. eine Beziehung, bei der von den interessierten Parteien wahr-genommen wird, dass der Prozess von der Organisation ausgeführt wird.“

DIN EN ISO 14004:2016-08: Umweltmanage- mentsysteme – Allgemeine Leitlinien zur Verwirklichung; Deutsch, Englisch

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2017

11

Lebenszyklus

Input Output

ORGANISATION

Managementprozesse (Kap. 5, 6)

Anwendungsbereich (Kap 4.3)

operative Prozesse (Kap. 8)

ausgegliederte Prozesse (Kap. 8.1)

unterstützende Prozesse (Kap. 7)

unterstützende Prozesse (Kap. 9)

Prozesse einer OrganisationIn Anlehnung an ISO 14031 zeigt die Gra-fik nebenan die Wechselwirkung zwischen Managementprozessen, unterstützenden und operativen Prozessen einer Organisa-tion. Die Zuordnung der einzelnen Kapitel entspricht der Norm ISO 14001:2015.

Risiken und Chancen in Bezug auf Umweltaspekte (Kap. 6.1)

Ehrlich währt ganz schön langWirksames Compliance-Management senkt Haftungsrisiken Compliance ist heute in aller Unternehmen Munde, aber: Top-Manager tun sich oft schwer mit dem Begriff und dem, was dahinter steht. Dabei meint er nichts weniger als „rechtskonformes, ethisch korrektes Verhalten“ – eine Selbstverständlichkeit, oder?

Wenn man die Bedeutung des englischen Wortes Compliance (von engl. to com-ply = erfüllen) ins Deutsche überträgt, scheint eigentlich alles ganz klar und ein-fach, vor allem aber selbstverständlich. Die Verantwortlichen eines Unternehmens brauchen sich doch nur an alle relevan-ten (gesetzlichen) Regeln zu halten und ethisch korrekt zu handeln, und schon ist Compliance hergestellt – wo also ist das Problem?

Die Antwort lautet: Die Realität ist eine andere. Viele Verantwortliche (und Mitarbeiter) kennen die Regeln, die sie einhalten sollen, gar nicht. Andere kennen sie durchaus, halten sie aber ganz gezielt nicht ein. Manches wiederum ist auf den ersten Blick zwar kein Regelverstoß, aber dafür ethisch nicht besonders wertvoll, nach heutigen CSR-Standards kaum ver-tretbar. Nicht wenige Unternehmen agie-ren diesbezüglich noch in einer mal ins Hellere, mal ins Dunklere changierenden Grauzone. Jedoch: Die Notwendigkeit, Licht in dieses Halbdunkel zu bringen, wird immer mehr erkannt – nicht zuletzt auch wegen der damit verbundenen Risi-ken, vor allem der Haftungsrisiken.

Ein gutes Compliance-Managementsystem schafft KlarheitUnternehmen brauchen deshalb eine Systematik, die sicherstellt, dass sämt-liche (gesetzlichen) Regeln bekannt sind und eingehalten werden. Ein wirksames

Compliance-Managementsystem (CMS) schafft Klarheit, Rechtssicherheit und hilft der obersten Leitung, eine von ihr selbst gelebte Unternehmenskultur zu etablieren, in der Verstöße jeder Art keine Option sind. Diese Unternehmenskultur, in Amerika bildhaft als „Tone at the Top“ bezeichnet, ist letztlich auch der Schlüs-sel, um das gesamte Unternehmen wirk-sam und angemessen mit dem Compli-ance-Gedanken zu durchdringen.

Haftungsrisiken wirksam minimierenDie formale Sicherstellung der Regelkon-formität durch ein wirksam implementier-tes CMS trägt gleichzeitig wesentlich zur Haftungsvermeidung bzw. Haftungsmini-mierung bei, und das kann für ein Unter-nehmen existenziell sein. Dies betrifft in besonderem Maß die tatsächlich han-delnden Personen, denn das deutsche Strafrecht kennt kein „Unternehmsstraf-recht“.

Aus den §§ 93, 76 AktG, 43 GmbHG leitet sich die Legalitäts- und Legalitäts-kontrollpflicht bzw. die Sorgfaltspflicht der Geschäftsleitung ab. Das bedeutet, dass eine Organisations- und Auswahlpflicht in Bezug auf das Personal besteht. Die Geschäftsleitung muss also Vorkehrungen zur Sicherstellung eines rechtmäßigen Verhaltens des Unternehmens und sei-ner Mitarbeiter treffen. Im Fall der Fälle: Ist die Geschäftsleitung diesen Pflichten nicht oder nur unzureichend nachgekom-

men, kann sie dafür in Haftung genom-men werden – laut § 130 iVm § 30 OWiG mit enormen Haftungssummen von bis zu 10 Mio. Euro. Sollte aufgrund einer unrechtmäßigen Handlung ein Gewinn erzielt worden sein, kann dieser gemäß § 29a OWiG eingezogen werden, was sich schnell zu einem dreistelligen Millionen-betrag auswachsen kann.

Die Geschäftsleitung kann ihrer Kontrollpflicht ohne ein entsprechendes Managementsystem nicht ausreichend nachkommen. In der Rechtsprechung ist allerdings strittig, ob ein CMS tatsächlich erforderlich ist; wie es auszugestalten ist, wird dagegen kurioserweise benannt – LG München I, Urteil vom 10.12.2013, 5HK O 1387/10 („Neubürger“): „Ein Vor-standsmitglied … hat … dafür zu sorgen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetze verletzt werden. Seine entsprechende Organisationspflicht zur Verhinderung von Rechtsverletzungen erfüllt der Vorstand nur dann, wenn er eine auf Schadens-prävention und Risikokontrolle angelegte Compliance-Organisation einrichtet, die der Gefährdungslage entspricht.“

Noch ein Managementsystem?An der Einführung eines CMS geht also auch aus Sicht der Rechtsprechung quasi kein Weg vorbei, jedenfalls für Unterneh-men, die in Haftungsfragen, die sich aus Verstößen ergeben, sichergehen wollen.

Nr. II 2014Nr. I 2017

12

Viele Unternehmen „befürchten“ jedoch, dass mit einem CMS ein weiteres Manage-mentsystem eingeführt werden muss. Allerdings steckt hinter dieser Vorstellung ein noch immer weit verbreitetes Miss-verständnis, denn: Unternehmen haben grundsätzlich nur ein einziges Manage-mentsystem, das meist auf ISO 9001 basiert, in das dann ggf. die Anforderun-gen weiterer Regelwerke integriert werden. Dies ist auch einer der großen Vorteile der gemeinsamen Grundstruktur, die ISO 9001:2015 und ISO 14001:2015 seit der großen Revision besitzen, und die ISO/IEC 27001 als eine der ersten ISO-Normen schon 2013 erhalten hat. In absehbarer Zeit werden alle ISO-Managementsystem-normen, u. a. ISO 45001 und ISO 50001, über diese Grundstruktur verfügen.

Das CMS als „Klammer“Ein CMS gemäß ISO 19600 wird also in das bestehende Managementsystem (falls vorhanden) integriert. Es legt sich dabei wie eine Klammer um alle Com-pliance-Themen, die von anderen Nor-men angesprochen werden. So geht es im Qualitätsmanagement hauptsächlich um Risiken aus der Produkthaftung, beim Umweltmanagement jedoch um solche aus einschlägigen Umweltgesetzen etc. Alle Informationen und Risikoanalysen der einzelnen Bereiche gehen im CMS zusam-men und geben somit dem Unternehmen eine sichere Rechtsbasis für ihr Handeln. Alle Rechtsthemen und Risiken, die bisher nicht oder nur unzureichend berücksich-tigt wurden, werden nunmehr durch das CMS erfasst, bewertet und gesteuert. Ein übergeordneter Wertekodex, weitere interne Kontrollen und Anpassungen der Risikobewertung sichern das Unterneh-men und die verantwortlich handelnden Personen ab.

Insofern kommt der Risikoanalyse eine entscheidende Rolle zu. Dabei gilt es, die Stellen und Funktionen herauszuar-beiten, an denen Rechtsverstöße mög-lich sind, die schwerste Auswirkungen für das Unternehmen haben könnten. Es muss also ein Sicherungssystem instal-liert werden, um einen größtmöglichen Aufdeckungsgrad zu erzielen. Allein mit der Annahme „ach, das gibt es bei uns gar nicht“ scheint wenig geholfen – und wird vor Gericht auch wenig Verständnis finden.

FazitKlare Strukturen sollten dafür Sorge tra-gen, dass Verstöße schneller aufgedeckt werden können und die Verantwortlich-keiten feststehen. Im Fall von Gerichts-verfahren wird das CMS zur Exkulpation beitragen, zumindest mit großer Wahr-scheinlichkeit eine Schuldminderung

herbeiführen, da alle Gründe, die gegen oder für einen Angeklagten sprechen, zur Festlegung des Strafrahmens herangezo-gen werden. Eines muss jedoch klar sein: Bei „Prüfungsstandards“ wie ISO 19600 handelt es sich um Rechtsmeinungen, die Richter berücksichtigen können, ggf. werden, sofern diese in einem Kontext mit dem Rechtsverstoß stehen. Sollte jedoch kein CMS vorhanden sein, so ist das an sich schon ein Obliegenheitsver-stoß der Geschäftsführung, der sich mit großer Wahrscheinlichkeit strafverschär-fend auswirken wird. Ein gut aufgestell-tes Unternehmen muss sich allein schon aus dem eigenen Schutzbedürfnis der Geschäftsführung mit dem Thema CMS beschäftigen.

Hubert Spahn Global Business Manager hubert.spahn@dqs.de

„Compliance- und IT-Risk-Management-systeme verschaffen einen Wettbewerbs-vorteil“. Dies ist eine der zentralen Aus-sagen der Studie „Wirtschaftskriminalität in der analogen und digitalen Wirtschaft 2016“, die im vergangenen Jahr von PwC gemeinsam mit der Martin-Luther-Uni-versität Halle-Wittenberg herausgegeben wurde, und bis heute gleichwohl nichts an Aktualität eingebüßt hat. Die Studie, die auf der Basis einer Befragung von 720 deutschen Unternehmen erstellt wurde, zeigt auf, wie hierzulande mit Wirtschafts-kriminalität umgegangen wird und wie bzw. in welchem Umfang IT-Sicherheits- und Compliance-Maßnahmen umgesetzt werden.

Aus der Studie geht beispielsweise hervor, dass zwar viele der befragten Unter-nehmen bereits über ein Compliance-Managementsystem (CMS) verfügen (76 %) und ein kleinerer Teil (13 %) ein solches plant. Dabei klafft jedoch eine enorme Lücke zwischen sehr großen Unternehmen mit mehr als 10.000 Beschäftigten, von denen 96 % bereits ein CMS eingeführt haben, und KMU, die in dieser Hinsicht deutlich weniger gut aufgestellt sind.

Die komplette Studie ist im Internet als PDF verfügbar unter https://www.pwc.de/de/risikomanagement/assets/studie-wirt-schaftskriminalitaet-2016.pdf

Aktuelle Studie: Wirtschaftskriminalität in der analogen und digitalen Wirtschaft 2016

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2017

13

Corporate Social Responsibility Neues DQS Risk Assessment als Nachweis für nachhaltiges Wirtschaften Ökonomische, ökologische und soziale Nachhaltigkeit wirksam unter einen Hut zu bringen gilt als eine der wichtigsten Aufgaben dieses Jahrhunderts. Darüber ist man sich, jedenfalls in Fachkreisen, schon lange einig. Seit das Thema jedoch immer mehr in der öffentlichen Wahrnehmung ankommt und somit auch in (End-)Kundenerwartungen eingeht, droht der Begriff zu einer veritablen Alibi-Vokabel zu verkommen. Denn längst nicht jedes plakativ formulierte Nachhaltigkeits-Statement hat einen realen Hintergrund. In der Konsequenz sind Unternehmen zunehmend gefordert, ihre Nachhaltigkeitsaktivität unter Beweis zu stellen. Wie geht man dabei vor?

Es existiert heute eine fast unüberschau-bare Anzahl von Standards, Kennzeich-nungen, Labels und Zertifizierungen, die ein Unternehmen dem Nachweis seiner Nachhaltigkeitsaktivität zugrunde legen kann. Im Kern geht es dabei um den risi-kobasierten Ansatz bei der Beschaffung in der Lieferkette, um die Erfüllung von politischen und rechtlichen Vorgaben, von Anforderungen von Kunden und Investo-ren wie auch gesellschaftlichen Erwartun-gen. In der Gewichtung dieser Kriterien muss zwischen der Situation von Konzer-nen und der mittelständischer Unterneh-men unterschieden werden.

Neben der Sicherstellung von Com-pliance ist für Konzerne das Management von Risiken in der Lieferantenkette die wichtigste Aufgabe. Dies ist auch von ent-scheidender Bedeutung für die Positio-nierung von Marken und für die Imagebil-dung. Ein zeitgemäßes und glaubwürdiges Bekenntnis zu Nachhaltigkeit und die Ein-bindung relevanter interessierter Parteien ist dabei ein wesentlicher Erfolgsfaktor. Der Mittelstand, der meist als Lieferant auftritt, stellt Nachhaltigkeit noch nicht so ausgeprägt in den Mittelpunkt seines Handelns und erhält den Anstoß dazu oft erst von seinen Kunden, den Auftragge-bern. Der Hintergrund: Die Lieferanten sollen die „Nachhaltigkeits-Bausteine“ lie-fern, die die interessierten Parteien ihrer

Kunden benötigen. Interessierte Parteien und Risikomanagement spannen somit den Bogen um das Thema und geben für die Nachhaltigkeitsaktivität eines Unter-nehmens die Richtung vor.

Individuellen Bedarf ermittelnDie DQS hat für Unternehmen, die einen Nachweis ihrer Nachhaltigkeitsaktivität benötigen, ein Verfahren entwickelt, mit dem anhand eines 360-Grad-Radars zunächst deren tatsächlicher Bedarf fest-gestellt wird. Die DQS vereinbart dazu in einem ersten Schritt ein Treffen. Dabei werden aus der Fülle der zur Verfügung stehenden Nachhaltigkeits-Regelwerke wie SEDEX, Together for Sustainability, BSCI, GRI G4, EICC, u. v. a. relevante Kri-terien und Anforderungen ausgewählt – individuell zugeschnitten auf die Bedürf-nisse des Unternehmens. Wesentliche Fragen sind u. a.: Was will der Markt? Was wollen die Kunden? Was wollen die relevanten interessierten Parteien? Zur Beantwortung dieser Fragen wird ein Kun-denprofil erstellt und der aktuelle Reife-grad bestimmt; und, besonders wichtig: Als wesentlicher Bestandteil des Radars werden bestehende bzw. mögliche Risiken ermittelt.

Diese Herangehensweise hat gegen-über dem Vorgehen, unternehmenseigene Regeln aufzustellen und nur deren Einhal-

tung zu prüfen und ggf. zu bestätigen, den wesentlichen Vorteil, dass das Unterneh-men auf diese Weise Transparenz zeigen kann und mit der Erfüllung von Anforde-rungen anerkannter Standards weltweite Akzeptanz sicherstellt.

Im zweiten Schritt wird nach einer vereinbarten Vorbereitungszeit in einem Risk Assessment vor Ort die Einhaltung der zuvor ausgewählten Anforderungen überprüft. Dazu nimmt der Auditor eine Begehung vor, prüft Dokumente und führt Interviews. Im positiven Fall wird schließ-lich die Einhaltung der Kriterien anhand einer Bescheinigung bestätigt. Der Grad der Erfüllung, der den Status quo wider-gibt, wird anhand einer Punkte-Bewer-tung auf einer 100er-Skala angegeben. Der erreichte Reifegrad kann auf Wunsch in die Bescheinigung einfließen. Diese hat eine Gültigkeit von einem Jahr und kann danach mit regelmäßig durchgeführten Wiederholungsbegutachtungen immer wieder um ein weiteres Jahr verlängert werden.

Altan Dayankac Produktmanager Nachhaltigkeit / CSRsustainability@dqs.de

Nr. II 2014Nr. I 2017

14

Neues vom DatenschutzFrist für Umsetzung der neuen EU-Datenschutz-Grundverordnung endet am 24. Mai 2018

Die neue EU-Datenschutz-Grundverord-nung (DS-GVO) ist bereits am 24. Mai 2016 in Kraft getreten. Nach der darin geregelten Übergangsfrist kommt sie aller-dings erst zwei Jahre nach Inkrafttreten zur Anwendung – am 25. Mai 2018. Sie ist in ihrem Wortlaut für alle Mitgliedsstaaten verbindlich und wird das bestehende Bun-desdatenschutzgesetz (BDSG) verdrängen. Die neue DS-GVO enthält allerdings eine Reihe so genannter Öffnungsklauseln, die es den Mitgliedsstaaten ermöglichen, einzelne nationale Regelungen zu schaf-fen, etwa beim Beschäftigtendatenschutz. Diese nationalen Regelungen müssen allerdings den grundsätzlichen Vorgaben der DS-GVO entsprechen. Am 1. Februar 2017 hat das Bundeskabinett dazu einen Entwurf für ein Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) auf den Weg gebracht. Am 27. April hat der Bundestag das Gesetz mit dem darin enthaltenen Artikel 1 zum neuen Bundes-datenschutzgesetz (BDSHneu) verabschie-det, der Bundesrat hat in seiner Sitzung am 12. Mai seine Zustimmung gegeben. Die Verkündung im Bundesgesetzblatt wird im Juni 2017 erfolgen. Das Gesetz tritt am 25. Mai 2018 in Kraft – am selben Tag, an dem die DS-GVO Gültigkeit erhält.

Für Organisationen und öffentliche Stellen in Deutschland gibt es eine Reihe von Änderungen, die weit über die Vorgaben des bestehenden BDSG hinausgehen, wie z. B. die neuen Transparenz- und Informati-onspflichten. Dagegen bleiben datenschutz-rechtliche Grundprinzipien im Wesentlichen bestehen und werden in der DS-GVO fort-geschrieben bzw. weiterentwickelt. Funda-mentale Aspekte des Datenschutzes wie

Verbot mit Erlaubnisvorbehalt, Zweckbin-dung, Datensparsamkeit und Transparenz bleiben nicht nur erhalten, sondern sind in Teilen sogar verschärft worden.

Änderungen bei Position des DatenschutzbeauftragtenEine der Änderungen betrifft die Position des Datenschutzbeauftragten, der sich unter bestimmten Voraussetzungen nun EU-weit in Organisationen mit der Einhal-tung der Vorschriften befassen muss. Die Kriterien haben sich gegenüber denen des zurzeit noch gültigen Bundesdatenschutz-gesetzes geändert. Hier war die Position des Datenschutzbeauftragten noch mit der Art der Datenverarbeitung und der Anzahl der damit befassten Mitarbeiter verknüpft. Für öffentliche Stellen musste ab 20 Mitarbeitern, für nichtöffentliche ab 10 Mitarbeitern ein Datenschutzbeauf-tragter bestellt werden. Artikel 37 Abs. 1 der neuen Verordnung gibt für die Bestel-lung eines behördlichen oder betrieblichen Datenschutzbeauftragten nun folgende Kriterien vor:�� „Wenn die Kerntätigkeit des Verantwort-lichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvor-gängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und sys-tematische Überwachung von betroffe-nen Personen erforderlich machen.“�� „Wenn die Kerntätigkeit des Verantwort-lichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Weggefallen ist also die Bindung an die Anzahl der mit der Datenverarbeitung befassten Mitarbeiter, wobei es hier eine Öffnungsklausel gibt, die ergänzende Kri-terien zulässt. Unabhängig davon sollte die Position des Datenschutzbeauftragten jedoch auch unter Qualitätsaspekten gese-hen werden. Die Beibehaltung oder Neu-einrichtung dieser Position kann durchaus sinnvoll sein, um den Datenschutz und die Datensicherheit im Unternehmen zu stär-ken, oder wenn sich daraus Wettbewerbs-vorteile ergeben.

Ines Krumrei DQS-Auditorin informationssicherheit@dqs.de

DQS-Arbeitsgruppe Datenschutz unterstützt Kunden

Durch die neue EU-Datenschutz-Grund- verordnung (DS-GVO) und das daraus resultierende neue Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) kommen umfangreiche Neuregelungen auf Unternehmen zu, die personenbezogene Daten verarbeiten. Und dies sind – mit Blick auch auf die Beschäftigten in Unternehmen – nahezu alle. Die DQS hat deshalb eine aus fachkundigen Auditoren und dem Competence Center Informationen.Daten.Sicherheit. bestehende Arbeitsgruppe gegründet. Das Team hat die Aufgabe, DQS-Kunden bei der Umsetzung der ab 25. Mai 2018 geltenden DS-GVO und des zukünftigen DSAnpUG-EU zu unterstützen. Zum aktuellen Produktportfolio der DQS zählen unter anderem der Datenschutz-Check und das Datenschutz-Audit. Einen Online-Datenschutz-Selbstcheck wird die DQS in Kürze anbieten.

www.dqs.de - Standards: Datenschutz informationssicherheit@dqs.de

Weitere Informationen zum aktuellen Stand der DS-GVO unter https://dsgvo.expert/aktueller-fahrplan- fuer-dsanpug-eu-inkl-bdsg-neu/

Der Umgang mit personenbezogenen Daten ist seit jeher eine heikle Angelegenheit – vor allem seit moderne Technik deren massenhafte Verarbeitung möglich macht. Für Privatpersonen ist der Schutz die-ser Daten ein elementares Grundrecht. Die rechtliche Basis dafür ist noch die EU-Richtlinie 95/46/EG, die in Deutschland durch das Bundesdatenschutzgesetz in nationales Recht umgesetzt wird.

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2017

15

Seit Mitte März ist die DQS von der Deut-schen Akkreditierungsstelle (DAkkS) für Zertifizierungen gemäß DIN SPEC 91020 akkreditiert. Das Regelwerk bietet eine ideale Grundlage für die Implementie-rung samt Zertifizierung durch einen unabhängigen Dritten als Nachweis eines wirksamen BGM-Systems. Vor welchen Aufgaben steht ein Unternehmen, das ein BGM-System nach der Spezifikation implementieren möchte? Der DQS-Kunde TSV Bayer Dormagen Gesundheits-GmbH, Teil des Präventionsverbundes der Bayer-Sportvereine, hat sich auf die Entwicklung individueller Lösungen zum Thema BGM spezialisiert und orientiert sich dabei an DIN SPEC 91020. Wir haben Geschäfts-führer Axel Wertz zu seinen Erfahrungen mit der Umsetzung der Anforderungen im Arbeitsalltag befragt.

DiD: Herr Wertz, wie kommt es, dass Ihr Unternehmen seinen Ursprung in einem Sportverein hat? Axel Wertz: Es klingt zunächst tatsäch-lich ungewöhnlich, dass ein Weltkonzern wie Bayer Dienstleistungen im Betrieb-lichen Gesundheitsmanagement durch einen Sportverein erbringen lässt. Doch schon die Gründung des TSV Bayer Dor-magen 1920 erfolgte nicht zuletzt, um die Gesundheit der Beschäftigten zu fördern. Im Zuge der Nachbarschaftsarbeit der Sportvereine im Umfeld der Bayer-Stand-orte und dem damit verbundenen Auf- und Ausbau der Sportanlagen entstanden bereits in den 1960er-Jahren erste syste-matische Initiativen zur Gesunderhaltung der Bayer-Mitarbeiter. Ende der 1990er-Jahre begannen die Bayer-Sportvereine

BGM ist Win-winDIN SPEC 91020 als geeignete Basis für Betriebliches GesundheitsmanagementImmer mehr Unternehmen erkennen in einem effektiven Betrieblichen Gesundheitsmanagement (BGM) eine klassische Win-win-Situation – für ihre Mitarbeiter und für sich selbst. Denn beide Seiten profitieren stark von den vielfältigen Vorteilen, die sich durch motivierte Mitarbeiter, eine Reduzierung krankheitsbedingter Ausfälle und eine erhöhte Arbeitseffizienz ergeben.

eigene BGM-Abteilungen einzurichten, die seither als professioneller und standortna-her Dienstleister im Betrieblichen Gesund-heitsmanagement des Bayer-Konzerns eine wichtige Rolle spielen.

Sie bieten Ihre Dienstleitungen auch im freien Markt an. Wie ist die Nachfrage in Bezug auf BGM?Stetig steigend. Unternehmen sind zuneh-mend sensibilisiert, weil sie inzwischen selbst von der demografischen Entwick-lung, dem Fachkräftemangel, hohen Gesundheitsquoten oder der Verschlech-terung der Arbeitsbewältigungsfähigkeit der Mitarbeiter betroffen sind. Gleichzeitig erkennen Firmen mittlerweile ein syste-matisch in die Managementprozesse inte-griertes BGM als Lösung und weniger als zusätzliche Belastung – und zwar nicht nur große Konzerne, sondern auch kleine und mittelständische Unternehmen. Gesetz-liche Regelungen wie das Präventionsge-setz, die Formulierung einer gemeinsamen Deutschen Arbeitsschutzstrategie und die verstärkte mediale Präsenz des Themas befördern diesen Prozess zusätzlich. Aber

auch die Tätigkeit von Verbänden z. B. des Bundesverbandes Betriebliches Gesund-heitsmanagement (BBGM) sowie die ver-schiedenen Rahmenwerke wie die Luxem-burger Deklaration, Betriebsvereinbarun-gen und nicht zuletzt DIN SPEC 91020 haben BGM in den Fokus der betrieblichen Entscheider gerückt.

Wie gehen Sie vor, wenn Sie mit der Implementierung eines BGM-Systems beauftragt werden?Zunächst hören wir zu und gehen auf die Motive für die Absicht ein, ein BGM imple-mentieren zu wollen. Das umfasst die Klä-rung der Erwartungen an uns als Anbieter, aber auch die grundlegende Auseinander-setzung mit dem BGM als strategischem Managementprozess, in dem Chancen und Risiken betrachtet, aber auch Rollen geklärt werden müssen. Hilfreich ist dabei, dass die Implementierungsschritte inzwi-schen allgemeingültig und wissenschaft-lich fundiert vorliegen, etwa im Hand-lungsleitfaden Prävention gemäß §20b SGB V. Damit entfällt die leidige Diskus-sion, ob oberflächliche Maßnahmen à la „Nordic Walking plus Obstkorb“ nicht doch als BGM durchgehen können. Auch gehen die handelnden Personen heute, anders als noch vor fünf Jahren, inzwischen gut informiert in die Erstgespräche. Dennoch gilt es zunächst, Unternehmen die Vorstel-lung von BGM als einem weiteren Prozess im laufenden Tagesgeschäft zu nehmen. Das Ziel unserer Beratung ist, bestehende Strukturen als Ressourcen für die Gesund-heitsförderung zu nutzen. Das betrifft vor allem die etablierten Personal- sowie die Quallitätsmanagement- und Kommunika-

Nr. II 2014Nr. I 2017

16

tionsprozesse. Denn wir gehen davon aus, dass rund 80 % aller für ein effektives BGM notwendigen Ressourcen in einem Unternehmen bereits vorhanden sind. Diese identifizieren wir im weiteren Ver-lauf der Beratung mit einem gründlichen Faktencheck, analysieren Unternehmens-daten, legen eine Handlungsstrategie fest, realisieren daraus abgeleitete spezifische Maßnahmen und evaluieren sie schließ-lich mit dem Ziel eines fortlaufenden Ver-besserungsprozesses.

Wie vermitteln Sie Unternehmen, dass ein wirksames BGM den tatsächlichen Bedarf von Mitarbeitern und deren kon-krete Arbeitsbedingungen im Blick hat und dabei auf nachhaltigen Nutzen aus-gelegt ist? „Tue was wirkt und wissenschaftlich erwie-sen ist“ – so könnte man kurz und knapp das evidenzbasierte Betriebliche Gesund-heitsmanagement (EbBGM) beschreiben, für das wir stehen. Grundsätzlich unter-scheiden wir zwischen Aktionen, die Mit-arbeiter motivieren, sich mit dem Thema Gesundheit auseinanderzusetzen, und Maßnahmen, mit denen die formulier-ten BGM-Ziele konkret erreicht werden können. Ein Beispiel: Die Arbeitsfähig-keit kann wirksam nur gefördert werden, wenn verhältnis- und verhaltenspräventive Maßnahmen auf einen gesundheitsförder-lichen Führungsstil treffen. Das müssen Entscheider wie Belegschaft verstehen. Möglichkeiten zur Partizipation und spür-bare Selbstwirksamkeit sind weitere wich-tige Bausteine einer Gesundheitskultur im Unternehmen, die über Arbeits- und Gesundheitsausschüsse, Steuerkreise, Gesundheitszirkel etabliert werden sollte. Gute Erfahrungen haben wir zudem mit der Ausbildung von Gesundheitsbeauf-tragten gemacht, die in dieser Rolle BGM-Botschafter innerhalb der Belegschaft und kollegiale Berater der Entscheidungsgre-mien zugleich sind.

Wie individuell muss ein gutes BGM sein?Aus unserer Sicht gibt es kein „BGM für alle“! Neben der Unternehmenskultur wer-den Art und Umfang des BGM vor allem durch die Tätigkeiten bestimmt, die die

Mitarbeiter täglich verrichten und den Belastungen, die sich daraus ergeben. Hier zeigt sich meist, dass unterschied-liche Mitarbeitergruppen jeweils einen unterschiedlichen Präventionsbedarf haben. Nachhaltiger Nutzen kann deshalb nur erzielt werden, wenn persönliche wie betriebliche Ressourcen gezielt aufgebaut und eingesetzt werden. Azubis benötigen eine andere Ansprache und andere Maß-nahmen als Handwerker der Altersgruppe 50+. Es ist wichtig, Unternehmen für die Notwendigkeit maßgeschneiderter Lösun-gen zu sensibilisieren, denn die Wahr-scheinlichkeit eines positiven Return On Invest bzw. einer Win-win-Situation für das Unternehmen und seine Beschäftig-ten wird durch ein individualisiertes BGM-Konzept entscheidend beeinflusst.

Welche Rolle spielt das Einbinden von Belegschaft und oberster Leitung bei der Implementierung des Systems? Schon in der Vorbereitungsphase, aber auch im weiteren Verlauf und insbeson-dere bei der Ableitung und Umsetzung von Maßnahmen ist dies ein ganz wesent-licher Punkt. Wichtig ist dabei, dass die Gesundheitsförderung mitbestimmungs-pflichtig ist. In größeren Unternehmen helfen bestehende Betriebsvereinbarun-gen, BGM-Systeme zu strukturieren und Leitplanken für deren Implementierung zu setzen. In klein- und mittelständischen Unternehmen ist die Vereinbarung eines Leitbildes oder die Erweiterung der Unter-nehmenswerte um das Thema Gesund-heit eine mögliche Alternative. Ein gutes Zusammenspiel von Führung und Beleg-schaft ist auch deshalb entscheidend, weil jeder einzelne seinen Teil zum Gelingen des BGM beitragen muss. Diese Botschaft muss im Unternehmen vermittelt und mit Leben erfüllt werden. Um miteinander ins Gespräch zu kommen, bieten sich Arbeits- und Gesundheitsausschüsse, Gesund-heitszirkel, aber auch lokale Expertengre-mien an, die einzelne Abteilungen oder Tätigkeitsgruppen repräsentieren. Kolle-giale Beratung wird z. B. in moderierten Diagnoseworkshops oder Besprechungen von Gesundheitsbeauftragten praxisnah gelebt. Die partnerschaftliche Zusammen-

arbeit aller BGM-Akteure steigert meist die Qualität und Akzeptanz der vereinbar-ten Maßnahmen und schont zugleich die Ressourcen.

DIN SPEC 91020 ist an die ISO 9001 angelehnt – welche Vorteile haben Unter-nehmen, die nach der Qualitätsmanage-mentnorm zertifiziert sind? Der Start in ein systematisches BGM nach DIN SPEC 91020 wird durch ein bestehen-des Qualitätsmanagementsystem gemäß ISO 9001 deutlich erleichtert, weil damit bereits eine gute Basis vorhanden ist. Bestehende Prozesse in die Struktur von DIN SPEC 91020 zu überführen, gleicht praktisch der Übergabe eines Staffelsta-bes in vollem Lauf. Die Tipps und Struktur-elemente der Qualitätsmanagementnorm gewährleisten, dass der Staffelstab dabei nicht verloren geht und die Implemen-tierung des BGM ohne Reibungsverluste gelingt. Wie hilfreich ist in diesem Zusammenhang Ihre eigene ISO 9001-Zertifizierung?Sehr hilfreich! Immer mehr Kunden, die selbst nach ISO 9001 zertifiziert sind, wollen die Implementierung ihres BGM ebenfalls in qualitätsgesicherte Hände legen und übertragen so ihren eigenen Anspruch auch auf uns. In einem Wachs-tumsmarkt wie dem unseren halte ich es außerdem für wichtig, dass wir uns von der Masse der Anbieter abheben, indem wir transparent nach außen signalisieren, dass wir in der Praxis halten, was wir zuvor mit dem Kunden vereinbart haben. Auch intern haben wir sehr davon profitiert, unsere Prozesse zu hinterfragen und sie im Sinn des evidenzbasierten Betrieb-lichen Gesundheitsmanagements noch besser auf die Bedürfnisse der Kunden abzustimmen.

Herr Wertz, wir danken Ihnen für das Gespräch!

KontaktAxel Wertz, Geschäftsführer TSV Bayer Dormagen Gesundheits-GmbH a.wertz@tsv-bayer-dormagen.de

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2017

17

ISO 45001 – Veröffentlichung für Anfang 2018 geplantDie zukünftig für Arbeitsschutzmanagement-systeme zuständige Norm hat es nicht leicht: Ursprünglich sollte die ISO 45001 Ende 2016 erscheinen. Dieser Termin wurde jedoch ver-passt, da der erste ISO/DIS bei der entschei-denden Abstimmung im Frühjahr desselben Jahres in Toronto durchfiel und somit der Nor-mentwurf die nächste Stufe des FDIS nicht erreichte. Der Grund: Delegationen wichtiger Länder, darunter Deutschland, Frankreich, Ita-lien, Kanada, Australien und die USA, stimm-ten dagegen. Als Gründe dafür waren u. a. zu vernehmen: Unzufriedenheit mit Begriffen und Definitionen, z. B. hinsichtlich des zentralen Begriffs „worker“; Vermeidung der Einbindung von Anforderungen in den Anmerkungen; Fra-gen zur Anpassung an die ISO 14001 und zu Abweichungen von Annex SL; der Inhalt von Kapitel 5.4 (Participation and Consultation), die Struktur der Kapitel 6 (Planning) und 7.3 (Awareness) etc. Im Mai 2017 soll nun der Normentwurf ISO/DIS 45001.2:2017 in einer entsprechend überarbeiteten Version mit dem Ausgabedatum 2017-06 erscheinen. Die Annahme des neuerlichen Entwurfs vorausge-setzt, könnte die ISO 45001 Anfang des Jah-res 2018 veröffentlicht werden.

Kontakt: Tarik BeganovicLeiter Nachhaltigkeit / CSRtarik.beganovic@dqs.de

BuchtippWörterbuch Qualitätsmanagement Normgerechte Definitionen Deutsch – Englisch, Englisch – Deutsch

Begriffe des Qualitätsmanagements und angrenzender Gebiete. Alle Schlagworte befinden sich auf autorisiertem Niveau in Übereinstimmung mit der internationalen, europäischen und nationalen Normung. Das macht die Übersetzung verlässlich und zitier-fähig. Die dritte Auflage ist auf Grundlage der revidierten Qualitätsmanagementnormen durchgängig aktualisiert und gegenüber der zweiten Auflage erheblich erweitert worden.

Klaus Graebig 3., vollständig überarbeitete Auflage 2017 ISBN 978-3-410-26394-4, 45 EUR Beuth Verlag, www.beuth.de

CSR-Berichtspflicht bereits für das laufende Geschäftsjahr

Um das Vertrauen von Verbrau-chern und Investoren in Organi-sationen zu stärken, hat der Ge-setzgeber bereits vor zwei Jah-ren die EU-Richtlinie 2014/95/EU erlassen, die eine CSR-Be-richtserstattungspflicht für be-stimmte Unternehmen fordert. Im März 2017 hat der Bundestag nun zur Umsetzung dieser Richt-linie in nationales Recht das ent-sprechende Gesetz verabschie-det. Mit der Bekanntgabe des CSR-Richtlinie-Umsetzungsge-setzes im Bundesgesetzblatt am 18. April dieses Jahres ist die neue Berichterstattungspflicht nun endgültig in Kraft getreten.

Das Gesetz sieht vor, dass Unter-nehmen von öffentlichem Inte-resse bzw. solche mit mehr als 500 Mitarbeitern und einer Bilanzsumme von über 20 Milli-onen Euro oder einem Umsatzer-lös von über 40 Mio Euro zusätz-lich zur finanziellen Bilanzie-rung nun auch einen detaillier-ten Nachhaltigkeitsbericht vor-legen müssen. Das Gesetz gilt rückwirkend ab 1. Januar 2017. Das bedeutet, dass die Berichts-pflicht bereits für das laufende Geschäftsjahr besteht. Für die Veröffentlichung im Folgejahr (also erstmals 2018) gilt eine Frist bis max. vier Monate nach dem Bilanzstichtag, und zwar dann, wenn der CSR-Bericht nicht im oder parallel zum Geschäftsbericht erscheint, son-dern zeitlich versetzt. Kontakt: Altan Dayankac Produktmanager Nachhaltigkeit / CSR sustainability@dqs.de

18

Nr. II 2014Nr. I 2017

NEWS

DIN EN 15224 – überarbeitete Version erscheint im Mai 2017Die Norm „DIN EN 15224:2017-05 Qualitäts-managementsysteme – EN ISO 9001:2015 für die Gesundheitsversorgung“ wird im Mai 2017 in überarbeiteter Version veröffentlicht und ersetzt damit die bisher gültige Version von 2012. Neben einer kompletten inhaltli-chen und redaktionellen Überarbeitung gilt als wesentliche Änderung die Anpassung an die ISO 9001:2015. Darüber hinaus enthält sie Anforderungen, Spezifizierungen und Interpre-tationen für die Gesundheitsversorgung sowie Aspekte für das Management klinischer Risi-ken. Sie bietet auf diese Weise die Integration von Qualitäts- und klinischem Risikomanage-ment mit nur einem Regelwerk. Die Norm for-dert nicht nur risikobasiertes Denken, sondern explizit klinisches Risikomanagement.

Kontakt: Nadja Götz Produktmanagerin EN 15224 nadja.goetz@dqs.de

Das Werkzeug von morgen – Innovations-Audits der DQS Mitte 2016 hat die DQS auf der Basis des Leitfadens für die Erarbeitung und Aufrecht-erhaltung eines Innovationsmanagement-systems (IMS), CEN/TS 16555-1:2013, ein erstes Innovations-Audit als Pilotprojekt durchgeführt. DQS-Auditor Dr. Markus Reimer entdeckte dabei nicht nur Verbesserungspo-tenziale, sondern auch die Begeisterung von Unternehmensführung und Belegschaft, ein solches Audit zu wiederholen. Wie funktioniert ein Innovations-Audit? Das Unternehmen füllt im Vorfeld ein Self Assessment aus – Umfang: 15 Fragen. Daran schließt sich ein eintägiges Audit vor Ort an. Zu den Interviews ist die kom-plette oberste Leitung eingeladen sowie Mitar-beiter aus allen Abteilungen. Einen ersten Sta-tus quo über seine Innovationsfähigkeit erhält das Unternehmen bereits in der Abschluss-besprechung. Der Bericht listet die Verbesse-rungspotentiale im Detail auf.

Kontakt: Anke Mühl Projektmanagerin anke.muehl@dqs.de

Weitere Veranstaltungen, Termine, ausführliche Informationen, Programme und Anmeldung finden Sie unter www.dqs-veranstaltungen.de

HerausgeberDQS GmbH Deutsche Gesellschaft zur Zertifizierung von ManagementsystemenAugust-Schanz-Straße 21 60433 Frankfurt am MainTel. +49 69 95427-0 Fax +49 69 95427-111

VerantwortlichMatthias Vogel und Ilona Korall, DQS GmbH Tel. +49 69 95427-125 ilona.korall@dqs.de

Redaktion & Layout: kompri, Triefenstein

Druck: johnen-druck, Bernkastel-Kues

Member of:

Kundenzeitschrift der DQS GmbH, Deutsche Gesellschaft zur Zertifizierung von Managementsystemen und ihrer verbundenen Unternehmen. Auflage 12.000 Ex., gedruckt auf umweltfreundlich hergestelltem Papier. Nachdruck von Beiträgen, auch auszugsweise, nach Rücksprache mit der Redaktion und bei Angabe der Quelle gern gestattet.IM

PRES

SUM

WEBINAREZukunftsfähiges Umweltmanagement – Normrevision ISO 14001:201513. Juni 2017 um 10:00 Uhr

Der sichere Übergang – Normrevision ISO 9001:201513. Juli 2017 um 10:00 Uhr

DQS-WORKSHOPSFührung und Verpflichtung – Neue Gewichte in ISO 9001:201513. Juni 2017 in Hamburg Gemeinsam beleuchten wir die Anforderungen der neuen Norm zu Organisations- und Hand-lungspflichten des Top-Managements und analysieren damit einhergehende Verände-rungen bei den Verantwortlichkeiten und den Rollen der Unternehmensleitung.

Der sichere Übergang – Intensivworkshops zur Normrevision ISO 14001:2015 (2 Tage)

22. und 23. Juni 2017 in Frankfurt am MainLernen Sie die bestechend einfache Logik der ISO 14001:2015 kennen und vertiefen Sie Ihr Wissen über die revidierten Anforde-rungen der neuen Umweltnorm. Im Workshop erfolgt ein praxisnaher Wissenstransfer durch Impulsbeiträge, die sich aus den neuen Anfor-derungen und dem Umgang mit der Norm aus DQS-Sicht speisen.

Dokumentierte Information für ein wirksames Managementsystem30. Juni 2017 in Frankfurt am MainDie Anforderung nach Dokumentation ist für viele Unternehmen oftmals der erste Berüh-rungspunkt in Bezug auf die Umsetzung der ISO 9001:2015. Lernen Sie, welche Art der Dokumentation die Qualitätsmanagementnorm verlangt und welche neuen Begrifflichkeiten und Chancen damit verbunden sind.

VERA

NSTA

LTUN

GENTermine, die Sie sich (vor)merken sollten …

Auch 2017 erwartet Sie wieder eine spannende Themenvielfalt, und Sie sind herzlich eingeladen: zum Zuhören und Diskutieren, zum Fragen und Erfahrungsaustausch, zum mit- und voneinander Lernen. Wir freuen uns auf die Begegnung mit Ihnen.

Integrierte Managementsysteme I – Der Aufbau3. Juli 2017 in Frankfurt am Main Integrierte Managementsysteme helfen Ihnen, Ressourcen zu bündeln und Synergien zu nut-zen. Im Workshop erarbeiten Sie praxisnahe Beispiele, wie Sie aufbauend auf der neuen Grundstruktur der ISO 9001 und ISO 14001 weitere Managementsysteme integrieren.

Integrierte Managementsysteme II – Das Auditieren4.Juli 2017 in Frankfurt am MainDas Auditieren von integrierten Manage-mentsystemen stellt eine besondere Heraus-forderung dar. Gemeinsam entwickeln wir Lösungen, wie Sie mithilfe spezieller Metho-den die Auditphasen Planung, Durchführung und Nachbereitung erfolgreich umsetzen können.

Managementbewertung nach ISO 9001:2015 7. Juli 2017 in HamburgErfahren Sie, wie Sie systematisch und effizient mit einer Managementbewertung einen echten Nutzen zur Steuerung des Unternehmens und des Qualitätsmanage-mentsystems erreichen. Weg vom jährlichen Pflichttermin und hin zum Führungsinstru-ment, um die Erfüllung der Anforderungen der ISO 9001:2015 an die oberste Leitung sicherzustellen.

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2017

19

BGM-FORUMGefährdungsbeurteilung psychischer Belastungen als Einstieg in ein wirkungs-volles BGM-System

Kooperationsveranstaltung der DQS und der BAD Gesundheitsvorsorge und Sicherheits-technik

21. Juni 2017 in Wiesbaden

Die eintägige Kooperationsveranstaltung von DQS und DGQ vermittelt Ihnen in angeneh-mer Atmosphäre die wichtigsten Kenntnisse zur neuen IATF 16949:2016. Es geht zu Beginn des Workshops um den Aufbau und die wesentlichen Neuerungen der Norm im Vergleich zu ISO/TS 16949:2009. Zudem informieren wir Sie über die aktuellen Zertifizierungsregeln und Übergangszeiten. In einem zweiten Teil vertiefen wir die neuen Anforderungen und verbinden das mit einem gemeinsamen Erfahrungsaustausch im Hinblick auf die praktische Umsetzung.

Revision IATF 16949:2016Kooperationsveranstaltung von DQS und DGQ

27. Juni 2017 in Nürtingen8. November 2017 in Bad Vilbel

Die Veranstaltung ist kostenpflichtig. Weitere Informationen und Anmeldung unter www.dqs-veranstaltungen.de

Aus dem Programm:�� Wesentliche Änderungen im Überblick�� Zertifizierungsregeln und Transition �� Erweiterte Anpassungen im Detail �� Erfahrungsaustausch zur praktischen Umsetzung