Dipl.-Biol. Bettina Huck, Dr. Thomas Wacker
Für Unternehmen aller Branchen und Größen gilt – unabhängig davon, ob Managementsysteme (s. Abschn. 1.1 und 1.2) eingerichtet sind oder nicht – dass relevante Vorschriften identifiziert, bewertet und umgesetzt werden müssen, um sichere und gesunde Arbeitsplätze zu gewährleisten und rechtssicher zu arbeiten.
Nach einer ersten Bestandsaufnahme muss also ein Prozess zum Managen von Vorschriften installiert werden, insbesondere für neue und geänderte Regelungen. Die Geschäftsleitung ist für die Umsetzung verantwortlich. Idealerweise benennt sie eine Person, die den Prozess steuert. Das Delegieren der gesamten Aufgabe an nur einen Verantwortlichen ist dagegen weniger sinnvoll.
Aufgaben der Unternehmen
Unternehmen müssen i. W.
- ermitteln, welche Vorschriften für sie gelten; bei mehreren Unternehmensstandorten ist dies für jeden Standort erforderlich;
- bewerten, was das für sie konkret bedeutet und die Bewertung dokumentieren;
- Maßnahmen aus relevanten Vorschriften ableiten;
- Verantwortliche für das Umsetzen der Maßnahmen bestimmen und sie darüber informieren;
- die Umsetzung der Maßnahmen überwachen;
- Vorschriften regelmäßig aktualisieren und bewerten, ob festgelegte Maßnahmen noch ausreichen oder angepasst werden müssen;
- Änderungen von Rechtsvorschriften dokumentieren.
Werden relevante Vorschriften nicht ermittelt oder nicht umgesetzt, können Unfälle oder berufsbedingte Erkrankungen den Erfolg des Unternehmens gefährden; und es drohen Bußgelder oder Haftung wegen Organisationsverschulden.
1.1 Managementsysteme für Arbeitsschutz, Umwelt und Energie
Sind Managementsysteme eingerichtet, müssen Unternehmen bestimmen, wie geltende rechtliche Verpflichtungen und andere Anforderungen anwendbar sind und im Managementsystem berücksichtigt werden. D. h. konkret, dass der Bezug von rechtlichen Anforderungen zu den Prozessen bzw. SGA-Risiken im Unternehmen hergestellt werden muss. Entsprechende Normkapitel sind:
- ISO 45001:2023 Kap. 6.1.3: Aktuelle rechtliche Verpflichtungen und andere Anforderungen
- ISO 14001:2015 Kap. 6.1.3: Bindende Verpflichtungen
- ISO 50001:2018 Kap. 4.2: Geltende rechtliche Anforderungen und andere Anforderungen
Anschließend müssen Unternehmen bestimmen, wie geltende rechtliche Verpflichtungen und andere Anforderungen bewertet und aufrechterhalten werden. Identifizierte Vorschriften müssen eingehalten, Änderungen müssen verfolgt werden:
- ISO 45001:2023 Kap. 9.1.2: Bewertung der Compliance mit rechtlichen Verpflichtungen und anderen Anforderungen
- ISO 14001:2015 Kap. 9.1.2: Bewertung der Einhaltung von Verpflichtungen
- ISO 50001:2018 Kap. 9.1.2: Einhaltung rechtlicher und anderer Anforderungen bewerten
1.2 DIN ISO 37301:2021
Die internationale Norm "Compliance-Managementsysteme – Anforderungen mit Leitlinien zur Anwendung" ist ein einheitlicher Standard für Organisationen aller Branchen und Größen inkl. privater, öffentlicher und gemeinnütziger Organisationen. Sie hat die ISO 19600 abgelöst. Compliance wird als "Erfüllung aller Compliance-Pflichten einer Organisation" definiert und umfasst neben geltendem Recht auch gesellschaftlichen und umweltbezogenen Kontext. Ebenso sollen Technologien, gesellschaftliche Situationen und alle internen Strukturen inklusive Politiken, Verfahren, Prozessen und Ressourcen betrachtet werden. Zum Kontext, der ebenfalls betrachtet werden muss, gehört auch das Geschäftsmodell mit Strategie, Nachhaltigkeit aller Aktivitäten und Betrieb der Organisation sowie Art und Umfang der Geschäftsbeziehungen zu dritten Parteien, mit der Betrachtung aller Anforderungen von interessierten Parteien. Dazu muss eine Compliance-Kultur aufgebaut und aktiv gefördert werden.
Die Norm ermöglicht eine systematische Vorgehensweise und ist zertifizierbar. Wie die Managementnormen für Arbeitsschutz, Umwelt und Energie ist sie in der High Level Structure gegliedert, dies erleichtert das Integrieren in ein bestehendes Managementsystem. Die Schritte Plan, Do, Check und Act (PDCA-Zyklus) ermöglichen einen Verbesserungsprozess.
Da viele Kernelemente der ISO 19600 beibehalten wurden, müssen sich Organisationen, die bereits die Richtlinien der abgelösten ISO 19600 befolgen, kaum umstellen.
Compliance-Managementsysteme (CMS) dienen dazu, Risiken zu erkennen, die durch regelwidriges Verhalten in einem Unternehmen entstehen können. Und CMS ermöglichen, auf erkannte Risiken zu reagieren und Fehlverhalten von Mitarbeitern zu vermeiden. So können Gesetzesverstöße wirksam verhindert werden.
Vorstand und Unternehmensleitung können mit einem funktionierenden CMS belegen, dass sie ihrer Organisationspflicht nachkommen, eine Haftung wegen Organisationsverschulden kann so abgewendet werden.