Als ISO 45001 im Jahr 2018 nach fünfjähriger Entwicklungszeit erstmals veröffentlicht wurde, bemängelte die Arbeitnehmerseite, dass die Norm Arbeitnehmerrechte schmälern würde und Arbeitsschutz nicht privatwirtschaftlich reguliert werden sollte. Unternehmen als potenzielle Normanwender hoben hingegen die Vorteile von ISO 45001 besonders im Bereich Compliance hervor, weil SGA-Themen nun (auch dank der nun verwendeten High Level Structure) relativ einfach in die allgemeinen Geschäftsprozesse integriert werden konnten.
Anders als etwa in Ländern des Globalen Südens ist die rechtliche Lage mit Blick auf SGA-Themen in Deutschland geradezu vorbildlich und in vielen Bereichen strenger als die Anforderungen von ISO 45001. Bei der Anwendung der Norm geht es hierzulande deshalb vor allem darum, dafür zu sorgen, dass diese strengen Gesetze auch eingehalten werden, um mögliche Haftungsrisiken zu reduzieren oder ganz zu vermeiden und diese Stärke von ISO 45001 in einen spürbaren Nutzen für Unternehmen zu verwandeln.
Nachweis der Pflichterfüllung
Die Reduzierung des Haftungsrisikos durch ein akkreditiertes ISO 45001-Zertifikat wird durch zweierlei bewirkt: erstens durch die Reduzierung der Anzahl von Gefährdungen; falls trotz aller Bemühungen ein SGA-relevantes Ereignis eintritt, kann die Geschäftsführung zweitens vor Gericht anhand ihrer im zertifizierten SGA-Managementsystem aufrechterhaltenen und aufbewahrten dokumentierten Information nachweisen, dass sie alles in ihrer Macht Stehende getan hat, um SGA-relevante Vorfälle zu vermeiden und sich damit vom möglichen Vorwurf des Organisationsverschuldens frei machen.
Das Zertifikat an sich sagt bereits aus, dass das SGA-Managementsystem des Unternehmens jedes Jahr einem strengen externen Audit unterzogen wird. Die Auditberichte können also mit Blick auf die Reduzierung des Haftungsrisikos eine nicht zu unterschätzende Aussagekraft haben.
Die oberste Leitung weist damit im Prinzip nach, dass sie die in Kapitel 5 der Norm an sie gerichteten Anforderungen zu Führung und Verpflichtung erfüllt. Dazu gehört zunächst die Bereitstellung von Ressourcen (personell, finanziell, zeitbezogen etc.), damit das SGA-Managementsystem überhaupt wirksam sein kann. Eine weitere Pflicht ist es sicherzustellen, dass die SGA-Risiken im Unternehmen systematisch analysiert, bewertet und gegebenenfalls mit Korrekturmaßnahmen reduziert oder beseitigt werden (Kap. 6.1). Hier kommt es immer auch auf die tatsächlich gezogenen Stichproben an.
Gefordert wird in diesem Kapitel außerdem, dass die Leitung ihre bindenden Verpflichtungen systematisch ermitteln, zuweisen und die Einhaltung kontrollieren muss. Dies mündet in die Anforderung, eine entsprechende Liste – ein „Rechtskataster“ – zu erstellen, als dokumentierte Information im Sinne der Norm. Beispiele für übergeordnete Kategorien bindender Verpflichtungen sind:
- Gesetzgebung
- Verordnungen und Richtlinien
- Behördliche Anordnungen/Auflagen
- Genehmigungen und Lizenzen
- Gerichtsurteile oder Verwaltungserlasse
- Abkommen, Konventionen, Protokolle
- Tarifverträge
Diese Forderung schließt nicht aus, dass eine Verpflichtung nicht ermittelt oder nicht überprüft wurde. Auch das Nichterkennen während eines Audits ist möglich. Allerdings ist bei einer insgesamt konsequenten Umsetzung von Verpflichtungen weitgehend sichergestellt, dass kein Organisationsverschulden vorliegt und grobe Fahrlässigkeit ausgeschlossen werden kann. Insgesamt sollen immer drei Schritte vollzogen werden:
Erster Schritt: das interne Audit
Risikoanalyse bedeutet Ermittlung von Eintrittswahrscheinlichkeit und Schadensschwere. Daraus folgend fordern sowohl Norm als auch Gesetzgeber die Einleitung von Maßnahmen zur Reduzierung der ermittelten Risiken. Die Systematik dafür wird durch das Managementsystem sichergestellt. Auch dabei kann nie ausgeschlossen werden, dass ein Risiko falsch oder gar nicht bewertet wird, wodurch es wiederum zu einem Ereignis kommen kann. Jedoch ist durch die systematische Herangehensweise eine Fahrlässigkeit in den meisten Fällen klar auszuschließen.
Durch interne Audits wird eine interne Kontrolle durchgeführt. Interne Auditoren sollten sowohl zum Erkennen inhaltlicher als auch systematischer Schwächen genutzt werden. Diesem Zweck dienen später auch die externen Zertifizierungsaudits. Grundsätzlich erkennen Audits Schwachstellen und können durch unterschiedliche Sichtweisen (von innen und außen) Potenziale für Verbesserungen identifizieren und damit Risiken senken.
Die in Kap. 6.1.2 von ISO 45001 geforderte Risikoanalyse wird in Bezug auf mögliche Gefährdungen oder Verstöße durch das Unternehmen oder seine Belegschaft inklusive der Bewertung der Risiken im Rahmen eines eigenen Prozesses durchgeführt. In der Praxis setzt sich dieser Prozess in der Regel aus internen Audits, sonstigen Begehungen und einem turnusmäßigen Management Review zusammen. Der Prozess muss unter anderem folgende Themen berücksichtigen:
- Arbeitsorganisation
- soziale Faktoren
- Tätigkeiten und Gefährdungen
- relevante vergangene Ereignisse
- mögliche Notfallsituationen
- beteiligte Personen
- vom Unternehmen nicht beeinflussbare Faktoren
- Änderungen in der Organisation, in Prozessen und sonstigen Abläufen
- Änderungen von Informationen oder von Wissen über Gefährdungen
In den internen Audits wird etwa geprüft, ob das Unternehmen seine rechtlichen Verpflichtungen nicht nur kennt (Rechtskataster), sondern im Alltag auch einhält (Kap. 6.1.3), ob (auch weisungsbefugte) Beschäftigte die nötige Kompetenz für ihre Tätigkeit haben (Kap. 7.2), sich ihrerseits an Vorgaben halten oder diese überhaupt kennen (Kap. 7.3) oder ob etwa die vorgeschriebene persönliche Schutzausrüstung (PSA) funktionsfähig ist und genutzt wird (Kap. 8.1.2 /A.8.1.2.e). Auch die Frage, ob bei einem schwerwiegenden Vorfall das vorgesehene Procedere inklusive Meldungen an die zuständigen Behörden in der vorgegebenen Zeit umgesetzt wird, kann in einer Simulation geprüft werden (Kap. 7.4).
Zweiter Schritt: Management Review
Die im internen Audit gewonnenen Erkenntnisse werden im Management Review bewertet. Die verwendete Bewertungsmethode muss geeignet, die der Bewertung zugrundeliegenden Kriterien müssen aussagefähig sein. In diesem Verfahren werden nicht nur die Risiken aus möglichen Gefährdungen bewertet, sondern entsprechend der Eingabe aus dem internen Audit sowie der Einschätzung der Fachexperten und Bereichsleiter auch die Compliance (Kap. 9.1.2). Wurden im internen Audit Gefährdungen, Nichtkonformitäten oder Compliance-Verstöße festgestellt, müssen diese im Rahmen eines definierten Prozesses und nach einer festgelegten Maßnahmenhierarchie – dem sogenannten STOP-Prinzip in Kap. 8.1.2 – behandelt werden:
- Ersatz gefährlicher Arbeitsprozesse, Arbeitsstoffe etc. durch weniger gefährliche (Substitution)
- Anwendung technischer Maßnahmen, Veränderung der Arbeitsorganisation (Technisch)
- Anwendung administrativer Maßnahmen, Schulung (Organisatorisch)
- Einsatz von PSA (Persönlich)
Dritter Schritt: Restrisiken
In jedem noch so guten SGA-Managementsystem besteht ein Restrisiko, dass es zu Unfällen kommt – ausgelöst durch Fehlverhalten und menschliches Versagen. Die Vorhersehbarkeit solcher Ereignisse ist nicht zu 100 Prozent gegeben. Wenn es aber dazu kommt, ist eine klare Kette zum Nachweis einer sicheren Organisation und eine Dokumentation der Nachweise geradezu unerlässlich.
ISO 45001 bietet dem Management also ein gewisses Maß an Sicherheit, ein Stück weit aus dem Schneider zu sein. Jedenfalls dann, wenn die Geschäftsführung entsprechende Pflichten nachweislich erfüllt und wirksame Maßnahmen ergriffen hat. Dazu gehören intensive Schulungen und Unterweisungen der Beschäftigten (Kap. 7.2), das Schärfen ihres Bewusstseins für das SGA-Managementsystem und seine Anforderungen (Kap. 7.3) und die (interne) Kommunikation von relevanten Informationen und Anweisungen oder deren Änderung (Kap. 7.4.2). Die umgesetzten Normforderungen sind somit der erste Nachweis für eine Einhaltung der Kontrollpflicht des Arbeitgebers.
Fazit
Arbeitsunfälle finden im Berufsalltag beinahe ständig und überall statt – erhöhte Rechtssicherheit beim Thema Arbeitsschutz ist für Arbeitgeber beziehungsweise verantwortliche Geschäftsführer oder nachgeordnete Weisungsbefugte deshalb von großer Bedeutung; denn im Fall der Fälle müssen sie vor Gericht die Erfüllung ihrer Sorgfalts- und Kontrollpflicht nachweisen können. Ein zertifiziertes SGA-Managementsystem nach ISO 45001 bietet mit der Erfüllung der Normanforderungen den geeigneten Rahmen, erhöhte Rechtssicherheit herzustellen.