Product-Compliance-Management-Systeme als Bestandteil einer unternehmensweiten Governance
thodonal – stock.adobe.com

Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

Product-Compliance-Management-Systeme als Bestandteil einer unternehmensweiten Governance

Neue Standards und Ableitung entsprechender Vorgaben

19. Juni 2024, von Philipp Reusch

Artikel als PDF (Download)

 

Product-Compliance steht seit 2015 deutlich höher in der Agenda, als es die Jahrzehnte davor der Fall war. Weitere Gründe hierfür sind mittlerweile auch gesetzgeberisch verankert worden. Hierzu bedurfte es nicht einmal des letztlich zumindest aufgeschobenen Verbandssanktionengesetzes, der europäische Gesetz­geber hat in verschiedenen Regelwerken der vergangenen Jahre einen Anspruch auf eine entsprechende Unternehmensorganisation verankert. Flankiert wird diese Entwicklung durch nichtgesetzliche Standards, die entweder aus den Prüforganisationen heraus gebildet werden, wie der IDW PS 980, oder die sich branchenspezifisch, wie der „VDA-Rotband Product Compliance“, zu etablieren versuchen.

Product-Compliance ist produktbezogen bereits komplex und kompliziert, die Organisation derselben in ­einem ­Unternehmen mit vielfältigen Produkten und unterschiedlichen Zielmärkten umso herausfordernder. Die inhaltlichen Fragen rund um Product-Compliance sind – heute und vor allem in der Vergangenheit – regelmäßig personenbezogen in den Unternehmen abgedeckt worden, eine klare Organisation fehlt dagegen häufig.
Zielsetzung der nachfolgenden Überlegungen ist daher der Versuch der Definition eines Mindestanspruchs an ein Product-Compliance-Management System (PCMS) und die Ableitung entsprechender Vorgaben aus den allgemeinen Governanceansätzen wie dem bekannten Drei-Linien-Modell und entsprechenden Standards.

Product-Compliance ist im Übrigen kein gesetzlich ­definierter Begriff, weder der europäische noch der deutsche Gesetzgeber verwendet diesen überhaupt. Der dennoch generell genutzte und verbreitete Begriff bezeichnet grundsätzlich die systematische Einhaltung von gesetz­lichen und regulatorischen Vorgaben, die für die Entwicklung, Herstellung, Vermarktung und für den Vertrieb von Produkten gelten. Product-Compliance umfasst unter ­anderem Aspekte wie Produktsicherheit, produktbezogenen Umweltschutz, Qualitätsmanagement, Datenschutz und Marktüberwachung.

Was versteht man unter einem Product-Compliance-Management-System?

Ein Product-Compliance-Management-System (PCMS) ist ein systematischer Ansatz, um die Anforderungen an Product-Compliance zu identifizieren, zu implementieren, zu überwachen und zu verbessern. Ein Product-Compliance-Management-System umfasst regelmäßig in unterschiedlichen Ausprägungen folgende Elemente:

  • Product -Compliancestrategie
  • Product-Complianceorganisation
  • Product-Compliancekultur
  • Product-Compliancedokumentation
  • Product-Compliancekommunikation
  • Product-Complianceschulung
  • Product-Compliancekontrolle
  • Product-Complianceberichtsfunktion

 

Was versteht man unter dem Drei-Linien-Modell?

Das Drei-Linien-Modell ist ein anerkanntes Rahmenwerk für die Gestaltung und Steuerung von Compliance-­Management-Systemen. Dieses Modell unterscheidet drei Ebenen von Akteuren, die jeweils unterschiedliche Rollen und Verantwortlichkeiten haben: die erste Linie als operative Ebene, die zweite Linie als überwachende Ebene und die dritte Linie als unabhängige Ebene. Die erste Linie ist für die Umsetzung und Einhaltung der Complianceanforderungen zuständig, die zweite Linie ist für die Unterstützung, Beratung und Kontrolle der ersten Linie zuständig, und die dritte Linie ist für die unabhängige Prüfung und Bewertung der Compliancewirksamkeit zuständig.

Wie kann das Drei-Linien-Modell auf ein PCMS angewendet werden?

Das Drei-Linien-Modell kann als Orientierungshilfe für die Ausgestaltung eines Product-Compliance-Management-Systems dienen. Dabei sollten folgende Punkte ­beachtet werden:

Die erste Linie

Die erste Linie sollte aus den operativen Einheiten bestehen, die direkt mit den Produkten zu tun haben, wie etwa Entwicklung, Produktion, Marketing und Vertrieb. Diese Einheiten sollten die Product-Complianceanforderungen kennen, umsetzen und überwachen sowie Abweichungen und Vorfälle melden. Zu den Product-Compliance­anforderungen gehören auch die Vorgaben der ­neuen Produktsicherheitsverordnung (EU) 2023/988, die ab dem 13.12.2024 direkt gelten wird und die bisherige Richtlinie 2001/95/EG und das deutsche Produktsicherheitsgesetz (ProdSG) in der aktuellen Form ablösen wird. Die Produktsicherheitsverordnung schreibt unter anderem vor, dass die Produkte mit einer eindeutigen Kennnummer versehen werden müssen, die es ermöglicht, die Wirtschaftsakteure in der Lieferkette zu identifizieren, und dass die Produkte mit einer Internetadresse versehen werden müssen, die den Zugang zu Informationen über die Konformität und Sicherheit der Produkte erleichtert.

Außerdem verpflichtet die Produktsicherheitsverordnung die Wirtschaftsakteure, die in der Lieferkette eine wesentliche Rolle spielen – wie zum Beispiel Hersteller, Einführer, Händler und Fulfilment-Dienstleister –, zu bestimmten Maßnahmen, um die Produktsicherheit zu gewährleisten. Diese Pflichten umfassen unter anderem die Durchführung von Risikobeurteilungen und Konformitätsbewertungen, die Anbringung von Warnhinweisen, die Bereitstellung von Informationen für die Behörden, die Zusammenarbeit bei der Rückverfolgbarkeit, die Teilnahme an Korrekturmaßnahmen und die Meldung von gefährlichen Produkten. In diesem Kontext hervorzu­heben ist insbesondere die Verpflichtung zur Durchführung einer produktbezogenen Risikoanalyse – unabhängig von der Gefährlichkeit oder Komplexität der Produkte – und die aus Art. 14 der neuen Produktsicherheits­verordnung abgeleitete Forderung nach einem internen System zur Gewährleistung der Einhaltung der gesetz­lichen Anforderungen.

Die zweite Linie

Die zweite Linie sollte aus den überwachenden Einheiten bestehen, die die operative Ebene unterstützen, ­beraten und kontrollieren, wie etwa Product-Compliance-­Manager, Qualitätsmanager, Datenschutzbeauftragte und Rechtsabteilung. Diese Einheiten sollten die Product-Compliancestrategie definieren, die Product-Comp­lianceorganisation aufbauen, die Product-Com­pliancekultur fördern, die Product-Compliancedokumentation erstellen, die Product-Compliancekommunikation ­koordinieren, die Product-Complianceschulung durchführen, die Product-Compliancekontrolle durchführen, die Product-Complianceberichterstattung erstellen und die Product-Complianceoptimierung anstoßen. Dabei sollten sie auch die Anforderungen der Produktsicherheitsverordnung berücksichtigen und sicherstellen, dass die operativen Einheiten über die notwendigen Ressourcen, Prozesse und Systeme verfügen, um diese zu erfüllen. Sie sollten auch die Einhaltung der Pflichten nach Art. 14 Produktsicherheitsverordnung überwachen, die je nach Rolle der Wirtschaftsakteure variieren, was sich insbesondere bei größeren Handelsunternehmen im Vergleich zu Herstellern manifestiert. Sie sollten zudem die operativen Einheiten dabei unterstützen, die erforderlichen Dokumente und Nachweise für eine Konformitätsbewertung, die Warnhinweise, die Informationen für die Behörden, die Rückverfolgbarkeit, die Korrekturmaßnahmen und die Meldung von gefährlichen Produkten zu erstellen und bereitzustellen.

Die dritte Linie

Die dritte Linie bilden unabhängige Einheiten, die die Compliancewirksamkeit prüfen und bewerten, wie zum Beispiel interne Revision, externe Auditoren und Aufsichtsbehörden. Diese Einheiten sollten die Product-Compliancerisiken analysieren, die Product-Complianceprozesse auditieren, die Product-Compliancemaßnahmen bewerten und die Product-Complianceempfehlungen aussprechen. Dabei sollten sie auch die Einhaltung der Produktsicherheitsverordnung überprüfen und gegebenenfalls Verbesserungsvorschläge machen. Sie sollten insbesondere darauf achten, ob die operativen Einheiten ihre Pflichten nach Art. 14 Produktsicherheitsverordnung erfüllen und ob diese effektiv sind.

Welche Anpassungen des Drei-Linien-Modells sind aus Sicht eines PCMS notwendig?

Die Funktionalität eines PCMS bezüglich der Produktkonformität einzelner Produktserien ist in vielen ­Aspekten durch Vorgaben außerhalb des verantwort­lichen Unternehmens geprägt. Lieferanten und die gesamte Supply-Chain tragen erheblich zur Einhaltung regulatorischer Vorgaben bei – oder eben zu einer kritischen Abweichung.

Die Logik eines Drei-Linien-Modells ist dabei grundsätzlich darauf ausgerichtet, die entsprechenden rechtlichen Anforderungen durch Vorgaben und Know-how in der ersten Linie und einer Überwachung durch die zweite ­Linie sicherzustellen.

Im Bereich von Product-Compliance, insbesondere in Verbindung mit einer niedrigen Fertigungstiefe und ­einer weltweiten Supply-Chain, ist diese Herangehensweise nicht zwingend effektiv. Im Grunde ist die Überwachung und Kontrolle von Vorgaben an die Lieferanten durch ­jeweilige Product-Compliancestellen im Einkauf und der Produktion schlicht regelmäßig zu spät. Erst die Kombination eines anlass- oder stichprobenbezogenen Über­wachungssystems für Lieferanten und deren Produkte mit einem vertraglich verankerten und in dem Sourcing von Komponenten beginnenden Spezifikationsprofil gegenüber dem Lieferanten vor der Beauftragung von Zulieferteilen leistet eine Zuordnung der Product-Compliance an die Stelle, wo sie im Sinne eines „cheapest cost avoider“ hingehört.

Während also bislang in vielen Unternehmen ein Product-Compliance-Officer (PCO) als „last man standing“ versuchte, die Produkte unabhängig der ansonsten ­wenig anforderungsgerechten Prozesse zu gestalten, ist die Weiterentwicklung zu einem PCMS nicht allein eine reine Adaption des Drei-Linien-Modells, in dem die erste Linie jeweils Product-Compliance stakeholderbasiert umsetzt und durch einen PCO in der zweiten Linie überwacht und unterstützt wird. Vielmehr wird es darum gehen, die in der ersten Linie umzusetzenden Anforderungen so weit als möglich in die Supply-Chain abzugeben bzw. zu spiegeln. Hierzu muss naturgemäß das Unternehmen selbst in der Lage sein, die Anforderungen an seine End­produkte zu identifizieren und granuliert in die Supply-Chain zu ­geben. Deren Umsetzung allerdings sollte auf der ­Ebene der nachfolgenden Lieferanten sichergestellt und auch durch Tests und notwendige Zertifikate nach­gewiesen werden, ohne dass eine nachträgliche Kontrolle die ­einzige Einflussmöglichkeit des Herstellers wäre.

Auf der dritten Ebene des Drei-Linien-Modells wird ­umgekehrt die Frage zu stellen sein, ob nicht die Aufwertung des Product-Compliance-Officer in eine sehr unabhängige, direkt dem Vorstand oder der Geschäftsführung unterstellte Stelle mit allen notwendigen Funktionen – aber auch der entsprechenden Verantwortung und Kompetenz – die Notwendigkeit einer Art internen Revision ersetzt. Trotz alledem bieten sich entsprechende externe Checks an, um die Funktionalität per se von Zeit zu Zeit zu überprüfen.

Im Kern schmilzt damit gemäß den hier dargestellten Überlegungen das Drei-Linien-Modell in ein Eineinhalb-Linien-Modell zusammen, bei dem die erste Linie mindestens hälftig durch entsprechend vertraglich verpflichtete und überwachte Lieferanten abgebildet wird.

Zielführend und effektiv sollte daher eine Umgestaltung des Drei-Linien-Modells für Product-Compliance sein, wobei die erste Linie die Anforderungen an die Endprodukte definiert und an die Lieferanten weitergibt, die für deren Umsetzung und Nachweis verantwortlich sind. Die dritte Linie wird durch eine unabhängige und kompetente Stelle ersetzt, die dem Vorstand oder der Geschäftsführung untersteht und die Funktionalität des Systems überprüft. Das Ergebnis ist ein Eineinhalb-Linien-Modell, das ein effizientes und effektives Product-Compliance-­Management ermöglichen sollte.

 

 

 

Autor

Philipp Reusch reuschlaw, Berlin Rechtsanwalt, Founding Partner p.reusch@reuschlaw.com www.reuschlaw.comPhilipp Reusch
reuschlaw, Berlin
Rechtsanwalt, Founding Partner

p.reusch@reuschlaw.com
www.reuschlaw.com

Themen

Aktuelle Beiträge

Europäische Aktiengesellschaft (SE) ohne vorheriges Verhandlungsverfahren möglich
AnwaltSpiegel
Europäische Aktiengesellschaft (SE) ohne vorheriges Verhandlungsverfahren möglich Die aktuelle Entscheidung des EuGH weiterlesen
Ein Jahr Hinweisgeberschutzgesetz
AnwaltSpiegel
Ein Jahr Hinweisgeberschutzgesetz Im Blickpunkt: Erste Praxiserfahrungen weiterlesen
Das Sabbatical
AnwaltSpiegel
Das Sabbatical Chancen und rechtliche Rahmenbedingungen einer Auszeit von der Arbeit weiterlesen
© 2024 Deutscher AnwaltSpiegel