EHS-Compliance: Was steckt wirklich dahinter? Teil 1

Was Compliance bedeutet – und was die ISO 37301 dazu sagt

Compliance bedeutet Rechtskonformität: die systematische Einhaltung von Gesetzen, Verordnungen und – das ist entscheidend – auch von Auflagen aus Genehmigungsverfahren. Seit 2021 gibt es mit der ISO 37301 erstmals eine zertifizierbare internationale Norm für Compliance-Management-Systeme, die die frühere ISO 19600 ablöst.

Was fordert die ISO 37301 konkret?

Im Kern verlangt sie:

• die vollständige Ermittlung aller einzuhaltenden Verpflichtungen (Compliance-Register),
• klar definierte Verantwortlichkeiten für jeden Compliance-Bereich,
• eine Risikobewertung der identifizierten Anforderungen,
• dokumentierte Nachweise über die tatsächliche Einhaltung sowie
• eine regelmäßige Überprüfung und kontinuierliche Verbesserung des Systems.

Das klingt abstrakt – ist aber nichts anderes als das, was ein professionelles EHS-Management schon lange lebt. Die ISO 37301 schafft nun den normativen Rahmen, der auch für Compliance Officer verbindlich ist: Compliance ist kein punktuelles Thema, sondern ein Managementsystem.

EHS-Compliance ist nicht gleich Korruptionsprävention

An dieser Stelle lohnt sich eine wichtige Klarstellung: EHS-Recht und klassische Compliance-Themen wie Korruption, Bestechung, Sanktionslisten oder Kartellrecht sind verschiedene Disziplinen – auch wenn sie unter dem Oberbegriff "Compliance" zusammengefasst werden.

Korruptions- und Antikorruptionsrecht zielt auf menschliches Verhalten ab: Wer zahlt wem, wofür, und ist das zulässig? EHS-Recht hingegen reguliert technische Anlagen, Emissionen, gefährliche Stoffe, Arbeitsbedingungen und den Umgang mit der Umwelt. Ein Emissionsgrenzwert lässt sich nicht "im Wesentlichen einhalten" – entweder er wird eingehalten oder nicht. Eine Betriebsanlagengenehmigung aus dem Jahr 2003 ist genauso rechtsverbindlich wie ein aktuelles Gesetz. Das sind zwei völlig verschiedene Compliance-Welten.

Unternehmen, die EHS-Compliance nicht gleich ernst nehmen wie z.B. Korruption, gehen ein erhebliches rechtliches Risiko ein – von Verwaltungsstrafen über Betriebsschließungen bis zur persönlichen Haftung von Verantwortlichen.

Drei Gesetzgeber, ein Betrieb – das Regelungsmeer navigieren

Wer EHS-Compliance ernstnimmt, stößt schnell auf eine strukturelle Herausforderung: Es gibt kein zentrales "Umweltschutzgesetz" und kein einheitliches Arbeitsschutzgesetzbuch in Europa. Stattdessen regeln EU, nationale Gesetzgeber und auch die Länder teils denselben Sachverhalt, teils mit unterschiedlichen Anforderungen.

Ein Beispiel, das diese Komplexität anschaulich macht: Kälteanlagen und Klimatisierung. Wer in einem Unternehmen eine Klimaanlage betreibt, muss je nach Standort und Anlagentyp Anforderungen aus mehreren Rechtsquellen gleichzeitig erfüllen – Bautechnikverordnung des Bundeslandes, bundesrechtliche Kälteanlagenregelungen, Druckgeräteregelungen und die EU-Verordnung über fluorierte Treibhausgase (F-Gas-VO). Unterschiedliche Prüffristen, unterschiedliche Dokumentationspflichten, unterschiedliche Zuständigkeiten – und alle sind rechtsverbindlich.

Hinzu kommen die einschlägigen Managementnormen, die dieses Thema aus einer anderen Perspektive adressieren:

• ISO 14001 (Umweltmanagementsysteme) fordert die systematische Ermittlung aller relevanten Umweltrechtsanforderungen und deren nachgewiesene Einhaltung.
• ISO 45001 (Arbeitssicherheitsmanagementsysteme) verlangt dasselbe für den Bereich Arbeitsschutz und Arbeitssicherheit.
• ISO 50001 (Energiemanagementsysteme) bezieht Energierecht und -effizienzanforderungen explizit in die Compliance-Verpflichtungen ein.

Diese Normen schaffen also eine normative Verpflichtung zur Legal Compliance – weit über "wir haben ein Handbuch" hinaus. Wer nach ISO 14001, 45001 oder 50001 zertifiziert ist oder werden will, braucht ein funktionierendes EHS-Rechtsregister.

Bescheide, Auflagen und "totes Recht" – unterschätzte Risiken

Gesetze und Verordnungen sind eine Sache. Bescheide eine andere. Ein Betriebsanlagengenehmigungsbescheid kann strenger sein als das zugrundeliegende Gesetz – und ist dennoch (oder gerade deshalb) vollständig rechtsverbindlich. Eine Auflage aus einem Genehmigungsverfahren aus dem Jahr 1998 gilt so lange, bis sie förmlich aufgehoben wird. Ob sie noch jemand im Unternehmen kennt, ist rechtlich irrelevant.

Besondere Vorsicht gilt beim sogenannten "toten Recht": Vorschriften, die in der behördlichen Praxis selten oder nie kontrolliert werden, aber geltendes Recht bleiben. Ein klassisches Beispiel ist die Pflicht zur Bekanntmachung von Emissionsdaten nach dem Umweltinformationsgesetz. Kaum bekannt, kaum kontrolliert – aber: Haben Sie an einer allgemein zugänglichen Stelle Messergebnisse wiedergegeben?

Und noch ein oft übersehener Punkt: Die regelmäßige Überprüfung nach § 82b GewO (Österreich) oder vergleichbare Eigenkontrollen (§ 19a Eisenbahngesetz, § 134 WRG) liegen in der Eigenverantwortung des Betriebes. Die Behörde erinnert nicht. Wer nicht vorbereitet ist, kann die aktuelle Prüfbescheinigung – die im Betreib aufzuliegen hat – nicht unverzüglich vorweisen. Und ohne Meldung an die Behörde darf es ja auch keine Mängel geben – Stimmt das so?

Soweit die rechtliche Ausgangslage. Doch wer trägt in der Praxis die Verantwortung für all das? Und was passiert, wenn Compliance Officer EHS-Themen einfach an die Beauftragten delegieren – und sich dann nicht mehr damit beschäftigen? Darum geht es in Teil 2.

Teil 2: Wer macht eigentlich EHS-Compliance – und wer sollte es tun? Coming soon!

Mehr zu diesem Thema: