Externe Bereitsstellung: Rechtsverhältnis zum Lieferanten

Die Qualität der eigenen Produkte oder Dienstleistungen hängt maßgeblich von der Qualität der gelieferten Produkte ab. Daher gilt der Sicherung der Erfüllung der eigenen Anforderungen in diesem Zusammenhang ein besonderes Augenmerk. Die Gründe für ein Outsourcing, eine sogenannte externe Bereitstellung, können höchst unterschiedlicher Natur sein, z.B. kann eine Organisation selbst keine FuE-Leistungen erbringen mangels Know-how oder Ressourcen, oder sie kann die Qualität dieser beschafften Produkte selbst nicht ausreichend oder wirtschaftlich sicherstellen.

Externe Bereitstellung in der ISO 9001

Der Notwendigkeit, bestimmte Prozesse, Teilprodukte oder Dienstleistungen einkaufen zu können, wird die ISO 9001 gerecht, indem in der Version 2015 den Anforderungen an die externen Anbieter (external providers) mehrere Abschnitte gewidmet sind. Der bisherige Abschnitt Beschaffung (Abschnitt 7.4 ISO 9001:2008) wird hierdurch obsolet.

Gleiches gilt auch für den Begriff des ausgelagerten Prozesses, der jetzt durch die Zusammenfassung als Steuerung extern bereitgestellter Prozesse, Produkte und Dienstleistungen weiter gefasst und deutlich umfangreicher geregelt wird.

Vertragsrechtlich hängt der Umfang der gegenseitigen Verpflichtungen von den konkreten Vereinbarungen ab. Qualitätssicherungsvereinbarungen können den Rahmen für die Qualitätssicherung in der Lieferkette bilden. Sie sind häufig auf eine langfristige, vertrauensbildende Zusammenarbeit angelegt.

Steuerung von extern bereitgestellten Prozessen, Produkten und Dienstleistungen

Jede Organisation, die ein Qualitätsmanagementsystem nach ISO 9001 einführt, muss sicherstellen, dass extern bereitgestellte Prozesse, Produkte und Dienstleistungen so gesteuert werden, dass die daran gestellten Anforderungen erfüllt werden.

Solche Maßnahmen sind nach Abschnitt 8.4.1 zu ergreifen, wenn

• Produkte oder Dienstleistungen externer Anbieter in die eigenen Produkte oder Dienstleistungen integriert werden sollen,
• eine Bereitstellung von Produkten oder Dienstleistungen direkt vom externen Anbieter an die Kunden geliefert wird,
• ein ganzer Prozess oder ein Teilprozess nach Entscheidung des Unternehmens vom externen Anbieter bereitgestellt wird.

Um in jedem Fall die qualitativ vereinbarte Leistung abrufen zu können, müssen Kriterien zur Beurteilung, Auswahl, Leistungsüberwachung und Bewertung der Lieferanten aufgestellt werden. Maßstab ist die Fähigkeit des externen Anbieters sicherzustellen, dass die Anforderungen an den Prozess oder das Produkt erfüllt werden. In diesem Zusammenhang sind dokumentierte Informationen einschließlich der notwendigen Maßnahmen in Bezug auf die Bewertungen der Lieferanten bereitzustellen.

Art und Umfang der Steuerung

Eine Steuerung der externen Anbieter hat nach Abschnitt 8.4.2 in einer Art und Weise zu erfolgen, dass sichergestellt wird, dass eine Lieferung der Produkte oder eine Erbringung der Dienstleistung beständig und ohne Nachteile erfolgen kann. Hierfür ist erforderlich, dass die Prozesse oder Produkte laufend als Teil des eigenen Qualitätsmanagementsystems gesteuert werden können. Dies beinhaltet eine Beeinflussung der Leistungsprozesse selbst wie auch eine Reaktion auf mögliche Ergebnisse der Bewertungen.

Von einer umfassenden Steuerung kann nur dann gesprochen werden, wenn bereits potenzielle Auswirkungen der extern bereitgestellten Prozesse, Produkte oder Dienstleistungen auf die Qualitätsfähigkeit des Unternehmens, auch im Hinblick auf die Einhaltung gesetzlicher und behördlicher Anforderungen, erfasst und berücksichtigt werden. Gleiches gilt für die Steuerung der Maßnahmen, die der externe Anbieter selbst ergreift.

Die von Dritten erbrachten Leistungen sind laufend zu verifizieren oder ggf. weitere Maßnahmen einzuleiten, um die Erfüllung der Anforderungen sicherzustellen.

Informationen für externe Anbieter

Im Vorfeld einer externen Beauftragung sind die bereitzustellenden Informationen nach Abschnitt 8.4.3 der ISO 9001 auf ihre Angemessenheit zu überprüfen. In diesem Zusammenhang bestehen umfangreiche Informationspflichten des Unternehmens:

• Informationen über die bereitzustellenden Prozesse, Produkte und Dienstleistungen
• Genehmigungen dieser Leistungen, der Methoden, Prozesse und Ausrüstungen sowie die Freigabe
• Kompetenz des externen Anbieters sowie der für ihn handelnden Personen
• Zusammenarbeit des Unternehmens und des externen Lieferanten
• Steuerung und Überwachung des externen Anbieters
• Verifizierungs- und Validierungstätigkeiten beim jeweiligen Anbieter

Die Verifizierungs- und Validierungstätigkeiten werden häufig sogenannte Lieferantenaudits, auch Second-Party-Audits genannt, beinhalten. Das Unternehmen auditiert den externen Anbieter im Hinblick auf die Qualität der Produkte und Dienstleistungen. Es handelt sich demnach um eine originär qualitätssichernde Maßnahme, die in vielen Branchen der Üblichkeit entspricht. Ziel ist die dauerhafte Sicherung der leistungsgerechten und vereinbarten Erbringung der Produkte oder Dienstleistungen.

Das Audit muss sich nicht zwingend auf das Thema Qualität beschränken, sondern kann weitere Aspekte (z.B. Sicherheit, Umwelt, Hygiene o.Ä.) mit abdecken.

Eigentum der externen Anbieter

Besonders hervorgehoben wird explizit in Abschnitt 8.5.3 der Umgang mit Eigentum des externen Anbieters. Hier erfolgt ein Gleichlauf mit dem Eigentum des Kunden. Diese Anforderungen waren im Kern bereits in der Version 2008 enthalten; insbesondere wurde der Hinweis gegeben, dass hierzu auch geistiges Eigentum zählt. In der Folge wurde das Datenschutzrecht explizit als Teil eines Qualitätsmanagements eingeführt. Dieser Hinweis wurde nun sogar erweitert, indem festgelegt wird, dass hierunter neben den personenbezogenen Daten auch Materialien, Bauteile, Werkzeuge und Ausrüstungen, Betriebsstätten und geistiges Eigentum gehören können (siehe Anmerkung).

Solange sich das Fremdeigentum in der Einflusssphäre der Organisation bewegt, muss diese sicherstellen, dass damit sorgfältig umgegangen wird. Dies schließt insbesondere mit ein, dass das Eigentum gekennzeichnet, verifiziert, geschützt und gesichert wird.

Kommt es zu einem Verlust oder einer Beschädigung, so haben eine Mitteilung an den Eigentümer und eine entsprechende Dokumentation zu erfolgen.

Die Beschädigung oder der Verlust von Fremdeigentum hat zivilrechtliche Konsequenzen und zieht vertrags- und deliktsrechtliche Haftungsansprüche nach sich.