Mit der für Herbst 2026 erwarteten Veröffentlichung der ISO 9001:2026 steht eine Revision des weltweit wichtigsten Qualitätsmanagementstandards bevor, die auf den ersten Blick wenig spektakulär erscheint. Tatsächlich handelt es sich jedoch um eine Normanpassung mit erheblicher haftungsrechtlicher Sprengkraft. Die neue Fassung zwingt Organisationen faktisch dazu, Governance-, Risiko-, Compliance- und Prozessmanagement nicht nur formal, sondern wirksam in ihr Qualitätsmanagementsystem (QMS) zu integrieren. Wer dies ignoriert, riskiert mehr als ein schlechtes Audit: persönliche Haftung von Geschäftsleitungs- und QM-Verantwortlichen.
ISO 9001 als Fundament zahlreicher Branchenstandards
Die Bedeutung der ISO 9001 geht weit über das klassische Qualitätsmanagement hinaus. Sie bildet den Kern zahlreicher branchenspezifischer Standards, etwa in der Automobilindustrie (IATF 16949), der Luft- und Raumfahrt (EN/AS 9100), im Gesundheitswesen (EN 15224), bei Medizinprodukten (ISO 13485), in der Energieversorgung oder im öffentlichen Sektor. Änderungen der ISO 9001 wirken daher systemisch – sie strahlen auf ganze Industrien und Wertschöpfungsketten aus.
Die unterschätzte Rechtsnatur von Managementsystemen
Ein zentrales Defizit der ISO 9001 bleibt auch 2026 bestehen: Die Norm erläutert nicht klar ihre Rechtsnatur. Managementsystem-Standards sind keine bloßen "Good-Practice-Empfehlungen", sondern können in der Praxis eine quasi-rechtliche Wirkung bis hin zu "strafbarkeitskonstituierend" entfalten. Auch werden sie von Gerichten, Aufsichtsbehörden und Sachverständigen als "antizipierte Sachverständigengutachten" herangezogen. Wer zertifiziert ist, erklärt implizit, die normativen Anforderungen verstanden und umgesetzt zu haben – einschließlich der Einhaltung zwingender rechtlicher Vorgaben, wie im Standard gefordert.
Legalitätspflicht schlägt Normkonformität
Besonders problematisch ist, dass der Normtext zwar häufig von "gesetzlichen und behördlichen (rechtlichen) Anforderungen" spricht, dabei aber ein verkürztes Compliance-Verständnis offenbart. Rechtliche Verpflichtungen umfassen weit mehr: EU-Verordnungen, Rechtsprechung, anerkannte Regeln und Stand der Technik, interne verbindliche Vorgaben, vertragliche Verpflichtungen. Diese Legalitätspflicht gilt unabhängig von jeder ISO-Norm. Ein QMS, das in seinem Scope diese Anforderungen nicht systematisch identifiziert, bewertet und in Prozesse übersetzt, ist nicht nur unvollständig – es ist gefährlich.
Haftungsrisiken für Management, Auditoren und QMB
Die neue ISO 9001 enthält zahlreiche Muss-Anforderungen, die sich ausdrücklich auch an die "oberste Leitung" richten. Werden regulatorische Anforderungen im Rahmen des QMS nicht erkannt oder nicht wirksam umgesetzt und kommt es zu Personen- oder Sachschäden, geraten Geschäftsführung, Vorstand, Aufsichtsrat, aber auch Qualitätsmanagement-Beauftragte und interne Auditoren in den Fokus zivil-, straf- und bußgeldrechtlicher Ermittlungen. Prominente Fälle wie der Müller-Brot-Skandal oder der Transrapid-Unfall zeigen, dass auch QM-Verantwortliche persönlich belangt werden können oder der Existenz und Qualität von Prozessen strafbarkeitsbegründende Bedeutung zukommt.
Qualitätsmanagement enthaftet nicht – Compliance schon
Ein weit verbreiteter Irrtum: Ein zertifiziertes Qualitätsmanagementsystem wirke per se im Kontext Pflichtendelegation, Aufsichts- und Organisationspflichtverletzung haftungsentlastend. Tatsächlich hat die Rechtsprechung wiederholt klargestellt, dass in diesem Kontext nicht ein QMS per se, sondern ein wirksames Compliance-Managementsystem (CMS) und Risikomanagementsystem (RMS) enthaftende Wirkung entfalten kann – insbesondere bei Pflichtverstößen unterhalb der Leitungsebene. Die ISO 9001 verweist zwar implizit auf Compliance-Pflichten, ersetzt aber kein systematisches CMS nach ISO 37301 oder ein wirksames Risikomanagement (in Anlehnung an ISO 31000, IDW PS 340, COSO oder DIIR Revisionsstandard Nr. 2), das die Anforderungen der Rechtsprechung an enthaftende Wirkung erfüllt.
Risikobasiertes Denken – ein gefährlicher Euphemismus
Die ISO 9001:2026 hält weiterhin am Begriff des "risikobasierten Denkens" fest und erhebt ihn zu einem zentralen Leitmotiv des Qualitätsmanagements. Auf den ersten Blick klingt dies modern, flexibel und pragmatisch. Tatsächlich verbirgt sich hinter dieser Formulierung jedoch ein konzeptionell schwacher und rechtlich problematischer Ansatz, der den realen Anforderungen an den Umgang mit Risiken in Organisationen nicht gerecht wird.
Der Normtext suggeriert, dass es ausreiche, Risiken gedanklich zu berücksichtigen und punktuell Maßnahmen zu planen. Gleichzeitig wird explizit betont, dass keine formellen Methoden des Risikomanagements und kein dokumentierter Risikomanagementprozess erforderlich seien. Diese Aussage steht in eklatantem Widerspruch zu gesetzlichen Vorgaben, zur Rechtsprechung sowie zu den anerkannten Regeln der Technik. Risiken – insbesondere auch solche mit potenziell existenzbedrohenden Auswirkungen – lassen sich nicht durch "Denken" steuern, sondern nur durch systematische, nachvollziehbare und überprüfbare Verfahren.
In der betriebswirtschaftlichen, rechtlichen und prüferischen Praxis ist der Risikomanagement-Prozess klar definiert: Er verlangt eine strukturierte Risikoidentifikation, eine angemessene Risikoanalyse, eine quantitative Bewertung von Eintrittswahrscheinlichkeit bzw. -häufigkeit und Schadensausmaß, eine Risikoaggregation, eine Priorisierung, eine Steuerung durch geeignete Maßnahmen sowie eine laufende Überwachung. Dabei geht es nicht um akademische Vollständigkeit, sondern nach dem "risikobasierten Ansatz" priorisiert um den Schutz zentraler Rechtsgüter: Leib und Leben und Fortbestand der Organisation und persönliche Haftungsvermeidung der Organmitglieder oder der Beschäftigten.
Nach gefestigter Auffassung aus Gesetzgebung, Rechtsprechung und anerkannten Regeln der Technik gehört zur ordnungsgemäßen Unternehmensführung nicht nur die Identifikation einzelner Risiken, sondern deren systematische Aggregation und Gegenüberstellung mit der Risikotragfähigkeit. Ohne diese Gesamtbetrachtung ist weder eine fundierte unternehmerische Entscheidung noch eine belastbare Entlastung von Organmitgliedern möglich.
Besonders kritisch ist, dass das normative Schlagwort des "risikobasierten Denkens" in der Praxis häufig als Legitimation für methodische Beliebigkeit missverstanden wird. Statt fundierter Analysen treten einfache, aus dem Qualitätsmanagement entlehnte Scoring-Modelle oder veraltete FMEA-Logiken, die für Compliance- und Haftungsrisiken ungeeignet sind. Wer Risiken mit sehr hohem Schadenspotenzial – etwa Todesfälle, schwere Umweltverstöße oder massive Haftungsfolgen – aufgrund niedriger Eintrittshäufigkeiten und ungeeigneter Methoden herunterpriorisiert, bewegt sich rechtlich auf extrem dünnem Eis.
Gerade hier zeigt sich die Gefahr des Begriffs: "Risikobasiertes Denken" kann dazu verleiten, Risiken zwar zu erkennen, sie aber bewusst nicht angemessen zu behandeln. Aus juristischer Sicht ist dies hochproblematisch. Wird ein gravierender Schaden als möglich erkannt, aber aus Kostengründen oder aufgrund formelhafter Bewertungsmethoden nicht adressiert, kann dies im Ernstfall nicht mehr als Fahrlässigkeit gelten, sondern als bedingter Vorsatz (dolus eventualis). Die ISO 9001 bietet hierfür keinen Schutz – im Gegenteil: Die dokumentierte Risikoerkenntnis kann im Haftungsfall sogar belastend wirken.
Wirksames Risikomanagement ist keine freiwillige Zusatzdisziplin mehr, sondern gesetzliche Pflicht. Vorgaben zur Risikofrüherkennung, zur Beurteilung bestandsgefährdender Risiken und zur angemessenen Organisation finden sich unter anderem im Gesellschaftsrecht, im Insolvenzrecht, in spezialgesetzlichen Regelungen sowie in der gefestigten Rechtsprechung. Diese Anforderungen lassen sich nicht durch semantische Abschwächungen in einer Norm aushebeln.
Prozessmanagement als juristische Pflicht
Der prozessorientierte Ansatz der ISO 9001 wird in der Revision weiter betont. Prozesse sind jedoch keine rein organisatorischen Hilfsmittel, sondern rechtlich relevante Ablaufbeschreibungen. Fehlerhafte oder fehlende Prozesse können strafrechtliche Konsequenzen nach sich ziehen – nicht nur für unmittelbare Verursacher, sondern auch für Vorgesetzte. Moderne Prozessmodelle müssen daher Compliance-, Risiko- und Kontrollanforderungen enthalten und dürfen nicht bei statischen Dokumentationen stehen bleiben.
Der Reifegrad des Prozessmanagements entscheidet über Wirksamkeit und Rechtssicherheit. Während einfache Dokumentationen kaum Schutz bieten, gelten heute BPMN-basierte, digital unterstützte, teilweise automatisierte Prozesse als Stand der Technik. Integrierte Workflows, klare Verantwortlichkeiten (RACI), hinterlegte Compliance-Anforderungen und kontinuierliches Monitoring sind keine Kür, sondern Voraussetzung für ein belastbares Managementsystem.
ISO 9001:2026 als Chance – oder Haftungsfalle
Richtig verstanden bietet die ISO 9001:2026 die Chance, das Qualitätsmanagement zu einem integrierten Führungsinstrument weiterzuentwickeln, das Governance, Risiko, Compliance, Nachhaltigkeit und Prozesse verbindet. Falsch interpretiert bleibt sie ein formales Zertifikat mit trügerischer Sicherheit. Organisationen, die weiterhin glauben, Qualitätsmanagement lasse sich isoliert von Recht, Risiko und Governance betreiben, laufen Gefahr, genau an dem Punkt zu scheitern, an dem Sicherheit versprochen wird.
