Technische Compliance: Ordnung im Chaos der Regeln – Ein Praxisleitfaden für Ingenieure und Verantwortliche

Autor: DerSchneider

Einleitung

In meiner langjährigen Tätigkeit habe ich unzählige Produkte erlebt, die technisch brillant waren – und dennoch nie den Markt erreichten. Nicht etwa wegen eines Konstruktionsfehlers, sondern weil niemand rechtzeitig an die Konformität gedacht hatte. Das CE-Zeichen fehlte, die Risikoanalyse war unvollständig, oder die Technische Dokumentation genügte nicht den Anforderungen einer Benannten Stelle. Solche Fälle sind keine Randerscheinung; sie gehören zum Berufsalltag von Entwicklungsabteilungen weltweit.

Genau hier setzt die Technische Compliance an. Sie ist das disziplinäre Bindeglied zwischen Technik, Recht und Qualitätsmanagement. Doch was genau verbirgt sich hinter diesem Begriff? Welche Aufgaben, Werkzeuge und Kompetenzen gehören dazu? Und warum ist dieses Feld heute so viel komplexer als noch vor zwanzig Jahren?

Dieser Artikel liefert eine geordnete, tiefgehende Beschreibung des Arbeitsfelds – von den historischen Wurzeln über die konkreten Tätigkeiten bis hin zu aktuellen Kontroversen und Zukunftstrends. Er richtet sich an Ingenieure, Techniker, Qualitätsmanager und alle, die technische Produkte verantworten.

1. Definition und Abgrenzung: Was Technische Compliance (nicht) ist

Technische Compliance bezeichnet die Gesamtheit aller Aktivitäten, die sicherstellen, dass ein technisches Produkt, System, Verfahren oder eine Dienstleistung alle gesetzlichen, regulatorischen und normativen Anforderungen erfüllt, die für seinen jeweiligen Markt und Einsatzbereich gelten.

Wichtigste Abgrenzungen:

• Nicht zu verwechseln mit „Legal Compliance“: Letztere bezieht sich auf unternehmensübergreifende juristische Themen (z. B. Arbeitsrecht, Kartellrecht, Steuerrecht). Technische Compliance fokussiert auf produktbezogene Sicherheits-, Umwelt- und Funktionsvorschriften.
• Nicht gleich „Qualitätsmanagement“: QM (nach ISO 9001) stellt Prozessqualität sicher. Technische Compliance nutzt zwar QM-Werkzeuge, hat aber einen eigenen Rechtsbezug – die Nichteinhaltung kann zu Produktverboten, Rückrufen oder Strafen führen.
• Keine reine Prüftätigkeit: Compliance beginnt in der Entwicklung („by Design“) und begleitet den gesamten Lebenszyklus. Ein reiner „Test-TÜV“ am Ende reicht nicht.

Die folgende Tabelle fasst die zentralen Unterscheidungsmerkmale zusammen:

2. Historische Entwicklung: Vom Dampfkessel zum Cyber Resilience Act

Die Wurzeln der Technischen Compliance liegen in der industriellen Revolution. Drei Phasen sind besonders prägend:

Phase 1: Mechanische Gefahren (1860–1945)

Nach schweren Dampfkesselexplosionen in Deutschland (z. B. in Mannheim 1865) gründeten Ingenieure die ersten Dampfkesselüberwachungsvereine – die Vorläufer des TÜV. Gleichzeitig entstanden in den USA die ASME (American Society of Mechanical Engineers) und in Großbritannien das BSI. Ziel war es, durch verbindliche Bau- und Prüfregeln Leben zu schützen.

Phase 2: Elektrische und elektromagnetische Sicherheit (1950–1990)

Mit der Verbreitung von Elektrogeräten wuchs die Notwendigkeit für Schutz gegen elektrischen Schlag, Brand und Störungen. Die IEC (International Electrotechnical Commission) erarbeitete internationale Normen wie die IEC 60335 für Hausgeräte. Die EU begann in den 1970er Jahren mit der Angleichung technischer Vorschriften, um Handelshemmnisse abzubauen.

Phase 3: Systematische Konformitätsbewertung (1990–heute)

Das CE-Kennzeichnungssystem (ab 1993) war ein Quantensprung. Es führte einheitliche Regeln für den gesamten Europäischen Wirtschaftsraum ein. Der Hersteller erklärt selbst – oder durch eine Benannte Stelle bestätigt – die Konformität. Gleichzeitig etablierten sich modulare Konformitätsbewertungsverfahren (Module A bis H), die je nach Risikoklasse unterschiedliche Prüftiefen vorsehen.

Aktuelle Treiber (2020–2030):

• KI-Verordnung (EU AI Act) – erste umfassende Regulierung für künstliche Intelligenz
• Cyber Resilience Act (CRA) – Cybersicherheit für alle Produkte mit digitalen Elementen
• Nachhaltigkeitspaket (CSRD, Ökodesign, Batterieverordnung) – Umwelt-Compliance wird Pflicht

3. Kernaufgaben im Detail – Ein systematischer Überblick

Die Tätigkeiten eines Technical Compliance Coordinators (TCC) lassen sich in sechs aufeinander aufbauende Aufgabenblöcke gliedern. In der Praxis laufen sie parallel und iterativ.

3.1 Anforderungsmanagement – Die Jagd nach den Regeln

Zu Beginn eines Projekts steht die Frage: Welche Rechtsvorschriften und Normen sind überhaupt anwendbar? Dies ist alles andere als trivial. Ein einfaches Beispiel: Ein kabelloses Ladegerät für Smartphones unterliegt:

• Niederspannungsrichtlinie (2014/35/EU) – für elektrische Sicherheit
• EMV-Richtlinie (2014/30/EU) – für Störfestigkeit und -aussendung
• RoHS-Richtlinie (2011/65/EU) – Beschränkung gefährlicher Stoffe
• Ökodesign-Richtlinie (2009/125/EG) – Effizienzanforderungen (Standby-Verluste)
• Funkanlagenrichtlinie (RED, 2014/53/EU) – für den Funkteil

Hinzu kommen harmonisierte Normen (z. B. EN 62368-1 für Audio/Video/IT-Sicherheit) und nationale Besonderheiten (z. B. § 11 ProdSG in Deutschland). Der TCC muss diese Anforderungen identifizieren, interpretieren (oft sind sie unklar oder widersprüchlich) und in technische Spezifikationen übersetzen, die der Entwickler umsetzen kann.

3.2 Compliance by Design – Prävention vor Prüfung

Der kostengünstigste Weg zur Konformität führt über die konstruktive Gestaltung. Der TCC wirkt in Entwicklungsprojekten mit, indem er:

• Sicherheitskonzepte vorschlägt (z. B. redundante Abschaltpfade, Isolationsmaßnahmen)
• Datenschutz durch Technik gemäß Art. 25 DSGVO einfordert (Privacy by Design)
• Cybersicherheitsanforderungen nach dem CRA frühzeitig verankert (z. B. sichere Bootloader, verschlüsselte Updates)

Die Devise lautet: „Compliance ist kein Add-on, sondern eine Anforderung wie jede andere technische Spezifikation.“

3.3 Risikomanagement – Systematisch Gefahren begegnen

Das Herzstück der Technischen Compliance ist die Risikobeurteilung. Internationale Normen wie ISO 14798 (allgemein) oder ISO 14971 (Medizinprodukte) schreiben einen klar strukturierten Prozess vor:

1. Gefahrenidentifikation (z. B. durch Brainstorming, Checklisten, Fehlermöglichkeitsanalyse)
2. Risikoabschätzung (Schwere des Schadens × Eintrittswahrscheinlichkeit)
3. Risikobewertung (Ist das Risiko akzeptabel? Ja/Nein)
4. Risikominderung (konstruktive, technische oder organisatorische Maßnahmen)
5. Restrisikobewertung (Dokumentation der verbleibenden Risiken)
6. Risiko-Nutzen-Abwägung (nur bei Medizinprodukten zwingend)

Methoden im Überblick:

3.4 Konformitätsbewertung – Die Wahl des richtigen Verfahrens

Je nach Produktrisiko schreibt der Gesetzgeber unterschiedliche Prozeduren vor. Das New Legislative Framework der EU definiert acht Konformitätsmodule (A bis H). Die wichtigsten sind:

• Modul A (Interne Fertigungskontrolle): Der Hersteller erklärt eigenverantwortlich die Konformität. Geeignet für Niedrigrisikoprodukte (z. B. einfache Haushaltsgeräte).
• Modul B (EU-Baumusterprüfung) + Modul C (Konformität mit Bauart): Eine Benannte Stelle prüft das Design; die Serie fertigt der Hersteller unter eigener Kontrolle. Typisch für viele Maschinen.
• Modul B + Modul D (Qualitätssicherung Produktion): Zusätzliche Zertifizierung des Produktionsprozesses durch die Benannte Stelle. Für höhere Risikoklassen, z. B. Medizinprodukte Klasse IIa.

Der TCC plant diese Verfahren, wählt die passende Benannte Stelle aus (Notified Body, z. B. TÜV SÜD, DEKRA, SGS) und begleitet die Prüfungen.

3.5 Technische Dokumentation – Der lückenlose Nachweis

Die Technische Dokumentation ist die „Bauakte“ des Produkts. Sie muss aufbewahrt werden – je nach Richtlinie 10 Jahre oder länger (bei Medizinprodukten 15 Jahre). Folgende Inhalte sind typischerweise vorgeschrieben:

• Allgemeine Produktbeschreibung
• Konstruktionszeichnungen, Schaltpläne, Stücklisten
• Risikoanalyse (vollständig, inklusive Bewertungen)
• Angewandte Normen (Auflistung mit Fundstellen)
• Prüfberichte (interne Tests, externen Messungen)
• Gebrauchsanleitung, Sicherheitshinweise
• EU-Konformitätserklärung (letztes Dokument, das den Prozess abschließt)

Die Dokumentation muss vollständig, nachvollziehbar und revisionssicher sein. Im Schadensfall oder bei einer Marktüberwachung wird sie als erstes angefordert.

3.6 Überwachung und Anpassung – Der Lebenszyklus hört nie auf

Ein Produkt ist nicht „einmal konform“. Normen ändern sich, neue Gesetze treten in Kraft, oder die Marktüberwachung entdeckt ein Sicherheitsproblem. Der TCC muss:

• Ein Tracking-System für relevante Normen und Gesetze betreiben
• Änderungen bewerten (Betrifft die Änderung mein Produkt? Muss ich nachprüfen?)
• Nachbesserungen veranlassen (z. B. neue Gebrauchsanleitung, Firmware-Update, Hardware-Änderung)
• Im Extremfall eine Rückrufaktion koordinieren (z. B. nach RAPEX-Meldung)

4. Voraussetzungen für eine Tätigkeit – Hard- und Soft Skills im Gleichgewicht

Wer Technical Compliance Coordinator werden will, braucht mehr als ein technisches Studium. Die folgende Liste fasst die wichtigsten Kompetenzen zusammen – gegliedert nach harten fachlichen und weichen persönlichen Anforderungen.

Hard Skills (Fachlich-technisch)

Soft Skills (Persönlich-methodisch)

• Analytische Denkweise: Regulatorische Texte sind oft mehrdeutig. Der TCC muss Widersprüche erkennen und pragmatische Lösungen finden.
• Durchsetzungsvermögen: „Das Produkt muss morgen raus“ – hier ruft der TCC „Halt, fehlende Isolationsabstände!“ Ohne Standfestigkeit keine Wirkung.
• Kommunikationsstärke: Compliance-Anforderungen müssen für Entwickler, Projektleiter und die Geschäftsführung übersetzt werden – in jeweils angepasster Sprache.
• Sorgfalt: Ein vergessener Satz in der Gebrauchsanleitung oder eine fehlende Unterschrift kann den Konformitätsstatus gefährden.
• Lernbereitschaft: Alle zwei Jahre ändern sich zentrale Regelwerke (z. B. MDR, RED). Stillstand ist Rückschritt.
• Integrität: Der TCC trägt Mitverantwortung für die Sicherheit von Menschen. Er darf keine Kompromisse bei schützenswerten Risiken eingehen.

5. Aktuelle Kontroversen und ungelöste Probleme

Kein Berufsfeld ist frei von grauen Zonen. Die Technische Compliance hat ihre eigenen politischen und methodischen Konflikte.

5.1 Zugang zu harmonisierten Normen – Ein undurchsichtiger Markt

Harmonisierte Normen vermitteln die gesetzliche Vermutung der Konformität. Wer sie anwendet, gilt automatisch als gesetzeskonform. Problem: Diese Normen sind urheberrechtlich geschützt und kosten mehrere hundert bis tausend Euro pro Dokument (z. B. DIN EN ISO 14971: 280 €). Für kleine Unternehmen und Entwickler im privaten Bereich ist das eine Hürde. Der Europäische Gerichtshof hat mehrfach entschieden, dass der Zugang zu Rechtsvorschriften nicht durch Urheberrechte behindert werden darf – doch de facto gibt es keine kostenlose, offizielle Quelle.

5.2 Die Schwammigkeit der KI-Verordnung

Der EU AI Act teilt KI-Systeme in Risikoklassen ein. Was genau ist aber eine „hochriskante KI“? Die Definition in Anhang III ist voller unbestimmter Rechtsbegriffe: „wesentliche private Infrastrukturen“, „Bildung, Berufsausbildung“, „Zugang zu grundlegenden privaten Dienstleistungen“. Hersteller sind unsicher, ob ihr Produkt unter die strengen Regeln fällt oder nicht. Die EU verspricht Leitlinien – diese liegen aber bisher nicht vor.

5.3 Cyber Resilience Act vs. Produktlebensdauer

Das CRA verlangt, dass der Hersteller für die „erwartete Lebensdauer“ des Produkts Sicherheitsupdates liefert. Was aber, wenn ein Hersteller nach fünf Jahren keine Updates mehr bereitstellen will? Darf er das Produkt dann noch verkaufen? Oder muss er die Lebensdauer künstlich verkürzen? Die Industrie warnt vor einem Update-Zwang, der für einfache Produkte wie einen intelligenten Toaster unverhältnismäßig ist.

5.4 Die Last der Technischen Dokumentation

In der Praxis klagen viele TCC über ein Missverhältnis zwischen Bürokratie und tatsächlicher Sicherheit. Besonders bei Medizinprodukten (MDR) sind die Dokumentationsanforderungen enorm gestiegen. Das führt zu langen Zulassungszeiten und hohen Kosten – ohne nachweisbaren Sicherheitsgewinn. Kritiker sprechen von „Überregulierung“, Befürworter von „Patientenschutz“.

6. Typische Berufsbezeichnungen und Karrierewege

Je nach Branche und Unternehmensgröße gibt es unterschiedliche Titel:

Karrierepfad (typisch):

1. Einstieg: Techniker oder junger Ingenieur in der Entwicklung oder Qualitätssicherung
2. Spezialisierung: Zertifizierte Weiterbildung (z. B. „CE-Manager TÜV“), erstes eigenes Compliance-Projekt
3. Verantwortung: Technical Compliance Coordinator für ein Produktsegment
4. Führung: Leiter Technische Compliance oder Regulatory Affairs Manager (mit Team- und Budgetverantwortung)

7. Zukunftsperspektiven – Wohin entwickelt sich das Feld?

7.1 Automatisierung und KI-Unterstützung

Bereits heute gibt erste Softwarelösungen, die Normenänderungen automatisch überwachen und Dokumente nach Konformitätslücken durchsuchen. In Zukunft werden KI-Assistenten Risikoanalysen vorschlagen oder technische Dokumentationen semiautomatisch generieren. Der TCC wird sich dann stärker auf Interpretation, Entscheidung und Kommunikation konzentrieren.

7.2 Continuous Compliance

Statt einmaliger Konformitätserklärung vor Markteintritt wird die Überwachung in den laufenden Betrieb integriert. Intelligente Produkte senden Telemetriedaten; Abweichungen von sicherheitskritischen Parametern lösen automatische Warnungen aus. Der TCC wird zum „Echtzeit-Monitor“.

7.3 Verschmelzung von Safety und Cybersecurity

Klassische funktionale Sicherheit (Safety) und IT-Sicherheit (Cybersecurity) wachsen zusammen. Der Cyber Resilience Act zwingt dazu, Sicherheitsupdates wie ein Softwareunternehmen zu managen. Gleichzeitig müssen Safety-Funktionen vor Cyberangriffen geschützt werden. Neue Normen wie IEC 62443 (Industrielle Kommunikationsnetze) oder ISO 21434 (Automotive) adressieren bereits diese Integration.

7.4 Internationale Fragmentierung

Die EU ist nicht allein. Die USA (FCC, CPSC, state laws wie CCPA), China (CCC, Cybersicherheitsgesetz), Großbritannien (UKCA nach Brexit) und Japan (PSE, METI) haben eigene Systeme. Globale TCC müssen heute schon mit mehreren parallelen Compliance-Regimen umgehen. Dies wird sich nicht vereinheitlichen – im Gegenteil, durch geopolitische Spannungen entstehen eher neue Insellösungen.

Fazit

Technische Compliance ist kein notwendiges Übel, sondern ein eigenständiges, anspruchsvolles Ingenieurfeld. Sie schützt Menschen vor technischen Gefahren, bewahrt Unternehmen vor teuren Rückrufen und sichert den Marktzugang. Der moderne Technical Compliance Coordinator ist kein Bürokrat, sondern ein Gestalter – er übersetzt Rechtsnormen in konstruktive Lösungen, moderiert zwischen Entwicklung, Management und Behörden und trägt eine hohe ethische Verantwortung.

Wer in dieses Feld einsteigen will, braucht eine solide technische Basis, Lernbereitschaft und vor allem Standfestigkeit. Die Regeln werden nicht weniger, sondern komplexer. Doch genau das macht den Reiz aus: In einer Welt, die immer schneller, vernetzter und regulatorisch dichter wird, ist der TCC derjenige, der Ordnung ins Chaos bringt – und das ist eine der spannendsten Ingenieuraufgaben unserer Zeit.

Quellen

• EU-Kommission: „New Legislative Framework“ – Beschluss Nr. 768/2008/EG
• Europäisches Parlament und Rat: Maschinenrichtlinie 2006/42/EG
• Europäisches Parlament und Rat: Funkanlagenrichtlinie 2014/53/EU (RED)
• Europäisches Parlament und Rat: Verordnung (EU) 2017/745 über Medizinprodukte (MDR)
• Europäisches Parlament und Rat: Verordnung (EU) 2024/1689 – KI-Verordnung (AI Act)
• Europäisches Parlament und Rat: Verordnung (EU) 2024/2847 – Cyber Resilience Act (CRA)
• DIN EN ISO 14971:2020-01: Medizinprodukte – Anwendung des Risikomanagements
• DIN EN ISO 12100:2011-03: Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung
• TÜV-Verband: „Technische Compliance in der Praxis – Leitfaden für Hersteller“, 2023
• VDE-Studie „Sicherheit vernetzter Produkte 2025“, VDE Verlag Berlin, 2024
• Produktsicherheitsgesetz (ProdSG) – deutsche Umsetzung der EU-Produktsicherheitsrichtlinie
• Europäischer Gerichtshof, Urteil C-588/21 P (Zugang zu harmonisierten Normen), 2023