Der Technical Compliance Coordinator – Teil 2: Wenn der Fräser losläuft und das Gesetz zuschlägt

Essen, 2026, Hinterhof in Altenessen-Süd. Die Luft riecht nach Kühlschmierstoff und altem Metall. Vor mir steht ein Fräsautomat, Baujahr 1987, Typ „Hermle UWF 851“. Ein Panzer. Noch mit Rädchen und Hebeln, ohne Bildschirm, ohne Schnickschnack. Den hat mein Kunde für 800 Euro auf dem Gebrauchtmarkt geschossen, um ihn für eine Kleinserie von Edelstahlteilen wieder flottzumachen. Solide Mechanik, verschlissene Kabel, und die Verriegelung der Schutzhaube ist schon lange überbrückt – ein rotes Tuch für jeden, der Ahnung hat.

Jetzt soll da eine moderne Sicherheitssteuerung rein, mit Not-Halt-Relais und Lichtvorhängen. Und am besten noch eine IoT-Fernwartung, damit der Kunde von zu Hause sehen kann, ob der Auftrag läuft. Klingt nach einem klassischen Fall für den Elektriker. Ist es aber nicht. Es ist ein Fall für den Technical Compliance Coordinator (TCK). Denn sobald du an einer Maschine schraubst, die älter ist als du selbst, und sie mit neuem Leben füllst, betrittst du eine Grauzone – zwischen Werkstattflair und Produkthaftung.

Fall 1: Der alte Fräser und die neue Seele – Wesentliche Veränderung?

Die Frage, die der TCK beantworten muss, ist so alt wie das Maschinenrecht selbst: Wann ist eine Reparatur nur eine Reparatur, und wann wird aus dem alten Panzer eine neue Maschine – mit all den Pflichten, die das mit sich bringt?

Die Kollegen in der Werkstatt sehen nur das Technische: Alte Steuerung raus, neue Sicherheits-SPS rein, Lichtvorhänge dran, fertig. Der TCK sieht mehr. Er sieht die unsichtbare Grenze, die der Leitfaden zur Maschinenrichtlinie – der sogenannte „Blue Guide“ – definiert. Da steht klipp und klar: Wenn du ein Produkt so erheblich veränderst, dass seine ursprüngliche Leistung, Verwendung oder Bauart eine andere wird, wirst du vom Betreiber zum Hersteller .

Und die neue EU-Maschinenverordnung (EU) 2023/1230, die ab 2027 voll greift, zieht die Schraube noch fester an: Eine wesentliche Veränderung liegt vor, wenn durch den Umbau eine neue Gefährdung entsteht oder sich ein bestehendes Risiko erhöht . In unserem Fall: Der alte Fräser hatte nur eine mechanische Verriegelung – primitiv, aber irgendwie sicher. Der neue Lichtvorhang ist ein hochkomplexes optisches System. Wenn der falsch parametriert ist, der Sicherheitsabstand nicht stimmt oder die Logik in der neuen Steuerung einen Denkfehler hat, dann fräst der Tisch weiter, während der Bediener schon in den Arbeitsraum langt.

Der TCK prüft hier nicht nur den Schaltplan. Er prüft die Dokumentation der Veränderung . Jede Schraube, jedes neue Relais muss nachvollziehbar sein. Denn im Schadensfall – und der kommt in der Industrie garantiert irgendwann – will die Berufsgenossenschaft oder der Staatsanwalt nicht den schönen Schaltplan sehen, sondern den Nachweis, dass du die Risiken bewertet hast. Dass du nachweisen kannst: Ich habe den alten Schrott nicht einfach mit neuer Elektronik übertüncht. Ich habe eine Risikobeurteilung gemacht, den Performance-Level (PL) der Sicherheitsfunktion berechnet  und alles sauber in der technischen Dokumentation abgeheftet.

Das ist die Arbeit des TCK. Er ist der Übersetzer zwischen dem Schrauber, der den Fräser liebt, und dem Juristen, der im Zweifel das Unternehmen in die Pflicht nimmt. Er sagt nicht: „Das dürft ihr nicht.“ Er sagt: „Wenn ihr das so macht, seid ihr Hersteller. Also dokumentiert es so, dass es morgen vor Gericht auch Bestand hat.“

Fall 2: Die intelligente Fabrik und das offene Tor – Cyber-Sicherheit auf dem Fabrikboden

Der zweite Fall ist noch tückischer. Der Kunde – ein mittelständischer Getriebebauer – will seine bestehende Produktionslinie mit einer IoT-Fernwartung ausstatten. Klingt harmlos: Ein kleiner Kasten ans Netzwerk, ein geschützter Zugang für den Servicetechniker von zu Hause, ein paar Sensoren, die den Zustand der Spindeln überwachen. So wie wir zu Hause die Heizung per App steuern.

Aber hier steht keine Heizung im Keller. Hier steht eine 20-Tonnen-Fräsmaschine, die sich auf Zehntelmillimeter genau bewegt. Und wenn die in die falsche Richtung fräst, weil ein Hacker aus Russland oder ein scriptkiddie aus dem Wohnzimmer sich in die Steuerung eingeklinkt hat, ist nicht nur das Werkstück Schrott. Dann fliegen Späne durch die Gegend wie Schrapnelle.

Hier kommt der TCK mit einem ganz anderen Regelwerk um die Ecke: IEC 62443. Eine Normenfamilie, die so sperrig klingt wie sie ist, aber im Kern eine einfache Wahrheit verfolgt: Der Fabrikboden ist keine IT-Abteilung . Die Maschinen dort laufen manchmal 20 Jahre mit derselben Software. Die kann man nicht einfach jeden Monat patchen wie einen Windows-Laptop.

Der TCK bewertet die neuen Risiken . Er sieht das IIoT-Gerät (Industrial Internet of Things) nicht als nettes Feature, sondern als potenzielles Einfallstor. Er fragt nicht „Wie kriegen wir das technisch hin?“, sondern „Wie schotten wir das ab?“ Die Antwort liegt in der Struktur der Norm: Zonen und Conduits .

Er teilt das Netzwerk in Zonen ein. Zone A: die alte SPS-Steuerung, die noch mit unsicheren Protokollen wie Profibus redet. Zone B: das neue IoT-Gateway, das Daten in die Cloud schickt. Und zwischen diese Zonen setzt er einen Conduit – eine Art Schleuse, die den Datenverkehr kontrolliert und filtert . Die alte SPS darf nur mit dem Gateway reden, und das auch nur, wenn es nötig ist. Alles andere wird geblockt.

Und dann kommt der Teil, der viele Hardcore-Techniker nervt: der Datenschutz. Denn wenn du eine Fernwartung einrichtest, fließen Daten. Nicht nur Maschinendaten, sondern im Zweifel auch Personendaten (wer hat wann wo eingegriffen?). Der TCK muss hier das Pflichtenheft schreiben: Die Verbindung muss verschlüsselt sein (TLS 1.3), der Zugang muss sich authentisieren (keine Standard-Passwörter!), und es muss ein Protokoll geben, wer wann in die Maschine geschaut hat . Er zwingt den IT-Dienstleister, der das Ding einrichtet, in die Pflicht: Ihr liefert mir ein Konzept, das nach IEC 62443-4-2 zertifizierungsfähig ist – oder ihr bekommt den Auftrag nicht .

Das Herzstück: Der TCK als Scharnier

Das Geniale an diesem Berufsbild – und der Grund, warum ich so dafür brenne – ist diese Zwitterstellung. Der TCK ist weder der verbissene Sicherheitsbeauftragte, der alles verbietet, noch der sorglose Entwickler, der erstmal lostestet. Er ist das Scharnier.

Im ersten Fall, dem alten Fräser, ist sein Werkzeug die Risikobeurteilung. Er zwingt die Beteiligten, aufzustehen von der Werkbank und einen Schritt zurückzutreten. Er sagt: „Leute, ihr habt hier eine tolle Mechanik. Aber die Elektrik von 1987 ist Todesfalle. Die neue Steuerung ist Rettung – aber nur, wenn wir sie richtig einbinden.“ Er holt die alten Unterlagen aus dem Archiv, vergleicht die Schaltpläne, und findet vielleicht sogar den einen entscheidenden Hinweis: In der Original-Patentschrift von 1986 war die Maschine noch mit einer Sicherheitskupplung ausgestattet, die später aus Kostengründen weggelassen wurde. Vielleicht ist das die Chance, sie jetzt wieder einzubauen?

Im zweiten Fall, der IoT-Fernwartung, ist sein Werkzeug die Segmentierung. Er sagt nicht: „Kein Internet für die Maschine.“ Er sagt: „Hier, baut eine Firewall ein, trennt die Netze, verschlüsselt die Daten, und dann kann der Servicetechniker von zu Hause aus zugucken – aber nur zugucken, nicht eingreifen, es sei denn, er steckt im VPN und hat eine zweite Authentifizierung.“ Er übersetzt die abstrakte IEC 62443 in eine Sprache, die der Elektriker versteht: „Stell dir vor, die Maschine ist dein Haus. Du willst, dass der Postbote den Briefkasten erreicht, aber nicht ins Schlafzimmer kommt. Also baust du eine Tür ein. Das ist der Conduit.“

Was bleibt?

Heute, wo ich das schreibe, liegt der Umbau des alten Fräsers in den letzten Zügen. Die neue Steuerung läuft, der Lichtvorhang ist justiert, und der Kunde hat eine technische Dokumentation im Regal stehen, die nicht nur aus losen Zetteln besteht, sondern aus einem gebundenen Ordner mit Unterschriften und Berechnungen. Der TCK hat seinen Job gemacht. Er hat verhindert, dass aus einer cleveren Idee eine teure Haftungsfalle wird.

Die Geschichte der Technik ist voll von solchen Momenten: Der Erfinder tüftelt, der Ingenieur baut, der Kaufmann verkauft. Aber wer passt auf, dass das Ganze nicht explodiert, nicht verklagt wird, nicht den Betrieb lahmlegt? Das ist der eher unscheinbare Held dieses Artikels. Der Technical Compliance Coordinator. Er ist derjenige, der nachts wach liegt und darüber nachdenkt, ob die letzte Änderung an der Schaltung wirklich normkonform war. Er ist der Mensch hinter dem Papier – der weiß, dass jede Unterschrift unter der Konformitätserklärung auch ein Versprechen ist.

Und wenn der alte Fräser jetzt losläuft, schnurrend wie eine Nähmaschine, dann ist das nicht nur ein Sieg der Technik. Es ist ein Sieg des gesunden Menschenverstands. Und der ist bekanntlich die seltenste aller Ingenieursdisziplinen.