ISO 9001 verlangt Personal-Kompetenznachweise — diese Klauseln 7.1.6 und 7.2 werden im Audit oft übersehen

Antwort vorab: ISO 9001:2015 verlangt in Klausel 7.2 ("Kompetenz") und 7.1.6 ("Wissen der Organisation"), dass Organisationen nachvollziehbar dokumentieren, welche Kompetenz für jede qualitätsrelevante Funktion erforderlich ist, dass diese Kompetenz tatsächlich vorliegt und dass sie laufend erhalten wird. Die häufigste Audit-Feststellung in deutschen QMS-Surveillance-Audits ist nicht das Fehlen von Schulungsmaßnahmen — es ist die fehlende Verifikation, dass die behauptete Kompetenz auch der Realität entspricht. Wer Lebensläufe ungeprüft akzeptiert, Diplome nicht verifiziert und Berufslizenzen nicht überwacht, hat keine Kompetenznachweise — er hat Selbstauskünfte. Im Surveillance-Audit reicht das nicht.

Die Situation: Über 1,2 Millionen Organisationen weltweit halten eine ISO-9001:2015-Zertifizierung — davon mehr als 70.000 in Deutschland (Quelle: ISO Survey of Certifications). Die Komplikation: Eine Auswertung typischer Audit-Befunde der größten deutschen Zertifizierungsstellen zeigt, dass Klausel 7.2 zu den drei häufigsten Quellen für Major und Minor Non-Conformities zählt — überproportional häufig in Form fehlender objektiver Nachweise von Kompetenz. Die Resolution: Personalprüfung — Ausbildungsverifikation, Berufslizenz-Überwachung, dokumentierter Erfahrungsnachweis — gehört strukturell ins QMS. Sie ist keine HR-Aufgabe, die das QM "auch noch betreut", sondern ein konstitutiver Bestandteil der Klausel-7.2-Konformität.

H2.1 Was Klausel 7.2 wirklich verlangt — vier Anforderungen statt einer Schulungsliste

ISO 9001:2015 Klausel 7.2 enthält vier disjunkte, kumulative Pflichten, die in der Praxis häufig auf "wir machen Schulungen" verkürzt werden. Diese Verkürzung erzeugt die Audit-Risiken.

Erstens, Kompetenzbestimmung (7.2 lit. a): Die Organisation muss die "notwendige Kompetenz der Personen, die unter ihrer Aufsicht eine Tätigkeit ausführen, welche die Leistung und Wirksamkeit des Qualitätsmanagementsystems beeinflusst" bestimmen. Operativ heißt das: Für jede QMS-relevante Rolle existiert eine dokumentierte Kompetenz-Anforderungsbeschreibung — Ausbildung, berufliche Erfahrung, Fertigkeiten, Schulungsstand. Zweitens, Kompetenzverifikation (7.2 lit. b): Die Organisation muss sicherstellen, dass diese Personen "auf Grundlage angemessener Ausbildung, Schulung oder Erfahrung kompetent sind". Das Wort "sicherstellen" bedeutet nicht "annehmen". Drittens, Maßnahmen zur Kompetenzerlangung (7.2 lit. c): Wo eine Lücke besteht, müssen Maßnahmen ergriffen werden — Schulung, Coaching, Umsetzung — und deren Wirksamkeit bewertet werden. Viertens, Dokumentierte Information (7.2 lit. d): Geeignete dokumentierte Information muss als Nachweis der Kompetenz aufbewahrt werden.

Die operative Sprengkraft liegt in lit. b und lit. d. "Sicherstellen, dass kompetent" bedeutet in der Audit-Praxis: objektive Nachweise. Ein Lebenslauf mit einem behaupteten Bachelor-Abschluss ist kein Nachweis — es ist eine Behauptung. Ein verifiziertes Original-Zeugnis oder eine Hochschul-Verifikation ist ein Nachweis. Ein behaupteter zehnjähriger Berufserfahrungs-Track-Record ist eine Behauptung — schriftliche Bestätigungen früherer Arbeitgeber, verifizierte Referenzen oder ein dokumentiertes Skill-Assessment sind Nachweise. Genau diese Differenz wird in Stage-2- und Surveillance-Audits geprüft.

Maßgebliche Quelle: ISO 9001:2015 — Quality management systems — Requirements, ISO Survey of Certifications.

H2.2 Klausel 7.1.6 "Wissen der Organisation" — die strukturelle Brücke zur Personalprüfung

Klausel 7.1.6 ist die ISO-9001-Innovation aus der 2015-Revision, die in deutschen QMS-Programmen am unzureichendsten umgesetzt ist. Sie verlangt: "Die Organisation muss das notwendige Wissen für die Durchführung ihrer Prozesse und das Erreichen der Konformität von Produkten und Dienstleistungen bestimmen. Dieses Wissen muss aufrechterhalten und in dem Umfang verfügbar gemacht werden, wie erforderlich."

Was hat das mit Personalprüfung zu tun? Sehr viel. "Wissen der Organisation" ist eine Synthese aus Erfahrungswissen (in den Köpfen der Mitarbeiter), dokumentiertem Wissen (in QMS-Dokumenten, technischen Spezifikationen, Verfahrensanweisungen) und externem Wissen (Normen, Konferenzbesuche, Berufsverbände). Der kritische Punkt: Erfahrungswissen ist an Personen gebunden — und damit an die Validität dessen, was diese Personen über sich selbst angegeben haben. Wenn ein Schweißer eine bestimmte technologische Erfahrung im Lebenslauf behauptet, die nie verifiziert wurde, beruht ein Teil des "organisationalen Wissens" auf einer ungeprüften Selbstauskunft. Im Audit-Falle ist das ein systemischer Mangel.

Die Konsequenz: Klausel 7.1.6 verlangt nicht nur, dass Wissen "verfügbar" ist — sie verlangt implizit, dass die Quelle dieses Wissens belastbar ist. Personalprüfung — Ausbildungsverifikation, Lizenz-Verifikation, Erfahrungsbestätigung — ist damit kein Anhängsel des QMS, sondern eine Voraussetzung für die Validität der gesamten Klausel-7.1.6-Compliance.

Drei typische Audit-Nachfragen in deutschen Zertifizierungsstage-2-Audits illustrieren das: "Wie haben Sie sichergestellt, dass dieser Mitarbeiter die im Stellenprofil verlangte Schweißfachingenieur-Qualifikation tatsächlich besitzt?" — "Welcher dokumentierte Nachweis liegt für die im Lebenslauf angegebene 10-jährige Erfahrung in der Pharma-Validierung vor?" — "Wie wird die Berufslizenz Ihrer Tragwerksplanerin im Geltungszeitraum überwacht?" Wer auf solche Fragen mit "wir vertrauen den Angaben unserer Mitarbeiter" antwortet, riskiert eine Major Non-Conformity.

H2.3 Häufigste Audit-Befunde 2023–2025 — das Muster der Major Non-Conformities

Ein Blick in die Audit-Reports großer deutscher Zertifizierer der letzten drei Jahre zeigt ein wiederkehrendes Muster bei Klausel-7.2-Befunden. Drei Befundtypen dominieren.

Befundtyp 1 — Fehlende Kompetenz-Anforderungsmatrix: Die Organisation hat zwar Stellenbeschreibungen, aber keine mit dem QMS verzahnte Matrix, die Rollen, qualitätsrelevante Tätigkeiten und Kompetenzanforderungen miteinander verknüpft. Folge: Auditoren können nicht prüfen, ob die richtige Person in der richtigen Rolle sitzt. Klausel 7.2 lit. a wird als nicht hinreichend umgesetzt bewertet. Häufigkeit nach internen Audit-Statistiken großer Zertifizierer: Auftreten in über 25% der Stage-2-Audits. Befundtyp 2 — Behauptete, nicht verifizierte Qualifikationen: Mitarbeiterakten enthalten Lebensläufe, in denen Ausbildungs- und Berufsstationen aufgeführt sind, aber keine objektiven Verifikationen — keine geprüften Original-Zeugnisse, keine Hochschulabfragen, keine bestätigten Referenzen. Folge: Klausel 7.2 lit. b und lit. d werden als formal unterlaufen bewertet. Diese Konstellation entwickelt sich besonders kritisch, wenn die betreffende Position eine regulierte Berufstätigkeit umfasst (z.B. Schweißfachingenieur, Validierungs-Engineer, regulatorische Affairs-Expertin). Befundtyp 3 — Fehlende Lizenz- und Zulassungs-Überwachung: Berufslizenzen, behördliche Zulassungen und persönliche Zertifizierungen (Schweißerprüfungen, Auditor-Zertifizierungen, Tax-Adviser-Zulassungen, Fahrgastrechte-Schulungen, etc.) haben Geltungszeiten. Wenn Organisationen diese Zeiten nicht systematisch überwachen, arbeitet ein Teil ihrer Mitarbeiter formal außerhalb der vorausgesetzten Kompetenz — was direkt gegen Klausel 7.2 verstößt. Häufigkeit dieses Befundtyps in IATF-16949-Audits (der Automotive-Variante von ISO 9001) liegt nach Branchenangaben bei über 15%.

Die quantitative Konsequenz: Eine Major Non-Conformity verlangt typischerweise eine Korrekturmaßnahme innerhalb von 90 Tagen, eine Re-Audit-Bestätigung — und in Wiederholungsfällen droht die Aussetzung der Zertifizierung. Die Folgekosten in indirekten Auswirkungen (Lieferantenbewertungen, OEM-Vertragsklauseln, Versicherungsprämien) übersteigen die direkten Audit-Kosten regelmäßig um den Faktor 5 bis 10.

H2.4 Personalprüfung als integraler QMS-Prozess — die operative Architektur

Die Antwort auf die genannten Audit-Risiken ist nicht "noch eine HR-Compliance-Initiative", sondern die strukturelle Integration von Personalprüfung in die QMS-Prozessarchitektur. Vier Bausteine sind dafür konstitutiv.

Erstens, Kompetenz-Anforderungsmatrix: Für jede QMS-relevante Rolle existiert ein versionierter Anforderungs-Datensatz, der Ausbildung (Soll-Niveau, Fachrichtung), Erfahrung (Soll-Dauer, Soll-Kontext), notwendige Lizenzen und Zertifizierungen sowie Schulungsstand abbildet. Diese Matrix ist mit dem QMS verlinkt — Änderungen an Prozessen führen zu Änderungen der Anforderungen. Zweitens, Eintritts-Verifikation: Beim Einstieg eines Mitarbeiters werden die Soll-Anforderungen gegen Ist-Nachweise validiert — Original-Zeugnisse oder Hochschul-Verifikation, schriftliche Erfahrungsbestätigungen früherer Arbeitgeber, Lizenz-Verifikation bei berufsregelnden Stellen.

Drittens, Laufende Überwachung: Lizenz-Geltungszeiten, Schulungs-Auffrischungs-Intervalle und periodische Kompetenz-Reviews werden systematisch überwacht — mit definierten Verantwortlichkeiten und automatisierten Erinnerungen. Viertens, Dokumentierte Audit-Trails: Jede Verifikation, jeder Acknowledgment, jede Schulungsbestätigung wird mit Datum, durchführender Person, geprüftem Dokument-Hash und Versionsstand des Anforderungsprofils dokumentiert. Diese Audit-Trails sind das Material, auf dem die Klausel-7.2-lit-d-Compliance steht.

In der praktischen Umsetzung bedeutet das: Personalprüfung wird nicht in einem HR-System "irgendwo abgelegt", sondern in einer Compliance-Architektur geführt, die mit dem QMS-Dokumenten-Management verzahnt ist. Indicium übernimmt genau diese Verschränkung — automatisierte Verifikation von Ausbildung, Berufslizenzen und Erfahrung, mit auditfestem Trail, der sich gegenüber DAkkS-akkreditierten Zertifizierern direkt belegen lässt.

H2.5 Schnittstellen zu IATF 16949, ISO 13485 und EN 9100 — was branchenspezifische QMS-Standards zusätzlich verlangen

ISO 9001 ist die Basis. Branchenspezifische Standards verschärfen die Personnel-Anforderungen erheblich.

IATF 16949 (Automotive): In Klausel 7.2.1 verlangt der Standard zusätzlich zur ISO-9001-Basis spezifische Kompetenznachweise für interne Auditoren, Produktauditoren und Zweite-Partei-Auditoren. Klausel 7.2.4 verlangt nachweisbare Kompetenz für Mitarbeiter, die statistische Methoden anwenden. Die Konsequenz: Personalprüfung ist hier nicht optional, sondern explizit ausgewiesener QMS-Bestandteil. ISO 13485 (Medizinprodukte): Klausel 6.2 verlangt für Personal, das Tätigkeiten ausführt, die die Produktqualität beeinflussen, dokumentierte Kompetenz auf Basis von Bildung, Schulung, Fertigkeiten und Erfahrung. Die MDR (EU Medical Device Regulation 2017/745) ergänzt mit Anhang IX Punkt 1.3.3 die Anforderung an die "Qualifikation und Erfahrung des Personals" für die ein QM-System betreffende Stellen. Die Schnittstelle zur regulierten MedTech-Welt (Person responsible for regulatory compliance, Art. 15 MDR) macht die Personalprüfung hier zur regulatorischen Pflicht — nicht nur zur QMS-Anforderung. EN 9100 (Aerospace): Diese Branchen-Adaption verlangt in Klausel 7.2 explizit die Berücksichtigung von "ethical behavior" als Kompetenzdimension — und damit eine Form der Integritätsprüfung, die in Standard-ISO-9001-Programmen typischerweise nicht enthalten ist. Aerospace-Lieferanten müssen daher ein Personnel-Compliance-Regime fahren, das über die Basis-Klausel-7.2-Anforderungen hinausgeht.

Quantitativ relevant: Eine Auswertung der weltweiten ISO-Zertifizierungs-Datenbank zeigt, dass über 80.000 Organisationen sowohl ISO 9001 als auch eine Branchenadaption (IATF 16949, ISO 13485, EN 9100, ISO/TS 22163 für Bahnindustrie) parallel halten. Für diese Organisationen ist die Frage nicht, ob sie Personnel-Kompetenznachweise sauber führen — sondern ob ihre Architektur das Mehrfach-Anforderungssystem effizient trägt. Eine skalierbare Personalprüfungs-Plattform mit Rollen-spezifischer Anforderungs-Matrix ist hier die einzige operativ tragfähige Antwort.

H2.6 Risikobasierter Ansatz nach Klausel 6.1 — wie Personalprüfung in die Risiko-Architektur des QMS einrückt

ISO 9001:2015 hat mit Klausel 6.1 ("Maßnahmen zum Umgang mit Risiken und Chancen") den risikobasierten Ansatz zum strukturellen Kern des QMS gemacht. Für die Personnel-Compliance bedeutet das: Personalprüfung darf nicht uniform nach dem Gießkannen-Prinzip erfolgen, sondern muss in Tiefe und Frequenz dem konkreten QMS-Risiko der jeweiligen Rolle entsprechen.

Drei risikobasierte Differenzierungs-Dimensionen sind in der Audit-Praxis etabliert. Erstens, Produkt-Sicherheits-Relevanz der Rolle: Mitarbeiter, deren Tätigkeit unmittelbare Auswirkung auf Produktsicherheit hat (Schweißer in einem Druckbehälter-Fertiger, Validierungs-Engineer in einem Pharma-Hersteller, Fertigungs-Auditor in einem Automotive-OEM), erfordern ein erweitertes Personnel-Verifikations-Regime. Zweitens, Kundenforderungen und regulatorische Pflichten: Wenn der Kunde oder eine zuständige Behörde spezifische Qualifikationsnachweise verlangt (etwa ein OEM mit eigenen Lieferanten-Anforderungs-Standards oder eine Zulassungsbehörde wie EASA, BfArM, BAFA), muss die Personalprüfung diese Anforderungen explizit abbilden. Drittens, Wirtschaftliche Bedeutung der Rolle: Wenn das Versagen einer Rolle existenzielle Risiken erzeugt (Single-Point-of-Failure in einer Kernfunktion, Lieferanten-Audits durch eine spezifische Person, Compliance-Funktion mit persönlicher Aufsichts-Verantwortung), erfordert das eine intensivere Verifikation und laufende Überwachung.

Die operative Umsetzung erfolgt typischerweise über eine Risiko-Klassifikations-Matrix, die für jede QMS-relevante Rolle ein Risiko-Niveau (z.B. niedrig, mittel, hoch, kritisch) ausweist und daran ein konkretes Personnel-Verifikations-Profil anknüpft. Beispielhaft: Ein "kritisches" Risiko-Niveau verlangt Identitätsverifikation, Hochschul-Verifikation, drei dokumentierte Referenz-Bestätigungen, Lizenz-Verifikation bei berufsregulierten Tätigkeiten, periodische Re-Verifikation alle 24 Monate. Ein "niedriges" Risiko-Niveau begnügt sich mit Identitätsverifikation und Lebenslauf-Prüfung.

Diese Risiko-Stratifizierung ist zugleich die Antwort auf den DSGVO-Verhältnismäßigkeits-Test. Eine pauschale Tiefen-Verifikation für alle Mitarbeiter ist DSGVO-rechtswidrig — sie verletzt den Grundsatz der Datenminimierung. Eine risikobasierte, dokumentiert begründete Stratifizierung dagegen ist sowohl DSGVO-konform als auch ISO-9001-Klausel-6.1-konform. Das ist kein Zufall: Beide Regime teilen die Idee, dass die Tiefe einer Maßnahme der Sensitivität ihres Anwendungsfalls entsprechen muss.

Quantitativ: Erfahrungswerte aus deutschen mittelständischen Industrie-Unternehmen zeigen, dass eine sauber risikobasierte Personnel-Verifikations-Strategie typischerweise 70% bis 85% der Mitarbeiter in den niedrigeren Risiko-Klassen verortet — mit entsprechend leichten Verifikations-Anforderungen. Die intensive Tiefen-Verifikation konzentriert sich auf die 15% bis 30% kritischen Rollen. Diese Stratifizierung reduziert den DSGVO-Compliance-Aufwand und gleichzeitig den Personnel-Audit-Vorbereitungs-Aufwand erheblich — ohne das Audit-Risiko bei den kritischen Rollen zu erhöhen.

H2.7 Outsourcing- und Lieferantenmanagement nach Klausel 8.4 — der unterschätzte Personnel-Hebel

Klausel 8.4 ("Steuerung extern bereitgestellter Prozesse, Produkte und Dienstleistungen") ist die Schnittstelle, an der Personalprüfung am häufigsten in Lieferketten-Auseinandersetzungen verloren geht. Wenn die Organisation ihre QMS-relevanten Prozesse teilweise auslagert — Engineering-Subkontraktoren, Inspection-Dienstleister, Fertigungs-Outsourcing, IT-Services für QMS-Anwendungen — gelten die Klausel-7.2-Kompetenz-Anforderungen sinngemäß auch für das Personal des externen Anbieters.

Drei Implementierungs-Mechanismen haben sich in der Audit-Praxis etabliert. Erstens, Lieferanten-Anforderungs-Spezifikationen mit Personnel-Klauseln: Im Lieferantenvertrag werden konkrete Personnel-Anforderungen für sicherheits- oder qualitätsrelevante Funktionen ausgewiesen — Identitätsverifikation, Berufsqualifikations-Nachweis, Schulungsstand, ggf. Zertifizierungen. Zweitens, Lieferanten-Audits mit Personnel-Komponente: Im Rahmen der Lieferanten-Bewertung nach Klausel 8.4.2 werden gezielt Personnel-Compliance-Aspekte geprüft — etwa durch Stichproben-Anforderungen anonymisierter Personalakten oder durch dokumentierte Lieferanten-Selbstattestierung. Drittens, Vertragliche Erstreckung auf Sub-Dienstleister: Wenn der direkte Lieferant seinerseits Sub-Dienstleister einsetzt, erstrecken sich die Personnel-Anforderungen auch auf diese — eine Spiegelung der DORA-Subkontraktor-Logik im QMS-Kontext.

Die operative Realität ist häufig defizitär. Eine deutliche Mehrheit der ISO-9001-zertifizierten Mittelständler hat in ihren Lieferantenverträgen keine ausdrücklichen Personnel-Anforderungen — die Verträge regeln Produkt-, Qualitäts- und Liefer-Spezifikationen, aber nicht die Personnel-Compliance der ausführenden Personen. Im Audit ist das eine Schwachstelle, die häufig zu Findings im Bereich der Lieferantensteuerung führt — und zwar dann, wenn der Auditor erkennt, dass eine kritische QMS-Funktion durch Lieferanten-Personal erbracht wird, dessen Qualifikation die zertifizierte Organisation nicht aktiv kontrolliert.

Cross-Reference zu DORA und NIS2: Die hier beschriebene Personnel-Erstreckung auf Lieferanten ist konzeptuell parallel zu den Subkontraktor-Pflichten unter DORA Art. 28 und den Lieferketten-Sicherheits-Pflichten unter § 30 BSIG-neu (NIS2). Wer als zertifizierte Organisation in mehreren Compliance-Regimen aufgestellt ist, kann eine gemeinsame Lieferanten-Personnel-Compliance-Architektur tragen — mit erheblichen Effizienz-Vorteilen.

Weiterführende offizielle Quellen: ISO 13485:2016 — Medical devices, IATF Global Oversight, EU Medical Device Regulation 2017/745, DAkkS — Deutsche Akkreditierungsstelle, ISO/IEC 17021-1:2015 — Conformity assessment.

---

Indicium dokumentiert ISO-9001-konforme Personen-Prüfungen automatisch und auditfest — mit Klausel-7.2-Kompetenznachweisen und Lizenz-Geltungs-Überwachung. Discovery-Call buchen.