ISO 45001 Arbeitsschutz-Leitfaden 2026

Die ISO 45001:2018 ist die international anerkannte Norm fuer Arbeits- und Gesundheitsschutzmanagementsysteme (SGA). Sie wurde im Maerz 2018 von der International Organization for Standardization (ISO) veroeffentlicht und loeste die bisherige OHSAS 18001:2007 ab. Die Uebergangsfrist endete im Maerz 2021 — seitdem ist ISO 45001 der alleinige internationale Standard fuer Arbeitsschutz.

Das Ziel der Norm ist klar formuliert: Organisationen sollen einen sicheren und gesunden Arbeitsplatz schaffen, indem sie arbeitsbedingte Verletzungen und Erkrankungen verhindern. Dafuer etabliert ISO 45001 einen systematischen Rahmen, der Gefaehrdungen identifiziert, Risiken bewertet und Massnahmen zur Risikominderung umsetzt.

Die Norm folgt der High Level Structure (HLS), auch bekannt als Annex SL. Dieses einheitliche Grundgeruest teilt sie mit ISO 9001 (Qualitaet) und ISO 14001 (Umwelt), was die Integration in ein bestehendes Managementsystem erheblich vereinfacht. Unternehmen, die bereits nach ISO 9001 oder ISO 14001 zertifiziert sind, koennen ISO 45001 ohne grundlegende Umstrukturierung ergaenzen.

Fuer wen ist ISO 45001 relevant?

• Produzierende Unternehmen mit Maschinen- und Anlagenbetrieb
• Facility-Management- und Reinigungsdienstleister
• Bau- und Handwerksbetriebe
• Logistik- und Transportunternehmen
• Gesundheitseinrichtungen und Labore
• Jede Organisation, die Arbeitsunfaelle und Berufskrankheiten systematisch reduzieren will

In Deutschland ergaenzt ISO 45001 die gesetzlichen Anforderungen aus dem Arbeitsschutzgesetz (ArbSchG), der Betriebssicherheitsverordnung (BetrSichV), der Gefahrstoffverordnung (GefStoffV) und den DGUV-Vorschriften. Die Norm geht ueber den gesetzlichen Mindeststandard hinaus und fordert eine proaktive Arbeitsschutzkultur.

Die OHSAS 18001 war ueber zwei Jahrzehnte der De-facto-Standard fuer Arbeitsschutzmanagementsysteme. Mit der Veroeffentlichung von ISO 45001 wurde sie zurueckgezogen. Die wichtigsten Unterschiede auf einen Blick:

Der groesste Paradigmenwechsel liegt in der proaktiven Ausrichtung: Waehrend OHSAS 18001 vor allem auf die Vermeidung von Gefahren abzielte, verlangt ISO 45001 ausdruecklich die Identifizierung von Chancen — also Moeglichkeiten, den Arbeitsschutz aktiv zu verbessern, nicht nur Schaden zu verhindern.

Ein weiterer zentraler Unterschied: Die oberste Leitung kann die Verantwortung fuer Arbeitsschutz nicht mehr an einen Beauftragten delegieren. Sie muss Fuehrung und Engagement persoenlich nachweisen — etwa durch Teilnahme an Sicherheitsbegehungen, Bereitstellung von Ressourcen und regelmaessige Managementbewertungen.

ISO 45001 ist in 10 Klauseln gegliedert, wobei die Anforderungen in den Klauseln 4 bis 10 stehen. Die Klauseln 1–3 (Anwendungsbereich, Normative Verweisungen, Begriffe) enthalten keine zertifizierungsrelevanten Anforderungen.

Klausel 4 — Kontext der Organisation

Die Organisation muss interne und externe Themen bestimmen, die sich auf das SGA auswirken. Dazu gehoeren rechtliche Anforderungen (ArbSchG, BetrSichV, GefStoffV), Erwartungen interessierter Parteien (Beschaeftigte, Berufsgenossenschaften, Aufsichtsbehoerden) und der Anwendungsbereich des Managementsystems.

Klausel 5 — Fuehrung und Beteiligung der Beschaeftigten

Die oberste Leitung muss Fuehrung und Verpflichtung zeigen, eine SGA-Politik festlegen, Rollen und Verantwortlichkeiten zuweisen und die Konsultation und Beteiligung der Beschaeftigten sicherstellen. Besonders Klausel 5.4 fordert Mechanismen zur aktiven Einbindung aller Hierarchieebenen.

Klausel 6 — Planung

Hier werden Massnahmen zum Umgang mit Risiken und Chancen geplant. Dies umfasst die Gefahrenidentifizierung, Risikobewertung und die Festlegung von SGA-Zielen mit messbaren Kennzahlen. Auch die Bewertung von Compliance-Verpflichtungen gehoert zu Klausel 6.

Klausel 7 — Unterstuetzung

Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Informationen. Die Organisation muss sicherstellen, dass alle Beschaeftigten ueber die notwendige Kompetenz verfuegen und sich der SGA-Politik bewusst sind.

Klausel 8 — Betrieb

Operative Planung und Steuerung, einschliesslich der Beseitigung von Gefahren und der Verringerung von SGA-Risiken (Hierarchie der Massnahmen), Aenderungsmanagement, Beschaffung und Auftragnehmersteuerung sowie Notfallplanung und -reaktion.

Klausel 9 — Bewertung der Leistung

Ueberwachung, Messung, Analyse und Bewertung. Interne Audits und Managementbewertungen. Wichtige Kennzahlen: LTIFR (Lost Time Injury Frequency Rate), Severity Rate, Near-Miss-Quote, Schulungsabdeckung.

Klausel 10 — Verbesserung

Vorfaelle, Nichtkonformitaeten und Korrekturmassnahmen. Fortlaufende Verbesserung des SGA. Besonders wichtig: Die Ursachenanalyse bei Vorfaellen muss systematisch erfolgen (z.B. 5-Why, Ishikawa, Bow-Tie).

Die Gefaehrdungsbeurteilung ist das Herzstueeck jedes Arbeitsschutzmanagementsystems — sowohl nach ISO 45001 (Klausel 6.1.2) als auch nach deutschem Recht (§ 5 ArbSchG). Sie ist die systematische Ermittlung und Bewertung aller Gefaehrdungen, denen Beschaeftigte bei der Arbeit ausgesetzt sind.

Die 7 Schritte der Gefaehrdungsbeurteilung

• Schritt 1 — Arbeitsbereiche festlegen: Taetigkeiten, Arbeitsplaetze und Personengruppen definieren
• Schritt 2 — Gefaehrdungen ermitteln: Mechanische, elektrische, chemische, biologische, physikalische, psychische und organisatorische Gefaehrdungen identifizieren
• Schritt 3 — Risiken bewerten: Eintrittswahrscheinlichkeit × Schadensausmass = Risikozahl (Risikomatrix)
• Schritt 4 — Massnahmen festlegen: STOP-Prinzip (Substitution, Technische, Organisatorische, Persoenliche Massnahmen)
• Schritt 5 — Massnahmen umsetzen: Verantwortliche, Termine und Ressourcen zuweisen
• Schritt 6 — Wirksamkeit pruefen: Nach Umsetzung erneut bewerten, ob das Restrisiko akzeptabel ist
• Schritt 7 — Dokumentation und Fortschreibung: Alle Ergebnisse dokumentieren, regelmaessig aktualisieren

Risikomatrix (5 × 5)

Bewertung: 1–4 = akzeptabel (gruen), 5–9 = vertretbar mit Massnahmen (gelb), 10–15 = erheblich, Massnahmen erforderlich (orange), 16–25 = inakzeptabel, sofort handeln (rot).

ISO 45001 fordert ausdruecklich, dass die GBU nicht nur physische, sondern auch psychische Gefaehrdungen umfasst. Dazu gehoeren Arbeitsintensitaet, emotionale Anforderungen, mangelnde Handlungsspielraeume, soziale Konflikte und Arbeitsplatzunsicherheit. Seit 2013 ist die psychische GBU auch nach § 5 ArbSchG explizit vorgeschrieben.

Klausel 10.2 der ISO 45001 fordert, dass Organisationen auf Vorfaelle (Unfaelle, Beinahe-Unfaelle, Berufskrankheiten) und Nichtkonformitaeten reagieren und deren Ursachen systematisch analysieren. Das Ziel: Wiederholung verhindern.

Vorfallkategorien

• Arbeitsunfall: Ereignis mit Personenschaden (meldepflichtig ab 3 Tagen Arbeitsunfaehigkeit an die BG)
• Wegeunfall: Unfall auf dem direkten Weg zur/von der Arbeit
• Beinahe-Unfall (Near Miss): Ereignis ohne Personenschaden, aber mit Schadenpotenzial
• Berufskrankheit: Erkrankung durch berufliche Taetigkeit (BK-Liste der BG)
• Unsichere Handlung/Zustand: Beobachtung, die zu einem Vorfall fuehren koennte

Der Vorfallmanagement-Prozess

• 1. Sofortmassnahmen: Erste Hilfe, Gefahrenbereich sichern, Notdienste alarmieren
• 2. Meldung: Interne Meldung innerhalb von 24 Stunden, bei schweren Unfaellen sofort an die BG und ggf. die Arbeitsschutzbehrde
• 3. Untersuchung: Fakten sammeln (Fotos, Zeugenaussagen, Skizzen), Ursachenanalyse durchfuehren
• 4. Ursachenanalyse: Systematische Methoden wie 5-Why, Ishikawa-Diagramm oder Bow-Tie-Analyse einsetzen
• 5. Korrekturmassnahmen: CAPA (Corrective and Preventive Action) definieren und umsetzen
• 6. Wirksamkeitspruefung: Nach Umsetzung pruefen, ob die Massnahme greift
• 7. Lessons Learned: Erkenntnisse organisationsweit teilen

Kennzahlen im Vorfallmanagement

Praxistipp: Eine hohe Near-Miss-Meldequote ist ein positives Zeichen — sie zeigt, dass Beschaeftigte Vertrauen in das System haben und Beobachtungen aktiv melden. Organisationen sollten Near-Miss-Meldungen foerdern, nicht bestrafen.

Die Persoenliche Schutzausruestung (PSA) ist nach dem STOP-Prinzip die letzte Massnahme in der Hierarchie der Schutzmassnahmen. ISO 45001 (Klausel 8.1.2) fordert, dass technische und organisatorische Massnahmen Vorrang haben. PSA kommt nur zum Einsatz, wenn das Restrisiko durch uebergeordnete Massnahmen nicht ausreichend gesenkt werden kann.

PSA-Kategorien nach PSA-Verordnung (EU) 2016/425

• Kategorie I: Schutz vor minimalen Risiken (z.B. Gartenhandschuhe, leichte Sonnenbrillen)
• Kategorie II: Schutz vor mittleren Risiken (z.B. Schutzbrillen, Sicherheitsschuhe S1–S3, Gehoerschutz)
• Kategorie III: Schutz vor toedlichen oder irreversiblen Risiken (z.B. Atemschutz, Chemikalienschutz, Absturzsicherung)

Pflichten des Arbeitgebers

• PSA auf Basis der GBU auswahlen und bereitstellen (kostenlos, § 3 PSA-BV)
• CE-gekennzeichnete PSA beschaffen (EU-Konformitaet)
• Unterweisung in korrekter Benutzung, Pflege und Erkennung von Maengeln
• Regelmaessige Pruefung auf Funktionsfaehigkeit und Hygiene
• Ersatzbeschaffung bei Verschleiss oder nach Verfallsdatum
• Dokumentation der Ausgabe (PSA-Ausgabebeleg mit Unterschrift)

PSA-Verwaltung im Ueberblick

Ein effizientes PSA-Management umfasst: Bestandsverwaltung (welche PSA in welcher Groesse verfuegbar), Ausgabe-Tracking (wer hat wann welche PSA erhalten), Pruefintervalle (insbesondere bei Kategorie III, z.B. jaehrliche Pruefung von Auffanggurten) und Schulungsnachweise (Unterweisung in Benutzung dokumentiert).

Haeufiger Fehler: PSA wird beschafft, aber Beschaeftigte werden nicht in der korrekten Benutzung unterwiesen. ISO 45001 fordert den Nachweis, dass die Unterweisung stattgefunden hat und verstanden wurde. Auch die regelmaessige Auffrischung ist Pflicht.

Der Umgang mit Gefahrstoffen ist einer der kritischsten Bereiche im Arbeitsschutz. ISO 45001 adressiert dies unter Klausel 6.1.2 (Gefahrenidentifizierung) und Klausel 8.1.2 (Beseitigung von Gefahren). In Deutschland gelten zusaetzlich die Gefahrstoffverordnung (GefStoffV) und die TRGS (Technische Regeln fuer Gefahrstoffe).

Gefahrstoffverzeichnis (§ 6 GefStoffV)

Jeder Arbeitgeber muss ein Verzeichnis aller im Betrieb verwendeten Gefahrstoffe fuehren. Dieses Verzeichnis muss mindestens enthalten:

• Bezeichnung des Gefahrstoffs
• Einstufung (GHS-Piktogramme, H- und P-Saetze)
• Mengenbereiche im Betrieb
• Arbeitsbereiche, in denen der Stoff verwendet wird
• Verweis auf das zugehoerige Sicherheitsdatenblatt (SDB)

Sicherheitsdatenblaetter (SDB)

Fuer jeden Gefahrstoff muss ein aktuelles SDB nach REACH-Verordnung (Anhang II) vorliegen. Das SDB umfasst 16 Abschnitte und enthaelt alle relevanten Informationen zu Gefahren, Erste-Hilfe-Massnahmen, Brandbekaempfung, Exposition und Entsorgung. SDB muessen in der Sprache des Landes vorliegen, in dem der Stoff verwendet wird — in Deutschland also auf Deutsch.

Substitutionspruefung

Das STOP-Prinzip verlangt: Kann ein Gefahrstoff durch einen weniger gefaehrlichen Stoff ersetzt werden? Die Substitutionspruefung muss dokumentiert werden — auch wenn die Substitution technisch oder wirtschaftlich nicht machbar ist.

Betriebsanweisungen (§ 14 GefStoffV)

Fuer jeden Gefahrstoff oder jede Gefahrstoffgruppe muss eine Betriebsanweisung erstellt werden. Sie enthaelt in verstaendlicher Form:

• Gefahrstoffbezeichnung und Gefahren (GHS-Symbole)
• Schutzmassnahmen und Verhaltensregeln
• Verhalten im Gefahrfall und bei Verschuettung
• Erste-Hilfe-Massnahmen
• Sachgerechte Entsorgung

Praxistipp: Betriebsanweisungen muessen am Arbeitsplatz aushaengen und regelmaessig (mindestens jaehrlich) aktualisiert werden. Die Unterweisung der Beschaeftigten anhand der Betriebsanweisung ist vor Aufnahme der Taetigkeit und danach mindestens jaehrlich durchzufuehren.

Der Arbeitsschutzausschuss (ASA) ist nach § 11 des Arbeitssicherheitsgesetzes (ASiG) fuer Betriebe mit mehr als 20 Beschaeftigten Pflicht. Er tagt mindestens vierteljaehrlich und beraet Anliegen des Arbeitsschutzes und der Unfallverhuetung.

Teilnehmer des ASA

• Arbeitgeber oder Vertreter: Vorsitz, Entscheidungsbefugnis
• Fachkraft fuer Arbeitssicherheit (Sifa): Beratend, technische Expertise
• Betriebsarzt: Arbeitsmedizinische Beratung
• Sicherheitsbeauftragte: Vertreter der Beschaeftigten, Praxiserfahrung
• Betriebsrat: Mitbestimmung bei Arbeitsschutzfragen (§ 87 Abs. 1 Nr. 7 BetrVG)

Typische Tagesordnungspunkte

• Auswertung der Unfallstatistik (LTIFR, Ausfalltage, Near Misses)
• Stand der offenen Massnahmen aus vorherigen Sitzungen
• Ergebnisse von Arbeitsplatzbegehungen und internen Audits
• Neue Gefaehrdungsbeurteilungen oder Aktualisierungen
• Aenderungen in Vorschriften und Gesetzen
• PSA-Beschwerden und Verbesserungsvorschlaege
• Schulungs- und Unterweisungsplanung
• Ergebnisse der arbeitsmedizinischen Vorsorge (anonymisiert)

Dokumentation

Jede ASA-Sitzung muss protokolliert werden. Das Protokoll enthaelt: Datum, Teilnehmer, besprochene Themen, getroffene Entscheidungen, vereinbarte Massnahmen mit Verantwortlichen und Terminen. ISO 45001 fordert unter Klausel 7.5 die Aufbewahrung dieser dokumentierten Informationen.

Haeufiger Fehler: Der ASA wird nur als Pflichttermin abgehandelt, ohne dass Massnahmen nachverfolgt werden. ISO 45001 fordert die Ueberwachung offener Massnahmen und die Bewertung der Wirksamkeit — der ASA ist also kein Selbstzweck, sondern ein zentrales Steuerungsinstrument.

Klausel 8.2 der ISO 45001 fordert die Einrichtung, Umsetzung und Aufrechterhaltung von Prozessen fuer die Notfallvorsorge und -reaktion. Die Organisation muss potenzielle Notfallsituationen identifizieren und geplante Reaktionen vorbereiten.

Typische Notfallszenarien

• Brand und Explosion
• Chemikalienfreisetzung oder Gefahrstoffunfall
• Schwerer Arbeitsunfall (z.B. Absturz, Einklemmung, Stromschlag)
• Naturereignisse (Ueberschwemmung, Sturm, Erdbeben)
• Technisches Versagen kritischer Anlagen
• Medizinischer Notfall (Herzinfarkt, allergischer Schock)
• Bombendrohung oder terroristischer Angriff
• Pandemie-Szenarien

Elemente eines Notfallplans

• Alarmierung: Meldewege, Notrufnummern, Alarmierungsketten
• Evakuierung: Flucht- und Rettungsplaene (ASR A2.3), Sammelplaetze, Raeumungsbeauftragte
• Erste Hilfe: Ersthelfer-Organisation (§ 10 ArbSchG), Erste-Hilfe-Material, Sanitaetsraum
• Brandschutz: Brandschutzordnung (Teile A, B, C nach DIN 14096), Brandschutzhelfer
• Kommunikation: Interne und externe Kommunikation, Krisenstab, Mediensprechregelung
• Wiederanlauf: Business Continuity, Wiederherstellung des Normalbetriebs

Notfalluebungen

ISO 45001 fordert die regelmaessige Uebung der geplanten Reaktionen. Die ASR A2.3 empfiehlt mindestens eine Raeumungsuebung pro Jahr. Die Ergebnisse der Uebungen muessen ausgewertet und die Notfallplaene bei Bedarf angepasst werden.

Nach jedem realen Notfall oder jeder Uebung muss eine Nachbesprechung stattfinden. Erkenntnisse fliessen in die Ueberarbeitung der Notfallplaene und ggf. in die Aktualisierung der Gefaehrdungsbeurteilungen ein.

Praxistipp: Dokumentieren Sie nicht nur die Uebung selbst, sondern auch die Raeumungszeit, identifizierte Probleme (z.B. blockierte Fluchtwege, fehlende Kennzeichnung) und die abgeleiteten Verbesserungsmassnahmen.

Die Zertifizierung nach ISO 45001 erfolgt durch eine akkreditierte Zertifizierungsstelle (in Deutschland akkreditiert durch die DAkkS). Der Prozess gliedert sich in mehrere Phasen:

Phasen der Zertifizierung

• Phase 0 — Vorbereitung (3–12 Monate): SGA aufbauen, dokumentieren, implementieren und intern auditieren. Alle Klauseln 4–10 muessen erfuellt sein.
• Phase 1 — Dokumentenpruefung (Stage 1 Audit): Der Auditor prueft die Dokumentation auf Vollstaendigkeit und Normkonformitaet. Typische Dauer: 1–2 Tage.
• Phase 2 — Zertifizierungsaudit (Stage 2 Audit): Vor-Ort-Audit mit Interviews, Begehungen, Dokumentenpruefung und Stichproben. Der Auditor bewertet die Wirksamkeit des SGA. Typische Dauer: 2–5 Tage (abhaengig von Unternehmensgroesse).
• Zertifikatserteilung: Bei positivem Ergebnis wird das Zertifikat erteilt (Gueltigkeit: 3 Jahre).
• Ueberwachungsaudits: Jaehrlich in den Jahren 2 und 3 des Zyklus.
• Re-Zertifizierung: Nach 3 Jahren vollstaendige Neubewertung.

Haeufige Nichtkonformitaeten bei der Zertifizierung

Kosten und Zeitaufwand

Die Kosten fuer die Zertifizierung variieren je nach Unternehmensgroesse, Branche und Komplexitaet. Als Richtwerte:

• Kleine Unternehmen (bis 50 MA): 3.000–6.000 EUR (Stage 1 + 2)
• Mittlere Unternehmen (50–250 MA): 6.000–12.000 EUR
• Grosse Unternehmen (250+ MA): 12.000–25.000+ EUR

Hinzu kommen die internen Kosten fuer den Aufbau des SGA: Beraterkosten, Mitarbeiterschulungen, Software und die Zeit der internen Verantwortlichen.

CERTISCAN unterstuetzt Unternehmen bei der Umsetzung und Aufrechterhaltung eines Arbeitsschutzmanagementsystems nach ISO 45001 mit folgenden Funktionen:

Dokumentenmanagement (IMS)

Das integrierte Managementsystem (IMS) von CERTISCAN deckt alle 15 Klauseln der ISO 45001 ab. Dokumente durchlaufen einen definierten Lebenszyklus (Entwurf → Pruefung → Freigabe → Verteilung → Archivierung) mit lueckenloser Versionierung und Aenderungsverfolgung. Alle Zugriffe werden im WORM-Audit-Trail protokolliert.

Gefaehrdungsbeurteilungen digital

Erstellen und verwalten Sie Gefaehrdungsbeurteilungen direkt in CERTISCAN — mit Risikomatrix, STOP-Massnahmen, Verantwortlichen und Terminen. Faellige Aktualisierungen werden automatisch per Erinnerung angezeigt.

Vorfallmanagement und CAPA

Vorfaelle melden, kategorisieren und systematisch analysieren. Der integrierte CAPA-Prozess (Corrective and Preventive Action) stellt sicher, dass Korrekturmassnahmen definiert, umgesetzt und auf Wirksamkeit geprueft werden. Alle Schritte sind im Audit-Trail nachvollziehbar.

Compliance-Score und Audit-Vorbereitung

Der Compliance-Score zeigt auf einen Blick, wie gut Ihre Organisation die Anforderungen der ISO 45001 erfuellt. Der KI-gestuetzte Auditbericht identifiziert Staerken, Luecken und gibt konkrete Empfehlungen fuer die Auditvorbereitung.

ASA-Sitzungen und Massnahmenverfolgung

Planen Sie ASA-Sitzungen im Audit-Kalender, dokumentieren Sie Beschluesse und verfolgen Sie offene Massnahmen im Action-Tracker. Faelligkeiten werden automatisch erinnert, und der Abschluss-Status ist jederzeit einsehbar.

Schulungsmanagement

Verwalten Sie Unterweisungen, PSA-Schulungen und Erste-Hilfe-Kurse. CERTISCAN erinnert automatisch an faellige Auffrischungen und dokumentiert die Teilnahme lueckenlos.

Ergebnis: Weniger manueller Aufwand, lueckenlose Dokumentation und die Sicherheit, bei internen Audits und Zertifizierungsaudits jederzeit auskunftsfaehig zu sein.