Beschreibung¶
Sollten Anforderungen aus Regelungen zur Informationssicherheit oder dem Qualitätsmanagement (z.B. Richtlinien oder Arbeitsanweisungen) temporär oder auf bestimmte Anwendungsfälle (z.B. IT-Systeme) nicht eingehalten werden können, dann ist dies im Zuge einer Ausnahmegenehmigung zu beantragen. Ausnahmegenehmigungen dürfen nur nach gründlicher Prüfung und in den seltensten Fällen erteilt werden. Ausnahmegenehmigung müssen schriftlich begründet und mit einer zeitlichen Begrenzung versehen werden.
Gründe für Ausnahmegenehmigungen können sein:
- wenn Anforderungen aufgrund technologischer oder organisatorischen Barrieren nicht eingehalten werden können,
- wenn lokale gesetzliche Gegebenheiten (z.B. an kryptographische Vorgaben) die Umsetzung der Anforderungen verhindern,
- zur Überbrückung, bis behandelnde Maßnahmen umgesetzt wurden,
- wenn die Durchsetzung der eigentlichen Anforderungen nicht wirtschaftlich ist und das mit der Ausnahmegenehmigung einhergehende Risiko tragbar,
- oder wenn Maßnahmen durch geschäftliche Anforderungen notwendig sind, die mit den Vorgaben der Qualitätssicherheit oder Informationssicherheit in Konflikt stehen.
Zum managen von Ausnahmegenehmigungen ist ein Prozess zur Beantragung, Genehmigung und Überprüfung von Ausnahmegenehmigungen zu implementieren und zu dokumentieren.
[!tip] Ausnahmegenehmigungen sollten genau mit den Zuständigen Verantwortlichen diskutiert werden und gut dokumentiert sein, damit im Falle einer Überprüfung durch Dritte (Wirtschaftsprüfer, Staatsanwalt, ...) klar nachgewiesen werden kann, warum die Ausnahmegenehmigung notwendig ist / war und welche Maßnahmen ergriffen wurden, diese möglichst zeitnah wieder zurückzunehmen.
Vorgehen¶
| Aktivität | Beschreibung | Anmerkung | |
|---|---|---|---|
| 1 | Problemfall erfassen | Beschreiben Sie möglichst genau, was die Ursache dafür ist, dass eine Richtlinie oder ein Prozess nicht mehr gültig ist, bzw. welche Teile oder Prozessschritte davon. Zudem sind alle betroffenen Prozesspartner (intern wie extern) zu informieren und deren Einschätzung einzuholen. |
Beispiel: Aus dem Markt kommt die Information, dass eine bestimmte Schraube nach einer kurzen Anwendungszeit reißt. Hier ist nun zu erfassen, wo diese verbaut wird, wer der Lieferant ist. Sowie ist zu bewerten, ob es ein systematisches Problem ist, oder nur eine bestimmte Charge der Schrauben betrifft. |
| 2 | Zuständige Stellen informieren | Nachdem die Top 5 der Geschäftsprozesse definiert sind, folgt die Strukturanalyse. Welche Anwendungen, IT-Systeme oder vielleicht auch Gebäude und Personen sind für diese Prozesse wichtig? Nutzt die vorhandene Dokumentation und das Wissen der Experten, aber verliert euch nicht in den Details. Eine grobe Architekturskizze der einzelnen Komponenten reicht meist schon aus. | Beispiel: Die Produktionsleitung, der Kundendienst und die Entwicklung sind zu Informieren. |
| 3 | Umfang der Ausnahmegenehmigung und Dauer erarbeiten. | Nun ist zu prüfen, was für die Ausnahmegenehmigung notwendig ist und welche Maßnahmen notwendig sind, damit diese möglichst schnell wieder zurückgenommen werden kann. | Beispiel: Kurzfristig: Ersatz der Schraube durch ein stabileres (teureres) Modell im Feld und der Fabrik. Langfristig: Anpassen der Konstruktion. Dauer der Ausnahmegenehmigung: Bis die überarbeitete Konstruktion in Produktion gehen kann. |
| 4 | Prüfung durch die Fachstelle und Freigabe durch die Geschäftsführung | Die Maßnahmen und die Begründung der Ausnahmengenehmigung wird durch die zuständigen Fachstellen bewertet und anschließend durch die Geschäftsleitung bestätigt. |
\
Seiteninhalt
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |