Arbeitsunfall an der Produktionslinie: Wie Sie die Krise beherrschen und Ihre Haftung nach einer Maschinenmodifikation nicht weiter verschärfen

Ein Unfall an der Produktionslinie ist schnell nicht mehr nur ein Arbeitsschutzvorfall. In der Praxis wird er zugleich zum Prüfstein für die technische Reife des Werks, die Qualität des Änderungsmanagements und die Vollständigkeit der Maschinendokumentation. Wie sich der Fall weiterentwickelt, entscheidet nur selten allein der Moment der Verletzung. Ausschlaggebend ist deutlich häufiger, was das Werk einige Stunden und einige Tage später nachweisen kann: in welchem Zustand sich die Maschine befand, wer auf welcher Grundlage Änderungen vorgenommen hat, ob technische Spuren gesichert wurden und ob die Unterlagen tatsächlich die Anlage beschreiben, die zum Zeitpunkt des Ereignisses in genau dieser Konfiguration betrieben wurde.

Das ist auch dann praktisch relevant, wenn die Maschine oder Linie zuvor modifiziert wurde. Nach einem Unfall stellt sich erneut die Frage, ob es sich noch um eine Reparatur oder betriebliche Korrektur handelte oder bereits um eine wesentliche Veränderung, die den Betreiber in eine Verantwortung verschiebt, die sonst dem Hersteller zukommt. Aus derselben Perspektive sind auch Audits zu Mindestanforderungen, EU-Konformitätserklärungen, Betriebsanleitungen und die vollständige technische Dokumentation zu bewerten, wenn das Werk die technische Lösung tatsächlich selbst geprägt hat. Deshalb darf ein Krisenmanagementverfahren nicht mit der Sicherung der Unfallstelle enden. Es muss zu einer klaren Antwort führen: Hat die Organisation den technischen Zustand, die Dokumentation und die Entscheidungen im Griff, die zum Betrieb der Maschine in der betreffenden Konfiguration geführt haben?

Die ersten Stunden nach dem Ereignis

In den ersten Stunden nach einem Unfall ist die richtige Einordnung des Problems entscheidend. Das Werk hat es nicht mehr nur mit einer Störung oder ausschließlich mit einem Unfallverfahren zu tun. Es steht gleichzeitig vor einer technischen, beweisbezogenen und organisatorischen Krise. Diese Unterscheidung ordnet die Prioritäten: zuerst die Sicherheit der Menschen und die Stabilisierung der Unfallstelle, dann der Schutz technischer Spuren und Daten und erst danach Entscheidungen über die Wiederaufnahme des Betriebs.

In dieser Phase richten reflexartige Handlungen den größten Schaden an. Jemand verstellt Bauteile, setzt die Steuerung zurück, löscht Alarme, startet die Maschine „nur testweise“ oder versucht, den Ablauf anhand der Erinnerungen von Zeugen zu rekonstruieren. Dabei sind die wertvollsten Informationen oft noch in der SPS, am Bedienpanel, in Alarmprotokollen, im Bildverarbeitungssystem, in Kameras und in der Zutrittshistorie zur Gefahrenzone gespeichert. Spätere Feststellungen lassen sich noch korrigieren. Verlorene technische Spuren lassen sich in der Regel nicht wiederherstellen.

Deshalb muss in der ersten Phase nicht wie ein Team zur Störungsbeseitigung gehandelt werden, sondern wie ein Team, das eine technische Untersuchung strukturiert. In der Praxis bedeutet das: Rollen klar trennen und Entscheidungschaos stoppen. Eine Person sollte für die Sicherheit der Unfallstelle und die Zugangskontrolle verantwortlich sein, eine andere für einen konsistenten Informationsfluss, eine weitere für den Kontakt mit dem Service des Lieferanten und wieder eine andere für die Sicherung der Dokumentation sowie die Erstellung von Datensicherungen aus Steuerungen und Überwachungssystemen. Andernfalls entsteht schnell eine Situation, in der sich der Service aus der Ferne mit der Maschine verbindet und die Fehlerhistorie überschreibt, die Instandhaltung die Spannungsversorgung wiederherstellt und die Produktionsleitung gleichzeitig auf eine teilweise Wiederaufnahme des Betriebs drängt.

Der vorgefundene Zustand hat seinen größten Wert gerade vor dem „Aufräumen“ des Arbeitsplatzes. Deshalb muss die Maschine nicht nur unter dem Aspekt des Schadens betrachtet werden, sondern auch im Hinblick auf die tatsächliche Sicherheitskonfiguration und die reale Betriebsweise. Relevant sind die Position und der Zustand von Schutzeinrichtungen, die an Schaltern eingestellte Betriebsart, mögliche Umgehungen von Schutzfunktionen, der Zustand von Sensoren und Aktoren, Einstellparameter, die Änderungshistorie des SPS-Programms, Einträge im Instandhaltungssystem sowie die letzten Serviceeinsätze. Aussagen von Zeugen sind wichtig, haben aber unterstützenden Charakter: Nach dem Ereignis ist die Erinnerung oft lückenhaft und durch Stress verzerrt.

Aus operativer Sicht ist die Antwort auf die Frage, wie weit nach dem Ereignis in die Maschine eingegriffen werden darf, einfach: nur in dem Umfang, der zur Rettung von Menschen, zur Beseitigung einer unmittelbaren Gefahr und zur Sicherung des Bereichs erforderlich ist – bei gleichzeitiger Dokumentation jeder Änderung. Jeder Probelauf, jede Demontage einer Schutzeinrichtung, jedes Löschen eines Alarms oder jeder Austausch eines Bauteils vor der Sicherung des vorgefundenen Zustands ist als Entscheidung mit hohem Risiko zu behandeln.

• Menschen schützen und den Ereignisbereich absperren, ohne den Maschinenbetrieb wieder aufzunehmen,
• den vorgefundenen Zustand dokumentieren: Fotos, Positionen von Bauteilen, Anzeigen auf Panels, Alarme und Meldungen,
• Datensicherungen erstellen und den Fern- sowie den lokalen Zugriff stoppen, der die Historie überschreiben könnte,
• eine einzige verantwortliche Person für Entscheidungen über Stillstand oder teilweise Wiederaufnahme des Betriebs benennen.

Erst nach einer solchen Ordnung der Fakten kann zu Fragen der Konformität und Verantwortung übergegangen werden. Dann lässt sich belastbar beurteilen, ob die Maschine bestimmungsgemäß verwendet wurde, ob nach Änderungen das erforderliche Sicherheitsniveau erhalten blieb, ob aktuelle Nachweise der Konformitätsbewertung, eine vollständige technische Dokumentation und betriebliche Unterlagen vorliegen, die dem tatsächlichen Zustand entsprechen. Das ist auch der Zeitpunkt, an dem zu klären ist, ob das Werk ausschließlich Betreiber bleibt oder durch den Umfang der Änderungen bereits in die Rolle eines für die technische Lösung verantwortlichen Akteurs geraten ist.

Wo Kosten und Verantwortung tatsächlich steigen

Nach einem Unfall ergibt sich die Risikolast oft nicht mehr aus dem Ereignis selbst, sondern aus der Vorgeschichte früherer technischer Entscheidungen. In der Praxis verursacht nur selten eine Maschine im Auslieferungszustand die größten Probleme. Deutlich häufiger wird ein nachgerüsteter Zuführer, ein ausgetauschter Greifer, eine geänderte Steuerungslogik, die Umgehung einer Schutzeinrichtung, die Integration mit einer anderen Station oder eine unter Effizienzdruck eingeführte Änderung der Betriebsart zum Streitpunkt. Aus Sicht der Produktion mögen solche Eingriffe nachvollziehbar erscheinen. Nach dem Ereignis zählt jedoch nicht die Absicht, sondern ob die Organisation die konstruktive Grundlage der Änderung, den Ablauf der Risikobeurteilung der Maschine, die Auswahl der Schutzmaßnahmen sowie die Freigabe für den Betrieb nachweisen kann.

Genau hier stellt sich die Frage nach einer wesentlichen Veränderung. Es geht nicht darum, wer die Maschine physisch repariert oder umgebaut hat. Entscheidend ist, ob der Umfang der Änderungen so weit ging, dass der Betrieb nicht mehr ausschließlich als Betreiber handelte, sondern Pflichten übernahm, die eigentlich dem für die technische Lösung verantwortlichen Akteur zukommen. Diese Grenze wird besonders leicht übersehen, wenn die Änderungen auf Instandhaltung, Automatisierung, Verfahrenstechnik und Produktion verteilt sind und jede für sich nur wie eine kleine Korrektur wirkt. Über den Charakter der Änderung entscheidet jedoch nicht ihre interne Bezeichnung, sondern ihre tatsächliche Auswirkung auf die Maschinenfunktion, die Art der Steuerung, die Gefahrenbereiche, die Arbeitsfolge, die Bedingungen für menschliche Eingriffe und vorhersehbare Bedienfehler.

In der Praxis wiederholt sich dieses Muster häufig. Um Stillstandszeiten zu verkürzen, wird lokal die Reihenfolge der Zylinderbewegungen geändert, ein Sensor zur Werkstückerkennung ergänzt und der Betrieb mit geöffneter Schutzeinrichtung im Einrichtbetrieb zugelassen, weil der Bediener den Prozess sehen muss. Mit der Zeit wird diese Lösung zur täglichen Praxis. Kommt es dann zu einem Unfall, kann niemand mehr eindeutig sagen, wer die Änderung freigegeben hat, welche Sicherheitsannahmen zugrunde gelegt wurden, ob die Schutzfunktionen nach der Modifikation geprüft wurden, ob das Personal geschult wurde und ob die Anweisungen dem tatsächlichen Zustand entsprechen. Dann steigen die Kosten sprunghaft – nicht nur, weil die Linie stillsteht, sondern weil dem Betrieb eine konsistente Grundlage für die technische Verteidigung fehlt.

In solchen Fällen zählen keine mündlichen Erklärungen, sondern nachvollziehbare Spuren des Änderungsmanagements. Fehlen sie, wird jede weitere Antwort zu einer Ad-hoc-Reaktion und damit angreifbar.

• Änderungsantrag mit Beschreibung von Ziel, Umfang und Auswirkungen auf die Sicherheit,
• technische Freigaben und Benennung der Verantwortung für die Betriebsfreigabe,
• Ergebnisse von Tests, Abnahmen und Verifizierungen der Schutzmaßnahmen,
• Aktualisierungen von Anleitungen, Verfahren zur Energieverriegelung und Nachweise über Schulungen.

Die zweite Risikodimension betrifft das Verhältnis zwischen den Mindestanforderungen für verwendete Maschinen und den Pflichten, die nach einem Umbau, einer Integration oder einer erneuten Inbetriebnahme in geänderter Konfiguration entstehen können. Das bloße Argument, dass die Maschine seit Jahren läuft, ersetzt keine Nachweise über Audits, Prüfungen der Mindestanforderungen und die aktuelle Bewertung der heutigen Betriebskonfiguration. Die ursprüngliche EU-Konformitätserklärung des Herstellers kann weiterhin relevant sein, beantwortet aber nicht automatisch die Frage, ob sie nach dem Umbau der Linie oder der Änderung der Steuerungslogik noch den tatsächlichen Zustand beschreibt. Genau deshalb muss nach einem Unfall präzise geklärt werden, ob es sich um eine Reparatur oder um eine wesentliche Veränderung der Maschine handelte und ob die Analyse eine einzelne Maschine oder die Linie als Gesamtheit von Maschinen betrifft.

Entscheidungen, die die Situation ordnen

Nachdem das Ereignis unter Kontrolle ist, sollte die erste Frage nicht lauten, wie schnell die Produktion wieder anlaufen kann. Zunächst ist festzulegen, nach welcher Logik die weiteren Entscheidungen getroffen werden. In der Praxis bedeutet das eine parallele Prüfung von drei Ebenen: des tatsächlichen technischen Zustands der Maschine, der Vollständigkeit und Konsistenz der Unterlagen sowie der Historie konstruktiver, steuerungstechnischer und organisatorischer Änderungen. Erst diese Gesamtsicht schafft die Grundlage für eine belastbare Risikobewertung.

Fehlt auch nur eine dieser Ebenen, sieht das Team nur einen Teil des Gesamtbilds. Allein die Störung erklärt noch nicht, ob die technische Lösung, die Art der Nutzung oder eine frühere Modifikation versagt hat, deren Folgen nie formell bewertet wurden. Aus demselben Grund sollte sich die Entscheidung über einen Stopp nicht immer auf eine einzelne Station beschränken. Wenn identische Schutzmaßnahmen, dieselbe Steuerungsarchitektur oder eine vergleichbare Änderung an anderen Stellen der Linie vorkommen, muss der Umfang der Stillsetzung weiter gefasst werden, bevor es zu einem Folgeereignis kommt.

Auf Managementebene müssen außerdem Fragen des Betriebs von Fragen der Konformität getrennt werden. Zuerst ist zu klären, in welcher Rolle die Organisation gegenüber der Maschine oder der Gesamtheit von Maschinen auftritt. Bleibt sie Betreiber, muss sie zumindest nachweisen, dass ihr die mit der Maschine gelieferten Unterlagen sowie Belege für einen sicheren Betrieb in der aktuellen Arbeitskonfiguration vorliegen. Verschiebt der Umfang von Umbau, Integration oder Änderung der Funktionslogik ihre Rolle jedoch in Richtung eines faktischen Herstellers, steigt das erwartete Maß an Begründung deutlich. Dann wird eine umfassendere technische Dokumentation erforderlich, die die zugrunde gelegten Sicherheitslösungen, die Auswahl der Schutzmaßnahmen, die Ergebnisse der Prüfungen und die Grundlage der vorgenommenen Risikobewertung erläutert.

Hilfreich ist eine einfache Matrix zur Bewertung der Unterlagen: Das Dokument ist vorhanden, es ist aktuell, es stimmt nicht mit dem tatsächlichen Zustand der Maschine überein oder es fehlt. Diese Einteilung zeigt schnell, ob das Problem formaler Natur ist oder ob die Kontrolle über die technische Lösung verloren gegangen ist. In der Praxis sind einige grundlegende Fragen zu beantworten: Liegt eine EU-Konformitätserklärung vor und bezieht sie sich auf die aktuelle Konfiguration, wurde die Betriebsanleitung nach den Änderungen aktualisiert, und sind Schaltpläne, Verzeichnisse der Sicherheitselemente, Prüfprotokolle, Ergebnisse von Audits zu den Mindestanforderungen, Aufzeichnungen über Inspektionen, Lockout/Tagout und Schulungen verfügbar? Das Fehlen eines einzelnen Dokuments bedeutet nicht immer, dass die Maschine dauerhaft außer Betrieb genommen werden muss. Fehlen jedoch mehrere wesentliche Nachweise gleichzeitig, kann der Betrieb in der Regel weder die Art der Nutzung noch die Entscheidung zur Wiederinbetriebnahme belastbar begründen.

• EU-Konformitätserklärung und Betriebsanleitung — beschreiben sie den aktuellen Zustand der Maschine,
• Schaltpläne, Risikobeurteilung, Abnahme- und Prüfprotokolle — begründen sie die eingesetzten Schutzmaßnahmen,
• Änderungsregister, Auditergebnisse, Aufzeichnungen über Inspektionen und Schulungen — bestätigen sie den sicheren Betrieb nach den Modifikationen.

Ein häufiger Fehler besteht darin, die Beseitigung eines Schadens mit der Beseitigung seiner Ursache gleichzusetzen. Der Austausch eines Lichtvorhangs, einer Schutztürverriegelung oder eines Sicherheitsmoduls schließt den Vorgang nicht ab, wenn unklar bleibt, warum die Schutzeinrichtung ihre Funktion nicht mehr erfüllt hat oder warum der Betrieb den Einsatz unter veränderten Bedingungen zugelassen hat. Die Rückkehr in den Betrieb erfordert daher nicht nur die Reparatur, sondern auch den Nachweis, dass die technische und organisatorische Ursache beseitigt wurde und dass die gewählte Art der Nutzung dem aktuellen Zustand der Maschine, der Steuerung und der Schutzeinrichtungen entspricht.

In manchen Fällen reicht es aus, den Betrieb zu ordnen und die Schutzmaßnahmen vor der Wiederinbetriebnahme zu überprüfen. In anderen ist eine umfassendere Überprüfung der gesamten Maschinenanlage, ein externes Audit oder eine weitergehende Konformitätsanalyse erforderlich, insbesondere wenn die Änderungen Sicherheitsfunktionen, zusammenwirkende Systeme oder Einrichtungen betreffen, die gesonderten technischen Regelungen unterliegen, wie etwa Druckanlagen. Aus normativer Sicht ist hier nicht die Vielzahl rechtlicher Grundlagen entscheidend, sondern die Fähigkeit, die gebotene Sorgfalt bei der Konformitätsbewertung und beim Betrieb der Maschine nachzuweisen.

Wie man nicht zum selben Unfall zurückkehrt

Die wichtigste Erkenntnis nach einem Unfall betrifft nur selten einen einzelnen Bedienfehler. Meist zeigt sie, wie die Organisation Entscheidungen über technische, organisatorische und softwarebezogene Änderungen trifft. Wenn die Auswirkungen einer Änderung auf die Sicherheit erst nach der Umsetzung geprüft werden, muss sich das nächste Ereignis nicht an derselben Maschine wiederholen. Es tritt an einer anderen Stelle der Linie auf, in einem anderen Team und unter einem anderen Projektnamen.

Deshalb besteht die Bewältigung der Krise nicht darin, der Anleitung einfach ein weiteres Verbot hinzuzufügen. Es geht darum, die Entscheidungsregeln neu zu ordnen: Wer darf eine Änderung beauftragen, wer bewertet ihre Auswirkungen auf die Schutzmaßnahmen, wer ist für die Risikobeurteilung verantwortlich und wer gibt die Maschine formell für die weitere Nutzung frei? Genau das ist der Kern des Änderungsmanagements. An diesem Punkt entscheidet sich, ob der Betrieb tatsächlich aus dem Ereignis lernt oder nur den Anschein einer Reaktion erzeugt.

In der Praxis braucht es ein einfaches Modell, das jedoch ausnahmslos angewendet wird. Jede technische Änderung sollte dieselbe Abfolge durchlaufen: Bewertung der Auswirkungen auf die Sicherheit, Benennung des Verantwortlichen für die Entscheidung, Festlegung der erforderlichen Tests und Abnahmen, Aktualisierung der Dokumentation sowie formale Freigabe zur Nutzung. Es geht nicht um ausufernde Bürokratie, sondern um eine Entscheidungsspur, die sich nach einem Monat ebenso wie nach einem Unfall nachvollziehen lässt. Wenn die Modifikation die Steuerung, Einhausungen, den Gefahrenbereich, die Logik des Zusammenwirkens von Maschinen oder die Art des menschlichen Eingriffs in den Prozess betrifft, darf sie nicht wie eine gewöhnliche Reparatur behandelt werden.

Nach einem Ereignis zeigt sich auch sofort, ob die Maschinensicherheit in Audits zu den Mindestanforderungen ein tatsächliches Instrument zur Kontrolle der Nutzungsbedingungen war oder nur ein archiviertes Formular. Gute Audits ermöglichen es, schnell zu klären, welche Schutzeinrichtungen und Schutzvorrichtungen an der Maschine vorhanden sein müssen, welche Abweichungen zuvor festgestellt wurden, wer sie akzeptiert hat und ob die Korrekturmaßnahmen abgeschlossen wurden. Schwache Audits enden in Allgemeinplätzen ohne Beweiswert. Deshalb lohnt es sich nach einem Unfall, nicht nur an den Ort des Geschehens zurückzukehren, sondern auch ähnliche Modifikationen im Betrieb zu prüfen und festzustellen, ob derselbe Entscheidungsmechanismus nicht auch an anderer Stelle vorliegt.

Eine eigene Problemquelle bleibt die Zusammenarbeit mit Lieferanten, Integratoren und dem Service. Externe Unterstützung kann technisch notwendig sein, verlagert die Verantwortung für das, was am Ende im Betrieb läuft, jedoch nicht nach außen. Wenn die Organisation nicht klar feststellen kann, was geändert wurde, wer den Arbeitsumfang freigegeben hat, wo die Grenzen der Verantwortung des Auftragnehmers lagen und ob die Dokumentation in einem nutzbaren Zustand übergeben wurde, steht sie nach einem Unfall ohne eigene Entscheidungsgrundlage da. Dann stellt sich erneut die schwierigste Frage: Ist der Betreiber weiterhin nur Betreiber, oder ist er durch Umfang und Art der vorgenommenen Änderungen zu dem für die technische Lösung verantwortlichen Akteur geworden und muss daher nicht nur über Betreiberunterlagen, sondern in der Praxis über eine weitergehende, den umgesetzten Lösungen entsprechende Dokumentation verfügen?

Das Fazit ist einfach. Nach einem Unfall verschafft nicht die Schnelligkeit von Erklärungen einen Vorteil, sondern die Qualität der Nachweise und die Konsequenz in den Entscheidungen. Sie entscheiden darüber, ob sich die Krise auf ein einzelnes Ereignis und einen einzelnen Stillstand begrenzen lässt oder ob daraus ein langfristiges Problem der Haftung, Streitigkeiten über den Umfang der Änderungen und weitere Stillstände entstehen. Eine Organisation, die eine logische Kette nachweisen kann – Änderung, Qualifizierung, Test, Aktualisierung der Dokumentation, formale Freigabe zur Nutzung –, hat eine reale Grundlage für ihre Verteidigung. Eine Organisation hingegen, die sich auf das Erinnerungsvermögen von Mitarbeitenden und auf die Annahme stützt, es habe sich nur um eine geringfügige Anpassung gehandelt, erlebt dieselbe Art von Unfall erneut, selbst wenn er sich nicht in identischer Form wiederholt.