Die 500.000-Euro-Frage: Sind Sie tatsächlich der Verantwortliche – oder nur auf dem Papier benannt?
Die Frage des österreichischen Pharma-Inspektors war direkt: „Als eingetragener gewerberechtlicher Geschäftsführer – erläutern Sie Ihre Aufsicht über das Qualitätssystem und wie Sie GMP-Compliance sicherstellen.“
Die Führungskraft, die ihm gegenübersaß, war drei Jahre zuvor zum gewerberechtlichen Geschäftsführer bestellt worden. Ihr Name stand auf allen offiziellen Registrierungen. Sie unterzeichnete die jährlichen Erklärungen. Sie war formell, gesetzlich, als verantwortliche Person nach österreichischem Gewerberecht bestellt.
Aber als der Inspektor nach ihrer tatsächlichen Beteiligung an der Qualitätsaufsicht fragte, offenbarten die Antworten eine andere Realität:
Sie nahm nicht an Quality-Management-Review-Meetings teil – das machte der Quality Director. Sie war nicht in wesentliche CAPA-Entscheidungen eingebunden – das verantwortete das Quality Management. Sie überprüfte keine Abweichungstrends – das war Sache der Qualitätssicherung. Sie wurde über Inspektionsbefunde erst nach Einreichung der Antworten informiert.
Die Schlussfolgerung des Inspektors wurde im Inspektionsbericht dokumentiert: „Der eingetragene gewerberechtliche Geschäftsführer übt trotz formaler Bestellung keine tatsächliche Aufsicht über Qualität und regulatorische Compliance aus. Dies stellt ein wesentliches Governance-Versagen dar, das eine Nichteinhaltung regulatorischer Anforderungen begründen und die Person persönlicher Haftung aussetzen kann.“
Diese Beobachtung löste eine umfassende Neubewertung aus – nicht nur des Qualitätssystems, sondern der gesamten Governance-Struktur und der regulatorischen Anforderungen.
Wichtiger noch: Sie zwang die Führungskraft zu einer unbequemen Frage: Würden österreichische Behörden sie persönlich zur Verantwortung ziehen, falls ein schwerwiegendes Compliance-Versagen einträte – für ein Qualitätssystem, das sie nominell kontrollierte, aber nicht tatsächlich beaufsichtigte?
Die Antwort war eindeutig: ja.
Die gefährliche Lücke zwischen formaler Bestellung und tatsächlicher Verantwortung
In Österreich und mehreren anderen europäischen Jurisdiktionen verlangen regulatorische Rahmenwerke, dass bestimmte Personen formell als Verantwortliche für Betriebe nach Gewerberecht benannt werden. Diese „gewerberechtlichen Geschäftsführer“ oder vergleichbare Rollen tragen erhebliche rechtliche Verantwortung dafür, dass Operations gesetzeskonform laufen.
Für pharmazeutische Hersteller, Medizinprodukte-Unternehmen und andere regulierte Branchen bedeutet das: Die bestellte Person ist formell verantwortlich für GMP-Compliance, regulatorische Einhaltung und operative Kontrolle.
Hier entsteht die gefährliche Lücke: Viele Organisationen behandeln diese Bestellung primär als Verwaltungsakt. Jemand mit passenden Qualifikationen wird formell benannt, der Name kommt auf die Registrierungen, die geforderten Erklärungen werden unterzeichnet – und alle nehmen an, die gesetzliche Anforderung sei erfüllt.
Tatsächliche operative Kontrolle, Qualitätsaufsicht und regulatorische Entscheidungsfindung laufen indes über andere Personen und Strukturen. Der Quality Director managt das Qualitätssystem. Die Operations-Leitung führt die Produktion. Regulatory Affairs bearbeitet Inspektionen und Einreichungen. Der gewerberechtliche Geschäftsführer wird über größere Themen informiert, ist aber nicht in das tägliche Governance-Geschehen eingebunden.
Diese Struktur wirkt rational – spezialisierte Funktionen, gemanagt von Fachexperten, mit dem gewerberechtlichen Geschäftsführer als Executive-Aufsicht. Viele Unternehmen arbeiten so ohne offensichtliche Probleme.
Bis Behörden bewerten, ob die Konstruktion die gesetzlichen Anforderungen tatsächlich erfüllt. Und zunehmend kommen sie zu dem Schluss: Sie tut es nicht.
Was Behörden tatsächlich bewerten
Wenn österreichische Behörden (oder vergleichbare Stellen in anderen Jurisdiktionen mit ähnlichen Rechtsrahmen) prüfen, ob die Bestellung des gewerberechtlichen Geschäftsführers compliant ist, kontrollieren sie nicht, ob die Unterlagen korrekt eingereicht wurden. Sie bewerten, ob die bestellte Person regulierte Operations tatsächlich kontrolliert und beaufsichtigt.
Konkret prüfen Inspektoren und Behörden:
Hat der gewerberechtliche Geschäftsführer tatsächliche Befugnis, operative Entscheidungen zu treffen oder zu beeinflussen? Keine theoretische Befugnis durch Bestellung – sondern nachweisbare Beteiligung an Entscheidungen, die Qualität, Compliance und Betrieb betreffen.
Bei Inspektionen zeigt sich das in spezifischen Fragen und Dokumenten-Reviews:
-
„Zeigen Sie mir aktuelle Beispiele operativer Entscheidungen, die Sie zu Qualität oder Compliance getroffen haben.“
-
„Erklären Sie mir Ihre Beteiligung an der jüngsten wesentlichen CAPA.“
-
„Erläutern Sie, wie Sie an der Reaktion auf die letzte behördliche Inspektion beteiligt waren.“
-
Review der Management-Meeting-Protokolle, um Beteiligung und Entscheidungsfindung der bestellten Person zu bewerten.
Wenn die Beteiligung des gewerberechtlichen Geschäftsführers darauf beschränkt ist, Berichte zu erhalten, nachdem andere bereits entschieden haben, schließen Behörden, dass der Person trotz formaler Bestellung die tatsächliche Kontrolle fehlt.
Ein österreichischer Pharmahersteller erlebte das bei einer Inspektion, als Behörden seine Management-Struktur prüften. Der formell bestellte gewerberechtliche Geschäftsführer war der kaufmännische Direktor – qualifiziert, registriert, formell bestellt. Aber alle Qualitäts- und Compliance-Entscheidungen wurden vom Site-Quality-Director und vom Operations-Manager getroffen. Der gewerberechtliche Geschäftsführer erhielt Zusammenfassungen in Quartalsmeetings.
Die Bewertung der Behörde: „Die bestellte Person ist über das Qualitätsmanagement informiert, übt aber keine tatsächliche Aufsicht oder Kontrolle aus. Diese formale Bestellung ohne substantielle Verantwortung erfüllt die regulatorischen Anforderungen an die Bestellung einer verantwortlichen Person nicht.“
Kann der gewerberechtliche Geschäftsführer Verständnis der für den Betrieb spezifischen regulatorischen Pflichten zeigen? Behörden erwarten von der bestellten Person, dass sie versteht, welche regulatorischen Anforderungen für ihre Operations gelten, wie Compliance erreicht und überprüft wird und welche Risiken bestehen, wenn diese Anforderungen nicht erfüllt werden.
Wenn der gewerberechtliche Geschäftsführer GMP-Anforderungen, regulatorische Frameworks oder Qualitätssystem-Erwartungen nicht in eigenen Worten beschreiben kann, kommen Inspektoren zu dem Schluss, dass sie die Verantwortung, die sie übernommen hat, nicht wirklich versteht.
Hat der gewerberechtliche Geschäftsführer systematischen Zugang zu Informationen, die für die Aufsicht erforderlich sind? Behörden bewerten, ob die bestellte Person relevante Qualitäts- und Compliance-Informationen regelmäßig und systematisch erhält – nicht nur, wenn Probleme eskalieren.
Beleg, den sie prüfen, umfasst:
-
Strukturen von Management-Review-Meetings und Teilnahme der bestellten Person.
-
Verteiler für zentrale Qualitäts- und Compliance-Berichte.
-
Eskalationsprotokolle und ob die bestellte Person eingebunden ist.
-
Dashboard- oder Kennzahlen-Zugang zur Qualitätssystem-Performance.
-
Dokumentation der Beteiligung der Person an wesentlichen Qualitätsentscheidungen.
Bei einem Medizinprodukte-Hersteller war der gewerberechtliche Geschäftsführer formell bestellt und qualifiziert, aber bei der Prüfung der Informationsflüsse fanden Inspektoren: Quality Management Review fand statt, ohne dass die bestellte Person teilnahm; CAPA-Berichte gingen an die Quality-Funktion und an Operations, nicht an den GG; Inspektionsbefunde wurden behandelt, ohne den GG einzubinden, bis die Reaktion eingereicht wurde; Management-Dashboards für die Person waren nicht vorhanden.
Beobachtung der Behörde: Die Person war zwar verantwortlich – konnte aber gar nicht verantwortlich sein, weil die Informationen sie nicht erreichten.
Kann der gewerberechtliche Geschäftsführer die Fähigkeit zeigen, Compliance-Anforderungen durchzusetzen? Aufsicht ohne Durchsetzungsbefugnis ist Schein. Behörden prüfen, ob die bestellte Person tatsächlich Compliance-Maßnahmen anordnen kann, wenn nötig: Ressourcen umverteilen, Operations stoppen, Eskalationen verlangen, Disziplinarmaßnahmen ergreifen.
Wenn diese Befugnisse formal beim CEO, beim Quality Director oder bei einem anderen Vorgesetzten liegen, bleibt der gewerberechtliche Geschäftsführer nominell verantwortlich, ohne die Mittel, dieser Verantwortung gerecht zu werden.
Die persönliche Haftungsrealität
Was viele bestellte Personen unterschätzen: Die rechtliche Verantwortung folgt der formalen Bestellung – unabhängig davon, ob sie tatsächlich an Entscheidungen beteiligt sind.
Wenn ein Compliance-Versagen schwere Folgen hat (Patientenschäden, Produktrückrufe, schwere Verstöße), prüfen Behörden zuerst, wer rechtlich verantwortlich war. Die Antwort: die formell bestellte Person.
Die persönliche Haftung kann umfassen:
-
Verwaltungsstrafen, oft mit erheblichen Beträgen.
-
Strafrechtliche Folgen bei grober Fahrlässigkeit oder Vorsatz.
-
Zivilrechtliche Haftung gegenüber Geschädigten.
-
Berufliche Konsequenzen einschließlich Disqualifikation für künftige Bestellungen.
-
Reputationsschäden, die die Karriere langfristig beeinträchtigen.
Die Verteidigung „Ich war nur formell benannt; jemand anderes traf die Entscheidungen“ funktioniert nicht. Die rechtliche Position lautet: Wenn Sie die Verantwortung formell übernommen haben, mussten Sie sicherstellen, dass Sie diese Verantwortung tatsächlich wahrnehmen können. Das nicht zu tun, ist selbst eine Pflichtverletzung.
Ein Geschäftsführer eines mittelgroßen Pharmaunternehmens beschrieb seine Erkenntnis nach einer Inspektion mit kritischen Befunden: „Ich hatte angenommen, ich sei vor Haftung geschützt, weil das Quality Management die operativen Entscheidungen traf. Mein Anwalt erklärte mir: Genau das Gegenteil ist der Fall. Ich hatte mich öffentlich verpflichtet, die Compliance dieses Betriebes sicherzustellen. Dass ich diese Pflicht delegiert habe, ohne mich rückzuversichern, ob die Umsetzung passiert, ist die Pflichtverletzung.“
Was wirksame Verantwortung als gewerberechtlicher Geschäftsführer tatsächlich verlangt
Unternehmen, die diese Rolle ernstnehmen, strukturieren sie um klare Prinzipien:
Klare Definition von Befugnis und Verantwortlichkeit. Die Rolle ist schriftlich definiert: Welche Entscheidungen erfordern die Beteiligung des gewerberechtlichen Geschäftsführers? Welche Befugnisse hat er, Compliance durchzusetzen? An wen berichtet er, und wer berichtet an ihn?
Vage „Aufsichts“-Verantwortung reicht nicht. Spezifizität schafft Verantwortlichkeit – sowohl rechtlich als auch operativ.
Systematischer Informationszugang, der zur Aufsichtsverantwortung passt. Die bestellte Person erhält regelmäßig:
-
Quality-System-Performance-Kennzahlen mit definierter Frequenz.
-
Berichte zu Abweichungen, CAPAs und Inspektionsbefunden, sobald sie auftreten.
-
Briefings zu wesentlichen Änderungen oder Entscheidungen, bevor sie umgesetzt werden.
-
Direkten Zugang zu Quality- und Operations-Leadership ohne Filter.
Direkte Beteiligung an wesentlichen Qualitäts- und Compliance-Entscheidungen. Nicht nur Genehmigung von Entscheidungen, die andere getroffen haben – sondern echte Einbindung in die Entscheidungsfindung. Das umfasst Teilnahme an Quality Management Reviews, Mitwirkung bei Risiko-Priorisierungen, Beteiligung an strategischen Compliance-Entscheidungen.
Dokumentierte Aufsichtsaktivitäten. Der gewerberechtliche Geschäftsführer kann nachweisen, wie er seine Aufsicht ausübt: Welche Meetings besucht er? Welche Dokumente prüft er? Welche Entscheidungen trifft oder beeinflusst er? Welche Berichte erhält er?
Diese Dokumentation schützt sowohl das Unternehmen als auch die Person individuell. Bei Inspektionen liefert sie den Beleg, dass die Bestellung substantiell ist. Bei rechtlichen Fragen demonstriert sie, dass die Person die Pflichten ernsthaft wahrgenommen hat.
Klare Eskalationsprotokolle, die sicherstellen, dass der gewerberechtliche Geschäftsführer über wesentliche Entwicklungen informiert wird. Bestimmte Ereignisse müssen die Aufmerksamkeit der bestellten Person automatisch erreichen: kritische Abweichungen, Behördeninspektionen, schwerwiegende Compliance-Verstöße, signifikante Veränderungen in Risiko-Profilen.
Diese Eskalationen sind nicht „Information zur Kenntnisnahme“, sondern Trigger für Beteiligung an der Reaktion.
Drei Unternehmen, die die Verantwortung des gewerberechtlichen Geschäftsführers wirksam strukturierten
Beispiel 1: Ein österreichischer Steriler-Hersteller wandelte die Rolle nach einer kritischen Inspektion um. Der formell bestellte gewerberechtliche Geschäftsführer wurde aktiver Teilnehmer am wöchentlichen Quality-Operations-Steering-Meeting, erhielt täglich automatische Reports zu kritischen Quality-Events, hatte definierte Genehmigungsbefugnisse für CAPAs über bestimmten Schwellen und führte monatliche dokumentierte Walk-throughs durch.
Bei der Folge-Inspektion vermerkten Behörden ausdrücklich: „The designated person demonstrates substantive oversight commensurate with formal responsibility. This represents appropriate compliance with responsible person designation requirements.“
Beispiel 2: Ein Medizinprodukte-Unternehmen führte eine formale „Responsibility Charter“ für seinen gewerberechtlichen Geschäftsführer ein – ein einseitiges Dokument, das spezifische Befugnisse, Informationsrechte, Pflichten und Eskalationsprotokolle definierte. Die Charter wurde vom Vorstand verabschiedet und in das QMS aufgenommen.
Inspektoren bezeichneten dieses Dokument als „best practice“ und nutzten es als Referenz beim Coaching anderer Unternehmen mit unklarer Rollenstruktur.
Beispiel 3: Ein API-Hersteller etablierte ein vierteljährliches „Responsible Person Briefing“, in dem der gewerberechtliche Geschäftsführer über alle wesentlichen Compliance-Entwicklungen, anstehenden Behördenkontakte und strategischen Risiken informiert wurde. Die Briefings wurden protokolliert und enthielten dokumentierte Entscheidungen, Anweisungen und Maßnahmen.
Diese Praxis verbesserte sowohl die tatsächliche Aufsicht als auch die Verteidigungsfähigkeit der Person bei rechtlichen Fragen.
Die Fragen, die jeder gewerberechtliche Geschäftsführer stellen sollte
Wenn Sie als gewerberechtlicher Geschäftsführer bestellt sind, prüfen Sie ehrlich:
„Verstehe ich, welche regulatorischen Anforderungen für unsere Operations gelten?“ Können Sie GMP-Anforderungen, Inspektionserwartungen und die wesentlichen regulatorischen Frameworks in eigenen Worten erklären?
„Erhalte ich systematisch die Informationen, die ich für Aufsicht brauche?“ Bekommen Sie Quality-Performance-Daten, Eskalationen und kritische Briefings strukturiert – nicht nur, wenn jemand sie zufällig weiterleitet?
„Bin ich tatsächlich an wesentlichen Compliance-Entscheidungen beteiligt?“ Werden Sie konsultiert, bevor Entscheidungen getroffen werden – oder erfahren Sie davon erst danach?
„Habe ich die Befugnis, Compliance durchzusetzen, wenn nötig?“ Können Sie Operations stoppen, Ressourcen umverteilen, Eskalationen verlangen, Maßnahmen anordnen?
„Ist meine Aufsicht dokumentiert?“ Können Sie zeigen, wie Sie Ihre Verantwortung wahrnehmen – mit nachvollziehbaren Aktivitäten und Entscheidungen?
Wenn die Antworten unsicher oder negativ ausfallen, tragen Sie persönliche Haftung für Compliance, die Sie nicht ausreichend kontrollieren können. Das ist ein gefährlicher Zustand – sowohl für Sie individuell als auch für die Organisation.
Was Behörden zunehmend deutlich machen
Die regulatorische Botschaft wird klarer: Formale Bestellung ohne substantielle Verantwortung ist nicht nur unzureichend – sie ist selbst ein Compliance-Risiko.
Behörden konzentrieren sich zunehmend darauf, die Realität der Aufsicht zu prüfen, nicht das Vorhandensein formaler Strukturen. Ein eingetragener Name ohne tatsächliche Beteiligung schützt weder das Unternehmen vor regulatorischen Konsequenzen noch die Person vor persönlicher Haftung.
Für Unternehmen bedeutet das: Die Bestellung des gewerberechtlichen Geschäftsführers muss als strategische Governance-Entscheidung behandelt werden, nicht als Verwaltungsakt. Die Strukturen, die sicherstellen, dass die bestellte Person tatsächlich beaufsichtigen kann, sind ebenso wichtig wie die Bestellung selbst.
Für die bestellten Personen bedeutet das: Stellen Sie aktiv sicher, dass Sie die Bedingungen haben, Ihrer Verantwortung gerecht zu werden – oder verweigern Sie die Bestellung. Eine zwischendrin-Position – formell verantwortlich, ohne tatsächliche Aufsicht – ist die rechtlich riskanteste.
Die Verantwortung jenseits des Titels
Die Rolle des gewerberechtlichen Geschäftsführers existiert aus einem Grund: Sicherzustellen, dass jemand mit klarer Verantwortung und Befugnis dafür einsteht, dass regulierte Operations gesetzeskonform laufen.
Wenn diese Rolle als bloße Formalität behandelt wird, untergräbt das den gesamten Zweck. Behörden erkennen das. Die Konsequenzen für Unternehmen und Personen werden ernster.
Wer in dieser Rolle steht, sollte sich fragen: Bin ich tatsächlich der Verantwortliche – oder nur der Name auf dem Papier? Die Antwort entscheidet darüber, ob die Bestellung Schutz oder Risiko ist.