QMB extern bestellen: Wann ein externer Qualitätsmanagementbeauftragter die bessere Wahl ist

Ein externer Qualitätsmanagementbeauftragter (QMB extern) übernimmt im Auftrag eines Unternehmens die Aufgaben, die früher zwingend in der ISO 9001:2008 verankert waren. Die Norm ISO 9001:2015 verlangt formal keinen QMB mehr, weil die Verantwortung für das Qualitätsmanagementsystem (QMS) auf die oberste Leitung übertragen wurde. In der Praxis braucht jedes zertifizierte Unternehmen jedoch eine Person, die das QMS pflegt, Audits begleitet, Korrekturmaßnahmen verfolgt und die Schnittstelle zum Zertifizierer organisiert. Diese operative Funktion bleibt bestehen, unabhängig von der formalen Streichung des QMB in Abschnitt 5.3 der aktuellen Norm.

Externe Lösungen sind in mittelständischen Unternehmen weit verbreitet, weil eine interne Vollzeitstelle bei begrenztem QMS-Aufwand wirtschaftlich nicht sinnvoll ist. Dieser Beitrag erklärt, welche Aufgaben ein externer QMB tatsächlich übernimmt, wie er bestellt wird, was er kostet, wie Sie ihn auswählen und wie die Übergabe an den Dauerbetrieb sauber organisiert wird. Der Fokus liegt auf produzierenden Unternehmen, IT-Dienstleistern und regulierten Branchen wie Medizintechnik und Automobilzulieferer. Ergänzende Normen wie ISO 13485 für Medizinprodukte, IATF 16949 für die Automobilindustrie und ISO 17025 für Prüflabore werden in ihrer Schnittstelle zur QMB-Rolle eingeordnet, damit auch Unternehmen mit mehrfachen Zertifizierungen eine Entscheidungsgrundlage erhalten.

Die ISO 9001:2015 verlangt in Abschnitt 5 die Übernahme der Verantwortung für das QMS durch die oberste Leitung. Die operative Pflege des Systems wird in der Praxis aber an eine benannte Person delegiert, intern oder extern. Diese Person übernimmt sechs Kernaufgaben. Erstens die Pflege des Qualitätshandbuchs und der dokumentierten Verfahrensanweisungen nach Abschnitt 7.5. Zweitens die Vorbereitung der jährlichen Managementbewertung nach Abschnitt 9.3 mit Inputs zu Kundenzufriedenheit, Audit-Ergebnissen, Prozessleistung, Verbesserungspotenzialen und Risiken. Drittens die Planung und Durchführung interner Audits nach Abschnitt 9.2, einschließlich Auditprogramm, Auditplan, Auditberichten und Maßnahmenverfolgung.

Viertens die Begleitung der externen Audits, also Surveillance-Audits, Re-Zertifizierungsaudits und gegebenenfalls Sonderaudits. Fünftens die Pflege des Risiken- und Chancen-Registers nach Abschnitt 6.1 mit konkreten Maßnahmen, Verantwortlichen und Fristen. Sechstens die Schulungsplanung und der Kompetenznachweis nach Abschnitt 7.2, oft in Verbindung mit dem Personalmanagement. Wer eine dieser sechs Aufgaben unterlässt, riskiert eine Abweichung im externen Audit, die die Zertifizierung gefährden kann. CIVAC bildet die Aufgaben des Qualitätsmanagementbeauftragten als Modulstruktur im Workspace ab, mit Vorlagen für Auditprogramm, Managementbewertung, Risikoregister und Korrekturmaßnahmen. Damit wird sichtbar, welche Aufgabe wann fällig ist und welche Nachweise im System hinterlegt sind. Wer mehrere Standorte oder Konzerntöchter betreut, kann die Aufgabenmatrix pro Einheit pflegen und konsolidieren, ohne dass eine zentrale Excel-Tabelle entstehen muss. Damit ist auch eine Konzern-QMB-Funktion mit mehreren Mandanten in einer Architektur möglich, in der die einzelnen Audit-Spuren strikt voneinander getrennt bleiben und gleichzeitig konsolidiert auswertbar sind. Auch die Verbindung zu Lieferanten-Audits und Lieferantenbewertungen, etwa über die Rolle des Lieferanten-Auditors, lässt sich im selben Workspace abbilden, sodass das QMS in die Lieferkettensicht integriert wird.

Die Revision der ISO 9001:2015 hat in Abschnitt 5.3 die Forderung nach einem benannten Qualitätsmanagementbeauftragten gestrichen. Stattdessen verlangt die Norm, dass die oberste Leitung Verantwortlichkeiten und Befugnisse zuweist, um die Prozesse zu steuern, das QMS aufrechtzuerhalten und die Konformität mit den Anforderungen sicherzustellen. In der Praxis wird diese Verantwortung an eine Person delegiert, die im Sprachgebrauch weiterhin als QMB bezeichnet wird. Die Bezeichnung ist nicht zertifizierungsrelevant, die Funktion schon.

Externe Auditoren erwarten in der Regel eine klare Zuordnung: Wer dokumentiert das QMS, wer koordiniert die internen Audits, wer bereitet die Managementbewertung vor, wer ist Ansprechpartner für das Zertifizierungsaudit? Diese Zuordnung muss schriftlich erfolgen, etwa in einer Stellenbeschreibung, einer Funktionsmatrix oder einer Bestellurkunde. Bei einem externen QMB ist die Bestellurkunde der zentrale Nachweis. Sie enthält den Aufgabenumfang, die Berichtslinie an die oberste Leitung, die Stellvertretung und die Dauer des Mandats. Bestellurkunde, unterschrieben, abgelegt, belegbar. CIVAC erstellt diese Bestellurkunde im Workspace, mit klaren Zuordnungen zu den Abschnitten der ISO 9001:2015. Der externe Auditor findet im Mandantenordner sofort die formale Grundlage und die operativen Nachweise, etwa die letzten drei internen Auditberichte, die aktuelle Managementbewertung und das Risikoregister mit Folgemaßnahmen-Status, sodass die Pflichterfüllung in einem konsolidierten Blick prüfbar ist. Auch bei einem Wechsel der Zertifizierungsstelle bleibt die Dokumentation in derselben Architektur, sodass eine neue Auditor-Mannschaft ohne Recherche-Aufwand zu den relevanten Nachweisen geführt werden kann. Die Bestellurkunde wird zudem mit einer Vertretungsregelung versehen, damit eine plötzliche Verhinderung des QMB im Audit-Termin nicht zur Vertagung führt.

Die Entscheidung zwischen internem und externem QMB folgt einer einfachen Logik. Eine interne Vollzeitstelle ist wirtschaftlich sinnvoll, wenn das QMS-Aufkommen mindestens 0,8 bis 1,0 Vollzeitäquivalente bindet. Das ist typischerweise der Fall ab 250 Mitarbeitenden in produzierenden Unternehmen, bei mehreren Standorten oder bei kombinierten Zertifizierungen wie ISO 9001 plus IATF 16949 plus ISO 14001 plus ISO 45001. Wer darunter liegt, baut entweder eine Teilzeit-QMB-Stelle auf oder bestellt extern.

Eine Teilzeit-Lösung birgt das Risiko, dass der oder die Mitarbeitende die QMB-Aufgaben neben dem Tagesgeschäft erledigt und Audit-relevante Tätigkeiten in Spitzenzeiten liegen bleiben. Eine externe Bestellung löst dieses Problem strukturell. Der externe QMB hat ausschließlich Aufgaben aus dem QMS, eine dokumentierte Berichtslinie zur Geschäftsführung und eine Stundenuntergrenze pro Monat, die im Mandatsvertrag fixiert ist. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. CIVAC bietet die externe QMB-Rolle in der dualen Logik: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle laufen im selben System mit denselben 490 Audit-Vorlagen und der EU-Datenresidenz. Die SLA für die erstmalige Mandatsübernahme liegt bei 2 Werktagen, was im Falle eines kurzfristigen Audit-Termins oder eines plötzlichen Personalwechsels den Unterschied zwischen einer fristgerechten Vorbereitung und einer Verschiebung der Zertifizierung ausmachen kann. Die Kosten lassen sich vor Vertragsabschluss anhand der Mitarbeiterzahl und der Zertifizierungslandschaft präzise indikatieren. Damit verschwindet die typische Unsicherheit zwischen einem günstigen Angebot mit Stundensatzschlupf und einer Pauschale, die intransparent kalkuliert ist. Wer den Mandatsvertrag jährlich überprüft und die Stundenuntergrenze an den realen Aufwand der letzten zwölf Monate anpasst, behält die Kosten dauerhaft im Griff.

Die Kosten für einen externen QMB hängen von drei Faktoren ab: Umfang der Zertifizierungen, Mitarbeiterzahl und Standortanzahl. Eine reine ISO 9001:2015-Begleitung in einem mittelständischen Unternehmen mit einem Standort und 80 bis 200 Mitarbeitenden bewegt sich typischerweise zwischen 600 und 1.200 Euro pro Monat, mit einer Stundenuntergrenze von 6 bis 10 Stunden. Eine kombinierte Zertifizierung mit ISO 9001 plus ISO 14001 plus ISO 45001 erhöht den Aufwand auf 1.200 bis 2.400 Euro pro Monat. Branchenspezifische Normen wie ISO 13485 oder IATF 16949 liegen darüber, weil die regulatorischen Anforderungen tiefer sind und die externen Audits länger dauern.

Vertragsmodelle gibt es in drei Varianten. Erstens die monatliche Mandatsgebühr mit Stundenuntergrenze und Mehraufwandsregelung. Zweitens das Pauschalmodell mit jährlicher Festvergütung, das in Folgezertifizierungsjahren tendenziell günstiger ist, in Erstzertifizierungs- oder Rezertifizierungsjahren aber höhere Initialaufwände abdeckt. Drittens das Stundenmodell mit reiner Abrechnung nach geleisteter Arbeit, das nur bei sehr kleinen Unternehmen oder klar abgegrenzten Projekten sinnvoll ist. Bei CIVAC ist das Standardmodell die monatliche Mandatsgebühr inklusive Workspace-Lizenz. Damit entfällt der separate Tool-Einkauf, und die Audit-Vorlagen, das Risikoregister und die Managementbewertung sind ohne Zusatzkosten verfügbar. Der Prüfer ruft an, der Nachweis liegt bereit. Ein Vergleich der drei Varianten lohnt sich vor Vertragsabschluss, weil die Gesamtkosten über zwei bis drei Jahre stark variieren können und ein günstiger Stundensatz nicht automatisch eine günstige Jahresrechnung ergibt. Zusätzlich lohnt der Blick auf Sonderkosten für Audit-Begleitung in Konzerntöchtern oder Standortprüfungen, die im Hauptvertrag oft nicht abgedeckt sind und mit gesonderten Tagessätzen abgerechnet werden.

Wer einen externen QMB auswählt, sollte sieben Kriterien systematisch prüfen. Erstens: Welche Qualifikation liegt formal vor? Ein anerkannter Qualifikationsnachweis ist die Ausbildung zum Qualitätsmanagementbeauftragten nach DGQ/EOQ-Standard oder ein Lead-Auditor-Zertifikat nach ISO 9001:2015 von einer akkreditierten Zertifizierungsstelle. Zweitens: Welche Branchenerfahrung liegt vor? Ein QMB für Automobilzulieferer braucht IATF 16949-Kenntnisse, ein QMB für Medizinproduktehersteller ISO 13485 und MDR-Erfahrung. Drittens: Wo werden die Daten gespeichert und greift dabei das EU-Datenresidenzprinzip nach DSGVO?

Viertens: Welche Stellvertreterregelung gibt es? Ein externer QMB ohne benannte Stellvertretung fällt bei Krankheit oder Urlaub aus, und ein kurzfristiger Audit-Termin lässt sich nicht mehr abdecken. Fünftens: Welche Vorlagen werden mitgeliefert und sind sie versioniert? Sechstens: Wie ist die Reaktionszeit auf Anfragen geregelt? Ein dokumentiertes SLA für Antworten innerhalb von 24 oder 48 Stunden ist üblich. Siebtens: Welche Übergabelogik gilt bei Mandatsende? Verbleiben die Vorlagen, das Risikoregister und die Audit-Berichte beim Mandanten oder beim Berater? CIVAC erfüllt diese sieben Kriterien standardisiert. Audit-fest, dokumentiert, § 130-fest. Die Daten verbleiben im Workspace des Mandanten, die Vorlagen sind versioniert, die Stellvertretung ist Teil des Mandats. Damit ist sichergestellt, dass auch ein späterer Wechsel der operativen Person das QMS nicht zurücksetzt und die Zertifizierung nicht gefährdet. Ein Anbieter, der eines der sieben Kriterien nicht schriftlich zusichern kann, gehört nicht in die Endrunde. Ein achtes weiches Kriterium ist die persönliche Erreichbarkeit der QMB-Person und ein vorab definiertes Termin-Rhythmus-Modell, weil die Audit-Begleitung in der Realität viele kurze Abstimmungen verlangt und nicht in monatlichen Großblöcken funktioniert. Auch Sprache und Standortnähe spielen eine Rolle, wenn das Unternehmen mehrere Werke betreibt und Audits vor Ort stattfinden.

Die Bestellung eines externen QMB erfolgt durch die Geschäftsführung in Form einer schriftlichen Bestellurkunde. Diese Urkunde enthält den Aufgabenumfang nach Abschnitten der ISO 9001:2015, die Berichtslinie an die oberste Leitung, die Stellvertretung, die Dauer des Mandats, die Beendigungsmöglichkeiten und gegebenenfalls Hinweise auf weitere Zertifizierungen, die der QMB betreut. Eine Eintragung in das Handelsregister ist nicht erforderlich. Eine vertragliche Grundlage zwischen Mandant und externem Dienstleister regelt die Vergütung, die Stundenuntergrenze, die Haftung und die Datenverarbeitung nach DSGVO.

Rechtlich übernimmt der externe QMB keine eigene gesetzliche Pflichtenverantwortung, weil die ISO 9001:2015 keinen QMB mehr formal verlangt. Die Pflichtenverantwortung verbleibt bei der obersten Leitung. Faktisch trägt der QMB die operative Verantwortung für die korrekte Durchführung der ihm übertragenen Aufgaben, etwa für die rechtzeitige Vorbereitung von Audits, die Vollständigkeit der Managementbewertung und die Plausibilität des Risikoregisters. Bei groben Fahrlässigkeiten oder Unterlassungen greift die vertragliche Haftung mit der vereinbarten Vermögensschadenhaftpflicht. CIVAC hinterlegt die Bestellurkunde, den Mandatsvertrag und die Haftpflichtangaben im Workspace. Beauftragt wird die Rolle, nicht der Berater-Tag. Damit ist im externen Audit der Nachweis der Bestellung lückenlos verfügbar, gemeinsam mit den operativen Nachweisen über die Tätigkeit, etwa Auditplänen, Berichtszeitstempeln und Maßnahmenstatus, was dem Auditor eine vollständige Bewertungsgrundlage in einem Datenraum bietet. Bei integrierten Managementsystemen lässt sich die Bestellurkunde auf weitere Beauftragten-Rollen erweitern, etwa Umweltbeauftragter oder Arbeitssicherheits-Funktion, ohne dass zusätzliche Verträge nötig werden. Damit sind Doppelarbeit, Berichtslücken und Inkonsistenzen zwischen den verschiedenen Pflichtenkreisen strukturell ausgeschlossen. Die Vermögensschadenhaftpflicht des externen Anbieters wird im Vertrag betragsmäßig zugesichert, damit im Streitfall klar ist, welche Deckung greift.

Das Onboarding eines externen QMB verläuft typischerweise in vier Phasen. Phase eins: Bestandsaufnahme über zwei bis vier Wochen. Hier werden das aktuelle Qualitätshandbuch, die letzten internen und externen Auditberichte, die Managementbewertung des Vorjahres und das Risikoregister gesichtet. Identifizierte Lücken werden in einer Maßnahmenliste mit Prioritäten und Fristen festgehalten. Phase zwei: Lückenschluss über vier bis acht Wochen, je nach Tiefe der Defizite. Hier werden fehlende Dokumente erstellt, veraltete Prozesse aktualisiert und Schulungspläne erweitert.

Phase drei: Aufbau der Routine. Der externe QMB plant das Auditprogramm für das laufende Geschäftsjahr, koordiniert mit der Zertifizierungsstelle die Termine, bereitet die Managementbewertung vor und etabliert die regelmäßige Berichterstattung an die Geschäftsführung. Phase vier: Dauerbetrieb mit monatlichem Status, vierteljährlicher Berichtslinie und jährlicher Managementbewertung. Frist läuft ab Kenntnis. Wer das Onboarding strukturiert über die 490 CIVAC-Audit-Vorlagen führt, verkürzt die Lückenschlussphase typischerweise um 30 bis 50 Prozent. Damit ist eine Erstzertifizierung in 14 bis 20 Wochen erreichbar statt der oft kommunizierten 9 bis 12 Monate. Bei Rezertifizierungen oder Mandatswechseln verkürzt sich die Phase weiter, weil die Datenbasis im Workspace bereits vorhanden ist. Eine Übergabe von einem internen QMB an einen externen Dienstleister erfolgt im selben Workspace, ohne dass das Risikoregister oder die Audit-Berichte in einer Migration verloren gehen. Die Berichtslinie an die Geschäftsführung wird im selben Termin angepasst, damit der externe QMB unmittelbar einberichten kann und keine organisatorische Lücke entsteht. Auch eine Rückübergabe an einen internen QMB ist im selben System ohne Datenverlust möglich, falls das Unternehmen später eine interne Stelle aufbaut.

In der Praxis treten fünf Stolperfallen regelmäßig auf. Erstens: Die Managementbewertung wird kurz vor dem Audit-Termin zusammengestellt und enthält veraltete Daten zu Kundenzufriedenheit, Beschwerdezahlen und Prozessleistung. Auditoren erkennen das innerhalb von 30 Minuten und vergeben Abweichungen. Zweitens: Das Risikoregister wird als statische Tabelle geführt, ohne dass die Maßnahmen mit Verantwortlichen, Fristen und Wirksamkeitsprüfung verknüpft sind. Drittens: Interne Audits werden nicht nach einem dokumentierten Programm geplant, sondern nach Verfügbarkeit der internen Auditoren, was zu Lücken in der Abdeckung führt.

Viertens: Korrekturmaßnahmen werden geöffnet, aber nicht innerhalb der vereinbarten Fristen geschlossen. Bei der nächsten Auditphase wird sichtbar, dass die Wirksamkeitsprüfung fehlt. Fünftens: Die Schnittstelle zwischen QMB und anderen Beauftragten, etwa Datenschutzbeauftragter, ISB, Umweltbeauftragter, ist nicht geregelt. Bei integrierten Managementsystemen entstehen dadurch Doppelarbeit und Inkonsistenzen. CIVAC adressiert diese fünf Stolperfallen strukturell. Die Managementbewertung wird über das Jahr verteilt mit Datenstand-Snapshots befüllt, das Risikoregister ist mit Maßnahmen, Verantwortlichen und Fristen verknüpft, das Auditprogramm ist Pflichtfeld im Workspace, Korrekturmaßnahmen haben eine Wirksamkeitsprüfung als Verfahrensschritt, und die Schnittstellen zu anderen Beauftragten sind als Berechtigungsmodell konfiguriert. Damit lassen sich integrierte Managementsysteme nach High Level Structure von ISO konsequent in einer Architektur führen, was Audit-Vorbereitungszeit deutlich senkt und gleichzeitig die Konsistenz der Berichte über alle Normen hinweg verbessert. Auch die Vorbereitung auf branchenspezifische Erweiterungen wie ISO 13485 oder IATF 16949 erfolgt in derselben Datenarchitektur, sodass eine neue Zertifizierung nicht zum Aufbau eines parallelen Tools führt. Damit lässt sich die Reife des QMS objektiv anhand der Schließquote von Korrekturmaßnahmen, der Audit-Ergebnistrends und der Kundenzufriedenheitskennzahlen messen.

Die Entscheidung für einen externen QMB ist in mittelständischen Unternehmen meist die wirtschaftlich und operativ sinnvollere Wahl, sofern das QMS-Aufkommen unter einer vollen internen Stelle bleibt und die Audit-Aktivität planbar ist. Die externe Lösung bietet eine professionalisierte Routine, eine klare Berichtslinie, eine Stellvertretung und eine schnellere Reaktion auf Sonderlagen, etwa bei einer Rezertifizierung oder bei einer neuen Zertifizierung. Die Bestellung erfolgt mit Bestellurkunde, die Berichtslinie führt an die oberste Leitung, die Audit-Vorlagen sind versioniert im Workspace abgelegt.

CIVAC ist als Compliance-Plattform und Officer-as-a-Service so aufgebaut, dass die QMB-Rolle in der dualen Logik gewählt werden kann. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die SLA für die erstmalige Bestellung liegt bei 2 Werktagen. Die 490 Audit-Vorlagen, das Risikoregister, die Managementbewertungs-Vorlage und das Korrekturmaßnahmen-Modul sind Bestandteil des Workspace. Die EU-Datenresidenz ist Standard. Aus dem Lesen einen Auftrag machen: info@civac.de oder das Kontaktformular auf civac.de. Im Erstgespräch klären wir anhand von Mitarbeiterzahl, Standortanzahl und Zertifizierungslandschaft, welches Modell passt und welche monatlichen Kosten sich daraus ergeben. Eine schriftliche Indikation und ein Vorschlag für die Bestellurkunde folgen im Anschluss. Wenn ein konkreter Audit-Termin ansteht, lässt sich die Vorbereitung auch unter Zeitdruck strukturiert aufsetzen, weil die Vorlagen und die Berichtslinie bereits standardisiert sind. Beauftragt wird die Rolle, nicht der Berater-Tag. Damit verändert sich die Audit-Vorbereitung von einer jährlichen Sondersituation zu einer dokumentierten Routine. Bei Bedarf lässt sich die QMB-Funktion mit weiteren Rollen wie Umweltbeauftragter, Datenschutzbeauftragter oder Compliance-Beauftragter im selben Workspace verbinden, sodass mehrere Pflichten in einer einzigen Berichtslinie zusammenlaufen.