11mm Hellmann - ciando.com · •• Einführung T, ISPS, CSI, Sicherheit in der Lieferkette TAPA,...

$: 11mm Hellmann - ciando.com · •• Einführung T, ISPS, CSI, Sicherheit in der Lieferkette TAPA, Secure Parking, Luftfrachtsicherheit (bV, regB etc.) • Grundlegende Normen wie$
persönliches Dokument. Weiterverteilung, Mehrfachnutzung etc. nicht gestattet | © Bundesanzeiger Verlag

Die Sicherheit in der Lieferkette wird in den nächsten Jahren eines der wichtigsten Themen in der Logistik. Seien Sie vorbereitet!

Dieser Praxisleitfaden gibt Ihnen einen Überblick über die verschiedenen Standards und Status und stellt Ihnen alle Vor- und Nachteile vor. Dabei werden vor allem Überschneidungen oder mögliche Zusammenspiele aufgezeigt, so dass Sie Synergie-Effekte erkennen und nutzen können!

Zusätzliche Handlungsempfehlungen und Tipps aus der Praxis zeigen poten-tielle Fehlerquellen auf und helfen Ihnen so auch bei der richtigen Dokumen-tation.

Grenzen Sie klar ab, welche Status und Standards für Ihr Unternehmen sinnvoll sind und erfahren Sie, welche zukünftigen Entwicklungen es geben wird.

ISBN 978-3-8462-0279-1

www.bundesanzeiger-verlag.de

Außenwirtschaft

Hellmann

Sicherheit in der Lieferkette

Praxisleitfaden zu den Grundlagen und Synergien der Supply Chain Security

Ihre VorTeILe

auS Dem INhaLT

� Kompakter Leitfaden rund um alle Facetten der Sicherheit in der Lieferkette � Praxisorientierter Überblick zu den unterschiedlichen Normen und Standards � Entscheidungshilfe für Ihr Unternehmen � Mit wertvollen Hinweisen und Praxistipps zu potentiellen Fehlerquellen und möglichen Synergien

Hellm

ann

Sich

erhe

it in

der

Lie

ferk

ette

• Einführung• Grundlegende Standards wie WCO Safe Framework, AEO, C-TPAT, ISPS, CSI,

TAPA, Secure Parking, Luftfrachtsicherheit (bV, regB etc.)• Grundlegende Normen wie ISO 28000/28001, ISO 31000/ONR 49000,

ISO 22301/BCM• Zusammenspiel und Überschneidungen• Risikobeurteilung• Dokumentation• Praxisbeispiele in der Umsetzung

11mm

SicherLiefer_cover_zf.indd Benutzerdefiniert V 30.08.2016 13:11:01

PDF E-Book


E-Book – Sicherheit in der Lieferkette



SicherLiefer_innen_zf.indd 1 09.05.2016 11:54:17



von

Marcus Hellmann


Praxisleitfaden zu den Grundlagen und Synergien der Supply Chain Security

SicherLiefer_innen_zf.indd 3 09.05.2016 11:54:17



Bibliografische Information der Deutschen NationalbibliothekDie Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;detaillierte bibliografische Daten sind im Internet überhttp://dnb.d-nb.de abrufbar.

Bundesanzeiger Verlag GmbHAmsterdamer Straße 19250735 Kölnwww.bundesanzeiger-verlag.de

Weitere Informationen finden Sie auch in unserem Themenportal unterwww.aw-portal.de

Beratung und Bestellung:

Gerburg Brandt, Isa Güleryüz

Tel.: +49 221 97668-173/357Fax: +49 221 97668-232E-Mail: [email protected]

ISBN (Print): 978-3-8462-0279-1ISBN (E-Book): 978-3-8462-0280-7

© 2016 Bundesanzeiger Verlag GmbH, Köln

Alle Rechte vorbehalten. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Ver-wertung außerhalb der Grenzen des Urheberrechtsgesetzes bedarf der vorherigen Zustimmung desVerlags. Dies gilt auch für die fotomechanische Vervielfältigung (Fotokopie/Mikrokopie) und die Ein-speicherung und Verarbeitung in elektronischen Systemen. Hinsichtlich der in diesem Werk ggf. ent-haltenen Texte von Normen weisen wir darauf hin, dass rechtsverbindlich allein die amtlich verkünde-ten Texte sind.

Produktmanagement: Su ZeweHerstellung: Günter FabritiusCoverbild: © fotodo/FotoliaSatz: Reemers Publishing Services GmbH, KrefeldDruck und buchbinderische Verarbeitung: Appel & Klinger Druck und Medien GmbH, SchneckenlohePrinted in Germany



Vorwort

Dieses Buch befasst sich vor dem Hintergrund aktueller politischer und wirtschaftlicher Ent-wicklungen mit Konzepten, die entwickelt wurden, um die „Security“ der Lieferkette zustärken, also mit Konzepten zum Schutz vor Angriffen, die von außen auf die Lieferketteeinwirken, um auf diese Weise Anschläge, Manipulation und Verluste zu minimieren oderzu verhindern.

Nicht betrachtet werden Aspekte der „Safety“, also des Schutzes vor systembedingtenGefahren, wie z.B. Maßnahmen des Arbeitsschutzes. Größte Problematik in diesem Zusam-menhang ist, dass nicht von „dem“ Konzept zur Supply-Chain-Security gesprochen werdenkann, da sich die vorhandenen Systeme und Konzepte in der Regel auf unterschiedlicheVerkehrsträger oder Beteiligte in der Lieferkette beziehen. Zudem gibt es weder ein einheit-liches Vorgehen noch einen vergleichbaren Aufbau. Auch die Umsetzung sowie eineanschließende Prüfung oder Zertifizierung durch Dritte ist nicht verbindlich oder einheitlichgeregelt.

Damit stehen Beteiligte der Lieferkette, bei denen es sich meist um Hersteller, Spediteure,Handlingsagenten oder Lagerhalter handelt, nach dem schnell erzielten Konsens, dass alleBemühungen um mehr Sicherheit in der Lieferkette sinnvoll und richtig sind, vor der Frage,wie sie diese Aufgabe am besten lösen. Welches ist das richtige Konzept für das betroffeneUnternehmen? Wie ist die Verbindung zu anderen Konzepten und welche Anerkennungdieser Konzepte gibt es? Besteht die Chance, Kosten zu reduzieren und mit einem „Einmal-aufwand“ gleich mehrere Standards und Normen zu erfüllen, und ist das überhaupt not-wendig und sinnvoll?

Insofern werden im vorliegenden Buch die wesentlichen Konzepte in Europa zum ThemaSupply-Chain-Security vorgestellt und kurz erläutert. Ein weiteres Kapitel beschäftigt sichmit den Inhalten und der Vergleichbarkeit der Konzepte. Anhand ausgewählter Konzeptewird aufgezeigt, wie im Rahmen einer Umsetzung in die Praxis Synergien erzeugt werdenkönnen und welche typischen Probleme sich dabei ergeben.

Mein Dank richtet sich bei diesem Projekt an den Verlag und an meine Lektorin, die mitunendlich viel Geduld alle Hürden begleitet und umschifft haben. Ebenso danke ich meinerFamilie, die einmal mehr Verständnis für einen gedankenverlorenen Ehemann und Vateraufgebracht hat und mir auch bei diesem Buch aufmunternd zur Seite stand.

Herrn Dr. Karsten Loer (Dr. Loer system safety consulting, Hamburg) danke ich für die Erstel-lung des Kapitels 4 zum Thema Risikomanagement und Risikobeurteilung.

Und letztlich gilt mein Dank natürlich Ihnen als Leser, dass Sie zum einen geduldig auf dasErscheinen dieses Bandes gewartet haben und zum anderen hoffentlich die Informationen,Anregungen und Hilfestellungen finden, die Sie sich von diesem Werk erhofft haben.

Soest im April 2016, Marcus Hellmann

I



Inhaltsverzeichnis

Vorwort ............................................................................................................................. IAutorenverzeichnis ......................................................................................................... VII

1 Einführung .............................................................................. 1

2 Verordnungen, Normen und Standards der sicherenLieferkette .............................................................................. 7

2.1 AEO (Authorised Economic Operator) ..................................................... 8

2.1.1 AEO C ........................................................................................................ 122.1.2 AEO S ......................................................................................................... 17

2.2 C-TPAT (Customs Trade Partnership Against Terrorism) ...................... 23

2.3 TAPA (Transported Asset Protection Association) ............................... 28

2.3.1 FSR ............................................................................................................. 332.3.2 TSR ............................................................................................................. 342.3.3 TACSS ........................................................................................................ 352.3.4 TRUCK PARKING ........................................................................................ 36

2.4 s.a.f.e. ....................................................................................................... 39

2.4.1 s.a.f.e._BA – Basismodul ............................................................................. 422.4.2 s.a.f.e._SU – Stückgut/Umschlag ................................................................ 432.4.3 s.a.f.e._KOM – Kommissionierung .............................................................. 432.4.4 s.a.f.e._LA – Lagerung ................................................................................ 43

2.5 Luftfrachtsicherheit – Stand in der EU ................................................... 43

2.5.1 Bekannter Versender .................................................................................. 512.5.2 Reglementierter Beauftragter ..................................................................... 632.5.3 Geschäftlicher Versender ............................................................................ 662.5.4 Reglementierter Lieferant ........................................................................... 702.5.5 Bekannter Lieferant .................................................................................... 72

2.6 ISPS (International Ship and Port Facility Security Code) ..................... 74

2.7 CSI (Container Security Initiative) .......................................................... 77

2.8 Operational Service/VDA Information Security Assessment (alsBeispiel für individuelle Industriestandards) ........................................ 80

2.9 ISO 28000 (Normenserie) ........................................................................ 83

III



3 Umsetzung im Vergleich ..................................................... 91

4 Risikobeurteilung ................................................................111

4.1 Einleitung ............................................................................................... 111

4.1.1 Ziele des Risikomanagements ................................................................... 1124.1.2 Risikobetrachtung in Normen und Standards ............................................ 112

4.2 Grundkonzepte der Sicherheit und der Risikoanalyse ....................... 114

4.2.1 Grundliegende Begriffe ............................................................................ 1144.2.2 Der Risikomanagementprozess ................................................................. 117

4.3 Umsetzung des Risikomanagementprozesses .................................... 118

4.3.1 Schritt 1: Identifizierung des Umfangs der Sicherheitsbewertung .............. 1184.3.1.1 Vorgehen ................................................................................................. 1184.3.1.2 Unterstützende Methoden: ...................................................................... 1204.3.2 Schritt 2: Durchführung der Sicherheitsbewertung ................................... 1204.3.2.1 Vorgehen ................................................................................................. 1214.3.2.2 Unterstützende Methoden zur Gefahrenidentifikation ............................. 1284.3.3 Schritt 3: Entwicklung eines Plans zur Gefahrenabwehr ............................ 1334.3.3.1 Vorgehen ................................................................................................. 1334.3.3.2 Inhalte eines Gefahrenabwehrplans ......................................................... 1344.3.3.3 Unterstützende Methoden ....................................................................... 1354.3.4 Schritt 4: Umsetzung des Gefahrenabwehrplans ...................................... 1364.3.5 Schritt 5: Dokumentation und Monitoring ................................................ 136

4.4 Diskussion .............................................................................................. 137

5 Weitere Konzepte, Normen, Standards und Initiativen ..143

5.1 KOM(2006)79 ......................................................................................... 143

5.2 EU-Forschungsprojekte ......................................................................... 144

5.3 ISO 22301 ............................................................................................... 150

5.4 ISO 31000 ............................................................................................... 152

5.5 ISO 19600 ............................................................................................... 153

6 Fazit und Ausblick ...............................................................155

IV

Inhaltsverzeichnis



7 Verzeichnisse und Anlagen ................................................161

7.1 AEO ......................................................................................................... 161

7.2 C-TPAT Foreign Manufacturer Questionnaire ..................................... 162

7.3 TAPA ....................................................................................................... 170

7.4 s.a.f.e ...................................................................................................... 170

7.5 Luftfracht ............................................................................................... 171

7.6 ISPS ......................................................................................................... 188

7.7 CSI ........................................................................................................... 188

7.8 Operational Service/VDA Information Security Assessment ............ 188

7.9 ISO 28000/28001 .................................................................................... 192

7.10 Stichwortverzeichnis ............................................................................. 193

V

Inhaltsverzeichnis



Autorenverzeichnis

Marcus Hellmann

Marcus Hellmann ist ausgebildeter Beauftragter für die Sicherheit, Strah-lenschutzbeauftragter, Datenschutzbeauftragter (IHK), Risikomanage-mentbeauftragter (VdS), Port Facility Security Officer (PFSO), TAPA FSR/TSR-LeadAuditor (DNV GL), Auditor ISO 28000/28001, EU Validator ACC3

(DE/0008/DE/3000) und LBA zugelassener Ausbilder 465 für die Kapitel 11.2.3.5, 11.2.4,11.2.5, 11.2.7, 11.2.3.9 und 11.2.3.10 der DVO (EU) 2015/1998.

Seine Erfahrungen beruhen auf militärischer Sicherheit sowie mehr als 20 Jahren Erfahrungin Außenhandel, Logistik, Organisation und IT. Er hat mehr als 400 Projekte in den BereichenAEO, C-TPAT, Luftfrachtsicherheit, TAPA und ISO 28000/28001 in Unternehmen von 50 –

100.000 Mitarbeitern begleitet.

Hellmann ist als Referent bei IHK, Verbänden, Schulungsinstituten, Symposien und Fachta-gungen als Experte gefragt. Er begleitet Bachelor- und Masterarbeiten zum Themenkom-plex Sicherheit in der Lieferkette, ist Mitglied in Forschungsprojekten und Gastreferent anAusbildungsinstituten.

Marcus Hellmann arbeitet als Geschäftsführer der AOB Außenwirtschafts- und Organisa-tionsberatung GmbH und der EUWISA, Europäische Wirtschafts- und SicherheitsakademieGmbH mit Sitz in Soest.

Dr. Karsten Loer

Dr. Karsten Loer (CEng MIET, EUR ING) ist Experte für Gefahrenanalysenund Risikomanagement für Systeme und Prozesse, unter Berücksichtigungder Mensch-Technik-Organisation (www.sysacon.com).

Seit 18 Jahren arbeitet er im In- und Ausland in der Luft- und Seefahrt anThemen der Gestaltung von Mensch-Maschine Systemen und des technischen Risikomana-gements; unter Berücksichtigung menschlicher Faktoren. In Industrie- und Forschungspro-jekten führt er mit gängigen Methoden Zuverlässigkeits- und Verfügbarkeitsbetrachtungenunterschiedlichster Systeme und Prozesse durch und ist als FMEA Moderator tätig.

Er ist zudemMitentwickler der „Why-Because“-Methode zur Analyse von Unfällen und Zwi-schenfällen in heterogenen Systemen.

Dr. Loer arbeitet als Trainer für die Technische Risikoanalyse und Human Factors und unter-richtet in Lehraufträgen die Themen „Mensch-Computer Systeme“ (Hochschule Bremen)und „Menschliche Faktoren in sozio-technischen Systemen“ (Universität Bielefeld).

In nationalen und internationalen Gremien entwickelt er die Themen „Menschliche Zuver-lässigkeit“ (VDI Fachausschuss 504) und „Human Factors and Functional Safety“ (IEC TC65/SC65A Working Group 17) weiter.

Herr Dr. Loer hat zu diesem Praxisleitfaden das Kapitel 4 „Risikobeurteilung“ beigetragen.

VII



1 Einführung

Angesichts der weltweiten Vernetzung spüren Unternehmen zunehmend Bedeutung undKonsequenzen des internationalen Zusammenspiels aller Akteure der Lieferkette.

Lokale Ereignisse können schnell globale Konsequenzen haben, wenn sie sich auf zentraleElemente der vernetzten Lieferketten auswirken.

So war der Stromausfall im Münsterland 2005 ein lokales Ereignis, von dem rund250.000 Menschen über mehr als 14 Tage betroffen waren. Die Auswirkungen für dieinternationalen Lieferketten hielten sich jedoch deutlich in Grenzen, da im Wesentli-chen landwirtschaftliche Betriebe betroffen waren, für deren Produkte Ausweichpro-dukte zur Verfügung standen.

Im Gegensatz dazu hatte die Katastrophe von Fukushima durch den Tsunami 2011nicht nur verheerende lokale, sondern auch erhebliche globale Folgen. Es starbenunmittelbar circa 2.000 Personen und rund 2.000.000 mussten evakuiert werden.Lokal betroffen waren Unternehmen wie Toyota, Honda und Nissan, die Betriebsstät-ten schließen mussten. Nachgelagerte Auswirkungen waren jedoch weltweit zu spürenund trafen in Deutschland z.B. Unternehmen wie Volkswagen, da beispielsweise einerder größten Zulieferer für Rückfahrkameras nicht mehr lieferfähig war.

Derzeitige politische Entwicklungen rund um das Mittelmeer verbunden mit den massivenFlüchtlingsströmen und wiederholten terroristischen Anschlägen und Bedrohungen ins-besondere in westeuropäischen Ländern zeigen, wie schnell sich sowohl politische als auchlogistische Veränderungen für die bestehenden Systeme ergeben können. Im Spätsommer2015 standen nach Wiedereinführung von Grenzkontrollen im Schengen-Raum quasi überNacht viele LKW vor verschlossenen Grenzen und mussten stundenlange Wartezeiten inKauf nehmen. Ursache war insbesondere die Angst vor illegaler Einreise, Schmuggel undEinschleusung von Personen und Material für terroristische Anschläge.

All diese Aspekte sollten im Rahmen von Risikoanalysen der Lieferkette betrachtet,ausgewertet und die erforderlichen Maßnahmen eingeleitet werden. Je vielfältiger undunabhängiger eine Strategie aufgebaut ist, desto einfacher können die Folgen lokalerEreignisse kompensiert werden.

Klar ist, dass es ohne weltweit vernetzte Lieferketten nicht funktionieren wird. SolangeWaren physisch befördert werden müssen, bleiben die Lieferketten mehrfach gefährdet.Zum einen sind sie die Transportadern der Weltwirtschaft, ohne die weltweite Produktionund Handel schnell zum Erliegen kommen. Auf der anderen Seite benutzen Terroristengenau diese Transportmöglichkeiten, um Personen und Material in ihre Zielgebiete zu ver-bringen.

Damit stehen Experten vor der Aufgabe, sowohl die beförderten Waren und Transportmittelselbst bestmöglich zu schützen als auch auf der anderen Seite Reisende in zuverlässige und

1



unzuverlässige/illegale Personen zu unterscheiden und entsprechende Maßnahmen ein-zuleiten.

Zusätzliche Herausforderungen stellen sich durch die weltweite IT-Vernetzung. Eine immergrößere Anzahl vertraulicher Informationen wird digital ausgetauscht, gespeichert und zurVerfügung gehalten. Zudem ist es über Technologien wie den 3D-Druck immer häufigermöglich, auf physischenWarentransport zu verzichten. Positiv bei allen rettenden Einsätzen,negativ, wenn mittels dieser Technik z.B. einfache Waffen weltweit vervielfältigt werdenkönnen. Es wird zunehmend wichtiger, die elektronischen Daten gegen unbefugte Nutzungzu schützen. Industrie 4.0 ist ohne sichere Daten undenkbar.

Wenn es immer komplexer wird, den Überblick über Partner und Strukturen der Lieferkettezu behalten, ist es nachvollziehbar, dass der Ruf nach sicheren Teilnehmern der internatio-nalen Lieferketten lauter wird. Aber wie kann Sicherheit im Sinne der Security erreicht wer-den, ohne das System zu schwächen oder zu lähmen?

Risikoweltkarten zeigen die Brenn- und Gefahrenpunkte auf einen Blick – schnell wird klar,dass nahezu alle logistischen Bewegungen davon betroffen sind.1,2

geringers Risiko höheres Risiko

Andererseits zeigen Statistiken aus Ministerien und z.B. von Versicherungskonzernen, dassEU weit jährlich rund 200.000 Transporte von Frachtdiebstählen betroffen sind, Tendenzsteigend. Zugleich sollen bis zum Jahr 2025 die Transportmengen um 27% steigen und derDurchschnittswert je transportierter Ware pro Tonne um 53 % zunehmen3. Besonders her-

1 http://www.aon.com/austria/about-aon/attachements/Political-Risk_Map-2015.pdf, Aufruf 02.05.20162 http://www.fmglobal.com/page.aspx?id=04060000#!year=2015&idx=Supply%20chain&handler=map, Auf-

ruf 05.12.20153 http://www.hdi-gerling.de/docs/industrie/fachinformationen/hdi-gerling_fachinfo_trans_frachtdieb.pdf, Auf-

ruf 26.12.2015.

2

1 Einführung



vorzuheben sind dabei die vielen Frachtdiebstähle von LKW während der Ruhezeiten derFahrer auf schlecht oder nicht gesicherten Parkplätzen, meist während der Nacht, sowiespektakuläre, an Actionfilme erinnernde Methoden des Frachtdiebstahls aus fahrendenLKW, ausgehend von gleichschnell fahrenden Verfolgungsfahrzeugen. Die Fahrer merktenin der Regel erst am Ziel, dass ihnen während der Fahrt wertvolle Ladung gestohlen wurde.Allein in NRW im Umfeld der A1 wurden in 2013 rund 50 Überfälle dieser Art registriert.4

Neben Terroraktivitäten und kriminellen Anschlägen auf die Lieferketten bleiben weitereGefahrenquellen, wie Infrastruktur, soziale Abhängigkeiten und Konflikte oder auch Natur-einflüsse, weiterhin bestehen und bilden ein nicht zu unterschätzendes Risiko für interna-tionale Lieferketten.

Stellvertretend sei an den Ausbruch des isländischen Vulkans „Eyjafjallajökull“ im Jahre2010 erinnert, bei dem der Großteil des europäischen Luftraums gesperrt wurde undmehr als 100.000 Flüge annulliert werden mussten. Große Teile des Frachtflugverkehrskamen in dieser Zeit zum Erliegen und acht bis zehn Millionen Reisende saßen teilweiseüber mehrere Tage auf Flughäfen fest, da kaum alternative Transportmittel zur Ver-fügung standen.5

Es wird deutlich, dass eine sichere Lieferkette von zahlreichen Faktoren abhängt, die in die-sem Buch nicht alle beleuchtet werden können und sollen. Viele die Lieferkette bedingendeEinflussfaktoren werden im Rahmen der Konzepte zum Supply-Chain-Management mitzugehöriger Risikobeurteilung betrachtet und bewertet. Dazu gehört z.B.6 das Manage-ment von

• Beschaffungsrisiken,

• Produktionsrisiken,

• Absatzrisiken,

• Transport- und Lagerrisiken,

• Kooperationsrisiken,

• IT-Risiken oder

• Informationsrisiken,

z.B. mit dem Ergebnis der Auswahl qualifizierter Lieferanten in unterschiedlichen Teilen derErde, die mittels verschiedener Transportwege und Verkehrsträger erreicht werden können,um auf diese Weise widerstandsfähiger gegen Umwelteinflüsse, politische oder auch tech-nologische Einflüsse zu sein.

4 http://www.wiwo.de/unternehmen/mittelstand/lkw-raub-so-jagen-diebesbanden-auf-autobahnen-nach-beu-te-/11564276.html, Aufruf 26.12.2015.

5 http://www.spiegel.de/reise/aktuell/aschewolke-ueber-europa-flughafen-sperrungen-sind-aufgehoben-a-695208.html, Aufruf 26.12.2015.

6 Siepermann, C., Vahrenkamp, R., & Siepermann, M. (Hrsg.). (2015). Risikomanagement in Supply Chains,2. Auflage. Sigmaringen, Berlin, Dortmund: Erich Schmidt Verlag GmbH & Co. KG.

3

1 Einführung



Eine weitere wichtige Unterscheidung liegt im Grundkonzept der jeweiligen Programme: Eswird unterschieden in solche, die exakte Vorgaben machen, welche von allen Beteiligteneinzuhalten sind (präskriptiv), und solche, die Richtlinien vorgeben, die Umsetzung aber denBetroffenen selbst überlassen und damit auch die jeweilige Ausgestaltung als flexibles Kon-zept ermöglichen (zielorientiert).7

Präskriptive Konzepte haben den Vorteil, dass sie exakte Vorgaben zu den Erfordernissenund Maßnahmen machen. In den Kriterienkatalogen wird festgelegt, wie hoch ein Zaun zusein hat, welche Videotechnologie einzusetzen ist oder in welcher Art und Weise Aufzeich-nungen zu erfolgen haben. Der unschlagbare Vorteil liegt darin, dass alle Teilnehmer gleichbehandelt werden und somit eine relativ schnelle und klare Vergleichbarkeit hergestellt wer-den kann. Weiterhin wissen alle an einem Liefernetzwerk beteiligten Partner, was sie beiVorhandensein eines solchen Status erwarten dürfen.

Dieser ist auch für Versicherer eine gute Ausgangslage, da bei Einhaltung bestimmterSicherheitsmaßnahmen verschiedene Risiken ganz ausgeschlossen und andere mini-miert werden. Somit können Risiken günstiger versichert werden.

Nehmen Geschäftspartner solche Konzepte als Grundlage, wissen beide, welche Maßnah-men der jeweils andere einhält und haben so absolute Klarheit über die gegenseitigen Mög-lichkeiten. Dies gilt insbesondere dann, wenn die Überprüfung bzw. Zulassung/Zertifizie-rung durch neutrale Dritte, wie Zertifizierungsgesellschaften, erfolgt. Prominenter Vertreterdieses Konzeptes ist die TAPA mit ihren Sicherheitskonzepten FSR (Facility Security Require-ments), TSR (Trucking Security Requirements) und TACSS (TAPA Air Cargo Security Require-ments) sowie die s.a.f.e-Programme der Schutz- und Aktionsgesellschaft für die Entwick-lung von Sicherheitskonzepten in der Spedition mbH, welche dem TAPA-FSR-Konzeptähnlich sind und ESPORG (EUROPEAN Secure Parking Organisation), die sich zum Zielgesetzt hat, sichere Parkplätze zu schaffen und diese entsprechend zu kennzeichnen, da derGroßteil des Frachtladungsdiebstahls während der Nacht auf ungesicherten Parkplätzenstattfindet. ESPORG und TAPA sind Partner in diesem Bereich und ergänzen sich optimal.

TAPA ist ohne Zweifel diejenige Organisation, welche in dem Umfeld am stärksten präsentist, viele Veranstaltungen durchführt und ständig bemüht ist, alle Vertreter wie Polizei- undErmittlungsbehörden, Versicherer oder Sicherheitszentralen an einen Tisch zu bringen undgemeinsam über Lösungsmöglichkeiten und Schutzmaßnahmen zu diskutieren.

Warenlagerung und -transporte unter TAPA-Standard unterliegen nahezu keinen Verlusten,weshalb davon ausgegangen werden darf, dass dieser Standard effektiven Schutz bietet.Auffällig ist jedoch, dass die Anzahl der TAPA-Mitglieder und der zertifizierten Unterneh-men mit rund 600 weltweit relativ gering ist. Ähnliches gilt für s.a.f.e. und auch ESPORG.

TAPA und ESPORG haben darauf reagiert und bieten neben den qualitativ hochwertig zer-tifizierten Standards nun auch Selbst-Zertifizierungsprogramme an. Diese orientieren sich anden „großen“ Standards, werden aber nur bei Bedarf bzw. auf Stichprobenbasis durch die

7 Vgl. Blecker, T., Vortrag „Standards und Regularien in der Logistik – Ziele, Maßnahmen und Probleme der ISO28000“, Hamburg, Kühne school, Januar 2009.

4

1 Einführung



unabhängigen Zertifizierer überprüft. Ziel ist, so die Anzahl der Unternehmen mit Zulassungzu erhöhen, um auf diese Weise eine breitere Bekanntheit und Akzeptanz zu erreichen. Obdas letztlich aufgeht, muss sich zeigen. Das bisherige Hauptqualitätskriterium, die unabhän-gige Validierung, wird damit unterwandert.8

Die Entwicklung verdeutlicht das Dilemma der präskriptiven Konzepte. Sie bieten absoluteKlarheit und Transparenz und lassen auf der anderen Seite keinen bzw. nur minimalen Spiel-raum. Die Vorgabe der Videoauflösung kann sinnvoll sein, macht aber nur Sinn in Verbin-dung mit einer qualitativen Vorgabe zur Helligkeitsausleuchtung der Bereiche, da auch eingutes Videosystem bei schlechter Beleuchtung nur unzureichende Bilder liefern kann. Aufder anderen Seite hängt es erheblich von den Risikofaktoren ab, um beurteilen zu können,ob der Einsatz einer solchen Technologie im konkreten Einzelfall tatsächlich sinnvoll ist. Dasolche Konzepte aber Vergleichbarkeit schaffen sollen, sind individuelle Auslegungen nichtgewünscht und nur in seltenen Ausnahmefällen möglich. Als Konsequenz nehmen nur sol-che Unternehmen an diesen Sicherheitskonzepten teil, die aus wirtschaftlichen oder Markt-gründen dazu gezwungen werden.

Eine Mittelposition nehmen die Konzepte des WCO SAFE-Frameworks wie AEO und C-TPAToder der Luftfrachtsicherheitsstatus regb/bV ein. Die Umsetzung der Konzepte basiert aufder Beantwortung umfangreicher Fragenkataloge, die jedoch nur äußerst selten exakte Vor-gaben machen – bei C-TPAT noch mehr als beim AEO.

Damit wird den umsetzenden Unternehmen mehr an die Hand gegeben als „abstrakte“Leitlinien, aber es werden, anders als bei den klassisch präskriptiven Konzepten, keineunmittelbaren Ausschlusskriterien formuliert. Nachteil dieser Konzepte ist, dass eineunmittelbare Vergleichbarkeit nur bedingt gegeben ist.

Noch schwieriger wird eine gegenseitige Anerkennung, wie sie von der EU mit der VO (EU)Nr. 687/2014 (DGMobility and Transport „MOVE“) und der VO (EU) Nr. 889/2014 (TAXUD)geschaffen wurde.

Seitens der Zollverwaltung wird eine bV/regB-Zulassung als Erfüllung der Sicherheits-Krite-rien (Kapitel 6 des Selbstbewertungsfragebogens zum AEO) gewertet. Bisher gibt es ausSicht des Zolls damit keine Vorgabe hinsichtlich des Zeitpunkts der Überprüfung durch dasLuftfahrt-Bundesamt (LBA). Diese könnte also auch mehrere Jahre zurückliegen, wichtig istnur, dass der Status noch gültig und in der EU-Sicherheitsdatenbank eingetragen ist. DasVerfahren wurde unter Artikel 39e UZK (EU) Nr. 952/2013 sowie Artikel 28,3; 29,3; 35,4UZK DVO (EU) 2015/2447 und Titel IV, Kapitel 2, IV/6 UZK DelVO (EU) 2015/2446 auf-genommen.

Das Luftfahrt-Bundesamt dagegen hat gemäß der VO (EU) Nr. 687/2014 darauf zu achten,dass die Überprüfung der Betriebsstandorte eines AEO S/F nicht länger als drei Jahre zurück-liegt, um bei der Zulassung als bV/regB eine Rolle zu spielen. Das Verfahren wurde in dieDVO (EU) 2015/1998 unter Kapitel 6.3.1. und 6.4.1. sowie ANLAGEN 6-B, 6-C und 6-C4aufgenommen.

8 Vgl. Hellmann, M, „Die sichere Lieferkette“, in Zoll.Export, 12/15, S. 14 bis 17.

5

1 Einführung



Vergleicht man zwei Extremfälle in der Praxis, wird die Problematik klar: Der AEO ver-langt eine gewisse Grundsicherheit des Unternehmens. Dies bedeutet, dass Zugängeund Zufahrten zu kontrollieren und fremde Dritte zu identifizieren und zu begleitensind. Bei den Luftfrachtstatus ist das durchaus gewünscht, aber nicht zwingend erfor-derlich, sofern diese Dritten keinen Zugang zu identifizierbarer Luftfracht haben. Hatein als bekannter Versender (bV) zertifiziertes Unternehmen ein Konzept etabliert, beidem die Luftfracht erst entsteht, wenn diese auf den abholenden LKW verladen wurde(was möglich und in der Praxis zugelassen ist), dürfen sich aus Sicht der Zulassungs-behörde fremde Dritte beliebig im Unternehmen aufhalten, Gegenstände mit insUnternehmen bringen etc. Das wäre hinsichtlich des Luftfrachtstatus unschädlich. Füreine AEO-Bewilligung wäre das jedoch undenkbar, und somit wird deutlich, weshalbdie Forderung nach gegenseitiger Anerkennung ohne erneute Prüfung der Sachver-halte durch die jeweils zuständige Behörde unsinnig ist und unterbleiben sollte, auchwenn dies aus Kreisen der Wirtschaftsunternehmen gefordert wird, um durch zusätz-liche Audits anfallende Kosten zu ersparen.

Im Gegensatz dazu steht bei den rein zielorientierten Konzepten im Vordergrund, aus-schließlich Leitlinien oder Rahmenbedingungen für die Umsetzung von Sicherheitskonzep-ten zu schaffen, deren Ausprägung aber nicht im Detail vorzugeben. Absolut klassischerVertreter dieser Gruppe ist die ISO 28000 bzw. 28001 als Norm zur sicheren Lieferkette. DieNorm gibt Leitlinien z.B. zur Umsetzung eines Risikoidentifizierungs- und -behebungspro-zesses, macht aber keine exakten Vorgaben zur Umsetzung. Somit wird letztlich die Fähig-keit zertifiziert, vorhandene Risiken zu erkennen und richtig/sinnvoll auf sie zu reagieren.Offen bleibt, ob dieser Prozess tatsächlich kontinuierlich angewendet wird und welchenErfolgsgrad er hat. Dies macht deutlich, dass auch eine Norm allein nur schwerlich ein all-gemeingültiges Instrument sein kann, insbesondere dann, wenn eine Vergleichbarkeit her-gestellt werden soll.

Was jedoch ausdrücklich für die Umsetzung der Norm spricht, ist das Erfordernis einerindividuellen Risikoanalyse, die Entwicklung individueller Maßnahmen zum richtigenUmgang mit den identifizierten Risiken sowie die Implementierung eines kontinuierli-chen Verbesserungsprozesses. Ein Unternehmen wird also immer nur das tun, waszwingend notwendig erscheint –wohingegen es bei präskriptiven Ansätzen im Zweifelgezwungen wird, Dinge zu tun, die in der individuellen Situation nur als unsinnigbezeichnet werden können.

6

1 Einführung



2 Verordnungen, Normen und Standards der sicherenLieferkette

Im nachfolgenden Kapitel werden die wesentlichen für Deutschland bzw. die EU-Mitglied-staaten in Frage kommenden Verordnungen, Standards und Normen vorgestellt.

Dabei kann diese Aufzählung keinesfalls Anspruch auf Vollständigkeit erheben. Insbeson-dere im Umfeld der Standards, aber auch bei verschiedenen Normen gibt es zusätzlicheKonzepte, die sich mit den Vorgestellten in Segmenten überschneiden.

So haben z.B. alle großen Automobilhersteller eigene Standards, mit denen Lieferanten,die eine besondere Bedeutung haben oder an bestimmten Projekten teilnehmen,bewertet, eingestuft und letztendlich zertifiziert und/oder zugelassen werden. Ebensogibt es Normen oder Richtlinien, wie GMP (Richtlinie zur Festlegung der Grundsätze undLeitlinien der Guten Herstellungspraxis für Humanarzneimittel und für zur Anwendungbeim Menschen bestimmte Prüfpräparate) oder GMP+ (Ergänzung um Feed SafetyAssurance, d.h. Vorschriften für das Qualitätsmanagementsystem (ISO 9001), HACCP,Produktnormen, Rückverfolgbarkeit, Überwachung, Programme mit Grundbedingun-gen, der Kettenansatz und das Frühwarnsystem), die Elemente oder ganze Teilabschnitteder nachfolgend dargestellten Konzepte umfassen, deren Schwerpunkt jedoch nicht aufdem Aspekt „sichere Lieferkette“ liegt, und die deshalb in der nachfolgenden Betrach-tung nicht näher erläutert werden, sehr wohl aber sinnvollerweise in die Gesamt-betrachtung eines Unternehmens einbezogen werden sollten, sofern dieses beabsichtigt,mehre Zulassungen oder Zertifizierungen zu verwirklichen.

Jedes Konzept wird zunächst über einen kurzen „Steckbrief“ vorgestellt, in dem die wesent-lichen Quellen, Fakten und Zahlen zusammengestellt sind. Dabei gilt es zu beachten, dassinsbesondere die Angabe von Zahlen immer eine Momentaufnahme darstellt und geradeQuellenverweise auf Internet-Fundstellen durch Umstrukturierung von Webseiten sehrschnell unzutreffend sein können. In aller Regel lassen sich die Informationen dann aberüber die Suchfunktionen auf den Basisseiten der Herausgeber wieder auffinden.

Dem folgen eine inhaltliche Beschreibung sowie die Erläuterung von Besonderheiten bei derEinführung, Umsetzung und gegebenenfalls Aufrechterhaltung über einen längeren Zeit-raum sowie Informationen über Audits durch beteiligte Dritte.

7



2.1 AEO (Authorised Economic Operator)

Verantwortliche Stelle Bundesfinanzministerium über die zuständigen Hauptzollämter(HZA)

Quelle www.zoll.dehttp://www.zoll.de/DE/Fachthemen/Zoelle/Zugelassener-Wirt-schaftsbeteiligter-AEO/zugelassener-wirtschaftsbeteiligter-aeo_node.html

Nutzbar/in Kraft seit 2008, VO (EWG) 2454/93, VO (EG) Nrn. 648/2005 und 1875/2006 bzw. UZK (VO EU Nr. 952/2013), UZK DVO, IA, (EU 2015/2447) und UZK DelVO DA (EU 2015/2446)

Behördliche Zulassung/Zertifizie-rung

☑ JA∅ NEIN

Auditierung/Zulassung durchDritte

∅ JA☑ NEIN

Formales Antragsverfahren(Antrag zu finden unter …)

☑ JA∅ NEINhttps://www.formulare-bfinv.de/ffw/form/display.do?%24context=5B01A384F43FEE59F37D

Äquivalent/Anerkennunganderer Status durch die EU(Basis 01/2016)

Durch EU anerkannte Konzepte auf Basis Safe Framework:

– Norwegen (2009)– Andorra (2009)– Japan (2010)– Schweiz (2011)– USA (2012)– Kanada (2013)– China (2014)

Grundsätzlich keine generelle Anerkennung anderer Statusoder Sicherheitskonzepte. Seit Inkrafttreten der VO (EU) Nrn.687/2014 und 889/2014 ist die Anerkennung der Sicherheits-anforderungen eines bV/regB-Status unter bestimmten Bedin-gungen ohne zusätzliches HZA-Audit möglich. Gemäß Artikel14k, 4 (ZK) bzw. Artikel 39e UZK in Verbindung mit Artikel28,3; 29,3; 35,4 UZK DVO (EU) 2015/2447 und Titel IV, Kapitel2, IV/6 UZK DelVO (EU) 2015/2446, können weitere internatio-nal anerkannte Sicherheitszertifikate wie regB/bV im Hinblickauf die physischen Sicherheitskriterien als ausreichend aner-kannt werden. Dies gilt auch für Elemente von TAPA-, CSI-,ISPS- und ISO 2800-Zulassungen/Zertifizierungen.

Ziel/Ausrichtung Schutz der internationalen Lieferkette.

Gültigkeitsbereich/Anwen-dungsgebiet

EU

Anzahl TN/Zertifikate/Zulassungen(Basis 01/2016)

EU: ca. 13.565DE: ca. 5.696

8

2 Verordnungen, Normen und Standards der sicheren Lieferkette



Varianten(Basis 01/2016)

EU DE

AEO C 5.906 (43,5%) 3.287 (57,7%)AEO S 539 (4%) 42 (0,7%)

AEO F 7.120 (52,5%) 2.367 (41,6%)

Inhalte Siehe Anlage AEO, 7.1

Motivation zur Umsetzung Vorteile bei Zollorganisation und Anerkennung im Inland(HZA).Notwendigkeit bei einigen Verfahren im UZK seit Mai 2016.Wettbewerbsvorteil als dokumentiert sicheres Unternehmen.Teilweise erforderlich, um Aufträge zu erhalten.Erleichterungen durch Anerkennung in Drittländern, z.B. USA.

Auf Basis der Erstveröffentlichung1 werden nachfolgend die wesentlichen Inhalte sowieeinige Schwerpunkte bei der Beantwortung des Selbstbewertungsfragebogens dargestellt.

Der AEO ist eine Bewilligung durch die Zollbehörden und basiert in seinen Grundlagen aufder VO (EG) Nr. 648/2005 sowie der Durchführungsverordnung (ZK DVO) VO (EG) Nr. 1875/2006. Diese wurden imMai 2016 abgelöst durch den UZK (VO (EU) Nr. 952/2013) sowie dieUZK DVO IA 2015/2447 und die UZK DelVO DA 2015/2446. Ziel ist es, die Sicherheit in derinternationalen Lieferkette, insbesondere in Bezug auf zollrelevante Aspekte, zu gewährleis-ten. Integriert wurden aber auch physische Sicherheitsaspekte.

„Die zunehmende Globalisierung und die veränderte internationale Sicherheitslage haben dieWeltzollorganisation (WZO) veranlasst, mit einem „Framework of Standard to Secure and Facili-tate Global Trade“(SAFE) weltweite Rahmenbedingungen für ein modernes effektives Risikoma-nagement in den Zollverwaltungen zu schaffen.“2

Dazu sollen vorhandene andere Programme zur Sicherheit in der Lieferkette, wie z.B. die ISO28000, berücksichtigt werden.

Im Jahr 2015 hatten weltweit 43 Länder ein AEO-Programm auf Basis des WCO Safe Frame-works umgesetzt. 13 Länder verfügten über Programme, die unmittelbar vor dem Start stan-den. Zudem verfügten 10 Länder über aktive Compliance-Programme. Insgesamt haben168 WCO-Staaten bekundet, ein AEO-Programm einführen zu wollen.3

Der AEO zielt darauf ab, möglichst die gesamte Supply-Chain inklusive aller am Prozessbeteiligten Partner als sicher einstufen zu können. Das kann entweder dadurch geschehen,dass alle Prozessbeteiligten über eine eigene Zertifizierung verfügen oder dass solche Part-ner, die nicht eigenständig zertifiziert sind, von sicheren AEO-Partnern über Sicherheits-erklärungen anerkannt und regelmäßig überprüft werden.

1 Vgl. Hellmann, M.: „AEO und ISO 28000: Leichtes Spiel oder Hindernis“, in Bernecker, T. und Grandjot, H.-H.,Sicherheit im Transport, 2014, Huss-Verlag, Seite 49 ff.

2 TAXUD 2006/1450, Leitlinie Zugelassene Wirtschaftsbeteiligte, Seite 8.3 Vgl. Weerth, C., „AEO-Konzepte weltweit – Stand 2015“ in AWPrax, April 2015, S. 125 bis 129.

9

2.1 AEO (Authorised Economic Operator)


11mm Hellmann - ciando.com · •• Einführung T, ISPS, CSI, Sicherheit in der Lieferkette TAPA,...

Documents

Transcript of 11mm Hellmann - ciando.com · •• Einführung T, ISPS, CSI, Sicherheit in der Lieferkette TAPA,...