Gefährdungsbeurteilung am IT-Arbeitsplatz

Die Gefährdungsbeurteilung ist das Herzstück des deutschen Arbeitsschutz-Systems. Sie ist in § 5 ArbSchG verankert und für jeden Arbeitsplatz Pflicht – unabhängig von Branche, Größe oder Tätigkeit. Anstatt für jede vorstellbare Situation detaillierte Vorschriften zu erlassen, verlangt der Gesetzgeber vom Arbeitgeber, dass dieser selbst systematisch ermittelt, welche Gefährdungen an seinem konkreten Arbeitsplatz bestehen, wie groß die Risiken sind und welche Schutzmaßnahmen nötig sind. Diese Pflicht klingt nach Bürokratie, ist aber tatsächlich ein durchdachtes Werkzeug: weil jeder Arbeitsplatz anders ist, kann nur der Arbeitgeber selbst – mit fachlicher Unterstützung – das richtig einschätzen. In dieser Lektion lernst du die sieben Schritte einer Gefährdungsbeurteilung, die Kategorien möglicher Gefährdungen, das Konzept der Risiko-Matrix aus Eintrittswahrscheinlichkeit und Schadensausmaß sowie die besonderen Anforderungen an IT-Arbeitsplätze. Du verstehst, wer die Beurteilung durchführen darf, welche Rolle die Fachkraft für Arbeitssicherheit dabei spielt und wie die Ergebnisse dokumentiert werden.

1) Was verlangt § 5 ArbSchG?

Der Schlüssel-Paragraph des ArbSchG lautet:

§ 5 ArbSchG (Beurteilung der Arbeitsbedingungen) – „Der Arbeitgeber hat durch eine Beurteilung der für die Beschäftigten mit ihrer Arbeit verbundenen Gefährdung zu ermitteln, welche Maßnahmen des Arbeitsschutzes erforderlich sind."

Das klingt knapp, hat aber weitreichende Konsequenzen. „Beurteilung der Arbeitsbedingungen" heißt: nicht ein einmaliger Akt, sondern ein fortlaufender Prozess, der bei jeder relevanten Veränderung (neue Arbeitsmittel, neue Räume, neue Tätigkeiten, neue Beschäftigte) angepasst werden muss. „Mit ihrer Arbeit verbundene Gefährdung" heißt: nicht nur körperliche Gefahren wie Unfälle, sondern alle Belastungen – physische, chemische, biologische, psychische. „Maßnahmen ermitteln" heißt: konkrete Schritte ableiten, nicht nur Probleme dokumentieren.

Wer ist verantwortlich? Der Arbeitgeber – in einer GmbH die Geschäftsführung. Sie kann die Aufgabe delegieren (an FaSi, Vorgesetzte, externe Berater), aber die Verantwortung bleibt bei ihr. Die Dokumentation muss schriftlich oder elektronisch erfolgen (§ 6 ArbSchG); Aufsichtsbehörden können sie jederzeit einsehen. Bei Verstößen drohen Bußgelder, bei schweren Mängeln mit Unfallfolgen auch strafrechtliche Konsequenzen.

2) Die sieben Schritte einer Gefährdungsbeurteilung

Die Praxis hat einen standardisierten Ablauf entwickelt, der von DGUV und Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA) empfohlen wird:

Ablauf der Gefährdungsbeurteilung in sieben Schritten

Diese sieben Schritte sind kein einmaliger Durchlauf, sondern ein kontinuierlicher Zyklus. Mindestens einmal jährlich sollte die gesamte Beurteilung überprüft werden; bei wesentlichen Änderungen (neue Räume, neue Arbeitsmittel, neue Beschäftigten-Gruppen, neue Erkenntnisse aus Unfällen oder Beinaheunfällen) sofort. Wenn die Dokumentation aus dem Vorjahr unverändert ins neue Jahr übernommen wird, ohne dass etwas überprüft wurde, ist das ein typischer Mangel, den Aufsichtsbehörden bei Inspektionen kritisieren.

3) Welche Gefährdungs-Kategorien gibt es?

Die DGUV-Information 250-001 unterscheidet elf Gefährdungs-Kategorien, die in jeder Beurteilung systematisch durchgegangen werden sollten. Eine vereinfachte Übersicht mit Beispielen aus dem IT-Bereich:

Gefährdungs-Kategorien mit IT-Beispielen

Mechanische Gefährdungen

Stolper-, Sturz-, Schnitt-Verletzungen. Schwere Hardware-Komponenten beim Anheben.

Bsp.: lose Kabel auf dem Boden, schwere Server-Geräte (> 25 kg)

Elektrische Gefährdungen

Stromschlag, Lichtbogen, Brand durch elektrische Defekte. Siehe L4.

Bsp.: ungeprüfte Verlängerungs-Leitungen, Steckdosenleisten kaskadiert

Gefahrstoffe / Biologische Stoffe

Im Büroumfeld selten relevant; bei Toner, Reinigungsmitteln und im Rechenzentrum (Kühlmittel) zu beachten.

Bsp.: Toner-Staub, Kältemittel im RZ

Brand- und Explosions-Gefährdungen

Brand durch elektrische Defekte, überhitzte Akkus, Ladegeräte. Siehe L6.

Bsp.: Lithium-Akkus in Notebooks, USB-Powerbanks

Physikalische Einwirkungen

Lärm, Hitze, Kälte, Strahlung. IT-relevant: Lärm im Rechenzentrum, Hitze bei stehender Arbeit am Server.

Bsp.: RZ-Lautstärke > 70 dB(A), Hitze in Server-Räumen

Klima und Beleuchtung

Zu warm/kalt, Zugluft, Blendung. Vorgaben in der Arbeitsstättenverordnung und ASR A3.4.

Bsp.: 20–22 °C am Büroarbeitsplatz, mind. 500 Lux am Schreibtisch

Ergonomische Belastungen

Falsche Sitz-Stellung, schlechte Bildschirm-Höhe, Maus/Tastatur, einseitige Belastungen. Siehe L3.

Bsp.: Notebook ohne externen Bildschirm, Stuhl nicht eingestellt

Psychische Belastungen

Termindruck, ständige Erreichbarkeit, Verantwortung für kritische Systeme, Mobbing, Über- oder Unterforderung.

Bsp.: 24/7-Bereitschaft im IT-Betrieb, Eskalation bei Großstörungen

Organisations-Belastungen

Schlechte Information, unklare Verantwortlichkeiten, fehlende Pausen, Schichtarbeit.

Bsp.: keine geregelten Pausen im First-Level-Support

Persönliche Faktoren

Mangelnde Qualifikation, fehlende Einarbeitung, individuelle Disposition.

Bsp.: Azubi ohne Einweisung an Stromschiene

Sonstige Gefährdungen

Alles, was nicht in die anderen Kategorien passt. Beispiel: Verkehrsweg zwischen Standorten, Dienstreisen.

Bsp.: Außeneinsatz bei Kunden, Wegeunfälle

Bildschirmarbeit (Sonderfall)

In der Arbeitsstättenverordnung Anhang 6 gesondert geregelt – Bildschirm-Arbeitsplatz mit eigenen Anforderungen.

Bsp.: Augen-Untersuchung, Bildschirmbrille, Pausenregelung

Im typischen IT-Büro sind ergonomische Belastungen, elektrische Gefährdungen, psychische Belastungen und Klima/Beleuchtung die Haupt-Themen. In Rechenzentren oder bei Außeneinsätzen kommen Lärm, Hitze, schwere Lasten und Verkehrs-Gefährdungen hinzu. Eine gute Gefährdungsbeurteilung geht alle Kategorien systematisch durch und dokumentiert auch die, in denen nichts gefunden wurde – das ist genauso wichtig wie die identifizierten Risiken.

4) Risiko-Matrix: Wahrscheinlichkeit × Ausmaß

Wenn Gefährdungen identifiziert sind, müssen sie bewertet werden. Das übliche Werkzeug ist die Risiko-Matrix: man kombiniert die Eintrittswahrscheinlichkeit (wie oft kann das passieren?) mit dem Schadensausmaß (wie schlimm wäre es, wenn es passiert?) und ordnet die Kombination einer Risiko-Klasse zu:

Risiko-Matrix · vereinfachte Darstellung

	gering (leichte Verletzung)	mittel (behandlungspflichtig)	hoch (schwere Verletzung)	katastrophal (Tod, Dauerschäden)
unwahrscheinlich	gering	gering	mittel	hoch
möglich	gering	mittel	hoch	sehr hoch
wahrscheinlich	mittel	hoch	sehr hoch	sehr hoch
sehr häufig	hoch	sehr hoch	sehr hoch	sehr hoch

Die Bewertung hilft, Prioritäten zu setzen: sehr hohe Risiken müssen sofort angegangen werden, hohe kurzfristig, mittlere mittelfristig, geringe können beobachtet werden. Die genaue Skalierung – wie viele Stufen, wie genau abgegrenzt – ist nicht gesetzlich vorgeschrieben; jedes Unternehmen kann seine eigene Matrix entwickeln, solange sie systematisch angewendet wird.

Ein typisches Beispiel aus dem IT-Bereich: ungeprüfte Steckdosenleisten im Büro. Eintrittswahrscheinlichkeit eines Defekts: möglich; Schadensausmaß bei Stromschlag oder Brand: hoch. Das ergibt ein hohes Risiko – Maßnahme: regelmäßige DGUV-V3-Prüfung. Ein anderes Beispiel: psychische Belastung durch 24/7-Bereitschaft. Eintrittswahrscheinlichkeit eines Burnout-Falls: möglich; Schadensausmaß: hoch (lange Arbeitsunfähigkeit, Folgeschäden). Maßnahme: Rotation der Bereitschaft, klare Eskalationsregeln, Erholungszeiten.

5) Wer führt die Gefährdungsbeurteilung durch?

Verantwortlich ist der Arbeitgeber, in der Praxis macht sie aber meist ein Team. Beteiligt sind typischerweise: die Führungskraft des betroffenen Bereichs (kennt die Arbeitsabläufe), die Fachkraft für Arbeitssicherheit (bringt Methoden-Wissen und kennt die Vorschriften), der Betriebsarzt (besonders bei Ergonomie- und psychischen Themen), Beschäftigte selbst (kennen die Praxis am besten) und – wenn vorhanden – der Betriebsrat (hat Mitbestimmungsrecht). In kleinen Unternehmen ohne eigene FaSi wird oft ein externer Berater hinzugezogen.

Die Beteiligung der Beschäftigten ist nicht nur sinnvoll, sondern auch erfolgsentscheidend. Wer den ganzen Tag am Bildschirm sitzt, kennt die ergonomischen Probleme besser als jeder externe Gutachter. Wer im First-Level-Support arbeitet, weiß, wo der Stress zu groß wird. Gute Gefährdungsbeurteilungen entstehen im Dialog – nicht im Hinterzimmer der HR-Abteilung. Viele Unternehmen führen daher kurze Beschäftigten-Befragungen durch (oft anonym), bevor sie ihre Beurteilung aktualisieren.

6) Besonderheit: psychische Belastungen

Eine relativ junge Erweiterung der Gefährdungsbeurteilung ist die Beurteilung psychischer Belastungen. Das ArbSchG erwähnt sie seit 2013 ausdrücklich (§ 5 Abs. 3 Nr. 6). Sie ist deutlich schwerer zu fassen als physische Gefährdungen, weil sie nicht objektiv messbar ist – aber sie ist real und hat erhebliche wirtschaftliche Folgen (Krankheitstage durch psychische Erkrankungen sind seit Jahren stark steigend).

Typische Bereiche, die im IT-Umfeld geprüft werden: Arbeitsmenge und Zeitdruck, Verantwortung für Systeme und Daten, Konflikte mit Kunden oder Kolleg:innen, ständige Erreichbarkeit, Bedrohungen aus dem Cyber-Raum (vor allem für Sicherheitsfachleute), Unterbrechungen und Multitasking, fehlende Anerkennung, Unklarheit der Rolle. Methodisch wird meist mit standardisierten Fragebögen gearbeitet – z. B. dem KFZA (Kurzfragebogen zur Arbeitsanalyse) oder dem COPSOQ (Copenhagen Psychosocial Questionnaire). Ergebnisse fließen anonym in die Gefährdungsbeurteilung ein.

7) Dokumentation und Aufbewahrung

Die Dokumentation muss alle wichtigen Elemente enthalten: identifizierte Gefährdungen, Bewertung, festgelegte Maßnahmen, Verantwortliche, Fristen, Wirksamkeitskontrolle. Sie kann auf Papier, in einer Tabelle, in spezieller Arbeitsschutz-Software oder im Intranet erfolgen. Wichtig ist: sie muss aktuell, vollständig und für die Aufsichtsbehörde nachvollziehbar sein. Aufbewahrungsfristen sind nicht gesetzlich einheitlich geregelt, in der Praxis werden aber meist mindestens 5 bis 10 Jahre empfohlen, bei bestimmten Gefährdungen länger.

Viele Unternehmen verwenden mittlerweile Arbeitsschutz-Management-Systeme (z. B. nach ISO 45001), die die Gefährdungsbeurteilung in einen breiteren Steuerungszyklus einbetten. Das ist nicht Pflicht, aber sinnvoll bei größeren Organisationen – und in einigen Branchen wird es von Kunden oder Versicherungen verlangt. Im IT-Bereich überschneiden sich solche Management-Systeme stark mit Informationssicherheits-Systemen (ISO 27001), die ebenfalls Risiko-Bewertungen verlangen – nur eben für Daten- statt für Personen-Sicherheit.

Zusammenfassung

Die Gefährdungsbeurteilung nach § 5 ArbSchG ist Pflicht für jeden Arbeitsplatz. In sieben Schritten werden Arbeitsbereiche erfasst, Gefährdungen identifiziert, Risiken nach Wahrscheinlichkeit × Ausmaß bewertet, Maßnahmen nach STOP-Prinzip festgelegt, umgesetzt, geprüft und dokumentiert. Im IT-Umfeld dominieren ergonomische, elektrische und psychische Gefährdungen. Beschäftigte sollen aktiv einbezogen werden.

Verwandte Lektionen: ArbSchG & ASiG · Ergonomie · DGUV V3 · und mehrWeitere relevante LektionenUnfallmeldung Brandschutz Umweltbelastung IT IHK-Aufgaben ITIL (K61)