Kühlhaus-Sicherheit: Temperatur und Diebstahlschutz in einem System

Ein Kühlhaus ist kein Lager mit Kühlung, sondern ein temperaturgeführter Hochsicherheitsraum, dessen Versagensfälle nicht nur in Euro, sondern in Verkehrsfähigkeit gemessen werden.

Wer dieses Verständnis nicht teilt, verwaltet zwei getrennte Welten: hier die Hygiene mit ihren HACCP-Plänen, der EU-Verordnung 853/2004 und den Audits durch Veterinärbehörden und Zertifizierer, dort die Sicherheit mit Zaun, Schließanlage und Wachdienst. Beide Welten kennen sich, aber sie reden selten miteinander. Sie führen eigene Protokolle, eigene Begriffe, eigene Verantwortlichkeiten. In der Folge entstehen Lücken, die weder Hygiene noch Sicherheit allein schließen können. Die Lücken liegen genau dort, wo eine offene Tür gleichzeitig ein Temperaturproblem und ein Zutrittsproblem ist, wo ein unautorisierter Zugriff gleichzeitig ein Diebstahl und ein Bruch der Kühlkette ist, wo ein Stromausfall gleichzeitig ein Hygienevorfall und ein Sicherheitsrisiko ist.

Boswau + Knauer behandelt die Kühlhaus-Sicherheit deshalb als integrierten Anwendungsfall der eigenen Plattformlogik. Temperaturüberwachung, Zutrittssteuerung, Videoanalyse und Alarmierung laufen in derselben Datenstruktur, mit denselben Schnittstellen, unter derselben Verantwortung. Der vorliegende Beitrag legt offen, warum diese Integration nicht nur eine technische Bequemlichkeit ist, sondern eine wirtschaftliche und regulatorische Notwendigkeit.

Die regulatorische Doppelbindung

Wer ein Kühlhaus betreibt, in dem Lebensmittel tierischen Ursprungs umgeschlagen werden, arbeitet unter der EU-Verordnung 853/2004 und unter der Verordnung 852/2004 zur Lebensmittelhygiene. Beide Texte sind keine Empfehlungen. Sie sind unmittelbar geltendes Recht. Sie verlangen die Einhaltung der Kühlkette in definierten Bandbreiten, die Dokumentation der Temperaturverläufe, die Rückverfolgbarkeit der Ware und die Nachweisbarkeit der Prozesse über HACCP. Daneben treten die zertifizierungsbasierten Standards IFS Logistics, BRCGS Storage and Distribution und die Vorgaben der Veterinärbehörden, die in regelmäßigen Audits prüfen.

Auf der anderen Seite stehen die Anforderungen an die physische Sicherheit. Sie sind weniger explizit reguliert, aber durch die Versicherer und durch die Verträge mit den Verladern eng geführt. Wer für Markenhersteller von Tiefkühlprodukten arbeitet, hat in seinen Lieferantenverträgen Sicherheitsklauseln, die im Detail vorgeben, wie Zutritt, Videoaufzeichnung und Alarmweiterleitung organisiert sein müssen. Der GDV hat in seinen Empfehlungen für die Sachversicherung Mindeststandards beschrieben, die VdS hat technische Richtlinien für Einbruchmeldeanlagen veröffentlicht, der BDSW gibt Hinweise für den Werkschutz in temperaturgeführten Logistikobjekten. Diese Vorgaben kommen aus verschiedenen Quellen, treffen sich aber an einem Punkt: der Tür zum Kühlhaus.

Die Doppelbindung wird operativ, wenn ein Vorfall eintritt. Eine im Sommer für zwanzig Minuten offen stehende Tür zum Tiefkühlbereich ist ein Sicherheitsereignis, weil jemand sie geöffnet hat oder nicht geschlossen hat. Sie ist gleichzeitig ein Hygieneereignis, weil die Temperatur steigt. Wer beide Vorgänge in getrennten Systemen führt, hat zwei Protokolle, die zueinander passen müssen, aber selten exakt passen, weil die Uhren nicht synchron sind, die Begriffe nicht gleich und die Verantwortlichen nicht dieselben. Die Integration beider Ebenen in einer gemeinsamen Datenführung ist deshalb keine Komfortfrage, sondern eine Frage der Auditfähigkeit. Wer im Streitfall mit dem Verlader, mit dem Versicherer oder mit der Veterinärbehörde nicht in einer einzigen, zeitgenau geführten Aufzeichnung den Vorgang rekonstruieren kann, verliert die Argumentation. Genau hier setzt die Plattformlogik an, die im Buch BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie beschrieben ist und auf den industriellen Anwendungsfall des Kühlhauses übertragen wird.

Warum Temperatur und Zutritt dieselbe Sensorik sind

Die klassische Trennung zwischen Kältetechnik und Sicherheitstechnik ist historisch gewachsen. Sie kommt aus einer Zeit, in der Temperaturmessung analog war und Sicherheitstechnik mit Kontakten und Schaltern arbeitete. Diese Zeit ist vorbei. Beide Welten arbeiten heute mit digitaler Sensorik, mit IP-basierten Netzwerken, mit auswertbaren Datenströmen. Die technische Grundlage ist identisch. Was unterschiedlich geblieben ist, sind die Hersteller, die Vertriebskanäle und die Wartungsverträge. Diese Trennung ist eine Marktstruktur, kein technisches Erfordernis.

Wer die Sensorik integriert betrachtet, sieht den Vorteil sofort. Ein Türkontakt am Tor zum Tiefkühlbereich liefert dieselbe Information für die Hygiene und für die Sicherheit. Eine Temperatursonde im Inneren des Lagers liefert Daten, die im Hygienebericht erscheinen und gleichzeitig als Indikator für eine länger offen stehende Tür dienen. Eine Kamera, die den Verladebereich überwacht, sieht das Fahrzeug, das Personal, den Vorgang. Sie kann gleichzeitig erkennen, ob ein Tor länger geöffnet ist, als der Verladezyklus es vorsieht. Die Videoanalyse, die wir in Kapitel 9 unseres Buches beschrieben haben, ist genau für diese mehrfache Auswertung derselben Datenquelle gebaut.

In der Praxis bedeutet das eine Reduktion der installierten Komponenten. Wo früher zwei Sensorebenen parallel betrieben wurden, eine für die Kältetechnik, eine für die Sicherheit, läuft eine integrierte Sensorebene, die beide Auswertungen bedient. Die Anzahl der Schnittstellen sinkt. Die Anzahl der Fehlerquellen sinkt. Die Wartung wird einfacher. Die Daten sind synchron, weil sie aus einer Quelle stammen. Und die Auswertung kann Muster erkennen, die in getrennten Systemen unsichtbar geblieben wären. Ein Mitarbeiter, der wiederholt am Wochenende für längere Zeit das Tor offen lässt, fällt in einer integrierten Auswertung auf, weil die Korrelation zwischen Zutritt, Türstatus und Temperaturanstieg sich wiederholt. In getrennten Systemen wäre derselbe Vorgang als isolierte Hygieneabweichung erfasst worden, ohne dass die Ursache benannt würde.

Die Integration verändert auch die Reaktion. Ein Alarm, der gleichzeitig Hygiene und Sicherheit betrifft, wird nicht zweimal eskaliert, sondern einmal, an einen Operator, der beide Dimensionen führt. Die Reaktionszeit verkürzt sich. Die Klarheit der Zuständigkeit nimmt zu. Die Dokumentation entsteht im selben System, in dem die Auswertung läuft. Wer einmal in einer integrierten Umgebung gearbeitet hat, kehrt nicht zurück zu zwei getrennten Welten.

Die Diebstahlsmuster im Kühlhaus

Diebstahl im Kühlhaus folgt anderen Mustern als Diebstahl auf einer Baustelle oder in einem konventionellen Lager. Die Ware ist hochwertig, sie ist verderblich, sie ist im Transport schwer zu verbergen. Wer Tiefkühlware stiehlt, braucht ein Fahrzeug mit eigener Kühlung, sonst wird der Diebstahl innerhalb weniger Stunden wertlos. Diese Eigenschaft schließt einen Großteil der Gelegenheitstäter aus. Was übrig bleibt, ist organisierter Diebstahl, oft mit Insiderwissen.

Insiderwissen bedeutet im Kühlhauskontext, dass jemand weiß, wann eine Lieferung ankommt, in welchem Sektor sie eingelagert wird, wann die Verladung stattfindet und wer in dieser Zeit Zutritt hat. Diese Information ist nicht im öffentlichen Raum verfügbar. Sie kommt von innen. Die Sicherheitsarchitektur muss deshalb nicht nur die äußere Hülle schützen, sondern auch die innere Bewegung dokumentieren. Wer wann welchen Sektor betreten hat, mit welcher Berechtigung, in welcher Begleitung, ist eine Frage der Zutrittssteuerung. Die Antwort muss revisionsfähig sein, weil sie im Streitfall die Grundlage der Aufklärung ist.

Daneben gibt es den Manipulationsdiebstahl. Er besteht darin, dass Ware bei der Einlagerung als zu gering gemeldet wird, sodass die Differenz zwischen Lieferschein und Buchung in der Tasche eines Beteiligten verschwindet. Dieser Vorgang ist ohne Video schwer nachzuweisen, weil er auf Papier sauber aussieht. Eine Videoanalyse, die den Verladevorgang gegen die Buchungsdaten abgleicht, macht ihn sichtbar. Sie ist nicht eine Überwachung des Personals im Sinne einer Misstrauenskultur, sondern eine Dokumentation des Vorgangs im Sinne einer Beweissicherung. Wer als ehrlicher Mitarbeiter arbeitet, hat von dieser Dokumentation nichts zu fürchten. Wer als unehrlicher Mitarbeiter arbeitet, verliert seinen Hebel.

Ein dritter Diebstahlsmuster ist der Frachtdiebstahl im Verladebereich. Er nutzt die Übergangsphase zwischen Lager und Fahrzeug, in der die Ware physisch nicht mehr im Lager, aber noch nicht unterwegs ist. In dieser Phase ist die Verantwortlichkeit oft unklar geregelt, was Tätern entgegenkommt. Die Sicherheitsarchitektur muss diese Phase explizit erfassen, mit Video, mit Zutrittsdaten und mit der Verknüpfung an die Frachtpapiere. Erst diese Verknüpfung schafft die Lückenlosigkeit, die im Schadensfall die Versicherbarkeit sichert.

Der wirtschaftliche Hebel der Integration

Die Wirtschaftlichkeit eines integrierten Systems entsteht aus drei Quellen. Erstens aus der Reduktion direkter Verluste durch verhinderte Diebstähle und vermiedene Kühlkettenbrüche. Zweitens aus der Reduktion indirekter Kosten, die durch nicht verkehrsfähige Ware, durch Audits mit Beanstandungen und durch Verträge mit Vertragsstrafen entstehen. Drittens aus der Reduktion der Versicherungsprämien, die ein integriertes, dokumentiertes System gegenüber einer Patchwork-Lösung erzielt.

Die direkten Verluste sind die sichtbarste Größe. Sie erscheinen in den Inventurdifferenzen, in den Abschriften und in den Schadensregulierungen. Sie lassen sich gegen die Investition in das integrierte System rechnen. Die Bandbreite der Amortisationszeiträume liegt in der Praxis im einstelligen Jahresbereich, wobei stark frequentierte Standorte mit hochwertigem Sortiment schneller amortisieren als wenig frequentierte mit Standardware.

Die indirekten Kosten sind die unterschätzte Größe. Eine nicht verkehrsfähige Charge Tiefkühlfisch ist nicht nur der Warenwert. Sie ist der Entsorgungsaufwand, der Reputationsverlust beim Verlader, die Untersuchung durch die Veterinärbehörde, die Nachbearbeitung im HACCP-System, die Mitteilung an den Endkunden, gegebenenfalls die öffentliche Rückrufaktion. Diese Folgekosten übersteigen den Warenwert oft um ein Mehrfaches. Wer sie nicht in die Rechnung einbezieht, unterschätzt den Hebel der Sicherheit systematisch.

Die Versicherungsprämien sind die dritte Größe. Versicherer prüfen vor der Konditionsgestaltung die Sicherheitsarchitektur. Wer ein integriertes, dokumentiertes, auditfähiges System betreibt, verhandelt anders als wer mit getrennten Insellösungen arbeitet. Die Differenz in der Prämie ist nicht symbolisch. Sie ist über die Vertragslaufzeit ein Betrag, der die Investition in das System mitträgt. In Verbindung mit dem TÜV-zertifizierten Auditpfad und mit der Anbindung an die VdS-Anerkennung der Einbruchmeldeanlage ergibt sich ein Paket, das in der Verhandlung mit dem Versicherer eine nachvollziehbare Argumentationsgrundlage liefert.

Die operative Architektur eines integrierten Kühlhaus-Sicherheitssystems

Ein integriertes System für ein Kühlhaus besteht aus mehreren Ebenen, die nicht unabhängig voneinander entworfen werden können. Die unterste Ebene ist die Sensorik. Sie umfasst Temperatursonden in den Lagerbereichen, Türkontakte an allen Toren und Schleusen, Kameras in den Bewegungsbereichen, Zutrittsleser an allen Übergängen und gegebenenfalls Vibrationssensoren an den Außenwänden. Die Sensorik liefert die Rohdaten.

Die zweite Ebene ist die Datenführung. Sie konsolidiert die Rohdaten in einer einheitlichen Struktur, mit synchronen Zeitstempeln, mit definierten Begriffen und mit eindeutiger Zuordnung zu Lagerbereichen, Personen und Vorgängen. Diese Ebene ist die unsichtbare Stärke des Systems. Wer sie nicht sauber baut, hat zwar Sensorik, aber keine Auswertung. Die im Buch beschriebene Plattformarchitektur ist genau auf diese Konsolidierung ausgelegt.

Die dritte Ebene ist die Auswertung. Sie wertet die konsolidierten Daten gegen Regeln aus, die aus den HACCP-Plänen, den Sicherheitskonzepten und den Vertragsanforderungen abgeleitet sind. Eine Türöffnung von mehr als der vorgesehenen Dauer ist eine Regelverletzung. Ein Zutritt außerhalb der Schichtzeit ist eine Regelverletzung. Ein Temperaturverlauf außerhalb der Bandbreite ist eine Regelverletzung. Die Auswertung erkennt diese Verletzungen und ordnet sie nach Dringlichkeit.

Die vierte Ebene ist die Reaktion. Sie umfasst die Eskalation an einen Operator, die Benachrichtigung der Verantwortlichen, gegebenenfalls die Auslösung physischer Maßnahmen wie das Verriegeln von Toren oder das Anfordern von Einsatzkräften. Die Reaktion ist nicht beliebig, sondern in einem Eskalationsplan vordefiniert, der vom Betreiber gemeinsam mit dem Hersteller erarbeitet wird. Wer die Reaktion nicht plant, hat im Ernstfall keine Reaktion, sondern Improvisation.

Die fünfte Ebene ist die Dokumentation. Sie ist nicht ein Nachtrag, sondern entsteht im Vollzug. Jeder Vorgang, jede Regelverletzung, jede Reaktion wird im selben System aufgezeichnet, das die Auswertung führt. Diese Dokumentation ist die Grundlage der Audits, der Versicherungsmeldungen und der internen Verbesserungsprozesse. Sie ist auch die Grundlage der Beweisführung im Streitfall mit Verladern oder Behörden. Eine lückenlose, manipulationssichere Dokumentation ist die wertvollste Ausgabe des Systems, und sie ist es, die im Auditkontext den Unterschied zwischen einer bestandenen Prüfung und einer Beanstandung macht.

Was bleibt

Die Trennung zwischen Hygiene und Sicherheit im Kühlhaus ist ein historisches Erbe, kein technisches Erfordernis. Wer sie beibehält, zahlt doppelt, in der Sensorik, in der Wartung, in der Dokumentation. Wer sie auflöst, gewinnt an drei Stellen: in der Wirksamkeit der Maßnahmen, in der Wirtschaftlichkeit des Betriebs, in der Belastbarkeit gegenüber Audits und Streitfällen. Die Auflösung ist keine Frage des Glaubens, sondern eine Frage der Umsetzung. Sie verlangt eine Plattform, die beide Welten in einer Datenstruktur führt, und einen Betreiber, der bereit ist, die organisatorischen Konsequenzen mitzutragen.

Boswau + Knauer arbeitet mit Betreibern temperaturgeführter Logistikobjekte in dieser Logik. Der erste Schritt ist in der Regel ein Gespräch von sechzig Minuten, in dem die Lage beschrieben und die Hebel benannt werden. Wer nach diesem Gespräch tiefer einsteigen möchte, kann ein Audit über drei bis fünf Tage vor Ort beauftragen, das die Standortbeschreibung, die Vorfallhistorie, die Wirtschaftlichkeitsrechnung und die Empfehlungsmatrix in einem Bericht zusammenführt, den der Betreiber intern oder extern weiterverwenden kann. Der Bericht ist auch dann verwertbar, wenn die Umsetzung nicht mit Boswau + Knauer erfolgt. Die Entscheidungslast bleibt beim Betreiber.

Häufige Fragen

Welche Temperaturen sind kritisch?

Die kritischen Temperaturbandbreiten ergeben sich aus der EU-Verordnung 853/2004 und den nationalen Folgevorschriften. Für Tiefkühlware liegt die Obergrenze bei minus achtzehn Grad Celsius, für Frischfisch im Bereich nahe null Grad auf schmelzendem Eis, für Fleischerzeugnisse je nach Kategorie zwischen null und sieben Grad. Kritisch wird jede Abweichung, die nicht innerhalb der durch HACCP definierten Toleranzen liegt und nicht innerhalb der vorgesehenen Reaktionszeit korrigiert wird. Eine integrierte Sensorik erkennt diese Abweichungen in Echtzeit und ordnet sie einer Ursache zu, was die isolierte Temperaturmessung nicht leistet.

Wer kontrolliert die Kühlkette?

Die Kontrolle der Kühlkette ist mehrstufig. Auf der ersten Stufe steht der Betreiber selbst, der über sein HACCP-System die laufende Eigenkontrolle führt. Auf der zweiten Stufe stehen die Veterinärbehörden der Länder, die regelmäßige und anlassbezogene Kontrollen durchführen. Auf der dritten Stufe stehen die zertifizierungsbasierten Prüfer nach IFS Logistics oder BRCGS, die in jährlichen Audits den Standard prüfen. Auf der vierten Stufe stehen die Verlader, die im Rahmen ihrer Lieferantenaudits eigene Kontrollen durchführen. Versicherer prüfen zusätzlich im Rahmen der Risikobewertung.

Wie wird Diebstahl erkannt?

Diebstahl wird durch die Verknüpfung mehrerer Datenquellen erkannt. Zutrittsdaten zeigen, wer wann welchen Bereich betreten hat. Videoaufzeichnungen dokumentieren den Vorgang. Buchungssysteme dokumentieren die Soll-Bestände. Eine integrierte Auswertung gleicht diese Quellen ab und erkennt Differenzen, die im Einzelsystem unsichtbar geblieben wären. Bei Frachtdiebstahl im Verladebereich liefert die Verknüpfung zwischen Frachtpapieren, Videoaufzeichnung und Zutrittsdaten die Beweiskette. Bei Insiderdiebstahl liefern Mustererkennungen über mehrere Schichten und Wochen die Hinweise. Reine Inventurdifferenzen sind ein nachlaufender Indikator, der den Vorgang nicht aufklärt.

Welche Vorfälle waren öffentlich?

In den vergangenen Jahren sind in Europa mehrfach Fälle dokumentiert worden, in denen Tiefkühllager Ziel organisierter Frachtdiebstähle waren, teilweise mit Insiderbeteiligung. Daneben hat es Fälle gegeben, in denen Kühlkettenbrüche durch nicht erkannte Türöffnungen oder Stromausfälle zu Rückrufaktionen geführt haben. Konkrete Zahlen und Häufigkeiten variieren nach Quelle, das BSI weist im Lagebericht regelmäßig auf die Verletzlichkeit kritischer Lieferketten hin, der GDV dokumentiert Schadenstatistiken zur Transport- und Lagerlogistik. Eine präzise Einzelfallnennung ist im Rahmen dieses Beitrags nicht zielführend, die Lage ist qualitativ stabil und quantitativ steigend.