<!-- docId: IMS-05-03 -->
<!-- status: entwurf -->
<!-- version: 0.1 -->
<!-- owner: Patrick Motsch -->
<!-- approver: Geschäftsführung PowerOn AG -->
<!-- approvedDate: -->
<!-- nextReview: 2027-06-03 -->
<!-- classification: intern -->
<!-- isoRefs: 9001:5.3; 27001:5.3 -->

# Rollen, Verantwortlichkeiten und Befugnisse

**Dokumenttyp:** Grundlagendokument (ISO 9001 / 27001 Kap. 5.3)

Aufgrund der kleinen Teamgrösse (2-5 Personen) werden Rollen gebuendelt. Bündelung ist zulässig; entscheidend ist die dokumentierte Zuweisung. **Namentliche Träger** stehen zentral im [Personen-Rollen-Mapping](personen-rollen-mapping.md) — diese Matrix enthält nur Funktionen.

## 1. Rollenmatrix

| Rolle | Verantwortung / Befugnis | Träger |
|---|---|---|
| Oberste Leitung (Geschäftsführung) | Gesamtverantwortung IMS, Freigabe Politiken, Ressourcen, Management-Review | → Mapping |
| Informationssicherheits-Beauftragter (ISB / CISO-Funktion) | ISMS-Pflege, Risikobeurteilung, SoA, Steuerung Annex-A-Controls | → Mapping |
| Qualitätsmanagement-Beauftragter (QMB) | QMS-Pflege, Prozesssteuerung, KVP, Audit-Koordination | → Mapping |
| Dokumentenlenkungs-Verantwortlicher | Pflege Header-Standard, Dokumentenregister, Review-Zyklen | → Mapping |
| Datenschutzverantwortlicher | DSG/DSGVO, AVV-Management | → Mapping |
| Betrieb / DevOps & Incident-Verantwortlicher | Server, Deployment, Backups, Vorfallbehandlung | → Mapping |
| Drittdienst-/Lieferanten-Verantwortlicher | Drittanbieter-Inventar, AVVs, Subunternehmer | → Mapping |
| Risiko-Eigner (Risk Owner) | Verantwortung je wesentlichem Risiko/Asset | gemäss [Risikoregister](../03_planung/risikoregister.md) |
| Interner Auditor | Unabhängige Prüfung des IMS | → Mapping (extern, Unabhängigkeit erforderlich) |

Amtsinhaber: [personen-rollen-mapping.md](personen-rollen-mapping.md) Abschnitt 2.

## 2. Hinweis zur Funktionstrennung

Da derzeit zentrale Rollen bei einer Person liegen, sind folgende kompensierende Massnahmen verbindlich:

- **Vier-Augen-Prinzip** bei Code-Review und Produktiv-Releases ([feature_release_bugfix.md](../05_betrieb/20260528_feature_release_bugfix.md)).
- **Protokollierung privilegierter Zugriffe** ([Logging & Monitoring](../05_betrieb/11_Logging_und_Monitoring.md)).
- **Internes Audit wird extern vergeben**, um Unabhängigkeit sicherzustellen ([Internes Audit](../06_bewertung/internes-audit.md)).

## 3. Operative Organisation

Die geschäftliche Aufgabenverteilung, Meetingstruktur (Operations, Verwaltungsrat) und Koordinationsrollen sind im [Organisationsreglement](organisationsreglement.md) geregelt. Die operative Entlastungsstruktur adressiert das Schlüsselpersonenrisiko (R-01) als kompensierende Massnahme.

## 4. Pflege

Änderungen an Rolleninhalten in dieser Matrix bzw. im Organisationsreglement; **Personenwechsel nur** im [Personen-Rollen-Mapping](personen-rollen-mapping.md). Wesentliche Änderungen im Management-Review bestätigen. Bei Teamwachstum Rollen entflechten (insb. interner Auditor, Release-Freigabe vs. Entwicklung).