Inhaltsstoff-Compliance automatisieren: CPNP und EU-Kosmetikverordnung

Das echte Ausmaß des Problems

Die EU-Kosmetikverordnung (Verordnung (EG) Nr. 1223/2009) ist eines der komplexesten Produktsicherheitsregelwerke in der EU. Sie umfasst:

• Annex II: Über 1.300 verbotene Substanzen
• Annex III: Beschränkt erlaubte Stoffe mit Konzentrationsgrenzen
• Annex IV–VI: Farb-, Konservierungs- und UV-Filterstoff-Listen
• Kennzeichnungspflichten, Sicherheitsbewertungsanforderungen (CPSR) und Produktinformationsdateien (PIF)

Diese Gesetzgebung wird nicht statisch verwaltet: Das Wissenschaftliche Ausschuss für Verbrauchersicherheit (SCCS) der EU-Kommission veröffentlicht regelmäßig aktualisierte Stellungnahmen zu Inhaltsstoffen — und löst damit Anpassungen in den Annexen aus. Wer heute konform ist, kann morgen nachbessern müssen. Seit dem 13. Dezember 2024 gelten zudem neue Pflichtangaben für den Online-Verkauf kosmetischer Produkte.

Die praktische Last fällt auf kleine und mittelständische Unternehmen besonders schwer: Großkonzerne haben Regulatory-Affairs-Abteilungen mit spezialisiertem Personal. Eine mittelständische Eigenmarke mit 30 SKUs und drei Produktlaunches pro Jahr macht diesen Check entweder manuell (8 Stunden je Rezeptur = 24 Personentage pro Jahr) — oder bezahlt externe Berater. Externe Regulatory-Beratung kostet typisch 1.500 bis 4.000 Euro je Produkt für einen vollständigen Compliance-Report.

Fehler haben Konsequenzen: In Deutschland können Verstöße gegen die Kosmetikverordnung mit Bußgeldern bis zu 50.000 Euro geahndet werden. Bei schwerwiegenden Verstößen sind Freiheitsstrafen möglich. Ein Rückruf über das EU-Schnellwarnsystem ist darüber hinaus ein Reputationsschaden, den kleine Marken sich kaum leisten können.

Mit vs. ohne KI — ein ehrlicher Vergleich

¹ Erfahrungswerte aus Fallstudien zu Regulatory-Software-Einsatz; keine repräsentative Studie. CPNP-Fehlerquoten variieren stark nach Produktkategorie und vorherigem Prozessreifegrad.

Einschätzung auf einen Blick

Zeitersparnis — sehr hoch (5/5) Das ist der deutlichste Zeitgewinn unter allen verglichenen Anwendungsfällen im Beauty-Bereich. Von 4 bis 8 Stunden auf 15 bis 30 Minuten je Rezeptur-Check — das entspricht einem Faktor von 10 bis 20. Für ein Unternehmen mit drei Produktlaunches pro Jahr: Statt 24 Personentagen für Compliance-Checks sind es 1,5 Tage. Das ist kein inkrementeller Effizienzgewinn, sondern eine strukturelle Entlastung.

Kosteneinsparung — hoch (4/5) Die direkte Einsparung entsteht durch reduzierte externe Beratungskosten. Bei drei Produkten pro Jahr und 2.500 Euro je externer Prüfung: 7.500 Euro jährlich. Softwarelizenz typisch 2.400 bis 6.000 Euro pro Jahr — die Differenz ist messbar positiv. Dazu kommt der Vermeidungsnutzen: Ein einziger vermiedener Rückruf (typisch 30.000–150.000 Euro Schaden) amortisiert die Software auf Jahre hinaus. Nicht ganz die höchste Bewertung, weil der Vermeidungsnutzen ein Erwartungswert ist — er tritt nicht immer ein.

Schnelle Umsetzung — mittel (3/5) 6 bis 10 Wochen Einrichtung: Datenbank-Anbindung, bestehende Rezepturdaten importieren, Compliance-Zonen konfigurieren, Team schulen. Das ist handhabbar — kein Nachrichtenprojekt, aber auch nicht in einem Tag erledigt. Unter den drei verglichenen Anwendungsfällen der einfachste Einstieg; keine Consumer-facing-UI, keine Kameraintegration, kein SDK.

ROI-Sicherheit — sehr hoch (5/5) Compliance-Checks sind zählbar: Wie viele wurden durchgeführt? Wie viele Probleme wurden vor der Einreichung gefunden? Wie viele externe Berater-Stunden wurden eingespart? Wie viele SCCS-Update-Meldungen wurden automatisch verarbeitet? Das alles lässt sich dokumentieren. Und der Vermeidungsnutzen ist bei einer einzigen vermiedenen Bußgeld-Situation sofort quantifizierbar. Stärkster ROI-Nachweis unter den drei Anwendungsfällen.

Skalierbarkeit — hoch (4/5) Mit wachsendem Produktportfolio steigt der Nutzen proportional, der Aufwand wächst kaum. 10 Produkte oder 100 — die Datenbank-Prüfung läuft gleich schnell, das Monitoring-System überwacht alle aktiven Formulas gleichermaßen. Nicht maximal bewertet, weil CPNP-Einreichungen selbst nicht automatisiert werden können (das EU-Portal lässt keine API-Integration zu) und bei wirklich großem Portfolio ein Regulatory-Team weiterhin benötigt wird.

Richtwerte — stark abhängig von Anzahl der SKUs, Zielmärkte und internem Regulatory-Know-how.

Was das System konkret macht

Der technische Kern dieser Anwendung ist NLP — Sprachmodelle, die strukturierten und unstrukturierten Text verstehen und auswerten. In der Regulatory-Compliance funktioniert das so:

Du gibst eine INCI-Liste ein — die standardisierte Inhaltsstoffbezeichnung gemäß der EU-Kosmetikverordnung, mit der jedes Produkt gekennzeichnet sein muss. Das System schlägt jeden Inhaltsstoff in einer strukturierten Datenbank nach, die die aktuellen Annexe der Kosmetikverordnung sowie SCCS-Meinungen enthält. Für jeden Stoff prüft es:

• Ist er in Annex II verboten?
• Ist er in Annex III beschränkt — und wenn ja, in welcher Konzentration?
• Hat das SCCS eine aktuelle Stellungnahme veröffentlicht, die Grenzwerte ändert?
• Gibt es Kennzeichnungspflichten (z. B. Warnhinweise, Altersangaben)?

Das Ergebnis ist ein strukturierter Bericht: Grün (kein Problem), Gelb (Grenzwert beachten, Konzentration prüfen), Rot (nicht zulässig in dieser Formulierung für diesen Markt).

Was das System nicht macht

Wichtig für die Praxis: Das Tool ersetzt keine vollständige Sicherheitsbewertung (CPSR) durch einen qualifizierten Sicherheitsbewerter. Die CPSR ist gesetzlich vorgeschrieben und muss von einer toxikologisch qualifizierten Person unterschrieben werden — das ist keine Software-Aufgabe. Außerdem erstellt kein aktuelles Tool eine CPNP-Einreichung vollautomatisch: Das EU-Portal erlaubt keine direkte API-Anbindung.

Was bleibt: Der manuelle Recherche-Part — wer prüft was gegen welche Liste — wird automatisiert. Die Interpretation von Grenzfällen und die finale Verantwortung bleiben beim Menschen.

Rechtliche Besonderheiten

Das Produktsicherheitsrecht im Kosmetikbereich ist eng getaktet. Für den Einsatz eines KI-gestützten Compliance-Tools sind folgende Punkte relevant:

CPSR bleibt Pflicht. Die Kosmetische Sicherheitsbewertung (Cosmetic Product Safety Report) nach Artikel 10 der Verordnung muss von einer qualifizierten Person im Sinne des Artikels erstellt werden. Ein Software-Output ist keine CPSR. Das Tool kann die Vorbereitung des Sicherheitsbewerters erheblich beschleunigen — aber nicht ersetzen.

Responsible Person Haftung. Wer ein kosmetisches Produkt auf den EU-Markt bringt, ist als Responsible Person (Art. 4 VO 1223/2009) persönlich haftbar für die Compliance. Das gilt unabhängig davon, welche Software genutzt wird. Wenn ein Tool einen Verstoß nicht erkennt und das Produkt dennoch auf den Markt kommt, liegt die Verantwortung beim Unternehmen — nicht beim Software-Anbieter.

SCCS-Updates zeitnah verarbeiten. Es reicht nicht, einmalig zu prüfen und sich auf das Ergebnis zu verlassen. Die Datenbanken der Tools müssen aktuell sein. Cosmetri aktualisiert CosIng-Daten täglich, andere Regulierungsdaten halbjährlich — das ist bei schnellen SCCS-Updates ein Risiko. Vor der Nutzung: Prüfe, wie der Anbieter Datenbankupdates durchführt und welche Latenz zwischen EU-Veröffentlichung und Tool-Update liegt.

EU AI Act (seit August 2024). Compliance-Systeme, die Entscheidungen zu Produktsicherheit unterstützen, können unter bestimmte KI-Risikoklassen fallen — der genaue Scope ist branchenspezifisch und zum Stand April 2026 noch in Konkretisierung. Mit dem Datenschutzbeauftragten und ggf. Rechtsberatung klären, ob eine EU AI Act-Risikoeinstufung für das eingesetzte System relevant ist.

Konkrete Werkzeuge — was wann passt

Cosmetri — Reifes PLM- und Compliance-Tool für Kosmetikunternehmen. Verwaltet Rezepturen, INCI-Breakdowns, Regulierungsdaten für 50+ Länder, ISO-22716-Workflows und automatische Inhaltsstoff-Warnungen. CPNP-Einreichungen müssen manuell vorgenommen werden — Cosmetri bereitet die Daten vor, aber überträgt sie nicht direkt ins EU-Portal. Für Unternehmen mit internationalem Vertrieb (EU + USA + Asien) und eigenem Regulatory-Team gut geeignet. Datenhaltung in den USA — für Rezepturgeheimnisse bedenken.

Cosmetica — KI-natives Tool, speziell für kleinere Marken ohne eigenes Regulatory-Team konzipiert. Generiert automatisch EU-konforme PIF-Dokumentationsentwürfe, prüft Inhaltsstoffe gegen aktuelle Verbotslisten, unterstützt bei CPNP-Meldedaten. Einstieg ab ~199 USD/Monat — deutlich günstiger als Cosmetri. Jüngeres System — Verlässlichkeit der Datenbankaktualisierungen sollte geprüft werden. Ergebnisse vor CPNP-Einreichung durch einen Regulatory Consultant gegenchecken lassen.

Eigene LLM-gestützte Prüfung (Custom GPT / Claude) — Für Unternehmen mit technischem Know-how und kleinem Budget: CosIng-Daten der EU-Kommission sind öffentlich zugänglich (kostenlos). Mit einem strukturierten Prompt und einer aufbereiteten Verbotsliste als Kontext kann ChatGPT oder Claude eine erste Vorprüfung durchführen. Kein Ersatz für professionelle Software, aber brauchbar als erste Einschätzung und für interne Schulungen. Vorsicht: Halluzinationen möglich — kein Modell kennt zuverlässig alle SCCS-Updates aus 2024/2025.

Wann welcher Ansatz:

• Kleine Marke, 5–20 Produkte, kein Regulatory-Team → Cosmetica + Sicherheitsbewerter für finale Freigabe
• Mittelgroße Marke, 20–100 Produkte, eigenes Regulatory-Team → Cosmetri für systematisches Management
• Budget nahe null, erster Test → CosIng + eigener Prompt (mit Bewusstsein der Einschränkungen)
• Mehr als 100 Produkte oder komplexe internationale Anforderungen → spezialisierte Regulatory-Beratung zusätzlich

Datenschutz und Datenhaltung

Rezepturen und INCI-Listen sind Betriebs- und Geschäftsgeheimnisse. Wer diese Daten in eine cloudbasierte Software hochlädt, gibt sie an Dritte weiter — mit allen juristischen Konsequenzen.

Für Cosmetri (Registrar Corp, USA): Datenhaltung US-seitig. Für EU-Unternehmen bedeutet das einen Drittlandtransfer nach Art. 44 ff. DSGVO — ein Data Processing Agreement (DPA) und Standardvertragsklauseln (SCCs) sind Voraussetzung. Cosmetri stellt diese Dokumente bereit, aber du musst sie aktiv anfordern und prüfen.

Für Cosmetica (USA-basiert): Gleiche Situation — DPA erforderlich. Für den Schutzbedarf von Rezepturen: überlege, ob ihr die Formulierungen vollständig oder nur die INCI-Namen (ohne Konzentrationsangaben) in die Cloud übertragt. Die Verbotslisten-Prüfung funktioniert auch mit reinen Inhaltsstoffnamen ohne Mengenangaben — Konzentrationsgrenzwert-Checks benötigen die genauen Werte.

Empfehlung für sensible Rezepturen: Erwägt eine On-Premise-Lösung oder eine EU-gehostete Datenbank-Lösung, wenn die Rezepturen echte Kernkompetenz und Wettbewerbsvorteil sind. Für die reine Verbotslisten-Prüfung sind On-Device-Lösungen oder eine lokal betriebene Datenbank denkbar.

Was es kostet — realistisch gerechnet

Einmalige Einrichtungskosten

• Software-Onboarding und Rezeptur-Import: typisch 2–4 Wochen interner Aufwand
• Keine signifikanten externen Einrichtungskosten bei Plattform-Tools (500–2.000 Euro für externe Beratung beim ersten Setup sinnvoll)

Laufende Kosten (monatlich)

• Cosmetri: ab ca. 200 USD/Monat (abhängig von Produktanzahl und Modulen)
• Cosmetica: ab 199 USD/Monat für kleine Marken
• Custom GPT-Lösung: anteilig LLM-API-Kosten, gering

Was du dagegenrechnen kannst Drei Produktlaunches pro Jahr, je 3.000 Euro externe Beratung (Mittelwert): 9.000 Euro. Minus Softwarekosten 2.400 Euro/Jahr: Direkte Einsparung ca. 6.600 Euro/Jahr.

Dazu der Vermeidungsnutzen: Jede von der Software erkannte Problemstelle vor dem Launch vermeidet im schlechtesten Fall einen Rückruf. Ein Rückruf bei einer kleinen bis mittelgroßen Marke: Logistik und Vernichtung ca. 5.000–30.000 Euro plus Reputationsschaden. Bei realistisch einem erkannten Problem pro zwei Jahre: Erwartungswert-Einsparung 15.000–75.000 Euro je erkannten Vorfall — ein Vielfaches der Softwarekosten.

Wichtig: Kein Tool verhindert alle Fehler. Aber es verschiebt das Risiko deutlich in Richtung Vorabentdeckung statt Nachbesserung.

Drei typische Einstiegsfehler

1. Dem Tool blind vertrauen, ohne die Datenbank-Aktualität zu prüfen. Ein Compliance-Tool ist nur so gut wie seine regulatorischen Daten. Cosmetri aktualisiert die Hauptdatenbank halbjährlich — wenn das SCCS im April eine neue Opinion zu einem Konservierungsmittel veröffentlicht, ist die Information erst sechs Monate später im System. Wer dieses Risiko nicht kennt, verlässt sich auf Daten, die bereits veraltet sind. Lösung: Immer auch den offiziellen EU-CosIng-Feed und die SCCS-Seite aktiv monitoren — oder einen Dienst nutzen, der tagesaktuelle Updates liefert.

2. Die CPNP-Einreichung als letzten Schritt behandeln. In der Praxis passiert oft Folgendes: Das Produkt ist entwickelt, das Marketing legt fest, die Einführung ist terminiert — dann beginnt erst die Compliance-Prüfung. Wenn dabei Probleme auftauchen (Konzentrationslimit überschritten, Warnhinweis fehlt), bricht der Launch-Zeitplan zusammen. Compliance-Prüfung muss in die Rezeptur-Entwicklungsphase, nicht ans Ende. Jede neue Formulierung sollte beim ersten Entwurf geprüft werden, nicht drei Wochen vor dem Marktstart.

3. Das Tool für alle Märkte pauschal nutzen, ohne Länderspezifika zu konfigurieren. Die EU-Kosmetikverordnung ist für alle 27 EU-Mitgliedstaaten verbindlich — aber darüber hinaus gibt es nationale Besonderheiten. Und wer in die Schweiz, nach Großbritannien oder in GCC-Länder exportiert, hat andere Regelwerke. Tools wie Cosmetri bieten Compliance-Zonen für 50+ Länder — aber nur wenn du sie konfigurierst. Wer die Default-Einstellung auf „EU” belässt und dann nach Japan verkauft, fährt sehenden Auges in einen Compliance-Blindfleck.

Was mit der Einführung wirklich passiert — und was nicht

Regulatory-Affairs ist in vielen Beauty-Unternehmen Einzelkämpfertum: eine Person, die alles weiß und viel zu selten Zeit hat, das Wissen zu dokumentieren. Wenn ein Tool eingeführt wird, das diese Aufgabe teilweise übernimmt, gibt es zwei Reaktionsmuster:

Entlastete Freude. Wer mit dem manuellen Recherchieren vertraut ist und die Stunden kennt, die es kostet, begrüßt ein Tool, das den Großteil dieser Arbeit übernimmt. Diese Person ist die natürliche interne Fürsprecherin — binde sie früh in die Auswahl ein.

Latenter Widerstand aus der Entwicklungsabteilung. Formulierungsentwickler, die bisher die Compliance als nachgelagerten Schritt betrachtet haben, werden plötzlich mit Feedback aus der Software konfrontiert: „Diese Formulierung hat ein Problem.” Das führt zu Rückfragen und manchmal zu Unmut — besonders wenn das Tool Grenzwert-Warnungen generiert, die aus Entwicklersicht als Überreaktion gelten. Wichtig: Das Tool gibt Hinweise, keine abschließenden Urteile. Die Kommunikation darüber muss klar sein.

Wer muss geschult werden? Die Person, die das Tool bedient (Regulatory Affairs). Die Person, die Rezepturen entwickelt (versteht die Output-Berichte). Die Geschäftsführung (versteht den Haftungsrahmen).

Drei bis vier Stunden Einführungsschulung reichen für die meisten Teams. Die ersten 10 Prüfungen sollten zusammen mit dem Anbieter-Support durchgeführt werden — das baut Sicherheit auf.

Realistischer Zeitplan mit Risikohinweisen

Häufige Einwände — und was dahintersteckt

„Wir haben einen externen Berater, der das für uns macht.” Das ist die teuerste Lösung für einen systematischen Prozess. Der externe Berater ist sinnvoll für Grenzfälle, komplexe Exportmärkte und die Sicherheitsbewertung — nicht für die Erst-Prüfung, ob ein Inhaltsstoff verboten ist. Das kann Software günstiger und schneller. Externe Beratung und Compliance-Software schließen sich nicht aus — das Tool verkürzt die Berater-Stunden auf echte Expertentätigkeit.

„Die EU-Datenbank ist kostenlos, wir können selbst nachschauen.” Ja, CosIng ist kostenlos. Für einen gelegentlichen Check: sinnvoll. Für systematisches Monitoring von 30+ aktiven Formulas bei regelmäßigen SCCS-Updates: nicht praktikabel. Der Zeitaufwand für manuelles Monitoring übersteigt bei mehr als 10 aktiven Produkten schnell die Softwarekosten.

„Das Tool kann sich irren, dann haben wir ein falsches Sicherheitsgefühl.” Das stimmt — kein Tool ist fehlerfrei. Deshalb gilt: Ein Compliance-Tool ist ein Hilfsmittel, kein Abschluss-Zertifikat. Es ersetzt nicht die Verantwortung der Responsible Person. Was es tut: Es reduziert die Wahrscheinlichkeit, dass offensichtliche Verstöße unbemerkt bleiben. Das ist mehr als das aktuelle Manual-Verfahren leistet — das genauso fehleranfällig ist, nur schwerer nachzuweisen.

Woran du merkst, dass das zu dir passt

• Du produzierst oder vermarktest Kosmetikprodukte unter eigenem Label für den EU-Markt
• Dein Team verbringt mehr als 5 Stunden pro Woche mit Compliance-Recherchen oder wartet regelmäßig auf Rückmeldungen von externen Beratern
• Du hast in den letzten zwei Jahren CPNP-Nachreichungen oder -Korrekturen vorgenommen, die durch frühzeitige Erkennung hätten vermieden werden können
• Du planst mehr als zwei Produktlaunches pro Jahr
• Du vertreibst oder planst zu vertreiben in mehr als zwei Ländern mit unterschiedlichen Regulierungsrahmen

Wann es sich (noch) nicht lohnt — drei harte Ausschlusskriterien:

1. Weniger als 5 aktive Produkte und kein Wachstum geplant. Bei diesem Volumen decken die Softwarekosten den Nutzen kaum ab. Kostengünstiger: Ein einmaliger Regulatory-Workshop mit einem Berater und ein klarer Prozess für manuelle Checks.

2. Nur White-Label-Produkte ohne eigene Formulierungsverantwortung. Wer fertige Produkte unter eigenem Label vertreibt, aber keine Rezeptur-Verantwortung trägt (der Hersteller hat die Compliance abgenommen), hat keinen direkten Nutzen von einer Formulierungs-Compliance-Software.

3. Kein internes Regulatory-Know-how und keine Bereitschaft, eines aufzubauen. Compliance-Software funktioniert nur, wenn jemand die Ergebnisse interpretiert und danach handelt. Wer niemanden hat, der die Output-Berichte versteht, und nicht bereit ist, diese Kompetenz intern aufzubauen, braucht keinen Software-Kauf — er braucht einen Regulatory-Dienstleister.

Das kannst du heute noch tun

Lade die öffentliche CosIng-Datenbank der EU-Kommission herunter (kostenlos, CPNP-Portal) und prüfe die drei schwierigsten Inhaltsstoffe aus deiner aktuellen Lieblingsformulierung manuell. Das dauert 30 bis 60 Minuten — und gibt dir ein konkretes Gefühl dafür, wie aufwendig der manuelle Prozess ist und wo Software helfen würde.

Danach: Nutze diesen Prompt, um eine erste KI-gestützte Vorsichtung durchzuführen:

Quellen & Methodik

• EU-Kosmetikverordnung (EG) Nr. 1223/2009: Konsolidierte Fassung, EUR-Lex (aktueller Stand April 2026)
• Neue Pflichtangaben ab 13. Dezember 2024: Juravendis, „Neue Pflichtangaben für Online-Kosmetik” (2024)
• Rückrufe im EU-Schnellwarnsystem 2023 (ca. 2.000 Produkte): Reimerdes Engineering, „Kosmetische Produkte: Rückruf im EU-Schnellwarnsystem 2023” (2024)
• Bußgelder bis 50.000 Euro: Bundes-Kosmetikverordnung i.V.m. LFGB; variiert nach Bundesland und Schwere des Verstoßes
• Cosmetri Datenbankaktualisierungen: Cosmetri Product Documentation (Stand April 2026) — CosIng täglich, Regulierungsdaten halbjährlich
• Externe Regulatory-Beratungskosten (1.500–4.000 €/Produkt): Erfahrungswerte aus dem Markt für Regulatory-Affairs-Dienstleistungen in der EU (Stand 2024)
• EU AI Act (in Kraft seit 1. August 2024): Verordnung (EU) 2024/1689 — Anwendbarkeit auf Compliance-Systeme in der Klärungsphase