Anhang: Zutritts- und Meldesysteme

Begriffsbestimmungen & Geltungs­bereich

• Definition aller Systeme (ZKS, EMA, BMA, Video‑, SAA/ELA, Telekom‑ und Leitstellen­software, API‑Gateways). 
• Klärt, dass Annex sowohl stationäre als auch mobile Komponenten (Body‑Cams, Zutritts‑Badges, Patrouillen‑App) umfasst.
• Auflistung aller Liegenschaften / Teilobjekte, für die die Regelungen gelten.

DIN EN 60839‑11‑1, DIN EN 50136‑1, BSI‑IT‑Grundschutz

Eigentums‑ und Nutzungs­rechte

• Hardware bleibt Eigentum des Auftraggebers; Dienstleister erhält zeitlich beschränkte Nutzungs‑/Zugriffsrechte.
• Herausgabe‑ und Löschpflichten bei Vertragsende.
• Verbot der Nutzung für Drittaufträge.

DIN EN 60839‑11‑1, DIN EN 50136‑1, BSI‑IT‑Grundschutz

Technische Spezifikation & Kompatibilität

• Verbindliche Auflistung von Hersteller, Modell, Software‑Release, Datenformaten (z. B. OSDP, Wiegand, BACnet, OPC UA), Verschlüsselungs­algorithmen (TLS 1.3, AES‑256). 
• Mindestverfügbarkeit ≥ 99,5 % p.a. für Server/Controller.
• Schnittstellen zum CAFM‑, SIEM‑, ERP‑ oder HR‑System (JSON‑/REST‑API oder OPC UA).

DIN EN 60839‑11‑31, IEC 62443‑3‑3, IT‑SiG 2.0

Rollen‑ und Berechtigungs­management

• Matrix der Systemrollen (Operator, Supervisor, Administrator, Auditor).
• 4‑Augen‑Prinzip bei Rollenänderungen und Badge‑Erstellung.
• Tägliche automatische Sperrlisten‑Synchronisation mit HR‑Austrittsdaten.

ISO 27001 Kap. 9, DSGVO Art. 32

Betrieb, Administration & Support

• 1st‑Level durch Wachpersonal (24/7), 2nd‑/3rd‑Level durch Betreiber / Integrator.
• Ticket‑System mit Prioritäts­klassen P1–P4 und Reaktions‑/Behebungszeiten (z. B. P1 < 30 min, P2 < 4 h).
• Fernwartung nur über VPN + MFA; Wartungsfenster mit Voranmeldung (≥ 72 h).

ITIL 4; DIN 77200‑1 6.5

Service‑Level‑Agreement (SLA)

• Verfügbarkeiten, Wiederanlaufzeiten (RTO ≤ 4 h), Journale (MTBF, MTTR).
• Finanzielle Malus‑Regelungen bei KPI‑Unterschreitung (z. B. 3 % Vergütungs­minderung pro ausgefallener Stunde > RTO).

BGB § 315; DIN EN 50600‑3‑1

Log‑, Protokoll‑ & Audit‑Trails

• Unveränder­bare Speicherung (Write‑Once) aller Zutritts‑/Alarm‑Events min. 12 Monate.
• Hash‑basiertes Signieren für Beweis­sicherheit (Blockchain‑Option).
• Auditrechte für Auftraggeber + Datenschutz­beauftragten.

DSGVO Art. 5 (Integrität); ISO 27037 (Forensics)

Datenschutz‑ und DSFA‑Bestimmungen

• Referenz auf gesonderte Datenschutz­folge­abschätzung (Art. 35 DSGVO). 
• Speicher‑/Löschfristen (Video max. 72 h, Zutrittslogs 6 Mon.).
• TOM‑Katalog (Verschlüsselung, Pseudonymisierung, Zugriffskontrollen).

DSGVO Art. 32‑35; BDSG §§ 26‑28

Regelprüfungen & Wartung

• Jährliche VdS‑Konformitäts‑prüfung (EMA/BMA).
• Halbjährliche Funktionstests aller Leser, Tür‑/Magnetkontakte, Einbruch‑ und Brandmelder inkl. Dokumentation im Prüfbericht nach DIN 14675/0833.
• Firmware‑Updates max. 60 Tage nach Hersteller‑Release.

DIN EN 50133, VdS 2311, BetrSichV § 15

Obsoleszenz‑ & Patch‑Management

• Mindest­support­restlaufzeit der Kernkomponenten ≥ 5 Jahre.
• End‑of‑Life‑Roadmap, Ersatzteil­verfügbarkeiten, Migrations­pflicht auf Nachfolge­systeme binnen 12 Monaten nach Herstellerabkündigung.

IEC 62443‑2‑3; BSI‑CS 134

Störungs‑ & Eskalations­verfahren

• Ereignis‑Matrix (Alarmcode → Meldeweg → Reaktionszeit).
• Meldung P1‑Störung binnen 15 min an Werkschutz­leiter, 30 min an externe NSL/Leitstelle.
• Eskalations­stufen bis Geschäftsführung + Polizei/Feuerwehr.

DIN ISO 22320; VdS 3138

Notfall- & Disaster‑Recovery‑Plan

• Manuelle Zutritts‑Prozedur bei Systemausfall (Papier‑Visitor‑Log, Schlüsseltafeln).
• Rückfallebene für EMA/BMA (Mobilfunk‑IP‑Backup gem. DIN EN 50136‑1 Grad 4).
• Georedundantes Leitstellen‑Failover (≤ 30 min).

ISO 22301; DIN EN 50136

Schulungs‑ & Autorisierungs­nachweise

• Jährliche Rezertifizierung der Wachleute im System (Benutzer‑, Video‑, Alarmbearbeitung).
• Dokumentierte Ersteinweisung bei Dienstantritt (Dienstanweisung + Praxistest).

DGUV 1 § 4 Abs. 1; DIN 77200‑2 7.3

Änderungs‑ / Change‑Management

• Formblatt für jede technische oder parametrierende Änderung.
• 4‑Phasen‑Workflow (Beantragen → Risikoanalyse → Freigabe → Dokumentation).
• Pflicht zur Vorab‑Kompatibilitäts‑prüfung (OT‑Sicherheits­tests).

ITIL 4 Change; BGB § 631 Abs. 2

Abnahme‑ und Übergabe­protokolle

• Formaler Testplan (Factory + Site Acceptance Test).
• Kriterien: Funktions‑, Last‑, Failover‑, Rechte‑ und Logging‑Tests. 
• Abnahme­erklärung Voraussetzung für erste Rechnungslegung.

VOB/B § 12 (analog), DIN 69901

Exit‑ & Daten­portabilitäts­klausel

• Pflicht zur vollständigen Daten­export‑Übergabe in offenem Format (CSV/JSON) bei Vertragsende.
• Lösch‑ bzw. Vernichtungs­nachweis binnen 30 Tagen nach Exit.
• Übergabe aller Admin‑Kennwörter, Dokumentationen, Source‑Codes (falls kundeneigene Anpassungen).

DSGVO Art. 20; BGB § 675