Leistungs­nachweis‑System (Time & Attendance / Wächterkontroll­system)

• Benennung des Systems und Systembeschreibung: Der Bieter muss den Namen der eingesetzten Plattform angeben (z.B. „Wir nutzen das System XY der Firma ABC“ oder „Eigenentwicklung mit Bezeichnung...“). Dazu gehört eine Kurzbeschreibung der Systemarchitektur: Gibt es eine mobile App? Ein Web-Portal? Werden spezielle Geräte verwendet? Seit wann nutzt der Anbieter dieses System und in welchem Umfang (z.B. konzernweit ausgerollt oder nur bei einem Kunden)? Diese Angaben erlauben dem Auftraggeber eine erste Einschätzung, ob es sich um ein etabliertes Verfahren handelt. Wenn es ein kommerzielles System ist, kann der Auftraggeber ggf. selbst recherchieren oder Erfahrungswerte erfragen. Bei einer Eigenentwicklung sollte der Bieter möglichst Vergleichbarkeiten herstellen („Funktional ähnlich zu bekannten Systemen wie…“). Wichtig: Der Bieter sollte versichern, dass das System bis zum Leistungsbeginn verfügbar und voll einsatzfähig ist – in Vergangenheitsausschreibungen war ggf. zu lesen, dass ein System „geplant“ ist; so etwas wäre riskant und im Zweifel negativ zu bewerten.

• Funktionsumfang und Features: Der Bieter muss einen Überblick über die Funktionalitäten seines Leistungskontrollsystems geben, idealerweise gegliedert nach den Bereichen Zeitmanagement, Rundgangskontrolle, Alarmierung und Berichte.

• o Echtzeit-Ortung und Rundgangsverfolgung: Kann das System die Bewegungen der Sicherheitsmitarbeiter in Echtzeit verfolgen? (Dies wurde meist bereits in Abschnitt 2 erwähnt, aber hier sollte der Bieter es nochmals bestätigen.) Wie erfolgt die Rundgangskontrolle konkret – mittels RFID, QR-Code, GPS? Werden Kontrollpunkte vorgegeben und in der Software verwaltet? Gibt es die Möglichkeit, Rundgänge zu planen und zu automatisieren (z.B. zeitgesteuerte Aufgaben generieren)? Der Bieter sollte darstellen, dass er über ein Online-Wächterkontrollsystem (OWKS) verfügt, das „digitale To-do-Listen“ für Rundgänge bietet und z.B. Mitarbeiter nahtlos durch die Kontrollpunkte führt.

• o Zeiterfassung und Personal-Check-in: Hier beschreibt der Bieter, wie seine Mitarbeiter beim Dienstbeginn und -ende erfasst werden. Z.B.: „Unsere Mitarbeiter buchen sich per App und GPS-Geofencing ein, sodass Ort und Zeit lückenlos protokolliert werden“ oder „Am Objekt ist ein Terminal (NFC/Chip) installiert, an dem sich die Wachperson mit dem Dienstausweis registriert“. Wichtig ist der Hinweis auf Pünktlichkeitskontrolle (und Verspätungsalarme) sowie Schichtdokumentation für die Abrechnung. Im Idealfall erwähnt der Bieter, dass damit auch die Lohnabrechnung abgeglichen wird, was Vertrauen schafft (Stichwort „keine Abrechnung ohne Nachweis“).

• o Alarmierungs- und Eskalationsfunktionen: Welche Alarme kann das System generieren und wie werden diese weitergeleitet? Beispiele: „Das System meldet automatisiert per SMS oder Push-Nachricht, wenn ein Kontrollpunkt nicht innerhalb des Zeitfensters bedient wurde oder wenn ein Mitarbeiter den SOS-Alarm auslöst.“ Gibt es eine 24/7 besetzte Leitstelle beim Bieter, die diese Alarme entgegennimmt, oder gehen die Alarme direkt an den Kunden? Kann das System gestaffelte Eskalationen (z.B. erst Wachvorgesetzter vor Ort, wenn der nicht reagiert dann Objektleiter, etc.)? Diese Punkte sind wichtig für den Auftraggeber, um sicherzustellen, dass das schöne System nicht nur still vor sich hin protokolliert, sondern proaktiv Alarm schlägt und ernstgenommen wird.

• o Web-Interface/Dashboard und Kundenzugang: Der Bieter sollte darstellen, wie der Auftraggeber Einblick erhält. Etwa: „Dem Kunden wird ein Zugang zu unserem Online-Portal bereitgestellt, in dem er Live-Informationen (z.B. anwesende Mitarbeiter, aktuell laufende Rundgänge) sehen und Berichte abrufen kann.“ Alternativ, wenn kein Live-Zugang geplant ist, muss er erklären, wie die Informationen übermittelt werden (z.B. PDF-Berichte per E-Mail täglich/monatlich). Heutzutage bieten allerdings viele Systeme Kundenwebzugänge an, was in der Ausschreibung durchaus gefordert werden kann: Der AG sollte jederzeit auf Verlangen Einblick in das elektronische Wachbuch haben, wie es etwa in Uni-Ausschreibungen formuliert wird. Ein guter Bieter wird diesbezüglich Transparenz zusichern und evtl. Screenshots eines beispielhaften Dashboards oder Berichts beilegen.

• Integrationsfähigkeit in bestehende Systeme: In der Ausschreibung kann gefragt werden, inwiefern das Leistungskontrollsystem mit anderen Systemen vernetzbar ist. Dies betrifft z.B. Zutrittskontrollanlagen des Auftraggebers, Videoüberwachungssysteme, oder die Schnittstelle zur Personaldisposition/Abrechnung. Ein moderner Dienstleister wird darauf hinweisen, dass sein System z.B. eine API hat oder bestimmte Exports anbietet, um an andere Software angebunden zu werden. Praktisches Beispiel: In einem Objekt mit Zutrittskontrolle könnten die Daten der Zugangskarten mit den Patrouillendaten verknüpft werden, um zu sehen, ob der Wachmann wirklich durch eine Tür gegangen ist. Oder: Das Wachkontrollsystem kann Alarmanlagen-Events (Tür offen, Bewegungsmelder) aufnehmen und im Wachbuch vermerken. Je nach Komplexität beim Kunden sind solche Integrationen ein Pluspunkt, da sie Silos vermeiden. In Deutschland wird häufig Wert auf die Verbindung mit vorhandener Sicherheitstechnik gelegt – man will vermeiden, zig getrennte Systeme zu haben. Daher sollte der Bieter angeben, ob er z.B. bereits Kopplungen zu Lenel, Siemens SiPort, Honeywell etc. realisiert hat, oder ob er im Zweifel bereit ist, offene Schnittstellen zu nutzen.

• Nachweis bisheriger Nutzung (Referenzen): Der Bieter muss belegen, dass das vorgestellte System praxiserprobt ist – idealerweise durch Referenzen oder Fallbeispiele. Die Ausschreibung könnte fordern: „Bitte nennen Sie mindestens einen vergleichbaren Einsatz, in dem Ihr Wächterkontrollsystem erfolgreich betrieben wird (mit Angabe von Kundenname, Objektgröße, Leistungen).“ Ein seriöser Bieter wird hier (ohne vertrauliche Details zu verletzen) beispielhaft anführen: „Einsatz unseres Systems bei Kunde XYZ, 3 Objekte, 50 MA, seit 2 Jahren. Verbesserungen: XY...“. Auch werden oft Musterreports verlangt – etwa ein anonymisierter Wochenbericht aus dem System – um zu zeigen, wie die Auswertung aussieht. Falls im deutschen Markt verbreitet, kann auch Zertifizierung erwähnt werden: Manche Anbieter sind z.B. nach DIN 77200 zertifiziert, was impliziert, dass sie ein QM-System inklusive Dokumentation haben. Ein Auszug aus einem solchen Zertifikat (oder zumindest die Erwähnung) kann Vertrauen schaffen, dass der Anbieter das Thema Leistungsdokumentation ernst nimmt.

• Schulung und Implementierungsplan: Gerade im Hinblick auf eine reibungslose Inbetriebnahme sollte der Bieter ausführen, wie er das System ausrollt und die Beteiligten schult. „Alle Sicherheitsmitarbeiter werden vor Dienstbeginn in der Nutzung des Systems unterwiesen (wie scannt man, was tun bei Störung etc.), und auch der Auftraggeber erhält bei Vertragsstart eine Einweisung ins Reporting.“ Ein gut durchdachter Einführungsplan zeigt, dass der Bieter Erfahrung hat und weiß, worauf zu achten ist (z.B. Pufferzeit einplanen, Testläufe durchführen). Hier kann er auch anmerken, ob er bei Bedarf ausreichend Geräte (Smartphones, Scanner) zur Verfügung stellt und wer diese finanziert – oftmals stellt der Dienstleister die benötigte Hardware bereit, was in der Kalkulation bedacht sein muss.

Es gab in deutschen Ausschreibungen bereits konkrete Vorgaben zur Leistungskontrolle. So wird zum Beispiel gefordert, „ein elektronisches Wachbuch ist zu führen, das dem Auftraggeber auf Verlangen jederzeit Einblick gewährt und als Monitoring der Leistungserbringung dient“. Der Bieter muss in solchen Fällen unmissverständlich erklären, dass und wie er dieser Forderung nachkommt. Auch werden manchmal Mindeststandards genannt, z.B. „mindestens RFID-basiertes Wächterkontrollsystem, Daten sind binnen 24h bereitzustellen“. In einer Ausschreibung der öffentlichen Hand (Hafenbehörde) hieß es sinngemäß: „Ein elektronisches Guard-Tour-System kann genutzt werden, sofern die erfassten Daten online oder binnen 24 Stunden verfügbar sind. Die Originaldaten gehören dem Auftraggeber und sind fünf Jahre aufzubewahren.“. Ein Bieter sollte explizit bestätigen, solche Bedingungen zu erfüllen, etwa: „Unser System lädt alle Kontrolldaten in Echtzeit in die Cloud; der AG kann diese sofort einsehen oder wir stellen sie ihm spätestens am nächsten Werktag bereit. Datenhoheit liegt beim AG; wir bewahren die Logbücher 5 Jahre für Sie auf, abrufbar via Portal.“

In der Angebotsphase muss der Sicherheitsanbieter umfassend darlegen, welches Leistungskontrollsystem er einsetzt, welche Funktionen es bietet, wie es integriert ist und welche Referenzen dafür sprechen. Der Auftraggeber wiederum sollte diese Angaben strukturiert abfragen und bewerten (siehe nächster Abschnitt zur Bewertungsmatrix). So stellt man sicher, dass der ausgewählte Dienstleister technisch in der Lage ist, eine transparente und nachprüfbare Sicherheitsdienstleistung zu erbringen, und dass keine bösen Überraschungen (etwa datenschutzrechtliche Bedenken oder technische Unreife) auftreten.

• Elektronisches „Ein- und Ausstempeln“: Das System sollte eine lückenlose digitale Zeiterfassung ermöglichen. D.h. jeder Schichtbeginn und -ende wird elektronisch erfasst und mit Personen-ID sowie Zeitstempel in einer Datenbank abgelegt. Optimal ist, wenn dies automatisch geschieht, ohne manuelle Eingriffe (z.B. Wächter loggt sich über App mit einem Klick ein, System protokolliert Zeitpunkt). Papierlisten oder händische Nacherfassung sollten obsolet sein. Zu prüfen: Kann das System auch Pausenzeiten erfassen? Werden Schichtverlängerungen (Überstunden) dokumentiert oder zumindest abbildbar gemacht? Gute Systeme erlauben es, Pausen zu buchen und zeigen an, wenn jemand die zulässige Arbeitszeit überschreitet.

• Standortüberprüfung beim Stempeln: Ein fortschrittliches System verknüpft die Zeiterfassung mit Geoinformationen oder Zugangspunkten. Das bedeutet: Der Wachmann kann nur in der Nähe des Objekts einstempeln (GPS-Check) oder muss sich am fest installierten Gerät vor Ort anmelden. Dies ist entscheidend für die Glaubwürdigkeit, denn so wird garantiert, dass niemand vom heimischen Sofa aus „eingecheckt“. Das Bewertungskriterium hier: Unterstützt das System Geofencing oder Standortprüfung bei Dienstbeginn? Aussage wie „GPS-Ortung beim Anmelden ist unerlässlich, um sicherzustellen, dass der Mitarbeiter wirklich an seinem Posten ist“ sollten im Angebot stehen, da dies dem Auftraggeber zeigt, dass der Anbieter an solche Details denkt.

• Alarmierung bei Schichtversäumnis: Das beste System nützt wenig, wenn Versäumnisse erst am Monatsende auffallen. Daher sollte bewertet werden, ob das System Alarme generiert, wenn z.B. ein geplanter Schichtbeginn um X Minuten überschritten wird, ohne dass sich jemand angemeldet hat. Ebenso bei verfrühtem Schichtende oder Doppelbesetzungen etc. Ein System mit solchen Funktionen erhöht die Betriebssicherheit enorm: Ein Beispiel – falls um 22:00 ein Wachposten übernommen werden soll, aber um 22:05 ist noch niemand eingecheckt, bekommt der Objektleiter sofort Bescheid und kann reagieren (z.B. Springer schicken). Das sollte vom Bieter zumindest qualitativ beschrieben sein. Günstig ist auch, wenn sog. No-Show-Benachrichtigungen vorhanden sind, wie in vielen Sicherheitssystemen üblich.

• Nachvollziehbare Schichtprotokolle: Ist ersichtlich, wer welche Schicht abgedeckt hat, inklusive eventueller Wechsel? Ein Qualitätsmerkmal ist die Möglichkeit, aus dem System Stundennachweise zu exportieren, die evtl. direkt mit Lohnabrechnungen korrelieren. Dies erleichtert für den Auftraggeber die Kontrolle der Rechnungen. Ein Bieter könnte hier anführen, dass sein System „auf Knopfdruck Excel-Übersichten aller geleisteten Stunden pro Monat“ liefert – was im Sinne des Controllers beim AG ist. Wichtig bei der Bewertung ist auch, ob das System Korrekturen dokumentiert: Falls ein Wachmann mal vergisst zu stempeln und ein Admin die Zeit manuell ergänzt, wird diese Änderung protokolliert (wer hat wann was geändert?). Dies verhindert nachträgliche „Schönung“ der Daten.

Insgesamt sollte das Zeitmanagement-Modul den Prüfern vermitteln, dass kein Dienst unbemerkt ausfällt und keine Stunde unbelegt oder ungeklärt bleibt. Ein exzellentes System zeigt z.B. ein grünes Licht, wenn alles planmäßig besetzt ist, und rotes, wenn irgendwo eine Lücke besteht – das wäre ideal. Aber selbst ohne Ampeldarstellung: Der Anbieter muss beweisen, dass er Präsenzdefizite sofort erkennt und behebt, und dass am Monatsende ein sauberer Soll-Ist-Abgleich der Stunden möglich ist.

• Planung und Einrichtung der Kontrollrundgänge: Kann das System mehrere Objekte/Checkpoints verwalten? Wie einfach oder komplex ist es, Rundgänge einzurichten? Ein Indiz: Wenn der Anbieter berichtet, dass „Kontrollstellen binnen weniger Minuten im System eingegeben und Rundgänge flexibel angepasst werden können“, ist das positiv – es zeigt, dass das System anwenderfreundlich ist (auch mal adhoc Sonderkontrollen einfügen etc.). Es sollten unterschiedliche Rundgangstypen abbildbar sein (z.B. Außenkontrolle stündlich, Innenkontrolle 2-stündlich, etc.). Je detaillierter der Bieter hier beschreibt, desto besser kann man einschätzen, ob das System zu den Anforderungen passt (z.B. 10 Kontrollpunkte vs. 1000 – skaliert das System?).

• Nachweis pro Kontrollpunkt (Scan/Check-in): Hier ist wesentlich: Das System muss eine eindeutige Zuordnung von Ort und Zeit ermöglichen. Bewertungskriterien: Unterstützt es verschiedene Technologien (RFID, QR, GPS)? – Ein System, das mehrere Optionen bietet, kann sich an örtliche Gegebenheiten anpassen. Weiter: Wie genau wird erfasst? – Idealerweise mit Zeitstempel auf die Sekunde genau und Identifikation des Kontrollpunkts. Kann der Mitarbeiter bei der Kontrolle auch etwas dokumentieren (z.B. „alles in Ordnung“ vs. „Abweichung festgestellt“)? Manche Systeme erlauben beim Scannen direkt eine Meldung einzugeben, was praktisch ist. Entscheidend ist, dass das System dadurch zweifelsfrei belegt, dass „der Wächter um 03:12 Uhr Kontrollpunkt A (z.B. Nordtor) erreicht hat“. Anbieter können das untermauern, indem sie z.B. erwähnen, dass die Uhr im Gerät manipulationssicher ist oder dass Doppellesungen ignoriert werden (um Tricksen zu verhindern). Hier trennt sich die Spreu vom Weizen: ältere Systeme speichern offline und könnten theoretisch vom Nutzer manipuliert werden (wenn z.B. Zeit erst später hochgeladen wird und man manuell anpassen könnte). Moderne Lösungen synchronisieren sofort mit dem Server, was als Plus zu werten ist.

• Echtzeit-Überwachung der Rundgänge: Ein sehr wichtiges Kriterium ist, ob der Rundgangsstatus in Echtzeit verfolgt werden kann. Wenn der Anbieter betont, sein System biete „einen Live-Überblick, welcher Kontrollpunkt zuletzt wann erledigt wurde“, ist das ein großer Vorteil. Dies bedeutet, dass Führungskräfte live sehen können: „Wächter Müller hat gerade Punkt 5 erledigt, nächster Punkt ist fällig in 10 Minuten“. Warum ist das wichtig? Es ermöglicht spontane Kontrollen und schnelles Eingreifen, falls ein Rundgang aus dem Ruder läuft. Der Kunde wird das ebenfalls positiv sehen, da es zeigt, dass der Dienstleister proaktiv überwacht. In der Bewertung sollten Systeme, die erst am Tagesende ausgelesen werden, deutlich schlechter abschneiden als solche mit Echtzeitfähigkeit. Oftmals äußert sich das in Formulierungen wie: „Unser Guard-Tour-System bietet Online-Monitoring in Echtzeit, sodass das Management-Team die Leistung der Wachleute unmittelbar verfolgen kann.“.

• Alarm bei Rundgangabweichung: Hier sollte man prüfen, ob das System automatisiert meldet, wenn ein Rundgang nicht (vollständig) durchgeführt wurde. Z.B. „Wenn ein Checkpoint nicht gescannt wurde, erscheint er im Bericht rot markiert“ oder „Das System sendet einen Alarm ans Smartphone des Supervisors, wenn ein Rundgang länger als X Minuten unterbrochen ist.“ Solche Mechanismen sind goldwert, weil sie garantieren, dass kein versäumter Rundgang unentdeckt bleibt. In der Praxis gibt es Systeme, die eine bestimmte Reihenfolge mit Zeiten überwachen und sofort schlagen, wenn eine Station „übersprungen“ wurde – entweder weil es wirklich vergessen wurde oder weil der Mitarbeiter bewusst abkürzt. Das sollte idealerweise vorhanden sein. Selbst wenn es nicht 100% in Echtzeit alarmiert, sollte zumindest im täglichen Bericht klar hervorgehen, falls etwa „2 von 30 Kontrollpunkten nicht bedient“ wurden. Ein Auftraggeber kann das sogar als KPI definieren. Also: In der Bewertung sind hier Pluspunkte für Systeme, die solche Compliance-Checks integriert haben.

• Vorfall- und Mängelerfassung im Rundgang: Ein weiterer Aspekt: Kann der Mitarbeiter während des Rundgangs Vorfälle direkt dokumentieren? Und wird das sauber ins Protokoll übernommen? Wenn ja, wie (Foto-Funktion, Text, Auswahlkatalog)? Ein gutes System wird dem Wächter ein Eingabe-Menü geben, wo er z.B. „Tür unverschlossen“ auswählen, eine kurze Notiz dazu schreiben und ein Foto anhängen kann. Dies landet im Bericht und ggf. sofort beim Vorgesetzten. Anbieter sollten angegeben haben, wie umfangreich diese Ereigniserfassung ist. Ein Indikator: „Unser System beinhaltet eine umfangreiche Ereigniserfassung mit Fotos, Kategorien und Textbausteinen, um Vorfälle standardisiert zu dokumentieren.“. Das ist exzellent, denn es beugt Missverständnissen und Sprachproblemen vor (Textbausteine helfen, konsistente Meldungen zu generieren). Bewertet wird also: Hat das System diese Möglichkeit? Und ist die Qualität der Meldungen dadurch hoch (z.B. vordefinierte Kategorien: Einbruch, Feuer, Technikstörung etc.)? Dies ist insbesondere für die spätere Auswertung relevant – so kann man Statistiken haben, wie oft Alarm X vorkam usw.

Es sollte ein Wächterkontrollsystem zeigen, dass es alle erforderlichen Kontrollpunkte lückenlos erfasst, den Wachmann bei der Hand nimmt (digitale To-do-Liste) und bei Fehlstellen Alarm gibt. Ein vollständig digital geführter Rundgang ermöglicht „vollständige Transparenz für die Kunden“ und liefert klare digitale Berichte über die Tätigkeiten. In der Bewertung sind Systeme vorne, die dies mit wenig Aufwand und hoher Zuverlässigkeit tun. Systeme, die nur „nachträglich auslesbare“ Daten liefern (ohne Alarme oder Live-Tracking), sind als veraltet einzustufen – sie können zwar Grundlage für Abrechnung sein, aber nicht für unmittelbare Steuerung.

• Regelmäßige Berichterstattung (Rhythmus, Umfang): Das Angebot sollte klar machen, welche Berichte standardmäßig erzeugt werden (z.B. tägliches Wachbuch, Wochenübersicht, Monatsbericht). Und auch, ob diese automatisch generiert werden. Optimal: „Tägliche Berichte werden automatisiert per E-Mail an den Kunden versandt“, oder der Kunde kann sie sich im Portal selbst ziehen. Wenn ein Anbieter angibt, dass Berichte erst manuell vom Objektleiter geschrieben werden müssen, wäre das ein Minus, denn Ziel war ja die Automatisierung. In Deutschland ist es üblich, dass zumindest ein Monatsbericht erstellt wird, der alle Einsätze, besondere Vorkommnisse und eventuell Kennzahlen (wie Pönale-fähige Ereignisse) enthält. Ein System, das das auf Knopfdruck liefern kann, entlastet den Dienstleister und erhöht die Glaubwürdigkeit (denn menschliche Fehler entfallen). Deshalb: Bewertung positiv, wenn z.B. „automatisierte Berichte ohne manuelles Abtippen“ erwähnt werden.

• Berichtsinhalte und -formate: Enthalten die Berichte alle relevanten Informationen? Etwa: Datum/Uhrzeit, Name des MA, Ereignisart, Kommentare, etc. Und in welchem Format? PDF ist Standard, Excel/CSV für tiefergehende Analysen ist ein Plus. Manche Auftraggeber (insb. öffentliche Verwaltungen) fordern auch, dass die Berichte vom Dienstleisterarchiv in Papierform bereitgehalten werden – aber das ist mit digitalem System trivial (man druckt es bei Bedarf). Wichtiger ist: Gibt es auch gesonderte Vorfallsberichte? Ein Wachdienst könnte z.B. verpflichtet sein, für jeden sicherheitsrelevanten Vorfall einen separaten Bericht zu liefern. Wenn das System diesen gleich aus dem gemeldeten Event generieren kann (inkl. Fotos), ist das hervorragend. In die Bewertung fließt also ein, ob das System flexible Berichtsfilter erlaubt – z.B. nach Zeitraum, nach Objekt, nach Mitarbeiter.

• Langzeit-Auswertung und Trends: Ein wirklich professionelles System geht über das tägliche Berichtswesen hinaus und bietet Analysemöglichkeiten. Beispielsweise könnte es Statistiken erstellen: „Anzahl der Meldungen pro Kategorie im letzten Quartal“, „Durchschnittliche Rundgangsdauer“, „Zuverlässigkeitsquote (Anwesenheitsquote) der Mitarbeiter“. Solche KPIs sind für größere Verträge relevant, um Verbesserungen abzuleiten. Wenn ein Anbieter hierüber etwas erwähnt, zeigt das seine Innovationskraft. Nicht zwingend K.O.-Kriterium, aber ein Pluspunkt. In manchen Angeboten liest man etwa: „Unser System bietet ein Management-Dashboard mit Kennzahlen und die Möglichkeit, kundenspezifische Reports (z.B. SLA-Kennzahlen) zu konfigurieren.“ Wenn dieses vorhanden ist, sollte es definitiv angerechnet werden.

• Datenzugriff und Eigentum: Dieser Punkt überschneidet sich mit dem Datenschutzthema, hat aber auch technische Aspekte. Bewerten sollte man, ob der Anbieter klarstellt, dass der Kunde jederzeit Zugang zu seinen Daten hat. Sei es durch Logins oder durch Lieferung auf Anfrage. Besonders bei sicherheitsrelevanten Logs (z.B. im Fall einer Ermittlungen) muss gewährleistet sein, dass man sehr schnell auf Rohdaten zugreifen kann. Ein positives Signal: „Das System speichert alle Protokolle mindestens 12 Monate online; auf Wunsch können Daten exportiert oder bei Vertragsende übergeben werden.“ Ebenso: Gehören die Daten dem Kunden? (Im Idealfall ja, und der Anbieter fungiert nur als Verarbeiter). Systems die das nicht vorsehen (z.B. proprietäre, die Daten „einschließen“), wären kritisch zu sehen. Ein realer Vertrag sah z.B. vor: „Die Originale der Aufzeichnungen gelten als Eigentum des Auftraggebers und Kopien sind vom Auftragnehmer 5 Jahre aufzubewahren“ – jeder Bieter sollte damit einverstanden sein, daher fließt in die Bewertung ein, ob er solches (implizit) zusagt.

• API und Schnittstellen für Berichte: Ein Aspekt für fortgeschrittene Bedürfnisse: Hat das System eine API, mit der der Kunde oder Drittanwendungen Berichte abrufen können? Das könnte relevant sein, wenn der Kunde z.B. seine gesamte Facility-Management-Dokumentation in einem zentralen System sammelt. Eine API-Fähigkeit zeigt technische Offenheit und ist als Bonus zu verstehen. Nicht alle Anbieter bieten das (oder nur gegen Aufpreis), aber wenn es vorhanden ist – wie es bei vielen neueren Cloud-Lösungen der Fall ist – sollte man es positiv vermerken.

In der Summe sollte das Reporting dem Auftraggeber Sicherheit geben, dass er jederzeit im Bilde ist und dass – im Fall der Fälle – alle nötigen Informationen abrufbar sind. Ein gutes System mit guter Berichterstattung erhöht auch die Transparenz gegenüber dem Kunden, was von diesem meist ausdrücklich gewünscht wird. Im Bewertungsschema bekäme daher ein Anbieter, der einen beispielhaften Bericht beilegt und vielleicht sogar dem Kunden ein Online-Portal bietet, eindeutig mehr Punkte als einer, der nur vage etwas von „monatlicher Abgabe der Wachbücher“ schreibt. Letzteres klingt nach analoger Denke im digitalen Gewand, während ersteres wirklichen Mehrwert bedeutet.

• Live-Tracking für Leitstellen/Supervisoren: Hat die Objekt- oder Einsatzleitung Zugriff auf ein Live-Dashboard (z.B. in der Firmenzentrale oder mobil auf dem Tablet), um die Aktivitäten zu verfolgen? Oftmals gibt es bei Sicherheitsdiensten eine zentrale Leitstelle, die alle Standorte überwacht. Wenn diese live sehen kann, wo gerade ein Alarm ist oder welche Rundgänge im Verzug sind, ist das sehr positiv. Der Bieter sollte beschrieben haben, ob es eine zentrale Monitor-Funktion gibt. Einige Systeme haben eine Kartenansicht mit allen aktiven Patrouillen, andere zumindest eine Echtzeit-Ereignisliste. In jedem Fall gilt: je besser die Echtzeit-Übersicht, desto höher der Wert. Das erlaubt es dem Dienstleister nämlich, proaktiv zu führen und dem Kunden ggf. spontan Auskunft zu geben. („Ich sehe gerade, unser Wachmann ist noch in Gebäude 3, in 5 Minuten bei Ihnen.“) Solche Fähigkeiten sind heute Stand der Technik und sollten eingefordert und entsprechend bewertet werden.

• Mobile Zugriffsmöglichkeiten: Wichtig ist auch, ob die Verantwortlichen nicht an einen Leitstand-PC gefesselt sind. Kann der Objektleiter mit seinem Smartphone alle Daten einsehen? Kann der Sicherheitsmanager des Kunden eventuell über eine App den Status checken? Der Bieter könnte z.B. erwähnen: „Unsere Führungskräfte nutzen die App auch, um sich vor Ort einen Überblick zu verschaffen oder mit den Wachleuten zu kommunizieren.“ Wenn Supervisoren mobil Zugriff haben, können sie unterwegs Kontrollen durchführen. Etwa ein Revierdienstleiter, der unangekündigt ein Objekt besucht, könnte per Handy verifizieren, ob seine Mitarbeiter eingecheckt sind oder wo sie sich befinden. Das erhöht die Flexibilität und Reaktionsschnelligkeit. Ein System, das das nicht bietet, würde etwas altbacken wirken. In der Bewertung: Mobilfähigkeit (Apps für Manager, nicht nur für Guards) ist ein Kriterium, das man mitpunkten kann – vielleicht im Rahmen Usability.

• Kommunikation und Eingriffsmöglichkeiten: Ein weiterer Punkt: Erlaubt das System eine direkte Kommunikation oder Steuerung? Z.B. kann die Leitstelle einen Alarm quittieren oder dem Wachmann Rückmeldung geben („Alarm erhalten, bitte Situation überprüfen“)? Manche Systeme haben integrierte Messenger-Funktionen oder zumindest vordefinierte Rückmelde-Codes. Oder es gibt die Möglichkeit, Ad-hoc-Aufträge zu senden (z.B. „Zusatzrunde, da Alarm in Sektor 2“). Je interaktiver das System, desto besser kann der Betrieb im Alltag damit umgehen. Wenn ein Anbieter hierauf eingeht (z.B. „Über die App können wir unseren Mitarbeitern jederzeit aktuelle Anweisungen schicken und Rückmeldungen erhalten“), ist das als Profi-Funktion zu würdigen. Natürlich muss das nicht jeder nutzen, aber die Option zählt. Genauso, ob das System Eskaliert, falls Vorgesetzte nicht reagieren. Eine gute Praxis: falls ein Alarm via App gesendet wurde und der Supervisor hat innerhalb 5 Minuten nicht reagiert, geht’s automatisch an den nächsthöheren Manager. Solche Mechanismen zeigen Reife.

• Kundeneinbindung in Echtzeit: Ähnlich wie der leitende Wachdienstmitarbeiter könnte auch der Auftraggeber, zumindest in kritischen Fällen, live eingebunden sein. Es ist denkbar, dass bei bestimmten Vorfällen (z.B. Feueralarm) auch der Kunde eine sofortige Benachrichtigung bekommt. Oder der Kunde schaut nachts mal eben ins Portal, ob alles in Ordnung ist. Hier spielt vor allem das Vertrauen eine Rolle: Hat der Kunde die Möglichkeit, sich selbst ein Bild zu machen, ohne stets fragen zu müssen? Ein Punkt, der bewertet werden kann, ist daher: Bietet das System dem Kunden auf Wunsch Echtzeit-Einblick (z.B. Live-Lageübersicht) und nicht nur retrospektive Berichte?

Insgesamt spiegelt dieser Bereich die operative Leistungsfähigkeit des Anbieters wider. Ein System, das Live-Führung ermöglicht, stellt sicher, dass Probleme bereits während der Entstehung gelöst werden (und nicht erst im Bericht am nächsten Tag auftauchen). Für den Auftraggeber bedeutet es in der Praxis weniger Eskalationen, da der Dienstleister intern schon viel abfängt. Daher sollten Angebote, die auf diese aktive Komponente eingehen – z.B. durch Erwähnung einer 24h-Leitstelle mit Systemzugriff oder einer dedizierten Supervisorkonsole – entsprechend positiv bewertet werden.

Nachdem man diese Funktionsmerkmale bewertet hat, erhält man ein recht umfassendes Bild von der Leistungsfähigkeit der angebotenen Systeme. Die nächste Stufe ist dann, diese Bewertungen im Rahmen der definierten Kriterien (siehe Abschnitt 6) in Punkte umzusetzen und so den am besten geeigneten Anbieter zu ermitteln.

• Rechtsgrundlage der Datenverarbeitung: Der Bieter sollte klar darlegen, auf welcher Grundlage er die Mitarbeiterdaten verarbeitet. Im Beschäftigtenkontext ist das meist §26 BDSG (in Verbindung mit Art. 6 und 9 DSGVO) – also „zur Durchführung des Arbeitsverhältnisses“ oder aufgrund „berechtigter Interessen“ des Arbeitgebers/Auftraggebers an der Sicherheit. Einwilligung (Art. 6 Abs.1a DSGVO) der Mitarbeiter wird von Datenschutzexperten als problematisch angesehen, da im Arbeitsverhältnis kein gleichberechtigtes Kräfteverhältnis besteht. Falls also ein Bieter mit „Einverständniserklärungen aller Mitarbeiter“ argumentiert, sollte man das kritisch hinterfragen. Besser ist, wenn der Bieter erklärt: „Die Erfassung von Zeit und Ort erfolgt auf Grundlage unseres berechtigten Interesses an der Erfüllung der Sicherheitsaufgaben und der Wahrung der Vertragsansprüche des Kunden.“ Gegebenenfalls gestützt durch Betriebsvereinbarungen mit dem Betriebsrat, falls vorhanden. In Deutschland ist es üblich, dass für solche Überwachungssysteme eine Betriebsratszustimmung nötig ist. Ein guter Bieter wird anführen, dass eine entsprechende Vereinbarung existiert oder angestrebt wird, was seine Bereitschaft zur rechtskonformen Umsetzung zeigt.

• Datenminimierung und Zweckbindung: Es ist zu bewerten, ob das System nur die wirklich erforderlichen Daten erhebt. Beispielsweise sollte die Ortung nicht 24/7 laufen, sondern nur während der Dienstzeit. Und auch dann nur so genau wie nötig (Raumgenau mag genügen, es muss nicht sekundengenau der GPS-Track jeder Bewegung sein, sofern nicht erforderlich). Der Bieter sollte versichern, dass keine darüber hinausgehende Überwachung stattfindet – also keine Audioaufzeichnung, kein „Spionagemodus“ etc. Falls biometrische Verfahren eingesetzt werden (z.B. Fingerabdruck fürs Einchecken), muss besonders genau geprüft werden, ob diese wirklich nötig sind. Biometrie fällt unter besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und ist grundsätzlich verboten, außer eine Ausnahme greift. Eine oft bemühte Ausnahme ist die ausdrückliche Einwilligung des Beschäftigten, was aber wie erwähnt schwierig ist. Eine andere wäre, wenn es “zur Erfüllung arbeitsrechtlicher Pflichten erforderlich” ist (Art. 9 Abs.2b iVm §26 BDSG) – was in Spanien z.B. diskutiert wurde aufgrund von Arbeitszeitaufzeichnungspflichten. Aber auch dort wurde betont: Wenn ein weniger eingriffsintensives Mittel (z.B. Ausweiskarte) verfügbar ist, sollte dieses genutzt werden. Das sollte der Bieter erkannt haben und entsprechend rechtfertigen können, falls er Biometrie einsetzen will. In der Ausschreibung kann man sogar fordern: „Falls biometrische Daten erhoben werden, ist ein Konzept vorzulegen, das die Notwendigkeit begründet und die Einhaltung der DSGVO (insb. Art. 9, 32, 35) darlegt.“

• Datensicherheit und -speicherung: Wichtig ist, wie die Daten gespeichert werden (Serverstandort, Verschlüsselung, Zugriffsschutz). Ein Bieter sollte angeben, dass die Daten auf europäischen Servern (idealerweise in Deutschland) liegen oder andernfalls angemessene Schutzmechanismen bestehen. Die Übertragung der Daten vom Endgerät zur Cloud sollte verschlüsselt erfolgen (TLS/HTTPS). Intern sollten Rollen- und Berechtigungskonzepte existieren: Nicht jeder Mitarbeiter des Dienstleisters darf auf alle Daten zugreifen. Hier kann der Bieter punkten, indem er z.B. sagt: „Zugriff auf Rohdaten haben nur autorisierte Personen, und jede Einsicht wird geloggt.“ Das Stichwort Privacy by Design kann fallen – also, dass das System von vornherein datenschutzfreundlich gestaltet ist. Ein Punkt ist auch die Speicherdauer: Der Bieter muss ein Konzept zur Löschung bzw. Anonymisierung nach Ablauf der Aufbewahrungsfristen haben. Oft reicht es, Daten 3-6 Monate in voller Detailtiefe zu behalten; später kann man sie archivieren oder anonymisiert für Statistik noch vorhalten. Manche Kunden, vor allem öffentliche, haben aber längere Fristen (siehe Beispiel 5 Jahre in Hafen-Ausschreibung). Der Bieter sollte flexibel sein, diese Wünsche umzusetzen, solange sie legal sind. Das ist insofern relevant, weil nach DSGVO Daten nicht unbegrenzt gespeichert werden dürfen – aber ein berechtigtes Interesse an 5 Jahren Archiv für eventuelle Haftungsfälle könnte begründbar sein.

• Auskunfts- und Widerspruchsrechte der Mitarbeiter: Der Bieter sollte mitdenken, dass jeder Mitarbeiter das Recht hat, Auskunft über seine gespeicherten Daten zu verlangen (Art. 15 DSGVO). Er sollte also in der Lage sein, dem Einzelnen z.B. seinen „Leistungsauszug“ zu geben (wann war er wo eingeloggt etc.). Das System sollte so etwas auf Mitarbeiterebene filtern können. Ebenso sollten Prozesse bestehen, falls jemand die Richtigkeit anzweifelt oder löschen lassen will (Art. 16-18 DSGVO). Im Arbeitsverhältnis sind Löschungen tricky, aber denkbar, wenn z.B. ein älterer Datensatz nicht mehr benötigt wird. In der Ausschreibung kann man fragen, wie der Bieter mit Betroffenenrechten umgeht. Ein professioneller Bieter wird angeben, dass seine Datenschutzabteilung solche Anfragen bearbeitet und dass alle Mitarbeiter bereits in den Datenverarbeitungen informiert wurden (z.B. via Mitarbeiterinformation oder Einwilligung). In Deutschland wird oft der Weg einer Betriebsvereinbarung genommen, was dann beinhaltet, dass Mitarbeiter informiert wurden und die Rechtsgrundlage geklärt ist.

• DPIA (Datenschutz-Folgenabschätzung): Falls das System neu eingeführt oder besonders invasiv ist (insb. dauerhafte Standortüberwachung, Biometrie), verlangt die DSGVO eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Hier sollte der Bieter nachweisen, dass er so eine DPIA durchgeführt hat oder dies mit dem Auftraggeber zusammen tun wird. Gerade Biometrie macht eine DSFA obligatorisch, wie auch Aufsichtsbehörden betonen. Ein Bieter, der bereits eine generische DPIA für sein System hat, kann das als Vorteil darstellen (wenn auch meist nur intern). In der Bewertung sollte man darauf achten, ob der Bieter das Thema anspricht – das zeigt Kompetenz. Wenn ein Bieter das vollkommen ignoriert („wir machen einfach mal“), muss man ihm evtl. Punktabzug geben, denn es drohen Probleme.

• Betriebsrat und Arbeitnehmervertretung: In Deutschland ganz konkret: Wenn beim zukünftigen Auftragnehmer ein Betriebsrat existiert, muss dieser einer technischen Überwachung in der Regel zustimmen (§87 BetrVG Mitbestimmung bei technischen Kontrollmitteln). Falls der Bieter darauf hinweist, dass so eine Betriebsvereinbarung bereits existiert (vielleicht auch beifügt), wäre das ideal, weil es die Implementierung erleichtert. Wenn nicht, könnte es zumindest angesprochen sein, dass man das in Abstimmung mit dem Betriebsrat regelt. Ein Auftraggeber will nicht in der Situation sein, dass zwar im Angebot alles super klang, aber dann im Betrieb der Betriebsrat quer schießt und Dinge untersagt. Daher kann man sogar in der Ausschreibung fragen: „Liegt eine Betriebsratszustimmung zur Nutzung des angebotenen Systems vor bzw. sehen Sie hierbei Schwierigkeiten?“ Die Antwort fließt dann in die Wertung ein.

• Vertragliche Absicherung (AVV): Zuletzt ist relevant, dass zwischen Auftraggeber und Auftragnehmer ein Vertrag zur Auftragsverarbeitung geschlossen wird, da der Dienstleister im Auftrag personenbezogene Daten verarbeitet (nämlich der Mitarbeiter und auch ggf. des Kunden, z.B. wenn Alarm-Protokolle personalisiert sind). Der Bieter sollte ohne Zögern bereit sein, einen solchen Vertrag zu unterzeichnen, der z.B. regelt, dass die Daten nur für den definierten Zweck genutzt werden, dass sie nach Ende des Auftrags gelöscht/übergeben werden usw. Falls der Bieter selbst Subunternehmer (z.B. Cloudprovider) einsetzt, muss er das offenlegen und sicherstellen, dass diese DSGVO-konform sind. Ideal: Hosting in Deutschland oder EU, oder falls in USA z.B. mit Standardvertragsklauseln und Verschlüsselung. Diese Feinheiten sind evtl. erst nach Zuschlag zu verhandeln, aber es schadet nicht, wenn im Angebot bereits ein Hinweis auf ISO-27001 oder „Server in deutschem Rechenzentrum“ auftaucht – das gibt Pluspunkte in der Wertung Transparenz & Compliance.

In der Gesamtbewertung sollte das Thema Datenschutz nicht als bürokratische Last, sondern als Qualitätsmerkmal gesehen werden. Ein Anbieter, der hier klar und sorgfältig agiert, schützt damit auch den Auftraggeber vor rechtlichen Risiken. In Zeiten hoher DSGVO-Bußgelder (und auch, weil Wachleute ein erhöhtes Interesse an der Wahrung ihrer Persönlichkeitsrechte haben), ist das unabdingbar.

Praktisch heißt das: Der Anbieter, der ein schlüssiges Konzept zum Datenschutz vorlegt, bekommt in diesem Kriterium die volle Punktzahl. Wer nur lapidar sagt „Daten sind sicher“ ohne Erläuterung, sollte Abzüge erhalten. Und wer offensichtliche Anforderungen ignoriert (z.B. Biometrie einsetzen will ohne Konzept) müsste eigentlich ausgeschlossen oder zumindest schlecht bewertet werden.

In einer deutschsprachigen Ausschreibung kann das z.B. so formuliert sein: „Beschreiben Sie, wie Ihr Leistungskontrollsystem die Anforderungen der DSGVO und des BDSG einhält (Datenminimierung, -speicherung, Betroffenenrechte, technische-organisatorische Maßnahmen).“ Anhand der Antworten kann man die Qualität sehr gut vergleichen.

Jedes dieser Felder kann man dann z.B. mit Punkten 0-5 bewerten, je nach Erfüllungsgrad, und gewichten. Zum Beispiel könnte „Technische Funktionen“ und „Transparenz & Kontrolle“ höher gewichtet sein (weil sicherheitskritisch), während „Integration & Zukunftsfähigkeit“ mittig und „Benutzerfreundlichkeit“ auch hoch (denn ein System, das keiner bedienen kann, würde ja scheitern). Referenzen könnte einen kleineren, aber nicht unwichtigen Anteil haben – denn sie zeigen, ob Theorie schon Praxis wurde.

Wichtig: Die Bewertung muss objektiv und nachvollziehbar sein. Daher sollten bei jedem Kriterium Indikatoren notiert werden, was man für eine volle Punktzahl erwartet. Für Datenschutz z.B.: Volle Punkte, wenn detailliertes Konzept inkl. DSFA-Zusammenfassung beigefügt, Server EU, Löschfristen genannt, etc. Mittlere Punkte, wenn nur generell DSGVO-Compliance behauptet ohne Details. Null Punkte, wenn offensichtliche Verstöße oder Ignoranz (z.B. keine Erwähnung bei Biometrie).

Durch diese Struktur vermeidet man, dass in der späteren Vertragsphase Überraschungen auftreten. Außerdem signalisiert schon die Ausschreibung an die Bieter, dass man Wert auf diese Dinge legt – was im Optimalfall dazu führt, dass alle sich mehr Mühe geben, gute Systeme einzusetzen, um wettbewerbsfähig zu sein.

Jedes dieser Felder kann man dann z.B. mit Punkten 0-5 bewerten, je nach Erfüllungsgrad, und gewichten. Zum Beispiel könnte „Technische Funktionen“ und „Transparenz & Kontrolle“ höher gewichtet sein (weil sicherheitskritisch), während „Integration & Zukunftsfähigkeit“ mittig und „Benutzerfreundlichkeit“ auch hoch (denn ein System, das keiner bedienen kann, würde ja scheitern). Referenzen könnte einen kleineren, aber nicht unwichtigen Anteil haben – denn sie zeigen, ob Theorie schon Praxis wurde.

Wichtig: Die Bewertung muss objektiv und nachvollziehbar sein. Daher sollten bei jedem Kriterium Indikatoren notiert werden, was man für eine volle Punktzahl erwartet. Für Datenschutz z.B.: Volle Punkte, wenn detailliertes Konzept inkl. DSFA-Zusammenfassung beigefügt, Server EU, Löschfristen genannt, etc. Mittlere Punkte, wenn nur generell DSGVO-Compliance behauptet ohne Details. Null Punkte, wenn offensichtliche Verstöße oder Ignoranz (z.B. keine Erwähnung bei Biometrie).

Durch diese Struktur vermeidet man, dass in der späteren Vertragsphase Überraschungen auftreten. Außerdem signalisiert schon die Ausschreibung an die Bieter, dass man Wert auf diese Dinge legt – was im Optimalfall dazu führt, dass alle sich mehr Mühe geben, gute Systeme einzusetzen, um wettbewerbsfähig zu sein.

• Systemeinrichtung und -anpassung: Der Dienstleister muss sein Leistungskontrollsystem auf die Gegebenheiten des neuen Auftrags konfigurieren. Dazu zählen: Anlegen der Objektdaten im System (Adressen, Bereiche), Einrichten der definierten Kontrollpunkte und Rundgänge gemäß dem in der Ausschreibung beschriebenen Sicherheitskonzept, Hinterlegen der Schichtpläne und Alarmregeln (z.B. „Schicht beginnt 22:00, Alarm bei keiner Anmeldung bis 22:05“). Diese Vorarbeit sollte vor Dienstbeginn abgeschlossen sein. Idealerweise wird ein Probebetrieb durchgeführt – etwa eine Testwache, die die Rundgänge simuliert – um sicherzustellen, dass das System korrekt funktioniert (Stichwort FAT/SAT, Factory/Site Acceptance Test in Tech-Projekten). Eventuell müssen RFID-Tags vor Ort angebracht oder QR-Codes geklebt werden; dies muss der Dienstleister organisieren. All das sollte im Implementierungsplan abgebildet sein, den er dem Kunden vorlegt.

• Schulung des Personals und der Kundenvertreter: Der Anbieter muss sein Personal im Gebrauch des Systems schulen. Jeder Wachmann sollte wissen, wie er sich einloggt, was er tun muss, wenn mal die Technik ausfällt (z.B. Ersatzgerät anfordern oder manuelles Melden), und wie er Vorfälle korrekt erfasst. Ebenso sollten die Objektleiter/Supervisoren geschult sein, die Daten zu überwachen und mit Alarmsituationen umzugehen. Nicht zu vergessen: Der Auftraggeber selbst. Falls dem Kunden ein Zugang gegeben wird, sollten relevante Mitarbeiter des Kunden (z.B. Objektverantwortlicher, evtl. Revision oder Werkschutzleiter des Kunden) eine Einweisung erhalten, wie sie die Plattform nutzen, Berichte ziehen etc. Hierzu kann der Dienstleister z.B. Handbücher oder Kurzleitfäden bereitstellen. Ein einfacher Zugang nützt nichts, wenn der Kunde ihn nicht versteht – dann wird Misstrauen geschürt. Also: Transparenz auch in der Erklärung.

• Regelmäßige Berichte und Review-Meetings: Der Dienstleister sollte turnusmäßig die vereinbarten Berichte liefern – etwa täglich ein E-Mail-Report und monatlich ein Management-Report. Darüber hinaus sind Review-Termine sinnvoll, z.B. monatliche Jour Fixe, um die Systemdaten gemeinsam zu besprechen. Der Dienstleister ist gut beraten, in diesen Meetings proaktiv anhand der Systemauswertungen zu zeigen, dass er vertragstreu arbeitet. Beispielsweise könnte er eine Auswertung vorlegen: „Im letzten Monat wurden 100% der geplanten Stunden erbracht, 2% der Rundgänge waren leicht verspätet (siehe Maßnahmenplan zur Verbesserung). 3 Sicherheitsvorfälle wurden gemeldet, alle dokumentiert im System und dem AG gemeldet. Keine Alarm-Eskationen nötig.“ Solche datengetriebenen Reviews erhöhen das Vertrauen und ermöglichen faktenbasierte Diskussionen über evtl. Probleme. Der Auftraggeber kann – gestützt auf Daten – Forderungen stellen oder gemeinsam mit dem AN Optimierungen vereinbaren.

• Vertragskonforme Dokumentation und Meldungen: Der Dienstleister muss sicherstellen, dass er seinen vertraglichen Pflichten zur Dokumentation immer nachkommt. Beispiel: Wenn der Vertrag vorsieht, dass der Kunde bei besonderen Vorkommnissen sofort informiert wird, muss das System entsprechend genutzt werden (z.B. Alarm -> Leitstelle -> sofort Anruf oder Email an Kunden). Oder wenn es heißt, der AG kann „jederzeit Einblick“ verlangen, darf der Dienstleister nicht zögern, bei Anfrage dem Kunden z.B. Live-Zugang zu geben oder Daten direkt aus dem System bereitzustellen. In einer uns vorliegenden Vertragsbedingung hieß es: „Der AN gewährt dem AG jederzeit Einsicht in das elektronische Wachbuch auf Verlangen.“ – Hier muss der Dienstleister organisatorisch dafür gesorgt haben, dass z.B. jederzeit ein Login funktionieren oder ein Verantwortlicher erreichbar ist, der die Daten zeigen kann. Auch muss er die Daten so ordentlich führen, dass eine Prüfung keine chaotischen Lücken aufdeckt. D.h. Alibiscans oder unsaubere Handhabung (z.B. alle Guards scannen nur den ersten und letzten Punkt, nichts dazwischen) würden auffallen und negativ bewertet werden. Deshalb muss der AN intern Qualitätssicherungsroutinen fahren – z.B. wöchentliche Checks durch den Objektleiter, ob die Logs vollständig sind.

• Zugang zu und Nutzung der Plattform: Der Auftraggeber sollte den angebotenen Zugang aktiv nutzen, soweit möglich. Wenn ein Web-Login vorhanden ist, könnte z.B. der zuständige Facility Manager hin und wieder reinschauen, ob alles grün ist. Wichtig: Auch die interne IT-Sicherheit des AG muss damit einverstanden sein – es kann sein, dass erst Freischaltungen erfolgen müssen (viele externe Plattformen werden aus Policy-Gründen gesperrt). Daher sollte der AG’s IT früh eingebunden werden, damit z.B. die Seite als vertrauenswürdig eingestuft ist und passwortsicher integriert werden kann. Der AG kann evtl. auch definieren, wer intern Zugriff hat (nur eine Person oder mehrere?). Diese Zugriffe sollten dann auch personengebunden sein, damit im Nachhinein klar ist, wer was gesehen/gezogen hat – falls es im Sicherheitsbereich sensibel ist.

• Verifikation und Audits: Der Auftraggeber hat das Recht, Auditprüfungen durchzuführen. Das kann unangekündigt vor Ort sein (z.B. nachts mal selbst kontrollieren, ob der Wächter wie vom System behauptet patrouilliert – Querstichprobe). Oder es kann eine Datenauswertung sein: Der AG kann z.B. quartalsweise alle Rohdaten anfordern und mit eigenen Tools analysieren. Der Vertrag sollte dies erlauben, und der Dienstleister muss dem nachkommen. So eine Prüfung könnte z.B. aufdecken, ob es Zeiträume gibt, wo systematisch etwas nicht stimmt (etwa jeder Samstag 3-4 Uhr kein Scan – vielleicht schläft da wer). Der AG sollte solche Audits auch nutzen, um dem Dienstleister Feedback zu geben oder bei Nichterfüllung Abmahnungen/Pönalen geltend zu machen. Die Möglichkeit „der AG kann die Aufzeichnungen jederzeit prüfen“ ist nur dann effektiv, wenn sie auch tatsächlich wahrgenommen wird.

• Abgleich Leistung vs. Rechnung (SLA-Kontrolle): Wie im englischen Teil erwähnt, kann der Kunde dank der Daten genau die erbrachte Leistung quantifizieren und mit den vertraglichen Vereinbarungen abgleichen. Das sollte er auch tun. Wenn z.B. laut Vertrag 720 Wachstunden/Monat gestellt werden und das System zeigt nur 700 an, hat der Kunde direkt einen Ansatz zu klären, wo die Differenz herkommt (ggf. Abzug berechtigt). Ebenso bei Rundgängen: Wenn vereinbart war „6 Rundgänge pro Nacht“ und der Report zeigt im Schnitt nur 5, kann der AG Nachbesserung fordern oder vertraglich vereinbarte Strafzahlungen einbehalten. Das Leistungskontrollsystem bietet die nötigen Nachweise für solche Diskussionen, es versachlicht sie. Daher sollte der AG diese Daten immer zur Untermauerung heranziehen. Ein gut arbeitender AN wird es allerdings gar nicht so weit kommen lassen, sondern im Sinne von Continuous Improvement selbst auf Lücken hinweisen (bevor es der Kunde tut) und Gegenmaßnahmen vorschlagen.

• Änderungsmanagement und Erweiterungen: Falls sich im Laufe des Vertrags Anforderungen ändern (z.B. ein neuer Gebäudeteil kommt hinzu, zusätzlicher Checkpoint, geänderte Zeiten), sollte der AG frühzeitig mit dem Dienstleister darüber sprechen, damit das System entsprechend angepasst wird. Meist ist das unproblematisch, aber es sollte dokumentiert werden. Ebenso, wenn das System mal Probleme zeigt – der AG sollte das kommunizieren. Beispielsweise, wenn er merkt, er bekommt E-Mails mit Berichten viel zu spät oder sie sind unvollständig, sollte er den Dienstleister ansprechen. Ggf. lässt sich das System feinjustieren (andere Uhrzeit für Mailversand, Filter ändern etc.).

• Optionale eigene Nutzung der Daten: Manche Auftraggeber – je nach Ressourcen – nutzen die gesammelten Daten über reine Kontrolle hinaus, um eigene Erkenntnisse zu gewinnen. Beispielsweise kann ein Unternehmen analysieren: Wann treten die meisten Zwischenfälle auf? (Vielleicht nachts um 2?) – und entsprechend Präventionsmaßnahmen verstärken. Oder: In welchem Bereich des Werks gab es bisher nie eine Meldung? – Eventuell war da aber auch nie jemand, oder es ist wirklich ruhig; dann könnte man dort eventuell die Frequenz reduzieren (Kosten sparen) oder gezielt prüfen, ob es wirklich so unkritisch ist. Kurz: Die Daten können auch zur Optimierung des Sicherheitskonzepts des Kunden beitragen. Ein moderner Dienstleister wird diese Rolle sogar proaktiv anbieten (Sicherheitsberatung auf Basis der Daten).

Ein Leistungskontrollsystem entfaltet seinen vollen Nutzen nur, wenn beide Seiten – Dienstleister und Auftraggeber – es ernsthaft nutzen und zusammenarbeiten. Der Dienstleister stellt die Daten und reagiert auf Abweichungen, der Auftraggeber kontrolliert und gibt Feedback. So entsteht ein Regelkreis der Qualitätssicherung. Ein solcher Ansatz entspricht auch den Qualitätsnormen (z.B. DIN 77200 fordert fortlaufende Dokumentation und Überprüfung der Dienstleistungserfüllung). Der digitale Nachweis wird damit zu einem integralen Bestandteil der Vertragserfüllung: In der heutigen Zeit gehört es praktisch zum guten Ton, dass der Kunde sich nicht mehr auf vage Stundenzettel verlassen muss, sondern selbst überprüfen kann, was er an Sicherheitsleistung bekommt.

Sollte der Dienstleister die versprochene Nutzung des Systems vernachlässigen (z.B. doch wieder Papier ausfüllen lassen aus Bequemlichkeit), muss der Auftraggeber konsequent auf Einhaltung drängen – notfalls mit vertraglichen Schritten. Umgekehrt sollte der Auftraggeber dem Dienstleister auch die Möglichkeit geben, z.B. bei berechtigten Datenschutzbedenken Anpassungen vorzunehmen (Stichwort Betriebsrat: falls z.B. vereinbart wird, GPS nur außerhalt von Gebäuden zu nutzen, dann sollte der AG dem zustimmen, solange die Leistung nicht beeinträchtigt wird).

Wenn alles richtig umgesetzt wird, erreicht man durch das Leistungskontrollsystem eine transparente, effiziente und überprüfbare Sicherheitsdienstleistung. Die Partnerschaft zwischen AG und AN gewinnt an Objektivität – Diskussionen fußen auf Daten, nicht auf subjektivem Empfinden. Das Vertrauen wird gestärkt, da „Schwarz auf Weiß“ bzw. digital belegt ist, was geleistet wurde. Und am Ende profitieren davon alle: Der Auftraggeber weiß sein Objekt gut bewacht, der Dienstleister kann seine Qualität belegen (und verbessern), und die Wachpersonen selbst haben klarere Abläufe und Erwartungen.